iseries Gestão de certificados digitais

iSeries

Gestão de certificados digitais

iSeries

Gestão de certificados digitais

Índice

Parte 1. Gestão de certificados digitais

. . . 1

Capítulo 1. O que há de novo na V5R1 . . . 3

Capítulo 2. Imprimir este tópico . . . 5

Capítulo 3. Utilizar certificados digitais . . . 7

Certificados digitais para comunicações seguras de SSL . . . 7

Certificados digitais para autenticação do utilizador . . . 8

Certificados digitais para ligações VPN . . . 9

Certificados digitais para assinar objectos . . . 10

Utilizar certificados públicos vs. emitir certificados privados . . . 11

Exemplos da utilização de certificados digitais públicos por oposição aos privados . . . 13

Capítulo 4. Compreender os certificados digitais. . . 15

Autoridade de Certificação (CA) . . . 17

Localizações de Lista de Revogação de Certificados (CRL) . . . 18

Arquivos de certificados . . . 18

Criptografia. . . 19

Chave pública. . . 19

Chave privada . . . 20

Assinaturas digitais . . . 20

Secure Sockets Layer (SSL) . . . 20

Capítulo 5. Utilizar o Gestor de Certificados Digitais . . . 21

Requisitos para utilizar o DCM . . . 22

Iniciar o Gestor de Certificados Digitais . . . 22

Configurar certificados pela primeira vez . . . 23

Criar e utilizar uma CA privada . . . 24

Gerir certificados a partir de uma CA de Internet pública . . . 25

Utilizar uma CA privada para emitir certificados para outros sistemas iSeries . . . 31

Utilizar um certificado privado para sessões de SSL num sistema destino com a V5R1. . . 34

Utilizar um certificado privado para assinar objectos num sistema destino com a V5R1. . . 37

Utilizar um certificado privado para sessões de SSL num sistema destino com a V4R4 ou V4R5 39 Utilizar um certificado privado para sessões de SSL num sistema destino com a V4R3. . . 43

Migrar o DCM de uma versão anterior para a V5R1 . . . 45

Gerir aplicações no DCM . . . 46

Criar definições de aplicações . . . 47

Gerir a atribuição de certificados para uma aplicação . . . 47

Definir uma lista fidedigna de CAs para uma aplicação . . . 48

Validar certificados e aplicações . . . 49

Gerir localizações de CRL . . . 50

Armazenar chaves de certificados no IBM 4758 Cryptographic Coprocessor . . . 51

Guardar a chave privada de certificado directamente no coprocessador . . . 51

Utilizar a chave mestra do coprocessador para codificar a chave privada do certificado . . . 51

Gerir a localização do pedido de uma CA PKIX . . . 52

Gerir certificados de utilizador . . . 53

Criar um certificado do utilizador . . . 54

Atribuir um certificado de utilizador . . . 54

Obter uma cópia do certificado da CA privada . . . 55

Assinar objectos . . . 56

Verificar assinaturas de objectos . . . 57

Capítulo 6. Resolução de problemas do DCM . . . 61

Resolução de problemas com palavras-passe e gerais. . . 61

Resolução de problemas com arquivos de certificados e base de dados de chaves . . . 63

Resolução de problemas com o browser . . . 63

Resolução de Problemas com o Servidor de HTTP . . . 64

Erros de migração e soluções de recuperação. . . 66

Resolução de problemas para atribuir um certificado de utilizador . . . 68

Parte 1. Gestão de certificados digitais

Um certificado digital é uma credencial electrónica que pode ser utilizada para comprovar a identidade numa transacção electrónica. Existe um número crescente de utilizações para certificados digitais para fornecer medidas avançadas de segurança na rede. Por exemplo, os certificados digitais são essenciais para configurar e utilizar o Secure Sockets Layer (SSL). A utilização do SSL permite-lhe criar ligações seguras entre utilizadores e aplicações de servidor numa rede não fidedigna como, por exemplo, a Internet. O SSL fornece uma das melhores soluções para proteger a privacidade de dados sensíveis como, por exemplo, nomes de utilizador e palavras-passe, através da Internet. Muitos serviços e aplicações de iSeries 400 como, por exemplo, FTP, Telnet, HTTP Server for iSeries e muitos outros, fornecem agora suporte de SSL para assegurar a privacidade dos dados.

O iSeries 400 fornece suporte alargado de certificados digitais, que lhe permite utilizar certificados digitais como credenciais em inúmeras aplicações de segurança. Além de utilizar certificados para configurar o SSL, pode utilizá-los como credenciais para a autenticação de cliente em transacções de SSL e de rede privada virtual (VPN).

É fácil capitalizar com base no suporte de iSeries para certificados quando utiliza o Gestor de certificados digitais (DCM), uma função gratuita do iSeries, para gerir centralmente os certificados para as suas aplicações. O DCM permite-lhe gerir os certificados que obtém de qualquer Autoridade de Certificação (CA). Além disso, pode utilizar o DCM para criar e trabalhar com a sua própria CA para emitir certificados privados para aplicações e utilizadores na sua organização.

