...
Table of Contents | ||
---|---|---|
|
IBM i - Option 39: International Components for Unicode (ICU)
Einige unserer Produkte benötigen bestimmte Komponenten des Betriebssystems als Installationsvoraussetzungen. Zum Beispiel benötigt WOPiXX die "International Components for Unicode" (ICU), Betriebssystem-Option 39.
Diese muss ggf. nachinstalliert werden, hierfür muss man wissen, wo man die Option findet. Im nächsten Kapitel finden Sie eine Übersicht, wo welche Lizenzprogramme und -optionen auf den IBM i - Installationsmedien zu finden sind.
Installationsmedien (DVD) für das Betriebssystem IBM i
Je nach installierter Version des Betriebssystems finden Sie die Option auf unterschiedlichen DVD des Satzes. Die folgenden URL zeigen dies:
...
Zu IBM i und seinen Versionen
IBM i Ankündigungen
nach installierter Version des Betriebssystems finden Sie die Option auf unterschiedlichen DVD des Satzes. Die folgenden URL zeigen dies:
Version | URL der IBM-Ankündigung | Verfügbar ab | End of life |
V7R5M0 | https://www.ibm.com/ |
common/ssi/ShowDoc.wss?docURL=/common/ssi/rep_ca/8/877/ENUSZP22-0088/index.html | 2022-05-10 |
Installationsmedien (DVD) für das Betriebssystem IBM i
Je nach installierter Version des Betriebssystems finden Sie die Option auf unterschiedlichen DVD des Satzes. Die folgenden URL zeigen dies:
V7R5M0 | https://www.ibm.com/support/knowledgecenter/ssw_ibm_i_ |
75/rzahc/rzahcswsmedialabel.htm |
V7R4M0 | https://www.ibm.com/support/knowledgecenter/ssw_ibm_i_74/rzahc/rzahcswsmedialabel.htm |
V7R3M0 | https://www |
.ibm.com/support/knowledgecenter/ssw_ibm_i_ |
73/rzahc/rzahcswsmedialabel.htm |
V7R2M0 | http://www-01.ibm.com/support/knowledgecenter/ssw_ibm_i_ |
72/rzahc/rzahcswsmedialabel.htm |
V7R1M0 |
https://www- |
304.ibm.com/support/knowledgecenter/ssw_ibm_i_ |
71/rzahc/rzahcswsmedialabel.htm |
Beispiel für ICU:
5770SS1 39 International Components for Unicode
V7R3 B_GROUPx_02 (LCD8-2044-0x B_GROUP1_02) (LCD8-2049-0x B_GROUP2_02) (LCD8-2054-0x B_GROUP3_02)
V7R2 B_GROUPx_02 (LCD8-2044-0x B_GROUP1_02) (LCD8-2049-0x B_GROUP2_02) (LCD8-2054-0x B_GROUP3_02)
IBM i Technology Refreshes (TR)
In unregelmässigen Abständen veröffentlicht IBM Pakete von PTFs, die die Funktionen des Betriebssystems und seiner Komponenten erheblich ergänzen, aber noch nicht als vollständige neue Versionen oder Releases von IBM i angesehen werden können. Diese "Technology Refreshes" werden auf dem Weg, wie normale PTFs ausgeliefert. Damit wird die Zeit zwischen diesen Funktionserweiterungen deutlicht verkürzt, gegenüber dem Zyklus der Versionen und Releases.
Eine aktuelle übersicht über die verschiedenen TR finden Sie auf auf dem der IBM-WikiSeite IBM i Technology Refresh
Für einige Toolmaker-Produkte werden bestimmte TR-Levels als Voraussetzung benötigt. Zum Beispiel: unser Produkt WOPiXX benötigt mindestens V7R1 TR11.
Den aktuellen TR-Stand eines IBM i -Systems ermitteln
Den TR-Stand Ihres Systems können Sie mit folgendem Befehl ermitteln:
...
Nach Eingabe des Befehls erscheint eine Liste mit installierten TR-Levels. Diese sieht ungefähr so aus (hier für ein System mit V7R1 TR11)
Ausw PTF-Gruppe Level Status
SF99707 8 Installiert
SF99707 10 Installiert
SF99707 11 Installiert
Die höchste Zahl in der Spalte "Level" gibt den TR-Level des Systems an.
