1、IBMR Server for iSeries, 5722-DG1 Developer Kit for JavaTM, 5722-JV1Client Encryption product,5722CE3(128-bit)iSeries Access 5.2 + Windows XP /Windows 2000 2)PTF 反省下面是目前有效的最新版本的5.2版本group PTF listSSL自身并没有明白地PTF要求,但由于在实施SSL Telnet的进程中触及TCP/IP, , Digital Certificate Manager, Encryption, Print, Java和DB
2、2,iSeries Access等产品,建议装置以下版本的PTFSF99502 level 24SF99313 level 6SF99098 level 20SF99345 level 5SF99169 level 26SF99520 Cum 06080520注:打PTF虽然是系统维护很重要的一个手腕,但并不是必需的。在业务和运用允许的条件下,最好晋级到最新的补丁级别。但假设在现有系统的环境下,配置和运用没有效果最好经过严厉测试,那么没有打PTF的必要。3)DCM 配置启动 Server a)CHG A CCSID(1381)b)STRTCPSVR * SVR(*ADMIN)c)WRKSBSJ
3、OB Q SVR,反省Q SVR子系统下作业 Work with Subsystem Jobs S653924B 07/01/18 13:23:06 Subsystem . . . . . . . . . . : Q SVR Type options, press Enter. 2=Change 3=Hold 4=End 5=Work with 6=Release 7=Display message 8=Work with spooled files 13=Disconnect Opt Job User Type -Status- Function ADMIN QTMH BATCH ACTIV
4、E PGM-QZHB ADMIN QTMH BATCHI ACTIVE PGM-QZSRLOG ADMIN QTMH BATCHI ACTIVE PGM-QZSR 2.登录 Admin管理端口2001输入400管理用户选择数字证书管理器进入数字证书管理器主页面,选择创立认证中心输入有效信息这里我们假定从未在400上运用过CA,否那么看不到创立认证中心CA菜单项。 假设这时分选择观察证书存储库选择继续修正Local CA战略,这里要求local CA可以颁发用户证书,由local CA颁发的证书的有效期为1年365天选择继续,到此local CA的设置完毕,下面是设置*SYSTEM证书存储库填入
5、参数,选择继续这是十分重要的一页,在选择信任*SYSTEM证书的客户端运用顺序的时分,必需慎重,原那么上我们只把需求SSL通讯的运用作上标志。 这里我们选择TELNET, Central,Sign On 3个TCP/IP运用。到此为止,*SYSTEM证书管理器的设置完毕,下面末尾设置*OBJECTSIGNING选择继续telnet曾经信任SYSTEMCA选择确定这时又前往到初始界面,一切的local ca和certificate store的配置完毕,系统证书也曾经自动生成。4)iSeries Access配置-装置SSL映射/21.5.254.121/QIBM/ProdData/CA400为
6、PC网络目录执行iSeries Access的选择性装置选择装置目录为下面映射的网络目录选择添加SSL功用的装置-装置si27938 Service Pack-下载System local CA证书翻开操作导航器选择400衔接单击鼠标右键,选择iSeries Access属性,选择平安套接字页面选择下载.默许状况下,iSeries Access将运用c:documents and settingsAll UsersDocumentsIBMClient Accesscwbssldf.kdb作为证书管理文件,默许的文件打启齿令是ca400. 下载证书并更新cwbssldf.kdb选择 OK封锁操作
7、导航器,偏重新翻开留意,只需host server或telnet实施了ssl配置,在operation navigator里看到的衔接图标会加上锁的标志,代表平安衔接。翻开5250衔接 默许5250是非平安telnet,衔接端口23。 选择properties选择use Secured sockets layer(SSL)这里的联接端口自动改为992选择OK在消费机上04/03配置一次成功,测试机配置04/04配置成功。效果剖析:测试机992端口无法激活现象:telnet默许运用23普通端口和992ssl通讯端口停止通讯。但在测试机上发现992端口没有处于listening 形状。剖析:tel
8、net-ssl激活需求以下条件:telnet 效劳启动参数允许启动ssl系统上装置了5722AC3加密软件留意5722CE3是为iSeries Client Access 5.2提供SSL功用的LPP, 他的作用仅限于pc客户端。从iSeries Client Access 5.3末尾曾经内嵌SSL功用了,5722CE3在5.3曾经被撤销。即使在5.2上,5722CE3能否装置对telnet-SSL的启动也没有影响即使在Local CA的*SYSTEM certificate store中没有对TELNET效劳停止认证管理,也不影响Telnet-SSL的启动。当然不经过*SYSTEM cert
9、ificate store的管理,客户端是无法经过992衔接到400的。处置方法:反省telnet server job的joblog从qtvtelnet的joblog开看,telnet server在启动的时分试图启动992端口,但是启动失败了。从启动时间看,telnet server在启动的时分,400还没有装置5722AC3。也就是不满足telnet-ssl启动的基本条件。 ENDTCPSVR *TELNET =STRTCPSVR *TELNET, 992端口启动成功。消费机在独自开放*TELNET认证以后,无法从客户端停止SSL认证依照规范步骤在Local CA中只开放了TELNET的
10、认证,但是在客户端验证SSL通讯的时分失败。由于iSeries Client Access在停止SSL验证时分,除了要经过telnet通讯以外,还需求经过host server与400停止通讯。从实际上讲至少需求将SIGNON SERVER, SERVERMAP和TELNET都开放,为了方便,我们把*SYSTEM里一切的通讯都停止了local CA的认证。再次测试,ssl测试成功,客户端衔接也成功。测试机无法经过TELNET的SSL测试初次测试失败后,将一切的Certificate store都删除重新配置,效果照旧反省telnet属性qtvtelnet作业joblog从错误现象看,是SSL双方停止在停止证书验证的时分,客户端下载的local CA公钥与400 local CA的私钥不婚配。 但是反省证书的内容和发布信息都完全正确。最后发现是在400 DCM的目录下出现了一个合法目录,出现了一个./icss/cert/signing应用DLTDIR将有效目录删除。 然后将一切的certificate Store都删除后重新树立,测试衔接成功。备注:由于目前的需求只需求telnet通讯加密,我们是依照server双方认证的方法停止配置。 假设要求对客户端也停止认证那么需求停止server和user的双方认证。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1