O planeamento e a avaliação adequados são essenciais para a utilização eficaz de certificados com vista à obtenção de maiores benefícios de segurança. Deverá analisar estes tópicos para aprender mais sobre o funcionamento dos certificados e a utilização do DCM para os gerir e das aplicações que os utilizam:

v _{Utilizar certificados digitais}

Utilize estas informações para o ajudar a decidir como e quando deve utilizar certificados digitais para atingir os seus objectivos de segurança. Obtenha informações sobre os diferentes tipos de certificados e analise cenários que ilustram os esquemas característicos de implementação de certificados para o ajudar a planear a implementação dos seus próprios certificados.

v _{Compreender os certificados digitais}

Utilize estas informações conceptuais e de referência para compreender melhor o que são os certificados e como funcionam.

v _{Utilizar o Gestor de Certificados Digitais (DCM)}

Utilize estas informações para aprender a utilizar o DCM para gerir os seus certificados e as aplicações que os utilizam. Além disso, pode aprender a assinar digitalmente objectos e a criar e trabalhar com a sua própria Autoridade de Certificação.

v _{Resolução de problemas do DCM}

Utilize estas informações para aprender a resolver alguns dos erros comuns que pode ter ao utilizar o DCM.

v Outras fontes de informação sobre certificados digitais

Utilize esta página para obter ligações para outros recursos de modo a obter informações sobre certificados digitais, infra-estrutura de chaves públicas e outras informações relacionadas.

Capítulo 1. O que há de novo na V5R1

Na V5R1, o Gestor de Certificados Digitais (DCM) foi melhorado de várias formas. A interface do DCM foi reformulada para facilitar a sua utilização para gerir os certificados e as aplicações que os utilizam. Para além disso, existem várias novas funções avançadas disponíveis para trabalhar com certificados. A seguinte lista descreve algumas das mais importantes melhorias funcionais da gestão de certificados digitais:

v _{Certificados de assinatura de objectos e verificação de assinaturas}

Pode utilizar o DCM para criar e gerir certificados que poderá utilizar para assinar digitalmente objectos para assegurar a sua integridade e fornecer uma prova de origem dos objectos. Também poderá criar e gerir os certificados de verificação de assinatura correspondentes que poderão ser utilizados para autenticar a assinatura de um objecto assinado para assegurar que os dados no objecto permanecem inalterados e para verificar a prova da origem do objecto. Também poderá utilizar o DCM ou as APIs adequadas para assinar um objecto e verificar a assinatura de um objecto.

v _{Definições da aplicação}

Já pode utilizar o DCM para criar e actualizar as definições das aplicações e para gerir os certificados por elas utilizados. Isto permite-lhe facilmente utilizar o DCM para gerir os certificados que as

aplicações em que escreve ou que recebe de outras fontes necessitam para funções de segurança. Pode definir o tipo de aplicação (servidor, cliente, assinatura de objecto) e, dependendo do tipo de aplicação, poderá especificar se efectua o processamento da CRL, se requer autenticação pelo cliente ou se requer uma lista fidedigna de CA.

v _{Localizações da Lista de Revogação de Certificados (CRL)}

O DCM agora suporta a utilização de CRLs para fornecer um certificado e processo de validação de aplicações mais fortes. Poderá utilizar o DCM para definir a localização onde reside uma CRL de uma Autoridade de Certificação num servidor de Serviços de Directório (LDAP) de modo a que o DCM e outras aplicações que efectuem o processamento de CRLs possam verificar se um determinado certificado não foi revogado.

v Reposição da palavra-passe do arquivo de certificados

Agora já pode repor com facilidade a palavra-passe de um arquivo de certificados, quando for necessário, para evitar ficar bloqueado fora do arquivo de certificados quando perder ou alterar a palavra-passe, e se tal facto não for devidamente comunicado.

v _{Melhorias na renovação dos certificados}

Antes da V5R1, quando utilizava o DCM para renovar um certificado proveniente de uma CA de Internet pública, o processo de renovação obrigava-o a criar um novo certificado para substituir o certificado existente. Agora poderá utilizar a função de renovação para actualizar o próprio certificado de Internet público já existente.

v _{Suporte de CAs PKIX}

Agora pode utilizar o DCM para obter e gerir certificados de CAs que suportem as novas normas Public Key Infrastructure X.509 (PKIX) definindo a localização da CA que deseja utilizar. Pode utilizar o DCM para aceder à URL da CA de PKIX directamente para obter um certificado da CA.

v Suporte de IBM 4758–023 PCI Cryptographic Coprocessor para maior armazenamento de chaves de segurança

Se o sistema tiver um IBM 4758–023 PCI Cryptographic Coprocessor instalado, pode utilizá-lo para armazenar as chaves de certificado com mais segurança. Quando utilizar o DCM para criar ou renovar certificados, pode escolher guardar a chave directamente no coprocessador ou utilizar a chave principal do coprocessador para codificar a chave privada e guardá-la num ficheiro de arquivo de chaves

especial.

Capítulo 2. Imprimir este tópico

Para ver ou descarregar a versão PDF, seleccione Digital certificate management (o ficheiro tem um tamanho de 451 kb ou cerca de 55 páginas).

Para guardar um PDF na estação de trabalho para visualização ou impressão: 1. Abra o PDF no browser (clique na ligação acima).

2. No menu do browser, clique em Ficheiro. 3. Clique em Guardar como...

4. Navegue para o directório onde deseja guardar a PDF. 5. Clique em Guardar.

Pode ver ou descarregar uma versão de PDF deste documento para visualização ou impressão. Tem de ter o Adobe Acrobat Reader instalado para ver ficheiros PDF. Poderá descarregar uma cópia da home

page da Adobe. .

