SSL und Telnet, Teil 1: Telnet-Kommunikation gehört verschlüsselt

Die Zuverlässigkeit der IBM i ist legendär und ähnlich verhält es sich bei der Sicherheit – auch wenn es zu diesem Thema durchaus auch vakante Stellen gibt, die es ermöglichen, dass Unberechtigte Zugriff auf Informationen des Systems erlangen können.

Die Systemverantwortlichen im Umfeld der IBM i haben die Sicherheit der Daten in der IT-Umgebung zu gewährleisten. Oft werden dabei einige Punkte nicht bedacht. Eine mögliche Sicherheitslücke kann die Datenübertragung im Bereich von Telnet darstellen, die in der Regel unverschlüsselt über die Leitung läuft.

IBM bietet hier neben dem unverschlüsselten Übertragungsmodus auch die Option der SSL-Verschlüsselung. Diese Aufgabe lässt sich mit den nachfolgend beschriebenen Schritten umsetzen.

Die Hauptaufgaben sind:

• Einrichten der Zertifizierungsinstanz,
• Einrichtung der Zertifikate (im Web-Administrationsbereich),
• Konfiguration der TCP-Bereiche des IBM i für die Verwendung von SSL sowie
• Einstellung auf Client-Ebene, damit die Verbindung mit SSL genutzt wird.

Quelle: ZeigDie Definition der Zertifikate erfolgt ausschließlich über den Web-Administrationsbereich des Systems. Um diesen aufzurufen, führen wir die nachfolgenden Teilschritte aus:

1. Starten des http Admin Bereiches mit QSECOFR
   http://Hostname:2001
   In dem Web-Administrationsbereich wechseln wir auf die Willkommensseite. Von hier aus ist unter anderem auch der Verwaltungsbereich für die digitalen Zertifikate aus-wählbar.
2. Wechsel auf Willkommensseite über IBM i Tasks Page (Bild 1).
3. Mit dieser Auswahl gelangen wir in den Einstiegsbereich für die unterschiedlichsten Administrationsaufgaben (Bild 2).
   Unter anderem finden wir hier auch den Eintrag für die Verwaltung der digitalen Zertifikate (Digital Certificate Manager – kurz: DCM).
4. Nach der Selektion des Eintrags „Digital Certificate Manager“ wählen wir in der nachfolgenden Anzeige die Auswahl „Digital Certificate Manager (http Variante)”, Bild 3.
5. Geben Sie nun den Benutzernamen und das Kennwort erneut ein. Achten Sie darauf, dass der Benutzer für die Verwaltung der Zertifikate über die erforderlichen Berechtigungen verfügt (Bild 4).Quelle: Zeig

 

 

Quelle: ZeigDie Zertifikate werden auf der IBM i in verschiedenen Zertifikatsspeichern abgelegt. Neben dem Standardspeicher „*SYSTEM“ können auch weitere Speicherlokationen genutzt werden.

Als erstes müssen wir jetzt den zu verwaltenden Zertifikatsspeicher auswählen. Dazu klicken wir in dem linken Navigationsbereich auf den Eintrag „Zertifikatsspeicher wählen“ (Bild 5).

In unserem Beispiel verwende ich den Zertifikatsspeicher „*SYSTEM“. Wurde dieser zuvor bereits genutzt, dann können wir diesen auch für die neuen Zertifikate verwenden. Anderenfalls müssen wir zunächst den *SYSTEM-Zertifikatsspeicher erstellen. Wichtig zu wissen: Der Zertifikatsspeicher wird mit einem Kennwort gesichert. Dieses Kennwort ist speziell für den Zertifikatsspeicher anzugeben. Sie werden später noch sehen, dass es auch für die Zertifikate selbst Kennwörter gibt – hier finden gerne Verwechslungen statt.

Der Zertifikatsspeicher ist hier mit einem Kennwort abgesichert. Wir geben hier das vergebene Kennwort ein. In unserem Beispiel verwende ich als Kennwort „abcdefgh“. Sollten Sie das Kennwort nicht kennen, dann können Sie dieses bei Bedarf mit einem Klick auf die Schaltfläche „Kennwort zurücksetzen“ zurücksetzen.

