Paraestabelecerumaconexãoseguraentreum adaptadorTivoliIdentityManager e oServidorTivoliIdentityManager,énecessário configuraroadaptadoreo servidor paraqueutilizema autenticaçãoSSL(SecureSockets Layer)como protocolo decomunicaçãopadrão,DAML.AconfiguraçãodoadaptadorparaSSL asseguraqueoServidorTivoliIdentityManagerverifiqueaidentidadedo
adaptadorantesqueumaconexãosegurasejaestabelecida.
Você podeconfiguraraautenticaçãoSSLparaconexõesoriginárias doServidor TivoliIdentityManageroudo adaptador.Normalmente,o ServidorTivoliIdentity Manager iniciaumaconexãocomoadaptadorparadefinirerecuperarovalorde um atributogerenciadonoadaptador. Entretanto,dependendodosrequisitosde segurança deseuambiente,talvezsejanecessárioconfigurara autenticaçãoSSL paraconexõesoriginárias doadaptador.Porexemplo,seoadaptadorutilizar eventosparanotificar oServidorTivoliIdentityManager dealteraçõesnos atributos doadaptador,você poderáconfigurara autenticaçãoSSLparaconexões daWebqueseoriginemdo adaptadorparaoservidor WebutilizadopeloServidor TivoliIdentityManager.
Em umambientede produção,énecessárioativarasegurançaSSL;entretanto, parafinalidadesdeteste,talvezvocê queiradesativaroSSL.Seumaplicativo externoquesecomunicacomo adaptador(comoo ServidorTivoliIdentity
Manager) estiverdefinidoparautilizarautenticaçãodeservidor,vocêdeverá ativar o SSLnoadaptadorparaverificar ocertificadoqueoaplicativoapresenta.
EstecapítuloapresentaumavisãogeraldaautenticaçãoSSL,doscertificadosede como ativara autenticaçãoSSLcomousodoutilitárioCertTool.
Visão
Geral
dos
Certificados
Digitais
e
SSL
Aoimplementar oTivoliIdentityManager emumaredecorporativa,vocêdeve proteger acomunicaçãoentreoServidorTivoliIdentityManagereosprodutosde software ecomponentescomosquaisoservidor secomunica.OprotocoloSSL padrão demercado,queutilizacertificadosdigitaisassinadosde umaCA (Autoridadede Certificação)paraautenticação,éutilizadoparaprotegera
comunicaçãoemumaimplementaçãodoTivoliIdentityManager.Adicionalmente, o SSLforneceacriptografia dosdadostrocados entreosaplicativos.Acriptografia torna osdadostransmitidospelaredeinteligíveisapenasparaodestinatário pretendido.
Os certificadosdigitaisassinadospermitemquedoisaplicativosseconectema uma rede paraautenticaraidentidadeentresi. Umaplicativoqueagecomo um
servidor SSLapresentasuascredenciaisemumcertificadodigitalassinadopara verificar seumcliente SSLéa entidadequeeledeclaraser.Umaplicativoqueage como umservidorSSLpodetambémser configuradopararequerer queo
aplicativo queagecomoum clienteSSLapresentesuascredenciaisem um certificado, concluindopormeiodissoumatrocadecertificadosbidirecionais.Os certificados assinadossãoemitidospor umaautoridadedecertificaçãoterceirizada, mediante umataxa.Algunsutilitários,comoaquelesfornecidospeloOpenSSL, também podememitircertificadosassinados.
Umcertificadodeautoridadedecertificação(certificadoCA)deveserinstalado paraverificar aorigemdeum certificadodigitalassinado.Quandoum aplicativo receberum certificadoassinadode outroaplicativo,utilizaráumcertificadodeCA paraverificar ooriginadordo certificado.Umaautoridadedecertificaçãopode ser de renomeeamplamenteutilizadaporoutrasorganizações,oupodeser localpara umaregiãoouempresaespecífica.Muitosaplicativos,como navegadoresdaWeb, sãoconfigurados comoscertificadosCAdeautoridadesdecertificaçãoderenome paraeliminaroureduziratarefadedistribuircertificadosCApormeiodezonas de segurançaemumarede.