Capítulo 3. Utilizar certificados digitais

As funções de segurança do iSeries 400 encontram-se entre as melhores do mundo. No entanto, deverá aumentar as suas medidas de segurança para proteger os recursos fornecidos pelo iSeries quando fornece ou utiliza serviços da Internet. Pode utilizar o Gestor de Certificados Digitais (DCM) para

aumentar a segurança do iSeries configurando o sistema e as aplicações para utilizar certificados digitais.

A utilização de certificados digitais pode ajudá-lo a melhorar a segurança de inúmeras maneiras. Os certificados digitais permitem-lhe utilizar o Secure Sockets Layer (SSL) para proteger o acesso a sites da Web e outros serviços Internet. Pode utilizar certificados digitais para configurar as ligações de rede privada virtual (VPN). Além disso, pode utilizar a chave de um certificado para assinar digitalmente objectos ou para verificar assinaturas digitais de modo a assegurar a autenticidade dos objectos. Essas assinaturas digitais asseguram a fiabilidade da origem de um objecto e protegem a integridade do objecto.

O DCM permite-lhe criar e trabalhar com a sua própria Autoridade de Certificação (CA) privada local. Em seguida, pode utilizar a CA privada para emitir dinamicamente certificados digitais para aplicações e utilizadores na sua intranet ou extranet. Também pode utilizar o DCM para gerir certificados digitais obtidos da VeriSign ou de outra CA pública muito conhecida.

Ainda pode aumentar mais a segurança do sistema utilizando certificados digitais (em vez de nomes de utilizador e palavras-passe) para autenticar e autorizar sessões entre o servidor e os utilizadores. Além disso, pode utilizar o DCM para associar o certificado de um utilizador ao respectivo perfil do utilizador de iSeries. Consequentemente, o certificado tem as mesmas autorizações e permissões que o perfil

associado.

Para obter mais informações sobre o modo como os certificados digitais se podem adequar à sua política de segurança, analise estes tópicos:

v _{Utilizar certificados digitais para configurar o Secure Sockets Layer (SSL)}

Utilize estas informações para aprender a utilizar certificados de modo a que as suas aplicações possam estabelecer sessões de comunicações seguras.

v _{Utilizar certificados digitais para autenticar utilizadores}

Utilize estas informações para aprender a utilizar certificados de modo a fornecer um meio mais sólido de autenticação dos utilizadores que acedem a recursos de servidor do iSeries.

v _{Utilizar certificados digitais para configurar sessões de rede privada virtual (VPN)}

Utilize estas informações para aprender a utilizar certificados como parte da configuração de uma ligação VPN.

v _{Utilizar certificados digitais para assinar um objecto}

Utilize estas informações para aprender a utilizar certificados de modo a assegurar a integridade de um objecto ou para verificar a assinatura digital num objecto para verificar a sua autenticidade.

v Utilizar certificados públicos vs. emitir certificados privados

Utilize estas informações para aprender a determinar o tipo de certificado mais adequado às suas necessidades profissionais, depois de decidir como pretende utilizar certificados para tirar partido da segurança adicional por eles fornecida. Pode utilizar certificados de uma CA pública ou pode criar e trabalhar com uma CA privada para emitir certificados. O modo como decide obter os certificados depende de como planeia utilizá-los.

Certificados digitais para comunicações seguras de SSL

Pode utilizar certificados digitais para configurar aplicações para utilizar o Secure Sockets Layer (SSL) para sessões de comunicações seguras. Para estabelecer uma sessão de SSL, o servidor fornece sempre uma cópia do respectivo certificado para validação pelo cliente que solicita uma ligação. A utilização de uma ligação SSL:

v _{Assegura ao cliente ou utilizador final que o site é autêntico.}

v _{Fornece uma sessão de comunicações codificada para assegurar que os dados transmitidos através da}

ligação permanecem privados.

As aplicações servidor e cliente funcionam em conjunto, como se segue, para garantir a segurança dos dados:

1. A aplicação servidor apresenta o certificado à aplicação cliente (utilizador) como prova da identidade do servidor.

2. A aplicação cliente verifica a identidade do servidor comparando-a com uma cópia do certificado da Autoridade de Certificação emissora. (A aplicação cliente tem de ter acesso a uma cópia armazenada localmente do certificado de CA relevante.)

3. As aplicações servidor e cliente concordam com uma chave simétrica para codificação e utilizam-na para codificar a sessão de comunicações.

4. Opcionalmente, agora o servidor pode requerer que o cliente forneça uma prova de identificação antes de permitir o acesso aos recursos pedidos. Para utilizar os certificados como prova de identidade, as aplicações de comunicações têm de suportar a utilização de certificados para autenticação do utilizador.

O SSL utiliza algoritmos de chave simétrica (chave pública) durante o processamento do reconhecimento da comunicação de SSL para negociar uma chave simétrica que seja utilizada subsequentemente para codificação e descodificação dos dados da aplicação para essa sessão de SSL específica. Isto significa que o servidor e o cliente utilizam diferentes chaves de sessão, que expiram automaticamente após um determinado período de tempo, para cada ligação. Na probabilidade remota de alguém interceptar e descodificar uma determinada chave de sessão, não conseguirá utilizá-la para deduzir futuras chaves.

