Manual de Administração do Sistema

(1)

IBM

®

SecureWay

®

Trust Authority

Manual de Administração do Sistema

Versão 3 Release 1.2

(2)

(3)

IBM

®

SecureWay

®

Trust Authority

Manual de Administração do Sistema

Versão 3 Release 1.2

(4)

Nota!

Antes de utilizar estas informações e o produto suportado por elas, leia as informações gerais em “Avisos” na página 109.

Segunda Edição (junho de 2000)

Esta edição se aplica ao IBM SecureWay Trust Authority, ao programa 5648-D09, à versão 3, release 1, modificação 2 e a todos os releases e modificações subseqüentes até que seja indicado o contrário em novas edições.

(5)

Índice

Tabelas . . . v

Capítulo 1. Sobre o Trust Authority . . . 1

Capítulo 2. Visão Geral . . . 3

Capítulo 3. Como posso...? . . . 5

Administrar o Trust Authority . . . 5

Digitar Comandos no Windows NT. . . 5

Alterar Senhas do Trust Authority . . . 5

Iniciar e Encerrar os Componentes do Servidor . . 7

Utilizar o IniEditor para Alterar Arquivos de Configuração . . . 9

Alterar Endereços IP do Trust Authority . . . . 11

Fazer Backup e Restaurar o Sistema . . . 12

Acompanhar Números de Usuários e Certificados 12 Acompanhar Atividade de Certificado . . . . 13

Administrar o WebSphere Application Server . . . 15

Verificar o Status do WebSphere Application Server . . . 15

Verificar os Logs do WebSphere Application Server . . . 16

Administrar o HTTP Server . . . 16

Verificar o Status do HTTP Server . . . 17

Verificar os Logs do HTTP Server . . . 18

Administrar o Servidor CA . . . 18

Alterar a Porta Ouvinte do Servidor CA . . . . 19

Alterar o Intervalo de Polling do CA . . . 19

Alterar Definições de CRL . . . 20

Alterar a Política de Proteção de ICL . . . 21

Alterar a Chave de Proteção de ICL . . . 21

Verificar a Integridade do Banco de Dados do Servidor CA . . . 22

Pedir um Certificado CA Utilizando Certificação Cruzada . . . 23

Pedir um Certificado CA Utilizando o Modelo de Hierarquia. . . 25

Verificar os Logs do Servidor CA . . . 28

Verificar o Status do Servidor CA . . . 28

Ativar Pontos de Distribuição de CRL . . . . 29

Administrar o Servidor RA . . . 30

Adicionar Registradores . . . 30

Ativar Criptografia para o Banco de Dados RA 32 Alterar a Porta Ouvinte do Servidor RA . . . . 33

Alterar o Intervalo de Polling do RA . . . 34

Alterar o Intervalo de Repetição do RA . . . . 34

Verificar os Logs do Servidor RA . . . 34

Verificar o Status do Servidor RA . . . 35

Alterar as Definições de RA para Comunicações com o Directory . . . 36

Administrar o Subsistema de Auditoria . . . 37

Exibir Registros de Auditoria . . . 37

Pesquisar Registros de Auditoria . . . 39

Alterar a Porta do Servidor de Auditoria no Cliente de Auditoria . . . 39

Alterar Como os Eventos São Enviados do Cliente de Auditoria . . . 40

Alterar a Porta na qual o Servidor de Auditoria Ouve . . . 41

Alterar Tentativas de Ligação do Cliente de Auditoria para o Servidor de Auditoria . . . . 42

Alterar o Intervalo entre Tentativas de Ligação 42 Alterar Definições de Log . . . 42

Gerar Relatórios de Auditoria . . . 45

Arquivo e Assinatura dos Arquivos de Log de Auditoria . . . 45

Verificar a Integridade do Banco de Dados do Servidor de Auditoria e Arquivos Archive . . . 46

Verificar o Status do Servidor de Auditoria . . . 48

Verificar os Logs do Servidor de Auditoria . . . 49

Administrar os Bancos de Dados do DB2 . . . . 49

Verificar o Status dos Bancos de Dados do DB2 49 Verificar os Logs do DB2 . . . 51

Administrar o Servidor Directory . . . 51

Verificar o Status do Servidor Directory . . . . 52

Verificar os Logs do Servidor Directory . . . . 52

Administrar o Co-processador Criptográfico 4758. . 53

Capítulo 4. Fale-me sobre... . . 55

Segurança do Trust Authority . . . 55

Listas de controle de acesso . . . 55

Autoridades de Certificados . . . 55

Hierarquias CA . . . 56

Extensões de certificado . . . 56

Listas de revogação de certificados . . . 59

Certificação cruzada . . . 59

Certificação . . . 60

Certificados digitais . . . 60

Nomes distintos . . . 60

Listas de certificados emitidos . . . 60

Assinatura e validação de assinatura . . . 61

Autoridades de Registro . . . 61 Registradores . . . 61 Domínios de registro . . . 61 Co-processador Criptográfico 4758. . . 62 Smart cards . . . 62 Auditoria . . . 63 Registros de auditoria . . . 63 Eventos de Auditoria . . . 63

Máscaras de eventos de Auditoria . . . 64

Eventos de auditoria obrigatórios versus opcionais . . . 64

Verificação de integridade . . . 64

Selo de integridade . . . 64

Arquivamento de log de auditoria . . . 64

banco de dados DB2 . . . 64

Servidores da Web . . . 65

IBM WebSphere Application Server . . . 65

IBM HTTP Server . . . 65

(6)

Servidores Directory . . . 66

Identificadores de Objeto . . . 66

Capítulo 5. Referência . . . 67

Arquivos de Configuração . . . 67

Descrição do arquivo . . . 67

Arquivo de configuração do servidor CA . . . 68

Arquivo de configuração do servidor RA . . . 77

Arquivo de configuração do servidor de Auditoria . . . 86

Arquivo de configuração do cliente de Auditoria, AuditClient.ini . . . 90

Utilitários da linha de comandos . . . 92

Utilitário CA Certification . . . 92

Utilitário Add RA User . . . 94

Utilitário Enable RA Database Encryption . . . 95

Utilitário Audit Archive and Sign . . . 95

Utilitário Audit Integrity Check. . . 96

Campos de evento de auditoria. . . 98

Eventos de Auditoria . . . 98

Dados do banco de dados de Auditoria . . . . 101

Tabela de chaves . . . 101

Tabela de Gravidades de Eventos. . . 102

Tabela de Controle de Eventos. . . 102

Tabela de Fontes . . . 102

Tabela de Entidades Autorizadas . . . 103

Tabela de Funções Autorizadas . . . 103

Tabela de Tipos de Entidade Afetada . . . . 103

Tabela de Tipos de Componentes . . . 104

Tabela de Log de Auditoria. . . 104

Tabela do Sistema . . . 105

Resolução de Problemas . . . 106

Detecção de Problemas Básicos . . . 107

Detectando Problemas com Mensagens com Nível de Depuração Ativadas . . . 107

Avisos . . . 109

Marcas e marcas de serviço . . . 110

Informações Relacionadas . . . 113

Glossário . . . 115

(7)

Tabelas

1. Arquivos de configuração do Trust Authority 10 2. Logs do WebSphere Application Server de

transações com o Assistente de Configuração . 16 3. Logs do WebSphere Application Server de

transações com o recurso de registro . . . . 16

4. Logs do HTTP Server de transações com o Assistente de Configuração . . . 18

5. Logs do servidor HTTP de transações com o recurso de registro . . . 18

6. Logs do servidor CA . . . 28

7. Logs do servidor RA . . . 34

8. Descrições de colunas para as exibições do banco de dados de Auditoria do Trust Authority . . . 38

9. Logs do servidor de Auditoria . . . 49

10. Localizações de bancos de dados . . . 49

11. Logs do servidor Directory . . . 53

12. Extensões de certificados . . . 56

13. Modelo em três servidores e três portas para IBM HTTP Servers . . . 65

14. Arquivo de configuração do servidor CA 69 15. Arquivo de configuração do servidor RA 78 16. Arquivo de configuração do servidor de Auditoria . . . 87

17. Arquivo de configuração do cliente de Auditoria . . . 91

18. Campos de evento de auditoria . . . 98

19. Eventos de auditoria . . . 98

20. Campos da tabela de chaves . . . 101

21. Campos da tabela de Gravidades de Eventos 102 22. Campos da tabela de Controle de Eventos 102 23. Campos da tabela de Fontes . . . 103

24. Campos da tabela de Entidades Autorizadas 103 25. Campos da tabela de Funções Autorizadas 103 26. Campos da tabela de Tipos de Entidade Afetada . . . 103

27. Campos da tabela de Tipos de Componentes 104 28. Campos da tabela de Log de Auditoria 104 29. Campos da tabela do Sistema . . . 105

(8)

(9)

Capítulo 1. Sobre o Trust Authority

O IBM®SecureWay®Trust Authority fornece aos aplicativos o meio para autenticar usuários e assegurar comunicações confiáveis.

v Permite às organizações emitir, divulgar e administrar certificados digitais de acordo com seus critérios de registro e certificação.

v O suporte para os padrões criptográficos PKIX (Public Key Infrastructure for X.509) versão 3 e CDSA (Common Data Security Architecture) permite a interoperabilidade do fornecedor.

v A assinatura digital e os protocolos seguros fornecem o meio para autenticar todas as partes de uma transação.

v As capacidades de registro baseadas no navegador e no cliente fornecem o máximo de flexibilidade.

v As comunicações criptografadas e o armazenamento seguro das informações de registro asseguram a confidencialidade.