Chaves
Privadas,
Chaves
Públicas
e
Certificados
Digitais
Chaves,certificadosdigitaiseautoridades decertificaçãoconfiáveissãoutilizados paraestabelecereverificarasidentidadesdosaplicativos.
OSSLutilizatecnologia decriptografiade chavepúblicaparaautenticação.Na criptografia dechave pública,umachave públicaeumachaveprivadasãogeradas paraum aplicativo.Os dadoscriptografadoscomachave públicasópodemser decriptografados utilizandoachaveprivadacorrespondente.Demaneira semelhante,osdadoscriptografadoscomachave privadapodemser
decriptografados apenasutilizandoachave públicacorrespondente.Achave privadaéprotegida porsenhaemum arquivodobanco dedadosde chaves,de modoqueapenasoproprietáriopossaacessar achave privadaparadecriptografar mensagens criptografadasutilizandoachave públicacorrespondente.
Certificadodigitalassinadoéummétodopadrãode mercadoparaverificara autenticaçãode umaentidade,comoum servidor,umclienteouum aplicativo. Paragarantirsegurançamáxima, umcertificadoéemitidoporumaautoridadede certificaçãodeterceiros.Umcertificadocontémasseguintes informaçõespara verificar aidentidadedeumaentidade:
Informaçõesorganizacionais
Estaseçãodocertificadocontéminformaçõesqueidentificamcom exclusividade oproprietáriodocertificado, comoumnomeeendereço organizacional.Você forneceessasinformaçõesaogerarumcertificadocom o usodeum utilitáriode gerenciamentode certificados.
Chave pública
Oreceptordocertificadoutilizaachave públicaparadecifrartexto criptografado enviadopeloproprietáriodocertificadoparaverificarsua identidade.Achavepúblicatem umachave privadacorrespondenteque criptografao texto.
Nomedistintodaautoridadedecertificação
Oemissordocertificadoidentificaasiprópriocomessasinformações. Assinaturadigital
Oemissordocertificadooassinacom umaassinaturadigitalparaverificar suaautenticidade.Essa assinaturaécomparadaà assinaturanocertificado de CAcorrespondenteparaverificarseocertificadofoioriginadoemuma autoridadedecertificaçãoconfiável.
NavegadoresdaWeb,servidorese outrosaplicativosativados paraSSLgeralmente aceitam comogenuínoqualquercertificadodigitalquesejaassinadoporuma autoridadede certificaçãoconfiável eporoutroladoválido.Por exemplo,um certificadodigitalpode serinvalidadosetiverexpiradoouseo certificadode CA utilizado paraverificá-lotiverexpirado,ouporqueo nomedistintodocertificado digitaldo servidornãocorresponde aonomedistintoespecificado pelocliente.
Certificados
Auto-assinados
Você podeutilizarcertificadosauto-assinadosparatestarumaconfiguraçãoSSL antesdecriar einstalarumcertificadoassinadoemitido porumaautoridadede certificação. Umcertificadoauto-assinadocontémumachavepública,informações sobreoproprietáriodo certificadoea assinaturadoproprietário.Possuiuma chave privadaassociada,masnãoverifica aorigemdo certificadopormeiode umaautoridadedecertificaçãodeterceiros.Umavezgerado umcertificado auto-assinadoemum aplicativoservidorSSL,vocêdeverá extraí-loeincluí-lono registrodecertificadodoaplicativocliente SSL.
Esseprocedimento éequivalenteainstalarumcertificadoCAquecorrespondaa um certificadodo servidor.Entretanto,não incluaa chaveprivadanoarquivo quandovocê extrairumcertificadoauto-assinadoparautilizarcomo oequivalente de umcertificadoCA.
Use umutilitáriokeymanagement paragerarum certificadoauto-assinadoeuma chave privada,paraextrair umcertificadoauto-assinado,eparaincluí-lo.