Certificados digitais para autenticação do utilizador

Tradicionalmente, os utilizadores obtêm acesso aos recursos a partir de uma aplicação ou sistema com base no respectivo nome do utilizador e palavra-passe. Ainda pode aumentar mais a segurança do sistema utilizando certificados digitais (em vez de nomes de utilizador e palavras-passe) para autenticar e autorizar sessões entre várias aplicações servidor e os utilizadores. Além disso, pode utilizar o Gestor de Certificados Digitais (DCM) para associar o certificado de um utilizador ao respectivo perfil do utilizador de iSeries. Consequentemente, o certificado tem as mesmas autorizações e permissões que o perfil

associado.

Um certificado digital funciona como uma credencial electrónica e verifica se a pessoa que o apresenta é realmente quem diz ser. Neste ponto de vista, um certificado é semelhante a um passaporte. Ambos estabelecem a identidade de um indivíduo, contêm um número único para efeitos de identificação e têm uma autoridade emissora reconhecível que verifica a credencial como sendo autêntica. No caso de um certificado, uma Autoridade de Certificação (CA) funciona como a outra entidade fidedigna, que emite o certificado e o verifica como uma credencial autêntica.

Para efeitos de autenticação, os certificados utilizam uma chave pública e uma chave privada relacionada. A CA emissora associa estas chaves, juntamente com outras informações sobre o proprietário do

certificado, ao próprio certificado para efeitos de identificação.

Um número cada vez maior de aplicações já fornecem suporte para utilizar certificados para autenticação de clientes durante uma sessão de SSL. A partir da V5R1, estas aplicações iSeries fornecem suporte de certificados de autenticação de clientes:

v _{Servidor Telnet}

v _{Servidor IBM HTTP Server (original e potenciado pela Apache)} v _{Servidor de Serviços de Directório (LDAP)}

v _{Central de Gestão}

v _{Client Access Express (incluindo Operations Navigator)} v Servidor FTP

Os certificados podem fornecer um meio mais forte de autenticação de utilizadores por vários motivos:

v _{Existe a possibilidade de um indivíduo se esquecer da respectiva palavra-passe. Assim, os utilizadores}

têm de memorizar ou registar os respectivos nomes de utilizador e palavras-passe para assegurar que não se esquecem delas. Como resultado, os utilizadores não autorizados podem obter mais

prontamente nomes de utilizador e palavras-passe de utilizadores autorizados. Dado que os certificados são armazenados num ficheiro ou noutra localização electrónica, as aplicações cliente (e não os

utilizadores) tratam do acesso e da apresentação do certificado para autenticação. Isto assegura uma menor probabilidade de os utilizadores partilharem certificados com utilizadores não autorizados, a não ser que os utilizadores não autorizados tenham acesso ao sistema do utilizador. Além disso, é possível instalar certificados em″smart cards″como meio adicional de os proteger de utilização não autorizada.

v _{Um certificado contém uma chave privada, que nunca é enviada com o certificado para identificação.}

Em vez disso, o sistema utiliza esta chave durante o processamento de codificação e descodificação. Outros podem utilizar a chave pública correspondente do certificado para verificar a identidade do emissor dos objectos assinados com a chave privada.

v _{Muitos sistemas requerem palavras-passe com 8 caracteres ou menos, tornando-as mais vulneráveis a}

ataques de suposição. As chaves criptográficas de um certificado têm centenas de caracteres. Este comprimento, juntamente com a sua natureza aleatória, torna as chaves criptográficas muito mais difíceis de adivinhar do que as palavras-passe.

v As chaves de certificados digitais fornecem várias utilizações possíveis que as palavras-passe não fornecem como, por exemplo, integridade dos dados e privacidade. Pode utilizar certificados e as respectivas chaves associadas para:

– Assegurar a integridade detectando alterações aos dados.

– Provar que uma determinada acção foi realmente executada. A isto chama-se não repúdio. – Assegure a privacidade das transferências de dados utilizando Secure Sockets Layer (SSL) para

codificar sessões de comunicações.

Para obter mais informações sobre a configuração do iSeries para utilizar certificados para autenticação de clientes durante uma sessão de SSL, consulte Proteger aplicações com SSL.

Certificados digitais para ligações VPN

A partir da V5R1, poderá utilizar certificados digitais como uma forma de estabelecer uma ligação a uma rede privada virtual (VPN) iSeries. Ambos os pontos terminais de uma ligação VPN dinâmica têm de conseguir autenticar-se mutuamente antes de activar a ligação. A autenticação de pontos terminais é feita através do servidor Internet Key Exchange (IKE) em cada extremidade. Após uma autenticação com sucesso, os servidores IKE podem negociar as metodologias de encriptação e os algoritmos que vão utilizar para proteger uma ligação VPN.

Anteriormente à V5R1, os servidores IKE só podiam autenticar-se através da utilização de uma chave pré-partilhada. Utilizar uma chave pré-partilhada é menos seguro porque tem de se comunicar a chave manualmente ao administrador do outro ponto terminal do VPN. Consequentemente, existe uma possibilidade de a chave ser exposta a terceiros durante o processo de comunicação da chave.

Na V5R1 poderá evitar este risco utilizando os certificados digitais para autenticar os pontos terminais em vez de utilizar uma chave pré-partilhada. O servidor IKE poderá autenticar o certificado do outro servidor para estabelecer uma ligação para negociar as metodologias e algoritmos de encriptação que os

servidores utilizarão para proteger a ligação.