Um sistema Trust Authority pode ser executado em plataformas de servidores IBM®AIX/6000®e Microsoft® Windows NT®. Ele inclui os seguintes recursos de chaves:

v Um CA (Autoridade de Certificado) confiável que gerencia o ciclo de vida completo de uma certificação digital. Para confirmar a autenticidade de um certificado, o CA assina digitalmente cada um que emite. Ele também assina CRLs (certificate revocation lists) para confirmar o fato de que um certificado não é mais válido. Para estender a proteção de sua chave de assinatura, você pode utilizar o hardware de criptografia, como o Co-processador Criptográfico PCI IBM SecureWay®4758.

v Um RA (Autoridade de Registro) que trata das tarefas administrativas por trás do registro de usuário. O RA garante que somente os certificados que suportam suas atividades comerciais são emitidos e que eles são emitidos somente para usuários autorizados. As tarefas administrativas podem ser executadas através de processos automatizados ou da tomada de decisão do usuário.

v Uma interface de inscrição baseada na Web que facilita a obtenção de

certificados para navegadores, servidores e outros objetivos, como dispositivos VPN (virtual private network), smart cards e e-mail seguro.

v Um aplicativo do Windows®_{, o Trust Authority Client, que habilita usuários}

finais a obter e gerenciar certificados sem utilizar um Web browser.

v Uma interface de administração baseada na Web, o RA Desktop, que permite aos registradores autorizados aprovar ou recusar pedidos de inscrição e administrar certificados depois de sua emissão.

v Um subsistema de Auditoria que calcula um MAC (message authentication code) para cada registro de auditoria. Se os dados de auditoria forem alterados ou excluídos depois de terem sido gravados no banco de dados de auditoria, o MAC permite a detecção do intruso.

v As saídas de critério que permitem aos desenvolvedores de aplicativos personalizarem os processos de registro.

v Suporte integrado para um mecanismo criptográfico. Para autenticar as

comunicações, os componentes principais do Trust Authority são assinados com uma chave privada gerada pela fábrica. Os objetos de segurança, como chaves e MACs, são criptografados e armazenados em áreas protegidas chamadas KeyStores.

(10)

v Suporte integrado para o IBM SecureWay Directory. O Directory armazena informações sobre certificados válidos e revogados em um formato compatível com LDAP.

v Suporte integrado para o IBM WebSphere™

Application Server e IBM HTTP Server. O servidor da Web trabalha com o servidor RA para criptografar mensagens, autenticar pedidos e transferir certificados para o destinatário desejado.

v Suporte integrado para o premiado IBM DB2®

(11)

Capítulo 2. Visão Geral

Este documento fornece as informações requeridas para operar e administrar o sistema Trust Authority. Ele assume que você tem conhecimento ou experiência no seguinte:

v Sistema operacional AIX® _{or UNIX}®

v Sistema operacional Windows NT v Arquitetura de sistema

v Administração de rede

v Administração de banco de dados v Administração do servidor Web v Administração do Directory

O “Capítulo 3. Como posso...?” na página 5 fornece as informações de procedimento sobre como operar e administrar o sistema Trust Authority. Ele informa como iniciar e parar o sistema, como alterar senhas, como utilizar o editor de arquivo de configuração, como fazer backup e restaurar o sistema e como administrar os componentes do sistemas:

v IBM WebSphere™_{Application Server}

v IBM HTTP Server v Servidor CA v Servidor RA

v Subsistema de Auditoria

v IBM DB2 Universal Database™_(UDB)

v IBM SecureWay Directory

v Co-processador Criptográfico 4758

O “Capítulo 4. Fale-me sobre...” na página 55 fornece mais informações técnicas detalhadas sobre os assuntos levantados nos procedimentos.

O “Capítulo 5. Referência” na página 67 fornece informações de referências como os parâmetros do arquivo de configuração, sintaxe dos utilitários da linha de comandos e informações tabulares sobre o subsistema de Auditoria.

(12)

(13)

Capítulo 3. Como posso...?

Os tópicos neste capítulo mostram como administrar o IBM SecureWay Trust Authority e seus componentes.

Administrar o Trust Authority

Esta seção descreve as ferramentas e processos que podem ser utilizados para administrar o sistema Trust Authority como um todo.

Eles são os seguintes:

v Digitando comandos na linha de comandos do Windows NT v Alteração de senhas do Trust Authority

v Início e parada dos componentes do servidor

v Utilização do IniEditor para alterar arquivos de configuração v Verificação dos logs de configuração do Trust Authority v Alteração de endereços IP do Trust Authority

v Backup e restauração do sistema

v Acompanhamento de atividades de certificado

v Acompanhamento de números de usuários e certificados

Digitar Comandos no Windows NT

Se tiver instalado o Trust Authority no Windows NT, existem várias tarefas que não possuem ícones de programa e devem ser executadas a partir de uma linha de comandos do DOS. Por exemplo, você deve executar manualmente add_rauser para definir registradores.

Ao especificar um comando que requer um caminho de diretório como um parâmetro e o caminho contiver espaços incorporados, você deverá colocar o caminho entre aspas duplas (″ ″). Por exemplo, especifique o parâmetro de caminho no comando add_rauser desta forma:

add_rauser "c:\Arquivos de Programas\IBM\Trust Authority\bin"

Alterar Senhas do Trust Authority

O IBM Trust Authority oferece um utilitário de Alteração de Senhas. Você pode utilizá-lo para alterar as senhas padrão definidas durante a configuração do sistema. Você deve alterar as senhas pelo menos uma vez após a configuração inicial do sistema e antes que o sistema fique disponível para os seus usuários. Estas senhas controlam o acesso aos seguintes componentes funcionais:

v Mecanismo de inicialização segura

A senha do Control Program permite que o sistema inicie ou encerre

automaticamente todos os componentes do Trust Authority. Ela fornece acesso à chave de criptografia de inicialização segura.

v Diretório

A senha do Administrador do Directory controla o acesso aos elementos que podem ser alterados no Directory.

(14)

A senha do Administrador de Auditoria fornece acesso aos logs de auditoria e às ferramentas de administração de auditoria.

v Perfil CA 4758

A senha do Perfil CA 4758 controla o acesso ao perfil do Co-processador Criptográfico do CA 4758.

Para alterar senhas, é possível utilizar uma de várias abordagens. Se tiver instalado o Trust Authority em uma plataforma AIX, utilize o procedimento da linha de comandos descrito em “Procedimento da Linha de Comandos”. Se estiver

executando em uma plataforma Windows NT, você poderá utilizar o procedimento descrito em “Procedimento de Ícones do Programa Windows NT” na página 7 ou o procedimento da linha de comandos para executar o utilitário Change Password.

Procedimento da Linha de Comandos

1. Vá até o diretório bin do Trust Authority utilizando um dos seguintes caminhos:

v No AIX, o valor padrão do caminho é: /usr/lpp/iau/bin

v No Windows NT, o valor padrão do caminho é: c:\Arquivos de Programas\IBM\Trust Authority\bin

2. Dependendo do seu sistema operacional, digite um dos seguintes comandos: v No AIX, o comando é:

changePWD.sh

v No Windows NT, o caminho do comando é: changePWD.bat

O seguinte menu aparece:

Alterar Senhas do Trust Authority ---Digite o número da opção do componente que deseja alterar. Será solicitado que você digite a senha atual e em seguida, a nova senha.

