Easycom peut utiliser les certificats clients. Cette fonction peut être utilisée aux fins suivantes :
• plus de sécurité au niveau réseau. Le serveur peut donner l’accès uniquement aux clients disposant d’un certificat valide.
• Le certificat peut servir à déterminer l’utilisateur OS/400 à utiliser par la suite. Cela peut provenir du sujet du certificat lui-même, ou bien la base de données EIM peut définir celui-ci (le certificat est alors référencé au niveau EIM).
Le certificat client doit être valide pour l’AS/400. Un certificat est considéré valide s’il a été émis par une autorité de certification reconnue par l’AS/400 (CA), dans le magasin de certificats *SYSTEM.
Le certificat peut avoir été émis par l’AS/400. Dans ce cas l’autorité de certification est « Local CA » de *SYSTEM.
Créer un registre X.509 dans EIM, et configurer l’emplacement LDAP (optionnel).
Cette étape est nécessaire si on désire utiliser EIM pour mapper le certificat vers un utilisateur AS/400.
Dans ce cas l’utilisateur fourni par le client est « *SSL ».
Par System i Access, se positionner sur "Réseau"/"Enterprise Identity Mapping"/"Domain Management"/"<votre domaine>"/"User Registries", et cliquer sur "Add a new system registry".
Choisir un nom et "X.509" comme type de registre.
Dans "configuration", choisir « propriétés » et choisir le registre X.509 nouvellement créé.
A présent il est nécessaire de configurer l’emplacement LDAP pour le magasin de certificats *SYSTEM. Cela permettra de lier la création de certificats au registre X.509 que l’on vient de créer dans EIM.
Pour cela, utiliser le gestionnaire de certificats numériques. Se connecter à http://my_iseries:2001. Select "Digital Certificate Manager" (en V6R1 sélectionner "i5/OS management" puis "Internet configuration" first. Se connecter en QSECOFR).
Choisir "Manage LDAP location", et saisir:
LDAP server: nom de l’hôte complet : my_series.mydomain.com
Directory distinguished name (DN): dc=
Use Secure Sockets Layer (SSL): No
Port Number: 389
Login distinguished name (DN): cn=
Password: xxxx (mot de passe LDAP utilisé pour EIM).
Créer un certificat utilisateur
Aller sur https://my_iseries:2010/QIBM/ICSS/Cert/Admin/qycucm1.ndm/main0 en utilisant l’utilisateur pour lequel on veut créer le certificat client.
Choisir ensuite "Create Certificate". Le nom de login utilisé précédemment sera utilisé comme nom principal (subject) du certificat client.
Ensuite cliquer sur "install certificate". Cela installera le certificat dans le navigateur. Reste ensuite l’exporter pour pouvoir l’installer à son emplacement final (magasin de certificats Windows de l’utilisateur par exemple).
Si un registre X.509 a été créé dans EIM et si l’emplacement LDAP a été défini dans la configuration DCM, les données EIM seront automatiquement mises à jour. Remarque : l’entrée EIM doit exister avant cette opération (entrée avec une destination égale à cet utilisateur AS/400).
Installer le certificat client sur le magasin local
Utiliser le navigateur web pour transférer le certificat and le magasin désiré (typiquement le magasin de certificats Windows, ou encore l’emplacement OpenSSL pour Linux).
Activer la partie Easycom server pour utiliser les certificats client
CHGCURLIB EASYCOM
CFGEACAUTH LIB(EASYCOM) SSL(*ON) SSLAUTH(*ON) SSLROLE(*EIM)
Utiliser "SSLROLE(*EIM)" si un registre X.509 est utiliser ou bien *SUBJECT si le « subject » du certificat est égal au nom de l’utilisateur AS/400 à utiliser pour la connexion.
EIM doit être également configuré, à l’aide de la commande CFGEACEIM.
Essayer la connexion avec la valeur « *SSL » à la place du nom d’utilisateur, et un mot de passe vide, si EIM est utilisé. Dans le cas contraire, utiliser un nom d’utilisateur et mot de passe classique.
Si on saisit DSPMSG EASYCOM/EACMSGQ sur un terminal on doit voir apparaître un texte comme suit:
EASYCOMD:Starting from library EASYCOM, Version 3.00.05, (Jun 23 2009
16:29:38/OS530).
EASYCOMD:Eim connection OK - X.509 registry is 'p520 certicates'
EASYCOMD:EASYCOM - (c)AURA Equipments -
http://www.easycom-aura.com
=
EASYCOMD-V.3.00.05(EASYCOM/EASYCOMD); Lib=
Eim=
EASYCOMD:Configuration used for Library EASYCOM is Dq=
KerbAuth=
On y voir que le registre X.509 est détecté et nommé ‘p520 certificates’.
Cela confirme la capacité SSL d’EASYCOMD.
Cela montre (à la première connexion) que la bibliothèque EASYCOM a SSL actif, et que l’authentification SSL est activer avec le rôle « *EIM ».
Les éventuels problèmes d’authentification apparaissent ici.