Pode utilizar o Gestor de Certificados Digitais (DCM) para gerir os certificados que o servidor IKE utiliza para estabelecer uma ligação VPN dinâmica. Tem de primeiro decidir se deseja utilizar certificados públicos versus emitir certificados privados para o servidor IKE.

Algumas implementações de VPN requerem que o certificado contenha informações de nome de assunto alternativo tal como, por exemplo, um nome de domínio ou de endereço de correio electrónico, para além das informações de nome único standard. Quando utilizar a CA privada do utilitário de DCM para emitir um certificado, poderá especificar informações sobre o nome de sujeito alternativo para o certificado.

Especificar estas informações assegura que a ligação VPN do iSeries é compatível com outras implementações VPN que possam requerer autenticação.

Para saber mais sobre como gerir certificados para as ligações VPN, reveja os seguintes recursos:

v Se nunca utilizou o DCM para gerir certificados, os seguintes tópicos poderão ajudá-lo a começar: – Criar e utilizar uma CA privada descreve como utilizar o DCM para emitir certificados privados para

as suas aplicações.

– Gerir certificados a partir de uma CA de Internet pública descreve como utilizar o DCM para trabalhar com certificados provenientes de uma CA pública.

v _{Se presentemente utilizar o DCM para gerir certificados para outras aplicações, reveja estes recursos}

para aprender como especificar que uma aplicação deverá utilizar um certificado existente e quais os certificados que a aplicação poderá aceitar e autenticar:

– Gerir a atribuição de certificados a uma aplicação que descreve como utilizar o DCM para atribuir um certificado existente a uma aplicação tal como, por exemplo, o servidor IKE.

– Definir uma lista fidedigna de CA para uma aplicação descreve como especificar em que CAs deverá uma aplicação confiar quando aceitar certificados para autenticação de um cliente (ou VPN).

Certificados digitais para assinar objectos

A partir da V5R1, o iSeries 400 fornece suporte para a utilização de certificados para″assinar″ digitalmente objectos e verificar as assinaturas digitais de objectos. A assinatura digital de objectos fornece uma forma de assegurar a integridade do conteúdo de um objecto, bem como da fonte da origem de um objecto. O suporte da assinatura de objectos aumenta as tradicionais ferramentas de sistema do iSeries para controlar quem pode alterar objectos. Os controlos tradicionais não podem proteger um objecto de alterações não autorizadas quando o objecto estiver em trânsito na Internet ou em qualquer outra rede que não seja fidedigna, ou quando o objecto for guardado num sistema não iSeries. Utilizar assinaturas digitais de objectos protege os objectos de alterações não autorizadas em situações semelhantes às descritas.

Colocar uma assinatura digital num objecto consiste em utilizar a chave privada de um certificado para adicionar um resumo matemático codificado dos dados existente num objecto. A assinatura protege os dados de alterações não autorizadas. O objecto e o seu conteúdo não são codificados e tornados privados pela assinatura digital. No entanto, o resumo propriamente dito é codificado para impedir alterações não autorizadas. Quem quiser assegurar-se de que o objecto não foi modificado durante o trânsito e que foi originado numa fonte aceite e legítima, poderá utilizar a chave pública do certificado de assinatura para verificar a assinatura digital original. Se a assinatura não corresponder, os dados podem ter sido alterados. Nesse caso, evite utilizar o objecto e contacte o proprietário da assinatura para obter uma outra cópia do objecto assinado.

Se decidir que a utilização de assinaturas digitais se adequa às suas necessidades e políticas de segurança, deverá avaliar se deve utilizar certificados públicos versus emitir certificados privados. Se pretender distribuir objectos a utilizadores num público mais vasto, deverá considerar utilizar certificados provenientes de uma Autoridade de Certificação (CA) pública devidamente conhecida. Utilizar certificados públicos assegurará que outros possam verificar as assinaturas que colocar em objectos de uma forma fácil e pouco dispendiosa quando os distribuir. No entanto, se pretender distribuir objectos apenas no interior da sua organização, talvez seja preferível utilizar o Gestor de Certificados Digitais (DCM) para operar a sua própria CA para emitir certificados sem ter de os adquirir a partir de uma CA externa.

A assinatura de um objecto representa o sistema que assinou o objecto e não um determinado utilizador desse sistema (apesar de o utilizador ter de possuir as autoridades adequadas para utilizar o certificado para assinar objectos). Como parte do processo de verificação de assinaturas digitais, terá de decidir em que Autoridade de Certificação deverá confiar e que certificados utilizar para assinar objectos. Se decidir confiar numa CA, poderá decidir se deverá confiar nas assinaturas que alguém criará utilizando um

certificado emitido por uma CA fidedigna. Quando decidir não confiar numa CA, também decidirá não confiar nos certificados que a CA emitir ou nas assinaturas que alguém criar utilizando esses certificados.

Valor de sistema Verificar restauro de objectos (QVFYOBJRST)

Se decidir efectuar a assinatura de objectos e a verificação da assinatura, uma das primeiras decisões importantes que terá de tomar será a determinação da importância das assinaturas para os objectos que vão ser restaurados para o sistema. Poderá controlá-lo com o novo valor de sistema denominado QVFYOBJRST. A predefinição deste valor de sistema permite que sejam restaurados objectos não assinados. No entanto, assegura que os objectos assinados só podem ser restaurados se tiverem uma assinatura válida. O sistema só define um objecto como assinado se o objecto tiver uma assinatura que seja fidedigna. O sistema ignorará todas as outras assinaturas″não fidedignas″no objecto e tratará o objecto como se de facto não tivesse nenhuma assinatura.

