...

IBM i - Option 39: International Components for Unicode (ICU)

Einige unserer Produkte benötigen bestimmte Komponenten des Betriebssystems als Installationsvoraussetzungen. Zum Beispiel benötigt WOPiXX die "International Components for Unicode" (ICU), Betriebssystem-Option 39.

Diese muss ggf. nachinstalliert werden, hierfür muss man wissen, wo man die Option findet. Im nächsten Kapitel finden Sie eine Übersicht, wo welche Lizenzprogramme und -optionen auf den IBM i - Installationsmedien zu finden sind.

Installationsmedien (DVD) für das Betriebssystem IBM i

Je nach installierter Version des Betriebssystems finden Sie die Option auf unterschiedlichen DVD des Satzes. Die folgenden URL zeigen dies:

...

Zu IBM i und seinen Versionen

IBM i Ankündigungen

nach installierter Version des Betriebssystems finden Sie die Option auf unterschiedlichen DVD des Satzes. Die folgenden URL zeigen dies:

Installationsmedien (DVD) für das Betriebssystem IBM i

Je nach installierter Version des Betriebssystems finden Sie die Option auf unterschiedlichen DVD des Satzes. Die folgenden URL zeigen dies:

Beispiel für ICU:

5770SS1 39 International Components for Unicode
V7R3 B_GROUPx_02 (LCD8-2044-0x B_GROUP1_02) (LCD8-2049-0x B_GROUP2_02) (LCD8-2054-0x B_GROUP3_02)
V7R2 B_GROUPx_02 (LCD8-2044-0x B_GROUP1_02) (LCD8-2049-0x B_GROUP2_02) (LCD8-2054-0x B_GROUP3_02)

IBM i Technology Refreshes (TR)

In unregelmässigen Abständen veröffentlicht IBM Pakete von PTFs, die die Funktionen des Betriebssystems und seiner Komponenten erheblich ergänzen, aber noch nicht als vollständige neue Versionen oder Releases von IBM i angesehen werden können. Diese "Technology Refreshes" werden auf dem Weg, wie normale PTFs ausgeliefert. Damit wird die Zeit zwischen diesen Funktionserweiterungen deutlicht verkürzt, gegenüber dem Zyklus der Versionen und Releases.

Eine aktuelle übersicht über die verschiedenen TR finden Sie auf auf dem der IBM-WikiSeite IBM i Technology Refresh

Für einige Toolmaker-Produkte werden bestimmte TR-Levels als Voraussetzung benötigt. Zum Beispiel: unser Produkt WOPiXX benötigt mindestens V7R1 TR11.

Den aktuellen TR-Stand eines IBM i -Systems ermitteln

Den TR-Stand Ihres Systems können Sie mit folgendem Befehl ermitteln:

...

Nach Eingabe des Befehls erscheint eine Liste mit installierten TR-Levels. Diese sieht ungefähr so aus (hier für ein System mit V7R1 TR11)

Ausw PTF-Gruppe      Level Status
     SF99707             8 Installiert
     SF99707            10 Installiert
     SF99707            11 Installiert

Die höchste Zahl in der Spalte "Level" gibt den TR-Level des Systems an.

Konfiguration von SSL, TLS und HTTPS (z.B. für WOPiXX)

Für verschiedene Toolmaker-Produkte müssen betriebssystem-seitig einige Vorbereitungen getroffen werden. Zum Beispiel:

• directmail: für die directmail ist die Existenz eines Zertifikatspeichers erforderlich. Es müssen nicht unbedingt Zertifikate erstellt werden, es muss lediglich der Speicher vorhanden sein.
• WOPiXX: wenn die Benutzer über HTTPS auf die WOPiXX-Anwendungen zugreifen sollen, dann muss ein Zertifikat für den HTML-Server der IBM i konfiguriert sein.
  • wenn dieses Zertifikat von einer offiziellen Stelle ausgestellt wurde, dann  muss es lediglich im Zertifikatsspeicher verfügbar gemacht werden
  • wenn es aber auf der IBM i selbst ausgestellt wird (was in den meisten Fällen der Fall ist), dann muss die IBM i auf den PCs der Benutzer als "Vertrauenswürdige Stammzertifizierungsstelle" bekannt gemacht werden, damit sie das HTML-Server-Zertifikat auch akzeptieren

Diese Schritte werden hier beschrieben.

