1、首創安泰人壽保險SSL配置報告項目人員：王巍 IBM GTS ISS iSeries Support Team 許國鵬首創安泰人壽400管理員時間：4月3號4月4號項目目標：配置生產機(9406-820)和測試機(9406-810)實現net SSL通信實施步驟：1) SSL required LPP 檢查 TCP/IP Connectivity Utilities for iSeries, 5722-TC1 Digital Certificate Manager, 5722-SS1 - Boss Option 34 Cryptographic Access Provider, 5722-AC

2、 x IBMR HTTP Server for iSeries, 5722-DG1 Developer Kit for JavaTM, 5722-JV1 Client Encrj-ption product,5722CE3( 128-bit) iSeries Access 5.2 + Windows XP AVindows 20002) PTF檢查 下而是目前有效的最新版本的5.2版本group PTF listibfl Sydrtoa i Support x PSP - Grog PTPs - Kicrosft Intomet Explorer.臚小:4OSeltiy;文件S iM 春/9

3、收象兇 工人心 雷勒Q9：0 。國圖 & / »* e ： ,，西 j o oGocgtc |G 卜Q®也 blocked 鉉 Chek for Rs Related Mkj食，歸 , Fe«dbackGROUP MjpraH 10209 Jon 2007PGQ%02%2U DB2 IJD« rqg 5CRir5levd 2a25 Oct 2000"2GGroup PJt V1R2HQn 5g Dec 2869:演13; S20 TCP/IP Gro- o PTFLcvd 630 Oct 2006Levd 426 Oct 2006。夕彳

4、必 £2C WebSoere Ado S«rv V6.CLevd 1918 Oec 2006會9夕2州：52CH>ry5?3Lcvd 12Level 614 Act 2006 07 3 200622 O.c 2006奈9夕28C:52c寫"rql bo.g戶乏、Sciyk ,*皿%：S2C W«b£ph«r« App Jrv-r NO VS.lL3 25520 wabSphara App 3fvor VS.l"go/Dqv."巾on)Lfivd 2。22 OflC 2006±9874: 5

5、2C WfibSp*ara App 3rvcr . Ex*qs VS.lLflvd 2222 OflC 2006%：520 WfibSplra App Sarkar - ExfZwM vS.OLfivd 3101 Doc 2006£i=00246： 52C WflbSpfO App 3rv" flO V5X>Lflvd 2401 Oac 200608245: 520 wabSpra App S«far VS.O一。6drtiCA)Lflvd 2801 Doc 2006SF99732 S2CCommerre Quit VS 4 for VSH2M0u*vd S

6、10 g 2006中90172 S2D IBMSH皿2HSLevd 510 3 2005¥99169 S2D A¥A FTP <5RCUPLcvd 2607 Dec 2006泊9166： 02。仝F93166 iGenn Cacnect 2.0 RTF Groua 1 for 丫Lcvd 10B Oct 2005S2D 7/AS Ad/sc8d 4 0 7 £7劫¥£4Levd 9D Oct 2005eFAi4S S2D WAS AC/sc8d 4 0 7 S7?A4Levd 1112 2 2005SF99098： S2D IBM HTT

7、P SERVER FOR 1 EE UESLevd 2015 Sep 286SF99O85，S2D S20 ackUD Rusverv 3KLevd 2B20 Dec 2006SF93391 S2G Pcftc<niarce -Tools fyP7F QnjDLevd 401 Jun 2006R520R510 Iriterol SSL本身并沒有明確地PTF要求,但由于在實施SSL Telnet的過程中涉及TCP/IP. HTTP Digital Certificate Manager, Encryption, Print, Java 和 DB2» iSeries Access

8、等產品，建議26 / 24安裝以下版本的PTF SF99502 level 24 SF99313 1evel6 SF99098 level 20 SF99345 level 5 SF99169 level 26 SF99520 Cum 06080520注：打PTF雖然是系統維護很重要的一個手段，但并不是必需的。在業務和應用允許的條 件下，最好升級到最新的補丁級別。但如果在現有系統的環境下，配置和使用沒有問題（最 好經過嚴格測試），則沒有打PTF的必要。3） DCM配置<1.> 啟動 HTTP Servera) CHGHTTPA CCSID(1381)b) STRTCPSVR *HT

9、TP HTTPSVR(*ADMIN)c) WRKSBSJOB QHTTPSVR,檢查 QHTTPSVR 子系統下作業Work with Subsystem JobsS653924B07/01/18 13:23:06 Subsystem : QHTTPSVRType options, press Enter. 2二Change 3=Hold 4=End 5=Work with 6=Release 7=Display message 8=Work with spooled files 13=DisconnectJobUserTypeStatusFunctionADMINQTMHHTTPBATCHA