---Alterar senha para

1) Abandonar 2) Programa de Controle 3) Administrador do Directory 4) Administrador de Auditoria 5) Perfil CA 4758 Digite a Opção :

3. Selecione a opção para a senha que deseja alterar digitando o número correspondente no campo Digite a Opção.

4. Quando o sistema pedir que o faça, forneça e confirme a senha atual para a opção que selecionou.

Notas:

a. Na primeira vez que você utilizar esta ferramenta, a senha atual será a senha definida durante a configuração. Para as senhas do Programa de Controle e Administrador de Auditoria, especifique a senha do servidor do Trust Authority como a senha atual. Para a senha do Administrador do Directory, especifique como senha atual a senha do Administrador do Directory que foi criada durante a configuração.Para o Perfil CA 4758, especifique IBMCA001.

(15)

b. Se tiver instalado o Trust Authority em um servidor AIX e não tiver

alterado a senha do usuário de configuração (cfguser) antes de configurar o sistema, a senha padrão será Secure99.

5. Quando o sistema pedir que o faça, forneça e confirme a nova senha para a opção que selecionou.

A senha deve ter no máximo oito caracteres de comprimento (a senha do Perfil CA 4758 deve ter exatamente oito caracteres).

O utilitário exibe uma mensagem informando se suas alterações foram bem-sucedidas.

Quando o processamento estiver concluído, o utilitário retorna ao menu principal.

Procedimento de Ícones do Programa Windows NT

Se estiver executando o Trust Authority em um plataforma Windows NT e preferir selecionar ícones de programa a digitar o comando em uma janela do DOS, utilize o seguinte procedimento para executar o utilitário Change Password:

1. Selecione Iniciar → Programas → IBM SecureWay Trust Authority → Alterar Ferramenta de Senhas

O menu Alterar Senhas do Trust Authority aparece.

2. Siga as etapas iniciando com a etapa 3 na página 6 no “Procedimento da Linha de Comandos” na página 6.

Iniciar e Encerrar os Componentes do Servidor

O IBM Trust Authority utiliza um mecanismo de inicialização automatizado, seguro, chamado Trust Authority Control para iniciar ou encerrar todos os componentes em uma determinada máquina. O Trust Authority Control (um por máquina no caso de máquinas remotas) tem sua própria chave de

criptografia/decriptografia na qual as senhas dos componentes são criptografadas ou decriptografadas, conforme necessário.Se tiver instalado qualquer componente do servidor do Trust Authority em máquinas remotas, consulte a seção “Iniciar e Encerrar Servidores Remotos” na página 9.

Iniciar e Encerrar Componentes do Servidor Localmente

Para iniciar ou encerrar todos os componentes em uma determinada máquina, você pode utilizar qualquer um dos métodos a seguir:

v Digite os seguintes comandos no AIX para iniciar ou encerrar os componentes do servidor. Siga as instruções online para digitar a senha do Programa de Controle. Observe que, para iniciar o sistema, você deve iniciar sessão como o usuário de configuração (cfguser) do Trust Authority. Para encerrar o sistema, você pode iniciar sessão como raiz ou cfguser.

cd /usr/lpp/iau/bin Start_TA.sh

ou

Stop_TA.sh

v Se tiver instalado o Trust Authority em uma plataforma Windows NT, deverá selecionar o ícone adequado no menu do programa NT. Por exemplo, selecione: Iniciar > Programas > IBM SecureWay Trust Authority > Iniciar Trust Authority Iniciar > Programas > IBM SecureWay Trust Authority > Encerrar Trust Authority v Se precisar utilizar a abordagem de comandos no NT, digite os seguintes

comandos em uma linha de comandos do DOS para iniciar ou encerrar os componentes do servidor. Siga as instruções online para digitar a senha do Programa de Controle.

(16)

Start_TA.bat ou

Stop_TA.bat

Diretrizes de Utilização no AIX: As diretrizes para iniciar e encerrar o sistema no AIX são as seguintes:

v Se por algum motivo os servidores CA e RA não forem encerrados quando você executar o Programa de Controle no AIX, você deverá utilizar o comando ps para listar os processos httpd em execução e utilizar o comando kill para encerrá-los. A seguir há exemplos de como utilizar esses comandos juntamente com a saída de amostra.

$ ps -ef | grep irgAutoCA

root 18886 1 0 Oct 24 - 76:34 /usr/lpp/iau/bin/irgAutoCa /usr/lpp/iau/etc/TrustAuthority/irgAutoCA.ini

cfguser 23316 32400 2 11:58:20 pts/4 0:00 grep irgAutoCA $ kill 18886

$ ps -ef | grep irgrasvr

root 23526 1 12 Oct 24 - 207:46 /usr/lpp/iau/bin/irgrasvr -c /usr/lpp/iau/pkrf/etc/domain.cfg -d YourDomain

cfguser 26016 12488 3 11:57:16 pts/0 0:00 grep irgrasvr $ kill 23526

v Encerrar o Trust Authority deverá encerrar automaticamente os programas do servidor da Web no AIX. Se eles não encerrarem por algum motivo, você poderá utilizar o comando ps para identificar o ID do processo da ocorrência a ser encerrada do domínio e, então, utilizar o comando kill para encerrá-la. Por exemplo:

ps -ef | grep OutOfProc | grep YourDomain kill process_ID

v Iniciar e encerrar o Trust Authority iniciará e encerrará automaticamente o servidor Directory. Se não quiser que o Directory seja automaticamente iniciado ou encerrado, edite a seção [AutoStopN] do arquivo TrustAuthControl.cfg para remover a entrada do componente Directory.

Diretrizes de Utilização no Windows NT: As diretrizes para iniciar e encerrar o sistema no Windows são as seguintes:

v Encerrar o Trust Authority não encerrará automaticamente os programas do servidor da Web no Windows NT. Após encerrar o Trust Authority, encerre manualmente a ocorrência do WebSphere iniciada para o domínio de registro. Para fazer isso, utilize o Gerenciador de Tarefas do NT para finalizar os processos java.exe e reqdbagent.exe.

v Para obter um desempenho ideal, antes de iniciar os componentes do servidor em um sistema Windows NT, reinicialize a máquina.

v Quando você utiliza o Programa de Controle para iniciar os componentes do servidor do Trust Authority no Windows NT, a janela na qual o programa é lançado não pode ser fechada. Isso ocorre porque alguns componentes estão conectados a esta janela de console. Depois que os componentes do servidor do Trust Authority forem encerrados, você conseguirá fechar esta janela.

v Iniciar e encerrar o Trust Authority inicia e encerra automaticamente o servidor Directory. Se não quiser que o Directory seja automaticamente iniciado ou encerrado, edite a seção [AutoStopN] do arquivo TrustAuthControl.cfg para remover a entrada do componente Directory.

(17)

Iniciar e Encerrar Servidores Remotos

Se tiver instalado qualquer componente do Trust Authority em máquinas remotas, você deverá utilizar o Programa de Controle para iniciar e encerrar os

componentes que estão em execução em cada máquina. Para iniciar componentes remotos, utilize a seguinte ordem:

1. Servidor Directory

2. Servidor CA e de Auditoria

3. Servidor RA (incluindo o IBM HTTP Server e o WebSphere Application Server) Para encerrar o sistema, encerre os programas do servidor na ordem inversa em que eles foram instalados.

Utilizar o IniEditor para Alterar Arquivos de Configuração

Esta seção descreve como invocar e utilizar o editor de arquivos de configuração, IniEditor. A ferramenta IniEditor permite adicionar, atualizar e excluir parâmetros e seções em cada um dos arquivos de configuração do IBM Trust Authority. Ela exibe cada parâmetro como um par nome=valor em um campo de edição, de modo que você pode facilmente localizar e editar o que precisa. Para obter

descrições de parâmetros e sua utilização, veja a seção “Arquivos de Configuração” na página 67.

Notas:

1. O IniEditor é um editor simples concebido para atualizar arquivos de configuração. A ferramenta não oferece verificação de validade de dados.

2. Para sua proteção, assegure-se de fazer backup dos arquivos de configuração que planeja editar antes de fazer quaisquer alterações neles.

Executar o Editor

Você pode iniciar o editor no prompt de comandos com ou sem a especificação do nome do arquivo que deseja editar.

