Technical Blog Post
Abstract
怎样在IBM i上搭建安全的Web站点——使用SSL技术的五个步骤
Body
原文地址:
http://www.ibmsystemsmag.com/ibmi/tipstechniques/applicationdevelopment…
作为在IBM i上运行Web应用的用户,您一定对其安全性非常关心。频繁进出服务器的HTTP请求及答复中可能包含客户的帐号等重要信息,因此非常有必要对其进行加密。如果您之前没有采用过Web安全技术(例如安全套接层SSL),您可能非常好奇是否有简单快捷的途径来加密您的Web站点呢?答案是肯定的。 通过这篇文章,您将看到怎样通过五个步骤来使用SSL技术提升您的HTTP服务器的安全性。 第一步:请您确认已经安装了下列产品: 对于IBM i 5.4系统,Digital Certificate Manager Option 34 of 5722-SS1 对于IBM i 6.1系统,Digital Certificate Manager Option 34 of 5761-SS1 对于IBM i 7.1系统,Digital Certificate Manager Option 34 of 5770-SS1 另外,您还需要提供一个数字证书。关于如何获取数字证书请查阅IBM信息中心的文档——《Digital Certificate Management Web page》。 第二步:编辑您的HTTP配置文件 在您的HTTP配置文件(即httpd.conf文件)中添加如下信息: 说明:本文使用80端口作为非SSL连接,使用443端口作为SSL连接的默认端口。在实际应用中可以根据需要指定其他端口号。 LoadModule ibm_ssl_module /QSYS.LIB/QHTTPSVR.LIB/QZSRVSSL.SRVPGM Listen 80 # Secure Listen 443 SetEnv HTTPS_PORT 443 # Enable SSL function on this server SSLEngine On # Server certificate application name SSLAppName QIBM_HTTP_SERVER_MYSERVER 当您配置了LoadModule指令后,HTTP server在启动时将会加载、链接并执行/QSYS.LIB/QHTTPSVR.LIB/QZSRVSSL.SRVPGM这个service program来调用SSL加密您的数据。 当HTTP Server配置使用SSL时,所有的Request都是通过SSL来传送的,因此需要设置配置文件中的环境变量HTTPS_PORT,具体指令如下:SetEnv HTTPS_PORT port-number。 通过SSLAppName指令所设置的标识符将用于第四步中的指派证书操作。 SSLEngine指令控制着SSL的开关。如果将指令设置为On,SSL将被启用。当该指令设置为Off 时,SSL处理将被关闭。如果设置为Optional,则SSL将被打开以处理从非SSL连接提升到SSL连接的操作。 请确保您对相应目录和文件拥有足够的权限。您可以参考《User profiles and required authorities for HTTP Server Web page》获得更多信息。 第三步:使用DCM创建合适的证书 从Web Administration的Related Links中可以访问DCM。
当您选择好合适的证书后,点击Assign New Certificate来将证书指派给上一步中您所选定的应用。
至此,SSL的配置已经完成。
第五步:重启您的HTTP服务器以及您的Web浏览器。
您可以使用如下命令来重启您的HTTP服务器:
STRTCPSVR SERVER(*HTTP) RESTART(*HTTP) HTTPSVR(MYSERVER)
现在您除了可以通过http://[IBM_i_hostname]:[non-ssl port]来以非安全模式访问您的站点,还可以通过https://[IBM_i_hostname]:[ssl port] 以安全模式访问您的站点了。
提示:如果您在使用安全连接工作时遇到问题,可以在\< server root >\logs\目录下找到错误日志文件以获取详细信息。
现在您已经通过五个步骤完成了对IBM i站点以及相关重要数据的加密。
UID
ibm11146076