Konfiguration von SSL, TLS und HTTPS (z.B. für WOPiXX)
Für verschiedene Toolmaker-Produkte müssen betriebssystem-seitig einige Vorbereitungen getroffen werden. Zum Beispiel:
- directmail: für die directmail ist die Existenz eines Zertifikatspeichers erforderlich. Es müssen nicht unbedingt Zertifikate erstellt werden, es muss lediglich der Speicher vorhanden sein.
- WOPiXX: wenn die Benutzer über HTTPS auf die WOPiXX-Anwendungen zugreifen sollen, dann muss ein Zertifikat für den HTML-Server der IBM i konfiguriert sein.
- wenn dieses Zertifikat von einer offiziellen Stelle ausgestellt wurde, dann muss es lediglich im Zertifikatsspeicher verfügbar gemacht werden
- wenn es aber auf der IBM i selbst ausgestellt wird (was in den meisten Fällen der Fall ist), dann muss die IBM i auf den PCs der Benutzer als "Vertrauenswürdige Stammzertifizierungsstelle" bekannt gemacht werden, damit sie das HTML-Server-Zertifikat auch akzeptieren
Diese Schritte werden hier beschrieben.
Voraussetzungen - Erforderliche Betriebssystem-Komponenten von IBM i
Die folgenden Betriebssystem-Optionen sind erforderlich:
5770SS1 34 Digital Certificate Manager
5770DG1 BASE IBM *HTTP-Server für i5/OS
5761JV1 BASE IBM Developer Kit für Java
5761JV1 8, 9, 11, 13 Java SE, bzw. J2SE in verschiedenen Varianten
Mit GO LICPGM und Auswahl 10, und dann 2xF11 können Sie prüfen, ob die für SSL erforderlichen Betriebssystem Optionen installiert sind.
Die oben gezeigte Liste bezieht sich auf den Betriebssystem-Stand IBM i V7R1. Die Anzeige kann je nach Version des IBM Release-Stands variieren, insbesondere bei den Java-Optionen.
...
V7R5 | WRKPTFGRP SF99745 | https://www.ibm.com/support/pages/ibm-i-technology-refresh-information-ibm-i-75 |
V7R4 | WRKPTFGRP SF99737 | https://www.ibm.com/support/pages/node/959455 |
V7R3 | WRKPTFGRP SF99727 | https://www.ibm.com/support/pages/node/687365 |
V7R2 | WRKPTFGRP SF99717 | https://www.ibm.com/support/pages/node/687327 |
V7R1 | WRKPTFGRP SF99707 | https://www.ibm.com/support/pages/node/687325 |
Nach Eingabe des Befehls erscheint eine Liste mit installierten TR-Levels. Diese sieht ungefähr so aus (hier für ein System mit V7R1 TR11)
Ausw PTF-Gruppe Level Status
SF99707 8 Installiert
SF99707 10 Installiert
SF99707 11 Installiert
Die höchste Zahl in der Spalte "Level" gibt den TR-Level des Systems an.
IBM i - Option 39: International Components for Unicode (ICU)
Einige unserer Produkte benötigen bestimmte Komponenten des Betriebssystems als Installationsvoraussetzungen. Zum Beispiel benötigt WOPiXX die "International Components for Unicode" (ICU), Betriebssystem-Option 39.
Diese muss ggf. nachinstalliert werden, hierfür muss man wissen, wo man die Option findet. Im nächsten Kapitel finden Sie eine Übersicht, wo welche Lizenzprogramme und -optionen auf den IBM i - Installationsmedien zu finden sind.
Die HTTP-Verwaltungsserver und ihr Aufruf
Die Funktionen, die früher vom PC-Programm "IBM i Navigator" verfügbar gemacht wurden, sind weitestgehend in browser-basierte Anwendungen gewandert.
Davon gibt es (Stand April 2023) zwei Stück:
- IBM Navigator for i
- Heritage IBM Navigator for i
Name | verfügbar ab | Aufruf | IBM i - Jobs in Subsystem QHTTPSVR |
---|---|---|---|
IBM Navigator for i | http://<ibmi-name-oder-adresse>:2001 | ADMIN1, 3, 4, 5 | |
Heritage IBM Navigator for i | http://<ibmi-name-oder-adresse>:2004/ibm/console | ADMIN2 (muss separat gestartet werden) |
Note | ||
---|---|---|
| ||
Der Serverjob für den Heritage IBM Navigator for i wird als unsicher angesehen und nicht standardmässig mit dem Betriebssystem gestartet. Wenn man ihn benötigt und - auf eigene Gefahr - aktivieren möchte, dann muss man den Schritten auf dieser IBM-Seite folgen: https://www.ibm.com/support/pages/node/6556828 |
Konfiguration von SSL, TLS und HTTPS (z.B. für WOPiXX, directmail)
Note |
---|
Bitte führen Sie die folgenden Schritte immer unter dem Benutzerprofil QSECOFR aus oder mit einem Benutzerprofil mit identischen Berechtigungen. |
Digital Certificate Manager (DCM)
Die erforderlichen Konfigurations-Tätigkeiten werden mit dem Digital Certificate Manager (DCM) ausgeführt. Der DCM ist eine Web-Anwendung und wird im Browser über den Port 2001 aufgerufen.