Voraussetzungen - Erforderliche Betriebssystem-Komponenten von IBM i

Die folgenden Betriebssystem-Optionen sind erforderlich:

5770SS1 34 Digital Certificate Manager
5770DG1 BASE IBM *HTTP-Server für i5/OS
5761JV1 BASE IBM Developer Kit für Java
5761JV1 8, 9, 11, 13 Java SE, bzw. J2SE in verschiedenen Varianten

Mit GO LICPGM und Auswahl 10, und dann 2xF11 können Sie prüfen, ob die für SSL erforderlichen Betriebssystem Optionen installiert sind.

Die oben gezeigte Liste bezieht sich auf den Betriebssystem-Stand IBM i V7R1. Die Anzeige kann je nach Version des IBM Release-Stands variieren, insbesondere bei den Java-Optionen.

...

Nach Eingabe des Befehls erscheint eine Liste mit installierten TR-Levels. Diese sieht ungefähr so aus (hier für ein System mit V7R1 TR11)

Ausw PTF-Gruppe      Level Status
     SF99707             8 Installiert
     SF99707            10 Installiert
     SF99707            11 Installiert

Die höchste Zahl in der Spalte "Level" gibt den TR-Level des Systems an.

IBM i - Option 39: International Components for Unicode (ICU)

Einige unserer Produkte benötigen bestimmte Komponenten des Betriebssystems als Installationsvoraussetzungen. Zum Beispiel benötigt WOPiXX die "International Components for Unicode" (ICU), Betriebssystem-Option 39.

Diese muss ggf. nachinstalliert werden, hierfür muss man wissen, wo man die Option findet. Im nächsten Kapitel finden Sie eine Übersicht, wo welche Lizenzprogramme und -optionen auf den IBM i - Installationsmedien zu finden sind.

Die HTTP-Verwaltungsserver und ihr Aufruf

Die Funktionen, die früher vom PC-Programm "IBM i Navigator" verfügbar gemacht wurden, sind weitestgehend in browser-basierte Anwendungen gewandert.

Davon gibt es (Stand April 2023) zwei Stück:

• IBM Navigator for i
• Heritage IBM Navigator for i

Konfiguration von SSL, TLS und HTTPS (z.B. für WOPiXX, directmail)

Digital Certificate Manager (DCM)

Die erforderlichen Konfigurations-Tätigkeiten werden mit dem Digital Certificate Manager (DCM) ausgeführt. Der DCM ist eine Web-Anwendung und wird im Browser über den Port 2001 aufgerufen.

Er kann wahlweise über die IP-Adresse der IBM i aufgerufen werden oder über ihren IP-Namen:

• http://192.168.1.100:2001
• http://DEAET01:2001

Weitere Hinweise zum Arbeiten mit dem Digital Certificate Manager sind in der IBM i - knowledgebase verfügbar.

• Zum Beispiel: https://www.ibm.com/support/knowledgecenter/de/ssw_ibm_i_72/rzahu/rzahupdf.pdf

...

Für verschiedene Toolmaker-Produkte müssen betriebssystem-seitig einige Vorbereitungen getroffen werden. Zum Beispiel:

• directmail: für die directmail ist die Existenz eines Zertifikatspeichers erforderlich. Es müssen nicht unbedingt Zertifikate erstellt werden, es muss lediglich der Speicher vorhanden sein.
• WOPiXX: wenn die Benutzer über HTTPS auf die WOPiXX-Anwendungen zugreifen sollen, dann muss ein Zertifikat für den HTML-Server der IBM i konfiguriert sein.
  • wenn dieses Zertifikat von einer offiziellen Stelle ausgestellt wurde, dann  muss es lediglich im Zertifikatsspeicher verfügbar gemacht werden
  • wenn es aber auf der IBM i selbst ausgestellt wird (was in den meisten Fällen der Fall ist), dann muss die IBM i auf den PCs der Benutzer als "Vertrauenswürdige Stammzertifizierungsstelle" bekannt gemacht werden, damit sie das HTML-Server-Zertifikat auch akzeptieren

Diese Schritte werden hier beschrieben.