Para executar o editor com um nome de arquivo como myfile.ini, digite um dos seguintes comandos:

v No ambiente AIX, na linha de comandos: cd /usr/lpp/iau/bin

run_IniEditor myfile.ini

v No ambiente Windows NT, na linha de comandos do DOS: cd c:\Arquivos de Programas\IBM\Trust Authority\bin

IniEditor myfile.ini

Para executar o editor sem um nome de arquivo, digite um dos seguintes comandos:

v No ambiente AIX, na linha de comandos: run_IniEditor

v No ambiente Windows NT, na linha de comandos do DOS: IniEditor

Se você não informar um nome de arquivo, o sistema solicita que você especifique se o arquivo que deseja editar é novo ou existente. Se o arquivo for novo, o sistema solicita que você especifique o tipo de arquivo que deseja criar. Cada tipo de arquivo tem um gabarito de arquivo .ini correspondente que é lido quando você especifica o tipo. As opções são as seguintes:

(18)

Tabela 1. Arquivos de configuração do Trust Authority

Localização de arquivo padrão de AIX Localização de arquivo padrão de

Windows NT Descrição /usr/lpp/iau/etc/TrustAuthority/ jonahca.ini c:\Arquivos de Programas\IBM\Trust Authority\etc\Trust Authority\jonahca.ini O arquivo de configuração do servidor CA. Especifica as variáveis de configuração para o servidor CA. Você pode alterar estas variáveis para controlar características operacionais básicas e definições de conexão. /usr/lpp/iau/pkrf/Domains/ YourDomain/etc/jonahra.ini c:\Arquivos de Programas\IBM\Trust Authority \pkrf\Domains\Your Domain\etc\ jonahra.ini O arquivo de configuração do servidor RA. Especifica as variáveis de configuração para o servidor RA. Além de fornecer definições

operacionais e de conexão básicas, estas variáveis permitem controlar como o servidor RA interage com o servidor Directory.

/usr/lpp/iau/etc/Audit Client.ini c:\Arquivos de Programas\IBM\Trust Authority\etc\AuditClient.ini

O arquivo de configuração do cliente de Auditoria.

Especifica as variáveis de configuração para os clientes de Auditoria. Estas variáveis fornecem definições de conexão e suporte para ajuste da máscara de auditoria que controla quais eventos de auditoria são realmente enviados. /usr/lpp/iau/etc/Trust Authority/ AuditServer.ini c:\Arquivos de Programas\IBM\Trust Authority\etc\TrustAuthority\ AuditServer.ini O arquivo de configuração do servidor de Auditoria. Especifica as variáveis de configuração para o servidor de Auditoria. Você pode alterar estas variáveis para reconfigurar características operacionais básicas e definições de conexão do servidor de Auditoria, bem como para indicar como as mensagens de erro e depuração são registradas. Estas variáveis também controlam quais eventos são registrados.

O IniEditor tenta localizar os arquivos de gabarito pesquisando o diretório onde residem os arquivos do Trust Authority.

Utilizar o Editor

Após o carregamento do IniEditor com um arquivo de configuração, os parâmetros existentes aparecem no lado esquerdo da tela em uma estrutura de árvore. Essa estrutura contém as seções e chaves do arquivo. Para selecionar uma seção, clique

(19)

no nome dela. Para expandir a seção, clique no sinal de mais (+). Se uma seção contiver chaves, o par nome do parâmetro=valor aparece no lado direito da tela em um campo de edição.

Edição de Parâmetros: Você pode executar as seguintes tarefas de edição: v Para alterar o valor de um parâmetro, digite sobre o texto no campo de edição. v Para desfazer a alteração, selecione Editar → Desfazer.

v Para excluir um parâmetro ou seção, selecione os itens que deseja excluir e selecione Editar → Excluir.

Adição de uma Seção: Para adicionar uma seção ao arquivo .ini, siga estas etapas:

1. Selecione Objeto → Nova seção.

A caixa de diálogo Adicionar uma Nova Seção aparece.

2. Especifique o nome da seção na caixa de diálogo.

3. Clique em OK.

A nova seção aparece na parte inferior da estrutura de árvore.

Adição de um Parâmetro: para adicionar um parâmetro a uma seção no arquivo .ini, siga estas etapas:

1. Selecione Objeto → Novo Parâmetro.

A caixa de diálogo Criar um Novo Parâmetro aparece. Ela fornece um menu drop down no qual você pode selecionar a seção à qual deseja adicionar o parâmetro.

2. Especifique o nome do parâmetro no campo Parâmetro.

3. Especifique o valor do parâmetro no campo Valor.

4. Clique em OK.

O novo parâmetro aparece na estrutura de árvore sob a seção selecionada e no lado direito da tela em um campo de edição.

Salvamento do Arquivo: O IniEditor permite salvar o arquivo .ini atual, salvar o arquivo com um nome diferente ou sair do programa. Se o arquivo tiver sido alterado, o editor solicitará que você salve suas alterações. Tanto a opção Salvar quanto a opção Sair (com um salvamento) salvam o arquivo atual como backup com a extensão .save e gravam o novo arquivo com o nome do arquivo atual.

Alterar Endereços IP do Trust Authority

Se o sistema Trust Authority foi instalado e configurado em uma única máquina utilizando um único nome de host, então você pode alterar o endereço IP dessa máquina através do seguinte procedimento:

1. Pare o sistema Trust Authority.

2. Altere o endereço IP da máquina de acordo com a política de sua organização.

3. Encerre e reinicialize a máquina.

4. Inicie o sistema Trust Authority.

Este documento não aborda outros cenários que envolvem alterações de endereço IP ou nome do host em várias máquinas ou vários nomes de host. Consulte a página Library do site do IBM SecureWay Trust Authority na Web para obter os procedimentos mais atuais.

(20)

Fazer Backup e Restaurar o Sistema

Esta seção aborda as questões de backup e restauração do IBM SecureWay Trust Authority. Especificamente, o capítulo cobre o seguinte:

v Diretrizes para backup e restauração dos bancos de dados do Trust Authority. v Backup e recuperação dos sistemas operacionais AIX e Windows NT.

v Clonagem do Co-processador Criptográfico IBM 4758.

Fazer Backup e Restaurar no AIX e Windows NT

Para fazer backup do Trust Authority corretamente, seja no AIX ou no Windows NT, você deve primeiro encerrar todos os processos do Trust Authority na seguinte ordem:

1. Trust Authority

2. Bancos de dados DB2®

Você deve fazer isto independentemente de qual utilitário de backup planeja utilizar. O servidor Directory e o DB2 utilizam gravações assíncronas e, a menos que esses processos estejam completamente encerrados, não há garantia de que os dados nos buffers de memória serão gravados no disco quando você fizer backup do sistema. Quanto mais perto você trouxer o sistema do modo de manutenção de usuário único, melhor será seu backup. Para obter instruções sobre como encerrar e iniciar o Trust Authority, veja a seção “Iniciar e Encerrar os Componentes do Servidor” na página 7. Consulte o IBM DB2 Universal Database Command Reference,

Versão 5.2 para encerrar e iniciar os bancos de dados.

Para utilitários de backup, a IBM recomenda o seguinte:

v Para AIX, use os utilitários de backup do sistema internos, mksysb e savevg ou ADSM (outro produto IBM). Se você utilizar os utilitários mksysb e savevg, consulte a documentação do AIX para obter os procedimentos corretos. Se você usar o ADSM, use-o em conjunto com o mksysb.

v Para o Windows NT, utilize um utilitário comercial que faz uma imagem do sistema a partir da qual você pode recuperar o sistema inteiro. Se você usar o ADSM, use-o em conjunto com o utilitário de imagem do sistema.

Siga os procedimentos de restauração apropriados para o utilitário de backup que você escolher.

Copiar o Co-processador Criptográfico 4758

Para fazer backup do Co-processador Criptográfico 4758, você deve copiar a chave mestre, a partir da máquina onde instalou o sistema Trust Authority, para uma máquina separada. Os procedimentos realizar essa tarefa estão na página Library do site do do IBM SecureWay Trust Authority na Web na seguinte localização: http://www.ibm.com/software/security/trust/library

Acompanhar Números de Usuários e Certificados

Seu contrato de licença com a IBM requer que você monitore o número de usuários do Trust Authority. Para ajudá-lo a obter esta informação, o Trust Authority fornece uma ferramenta de relatório de utilização, o Relatório de Utilização. Essa ferramenta acompanha o número de usuários ativos e inativos no sistema e o número de certificados ativos e revogados assinados pelo CA do Trust Authority desde que o produto foi instalado. Os itens de dados específicos do Relatório de Utilização estão descritos conforme segue:

Usuários ativos

Usuários com pelo menos um certificado ativo, onde usuário é definido como uma entrada que tem um nome distinto (DN) exclusivo.