Ondeecomo optarpelousodecertificados auto-assinadosdependedeseus requisitosdesegurança.Paraobter onívelmaisaltodeautenticaçãoentre componentes desoftwarecríticos,nãoutilizecertificadosauto-assinadosou utilize-os seletivamente.Porexemplo,você podeoptar porautenticaraplicativos queprotegemosdadosdo servidorcomcertificadosdigitaisassinados eutilizar certificados auto-assinadosparaautenticarnavegadoresdaWebouadaptadores TivoliIdentityManager.
Sevocê estiverutilizandocertificadosauto-assinados,nosseguintesprocedimentos, poderásubstituir umcertificadoauto-assinadoporumpar decertificadoCAe certificado.
Formatos
de
Certificado
e
de
Chave
Certificadose chavessãoarmazenadosemarquivoscomosseguintesformatos: Formato.pem
Umarquivodeformato.pem(privacy-enhancedmail)começae termina comasseguinteslinhas:
---BEGIN CERTIFICATE--- ---END CERTIFICATE---
Umformatodearquivo.pemsuportavárioscertificadosdigitais,incluindo umacadeiade certificados.Sesuaorganizaçãoutilizacadeiade
certificados,useesseformatoparacriar certificadosCA. Formato.arm
Umarquivo.armcontémumarepresentaçãoASCII codificadaembase 64 de umcertificado,incluindo suachavepública,masnãosuachave
privada.Umformatodearquivo.arm égeradoeusadopeloutilitárioIBM Key Management.
Formato.der
Umarquivo.dercontémdados binários.Umarquivo.dersópodeser utilizado paraum únicocertificado,aocontráriodeumarquivo.pem,que pode contervárioscertificados.
Formato.pfx(PKCS12)
ArquivoPKCS12éum arquivoportátilquecontémumcertificadoe uma chave privadacorrespondente.Esseformatoéútilparaconversõesdeum
tipo deimplementaçãoSSLem umaimplementaçãodiferente.Por exemplo,vocêpode criareexportarum arquivoPKCS12usandoo utilitárioIBMKey Management,importando,emseguida,oarquivopara outra máquinausandooutilitárioCertTool.
O
Uso
da
Autenticação
SSL
Quando vocêiniciaoadaptador, osprotocolosdeconexãodisponíveissão carregados. OprotocoloDAMLé oúnicoprotocolodisponívelquesuportaouso de autenticaçãoSSL.Vocêpode especificarousodaimplementaçãoDAMLSSL. AimplementaçãoDAMLSSLutilizaum registrodecertificadoparaarmazenar chavesprivadase certificados.Olocaldoregistrodecertificadoégerenciado internamente pelachaveCertToolepelaferramentade gerenciamentode certificado; assim,não especifiqueolocaldo registroquandoexecutartarefasde gerenciamentodecertificados.
Paraobter maisinformaçõessobreoDAMLProtocol,consulte“Alterando Definições deConfiguraçãodeProtocolo”napágina 10.
Configurando
Certificados
para
Autenticação
SSL
Utilize osprocedimentosaseguirparaconfiguraroadaptadorparaautenticação SSLdeumaouduasvias,utilizandocertificadosassinados.Paraexecutaresses procedimentos, useoutilitárioCertTool.
Configurando
Certificados
para
Autenticação
SSL
de
Uma
Via
Nestecenário, oservidorTivoliIdentityManagereoadaptadorTivoliIdentity Manager estãodefinidosparautilizarSSL.Aautenticaçãodeclientenãoestá definida emnenhumaplicativo.OServidorTivoliIdentityManagerfuncionacomo o clienteSSLeiniciaa conexão.Oadaptadorfuncionacomooservidor SSLe responde enviandoseucertificadoassinadoparaoServidorTivoliIdentity Manager.OServidorTivoliIdentityManagerutilizaocertificadoCAinstalado paravalidaro certificadoenviado peloadaptador.
NaFigura2,oAplicativoAfuncionacomooServidorTivoliIdentityManagereo Aplicativo BfuncionacomooadaptadorTivoliIdentityManager.