10、CTIVEPGM-QZHBHTTPADMINQTNfHHTTPBATCHIACTIVEPGM-QZSRLOGADMINQTMHHTTPBATCHIACTIVEPGM-QZSRHTTP<2. > 登錄 HTTP Admin 管理端口 2001輸入400管理用戶選擇數字證書管理器進入'數字證書管理器主頁面，選擇'創建認證中心輸入有效信息注：這里我們假設從未在400上使用過CA,否則看不到'創建認證中心（CA） '菜單項。如果這時候選擇察看證書存儲庫'選擇繼續修改Local CA策略，這里要求local CA可以頒發用戶證書，由local CA頒發

11、 的證書的有效期為1年（365天）選擇繼續，到此local CA的設置結束，下面是設置*SYSTEM證書存儲庫填入參數，選擇繼續這是非常重要的一頁，在選擇信任*SYSTEM證書的客戶端應用程序的時候，必須 慎重，原則上我們只把需要SSL通訊的應用作上標記。這里我們選擇TELNET, Central, Sign On 3 個 TCP/IP 應用。選擇繼續到此為止，*SYSTEM證書管理器的設置結束，下面開始設置*OBJECTSIGIG填入參數，選擇繼續選擇繼續選擇繼續（telnet已經信任SYSTEMCA）選擇確定這時乂返回到初始界面，所有的local ca和certificate store的

12、配置結束, 系統證書也已經自動生成。4) iSeries Access 酉己置- 安裝SSL 映射215254.121/。舊1/1210(210人400為0網絡目錄 執行iSeries Access的選擇性安裝 選擇安裝目錄為上面映射的網絡目錄 選擇增加SSL功能的安裝- 安裝si27938 Service Pack- 下載System local CA證書 打開操作導航器 選擇400連接 單擊鼠標右鍵，選擇iSeries Access屬性，選擇安全套接字頁面Catelop2 PropertiesGeneral | Connection Secure Sockets | Licenses |

13、Restart | Directory Services | Service | Plug-in5 |Secure Sockets Layer一 廠 11 se Secure Sockets Layer (SSL) for connectiodVerify SSL ConnectionOS/400 Certificate AuthorityFor iSeries Access to trust server certificates signed or created by the 052400Certificate Authority, the 05/400 Certificate Auth

14、ority must be downloaded toIhis PC. Note: Some other Certificate Authorities are provided with iS eries Access and do not need to be downloaded.T。use the OSMOO Certificate Authority, click download.Download0 K | 'cel | Help選擇下載.默認情況下，iSeries Access將使用c:documents and settingsAII UsersDocumentsIBM

15、Client Access'cwbssldf.kdb作為證書管理文件，默認的文件打開口令是ca400.下載證書并更新cwbssldf.kdbCatelop? Properties巨區|General | Connection Secure Sockets | Licenses | Restart | Directory Services | Service | Plug-ins |Secure Sockets Layer廠 U5eSecure S ocket? Layer (SSL) for connectionVerify SSL ConnectionOS MOO Certifica

16、te AuthorityFor iSeries Access to trust server certificates signed or created by the 057400 Certificate Authority, the OS MOO Certificate Authority must be downloaded to this PC. Note: Some other Certificate Authorities are provided with iSeries Access and do not need to be downloaded.To use the 05/

17、400 Certificate .uthoritp, click download.,i Download 才OK | Cancel | Help選擇OKConnectionYou requested to change the current connection properties. All currently running applications must be closed and restarted to use the changed connection settings.OK關閉操作導航器，并從新打開 iSeries NavigatorFile Edit View Hel

18、p看I %電電I X甯|窿ffl 00 minutes oldEnvironment; My Connections1 My Connections) (Ki Management Central (CatelopS)NameSigned On UserDescriptionJicatelopZManage this server.t 1 Catelop29 Cate Io p4Manage this server.十 H Catelop4園 Cate Io p5Manage this server.十窗 Catelop5JML團 Rchasl94Manage this server.十 B

19、Rchasl949 Rchasa41Manage this server.+園 Rchasa41¥ - ffi RchasbdsS RchasbdsManage this server.內.Rchasrch9 RchasrchManage this server.4 團 Rchasslh9 RchasslhManage this server.畫flMy T asks;Environment tasks Add a connectionS Add a connection(2)Install plug-ins& Install additional componentsS C

20、hange all of your server passw8 Open iSeries Navigator service(Z) Install additional components )? Help for related tasksv_|1 - 8 of 8 objects注意，只要host server或telnet實施了ssl配置，在operation navigator里看到的連接圖標會加上 鎖的標記，代表安全連接。打開5250連接默認5250是非安全telnet,連接端口23。選擇'properties 'Connection0®User ID si

