IBM Support

怎样在IBM i上搭建安全的Web站点——使用SSL技术的五个步骤

Technical Blog Post


Abstract

怎样在IBM i上搭建安全的Web站点——使用SSL技术的五个步骤

Body

原文地址:

http://www.ibmsystemsmag.com/ibmi/tipstechniques/applicationdevelopment…

作为在IBM i上运行Web应用的用户,您一定对其安全性非常关心。频繁进出服务器的HTTP请求及答复中可能包含客户的帐号等重要信息,因此非常有必要对其进行加密。如果您之前没有采用过Web安全技术(例如安全套接层SSL),您可能非常好奇是否有简单快捷的途径来加密您的Web站点呢?答案是肯定的。

通过这篇文章,您将看到怎样通过五个步骤来使用SSL技术提升您的HTTP服务器的安全性。

 

第一步:请您确认已经安装了下列产品:

对于IBM i 5.4系统,Digital Certificate Manager Option 34 of 5722-SS1

对于IBM i 6.1系统,Digital Certificate Manager Option 34 of 5761-SS1

对于IBM i 7.1系统,Digital Certificate Manager Option 34 of 5770-SS1 

 

另外,您还需要提供一个数字证书。关于如何获取数字证书请查阅IBM信息中心的文档——Digital Certificate Management Web page》。

 

第二步:编辑您的HTTP配置文件  

在您的HTTP配置文件(httpd.conf文件)中添加如下信息:

说明:本文使用80端口作为非SSL连接,使用443端口作为SSL连接的默认端口。在实际应用中可以根据需要指定其他端口号。

 

LoadModule ibm_ssl_module

/QSYS.LIB/QHTTPSVR.LIB/QZSRVSSL.SRVPGM

Listen 80

# Secure HTTP Port

Listen 443

SetEnv HTTPS_PORT 443

# Enable SSL function on this server

SSLEngine On

# Server certificate application name

SSLAppName QIBM_HTTP_SERVER_MYSERVER

 

当您配置了LoadModule指令后,HTTP server在启动时将会加载、链接并执行/QSYS.LIB/QHTTPSVR.LIB/QZSRVSSL.SRVPGM这个service program来调用SSL加密您的数据。

 

HTTP Server配置使用SSL时,所有的Request都是通过SSL来传送的,因此需要设置配置文件中的环境变量HTTPS_PORT,具体指令如下:SetEnv HTTPS_PORT port-number。

通过SSLAppName指令所设置的标识符将用于第四步中的指派证书操作。

 

SSLEngine指令控制着SSL的开关。如果将指令设置为OnSSL将被启用。当该指令设置为Off 时,SSL处理将被关闭。如果设置为Optional,则SSL将被打开以处理从非SSL连接提升到SSL连接的操作。

 

请确保您对相应目录和文件拥有足够的权限。您可以参考《User profiles and required authorities for HTTP Server Web page》获得更多信息。

 

第三步:使用DCM创建合适的证书 

 

Web AdministrationRelated Links中可以访问DCM

图像

点击Select a Certificate Store,选择*SYSTEM。点击Continue

图像   

Certificate Store Password项上输入密码后点Continue

图像

 

第四步:为您的程序名指派认证 

 

再次访问DCM,点击Manage Applications。选择Update certificate assignment并点击Continue。选择Server并点击Continue 

图像

接下来选择您在第二步中设置的SSLAppName标识,点击Update Certificate Assignment

图像    

当您选择好合适的证书后,点击Assign New Certificate来将证书指派给上一步中您所选定的应用。

 

至此,SSL的配置已经完成。

 

第五步:重启您的HTTP服务器以及您的Web浏览器。

您可以使用如下命令来重启您的HTTP服务器:

STRTCPSVR SERVER(*HTTP) RESTART(*HTTP) HTTPSVR(MYSERVER)

 

现在您除了可以通过http://[IBM_i_hostname]:[non-ssl port]来以非安全模式访问您的站点,还可以通过https://[IBM_i_hostname]:[ssl port] 以安全模式访问您的站点了。

 

提示:如果您在使用安全连接工作时遇到问题,可以在\< server root >\logs\目录下找到错误日志文件以获取详细信息。

 

现在您已经通过五个步骤完成了对IBM i站点以及相关重要数据的加密。

 

[{"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Product":{"code":"SWG60","label":"IBM i"},"Component":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"","Edition":"","Line of Business":{"code":"LOB57","label":"Power"}}]

UID

ibm11146076