Você pode pedir um certificado CA de outro CA utilizando o modelo confiável de hierarquia. As empresas costumam pedir certificados CA a CAs estabelecidos e altamente seguros para conferir maior credibilidade a seu CA. Os CAs confiam nos CAs acima deles na hierarquia e aceitam os certificados desses CAs como prova de autenticidade. O
certificado CA pode ser solicitado ao CA de terceiros ou a um CA do Tivoli PKI. Nota: O Tivoli PKI só suporta certificação hierárquica entre CAs que aderirem aos
protocolos PKIX Certificate Management Protocol (CMP) e PKCS #7 e PKCS #10. Para configurar uma hierarquia de CA, use o utilitário CA Certification do Tivoli PKI (CACertRq). Ao iniciar essa ferramenta, você deverá especificar pelo menos uma opção na extensão do certificado padrão de Limitações de Nome (consulte “Extensões de Certificados” na página 61 para obter informações sobre a discussão detalhada das extensões de certificados). Uma opção em letra minúscula especifica inclusão na lista de subárvores permitidas. Uma opção em letra maiúscula especifica inclusão na lista de subárvores excluídas. É comum que subárvores excluídas sejam especificadas somente para os tipos de endereços para os quais uma lista de subárvores permitidas também é especificada.
Nota: Se você estiver planejando fazer download dos certificados CA hierárquicos no Netscape Communicator como parte da solução de hierarquia global, utilize o flag ″-m ..″ com o utilitário CA Certification para excluir a extensão de Limitações de Nome do certificado CA resultante. Não utilize nenhuma das opções da linha de
comandos de Limitações de Nome diferente de″-m ..″ (em outras palavras, não
utilize -i/I, -d/D, -u/U, -n/N, ou -m/-M) com o utilitário CA Certification. A sintaxe desse tipo de comando é:
CACertRq -m .. -h -r preregistrationpath -P 1835 -W password
Ao executar o comando CA Certification, a hierarquia que você estabeleceu será armazenada nos seguintes arquivos:
¶ CAChain.P7b
¶ RAsCopyOfCAChain.P7b ¶ CAChain.b64
¶ RAsCopyOfCAChain.b64
As seções a seguir explicam como obter um certificado CA usando um modelo de hierarquia.
Etapas da Solicitação de Certificado CA numa Hierarquia
Para pedir um certificado CA utilizando o modelo de hierarquia, siga estas etapas:
1. Em nome do CA que está pedindo a certificação cruzada, execute as seguintes etapas de acordo com as instruções para inscrição através da Web no Tivoli PKI Manual do
Usuário:
a. Execute o registro prévio, especificando que o pedido é para um CA.
Ao preencher o formulário de inscrição, certifique-se de digitar um nome distinto que corresponda ao do CA solicitante.
b. Verifique o status do pedido de inscrição.
c. Siga a nota ao final da seção para salvar o arquivo de registro prévio. | | | | | | 3. Como Posso Fazer Para...?
2. Transporte o arquivo de registro prévio para a máquina onde se localiza o CA que está pedindo o certificado CA com base em hierarquia.
3. Efetue login no Tivoli PKI como o usuário que instalou o sistema na máquina onde se localiza o CA que está pedindo o certificado.
4. Execute o comando CACertRq a partir da linha de comando se você estiver no AIX ou pelo prompt DOS se estiver no Windows NT.
Ao executar o comando CACertRq, assegure-se de fornecer o caminho absoluto e o nome do arquivo de pré-registro. Para obter a sintaxe do comando e descrições de seus parâmetros, veja a seção “Utilitário CA Certification” na página 103.
Nota: Quando você especificar um caminho de diretório que contém espaços
incorporados, como o parâmetro de um comando, coloque o caminho entre aspas
duplas (″ ″). Por exemplo, para o comando CACertRq, você deverá especificar o
parâmetro a -r preregistrationpath que contém espaços em branco embutidos como no exemplo a seguir:
CACertRq -d .companyA.com -h -r "c:\Arquivos de programas\IBM \Trust Authority\ccprereg.reg" -P 1835 -W Secure99
Especificar uma Máscara de Endereço IP
Você pode pedir um certificado CA que herda a hierarquia de CA de outro CA e restringe a validade do certificado a um grupo de endereços IP utilizados por sua empresa.
No exemplo a seguir, você está executando o AIX, a faixa de endereços IP utilizada por sua empresa é de 9.0.0.0. a 9.255.255.254, o caminho e nome do arquivo de registro prévio são /tmp/ccprereg.reg e a senha é Secure99. Este comando coloca o intervalo de endereços especificado na lista de subárvores permitidas:
CACertRq -i 9.0.0.0/255.0.0.0 -h -r /tmp/ccprereg.reg -P 1835 -W Secure99 Especificar Endereços DNS
Você pode pedir um certificado CA que herda a hierarquia de CA de outro CA e restringe a validade do certificado a um grupo de endereços DNS.
