Configuration d'un hôte IBM i pour SSL

Pourquoi et quand exécuter cette tâche

Les étapes suivantes vous permettent de configurer un hôte IBM® i pour exécuter SSL (Secure Sockets Layer) en tant qu'autorité de certification autosignée. Le gestionnaire de certificats numériques (DCM) et IBM HTTP Server for i vous permettent de gérer des certificats numériques pour votre réseau et d'utiliser SSL pour activer les communications sécurisées.
Remarque : S'il n'est pas installé, installez le gestionnaire DCM (option 34 du système d'exploitation de base). Pour plus d'informations sur la configuration DCM requise, voir le centre de documentation pour votre version à l'adresse http://publib.boulder.ibm.com/eserver/ibmi.html.

Procédure

  1. Ces étapes vous permettent d'accéder à la page Web de DCM :
    1. Ouvrez un navigateur sur votre PC et demandez l'URL :
       http://[votre_système]:2001
      Remarque : Vous devrez peut-être démarrer le serveur d'administration HTTP s'il n'est pas déjà démarré sur l'hôte, en lançant la commande suivante :
       strtcpsvr server(*HTTP) httpsvr(*admin)
    2. Indiquez l'ID utilisateur et le mot de passe de l'hôte pour vous connecter à la page Web. La page de bienvenue dans IBM Systems Director Navigator for i apparaît.
    3. Cliquez sur le lien de page de tâches IBM i dans la page de bienvenue.
    4. Cliquez sur le lien de gestionnaire de certificats numériques.
    5. Entrez à nouveau votre ID utilisateur et votre mot de passe.
    6. La page Web du gestionnaire de certificats numériques devrait apparaître.
      Remarque : Vous pouvez également accéder à la page Web du gestionnaire DCM en cliquant sur le lien IBM i Management > Internet Configurations dans le panneau gauche, puis en cliquant sur le lien Digital Certificate Manager dans la page Internet Configurations.
  2. Créez ensuite un magasin de certificats de type *SYSTEM sur l'hôte, si aucun magasin de ce type n'existe. Ce fichier permet de stocker et de gérer les certificats créés au cours des étapes suivantes. Le fichier de magasin de certificats est protégé par un mot de passe propre :
    1. Dans le panneau gauche, cliquez sur le lien Create New Certificate Store.
    2. Sélectionnez *SYSTEM. Si *SYSTEM n'apparaît pas, cela signifie qu'un magasin de certificats a peut-être déjà été créé. Dans ce cas, passez à l'étape de visualisation et d'exportation du certificat de l'autorité de certification de l'hôte.
    3. Cliquez sur Continuer.
    4. Sélectionnez No - Do not create a certificate in the certificate store.
    5. Cliquez sur Continue.
    6. Définissez Certificate store password: et Confirm password:.
    7. Cliquez sur Continue.
    8. Le message suivant devrait apparaître : The certificate store has been created.
  3. Créez ensuite un certificat de l'autorité de certification pour l'hôte :
    1. Dans le panneau gauche, cliquez sur le lien Create a Certificate Authority.
    2. Définissez Certificate store password: et Confirm password: avec les valeurs indiquées dans la section précédente lors de la création du magasin de certificats.
    3. Définissez Certificate Authority (CA) name: par la valeur en minuscules de votre domaine.système. Par exemple :
      host001.dept2.corp123.com
    4. Définissez les zones requises : Organization name, State or province, Country.
    5. Définissez Validity period of Certificate Authority. Vous pouvez indiquer un nombre de jours maximum de "7300".
    6. Vous pouvez à présent installer le certificat dans votre navigateur en cliquant sur le lien Install certificate. Vous pouvez cocher toutes les cases sur "Trust this...", puis cliquer sur OK.
    7. Cliquez sur Continue par passer à la page Certificate Authority (CA) Policy Data.
    8. Sélectionnez No pour Allow creation of user certificates:.
    9. Définissez Validity period of certificates that are issued by this Certificate Authority (CA) (1-2000): par une valeur comprise entre "1" et "2000" jours.
    10. Cliquez sur Continue.
    11. Sélectionnez toutes les applications qui doivent inclure cette autorité de certification dans la liste sécurisée de l'autorité de certification de l'application.