ParaconfiguraroSSLde umavia,executeasseguintestarefasparacada aplicativo:
Iniciar comunicação
Servidor Tivoli Identity Manager (cliente SSL)
Armazenamento de chave
Certificado A de CA
Adaptador Tivoli Identity Manager (servidor SSL)
Certificado A Verificar Enviar Certificado B
1. Noadaptador,concluaestasetapas: a. InicieoutilitárioCertTool.
b. Paraconfiguraroaplicativo servidorSSLcomum certificadoassinado emitidoporumaautoridadedecertificação:
1) Crieum CSR(CertificateSigningRequest)eumachaveprivada.Esta etapacria ocertificadocomumachave públicaincorporadaeuma chave privadaseparadaecolocaa chaveprivadanovalordoregistro PENDING_KEY.
2) SubmetaoCSR àautoridadedecertificaçãoutilizandoasinstruções fornecidaspelaCA.Aoenviar oCSR,especifiquequevocêdesejaqueo certificadodeCAraizsejadevolvidocomocertificadodoservidor. 2. NoServidorTivoliIdentityManager,concluaumadestasetapas:
v Sevocê estiverconfigurandoousode umcertificadoassinadoemitidopor umaCAde renome,verifiqueseoServidorTivoliIdentityManager
armazenouocertificadoraizdaCA(certificadoCA)emseuarmazenamento de chave.Seoarmazenamentodechave nãocontivero certificadoCA, extraia-odo adaptadore inclua-onoarmazenamentode chavedoservidor. v Sevocê estiverconfigurandoousode certificadosauto-assinados:
– Sevocêgerou ocertificadoauto-assinadonoServidorTivoliIdentity Manager,ocertificadojáestaráinstaladoemseuarmazenamentode chave.
– Sevocêgerou ocertificadoauto-assinadousandooutilitáriokey
managementde outroaplicativo,extraiao certificadodo armazenamento dechave desseaplicativoeinclua-onoarmazenamentodechave do ServidorTivoliIdentityManager.
Configurando
Certificados
para
Autenticação
SSL
de
Duas
Vias
Nestecenário, oservidorTivoliIdentityManagereoadaptadorTivoliIdentity Manager estãodefinidosparautilizaroSSLeoadaptadorestádefinidopara utilizara autenticaçãodecliente.AoenviarseucertificadoaoServidorTivoli IdentityManager,oadaptadorsolicitaa verificaçãode identidadedoservidor, que envia seucertificadoassinadoaoadaptador.Ambososaplicativossãoconfigurados comcertificados assinadosecertificadosCAcorrespondentes.
NaFigura3 napágina38,oServidorTivoliIdentityManagerfuncionacomoo AplicativoAeoadaptadorTivoliIdentityManagerfuncionacomooAplicativoB.
Oprocedimentoa seguirsupõequevocê jáconfigurouoadaptadoreoServidor TivoliIdentityManagerparaautenticaçãoSSLde umavia utilizandoo
procedimento descritoem “ConfigurandoCertificadosparaAutenticaçãoSSLde Uma Via”napágina 36.Portanto,sevocêestiverutilizandocertificadosassinados de umaCA:
v Oadaptadorestáconfiguradocomumachaveprivadaeumcertificadoassinado quefoiemitidoporumaCA.
v OServidorTivoliIdentityManagerestáconfiguradocomocertificadoCAda CAqueemitiuocertificadoassinadodoadaptador.
Paraconcluira configuraçãodocertificadoparaSSLdeduasvias,executeas seguintes tarefas:
1. NoServidorTivoliIdentityManager,crieumCSR eumachaveprivada, obtenha umcertificadodeumaCA,instale ocertificadoCA,instaleo certificadorecém-assinadoeextraiaocertificadoCAparaumarquivo temporário.
2. Noadaptador,incluaocertificadoCAquefoiextraídodoarmazenamentode chave doServidorTivoliIdentityManager parao adaptador.
Quando tiverconcluídoaconfiguraçãodecertificadodeduasvias, cadaaplicativo terá seuprópriocertificadoechaveprivadaeocertificadodaCAqueemitiuos certificados paracadaaplicativo.
