为 ADMIN 向导配置 SSL
IBM Web Administration for i 界面提供了为 ADMIN 配置 SSL 向导,用于为 ADMIN 服务器配置安全套接字层 (SSL)。 SSL 已成为支持应用程序通过不受保护的网络 (例如因特网) 进行安全通信会话的行业标准。
ADMIN 服务器运行 IBM i "任务" 页面 (http://[your_isystem]:2001) 上列出的所有程序,包括 Web Administration for i 和 "数字 Certificate Manager " (DCM)。 缺省情况下, ADMIN 服务器通过端口 2001 侦听非 SSL (非安全) 连接。 如果要将 ADMIN 服务器配置为使用基于 SSL 的安全通信,但缺乏使用 DCM 和 SSL 的经验,那么向导会简化该过程,并且无需手动配置 ADMIN 服务器配置。
"为管理配置 SSL" 向导将更新 ADMIN 服务器配置文件以在端口 2010 上启用 SSL; (可选) 端口 2001 可以保留为非 SSL 流量启用。 向导使用 "数字 Certificate Manager " 来发出数字证书,连接证书和 ADMIN 服务器,然后重新启动 ADMIN 服务器。 重新启动 ADMIN 服务器通常需要 1 分钟左右。 执行重新启动时, Web Administration for i 接口不可用。
安全套接字层和数字证书
SSL 实际上是两个协议。 协议是记录协议和握手协议。 记录协议控制 SSL 会话的两个端点之间的数据流。
握手协议对 SSL 会话的一个或两个端点进行认证,并建立唯一的对称密钥,用于生成用于对该 SSL 会话的数据进行加密和解密的密钥。 SSL 使用非对称密码术,数字证书和 SSL 握手流来认证 SSL 会话的一个或两个端点。 通常, SSL 会对服务器进行认证。 (可选) SSL 认证客户机; 但是,此向导仅认证服务器,而不认证客户机。 可将由认证中心发放的数字证书分配给每个端点,或分配给在连接的每个端点上使用 SSL 的应用程序。
数字证书是可用于在电子交易中建立身份证明的电子凭证。 IBM i 提供了广泛的数字证书支持,允许您在许多安全应用程序中使用数字证书作为凭证。 除了使用证书来配置 SSL 外,您还可以将这些证书用作 SSL 和虚拟专用网 (VPN) 事务中的客户机认证凭证。 此外,还可以使用数字证书及其关联的安全密钥对对象进行签名。 签名对象允许您通过验证对象上的签名来检测对对象内容的更改或可能的篡改,以确保其完整性。
当您使用免费功能 "数字 Certificate Manager " (DCM) 来集中管理应用程序的证书时,很容易利用 IBM i 对证书的支持。 DCM 允许您管理从任何认证中心 (CA) 获取的证书。 此外,您还可以使用 DCM 来创建和操作您自己的本地 CA ,以向组织中的应用程序和用户发放专用证书。
数字证书由公用密钥和可信认证中心 (CA) 已数字签名的一些标识信息组成。 每个公用密钥都有关联的专用密钥。 专用密钥不会与证书存储在一起,也不会存储在证书中。 在服务器和客户机认证中,要认证的端点必须证明它有权访问与数字证书中包含的公用密钥相关联的专用密钥。
先决条件和假设条件
"为 ADMIN 配置 SSL" 向导需要在系统上安装具有 *ALLOBJ 和 *SECADM 特权的用户概要文件以及数字 Certificate Manager 。
启动 "为管理配置 SSL" 向导
- 从浏览器访问 IBM Web Administration for i 。 有关如何访问 Web Administration for i 界面的信息,请参阅 启动 Web Administration for i。
- 从 IBM Web Administration for i 界面中,选择 ADMIN-Apache 服务器。
- 在导航窗格中,展开 HTTP 任务和向导 ,然后选择为管理员配置 SSL。注意: 如果 Configure SSL for ADMIN 没有显示在导航窗格中,则可能是没有正确安装最新的 IBM HTTP Server for i (5770-DG1) PTF 组,或者是没有选择 ADMIN 服务器。
将显示 "为 ADMIN 配置 SSL" 欢迎页面。 单击 下一步 以开始向导。 进行更新后,向导将重新启动 ADMIN 服务器。 可以在以下位置安全地访问 ADMIN 服务器:(https://[your_isystem]:2010/HTTPAdmin).