21、gnon informalionLhe Opemtions Ndvigdtoi defaultUser ID:SecurityCurrent S ecuri ty: S ecuredUse Operations Navigator defaulte Not secured(- Use Secured Sockets Lay>er (SSL)Client certificate to use:Select certificate when connectinge Use default| OK I Ca一國 | Help選擇use Secured sockets layer(SSL)這里的

22、聯接端口自動改為992PC525OPCSCC041 Because jou have changed the configuration, communication will be terminated if you proceed. Are you sure?OK.CancelHelpHistory Log選擇OK同回國Di Session A 24x80File Edit View Communication Actions Window Help®暗|匾|川贛|畫畫I a|閶色)|副國里|*le|Sign OnSystem Subsystem Display .CATEL0P

23、2QINTERQPADEVO0ONUserPassword .Prog rarn/p rocedu reMenuCurrent Iibrary Use of this system is for IBM management approved purposes onlyNothing classified h ighe r than IBM Confidential is al I owed on this systemUse is subject to audit at any time by IBM management(C) COPYRIGHT IBM CORP. 1980, 2000.

24、a06/053_s|密123 1902 - Session successfully started在生產機上04/03配置次成功，測試機配置04/04配置成功。問題分析：令 測試機992端口無法激活現象：telnet默認使用23 （普通端口）和992 （ssl通訊端口）進行通信。但在測試機上發現992端口沒有處于listening狀態。分析：telnet-ssl激活需要以下條件： telnet服務啟動參數允許啟動ssl 系統上安裝了 5722AC3加密軟件注意5722CE3是為iSeries Client Access 5.2提供SSL功能的LPP.他的作用僅限于pc客戶端。 從iSerie

25、s Client Access 5.3開始已經內嵌SSL功能了，5722CE3在5.3已經被撤銷。即使在 5.2上，5722CE3是否安裝對telnet-SSL的啟動也沒有影響即使在Local CA的*SYSTEM certificate store中沒有對TELNET服務進行認證管理，也不影 響Telnel-SSL的啟動。當然不通過*SYSTEM certificate store的管理，客戶端是無法通過992 連接到400的。解決方法：檢查 telnet server job 的 joblogS reuil Server Jobs - 9. Itl. 159. ItO1>U Yie,

26、 £elp口 II » & Xfi1 3BG03sM MHvt gV5-CwrtntI?心 Dc«vi上依El2 wiftoles «ldnb bsgTa«r。八31Gd StltUEI 54rv«r。3(.OtviviceOtcp1->itioc fer b»e utervd%IJW Device Mmc”20t Gtdeviceg；,litioc f«r b«e)Uervd陽JKT Device IVvrtCer20t& 92。打33，hiQioc fir tiic iiterv

27、cl7EUCT Sn“YzoI Slavic.9 sp，也tiog fir tig ixt«rvuItUtT Davic1 而做”2019 OtvNviCQotep，就tiog f«r t)g ntttrvu兀5T Davies Mr做“CTIS QtrdivictPg，m41d« isr L” axltrvtlIBUKI B«vic« 穴5”“20I9 91心vice9wp1 >&Ud« far 5，ixlccvtlTBUTT B«ric» 穴5“20I.Qtrdavic*9 pitiox f

28、87;r，；, iatecvalTCLTHT Hc Ran»x«r201 Otrd«ric«Qicpitiox f«r (> ixlecvalTCUTT Device Ran«x«r為I> Svd*vieSeHkittDf fir)xtM*v<llEUEC D«vte« 區6，4r201“ Qtvd»vieQt”1 kitte f«r ta«* i&tMTtlISUKl I««vie« Rtr.ter201Qt叩、s“Q

29、0 £»r t>“12U?T lUvtca Auf,20i.OtvdmceOtcp、他Hoc f«r t)e >Mervd%LOT Ifctvice 3”20t> QtvdeviceOtcp，他Hoc fir b»e iJitervd期(JKT fevice ftvcer2019 OivGvIcqOtcp，瓠tiog f«r ()« HKrvd兀5T Z"cq Mr做”E19 OBGBCQOtcp，皿tiog f«r tig JMcrvdreurr Zvicq 八必邛”20I> Otvdiv

30、ic*Ptcp，ul,D« £,4"S7HLm B«v»ct 85”“20I1 - 17 of IT objectS872S9/Qtcp/Qtvtelnet Job L” - 9. 181. 159. 180Die ZiitHelp晉三m少因02 riiwxtos old|Job. qtvtchwt User. Qtcp ftnber； 56TZ59Wossgcc IDVc：Zl；41 ScaxTypa1 SgvqyLwC?DBC8kError oc-rarred ih SSL proce二二匕 chtci: the ermo vaIp。.5+

