首创安泰人寿保险SSL配置报告Word格式.docx
《首创安泰人寿保险SSL配置报告Word格式.docx》由会员分享,可在线阅读,更多相关《首创安泰人寿保险SSL配置报告Word格式.docx(25页珍藏版)》请在冰豆网上搜索。
●IBMRServerforiSeries,5722-DG1
●DeveloperKitforJavaTM,5722-JV1
●ClientEncryptionproduct,5722CE3(128-bit)
●iSeriesAccess5.2+WindowsXP/Windows2000
2)PTF检查
●下面是目前有效的最新版本的5.2版本groupPTFlist
●SSL本身并没有明确地PTF要求,但由于在实施SSLTelnet的过程中涉及TCP/IP,,DigitalCertificateManager,Encryption,Print,Java和DB2,iSeriesAccess等产品,建议安装以下版本的PTF
⏹SF99502level24
⏹SF99313level6
⏹SF99098level20
⏹SF99345level5
⏹SF99169level26
⏹SF99520Cum06080520
注:
打PTF尽管是系统爱护专门重要的一个手段,但并不是必需的。
在业务和应用承诺的条件下,最好升级到最新的补丁级别。
但假如在现有系统的环境下,配置和使用没有问题(最好通过严格测试),则没有打PTF的必要。
3)DCM配置
<
1.>
启动Server
a)CHGACCSID(1381)
b)STRTCPSVR*SVR(*ADMIN)
c)WRKSBSJOBQSVR,检查QSVR子系统下作业
WorkwithSubsystemJobsS653924B
07/01/1813:
23:
06
Subsystem..........:
QSVR
Typeoptions,pressEnter.
2=Change3=Hold4=End5=Workwith6=Release7=Displaymessage
8=Workwithspooledfiles13=Disconnect
OptJobUserType-----Status-----Function
ADMINQTMHBATCHACTIVEPGM-QZHB
ADMINQTMHBATCHIACTIVEPGM-QZSRLOG
ADMINQTMHBATCHIACTIVEPGM-QZSR
2.>
登录Admin治理端口2001
输入400治理用户
选择数字证书治理器
进入‘数字证书治理器‘主页面,选择‘创建认证中心‘
输入有效信息
那个地点我们假设从未在400上使用过CA,否则看不到‘创建认证中心(CA)‘菜单项。
假如这时候选择’观看证书储备库‘
选择连续
修改LocalCA策略,那个地点要求localCA能够颁发用户证书,由localCA颁发的证书的有效期为1年(365天)
选择连续,到此localCA的设置终止,下面是设置*SYSTEM证书储备库
填入参数,选择连续
这是专门重要的一页,在选择信任*SYSTEM证书的客户端应用程序的时候,必须慎重,原则上我们只把需要SSL通讯的应用作上标记。
那个地点我们选择TELNET,Central,SignOn3个TCP/IP应用。
到此为止,*SYSTEM证书治理器的设置终止,下面开始设置*OBJECTSIGNING
选择连续(telnet差不多信任SYSTEMCA)
选择确定
这时又返回到初始界面,所有的localca和certificatestore的配置终止,系统证书也差不多自动生成。
4)iSeriesAccess配置
-安装SSL
⏹映射//21.5.254.121/QIBM/ProdData/CA400为PC网络名目
⏹执行iSeriesAccess的选择性安装
⏹选择安装名目为上面映射的网络名目
⏹选择增加SSL功能的安装
-安装si27938ServicePack
-下载SystemlocalCA证书
⏹打开操作导航器
⏹选择400连接
⏹单击鼠标右键,选择iSeriesAccess属性,选择安全套接字页面
选择下载.
默认情形下,iSeriesAccess将使用c:
\documentsandsettings\AllUsers\Documents\IBM\ClientAccess\cwbssldf.kdb作为证书治理文件,默认的文件打开口令是ca400.
下载证书并更新cwbssldf.kdb
选择OK
关闭操作导航器,并从新打开
注意,只要hostserver或telnet实施了ssl配置,在operationnavigator里看到的连接图标会加上锁的标记,代表安全连接。
打开5250连接
默认5250是非安全telnet,连接端口23。
选择’properties‘
选择useSecuredsocketslayer(SSL)
那个地点的联接端口自动改为992
选择OK
在生产机上04/03配置一次成功,测试机配置04/04配置成功。
问题分析:
✧测试机992端口无法激活
现象:
telnet默认使用23(一般端口)和992(ssl通讯端口)进行通信。
但在测试机上发觉992端口没有处于listening状态。
分析:
telnet-ssl激活需要以下条件:
⏹telnet服务启动参数承诺启动ssl
⏹系统上安装了5722AC3加密软件
注意5722CE3是为iSeriesClientAccess5.2提供SSL功能的LPP,他的作用仅限于pc客户端。
从iSeriesClientAccess5.3开始差不多内嵌SSL功能了,5722CE3在5.3差不多被撤销。
即使在5.2上,5722CE3是否安装对telnet-SSL的启动也没有阻碍
即使在LocalCA的*SYSTEMcertificatestore中没有对TELNET服务进行认证治理,也不阻碍Telnet-SSL的启动。
因此不通过*SYSTEMcertificatestore的治理,客户端是无法通过992连接到400的。
解决方法:
检查telnetserverjob的joblog
从qtvtelnet的joblog开看,telnetserver在启动的时候试图启动992端口,然而启动失败了。
从启动时刻看,telnetserver在启动的时候,400还没有安装5722AC3。
也确实是不满足telnet-ssl启动的差不多条件。
ENDTCPSVR*TELNET=〉STRTCPSVR*TELNET,992端口启动成功。
✧生产机在单独开放*TELNET认证以后,无法从客户端进行SSL认证
按照标准步骤在LocalCA中只开放了TELNET的认证,然而在客户端验证SSL通讯的时候失败。
由于iSeriesClientAccess在进行SSL验证时候,除了要通过telnet通讯以外,还需要通过hostserver与400进行通信。
从理论上讲至少需要将SIGNONSERVER,SERVERMAP和TELNET都开放,为了方便,我们把*SYSTEM里所有的通信都进行了localCA的认证。
再次测试,ssl测试成功,客户端连接也成功。
✧测试机无法通过TELNET的SSL测试
首次测试失败后,将所有的Certificatestore都删除从新配置,问题仍旧
检查telnet属性
qtvtelnet作业joblog
从错误现象看,是SSL双方进行在进行证书验证的时候,客户端下载的localCA公钥与400localCA的私钥不匹配。
然而检查证书的内容和公布信息都完全正确。
最后发觉是在400DCM的名目下显现了一个非法名目,显现了一个../icss/cert/signing■
利用DLTDIR将无效名目删除。
然后将所有的certificateStore都删除后从新建立,测试连接成功。
备注:
由于目前的需求只要求telnet通信加密,我们是按照server单方认证的方法进行配置。
假如要求对客户端也进行认证则需要进行server和user的双方认证。
升级会员 