首创安泰人寿保险SSL配置报告文档格式.docx
《首创安泰人寿保险SSL配置报告文档格式.docx》由会员分享,可在线阅读,更多相关《首创安泰人寿保险SSL配置报告文档格式.docx(25页珍藏版)》请在冰豆网上搜索。
●IBMRServerforiSeries,5722-DG1
●DeveloperKitforJavaTM,5722-JV1
●ClientEncryptionproduct,5722CE3(128-bit)
●iSeriesAccess5.2+WindowsXP/Windows2000
2)PTF反省
●下面是目前有效的最新版本的5.2版本groupPTFlist
●SSL自身并没有明白地PTF要求,但由于在实施SSLTelnet的进程中触及TCP/IP,,DigitalCertificateManager,Encryption,Print,Java和DB2,iSeriesAccess等产品,建议装置以下版本的PTF
⏹SF99502level24
⏹SF99313level6
⏹SF99098level20
⏹SF99345level5
⏹SF99169level26
⏹SF99520Cum06080520
注:
打PTF虽然是系统维护很重要的一个手腕,但并不是必需的。
在业务和运用允许的条件下,最好晋级到最新的补丁级别。
但假设在现有系统的环境下,配置和运用没有效果〔最好经过严厉测试〕,那么没有打PTF的必要。
3)DCM配置
<
1.>
启动Server
a)CHGACCSID(1381)
b)STRTCPSVR*SVR(*ADMIN)
c)WRKSBSJOBQSVR,反省QSVR子系统下作业
WorkwithSubsystemJobsS653924B
07/01/1813:
23:
06
Subsystem..........:
QSVR
Typeoptions,pressEnter.
2=Change3=Hold4=End5=Workwith6=Release7=Displaymessage
8=Workwithspooledfiles13=Disconnect
OptJobUserType-----Status-----Function
ADMINQTMHBATCHACTIVEPGM-QZHB
ADMINQTMHBATCHIACTIVEPGM-QZSRLOG
ADMINQTMHBATCHIACTIVEPGM-QZSR
2.>
登录Admin管理端口2001
输入400管理用户
选择数字证书管理器
进入‘数字证书管理器‘主页面,选择‘创立认证中心‘
输入有效信息
这里我们假定从未在400上运用过CA,否那么看不到‘创立认证中心〔CA〕‘菜单项。
假设这时分选择’观察证书存储库‘
选择继续
修正LocalCA战略,这里要求localCA可以颁发用户证书,由localCA颁发的证书的有效期为1年〔365天〕
选择继续,到此localCA的设置完毕,下面是设置*SYSTEM证书存储库
填入参数,选择继续
这是十分重要的一页,在选择信任*SYSTEM证书的客户端运用顺序的时分,必需慎重,原那么上我们只把需求SSL通讯的运用作上标志。
这里我们选择TELNET,Central,SignOn3个TCP/IP运用。
到此为止,*SYSTEM证书管理器的设置完毕,下面末尾设置*OBJECTSIGNING
选择继续〔telnet曾经信任SYSTEMCA〕
选择确定
这时又前往到初始界面,一切的localca和certificatestore的配置完毕,系统证书也曾经自动生成。
4)iSeriesAccess配置
-装置SSL
⏹映射//21.5.254.121/QIBM/ProdData/CA400为PC网络目录
⏹执行iSeriesAccess的选择性装置
⏹选择装置目录为下面映射的网络目录
⏹选择添加SSL功用的装置
-装置si27938ServicePack
-下载SystemlocalCA证书
⏹翻开操作导航器
⏹选择400衔接
⏹单击鼠标右键,选择iSeriesAccess属性,选择平安套接字页面
选择下载.
默许状况下,iSeriesAccess将运用c:
\documentsandsettings\AllUsers\Documents\IBM\ClientAccess\cwbssldf.kdb作为证书管理文件,默许的文件打启齿令是ca400.
下载证书并更新cwbssldf.kdb
选择OK
封锁操作导航器,偏重新翻开
留意,只需hostserver或telnet实施了ssl配置,在operationnavigator里看到的衔接图标会加上锁的标志,代表平安衔接。
翻开5250衔接
默许5250是非平安telnet,衔接端口23。
选择’properties‘
选择useSecuredsocketslayer(SSL)
这里的联接端口自动改为992
选择OK
在消费机上04/03配置一次成功,测试机配置04/04配置成功。
效果剖析:
✧测试机992端口无法激活
现象:
telnet默许运用23〔普通端口〕和992〔ssl通讯端口〕停止通讯。
但在测试机上发现992端口没有处于listening形状。
剖析:
telnet-ssl激活需求以下条件:
⏹telnet效劳启动参数允许启动ssl
⏹系统上装置了5722AC3加密软件
留意5722CE3是为iSeriesClientAccess5.2提供SSL功用的LPP,他的作用仅限于pc客户端。
从iSeriesClientAccess5.3末尾曾经内嵌SSL功用了,5722CE3在5.3曾经被撤销。
即使在5.2上,5722CE3能否装置对telnet-SSL的启动也没有影响
即使在LocalCA的*SYSTEMcertificatestore中没有对TELNET效劳停止认证管理,也不影响Telnet-SSL的启动。
当然不经过*SYSTEMcertificatestore的管理,客户端是无法经过992衔接到400的。
处置方法:
反省telnetserverjob的joblog
从qtvtelnet的joblog开看,telnetserver在启动的时分试图启动992端口,但是启动失败了。
从启动时间看,telnetserver在启动的时分,400还没有装置5722AC3。
也就是不满足telnet-ssl启动的基本条件。
ENDTCPSVR*TELNET=〉STRTCPSVR*TELNET,992端口启动成功。
✧消费机在独自开放*TELNET认证以后,无法从客户端停止SSL认证
依照规范步骤在LocalCA中只开放了TELNET的认证,但是在客户端验证SSL通讯的时分失败。
由于iSeriesClientAccess在停止SSL验证时分,除了要经过telnet通讯以外,还需求经过hostserver与400停止通讯。
从实际上讲至少需求将SIGNONSERVER,SERVERMAP和TELNET都开放,为了方便,我们把*SYSTEM里一切的通讯都停止了localCA的认证。
再次测试,ssl测试成功,客户端衔接也成功。
✧测试机无法经过TELNET的SSL测试
初次测试失败后,将一切的Certificatestore都删除重新配置,效果照旧
反省telnet属性
qtvtelnet作业joblog
从错误现象看,是SSL双方停止在停止证书验证的时分,客户端下载的localCA公钥与400localCA的私钥不婚配。
但是反省证书的内容和发布信息都完全正确。
最后发现是在400DCM的目录下出现了一个合法目录,出现了一个../icss/cert/signing■
应用DLTDIR将有效目录删除。
然后将一切的certificateStore都删除后重新树立,测试衔接成功。
备注:
由于目前的需求只需求telnet通讯加密,我们是依照server双方认证的方法停止配置。
假设要求对客户端也停止认证那么需求停止server和user的双方认证。
升级会员 