IBM i-Host für SSL konfigurieren

Informationen zu diesem Vorgang

Diese Schritte zeigen die Konfiguration eines IBM® i-Hosts für die Ausführung von Secure Sockets Layer (SSL) als Zertifizierungsstelle für selbst signierte Zertifikate. Sie können mit Digital Certificate Manager (DCM) und IBM HTTP Server for i digitale Zertifikate für Ihr Netz verwalten und mithilfe von SSL die sichere Kommunikation ermöglichen.
Anmerkung: Falls noch nicht geschehen, installieren Sie DCM (Option 34 des Basisbetriebssystems). Weitere Informationen zu den Installationsvoraussetzungen für DCM finden Sie im Information Center für Ihr Release unter http://publib.boulder.ibm.com/eserver/ibmi.html.

Vorgehensweise

  1. Gehen Sie wie folgt vor, um die Webseite für DCM zu öffnen:
    1. Öffnen Sie einen Browser auf Ihrem PC und geben Sie folgende URL ein:
       http://[Ihr_iSystem]:2001
      Anmerkung: Sie müssen möglicherweise den HTTP Admin Server mit folgender Eingabe starten, falls er auf dem Host noch nicht gestartet wurde:
       strtcpsvr server(*HTTP) httpsvr(*admin)
    2. Geben Sie für die Anmeldung bei der Webseite Ihre Benutzer-ID und Ihr Kennwort für den Host an. Jetzt sollte die Einführungsseite für IBM Systems Director Navigator for i angezeigt werden.
    3. Klicken Sie auf der Einführungsseite auf den Link für die IBM i-Taskseite.
    4. Klicken Sie auf den Link für Digital Certificate Manager.
    5. Geben Sie Ihre Benutzer-ID und Ihr Kennwort erneut ein.
    6. Jetzt sollte eine Webseite für Digital Certificate Manager angezeigt werden.
      Anmerkung: Sie können die DCM-Webseite auch anzeigen, indem Sie auf den Link IBM i Management > Internet Configurations im Teilfenster auf der linken Seite und dann auf den Link Digital Certificate Manager auf der Seite Internet Configurations klicken.
  2. Als Nächstes erstellen wir einen Zertifikatsspeicher des Typs *SYSTEM auf dem Host, unter der Voraussetzung, dass noch keiner vorhanden ist. Hierbei handelt es sich um eine Datei, die zur Speicherung und Verwaltung der in nachfolgenden Schritten erstellten Zertifikate verwendet wird. Die Zertifikatsspeicherdatei verfügt über ein eigenes Kennwort für die Zugriffssteuerung:
    1. Klicken Sie im Teilfenster auf der linken Seite auf Create New Certificate Store (Neuen Zertifikatsspeicher erstellen).
    2. Wählen Sie *SYSTEM aus. Wird *SYSTEM nicht angezeigt, ist möglicherweise bereits ein Zertifikatsspeicher vorhanden. Gehen Sie in diesem Fall zu dem Schritt, in dem das Zertifikat einer Zertifizierungsstelle für den Host angezeigt und exportiert wird.
    3. Klicken Sie auf Continue (Weiter).
    4. Wählen Sie No - Do not create a certificate in the certificate store (Kein Zertifikat im Zertifikatsspeicher erstellen) aus.
    5. Klicken Sie auf Continue (Weiter).
    6. Legen Sie das Kennwort für Zertifikatsspeicher (Certificate store password:) und das Bestätigungskennwort (Confirm password:) fest.
    7. Klicken Sie auf Continue (Weiter).
    8. Die folgende Nachricht sollte angezeigt werden: The certificate store has been created (Der Zertifikatsspeicher wurde erstellt).
  3. Als Nächstes erstellen wir ein Zertifikat einer Zertifizierungsstelle für den Host:
    1. Klicken Sie im Teilfenster auf der linken Seite auf Create a Certificate Authority (CA) (Zertifizierungsstelle erstellen).
    2. Geben Sie das im vorangegangenen Abschnitt bei der Erstellung des Zertifikatsspeichers definierte Kennwort für Zertifikatsspeicher (Certificate store password:) und das Bestätigungskennwort (Confirm password:) ein.
    3. Geben Sie als Namen der Zertifizierungsstelle (Certificate Authority (CA) name: den Wert Ihrer Systemdomäne (system.domain) in Kleinbuchstaben an: Beispiel:
      host001.dept2.corp123.com
    4. Geben Sie Werte in den erforderlichen Feldern an: Organization name, State or province, Country.
    5. Legen Sie den Gültigkeitszeitraum der Zertifizierungsstelle (Validity period of Certificate Authority) fest. Maximal "7300" Tage sind zulässig.
    6. Jetzt können Sie das Zertifikat in Ihrem Browser installieren. Klicken Sie hierfür auf den Link Install certificate (Zertifikat installieren). Sie können alle Kästchen bei "Trust this..." auswählen und dann auf OK klicken.
    7. Klicken Sie auf Continue (Weiter), um die Seite Certificate Authority (CA) Policy Data (Richtliniendaten der Zertifizierungsstelle) aufzurufen.
    8. Wählen Sie No bei Allow creation of user certificates: (Erstellung von Benutzerzertifikaten zulassen) aus.
    9. Geben Sie bei Validity period of certificates that are issued by this Certificate Authority (CA) (1-2000): (Gültigkeitsdauer der Zertifikate, die durch diese Zertifizierungsstelle ausgestellt wurden (1-2000 Tage)) einen Wert zwischen 1 und 2000 Tagen an.
    10. Klicken Sie auf Continue (Weiter).
    11. Wählen Sie alle Anwendungen, die diese Zertifizierungsstelle enthalten sollen, in der Anerkennungsliste für Anwendungszertifizierungsstellen aus.
