首创安泰人寿保险SSL配置报告文档格式.docx

1、IBMR Server for iSeries, 5722-DG1 Developer Kit for JavaTM, 5722-JV1Client Encryption product,5722CE3（128-bit）iSeries Access 5.2 + Windows XP /Windows 2000 2）PTF 反省下面是目前有效的最新版本的5.2版本group PTF listSSL自身并没有明白地PTF要求，但由于在实施SSL Telnet的进程中触及TCP/IP, , Digital Certificate Manager, Encryption, Print, Java和DB

2、2，iSeries Access等产品，建议装置以下版本的PTFSF99502 level 24SF99313 level 6SF99098 level 20SF99345 level 5SF99169 level 26SF99520 Cum 06080520注：打PTF虽然是系统维护很重要的一个手腕，但并不是必需的。在业务和运用允许的条件下，最好晋级到最新的补丁级别。但假设在现有系统的环境下，配置和运用没有效果最好经过严厉测试，那么没有打PTF的必要。3）DCM 配置启动 Server a）CHG A CCSID（1381）b）STRTCPSVR * SVR（*ADMIN）c）WRKSBSJ

3、OB Q SVR,反省Q SVR子系统下作业 Work with Subsystem Jobs S653924B 07/01/18 13:23:06 Subsystem . . . . . . . . . . : Q SVR Type options, press Enter. 2=Change 3=Hold 4=End 5=Work with 6=Release 7=Display message 8=Work with spooled files 13=Disconnect Opt Job User Type -Status- Function ADMIN QTMH BATCH ACTIV

4、E PGM-QZHB ADMIN QTMH BATCHI ACTIVE PGM-QZSRLOG ADMIN QTMH BATCHI ACTIVE PGM-QZSR 2.登录 Admin管理端口2001输入400管理用户选择数字证书管理器进入数字证书管理器主页面,选择创立认证中心输入有效信息这里我们假定从未在400上运用过CA，否那么看不到创立认证中心CA菜单项。 假设这时分选择观察证书存储库选择继续修正Local CA战略，这里要求local CA可以颁发用户证书，由local CA颁发的证书的有效期为1年365天选择继续，到此local CA的设置完毕，下面是设置*SYSTEM证书存储库填入

5、参数，选择继续这是十分重要的一页，在选择信任*SYSTEM证书的客户端运用顺序的时分，必需慎重，原那么上我们只把需求SSL通讯的运用作上标志。 这里我们选择TELNET, Central,Sign On 3个TCP/IP运用。到此为止，*SYSTEM证书管理器的设置完毕，下面末尾设置*OBJECTSIGNING选择继续telnet曾经信任SYSTEMCA选择确定这时又前往到初始界面，一切的local ca和certificate store的配置完毕，系统证书也曾经自动生成。4）iSeries Access配置-装置SSL映射/21.5.254.121/QIBM/ProdData/CA400为

6、PC网络目录执行iSeries Access的选择性装置选择装置目录为下面映射的网络目录选择添加SSL功用的装置-装置si27938 Service Pack-下载System local CA证书翻开操作导航器选择400衔接单击鼠标右键，选择iSeries Access属性，选择平安套接字页面选择下载.默许状况下，iSeries Access将运用c:documents and settingsAll UsersDocumentsIBMClient Accesscwbssldf.kdb作为证书管理文件，默许的文件打启齿令是ca400. 下载证书并更新cwbssldf.kdb选择 OK封锁操作

7、导航器，偏重新翻开留意，只需host server或telnet实施了ssl配置，在operation navigator里看到的衔接图标会加上锁的标志，代表平安衔接。翻开5250衔接 默许5250是非平安telnet，衔接端口23。 选择properties选择use Secured sockets layer（SSL）这里的联接端口自动改为992选择OK在消费机上04/03配置一次成功，测试机配置04/04配置成功。效果剖析：测试机992端口无法激活现象：telnet默许运用23普通端口和992ssl通讯端口停止通讯。但在测试机上发现992端口没有处于listening 形状。剖析：tel

8、net-ssl激活需求以下条件：telnet 效劳启动参数允许启动ssl系统上装置了5722AC3加密软件留意5722CE3是为iSeries Client Access 5.2提供SSL功用的LPP, 他的作用仅限于pc客户端。从iSeries Client Access 5.3末尾曾经内嵌SSL功用了，5722CE3在5.3曾经被撤销。即使在5.2上，5722CE3能否装置对telnet-SSL的启动也没有影响即使在Local CA的*SYSTEM certificate store中没有对TELNET效劳停止认证管理，也不影响Telnet-SSL的启动。当然不经过*SYSTEM cert

9、ificate store的管理，客户端是无法经过992衔接到400的。处置方法：反省telnet server job的joblog从qtvtelnet的joblog开看，telnet server在启动的时分试图启动992端口，但是启动失败了。从启动时间看，telnet server在启动的时分，400还没有装置5722AC3。也就是不满足telnet-ssl启动的基本条件。 ENDTCPSVR *TELNET =STRTCPSVR *TELNET， 992端口启动成功。消费机在独自开放*TELNET认证以后，无法从客户端停止SSL认证依照规范步骤在Local CA中只开放了TELNET的

10、认证，但是在客户端验证SSL通讯的时分失败。由于iSeries Client Access在停止SSL验证时分，除了要经过telnet通讯以外，还需求经过host server与400停止通讯。从实际上讲至少需求将SIGNON SERVER, SERVERMAP和TELNET都开放，为了方便，我们把*SYSTEM里一切的通讯都停止了local CA的认证。再次测试，ssl测试成功，客户端衔接也成功。测试机无法经过TELNET的SSL测试初次测试失败后，将一切的Certificate store都删除重新配置，效果照旧反省telnet属性qtvtelnet作业joblog从错误现象看，是SSL双方停止在停止证书验证的时分，客户端下载的local CA公钥与400 local CA的私钥不婚配。 但是反省证书的内容和发布信息都完全正确。最后发现是在400 DCM的目录下出现了一个合法目录，出现了一个./icss/cert/signing应用DLTDIR将有效目录删除。 然后将一切的certificate Store都删除后重新树立，测试衔接成功。备注：由于目前的需求只需求telnet通讯加密，我们是依照server双方认证的方法停止配置。 假设要求对客户端也停止认证那么需求停止server和user的双方认证。