TCP/IP - SSL

 Client access Windows  : sessions cryptées (SSL)

vous devez compléter l'installation de Client Access avec cette nouvelle option.

(il s'agit en fait de l'option CE3 qui va être installé sur votre PC, cette option étant devenue de base depuis la V5R4)

Une fois cette installation réalisée; choisissez propriété (sous Operation Navigator)

vous verrez un nouvel onglet (utilisation de la fonction SSL), cliquez sur Téléchargement ...

et téléchargez le certificat de l'autorité de certification (CA) sur votre PC.

par défaut : ca400 en minuscules.

Pour sécuriser la fonction TELNET, sous PC5250 :

-dans les options de configuration, cliquez sur Propriétés,

Puis indiquez le type de connexion

Attention, vous devez aussi avoir assigné un certificat à :

Central Server (qui gère la connexion)
Signon Server (qui gère l'authentication)

Sinon, il vous faudrait, vous connecter d'abord (en clair) , puis lancer le client telnet.

Une fois connecté, vous devez voir apparaître sur la ligne d"état 5250 le cadenas indiquant une session SSL.

Pour utiliser TLS 1.2 en version 7.1 , voyez la valeur système QSSLPCL

Pour utiliser SSL avec les autres fonctions de client access (dont OP.NAV) SAUF management central,

assignez un certificat aux fonctions suivantes :

Central Server
Database Server
Data Queue Server
Network Print Server
Remote Command Server
Signon Server

Puis indiquez à la fonction demandée que vous utilisez SSL

Pour Operation Navigator (click droit sur le nom de système/propriétés)
Pour le transfert de fichier (fichier/propriétés)
Pour odbc (option de connexion sur le premier onlget de définition de la source de données)

Enfin, le cas particulier de management central (gestion centralisée)

ATTENTION, si vous assignez un certificat à Management central, vous ne pourrez plus accéder à cette fonction qu'en utilisant SSL.

1/ vérifiez que vous êtes au niveau SI02795 sur le poste de client et que votre AS/400 possède les PTF suivantes (V5r10) :

SI01375
SI01376
SI01377
SI01378
SI01838

2/ vérifiez que le profil QYPSJSVR est autorisé à utiliser l'espace de stockage de certificats *SYSTEM
, et cela pour chaque système. Prenez administration d'application.

Si le profil QYPSJSVR est absent, ajoutez le.

3/ Cliquez sur la ligne "gestion centralisée", dans op. nav. et avec le bouton droit et choisissez "propriétés"

le niveau d'authentification serveur impose une session SSL entre votre PC et l'AS/400
le niveau client et serveur fait la même chose mais impose aussi des sessions SSL entre votre AS/400 central et les autre machines d'extrémité.

on vous affiche alors la fenêtre suivante :

cet onglet met à jour le fichier : /QIBM/UserData/OS400/MGTC/Config/mcconfig.properties

QYPS_SSL correspond à la case à cocher : utiliser la fonction SSL
QYPS_AUTH_LEVEL contient
- 0 pour une utilisation hors SSL
- 1 pour une authentification serveur
- 2 pour une authentification client ET serveur

Le seul moyen de revenir sur le paramétrage de management central en cas de soucis,
(par exemple vous configurez SSL sans avoir assigné de certificat) est d'éditer ce fichier.

Pour renouveler les certficats, voyez ce cours