Digital Certificate Manager (DCM)

Die erforderlichen Konfigurations-Tätigkeiten werden mit dem Digital Certificate Manager (DCM) ausgeführt. Der DCM ist eine Web-Anwendung und wird im Browser aufgerufen (siehe unten).

Weitere Hinweise zum Arbeiten mit dem Digital Certificate Manager sind in der IBM i - knowledgebase verfügbar.

• Zum Beispiel: https://www.ibm.com/support/knowledgecenter/de/ssw_ibm_i_72/rzahu/rzahupdf.pdf

Voraussetzungen für den Aufruf des DCM

Erforderliche Betriebssystem-Komponenten von IBM i

Die folgenden Betriebssystem-Optionen sind erforderlich:

57xxSS1 30 QShell
57xxSS1 34 Digital Certificate Manager
5770DG1 BASE IBM *HTTP-Server für i5/OS
5761JV1 BASE IBM Developer Kit für Java
5761JV1 8, 9, 11, 13 Java SE, bzw. J2SE in verschiedenen Varianten

Mit GO LICPGM und Auswahl 10, und dann 2xF11 können Sie prüfen, ob die für SSL erforderlichen Betriebssystem Optionen installiert sind.

Die oben gezeigte Liste bezieht sich auf den Betriebssystem-Stand IBM i V7R1. Die Anzeige kann je nach Version des IBM Release-Stands variieren, insbesondere bei den Java-Optionen.

Falls eine Komponente fehlt, kann Sie vom System-Administrator mit Auswahl 11 aus dem Menü LICPGM installiert werden.

Der IBM i - Verwaltungs-Server (HTTP-Instanz "*ADMIN) muss gestartet sein

Den Verwaltungsserver starten

Ist dies nicht der Fall, dann muss die *ADMIN-Instanz gestartet werden:

STRTCPSVR SERVER(*HTTP) HTTPSVR(*ADMIN)

Auf aktuellen IBM i Systemen der Webserver für die Systemverwaltung immer gestartet. Der Port 2001 ist damit erreichbar.

Prüfen, ob der Verwaltungsserver gestartet ist

Das kann überprüft werden mit dem Befehl

...

Damit sollten eine Reihe von Jobs angezeigt werden:

Image Removed

Den Verwaltungsserver starten

Ist dies nicht der Fall, dann muss die *ADMIN-Instanz gestartet werden:

...

werden:

Image Added

Anchor
DCMSTARTEN DCMSTARTEN

Den Digital Certificate Manager (DCM) im Browser aufrufen

...

1. Starten sie den Befehl STRTCPSVR SERVER(HTTP) HTTPSVR(*ADMIN) (siehe oben)

2. Verbinden Sie sich mit Ihrem System über einen Browser mit Port 2001 (

• HTTP: http://<ibmi-ip-adresse>:2001/dcm
• HTTPS:http://<ibmi-ip-adresse>:

...

• 2010/dcm

...

...

...

Anchor
ZERTSPEICHER ZERTSPEICHER

Einen Zertifikatsspeicher im Bereich *SYSTEM erstellen

...

Erstellen Sie den neuen Zertifikatsspeicher

Klicken Sie auf Neuen Zertifikatsspeicher erstellen und wählen Sie Speicher für andere Systemzertifikate

...

Image Removed

...

Image Added

Klicken Sie auf Zertifikatsspeicher erstellen Image Added










Beantworten Sie die Frage, ob ein Zertifikat erstellt werden soll mit Nein - Kein Zertifikat im Zertifikatsspeicher erstellen





6. Geben Sie einen Pfad und Namen im IFS der IBM i an. Hier wird der neue Zertifikatsspeicher erstellt


...