31、1313.28.33班 30:：“C10弁 CH34O1Fcrrtizsicn dauad.57-1313.28.53仇3?！蹦?0FCPE34O1Pvcmi2sion dwadad.OT-l-1313.28.33Di 嶺m tic10 mi 125Job 587259/Qrcf/Q7mUiET InitudOT-4-1313 28 23Infom幺 tian0 c?Fll24Job 5e72WQrcP?QTVTlU(ET «E>rt.d on 04/13/ff? .1 13:26 23 >u .OT-4-1313:28:23In£amali on0Displa

32、ys th©properU«5 of th« <ilvcta8 5tw./從qtvtelnet的joblog開看，net server在啟動的時候試圖啟動992端口，但是啟動失敗了。從啟動時間看,telnet server在啟動的時候,400還沒有安裝5722AC3。也就是不滿足telnet-ssl 啟動的基本條件。ENDTCPSVR *TELNET=) STRTCPSVR *TELNET> 992 端口啟動成功。令 生產機在單獨開放*TELNET認證以后，無法從客戶端進行SSL認證現象：按照標準步驟在Local CA中只開放了 TELNET的認證，但

33、是在客戶端驗證SSL通訊 的時候失敗。分析：由于iSeries Client Access在進行SSL驗證時候，除了要通過telnet通訊以外，還需要 通過host server與400進行通信。解決方法：從理論上講至少需要將SIGNON SERVER, SERVERMAP和TELNET都開放，為 了方便，我們把*SYSTEM里所有的通信都進行了 local CA的認證。再次測試，ssl測試成 功，客戶端連接也成功。令 測試機無法通過TELNET的SSL測試現象：首次測試失敗后，將所有的Certificate store都刪除從新配置，問題依I日檢查telnet屬性qtvtelnet 作業 j

34、oblog二叵E3467288/Qtcp/Qtvtelnet 作業記裝-53文件函貢脩通五卷&T招所而一 自三F 3區0用戶：qp 不尋：0?288泊艙姥以泊g|瀏詢日_袈田產K世A,CMBCSB? 8t rerokizad or bUlv fsa，ldrcihd.07-C-3 17:% »g i史 Ebc&b041 raeeiiz*<! &r h vHy f &r»1>”*407-4-2 I7:5»i M100CKIBC5BPeer mx recceniw bidly fcTwitted cck卬 r

35、eceded.07-3 1756 10100CK)BC$Bher cwt rccc<nix«d cr badly fc-nittedreceived.07-4-3 17:56 C6100CKIBC5BPew 0M recocnix«d vr badly Fsattedreceived.8-4-3 17:55 S310OCKIBMB?ew DM recc<nix«d vr bi-fly Fwwdd cek對 received.0i-3 I7 S5 <510©CH)8c 邰few MX recc<o.ix*d vr badly Esa

36、ttedreceived.07-VS H：5Q Si10©CMIBC 做Cerlifjc4te 3)es not aee a vd.il fomot0?43 1?:54 4810CKJBCWCwtifigia 加g，not hn a v«li4 f>m«t07-4-3 1?:X 4430cmcsCwtificatG 3)。，not hwg u vd.il £om”.0?-V3 1?:X .我10C&xlifjc3G 3)。，not hw?！?vd.il fomat.07-V3 17:X .石10CartifjC4t6 3，gnot hw?！?/p>

37、 vdii fomal.0?4畤 17:54.3110俁 ernesCdrtiCc3G 3)g，not hw?！?valil Rmat.07-4-3 17:54.2?10伊CTDb匚儀CqtmiG S。，ng hw。u valil fomat.or4P 1LX.2Z20回CJOB匚夬C»xliric«<« 胡” 09t h&T« vsli I £oe2.07-4-3 17：51:6JO-1CTBBCBCCertifies，的" not hw x dil fam>t07-C-3 I7：5C 14100OOBCMC&#

38、187;Tti ficale 的、not hw valt i fam»t07-C-3 I7：5C 10100CHJBC 弘Certifies，da,x not hw s r»li i fam>t07-C-3 I7：5C C6200EJBC 弘Cwii電“ not hw » v*li i famxt07-C-3 I7：5C O?09CTtJBCBCCwrti的、not hw s v»li i fom*t07-C-3 17:53 E610宿 EBC”Csatif；?！?。not »w, a vili i 右Eat07-4-S 17:53 SI1

39、0Ocmc 於Cwtifisienot Aec a v8lil f>E火01-3 17:53 5©100CKIBCSBTew dm recc<D.iz*d vr badly Fwwattedreceived.07-4-3 17:53 5910Oer你U*riif；，A，c 刖。，nftF、力 a 亦1 i，Gea，CK 17 .好mOCKIBC 於Certifisienot bee a v®lti f>E©t014-3 li 5310Ochi8c 做CertificMe 劭" nM hee 6 valii f>E6t0?-4W ILS3 結100CKJ8C 做Certificate dies not 萬we valil C>m©t0?Y3 1?:R2410,CKIBC弘Csrlific3g 3)。，n«t« vdii0?-<-3 17:W 2