(21)

Usuários inativos

Usuários que não têm nenhum certificado ativo; ou seja, os certificados previamente emitidos a esses usuários expiraram ou foram revogados. Certificados ativos

Certificados assinados pelo CA do Trust Authority que não expiraram nem foram revogados.

Certificados revogados

Certificados que foram revogados.

Procedimento de Ícones do Programa Windows NT

Se estiver executando o Trust Authority em um plataforma Windows NT e preferir selecionar ícones do programa a digitar o comando em uma janela de comando do DOS, utilize o seguinte procedimento para gerar um relatório de utilização.

Consulte “Saída de Amostra do Relatório de Utilização” para obter um exemplo da saída de relatório.

1. Inicie sessão como o usuário de configuração do Trust Authority na máquina onde instalou o componente do servidor CA do Trust Authority. O nome de usuário padrão sugerido é cfguser; sua organização pode ter utilizado um valor diferente.

2. Selecione Iniciar → Programas → IBM SecureWay Trust Authority → Relatório de Utilização do Trust Authority.

Procedimento de Linha de Comandos

Se estiver executando o Trust Authority em uma plataforma AIX ou preferir digitar o comando a selecionar ícones de programa no Windows NT, utilize o seguinte procedimento para gerar um relatório de utilização. Consulte “Saída de Amostra do Relatório de Utilização” para obter um exemplo da saída de relatório.

1. Inicie sessão como o usuário de configuração do Trust Authority na máquina onde instalou o componente do servidor CA do Trust Authority. O nome de usuário padrão e sugerido é cfguser. Se tiver instalado o Trust Authority no Windows NT, sua organização poderá ter utilizado um valor diferente.

2. Altere para o subdiretório bin do diretório de instalação do Trust Authority. Os seguintes exemplos mostram o caminho de diretório padrão:

v No AIX: /usr/lpp/iau/bin

v No Windows NT: c:\Arquivos de Programas\IBM\Trust Authority\bin

3. Digite o seguinte comando: TAUsageReport

Saída de Amostra do Relatório de Utilização

Trust Authority Relatório de Utilização

Relatório gerado em : 28 de setembro de 1999 16:10:20 EDT Total de usuários ativos = 42

Total de certificados ativos = 53 Total de usuários inativos = 6 Total de certificados revogados = 3

Acompanhar Atividade de Certificado

Você pode utilizar o utilitário de Relatório de Atividade do Trust Authority para monitorar o número de certificados que são aprovados, rejeitados ou revogados em um dia específico ou durante uma semana. O Relatório de Atividade está dividido nas duas seguintes partes:

(22)

A primeira parte do relatório lista os registradores (administradores RA) no sistema e mostra a atividade de certificado em cada registrador (administrador). v Parte 2

A segunda parte do relatório lista o número total de certificados que foram aprovados, rejeitados ou revogados durante o período de tempo solicitado, seja manualmente por um registrador ou automaticamente pelas saídas de política.

Procedimento de Ícones do Programa Windows NT

Se estiver executando o Trust Authority em um plataforma Windows NT e preferir selecionar ícones do programa a digitar o comando em uma janela de comando do DOS, utilize o seguinte procedimento para gerar um Relatório de Atividade. Consulte “Saída de Amostra do Relatório de Atividade” na página 15 para obter um exemplo da saída de relatório.

1. Inicie sessão como o usuário de configuração do Trust Authority na máquina onde instalou o componente do servidor RA do Trust Authority. O nome de usuário sugerido é cfguser; sua organização pode ter utilizado um valor diferente.

2. Selecione Iniciar → Programas → IBM SecureWay Trust Authority → Relatório de Atividade do Trust Authority.

3. Quando o sistema solicitar o tipo de relatório, digite 1 para um relatório semanal ou 2 para exibir um resumo da atividade ocorrida em um dia específico.

4. Quando o sistema solicitar a data, digite a data de início para a semana na qual deseja obter um relatório ou a data exata na qual deseja um relatório diário. Você deve digitar a data no formato yyyy-mm-dd; por exemplo 1999-10-01.

Procedimento de Linha de Comandos

Se estiver executando o Trust Authority em uma plataforma AIX ou preferir digitar o comando a selecionar ícones de programa no Windows NT, utilize o seguinte procedimento para gerar um Relatório de Atividade. Consulte “Saída de Amostra do Relatório de Atividade” na página 15 para obter um exemplo da saída de relatório.

1. Inicie sessão como o usuário de configuração do Trust Authority na máquina onde instalou o componente do servidor RA do Trust Authority. O nome de usuário padrão e sugerido é cfguser. Se tiver instalado o Trust Authority no Windows NT, sua organização poderá ter utilizado um valor diferente.

2. Altere para o subdiretório bin do diretório de instalação do Trust Authority. Os seguintes exemplos mostram o caminho de diretório padrão:

v No AIX: /usr/lpp/iau/bin

v No Windows NT: c:\Arquivos de Programas\IBM\Trust Authority\bin

3. Digite o seguinte comando: TAActivityReport

4. Quando o sistema solicitar o tipo de relatório, digite 1 para um relatório semanal ou 2 para exibir um resumo da atividade ocorrida em um dia específico.

5. Quando o sistema solicitar a data, digite a data de início para a semana na qual deseja obter um relatório ou a data exata na qual deseja um relatório diário. Você deve digitar a data no formato yyyy-mm-dd; por exemplo 1999-10-01. Nota: Para ignorar os prompts, você pode especificar os seguintes parâmetros de

comando na linha de comandos:

(23)

Por exemplo: TAActivityReport -t 2 -d 1999-09-27

Saída de Amostra do Relatório de Atividade

O seguinte exemplo mostra um relatório de atividade diário. O relatório semanal parece igual, mas fornece um resumo dos totais semanais.

Relatório de Atividade do Trust Authority

Relatório gerado em : 28 de setembro de 1999 15:59:23 EDT Data do relatório diário : 1999-09-27

Relatório de Atividade Diário para Administradores RA

DN do Administrador RA Aprovado Rejeitado Revogado

CN=RAadmin1, OU=PKI, O=IBM, C=US 23 6 1

Relatório de Atividade Diário para o Sistema

Aprovado = 92

Rejeitado = 16

Revogado = 5

Administrar o WebSphere Application Server

O IBM WebSphere é um conjunto de produtos de software que ajudam as

organizações a desenvolverem e gerenciarem sites da Web de alto desempenho. O WebSphere Application Server, juntamente com o IBM HTTP Server, ajuda a fornecer a infra-estrutura para a funcionalidade do servidor da Web no Trust Authority.

Verificar o Status do WebSphere Application Server

Dependendo do ambiente, você pode verificar o status do WebSphere Application Server executando um dos seguintes conjuntos de procedimentos:

v No AIX:

1. Inicie sessão no AIX como root.

2. Verifique a tabela de processos e procure: OutofProcEngine

Se você vir este processo, vá para a etapa 3. Se não vir o processo, veja a seção “Resolução de Problemas” na página 106 para obter instruções.

3. Consulte a documentação do WebSphere para acessar as páginas de administração do WebSphere e determinar o status do servidor. v No Windows NT:

1. Inicie sessão no Windows NT como administrador do sistema.

2. Inicie o Gerenciador de Tarefas pressionando as teclas Ctrl Alt e Delete.

3. Selecione o separador Processos.

4. Procure pelo menos uma ocorrência do processo java.exe.

Se você vir este processo, vá para a etapa 5. Se não vir o processo, veja a seção “Resolução de Problemas” na página 106 para obter instruções.

5. Consulte a documentação do WebSphere para acessar as páginas de administração do WebSphere e determinar o status do servidor.

(24)

Verificar os Logs do WebSphere Application Server

Você pode verificar os logs que registram transações entre o WebSphere Application Server e o Assistente de Configuração do IBM Trust Authority nas localizações mostradas na Tabela 2.

Tabela 2. Logs do WebSphere Application Server de transações com o Assistente de Configuração

Localização de arquivo padrão de AIX Localização de arquivo padrão de

Windows NT

Comentários /usr/lpp/iau/etc/logs/ jvm_stderr.log c:\Arquivos de Programas\IBM\Trust

Authority\etc\logs\ jvm_stderr.log

A saída de erro padrão da Máquina Virtual Java (JVM).