.


...

Standard

...

: /QIBM/UserData/ICSS/Cert/Server/DEFAULT.KDB

Bitte nennen Sie den Speicher wie angegeben: DEFAULT.KDB.

Image Added Das System bestätigt das erfolgreiche

...

Erstellen des Zertifikatsspeichers.

Image Added Klick auf "Erstellen" Image Added




Für directmail ist damit alles getan, was getan werden muss. Mit dem existierenden Zertifkatsspeicher ist directmail in der Lage Mails mit SSL/TLS zu versenden und es müssen keine Zertifikate erstellt oder zugeordnet werden.

...

• Einige kommerzielle Anbieter sind auf der Seite https://ssl.de aufgeführt.
• Die gemeinnützige Organsiation "Let's Encrypt" stellt solche Zertifikate auch kostenlos aus. Weitere Information: https://www.webhosterwissenwe
• bhosterwissen.de/know-how/eigener-webserver/tutorial-apache-lets-encrypt-fuer-ssl-schutz/

...

Wenn ein eigenes Zertifikat auf der IBM i erstellt werden soll, ist diesen Schritten zu folgen:

1. Ein CA-Zertifikat für die IBM i erstellen
2. Ein Anwendungs-Zertifikat für den HTML-Server erstellen und zuordnen
3. Das CA-Zertifikat für die Benutzer verfügbar machen
   1. Das CA-Zertifikat auf den Benutzer-PCs unter "Vertrauenswürdige Stammzertifizierungsstellen" installieren
   2. Das CA-Zertifikat in der Domäne installieren

Anchor
CAZERTI CAZERTI

Ein CA-Zertifikat für die IBM i erstellen

...

Folgen Sie den Schritten 1-3 des obigen Abschnittes Den Digital Certificate Manager (DCM) im Browser aufrufen und fahren Sie dann mit Schritt 4 fort.

4. Klicken Sie auf Zertifikatsspeicher wählen und wählen Sie Lokale Zertifizierungsinstanz (CA) aus, klicken Sie auf Weiter

Image Added

...

5. Geben Sie das Kennwort ein und klicken Sie auf Weiter

...

5. Klicken Sie im Menü links auf Zertifizierungsinstanz erstellen und geben Sie die erforderlichen Daten ein, klicken Sie dann Weiter

Image Modified

Image Added Image Added Image Added

6. Klicken Sie auf Weiter

7. Geben Sie die Richtliniendaten für die CA ein und klicken Sie auf Weiter

...

Folgen Sie den Schritten 1-3 des obigen Abschnittes Den Digital Certificate Manager (DCM) im Browser aufrufen und fahren Sie dann mit Schritt 4 fort.

...

Folgen Sie den Schritten 1-3 des obigen Abschnittes Den Digital Certificate Manager (DCM) im Browser aufrufen und fahren Sie dann mit Schritt 4 fort.

...

Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Richtlinien für öffentliche Schlüssel → Vertrauenswürdige Stammzertifizierungsstellen

Anchor
DCMProbleme	DCMProbleme

Probleme beim Zugriff auf den Digital Certificate Manager

DCMProbleme DCMProbleme

Probleme beim Zugriff auf den Digital Certificate Manager

Anstelle der IP-Adresse mit Port 2001 können sie auch die komplette URL versuchen:

http:// systemname:2001/QIBM/ICSS/Cert/Admin/qycucm1.ndm/main0

Die folgende IBM Webseiten helfen hilft Ihnen, wenn der Zugriff auf den DCM fehlschlägt:

...

http://www-01.ibm.com/support/docview.wss?uid=nas8N1018538

Anstelle der IP-Adresse mit Port 2001 können sie auch die komplette URL versuchen:

http:// systemname:2001/QIBM/ICSS/Cert/Admin/qycucm1.ndm/main0

TLS 1.2 unter IBM i V7R1 aktivieren

...