Fügen Sie die Anweisungen LDAPTrustedCA und LDAPTrustedCAType der Datei httpd.conf hinzu, wenn es sich bei der
Verbindung von IBM HTTP Server zum LDAP-Server um eine SSL-Verbindung handelt.
Die Anweisung LDAPTrustedCA gibt den Verzeichnispfad und den Dateinamen der anerkannten Zertifizierungsstelle (CA) an,
den mod_ldap verwenden soll, wenn eine SSL-Verbindung zu einem LDAP-Server hergestellt wird.
Zertifikate können in einer Datei mit der Erweiterung .kdb oder in einem SAF-Schlüsselring gespeichert werden. Wenn die Datei mit der Erweiterung .kdb verwendet wird, muss sich in demselben Verzeichnispfad eine Datei mit demselben Namen, jedoch mit der Erweiterung
.sth statt .kdb befinden.
Für die Anweisung LDAPTrustedCAType muss einer der folgenden nur für z/OS definierten Wertetypen angegeben werden:
- KDB_FILE. Verwenden Sie diesen Wert, wenn die mit der Anweisung LDAPTrustedCA angegebene Zertifikate in einer Datei mit der Erweiterung .kdb gespeichert sind.
- SAF_KEYRING. Verwenden Sie diesen Wert, wenn die mit der Anweisung LDAPTrustedCA angegebene Zertifikate in einem SAF-Schlüsselring gespeichert sind.
Beispiel mit einem in einer Datei
.kdb gespeicherten Zertifikat:
LDAPTrustedCA "/usr/lpp/internet/server4.kdb"
LDAPTrustedCAType KDB_FILE
Beispiel mit einem in einem SAF-Schlüsselring gespeicherten Zertifikat: LDAPTrustedCA SAFKeyring
LDAPTrustedCAType SAF_KEYRING
Wichtig: Die Benutzer-ID, die zum Starten von IBM HTTP Server verwendet wird,
muss auf den in dieser Anweisung genannten SAF-Schlüsselring zugreifen können. Kann die Benutzer-ID ncht auf den SAF-Schlüsselring zugreifen, schlägt die SSL-Initialisierung fehl.
Informationen zum Zugreifen auf SAF-Schlüsselringe, die in RACF definiert sind, finden Sie im Artikel Erforderliche z/OS-Systemkonfigurationen durchführen.