Er kann wahlweise über die IP-Adresse der IBM i aufgerufen werden oder über ihren IP-Namen:
Weitere Hinweise zum Arbeiten mit dem Digital Certificate Manager sind in der IBM i - knowledgebase verfügbar.
...
Für verschiedene Toolmaker-Produkte müssen betriebssystem-seitig einige Vorbereitungen getroffen werden. Zum Beispiel:
- directmail: für die directmail ist die Existenz eines Zertifikatspeichers erforderlich. Es müssen nicht unbedingt Zertifikate erstellt werden, es muss lediglich der Speicher vorhanden sein.
- WOPiXX: wenn die Benutzer über HTTPS auf die WOPiXX-Anwendungen zugreifen sollen, dann muss ein Zertifikat für den HTML-Server der IBM i konfiguriert sein.
- wenn dieses Zertifikat von einer offiziellen Stelle ausgestellt wurde, dann muss es lediglich im Zertifikatsspeicher verfügbar gemacht werden
- wenn es aber auf der IBM i selbst ausgestellt wird (was in den meisten Fällen der Fall ist), dann muss die IBM i auf den PCs der Benutzer als "Vertrauenswürdige Stammzertifizierungsstelle" bekannt gemacht werden, damit sie das HTML-Server-Zertifikat auch akzeptieren
Diese Schritte werden hier beschrieben.
Digital Certificate Manager (DCM)
Die erforderlichen Konfigurations-Tätigkeiten werden mit dem Digital Certificate Manager (DCM) ausgeführt. Der DCM ist eine Web-Anwendung und wird im Browser aufgerufen (siehe unten).
Weitere Hinweise zum Arbeiten mit dem Digital Certificate Manager sind in der IBM i - knowledgebase verfügbar.
Voraussetzungen für den Aufruf des DCM
Erforderliche Betriebssystem-Komponenten von IBM i
Die folgenden Betriebssystem-Optionen sind erforderlich:
57xxSS1 30 QShell
57xxSS1 34 Digital Certificate Manager
5770DG1 BASE IBM *HTTP-Server für i5/OS
5761JV1 BASE IBM Developer Kit für Java
5761JV1 8, 9, 11, 13 Java SE, bzw. J2SE in verschiedenen Varianten
Mit GO LICPGM und Auswahl 10, und dann 2xF11 können Sie prüfen, ob die für SSL erforderlichen Betriebssystem Optionen installiert sind.
Die oben gezeigte Liste bezieht sich auf den Betriebssystem-Stand IBM i V7R1. Die Anzeige kann je nach Version des IBM Release-Stands variieren, insbesondere bei den Java-Optionen.
Falls eine Komponente fehlt, kann Sie vom System-Administrator mit Auswahl 11 aus dem Menü LICPGM installiert werden.
Der IBM i - Verwaltungs-Server (HTTP-Instanz "*ADMIN) muss gestartet sein
Den Verwaltungsserver starten
Ist dies nicht der Fall, dann muss die *ADMIN-Instanz gestartet werden:
STRTCPSVR SERVER(*HTTP) HTTPSVR(*ADMIN)
Auf aktuellen IBM i Systemen der Webserver für die Systemverwaltung immer gestartet. Der Port 2001 ist damit erreichbar.
Prüfen, ob der Verwaltungsserver gestartet ist
Das kann überprüft werden mit dem Befehl
...
Damit sollten eine Reihe von Jobs angezeigt werden:
Den Verwaltungsserver starten
Ist dies nicht der Fall, dann muss die *ADMIN-Instanz gestartet werden:
...
werden:
Anchor | ||||
---|---|---|---|---|
|
...