/usr/lpp/iau/etc/logs/ jvm_stdout.log c:\Arquivos de Programas\IBM\Trust Authority\etc\logs\ jvm_stdout.log

A saída padrão da JVM.

Você pode verificar os logs que registram transações entre o WebSphere

Application Server e o recurso de registro nas localizações mostradas na Tabela 3. Tabela 3. Logs do WebSphere Application Server de transações com o recurso de registro

Localização de arquivo padrão de AIX Localização de arquivo padrão de Windows

NT Comentários /usr/lpp/iau/pkrf/Domains/ YourDomain /etc/logs/jvm_stderr.log c:\Arquivos de Programas\IBM\Trust Authority\pkrf\Domains\ YourDomain\ etc\logs\jvm_stderr.log

A saída de erro padrão da Máquina Virtual Java (JVM). /usr/lpp/iau/pkrf/Domains/ YourDomain /etc/logs/jvm_stdout.log c:\Arquivos de Programas\IBM\Trust Authority\pkrf\Domains\ YourDomain\ etc\logs\jvm_stdout.log A saída padrão da JVM. /usr/lpp/iau/pkrf/Domains/ YourDomain/logs/ hostname_ssl-port-ssl-error.log c:\Arquivos de Programas\IBM\Trust Authority\pkrf\Domains\ YourDomain\logs\ hostname_ssl-port-ssl-error.log Mensagens de erro de transações sobre conexões HTTP seguras. Podem existir duas destas: autenticadas pelo cliente e não autenticadas pelo cliente. /usr/lpp/iau/pkrf/Domains/ YourDomain /logs/hostnameerror.log c:\Arquivos de Programas\IBM\Trust Authority\pkrf\Domains\ YourDomain \logs\hostname_public-porterror.log Mensagens de erro de transações sobre conexões HTTP públicas.

Administrar o HTTP Server

O IBM HTTP Server é o produto servidor da Web que trata as comunicações com base na Web com navegadores e outros programas. O daemon HTTP (HTTPD) é o processo persistente que é o coração do HTTP Server. O Trust Authority emprega vários daemons HTTP. Essas ocorrências de daemon HTTP tratam conexões públicas, criptografadas e autenticadas pelo cliente. Veja informações detalhadas sobre servidores da Web e os diferentes tipos de conexão utilizados no Trust Authority para tratar diferentes tipos de transações na seção “Servidores da Web”

(25)

Verificar o Status do HTTP Server

Dependendo do seu ambiente, você pode verificar o status do HTTP Server executando um dos seguintes conjuntos de procedimentos:

v No AIX:

1. Inicie sessão no AIX como root.

2. Verifique a tabela de processos e procure estas instâncias de processos: – 1 de sidd

– pelo menos 2 de httpd

Se você vir todos esses três processos, vá para 3. Se não vir todos as três instâncias, veja instruções na seção “Resolução de Problemas” na página 106.

3. Vá para o diretório bin que tem o seguinte caminho padrão: /usr/lpp/iau/bin

4. Verifique as portas digitando este comando para cada porta: checkSrvPortStatus -p porta -s servidor -r1 -w1

onde porta é o número da porta que você deseja verificar e servidor é o nome do HTTP Server associado a ela. Para obter um resumo da configuração padrão do HTTP Server e portas do Trust Authority, veja a Tabela 13 na página 65.

Se a porta que você está verificando está respondendo com êxito, o sistema exibe a seguinte mensagem:

Port:porta on servidor is bound.

onde porta é a porta que você está verificando e servidor é o nome do servidor correspondente.

v No Windows NT:

1. Inicie sessão no Windows NT como administrador do sistema.

2. Inicie o Gerenciador de Tarefas pressionando as teclas Ctrl, Alt e Delete.

3. Selecione o separador Processos.

4. Procure duas instâncias do processo Apache.exe.

Se você vir estes dois processos, vá para 5. Se não vir estas duas instâncias, veja instruções na seção “Resolução de Problemas” na página 106.

5. No prompt do MS DOS, vá para o diretório bin, que tem o seguinte caminho padrão:

c:\Arquivos de Programas\IBM\Trust Authority\bin

6. Verifique as portas digitando este comando para cada porta: checkSrvPortStatus -p porta -s servidor -r1 -w1

onde porta é o número da porta que você deseja verificar e servidor é o nome do HTTP Server associado a ela. Para obter um resumo da configuração padrão do HTTP Server e portas do Trust Authority, veja a Tabela 13 na página 65.

Se a porta que você está verificando está respondendo com êxito, o sistema exibe a seguinte mensagem:

(26)

onde porta é a porta que você está verificando e servidor é o nome do servidor correspondente.

Verificar os Logs do HTTP Server

Você pode verificar os logs que registram transações entre o IBM HTTP server e o Assistente de Configuração do Trust Authority nas localizações mostradas na Tabela 4.

Tabela 4. Logs do HTTP Server de transações com o Assistente de Configuração

NT

Comentários /usr/lpp/iau/logs/ oop_native.log.ERROR c:\Arquivos de Programas\IBM\Trust

Authority\logs\ oop_native.log.ERROR

Mensagens de erro da parte de código nativo do mecanismo fora do processo. /usr/lpp/iau/logs/ oop_native.log.INFORM c:\Arquivos de Programas\IBM\Trust Authority\logs\ oop_native.log.INFORM Mensagens de informações da parte de código nativo do mecanismo fora do processo. /usr/lpp/iau/logs/ oop_native.log.WARNING c:\Arquivos de Programas\IBM\Trust Authority\logs\ oop_native.log.WARNING Mensagens de aviso da parte de código nativo do mecanismo fora do processo.

Você pode verificar os logs que registram transações entre o IBM HTTP server e o recurso de registro nas localizações mostradas na Tabela 5.

Tabela 5. Logs do servidor HTTP de transações com o recurso de registro

NT Comentários usr/lpp/iau/pkrf/Domain/ YourDomain /logs/apache.log.ERROR.PID c:\Arquivos de Programas\IBM\Trust Authority\Domains\YourDomain \logs\apache.log.ERROR.PID As mensagens de erro do IBM HTTP Server. usr/lpp/iau/pkrf/Domain/ YourDomain /logs/apache.log.INFORM.PID c:\Arquivos de Programas\IBM\Trust Authority\Domains\YourDomain \logs\apache.log.INFORM.PID As mensagens informativas do IBM HTTP Server. usr/lpp/iau/pkrf/Domain/ YourDomain /logs/apache.log.TRACE.PID c:\Arquivos de Programas\IBM\Trust Authority\Domains\YourDomain \logs\apache.log.TRACE.PID O log de rastreio do IBM HTTP Server.

Administrar o Servidor CA

Esta seção fornece procedimentos operacionais e administrativos para o servidor CA (Autoridade de Certificado) do Trust Authority. O servidor CA trata as tarefas do lado do servidor para o CA do Trust Authority. Ele reside, juntamente com sua ocorrência do banco de dados DB2, em uma máquina local ou remota.

As tarefas que provavelmente serão executadas para administrar o servidor CA são as seguintes:

v Utilizar o IniEditor para fazer estas alterações no arquivo de configuração jonahca.ini:

(27)

– Alterar o intervalo de polling para mensagens PKIX. – Alterar as definições de CRL.

– Alterar a política de proteção de ICL. v Alterar a chave de proteção de ICL.

v Verificar a integridade do banco de dados do servidor CA.

v Usar o utilitário CA Certification para certificação cruzada e hierarquia de CA. v Verificar os logs do servidor CA.

v Verificar o status do servidor CA. v Ativar pontos de distribuição de CRL.

Alterar a Porta Ouvinte do Servidor CA

A porta ouvinte do servidor CA é onde o CA ouve mensagens PKIX. Para alterar o valor dessa porta, siga estas etapas:

1. Inicie sessão no sistema operacional como administrador do sistema.

2. Pare o sistema Trust Authority. Se necessário, consulte “Iniciar e Encerrar os Componentes do Servidor” na página 7 para obter instruções.

3. Inicie o IniEditor e carregue o arquivo de configuração jonahca.ini. Se necessário, veja as instruções para iniciar e utilizar o IniEditor na seção “Utilizar o IniEditor para Alterar Arquivos de Configuração” na página 9. Veja as localizações de arquivos de AIX e Windows NT na Tabela 1 na página 10.