Existem vários valores que poderá utilizar para o valor de sistema QVFYOBJRST, desde ignorar todas as assinaturas a requerer assinaturas válidas para todos os objectos que o sistema restaurar. O valor de sistema só afectará os objectos executáveis que estiverem a ser restaurados, não afectando ficheiros de salvaguarda ou de IFS. Para saber mais informações sobre como utilizar este valor de sistema, consulte o tópico Localizador de Valores de Sistema no Information Center.

Poderá utilizar o Gestor de Certificados Digitais (DCM) para implementar o seu certificado e decisões de confiança da CA bem como gerir os certificados que utilizar para assinar objectos e para verificar as assinaturas de objectos.

Para obter mais informações sobre como utilizar o DCM para assinar objectos e verificar assinaturas de objectos, reveja os seguintes tópicos:

v _{Assinar objectos.}

v _{Verificar assinaturas de objectos.}

Utilizar certificados públicos vs. emitir certificados privados

Assim que decidir utilizar certificados, deverá escolher o tipo de implementação de certificados mais adequada às suas necessidades de segurança. As opções de que dispõe para obter certificados incluem:

v Adquirir os certificados a uma Autoridade de Certificação (CA) de Internet pública.

v _{Trabalhar com a sua própria CA para emitir certificados privados para os utilizadores e as aplicações.} v _{Utilizar uma combinação de certificados de CAs de Internet públicas e da sua própria CA.}

A escolha de quais destas opções de implementação vai utilizar depende de vários factores, sendo um dos mais importantes o ambiente em que os certificados são utilizados. Seguem-se algumas informações para o ajudar a determinar melhor qual é a escolha de implementação certa para as suas necessidades profissionais e de segurança.

Utilizar certificados públicos

As CAs de Internet públicas emitem certificados para qualquer pessoa que pague o montante necessário. No entanto, uma CA de Internet ainda requer uma prova de identidade para emitir um certificado. No entanto, este nível de comprovação varia, dependendo da política de identificação da CA. Deve avaliar se o rigor da política de identificação da CA é adequado às suas necessidades de segurança antes de decidir obter certificados da CA ou confiar nos certificados por ela emitidos. Uma vez que as normas Public Key Infrastructure Exchange (PKIX) evoluíram, algumas CAs públicas mais recentes agora

fornecem normas de identificação mais rigorosas para a emissão de certificados. Ainda que o processo de obtenção de certificados dessas CAs PKIX seja mais integrado, os certificados emitidos pela CA fornecem maior garantia para protecção do acesso a aplicações por parte de utilizadores específicos. O Gestor de Certificados Digitais (DCM) permite-lhe utilizar e gerir os certificados de CAs PKIX que utilizam estas novas normas de certificados.

Também tem de considerar o custo associado à utilização de uma CA pública para emitir certificados. Se precisar da emissão de certificados para um número limitado de aplicações servidor ou cliente e

utilizadores, o custo poderá não ser um factor importante para si. No entanto, o custo pode ser particularmente importante se tiver um grande número de utilizadoresprivadosque necessitem de certificados públicos para autenticação de clientes. Neste caso, deverá igualmente considerar o esforço administrativo e de programação necessário para configurar as aplicações servidor para aceitar apenas um subconjunto específico de certificados emitidos por uma CA pública.

A utilização de certificados de uma CA pública pode poupar-lhe tempo e recursos porque muitas aplicações servidor, cliente e de utilizador estão configuradas para reconhecerem a maioria das CAs públicas muito conhecidas. Além disso, outras empresas e utilizadores podem reconhecer e confiar mais nos certificados emitidos por uma CA pública muito conhecida do que nos certificados emitidos pela sua CA privada.

Utilizar certificados privados

Se criar a sua própria CA, poderá emitir certificados para sistemas e utilizadores num âmbito mais limitado, como a sua empresa ou organização. A criação e manutenção da sua própria CA permite-lhe emitir certificados apenas para os utilizadores que sejam membros fidedignos do seu grupo. Esta

particularidade proporciona uma melhor segurança, uma vez que pode controlar quem tem certificados e, deste modo, quem tem acesso aos seus recursos, de forma mais económica. Uma possível desvantagem da manutenção da sua própria CA é o investimento obrigatório em tempo e recursos. No entanto, o Gestor de Certificados Digitais (DCM) facilita-lhe este processo.

Nota: Seja qual for a CA utilizada para emitir os certificados, o administrador de sistema controla as CAs

em que as aplicações no sistema devem confiar. Se conseguir encontrar uma cópia de um certificado para uma CA conhecida no browser, este poderá ser definido para confiar nos certificados de servidor que foram emitidos por essa CA. No entanto, se esse certificado de CA não se encontrar no seu arquivo de certificados *SYSTEM, o seu servidor não confiará nos

certificados de utilizador ou cliente emitidos por essa CA. Para confiar nos certificados de utilizador emitidos por uma CA, terá de pedir uma cópia do certificado de CA à CA. Ela terá de estar no formato de ficheiro correcto e terá de adicionar esse certificado ao seu arquivo de certificados do DCM.

Poderá considerar útil analisar alguns exemplos de situações comuns de utilização de certificados para o ajudar a decidir se é a utilização de certificados públicos ou privados que melhor se adequa às suas necessidades profissionais e de segurança.

