首创安泰人寿保险SSL配置报告

首创安泰人寿保险SSL配置报告项目人员：王巍IBMGTSISSiSeriesSupportTeam许国鹏首创安泰人寿400管理员时间：4月3号~4月4号项目目标：配置生产机(9406-820)和测试机（9406-810）实现telnetSSL通信实施步骤：1)SSLrequiredLPP检查TCP/IPConnectivityUtilitiesforiSeries,5722-TC1DigitalCertificateManager,5722-SS1-BossOption34CryptographicAccessProvider,5722-ACxIBMRHTTPServerforiSeries,5722-DG1DeveloperKitforJavaTM,5722-JV1ClientEncryptionproduct,5722CE3(128-bit)iSeriesAccess5.2+WindowsXP/Windows20002)PTF检查下面是目前有效的最新版本的5.2版本groupPTFlistSSL本身并没有明确地PTF要求，但由于在实施SSLTelnet的过程中涉及TCP/IP,HTTP,DigitalCertificateManager,Encryption,Print,Java和DB2，iSeriesAccess等产品，建议安装以下版本的PTFSF99502level24SF99313level6SF99098level20SF99345level5SF99169level26SF99520Cum06080520注：打PTF虽然是系统维护很重要的一个手段，但并不是必需的。在业务和应用允许的条件下，最好升级到最新的补丁级别。但如果在现有系统的环境下，配置和使用没有问题（最好经过严格测试），则没有打PTF的必要。3)DCM配置1.启动HTTPServera)CHGHTTPACCSID(1381)b)STRTCPSVR*HTTPHTTPSVR(*ADMIN)c)WRKSBSJOBQHTTPSVR,检查QHTTPSVR子系统下作业WorkwithSubsystemJobsS653924B07/01/1813:23:06Subsystem..........:QHTTPSVRTypeoptions,pressEnter.2=Change3=Hold4=End5=Workwith6=Release7=Displaymessage8=Workwithspooledfiles13=DisconnectOptJobUserType-----Status-----FunctionADMINQTMHHTTPBATCHACTIVEPGM-QZHBHTTPADMINQTMHHTTPBATCHIACTIVEPGM-QZSRLOGADMINQTMHHTTPBATCHIACTIVEPGM-QZSRHTTP2.登录HTTPAdmin管理端口2001输入400管理用户选择数字证书管理器进入‘数字证书管理器‘主页面,选择‘创建认证中心‘输入有效信息注：这里我们假设从未在400上使用过CA，否则看不到‘创建认证中心（CA）‘菜单项。如果这时候选择’察看证书存储库‘选择继续修改LocalCA策略，这里要求localCA可以颁发用户证书，由localCA颁发的证书的有效期为1年（365天）选择继续，到此localCA的设置结束，下面是设置*SYSTEM证书存储库填入参数，选择继续这是非常重要的一页，在选择信任*SYSTEM证书的客户端应用程序的时候，必须慎重，原则上我们只把需要SSL通讯的应用作上标记。这里我们选择TELNET,Central,SignOn3个TCP/IP应用。选择继续到此为止，*SYSTEM证书管理器的设置结束，下面开始设置*OBJECTSIGNING填入参数，选择继续选择继续选择继续（telnet已经信任SYSTEMCA）选择确定这时又返回到初始界面，所有的localca和certificatestore的配置结束，系统证书也已经自动生成。4)iSeriesAccess配置-安装SSL映射//21.5.254.121/QIBM/ProdData/CA400为PC网络目录执行iSeriesAccess的选择性安装选择安装目录为上面映射的网络目录选择增加SSL功能的安装-安装si27938ServicePack-下载SystemlocalCA证书打开操作导航器选择400连接单击鼠标右键，选择iSeriesAccess属性，选择安全套接字页面选择下载.默认情况下，iSeriesAccess将使用c:\documentsandsettings\AllUsers\Documents\IBM\ClientAccess\cwbssldf.kdb作为证书管理文件，默认的文件打开口令是ca400.下载证书并更新cwbssldf.kdb选择OK关闭操作导航器，并从新打开注意，只要hostserver或telnet实施了ssl配置，在operationnavigator里看到的连接图标会加上锁的标记，代表安全连接。打开5250连接默认5250是非安全telnet，连接端口23。选择’properties‘选择useSecuredsocketslayer(SSL)这里的联接端口自动改为992选择OK在生产机上04/03配置一次成功，测试机配置04/04配置成功。问题分析：测试机992端口无法激活现象：telnet默认使用23（普通端口）和992（ssl通讯端口）进行通信。但在测试机上发现992端口没有处于listening状态。分析：telnet-ssl激活需要以下条件：telnet服务启动参数允许启动ssl系统上安装了5722AC3加密软件注意5722CE3是为iSeriesClientAccess5.2提供SSL功能的LPP,他的作用仅限于pc客户端。从iSeriesClientAccess5.3开始已经内嵌SSL功能了，5722CE3在5.3已经被撤销。即使在5.2上，5722CE3是否安装对telnet-SSL的启动也没有影响即使在LocalCA的*SYSTEMcertificatestore中没有对TELNET服务进行认证管理，也不影响Telnet-SSL的启动。当然不通过*SYSTEMcertificatestore的管理，客户端是无法通过992连接到400的。解决方法：检查telnetserverjob的joblog从qtvtelnet的joblog开看，telnetserver在启动的时候试图启动992端口，但是启动失败了。从启动时间看，telnetserver在启动的时候，400还没有安装5722AC3。也就是不满足telnet-ssl启动的基本条件。ENDTCPSVR*TELNET=〉STRTCPSVR*TELNET，992端口启动成功。生产机在单独开放*TELNET认证以后，无法从客户端进行SSL认证现象：按照标准步骤在LocalCA中只开放了TELNET的认证，但是在客户端验证SSL通讯的时候失败。分析：由于iSeriesClientAccess在进行SSL验证时候，除了要通过telnet通讯以外，还需要通过hostserver与400进行通信。解决方法：从理论上讲至少需要将SIGNONSERVER,SERVERMAP和TELNET都开放，为了方便，我们把*SYSTEM里所有的通信都进行了localCA的认证。再次测试，ssl测试成功，客户端连接也成功。测试机无法通过TELNET的SSL测试现象：首次测试失败后，将所有的Certificatestore都删除从新配置，问题依旧检查telnet属性qtvtelnet作业joblog从错误现象看，是SSL双方进行在进行证书验证的时候，客户端下载的localCA公钥与400localCA的私钥不匹配。但是检查证书的内容和发布信息都完全正确。最后发现是在400DCM的目录下出现了一个非法目录，出现了一个../icss/cert/signing■解决方法：利用DLTDIR将无效目录删除。然后将所有的certificateStore都删除后从新建立，测试连接成功。备注：由于目前的需求只要求telnet通信加密，我们是按照server单方认证的方法进行配置。如果要求对客户端也进行认证则需要进行server和user的双方认证。