    12. Folgende Nachricht sollte angezeigt werden: The applications you selected will trust this Certificate Authority (CA) (Die ausgewählten Anwendungen akzeptieren diese Zertifizierungsstelle).
    13. Klicken Sie auf Continue (Weiter), um die Erstellung der Zertifizierungsstelle zu beenden.
    14. Auf der Webseite wird jetzt Create an Object Signing Certificate (Objektsignierzertifikat erstellen) angezeigt. Klicken Sie auf Cancel (Abbrechen), da dies momentan nicht erforderlich ist.
  4. Als Nächstes zeigen wir das Zertifikat der Zertifizierungsstelle für den Host an und exportieren es:
    1. Klicken Sie auf die Schaltfläche Select a Certificate Store (Zertifikatsspeicher auswählen) im Teilfenster auf der linken Seite.
    2. Wählen Sie *SYSTEM aus.
    3. Klicken Sie auf Continue (Weiter).
    4. Geben Sie das Kennwort für den Zertifikatsspeicher ein.
    5. Klicken Sie auf den Link Manage Certificates > View Certificate (Zertifikate verwalten -> Zertifikat anzeigen) im Teilfenster auf der linken Seite.
    6. Wählen Sie Certificate Authority (CA) (Zertifizierungsstelle) - View a Certificate Authority certificate (Zertifikat einer Zertifizierungsstelle anzeigen) aus.
    7. Klicken Sie auf Continue (Weiter).
    8. Überprüfen Sie, ob LOCAL_CERTIFICATE _AUTHORITY_... aufgeführt ist. Sie können es anzeigen, um Ihre Eingaben zu überprüfen.
  5. Exportieren Sie das Zertifikat einer Zertifizierungsstelle in das IFS (integriertes Dateisystem):
    1. Klicken Sie auf den Link Manage Certificates > Export Certificate (Zertifikate verwalten -> Zertifikat exportieren) im Teilfenster auf der linken Seite.
    2. Wählen Sie Certificate Authority (CA) (Zertifizierungsstelle) - Export a Certificate Authority (CA) certificate to another certificate store or to a file for use on another system (Zertifikat einer Zertifizierungsstelle in einen anderen Zertifikatsspeicher oder in eine Datei für die Verwendung in einem anderen System exportieren) aus.
    3. Klicken Sie auf Continue (Weiter).
    4. Wählen Sie LOCAL_CERTIFICATE _AUTHORITY_... aus.
    5. Klicken Sie auf die Schaltfläche Export.
    6. Wählen Sie File - Export to a file (Datei - In eine Datei exportieren) aus. Dann können Sie die Datei an ein anderes System senden und das Zertifikat in einen vorhandenen Zertifikatsspeicher importieren.
    7. Klicken Sie auf Continue (Weiter).
    8. Geben Sie den Namen einer IFS-Datei ein, in die das Zertifikat exportiert werden soll. Zum Beispiel:
      /tmp/myhostCA.cer
      Sie müssen einen vorhandenen IFS-Verzeichnispfad eingeben. Andernfalls schlägt der Export fehl.
    9. Klicken Sie auf Continue (Weiter).
    10. Es sollte die Nachricht angezeigt werden, dass Ihre Datei an die Position im IFS exportiert wurde.
      Anmerkung: Diese Zertifikatsdatei wird zur Registrierung des Zertifikats für den Rational Developer for Power-Client lokal auf dem PC benötigt. Die Datei sollte nicht als Binärdatei, sondern als Textdatei übertragen werden, so dass sie ordnungsgemäß von EBCDIC in ASCII konvertiert wird. Wenn Sie die Datei mit Remote System Explorer in Rational Developer for Power Systems Software kopieren wollen, müssen Sie zunächst Text als Dateiübertragungsmodus für *.cer-Dateien festlegen. Wählen Sie hierfür Fenster > Vorgaben und dann Ferne Systeme > Dateien aus. Klicken Sie anschließend auf Hinzufügen..., um den Dateiübertragungsmodus für *.cer-Dateien hinzuzufügen.
  6. Erstellen Sie ein Zertifikat auf dem Host, das die Serveranwendungen verwenden sollen:
    1. Wählen Sie den Link Create certificate (Zertifikat erstellen) im Teilfenster auf der linken Seite aus.
    2. Wählen Sie Server or client certificate (Server- oder Clientzertifikat) aus.
    3. Klicken Sie auf Continue (Weiter).
    4. Wählen Sie Local Certificate Authority (CA) (Lokale Zertifizierungsstelle) aus.
    5. Klicken Sie auf Continue (Weiter).
    6. Geben Sie für Key Size: (Schlüsselgröße) die gewünschte Verschlüsselungsgröße an.
    7. Weisen Sie dem Zertifikat eine Bezeichnung Ihrer Wahl zu.
    8. Weisen Sie dem Zertifikat einen allgemeinen Namen Ihrer Wahl zu.
    9. Geben Sie Werte in den erforderlichen Feldern an: Organization name, State or province, Country.
    10. Klicken Sie auf Continue (Weiter). Es sollte die Nachricht angezeigt werden, dass das Zertifikat erstellt wurde.
    11. Wählen Sie alle Anwendungen aus, die dieses Zertifikat verwenden sollen.
    12. Klicken Sie auf Continue (Weiter). Es kann eine Bestätigungsnachricht angezeigt werden, dass die ausgewählten Anwendungen das Zertifikat verwenden werden.
    13. Klicken Sie auf OK.
    14. Damit ist die Hostkonfiguration beendet. Jetzt sollten Sie eine Verbindung über SSL herstellen können, wenn Sie den Rational Developer for Power Systems Software-Client für sichere Verbindungen konfiguriert haben.

Feedback