Tarefas relacionadas

Depois de decidir como pretende utilizar certificados e que tipo vai utilizar, analise estes procedimentos para obter mais informações sobre como utilizar o Gestor de Certificados Digitais para pôr o seu plano em acção:

v _{Criar e utilizar uma CA privada descreve as tarefas que tem de executar caso decida trabalhar com}

uma CA para emitir certificados privados.

v Gerir certificados a partir de uma CA de Internet pública descreve as tarefas que tem de executar para utilizar certificados de uma CA pública muito conhecida, incluindo uma CA PKIX.

v _{Utilizar uma CA local noutros servidores iSeries descreve as tarefas que tem de executar se quiser}

Exemplos da utilização de certificados digitais públicos por oposição

aos privados

A decisão de obter certificados de uma Autoridade de Certificação (CA) de Internet pública ou de utilizar uma CA privada para emitir certificados depende de vários factores. Estes factores incluem quem deseja que tenha acesso às aplicações e qual o grau de segurança com que pretende manter os seus dados.

Os seguintes cenários ilustram diferentes abordagens à utilização dos certificados para regular o acesso às aplicações da sua empresa e à protecção dos dados privados que estas aplicações fornecem.

Cenário 1: Utilizar certificados digitais públicos para acesso público limitado aos recursos internos

Os certificados públicos são certificados que são emitidos por uma CA de Internet conhecida. Utilizar certificados digitais públicos para limitar ou permitir o acesso às suas aplicações e dados é uma opção prática dadas as seguintes condições ou semelhantes:

v _{Os seus dados e aplicações requerem graus de segurança variáveis.} v Existe uma elevada taxa de rotatividade entre os utilizadores fidedignos.

v _{Fornecer acesso público a aplicações e dados, tal como, por exemplo, um site de Internet ou uma}

aplicação extranet.

v Não deseja trabalhar com a sua própria Autoridade de certificação (CA).

Se trabalha para uma seguradora, por exemplo, pode ser responsável pela manutenção de diferentes aplicações nos sites de Intranet e Internet da empresa. Uma aplicação em particular pela qual é responsável é uma aplicação de cálculo de taxa que permite aos agentes gerar quotas para os

respectivos clientes. Embora esta aplicação não seja altamente sensível, pretende assegurar-se de que apenas os agentes registados a podem utilizar. Para além disso, não confia na segurança que as palavra-passe proporcionam uma vez que podem ser partilhadas entre agentes diferentes.

Para fornecer uma segurança adequada, pode requerer que os agentes obtenham um certificado de uma CA conhecida e fidedigna. Assim que obtiver um certificado, um agente autorizado poderá visitar o site da sua empresa e solicitar o acesso à sua aplicação de cálculo de taxas. Em seguida, o servidor pode aprovar ou rejeitar o pedido com base nas informações do certificado que o agente apresentar. Se o servidor aprovar o pedido, é concedido acesso ao agente para a aplicação.

Cenário 2: Utilizar certificados digitais privados para limitar o acesso a aplicações privadas na Intranet

Utilizar certificados digitais públicos para limitar e permitir o acesso às suas aplicações é uma opção prática dadas as seguintes condições ou semelhantes:

v _{É exigido um elevado grau de segurança, sobretudo no que diz respeito à autenticação de utilizadores.} v _{Existe confiança nos indivíduos para quem são emitidos certificados.}

v _{Os utilizadores já têm perfis de utilizador do iSeries para controlar o seu acesso às aplicações e dados.} v Pretende trabalhar com a própria Autoridade de Certificação (CA).

Se trabalha numa grande empresa, o departamento de recursos humanos está provavelmente preocupado com problemas, como, por exemplo, questões legais e a privacidade dos registos.

Tradicionalmente, utilizava perfis de utilizador e palavras-passe para limitar o acesso a estes dados. Dada a natureza confidencial destes dados, apercebe-se de que as palavras-passe não protegem de forma eficaz o acesso a estes dados. Afinal, as pessoas podem partilhá-las, esquecer-se delas ou até mesmo roubá-las.

Deste modo, decidiu configurar uma CA privada e emitir certificados para todos os empregados e obrigar os empregados a associar os seus certificados aos seus perfis de utilizador do iSeries. Este tipo de implementação de certificados privados permite um maior controlo de acesso aos dados confidenciais,

bem como controlar a privacidade dos dados através da utilização de SSL. Por fim, ao emitir pessoalmente certificados, aumenta a probabilidade de os dados permanecerem seguros e estarem acessíveis apenas a indivíduos específicos.

A segurança que os certificados fornecem não está limitada à protecção dos dados contra ameaças externas. Também pode utilizar certificados para restringir o acesso de certos empregados a dados específicos. Por exemplo, pode utilizar certificados para impedir que os programadores de software da sua empresa acedam aos registos de recursos humanos referidos no cenário anterior. Também podem impedir os escritores técnicos de utilizar aplicações de gestão de alto nível. Pode utilizar efectivamente certificados para restringir o acesso em toda a rede.

Capítulo 4. Compreender os certificados digitais

Antes de começar a utilizar certificados digitais para melhorar a política de segurança do sistema e da rede, deve compreender o que são e que benefícios de segurança representam.

Um certificado digital é uma credencial digital que valida a identidade do proprietário do certificado, à semelhança de um passaporte. Uma entidade fidedigna, denominada Autoridade de Certificação (CA) emite certificados digitais para utilizadores e aplicações servidor ou cliente. A confiança na CA é a base de confiança no certificado como credencial válida.

