Avant d'examiner les étapes nécessaires pour configurer le serveur FTP, revoyons rapidement le handshake SSL, tel qu'il est illustré dans la figure 1.
A l'étape 1, le client FTP envoie une requête au serveur FTP pour obtenir une connexion sécurisée. Cette requête comporte un « défi » adressé au serveur
pour s’assurer que le client lui fait confiance.
A l’étape 2, le serveur FTP utilise son certificat numérique et sa paire de clés de cryptage publique/privée. Seule la clé publique est stockée avec le certificat numérique ; la clé privée est rangée en sécurité ailleurs. Le serveur FTP crypte les données du défi avec sa clé privée et envoie les données ainsi cryptées et son certificat numérique (qui ne contient que la clé publique) au client FTP.
A l’étape 3, le client FTP décrypte les données de défi avec la clé publique du serveur (trouvée dans le certificat numérique) et les compare avec les données qu’il a envoyées à l’origine, pour voir si elles sont identiques. En outre, le client FTP vérifie qui a émis le certificat numérique du serveur pour s’assurer que l’émetteur (appelé généralement « signataire ») figure bien dans la liste des signataires de confiance du client. Enfin, le client et le serveur négocient une clé de session qui servira à crypter le reste de la transaction. Pour permettre l’étape 2 du handshake SSL, il faut configurer le serveur FTP sur l’iSeries pour utiliser SSL et associer un certificat numérique avec le serveur. Il faut décider en premier lieu si l’on veut, ou non, acheter le certificat numérique auprès d’un CA (certificate authority) tiers bien connu (VeriSign, Entrust, par exemple) ou si l’on veut configurer l’iSeries en tant que CA et émettre le certificat à partir de son propre système. Si les transactions FTP doivent se dérouler entre des systèmes que l’on contrôle, la dernière méthode pourrait être une bonne utilisation de la possibilité CA de l’iSeries. Mais si les transactions FTP sont effectuées avec des systèmes hors de votre contrôle (via un site Web, par exemple), il vaudrait mieux utiliser un CA ayant pignon sur rue. Ainsi, quand le client FTP vérifiera le certificat numérique de votre serveur FTP, il reconnaîtra l’émetteur du certificat comme un signataire de confiance (étape 3 du handshake SSL) et n’émettra pas un avertissement disant qu’il a reçu un certificat d’un signataire inconnu – un certificat qui pourrait semer des doutes sur la sécurité de votre serveur FTP. Je suppose que vous avez déjà créé le certificat via DCM de l’OS/400 ou que vous en avez obtenu un et l’avez stocké dans l’emplacement des certificats iSeries. (Pour plus d’informations sur la création et l’installation de certificats, voir l’article « Configuring the AS/400’s TCP/IP Servers for SSL » (novembre 1999) et, pour plus d’informations sur DCM, voir la documentation en ligne d’IBM à http://publib.boulder.ibm.com/html/as400/v5r1/ic2924.)
Ensuite, il faut associer ce certificat avec votre serveur FTP. Si vous avez configuré d’autres serveurs pour utiliser SSL, vous savez que vous utilisez DCM pour faire cette association. (DCM a vu son utilisabilité améliorée dans la V5R1. Les onglets de navigation ont changé de noms afin que les descriptions présentent un certain sens pour l’action que l’on essaie d’effectuer ou la tâche que l’on essaie d’accomplir.) Pour aller à DCM, ouvrir le navigateur et entrer http://your_iSeries_system_name:2001. (Vous pouvez remplacer le nom du système par l’adresse TCP/IP du système.)
S’affiche alors la Task Page. Si vous avez installé l’option 34 de la V5R1, il y aura un lien pour DCM. Cliquez sur ce lien. (Si vous ne pouvez pas obtenir la Task Page, vérifiez que l’instance *Admin du serveur HTTP est démarrée.) Lorsque vous vous connectez à la Task Page, le système vous demande votre ID et mot de passe utilisateur. Vous devrez également vous connecter (sign on) avec un profil muni des droits *ALLOBJ et *SECADM. Une fois dans le DCM, procédez ainsi :
1/ Cliquez sur le bouton Select a Certificate Store.
2/ Sélectionnez *SYSTEM to work with the iSeries Certificate Store. Puis cliquez sur Continue.
3/ Entrez le mot de passe du Certificate Store du système. Il faut mémoriser ce mot de passe ou le noter et le ranger dans un endroit sûr mais accessible. (Je sais bien qu’on ne conseille pas normalement d’écrire les mots de passe, mais il ne faut surtout pas oublier celui-ci !) Cliquez sur Continue.
4/ Après le rechargement de la barre de navigation à gauche, étendre Manage Applications.
5/ Cliquez sur Update certificate assignment.
6/ L’écran suivant permet de choisir la manière d’utiliser le certificat. Sélectionnez Server application, qui permet d’attribuer un certificat à l’un des serveurs du système (FTP, HTTP, Telnet, par exemple). Cliquez sur Continue.
7/ Une liste de tous les serveurs validés pour SSL s’affiche. Choisissez l’OS/400 TCP/IP FTP Server, puis cliquez sur Update Certificate Assignment.
8/ Dans la liste présentée, choisissez le certificat que vous voulez attribuer au serveur FTP et cliquez sur Assign New Certificate.
9/ Un message de confirmation indiquera que l’opération est terminée.
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
