le forum IBM i

Bonjour à tous,

J'ai essayé de trouver sur le forum mais je n'ai pas trouvé le problème similaire.

Nous essayons de mettre en place les appels de Web Services depuis SQL avec les outils DB2.

Lorsque j'essaye de faire un appel vers un serveur web interne (qui est notre serveur d'api) en https, j'ai le message d'erreur en capture d'écran. (Le certificat est un Sectigo Wildcard)

En http cela fonctionne bien.

De ce que j'ai pu lire sur les forums à droite / gauche, il faudrait activer dans le DCM, les autorités correspondantes dans le magasin *SYSTEM. Je n'ai apparemment qu'une seule autorité de certification (capture ci-joint),

est-ce qu'il faut cocher l'autorité correspondante au certificat ? ou faut-il modifier un autre paramètre ?

Merci

Bonjour,

A priori (avec les infos transmises) :
- l'ensemble des certificats sur la capture sont des autorités
- je pense que vous utilisez les fonctions http de QSYS2 (et non de SYSTOOLS) : DB2 va chercher les autorités de certification présentes dans le magasin *SYSTEM
=> il manque certainement les autorités SECTIGO correspondant au certificat serveur auquel vous vous connectez
Il faut donc récupérer l'autorité (toute la chaine si nécessaire) et l'importer dans DCM magasin *SYSTEM

Bonjour,
Merci pour votre réponse.

Oui j'utilise le QYS2.HTTP_POST, quelle est la différence avec le SYSTOOL ?

J'avais tenté déjà d'importer le certif dans le DCM, mais on dirait qu'il ne le reconnait pas.

Lorsque j'ouvre le fichier p7b, j'ai les trois fichiers en capture.

J'ai ce message d'erreur :

An error occurred during certificate validation.

The Certificate Authority (CA) certificate containing the public key needed for certificate validation may not exist in the certificate store. If the CA certificate does exist, ensure it is enabled.


Ce qui me pose question, c'est que le jour ou on veut faire un web service vers un site https qui utilise une autre CA, il faut l'importer à chaque fois ?

Bonjour,

Les fonctions de QSYS2 utilisent DCM, les fonctions de SYSTOOLS utilisent les keystores java par défaut ...

Oui, il faut les importer, dans le bon ordre : le primaire (le plus haut dans la liste) puis l'intermédiaire.
Pas besoin du certificat serveur lui-même.

Et oui, il faut importer les CA nécessaires.
Toutefois, on retrouve les mêmes très régulièrement, et la liste est également maintenue par PTF pour les standards

Re-bonjour,

A force de bidouiller avec les exports du certificat dans le DCM. Je suis parvenu à le faire. Cela fonctionne désormais

Je posterais la procédure exacte que j'ai faite pour que cela serve si besoin.

Merci de votre aide.