Pour activer SSL, il est nécessaire de créer une application et d’y associer un certificat. L’ID d’application doit être égal à ‘EASYCOM’. Le certificat doit avoir été émis par une autorité de certification qui sera reconnue par le client.
Pour créer l’application, il faut utiliser DCM (Digital Certificate Manager), de l’AS/400.
Remarque : Il s’agit d’une démarche identique à celle qui est nécessaire pour activer SSL pour le serveur telnet par exemple.
La configuration serveur suit les étapes suivantes :
• Se connecter à DCM en utilisant un navigateur web avec l’URL http://my_iseries:2001, et ensuite cliquer sur « Gestionnaire de Certificats Numériques ».
Si l’URL ne fonctionne pas, elle devra être activée depuis iSeries Nagivator.
• Cliquer sur « Select a Certificate Store », sélectionner « *SYSTEM », et cliquer sur « continue ». Il faut ensuite saisir le mot de passe du magasin de certificats et valider.
• Choisir « manage applications » sur le menu gauche et cliquer sur « add application ». Ensuite, choisir « Serveur » et cliquer sur « continue ».
Saisir « EASYCOM » pour l’ID d’application. Cela représente la clé qui sera utilisée par Easycom. Saisir une description et valider.
• A présent il faut associer un certificat à l’application. Ce certificat a pour rôle d’assurer l’identité du serveur, et également pour l’encryptage. Deux options sont possibles pour l’assignation du certificat :
1. Générer le certificat en utilisant l’autorité de certification de l’AS/400 (CA, Certificate of Authority). Dans ce cas de figure le certificat de l’autorité de certification devra être installé sur le poste client (exporter le certificat de l’autorité de certification en utilisant le menu d’exportation de DCM).
2. Demander un certificat à une autorité « tiers » déjà reconnue du poste client. Dans ce cas il faudra importer le certificat serveur dans le magasin *SYSTEM en utilisant le menu « import »
Pour associer le certificat, cliquer sur « Manage Application », puis sur « Update certificate assignment ». Choisir « Serveur », et cliquer sur « continue ». Apparaît ensuite l’association actuelle (« none assigned ») pour l’application.
Sélectionner l’entrée ‘Easycom’ créée précédemment, et cliquer sur « Update Certificate Assignment ». Sélectionner le certificat approprié, et cliquer sur « Assign New Certificate ».
Cliquer ensuite sur « Validate » : cela vérifie que le certificat est valide pour ce système.
• L’étape finale consiste à configurer le serveur Easycom pour utiliser SSL à l’aide de CFGEAC :
CHGCURLIB EASYCOM
CFGEAC LIB(EASYCOM) SSL(*ON)
• Ensuite redémarrer EASYCOMD par la commande suivante:
STREACD PORT(*JOBD) RESTART(*YES)
• Ensuite tester une connexion Easycom en mode SSL. Vous pouvez utiliser l’outil Easycom Configuration à cette fin.
• La vérification des options peut s’effectuer par la commande suivante:
DSPMSG EASYCOM/EACMSGQ
Cela doit afficher:
EASYCOMD:Starting from library EASYCOM, Version 3.00.03, (Nov 10 2008
11:15:49/OS530).
EASYCOMD:EASYCOM - (c)AURA Equipments - http://www.easycom-aura.com
------------------------------------- Lib=
;Pwd=SSL support
EASYCOMD:Configuration used for Library EASYCOM is Dq=
SSL=On
En cas de problème, les erreurs apparaîtront à ce niveau.
Remarque: cela n’assure pas que la connexion a bien été effectuée en SSL, mais uniquement que la connexion SSL est supportée, et configurée.
Easycom Configuration affiche cependant cette information.
L’AS/400 peut vérifier si la connexion est effectuée en SSL ou non à l’aide du programme d’exit EACLOG002.
Pour vérifier l’état sur un travail actif, examiner la pile d’appels du travail. Pour cela, utiliser WRKACTJOB, puis l’option 5 et ensuite l’option 11. Si vous voyez « SSL_Read » dans la pile, cela signifie que la connexion est en SSL.