首创安泰人寿保险SSL配置报告.doc

首创安泰人寿保险SSL配置报告项目人员：王巍 IBM GTS ISS iSeries Support Team 许国鹏 首创安泰人寿400管理员时间：4月3号 4月4号项目目标：配置生产机(9406-820)和测试机（9406-810）实现telnet SSL通信实施步骤：1) SSL required LPP检查l TCP/IP Connectivity Utilities for iSeries, 5722-TC1 l Digital Certificate Manager, 5722-SS1 - Boss Option 34 l Cryptographic Access Provider, 5722-AC x l IBMR HTTP Server for iSeries, 5722-DG1 l Developer Kit for JavaTM, 5722-JV1l Client Encryption product,5722CE3(128-bit)l iSeries Access 5.2 + Windows XP /Windows 2000 2) PTF 检查l 下面是目前有效的最新版本的5.2版本group PTF listl SSL本身并没有明确地PTF要求，但由于在实施SSL Telnet的过程中涉及TCP/IP, HTTP, Digital Certificate Manager, Encryption, Print, Java和DB2，iSeries Access等产品，建议安装以下版本的PTFn SF99502 level 24n SF99313 level 6n SF99098 level 20n SF99345 level 5n SF99169 level 26n SF99520 Cum 06080520注：打PTF虽然是系统维护很重要的一个手段，但并不是必需的。在业务和应用允许的条件下，最好升级到最新的补丁级别。但如果在现有系统的环境下，配置和使用没有问题（最好经过严格测试），则没有打PTF的必要。3) DCM 配置 启动HTTP Server a) CHGHTTPA CCSID(1381)b) STRTCPSVR *HTTP HTTPSVR(*ADMIN)c) WRKSBSJOB QHTTPSVR,检查QHTTPSVR子系统下作业 Work with Subsystem Jobs S653924B 07/01/18 13:23:06 Subsystem . . . . . . . . . . : QHTTPSVR Type options, press Enter. 2=Change 3=Hold 4=End 5=Work with 6=Release 7=Display message 8=Work with spooled files 13=Disconnect Opt Job User Type -Status- Function ADMIN QTMHHTTP BATCH ACTIVE PGM-QZHBHTTP ADMIN QTMHHTTP BATCHI ACTIVE PGM-QZSRLOG ADMIN QTMHHTTP BATCHI ACTIVE PGM-QZSRHTTP 登录HTTP Admin管理端口2001输入400管理用户选择数字证书管理器进入数字证书管理器主页面,选择创建认证中心输入有效信息注：这里我们假设从未在400上使用过CA，否则看不到创建认证中心（CA）菜单项。 如果这时候选择察看证书存储库选择继续修改Local CA策略，这里要求local CA可以颁发用户证书，由local CA颁发的证书的有效期为1年（365天）选择继续，到此local CA的设置结束，下面是设置*SYSTEM证书存储库填入参数，选择继续这是非常重要的一页，在选择信任*SYSTEM证书的客户端应用程序的时候，必须慎重，原则上我们只把需要SSL通讯的应用作上标记。 这里我们选择TELNET, Central,Sign On 3个TCP/IP应用。选择继续到此为止，*SYSTEM证书管理器的设置结束，下面开始设置*OBJECTSIGNING填入参数，选择继续选择继续选择继续（telnet已经信任SYSTEMCA）选择确定这时又返回到初始界面，所有的local ca和certificate store的配置结束，系统证书也已经自动生成。4) iSeries Access配置- 安装SSLn 映射/21/QIBM/ProdData/CA400为PC网络目录n 执行iSeries Access的选择性安装n 选择安装目录为上面映射的网络目录n 选择增加SSL功能的安装- 安装si27938 Service Pack- 下载System local CA证书n 打开操作导航器n 选择400连接n 单击鼠标右键，选择iSeries Access属性，选择安全套接字页面选择下载.默认情况下，iSeries Access将使用c:documents and settingsAll UsersDocumentsIBMClient Accesscwbssldf.kdb作为证书管理文件，默认的文件打开口令是ca400. 下载证书并更新cwbssldf.kdb选择 OK关闭操作导航器，并从新打开注意，只要host server或telnet实施了ssl配置，在operation navigator里看到的连接图标会加上锁的标记，代表安全连接。打开5250连接 默认5250是非安全telnet，连接端口23。 选择properties 选择use Secured sockets layer(SSL)这里的联接端口自动改为992选择OK在生产机上04/03配置一次成功，测试机配置04/04配置成功。问题分析： 测试机992端口无法激活现象：telnet默认使用23（普通端口）和992（ssl通讯端口）进行通信。但在测试机上发现992端口没有处于listening 状态。分析：telnet-ssl激活需要以下条件：n telnet 服务启动参数允许启动ssln 系统上安装了5722AC3加密软件注意5722CE3是为iSeries Client Access 5.2提供SSL功能的LPP, 他的作用仅限于pc客户端。从iSeries Client Access 5.3开始已经内嵌SSL功能了，5722CE3在5.3已经被撤销。即使在5.2上，5722CE3是否安装对telnet-SSL的启动也没有影响即使在Local CA的*SYSTEM certificate store中没有对TELNET服务进行认证管理，也不影响Telnet-SSL的启动。当然不通过*SYSTEM certificate store的管理，客户端是无法通过992连接到400的。解决方法：检查telnet server job的joblog从qtvtelnet的joblog开看，telnet server在启动的时候试图启动992端口，但是启动失败了。从启动时间看，telnet server在启动的时候，400还没有安装5722AC3。也就是不满足telnet-ssl启动的基本条件。 ENDTCPSVR *TELNET =STRTCPSVR *TELNET， 992端口启动成功。 生产机在单独开放*TELNET认证以后，无法从客户端进行SSL认证现象：按照标准步骤在Local CA中只开放了TELNET的认证，但是在客户端验证SSL通讯的时候失败。分析：由于iSeries Client Access在进行SSL验证时候，除了要通过telnet通讯以外，还需要通过host server与400进行通信。解决方法：从理论上讲至少需要将SIGNON SERVER, SERVERMAP和TELNET都开放，为了方便，我们把*SYSTEM里所有的通信都进行了local CA的认证。再次测试，ssl测试成功，客户端连接也成功。 测试机无法通过TELNET的SSL测试现象：首次测试失败后，将所有的Certificate store都删除从新配置，问题依旧检查telnet属性qtvtelnet作业joblog从错误现象看，是SSL双方进行在进行证书验证的时候，客户端下载的local CA公钥与400 local CA的私钥不匹配。 但是检查证书的内容和发布信息都完全正确。最后发现是在400