4. Selecione e expanda a seção Transport e selecione o parâmetro TCPPort.

5. No campo de edição exibido, altere o valor do número da porta.

6. Salve o arquivo e saia do programa.

7. Reinicie o IniEditor e carregue o arquivo de configuração jonahra.ini (esse arquivo pode estar em uma máquina local ou remota, dependendo da sua instalação).

8. Selecione a seção URLs.

10. Selecione e expanda a seção General e selecione o parâmetro Issuer1URL1.

Alterar o Intervalo de Polling do CA

O intervalo de polling do CA é a quantidade de tempo, em segundos (s), minutos (m) ou horas (h), entre interrogações da fila de workflow feitas pelo servidor CA. Os elementos na fila cujos momentos de despacho tiverem decorrido são

despachados para processamento. Para alterar o intervalo de polling, siga estas etapas:

4. Selecione e expanda a seção Transport e selecione o parâmetro PollInterval.

(28)

Alterar Definições de CRL

Uma lista de revogação de certificado (CRL) é uma lista assinada digitalmente, com marca de hora, de certificados que foram revogados por um CA. Os seguintes valores podem ser alterados no arquivo de configuração do servidor CA para afetar o modo como a CRL é tratada:

v O tempo entre a criação agendada da CRL v O tempo de vida de uma CRL

Alterar o Tempo Permitido entre a Criação da CRL

Para alterar a política de certificados e certificados cruzados com relação ao tempo permitido entre a publicação agendada de uma CRL, siga estas etapas:

4. Selecione e expanda a seção CertPolicy e selecione o parâmetro TimeBetweenCRLs.

5. No campo de edição exibido, altere o valor do tempo entre a criação de novas CRLs.

O valor será um intervalo em minutos (m), horas (h) ou dias (d). Por exemplo, 1d. O valor deve ser menor que o valor da duração da CRL.

6. Selecione e expanda a seção CrossCertPolicy e selecione o parâmetro TimeBetweenCRLs.

7. No campo de edição exibido, altere o valor do tempo entre a criação de novas CRLs.

O valor será um intervalo em minutos (m), horas (h) ou dias (d). Por exemplo, 1d. O valor deve ser menor que o valor da duração da CRL.

Alterar o Tempo de Vida de uma CRL

Para alterar a política de certificados e certificados cruzados com relação à duração, ou tempo de vida, de uma CRL, siga estas etapas:

4. Selecione e expanda a seção CertPolicy e selecione o parâmetro CRLDuration.

5. No campo de edição exibido, altere o valor da quantidade de tempo em que uma CRL é válida. O valor será um intervalo em minutos (m), horas (h) ou dias (d). Por exemplo, 2d.

(29)

6. Selecione e expanda a seção CrossCertPolicy e selecione o parâmetro CRLDuration.

7. No campo de edição exibido, altere o valor da quantidade de tempo em que uma CRL é válida. O valor será um intervalo em horas, minutos ou dias. Por exemplo, 2d.

Alterar a Política de Proteção de ICL

Uma Lista de Certificados Emitidos (ICL) é uma lista dos certificados que foram emitidos e seus status atuais. A chave de proteção da ICL é uma chave

criptografada armazenada no KeyStore do Trust Authority e utilizada para calcular um valor do MAC (código de autenticação da mensagem) em todas as colunas da ICL. Nos casos em que o valor MAC calculado não concordar com o valor MAC armazenado, o sistema consultará a política de proteção de ICL e executará a ação adequada.

Para alterar a política de proteção da ICL, siga estas etapas:

4. Selecione e expanda a seção ICL e selecione o parâmetro IclProtectionPolicy.

5. No campo de edição exibido, altere o valor da política de proteção de ICL para um que esteja atenda às necessidades da sua organização. O valor será um dos seguintes:

v Ignore — O sistema ignora a incompatibilidade e não exibe nenhuma mensagem.

Nota: Esse valor afeta a operação da ferramenta de verificação de

integridade CA (documentado em “Verificar a Integridade do Banco de Dados do Servidor CA” na página 22). Se você especificar Ignore, a ferramenta de verificação de integridade CA não detectará

adulterações, mesmo que elas existam.

v ContinueWithMessage — O sistema exibe uma mensagem de aviso, mas prossegue com a transação.

v TerminateTransaction — O sistema exibe uma mensagem de erro e finaliza a transação.

Alterar a Chave de Proteção de ICL

A chave de proteção de ICL nunca é divulgada a um usuário ou administrador. Além disso, para proteger contra adulteração não-autorizada ou inconsistências de dados inadvertidas, é aconselhável alterar a chave de proteção de ICL

periodicamente. O Trust Authority fornece uma ferramenta de linha de comandos, CARemac, que gera uma nova chave de proteção de ICL para recalcular um novo valor MAC. Para alterar a chave de proteção de ICL, siga estas etapas:

(30)

1. Vá para a máquina onde o servidor CA está instalado.

2. Encerre o sistema do Trust Authority utilizando o procedimento descrito em “Iniciar e Encerrar os Componentes do Servidor” na página 7.

3. Execute a ferramenta de chave de proteção de ICL digitando o comando CARemac (que inclui o caminho de instalação do Trust Authority) na linha de comandos do Trust Authority, por exemplo:

v No AIX, quando você estiver utilizando o caminho de instalação padrão do Trust Authority:

CARemac em /usr/lpp/iau/bin

v No Windows NT, quando você estiver utilizando o caminho de instalação padrão do Trust Authority:

CARemac em "c:Arquivos de Programas\IBM\Trust Authority\bin"

A ferramenta solicita a senha do Programa de Controle do Trust Authority.

4. Digite a senha do Programa de Controle do Trust Authority.

5. Inicie o sistema do Trust Authority utilizando o procedimento descrito em “Iniciar e Encerrar os Componentes do Servidor” na página 7.

Verificar a Integridade do Banco de Dados do Servidor CA

O Trust Authority fornece uma ferramenta chamada CAIntegrityCheck para detectar adulterações no banco de dados do servidor CA. Sob circunstâncias normais, o CA executa a verificação de proteção somente no subconjunto de entradas da ICL que está atualmente acessando. Em outras palavras, ele verifica somente os registros que são selecionados durante a criação da CRL e, portanto, tem um status de revogado. Conseqüentemente, a maioria das entradas da ICL não tem a integridade verificada durante operações normais do CA do Trust Authority. Se quiser verificar a integridade do banco de dados CA inteiro, utilize a ferramenta de verificação de integridade do CA. Esse executável lê e executa verificação de integridade em cada entrada na ICL. Ele não altera a chave de proteção, mas ainda requer que o CA seja encerrado durante sua execução.

Para verificar a integridade do banco de dados do servidor CA, siga estas etapas:

1. Vá para a máquina onde o servidor CA está instalado.

2. Encerre o sistema do Trust Authority utilizando o procedimento descrito em “Iniciar e Encerrar os Componentes do Servidor” na página 7.

3. Execute a ferramenta de verificação de integridade do banco de dados CA digitando o seguinte comando (que inclui o caminho de instalação do Trust Authority) na linha de comandos do Trust Authority, por exemplo:

v No AIX, quando você estiver utilizando o caminho de instalação padrão do Trust Authority:

CAIntegrityCheck in /usr/lpp/iau/bin

v No Windows NT, quando você estiver utilizando o caminho de instalação padrão do Trust Authority:

CAIntegrityCheck em "c:Arquivos de Programas\IBM\Trust Authority\bin" A ferramenta solicita a senha do Programa de Controle do Trust Authority.

4. Digite a senha do Programa de Controle do Trust Authority.

5. Inicie o sistema do Trust Authority utilizando o procedimento descrito em “Iniciar e Encerrar os Componentes do Servidor” na página 7.

(31)

Pedir um Certificado CA Utilizando Certificação Cruzada

Você pode pedir um certificado CA de outro CA em nome do CA do Trust Authority utilizando o modelo confiável de certificação cruzada. A certificação cruzada permite que CAs que confiam um no outro concordem para aceitar os certificados um do outro como prova de autenticidade. Enquanto a certificação cruzada pode ser em ambas as direções, no Trust Authority, somente pedidos de certificação cruzada de uma direção são suportados.

Nota: O Trust Authority suporta certificação cruzada somente entre CAs que aderem ao CMP (Certificate Management Protocol) PKIX.