Cada CA tem uma política para determinar as informações de identificação requeridas pela CA para emitir um certificado. Algumas Autoridades de Certificação da Internet públicas podem requerer pouca

informação como, por exemplo, um nome e um endereço de correio electrónico. Outras CAs públicas podem requerer mais informações e um comprovativo mais rigoroso dessas informações de identificação antes de emitir um certificado. Por exemplo, as CAs que suportam normas Public Key Infrastructure Exchange (PKIX) podem requerer que o solicitador verifique as informações de identificação através de uma Autoridade de Registo (RA) antes de emitir o certificado. Por conseguinte, se tenciona aceitar e utilizar certificados como credenciais, deverá analisar os requisitos de identificação para uma CA para determinar se os respectivos requisitos se adequam às suas necessidades.

Nome distinto

Nome distinto (DN) é um termo que descreve as informações de identificação do proprietário do

certificado e faz parte do próprio certificado. Dependendo da política de identificação da CA que emite um certificado, o DN pode incluir várias informações. Pode utilizar o Gestor de Certificados Digitais (DCM) para trabalhar com uma Autoridade de Certificação privada e emitir certificados privados. Além disso, pode utilizar o DCM para gerar as informações de DN e o par de chaves para certificados emitidos por uma CA de Internet pública para a sua organização. As informações de DN que pode fornecer para qualquer tipo de certificado incluem:

v Nome comum do proprietário do certificado

v Organização

v _{Unidade organizacional} v _Cidade

v _Estado v _País

Quando utiliza o DCM para emitir certificados privados, pode fornecer informações de DN adicionais, incluindo:

v _{Endereço de IP na Versão 4} v _{Nome completo do domínio} v _{Endereço de correio electrónico}

Estas informações adicionais são úteis se tenciona utilizar o certificado para configurar uma ligação de rede privada virtual (VPN).

Par de chaves pública-privada

Cada certificado digital tem um par de chaves criptográficas associadas. (Os certificados de verificação de assinaturas constituem uma excepção a esta regra e só têm uma chave pública associada.) Este par de chaves é constituído por uma chave privada e uma chave pública. A chave pública faz parte do próprio certificado, enquanto que o proprietário do certificado armazena a chave privada num ficheiro seguro. O proprietário do certificado pode utilizar estas chaves para tirar partido das funções de segurança

fornecidas pelas chaves através da criptografia. Por exemplo, o proprietário do certificado pode utilizar estas chaves para″assinar″e codificar dados como, por exemplo, mensagens, documentos e código,

trocados entre utilizadores e servidores. Essas assinaturas digitais asseguram a fiabilidade da origem de um objecto e protegem a integridade e privacidade do objecto.

Utilizando certificados digitais e browsers que suportam SSL (como o Netscape Navigator e o Microsoft Internet Explorer), o seu servidor e clientes podem comunicar de modo seguro utilizando o Secure Sockets Layer (SSL). O software do browser e muitos outros pacotes de software cliente fornecem suporte para utilizar certificados digitais em vez de nomes de utilizador e palavras-passe para uma autenticação e autorização mais seguras para os recursos.

Tipos de certificados digitais

Existem várias classificações de certificados digitais. Estas classificações descrevem a utilização do certificado:

v _{Certificados da Autoridade de Certificação (CA). Um certificado da Autoridade de Certificação é uma}

credencial digital que valida a identidade da Autoridade de Certificação (CA) proprietária do certificado. O certificado da Autoridade de Certificação contém informações de identificação sobre a Autoridade de Certificação, bem como a respectiva chave pública. É possível outros utilizarem a chave pública do certificado da CA para verificar a autenticidade dos certificados emitidos e assinados pela CA. Um certificado da Autoridade de Certificação pode ser assinado por outra CA, como, por exemplo a VeriSign, ou ter assinatura própria, caso seja uma entidade independente. Uma CA criada pelo utilizador no Gestor de Certificados Digitais é uma entidade independente.

v Certificados servidor ou cliente. Um certificado servidor ou cliente é uma credencial digital que

identifica a aplicação servidor ou cliente que utiliza o certificado para comunicações seguras. Os certificados servidor ou cliente contêm informações de identificação sobre a organização proprietária da aplicação como, por exemplo, o nome distinto do sistema. O certificado também contém a chave pública do sistema. Um servidor tem de ter um certificado digital para utilizar o Secure Sockets Layer (SSL) para comunicações seguras. As aplicações que suportam certificados digitais podem examinar o certificado de um servidor para verificar a identidade do servidor quando o cliente acede ao servidor. Em seguida, a aplicação pode utilizar a autenticação do certificado como base para iniciar uma sessão codificada de SSL entre o cliente e o servidor.

v Certificados de assinatura de objectos. Um certificado de assinatura de objectos é um certificado

utilizado para″assinar″ digitalmente um objecto de modo a assegurar a integridade do próprio objecto e a origem ou propriedade do objecto. Quando utiliza a chave privada de um certificado de assinatura de objectos para assinar um objecto, o receptor do objecto tem de ter acesso a uma cópia do certificado de verificação de assinaturas correspondente para autenticar devidamente a assinatura do objecto.

v _{Certificados de verificação de assinaturas. Um certificado de verificação de assinaturas é uma cópia}

de um certificado de assinatura de objectos sem a chave privada desse certificado. