怎样在IBM i上搭建安全的Web站点——使用SSL技术的五个步骤

Body

原文地址：

http://www.ibmsystemsmag.com/ibmi/tipstechniques/applicationdevelopment…

作为在IBM i上运行Web应用的用户，您一定对其安全性非常关心。频繁进出服务器的HTTP请求及答复中可能包含客户的帐号等重要信息，因此非常有必要对其进行加密。如果您之前没有采用过Web安全技术（例如安全套接层SSL），您可能非常好奇是否有简单快捷的途径来加密您的Web站点呢？答案是肯定的。

通过这篇文章，您将看到怎样通过五个步骤来使用SSL技术提升您的HTTP服务器的安全性。

第一步：请您确认已经安装了下列产品：

对于IBM i 5.4系统，Digital Certificate Manager Option 34 of 5722-SS1

对于IBM i 6.1系统，Digital Certificate Manager Option 34 of 5761-SS1

对于IBM i 7.1系统，Digital Certificate Manager Option 34 of 5770-SS1 

另外，您还需要提供一个数字证书。关于如何获取数字证书请查阅IBM信息中心的文档——《Digital Certificate Management Web page》。

第二步：编辑您的HTTP配置文件  

在您的HTTP配置文件(即httpd.conf文件)中添加如下信息：

说明：本文使用80端口作为非SSL连接，使用443端口作为SSL连接的默认端口。在实际应用中可以根据需要指定其他端口号。

LoadModule ibm_ssl_module

/QSYS.LIB/QHTTPSVR.LIB/QZSRVSSL.SRVPGM

Listen 80

# Secure HTTP Port

Listen 443

SetEnv HTTPS_PORT 443

# Enable SSL function on this server

SSLEngine On

# Server certificate application name

SSLAppName QIBM_HTTP_SERVER_MYSERVER

当您配置了LoadModule指令后，HTTP server在启动时将会加载、链接并执行/QSYS.LIB/QHTTPSVR.LIB/QZSRVSSL.SRVPGM这个service program来调用SSL加密您的数据。

当HTTP Server配置使用SSL时，所有的Request都是通过SSL来传送的，因此需要设置配置文件中的环境变量HTTPS_PORT，具体指令如下：SetEnv HTTPS_PORT port-number。

通过SSLAppName指令所设置的标识符将用于第四步中的指派证书操作。

SSLEngine指令控制着SSL的开关。如果将指令设置为On，SSL将被启用。当该指令设置为Off 时，SSL处理将被关闭。如果设置为Optional，则SSL将被打开以处理从非SSL连接提升到SSL连接的操作。

请确保您对相应目录和文件拥有足够的权限。您可以参考《User profiles and required authorities for HTTP Server Web page》获得更多信息。

第三步：使用DCM创建合适的证书 

从Web Administration的Related Links中可以访问DCM。

当您选择好合适的证书后，点击Assign New Certificate来将证书指派给上一步中您所选定的应用。

至此，SSL的配置已经完成。

第五步：重启您的HTTP服务器以及您的Web浏览器。

您可以使用如下命令来重启您的HTTP服务器：

STRTCPSVR SERVER(*HTTP) RESTART(*HTTP) HTTPSVR(MYSERVER)

现在您除了可以通过http://[IBM_i_hostname]:[non-ssl port]来以非安全模式访问您的站点，还可以通过https://[IBM_i_hostname]:[ssl port] 以安全模式访问您的站点了。

提示：如果您在使用安全连接工作时遇到问题，可以在\< server root >\logs\目录下找到错误日志文件以获取详细信息。

现在您已经通过五个步骤完成了对IBM i站点以及相关重要数据的加密。