Configurando
Certificados
quando
o
Adaptador
Funciona
como
um
Cliente
SSL
Nestecenário, oadaptadorfunciona comoumclienteSSLetambémcomoum servidor SSL.Estecenárioseráaplicável seoadaptadoriniciarumaconexão como servidor Web(utilizadopeloServidorTivoliIdentityManager) paraenviaruma notificaçãode evento.Porexemplo,oadaptadoriniciaa conexãoeoservidor Web responde apresentandoseucertificadoaoadaptador.
AFigura4 napágina39ilustra comoumadaptadorTivoliIdentityManager funciona comoumservidorSSLeumclienteSSL.Aocomunicarcomo Servidor TivoliIdentityManager,oadaptadorenviaseucertificadoparaautenticação.Ao comunicar comoservidorWeb,oadaptadorrecebeocertificadodoservidor Web.
C Iniciar comunicação Armazenamento de Chave Certificado A de CA Certificado B Certificado A Certificado B de CA
Adaptador Tivoli Identity Manager (servidor SSL) Servidor Tivoli Identity
Manager (cliente SSL)
Verificar
Enviar Certificado A
Verificar
Seo ServidorWebestiverconfiguradoparaautenticaçãoSSLdeduasvias,ele verificaráa identidadedoadaptador, queenvia seucertificadoassinadoao
servidor Web(nãomostrado nailustração).ParaativaraautenticaçãoSSLde duas viasentreoadaptadore oservidorWeb,utilizeoseguinteprocedimento:
1. Configureoservidor Webparautilizarautenticaçãode cliente.
2. Sigaoprocedimento paracriar einstalarum certificadoassinadonoservidor Web.
3. InstaleocertificadoCAnoadaptadorusandooutilitárioCertTool.
4. Incluanoservidor WebocertificadoCAcorrespondenteaocertificadoassinado doadaptador.
Paraobter maisinformaçõessobrecomoconfigurarcertificadosquandoo
adaptadoriniciaumaconexãocomoservidorWeb(utilizado peloServidorTivoli IdentityManager)paraenviarumanotificaçãodeevento,consulte oTivoliIdentity ManagerInformation Center.
Gerenciando
Certificados
SSL
Utilizando
o
CertTool
Os procedimentosnestaseçãodescrevemcomo usaro utilitárioCertToolpara gerenciar chavesprivadasecertificados.
Estaseçãoincluiinstruções paraaexecuçãodasseguintes tarefas: v “IniciandooCertTool”na página40.
v “GerandoumaChavePrivadaeumPedidode Certificado”napágina42. v
“Instalandoo Certificado”napágina43.
v “Instalandoo Certificadoea Chavede umArquivoPKCS12”napágina43. v
“VisualizandooCertificadoInstalado”napágina43. v “VisualizandoCertificadosCA”napágina44. v “Instalandoum CertificadoCA”napágina 44. v “Excluindoum CertificadoCA”napágina 44.
v “VisualizandoCertificadosRegistrados”napágina44. v “RegistrandoumCertificado”napágina 45.
v “CancelandooRegistrodeumCertificado”napágina 45.
Adaptador Tivoli Identity Manager Servidor Tivoli Identity Manager Certificado A de CA Certificado A CA Certificado C de Certificado C Servidor Web A B C Iniciar Comunicação Certificado A Iniciar Comunicação Certificado C
Figura4.AdaptadorTivoliIdentityManagerFuncionandocomoumServidorSSLeum ClienteSSL
Iniciando
o
CertTool
Parainiciara ferramentadeconfiguraçãodecertificado, CertTool,paraoOracle DatabaseAdapter,concluaestas etapas:
1. SelecioneProgramasnomenuIniciar,selecioneAcessóriose,emseguida, selecionePromptdeComandos.
2. NajanelaPromptdeComandosdoDOSdo MicrosoftWindows,váparao diretóriobindo adaptador.Porexemplo,seodiretóriodoOracle Database Adapterestiver nolocalpadrão,digite oseguintecomando:
cd C:\Tivoli\Agents\OracleAgent\bin
3. DigiteCertTool -agentOracleAgent noprompt.O MainMenué exibido: Main menu - Configuring agent: OracleAgent
---
A. Generate private key and certificate request B. Install certificate from file
C. Install certificate and key from PKCS12 file D. View current installed certificate
E. List CA certificates F. Install a CA certificate G. Delete a CA certificate
H. List registered certificates I. Register certificate J. Unregister a certificate
K. Export certificate and key to PKCS12 file
X. Quit
Choice:
NoMainMenu,vocêpodegerarumachaveprivadaeopedidode certificado, instalareexcluircertificados,registrarecancelar oregistrode certificadoselistar certificados.Asseçõesaseguirresumemopropósitodecadagrupodeopções. Oprimeiroconjuntodeopções (Aa D)permitea vocêgerarumCSRe instalarno adaptadorocertificadoassinadoretornado.
A. Generateprivatekeyandcertificaterequest
Gere umCSRe achaveprivadaassociada queéenviadaà autoridadede certificação. Paraobtermaisinformações sobrea opçãoA,consulte “Gerando umaChavePrivadaeumPedidodeCertificado” napágina42. B.Installcertificate fromfile
Instalar umcertificadoapartirde umarquivo.Essearquivodevesero certificadoassinadoretornadopelaCAemrespostaaoCSRgeradopela opçãoA. Paraobtermaisinformaçõessobrea opçãoB,consulte
“InstalandooCertificado”na página43. C.Installcertificateandkeyfroma PKCS12file
Instalar umcertificadoapartirdo arquivoformatado PKCS12queincluao certificadopúblicoeumachaveprivada.SeasopçõesAeB nãoforem utilizadasparaobterum certificado,ocertificadoquevocêutilizardeverá estarnoformatoPKCS12.Paraobtermais informaçõessobrea opçãoC, consulte “Instalandoo Certificadoea Chavede umArquivoPKCS12”na página 43.
D. Viewcurrentinstalledcertificate
Visualizeocertificadoqueestáinstaladonosistema.Paraobter mais informaçõessobrea opçãoD,consulte “VisualizandooCertificado Instalado”na página43.
Osegundoconjuntodeopções permitea vocêinstalarcertificadosCAraizno adaptador. UmcertificadoCAéutilizadopeloadaptadorTivoli IdentityManager paravalidaro certificadocorrespondenteapresentadoporum cliente,comoo ServidorTivoliIdentityManager.
E.ListCAcertificates
MostraroscertificadosinstaladosdeCA.Oadaptadorsósecomunicacom osServidoresTivoliIdentityManagercujoscertificados sãovalidadospor um doscertificadosCAinstalados.
F. InstallaCAcertificate
Instalar umnovocertificadodeCAparaqueoscertificadosgeradospor essa CApossamservalidados.OarquivodecertificadoCApode estarno formatocodificadoX.509ou PEM.Paraobtermaisinformaçõessobrecomo instalarumcertificadoCA,consulte“InstalandoumCertificadoCA”na página 44.
G. Deletea CAcertificate
Removerum doscertificadosinstalados deCA.Paraobtermais
informaçõessobrecomoexcluirum certificadoCA,consulte “Excluindo um CertificadoCA”napágina44.
Orestantedasopções (Ha K)seaplicaa adaptadoresquedevem autenticaro aplicativo (porexemplo,oServidorTivoliIdentityManagerouoservidor Web)ao qual oadaptadorestáenviando informações.Essasopções permitema você registrarcertificados noadaptador. NoTivoliIdentityManagerVersão4.5ou anterior, ocertificadoassinadodoservidorTivoliIdentityManagerdeveser registrado emumadaptadorparapermitirautenticaçãodeclientenoadaptador.Se você nãoplanejafazerupgradedeumadaptadorexistente parautilizar
certificados CAparaautenticaçãodecliente,ocertificadoassinadoapresentado peloServidorTivoliIdentityManagerdeveráser registradonoadaptador. Sevocê configuraro adaptadorparautilizarnotificaçãodeevento,ou a autenticaçãode clienteestiverativadaem DAML,seránecessárioinstalaro certificadoCAcorrespondenteaocertificadoassinadodoServidorTivoliIdentity Manager utilizandoaopção F.Installa CAcertificate.