No exemplo a seguir, você está executando o Windows NT, todos os hosts CA do Tivoli PKI têm endereços DNS que terminam com .companyA.com, o caminho e o nome do arquivo de registro prévio são a:\ccprereg.reg e a senha é Secure99. Este comando coloca os endereços DNS especificados na lista de subárvores permitidas:
CACertRq -d .companyA.com -h -r a:\ccprereg.reg -P 1835 -W Secure99
Nota: Se um endereço DNS começar com um ponto, todos os hosts que terminarem com
esta subcadeia (incluindo″.″) devem ser colocados na lista de subárvores. Se não
começar com um ponto, somente o host que corresponder a essa cadeia será abrangido.
Por exemplo, a limitação″.companyA.com″ corresponde a us.companyA.com,
vnet.companyA.com e a w3.software.companyA.com, mas não a companyA.com (ou kidcompanyA.com) propriamente dita. A limitação companyA.com corresponde a companyA.com mas não a us.companyA.com ou às outras. Uma subárvore assim,
sem um″.″ inicial, indica somente um único nó possível. As especificações sem um
Especificar Endereços de E-mail
Você pode pedir um certificado CA que herda a hierarquia de CA de outro CA e restringe a validade do certificado a um grupo de endereços de e-mail.
No exemplo a seguir, você está executando o AIX, todos os hosts CA do Tivoli PKI têm endereços de e-mail terminados em .us.companyA.com, o caminho e o nome do arquivo de pré-registro são /tmp/ccprereg.reg e a senha é Secure99. Este comando coloca os endereços de e-mail especificados na lista de subárvores permitidas:
CACertRq -m .us.companyA.com -h -r /tmp/ccprereg.reg -P 1835 -W Secure99
Você pode pedir um certificado CA que herda a hierarquia de CA de outro CA e restringe a validade do certificado a todos menos um em um grupo de endereços de e-mail. No exemplo a seguir, o host CA do Tivoli PKI tem o endereço de e-mail outCA.us.companyA.com, o caminho e o nome do arquivo de registro prévio são /tmp/ccprereg.reg e a senha é Secure99. Este comando coloca o endereço de e-mail especificado na lista de subárvores excluídas: CACertRq -m .us.companyA.com -M outCA.us.companyA.com -h -r /tmp/ccprereg.reg -P 1835
Secure99 Especificar URIs
Você pode pedir um certificado CA que herda a hierarquia de CA de outro CA e restringe a validade do certificado a um grupo de Uniform Resource Identifiers (URIs, uma categoria de identificadores da qual as URLs são o subconjunto mais comum). No exemplo a seguir, você está executando o Windows NT, todos os hosts CA do Tivoli PKI têm URIs que terminam com .xyz.com, o caminho e o nome do arquivo de registro prévio são a:\ccprereg.reg e a senha é Secure99. Este comando coloca o URI especificado na lista de subárvores permitidas:
CACertRq -u .xyz.com -h -r a:\ccprereg.reg -P 1835 -W Secure99
Nota: A parte do nó do URI está sujeita às mesmas regras que são descritas em
“Especificar Endereços DNS” na página 21, a menos que ela contenha um endereço IP. Neste caso, ela é considerada uma correspondência exata.
Especificar Entradas do Directory
Você pode pedir um certificado CA que herda a hierarquia de CA de outro CA e restringe a validade do certificado a um grupo de entradas do Directory com os mesmos nomes distintos relativos (relative distinguished names - RDNs). No exemplo a seguir, você está executando o AIX, todos os hosts CA do Tivoli PKI têm RDNs que correspondem aos RDNs fornecidos, /C=US/O=companyA/OU=departmentB, o caminho e o nome do arquivo de pré-registro são /tmp/ccprereg.reg e a senha é Secure99. Este comando coloca o RDN especificado na lista de subárvores permitidas:
CACertRq -n "/C=US/O=companyA/OU=departmentB" -h -r /tmp/ccprereg.reg -P 1835 -W Secure99 Nota: No Tivoli PKI, o seguinte formato é utilizado para DNs:
/C=country/O=organization/OU=organizational_unit/CN=common_name Excluir Limitações de Nome
Se você estiver planejando fazer download dos certificados CA hierárquicos no Netscape
Communicator como parte da solução de hierarquia global, utilize o flag ″-m ..″ com o
utilitário CA Certification para excluir a extensão de Limitações de Nome do certificado CA resultante. No exemplo a seguir, você está executando o Windows NT, utilizando o caminho de instalação padrão do Tivoli PKI, o nome do arquivo de pré-registro e a senha do sistema. Por exemplo, uma instância de tal comando pode parecer-se com esta:
3.
Como
Posso
Fazer
CACertRq -m .. -h -r "c:\Arquivos de programas\IBM\Trust Authority\ccprereg.reg" -P 1835 -W Secure99