    12. Le message suivant devrait apparaître : The applications you selected will trust this Certificate Authority (CA).
    13. Cliquez sur Continue pour terminer la création de l'autorité de certification.
    14. La page Web affiche à présent Create an Object Signing Certificate. Cliquez sur Cancel car cette étape n'est pas nécessaire à ce stade.
  4. Affichez et exportez à présent le certificat de l'autorité de certification pour l'hôte :
    1. Cliquez sur le bouton Select a Certificate Store, dans le panneau gauche.
    2. Sélectionnez *SYSTEM
    3. Cliquez sur Continue.
    4. Entrez le mot de passe du magasin de certificats.
    5. Cliquez sur le lien Manage Certificates > View Certificate dans le panneau gauche.
    6. Sélectionnez Certificate Authority (CA) - View a Certificate Authority (CA) certificate.
    7. Cliquez sur Continue.
    8. Vérifiez que LOCAL_CERTIFICATE _AUTHORITY_... apparaît. Vous pouvez l'afficher pour vérifier les données que vous avez entrées.
  5. Exportez le certificat de l'autorité de certification dans un fichier du système de fichiers intégré :
    1. Cliquez sur les liens Manage Certificates > Export certificate dans le panneau gauche.
    2. Sélectionnez Certificate Authority (CA) - Export a Certificate Authority (CA) certificate to another certificate store or to a file for use on another system.
    3. Cliquez sur Continue.
    4. Sélectionnez LOCAL_CERTIFICATE _AUTHORITY_...
    5. Cliquez sur le bouton Export.
    6. Sélectionnez File - Export to a file. Vous pouvez ensuite envoyer le fichier vers un autre système et importer le certificat dans un magasin de certificats existant.
    7. Cliquez sur Continue.
    8. Entrez un nom de fichier du système de fichiers intégré afin d'y exporter le certificat, par exemple :
      /tmp/myhostCA.cer
      Veillez à entrer un chemin de répertoire du système de fichiers intégré existant, faute de quoi l'exportation échoue.
    9. Cliquez sur Continue.
    10. Un message indiquant que votre fichier a été exporté dans l'emplacement du système de fichiers intégré devrait apparaître.
      Remarque : Ce fichier certificat sera requis localement sur le PC pour l'enregistrement du certificat auprès du client Rational Developer for Power. Le fichier doit être transféré en tant que fichier texte afin d'être correctement converti d'EBCDIC en ASCII et non pas transféré en tant que fichier binaire. Si vous souhaitez utiliser l'Explorateur de systèmes distants dans Rational Developer for Power Systems Software pour copier le fichier, vous devez d'abord définir le mode de transfert des fichiers *.cer par Texte. Pour ce faire, sélectionnez Fenêtre > Préférences, puis sélectionnez Systèmes distants > Fichiers et cliquez sur Ajouter... pour ajouter le mode de transfert de fichiers pour les fichiers *.cer.
  6. Créez un certificat sur l'hôte devant être utilisé par les applications serveur :
    1. Sélectionnez le lien Create certificate dans le panneau gauche.
    2. Sélectionnez Server or client certificate.
    3. Cliquez sur Continue.
    4. Sélectionnez Local Certificate Authority (CA).
    5. Cliquez sur Continue.
    6. Définissez Key Size: par la taille de chiffrement souhaitée.
    7. Attribuez au certificat le libellé de votre choix.
    8. Attribuez au certificat le nom usuel de votre choix.
    9. Définissez les zones requises : Organization name, State or province, Country.
    10. Cliquez sur Continue. Un message indiquant que le certificat a été créé devrait apparaître.
    11. Sélectionnez toutes les applications qui doivent utiliser ce certificat.
    12. Cliquez sur Continue. Un message de confirmation devrait vous informer que les applications que vous avez sélectionnées utiliseront le certificat.
    13. Cliquez sur OK.
    14. Vous avez terminé la configuration de l'hôte et vous devriez à présent pouvoir vous connecter sur SSL après avoir configuré le client Rational Developer for Power Systems Software pour les connexions sécurisées.

Commentaires en retour