Para fazer a certificação cruzada com outro CA, use o utilitário Trust Authority CA Certification. Este utilitário é uma ferramenta de linha de comandos. Quando iniciar esta ferramenta, você pode especificar opções na extensão de certificado Limitações de Nome padrão. Uma opção em letra minúscula especifica inclusão na lista de subárvores permitidas. Uma opção em letra maiúscula especifica inclusão na lista de subárvores excluídas. É comum que subárvores excluídas sejam especificadas somente para tipos de endereços para os quais uma lista de subárvores permitidas também é especificada.

As seções a seguir fornecem as etapas necessárias e exemplos de obtenção de um certificado CA utilizando o modelo de certificação cruzada.

Etapas para Certificação Cruzada

Para pedir um certificado CA utilizando o modelo de certificação cruzada, siga estas etapas:

1. Em nome do CA que está pedindo a certificação cruzada, execute as seguintes etapas de acordo com as instruções para inscrição através da Web no Manual do

Usuário:

a. Execute o registro prévio, especificando que o pedido é para um CA. Ao preencher o formulário de inscrição, certifique-se de digitar um nome distinto que corresponda ao do CA solicitante.

b. Verifique o status do pedido de inscrição.

c. Siga a nota ao final da seção para salvar o arquivo de registro prévio.

2. Transporte o arquivo de registro prévio para a máquina onde reside o CA que está pedindo a certificação cruzada.

3. Inicie sessão no Trust Authority como o usuário que instalou o sistema na máquina onde reside o CA que está pedindo a certificação cruzada.

4. Execute o comando CaCertRq a partir da linha de comandos se estiver no AIX ou a partir do prompt do DOS se estiver no Windows NT.

Quando executar o comando CaCertRq, assegure-se de fornecer o caminho absoluto e o nome do arquivo de registro prévio. Para obter a sintaxe do comando e descrições de seus parâmetros, veja a seção “Utilitário CA Certification” na página 92.

Nota: Quando você especificar um caminho de diretório que contém espaços incorporados, como o parâmetro de um comando, coloque o caminho entre aspas duplas (″ ″). Por exemplo, para o comando CaCertRq, especifique um parâmetro -r preregistrationpath que contenha espaços incorporados, conforme segue:

aCertRq -d .companyA.com -r "c:\Arquivos de Programas\IBM\Trust Auhority\ccprereg.reg" -P 1835 -W Secure99

(32)

Especificar uma Máscara de Endereço IP

Você pode pedir um certificado CA de certificação cruzada que restringe a validade do certificado a um intervalo de endereços IP utilizados por sua empresa.

No exemplo a seguir, o sistema operacional é o AIX, o intervalo de endereços IP utilizado por sua empresa é 9.0.0.0. a 9.255.255.254, o caminho e nome do arquivo de registro prévio é /tmp/ccprereg.reg e a senha é Secure99. Este comando coloca o intervalo de endereços especificado na lista de subárvores permitidas:

CaCertRq -i 9.0.0.0/255.0.0.0 -r /tmp/ccprereg.reg -P 1835 -W Secure99

Especificar Endereços DNS

Você pode pedir um certificado CA de certificação cruzada que restringe a validade do certificado a um grupo de endereços DNS.

No exemplo a seguir, você está executando o Windows NT e todos os hosts CA do Trust Authority têm endereços DNS terminando com .companyA.com. Este

comando coloca os endereços DNS especificados na lista de subárvores permitidas: CaCertRq -d .companyA.com -r c:\temp\ccprereg.reg -P 1835 -W Secure99

Nota: Se um endereço DNS começar com um ponto, todos os hosts que

terminarem com esta subcadeia (incluindo″.″) devem ser colocados na lista de subárvores. Se não começar com um ponto, somente o host que

corresponder à cadeia é abrangido.

Por exemplo, a limitação″.companyA.com″ corresponde a

us.companyA.com, vnet.companyA.com e w3.software.companyA.com, mas não à própria companyA.com (nem a kidcompanyA.com). A limitação companyA.com corresponde a companyA.com mas não a us.companyA.com ou às outras. Uma subárvore assim, sem um″.″ inicial, indica somente um único nó possível. As especificações sem um″.″ inicial são úteis

principalmente para subárvores excluídas.

Especificar Endereços de E-mail

Você pode pedir um certificado CA de certificação cruzada que restringe a validade do certificado a um grupo de endereços de e-mail.

No exemplo a seguir, você está executando o Windows NT, todos os hosts CA do Trust Authority têm endereços de e-mail terminando com .us.companyA.com, o caminho e nome do arquivo de pré-registro é a:\ccprereg.reg e a senha é Secure99. Este comando coloca os endereços de e-mail especificados na lista de subárvores permitidas:

CaCertRq -m .us.companyA.com -r a:\ccprereg.reg -P 1835 -W Secure99

Você pode pedir um certificado CA de certificação cruzada que restringe a validade do certificado a todos menos um em um grupo de endereços de e-mail.

No exemplo a seguir, você está executando o Windows NT, o host CA do Trust Authority tem o endereço de e-mail outCA.us.companyA.com, o caminho e o nome do arquivo de registro prévio é a:\ccprereg.reg e a senha é Secure99. Este comando coloca os endereços de e-mail especificados na lista de subárvores excluídas: CaCertRq -m .us.companyA.com -M outCA.us.companyA.com -r a:\ccprereg.reg -P 1835

(33)

Especificar URIs

Você pode pedir um certificado CA de certificação cruzada que restringe a validade do certificado a um grupo de Identificadores de Recursos Uniformes (URIs, uma categoria de Identificadores da qual as URLs são o subconjunto mais comum). No exemplo a seguir, você estará executando o AIX, todos os hosts CA do Trust Authority têm nomes de host terminados em .xyz.com, o caminho e o nome do arquivo de pré-registro são /tmp/ccprereg.reg e a senha é Secure99. Este comando coloca o URI especificado na lista de subárvores permitidas:

CaCertRq -u .xyz.com -r /tmp/ccprereg.reg -P 1835 -W Secure99

Nota: A parte do nó (que, em uma estrutura de árvore, é um ponto no qual se originam itens de dados subordinados) da URI está sujeita às mesmas regras que as descritas na seção “Especificar Endereços DNS” na página 24, a menos que ela contenha um endereço IP. Neste caso, ela é considerada uma correspondência exata.

Especificar Entradas do Directory

Você pode pedir um certificado CA de certificação cruzada que restringe a validade do certificado a um grupo de entradas do Directory com os mesmos nomes

distintos relativos (RDNs).

No exemplo a seguir, você estará executando o AIX, todos os hosts CA do Trust Authority têm RDNs que correspondem aos RDNs fornecidos,

/C=US/O=companyA/OU=departmentB, o caminho e o nome do arquivo de pré-registro são /tmp/ccprereg.reg e a senha é Secure99. Este comando coloca o RDN especificado na lista de subárvores permitidas:

CaCertRq -n "/C=US/O=companyA/OU=departmentB" -r /tmp/ccprereg.reg -P 1835 -W Secure99

Pedir um Certificado CA Utilizando o Modelo de Hierarquia

Você pode pedir um certificado CA de outro CA utilizando o modelo confiável de hierarquia. Você pode fazer isso, por exemplo, se seu site tiver o Trust Authority instalado em vários locais e você deseja estabelecer uma hierarquia de confiança entre os CAs. CAs confiam em CAs que estão acima deles na hierarquia e aceitam os certificados desses CAs como prova de autenticidade.

Nota: O Trust Authority só suporta certificação hierárquica entre CAs que aderem aos protocolos CMP (Certificate Management Protocol) PKIX e PKCS #7 e PKCS #10.

Para definir uma hierarquia de CA, use o utilitário de linha de comandos do Trust Authority CA Certification. Quando iniciar esta ferramenta, você deve especificar pelo menos uma opção na extensão de certificado Limitações de Nome padrão (veja uma discussão detalhada de extensões de certificados na seção “Extensões de certificado” na página 56). Uma opção em letra minúscula especifica inclusão na lista de subárvores permitidas. Uma opção em letra maiúscula especifica inclusão na lista de subárvores excluídas. É comum que subárvores excluídas sejam especificadas somente para tipos de endereços para os quais uma lista de subárvores permitidas também é especificada.

Nota: Se estiver planejando fazer o download dos certificados CA hierárquicos no Netscape Communicator como parte da solução de hierarquia global, utilize o sinalizador″-m ..″ com o utilitário CA Certification para excluir a extensão de Limitações de Nome do certificado CA resultante. Não utilize nenhuma das opções da linha de comandos de Limitações de Nome diferente de″-m