Note | ||||
---|---|---|---|---|
| ||||
Falls dieser Zertifikatspeicher noch nicht existiert, kommt es bei Nutzung der Funktion SSL in directmail zu einem Fehler mit dem Stichwort GSKit. Zm Beispiel im Joblog des Jobs DMSND01 im Subsystem DIRMAIL. Grund ist, dass das Betriebssystem prüfen muss, ob vertrauenswürdige Zertifikate vorhanden sind. Zwar sind lokale Zertifikate für die SSL Funktion in directmail nicht nötig, aber die Prüfung findet trotzdem statt. |
1. Starten sie den Befehl STRTCPSVR SERVER(HTTP) HTTPSVR(*ADMIN)
(siehe oben)
2. Verbinden Sie sich mit Ihrem System über einen Browser mit Port 2001 (
- HTTP: http://<ibmi-ip-adresse>:2001/dcm
- HTTPS:http://<ibmi-ip-adresse>:
...
- 2010/dcm
Note | ||
---|---|---|
| ||
Wenn dieser Aufruf im Browser fehlschlägt, dann folgen Sie bitte den Hinweisen im Abschnitt Probleme beim Zugriff auf den Digital Certificate Manager |
...
Ab V7R1 http://ibmi-ip-adresse>:2001 auf „IBM i Taskseite" im rechten Fenster klicken, danach weiter mit „Digital Certificate Manager" |
3. Klicken Sie auf Digital Certificate Manager - http
...
Ab IBM i V7R3
|
Klicken Sie auf Digital Certificate Manager - http oderLesezeichen→ IBM Digital Certificate Manager for i |
Anchor | ||||
---|---|---|---|---|
|
4. Erstellen Sie den neuen Zertifikatsspeicher
Klicken Sie auf Neuen Zertifikatsspeicher erstellen und wählen Sie Speicher für andere Systemzertifikate |
...
...
Klicken Sie auf Zertifikatsspeicher erstellen |
Beantworten Sie die Frage, ob ein Zertifikat erstellt werden soll mit Nein - Kein Zertifikat im Zertifikatsspeicher erstellen
6. Geben Sie einen Pfad und Namen im IFS der IBM i an. Hier wird der neue Zertifikatsspeicher erstellt
...
.
Standard: /QIBM/UserData/ICSS/Cert/Server/DEFAULT.KDB
Bitte nennen Sie den Speicher wie angegeben: DEFAULT.KDB.
Das System bestätigt das erfolgreiche |
...
Erstellen des Zertifikatsspeichers. | Klick auf "Erstellen" |
Für directmail ist damit alles getan, was getan werden muss. Mit dem existierenden Zertifkatsspeicher ist directmail in der Lage Mails mit SSL/TLS zu versenden und es müssen keine Zertifikate erstellt oder zugeordnet werden.
...
- Einige kommerzielle Anbieter sind auf der Seite https://ssl.de aufgeführt.
- Die gemeinnützige Organsiation "Let's Encrypt" stellt solche Zertifikate auch kostenlos aus. Weitere Information: https://www.webhosterwissenwe
- bhosterwissen.de/know-how/eigener-webserver/tutorial-apache-lets-encrypt-fuer-ssl-schutz/
...
4. Klicken Sie auf Zertifikatsspeicher wählen und wählen Sie Lokale Zertifizierungsinstanz (CA) aus, klicken Sie auf Weiter
...
5. Geben Sie das Kennwort ein und klicken Sie auf Weiter
...
5. Klicken Sie im Menü links auf Zertifizierungsinstanz erstellen und geben Sie die erforderlichen Daten ein, klicken Sie dann Weiter
6. Klicken Sie auf Weiter
7. Geben Sie die Richtliniendaten für die CA ein und klicken Sie auf Weiter
...
Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Richtlinien für öffentliche Schlüssel → Vertrauenswürdige Stammzertifizierungsstellen
Anchor | DCMProbleme | DCMProbleme |
---|
|
Anstelle der IP-Adresse mit Port 2001 können sie auch die komplette URL versuchen:
http:// systemname:2001/QIBM/ICSS/Cert/Admin/qycucm1.ndm/main0
Die folgende IBM Webseiten helfen hilft Ihnen, wenn der Zugriff auf den DCM fehlschlägt:
...
http://www-01.ibm.com/support/docview.wss?uid=nas8N1018538
Anstelle der IP-Adresse mit Port 2001 können sie auch die komplette URL versuchen:
http:// systemname:2001/QIBM/ICSS/Cert/Admin/qycucm1.ndm/main0
TLS 1.2 unter IBM i V7R1 aktivieren
...