Der *SYSTEM Zertifikatsspeicher wird in dem folgenden IFS-Pfad abgelegt:
/QIBM/USERDATA/ICSS/CERT/SERVER/DEFAULT.KDB
Nach der Selektion des Zertifikatsspeichers erstellen wir nun unsere erste Zertifizierungsinstanz. Dazu wählen wir in der Navigationsleiste den Eintrag „Zertifizierungsinstanz (CA) erstellen“.

Nun wird das erste Zertifikat erstellt. Hier müssen wir verschiedene Detailangaben tätigen, die in das Zertifikat eingebunden werden (Bilder 6 und 7). Die Schlüsselgröße kann mit dem Vorgabewert 1024 übernommen werden. Es gibt allerdings unterschiedliche Anforderungen, die zum Beispiel komplexere Schlüssel erfordern. Richten Sie die Auswahl deshalb angelehnt an die Vorgaben und die erforderlichen Sicherheitskriterien aus.

Das Kennwort wurde in unserem Beispiel mit „abcdefgh“ eingegeben. Der Name der Zertifizierungsinstanz dient unter anderem der späteren Identifizierung und sollte auf die Verwendung schließen lassen.

Als Organisationseinheit wird hier der qualifizierte Hostname angegeben. Diesen finden Sie in den IP-Einstellungen des Systems. Zwar können hier auch andere Angaben (also nicht der qualifizierte Hostname) hinterlegt werden, das bedingt dann allerdings einigen Zusatzaufwand. Deshalb gilt hier die Empfehlung, den qualifizierten Hostnamen zu verwenden. Stadt, Bundesland und Land sind ebenfalls auszufüllen.

Die Gültigkeitsdauer des Zertifikates kann beschränkt werden. Dies macht u.a. auch Sicherheitsüberlegungen heraus Sinn. Hier wurde die Gültigkeit auf 7000 Tage heraufgesetzt. Mit einem Klick auf die Schaltfläche „Weiter“ gelangen wir in die nächste Anzeige (Bild 8).

Achten Sie in dieser Anzeige auf den blau unterlegten Schriftzug „Zertifikat installieren“. Dabei handelt es sich um einen Link, den wir auswählen können. Achten Sie gegebenenfalls auf Meldungen in dem Browser, die sicherheitsrelevante Informationen abfragen und beantworten Sie diese nach Bedarf.

In der nachfolgenden Abbildung (Bild 9) finden Sie eine exemplarische Anzeige eines Auswahlfensters in einem Browser. Für unser Beispiel selektieren wir die unterschiedlichen Anwendungsbereiche als Einsatzbereiche für unser Zertifikat. Optional können wir mit einem Klick auf „Ansicht“ das CA-Zertifikat prüfen.

Zurück in dem Konfigurationsbereich für den Digital Certificate Manager setzen wir jetzt exemplarisch die Gültigkeitsdauer für das Zertifikat auf 2000 Tage. Zudem geben wir vor, dass das Erstellen von Benutzerzertifikaten zulässig ist (Bild 10) Mit einem Klick auf „Weiter“ setzen wir die Konfiguration fort.

Genau genommen haben wir hiermit den ersten Teilschritt in der Definition der Zertifikate abgeschlossen – denn wir haben die Zertifizierungsinstanz angelegt. Jetzt folgt der nächste Teilschritt – das Anlegen der Zertifikate. Damit wir diese konfigurieren können, legen wir in der Instanz-Ebene fest, dass Benutzerzertifikate erstellt werden dürfen und welche Gültigkeitsdauer diese Zertifikate dann haben sollen. Jetzt gilt es, das Zertifikat zu erstellen – dies starte der Assistent automatisch nach einem Klick auf die Schaltfläche „Weiter“.

Jörg Zeig

Hier geht es zum TechKnowLetter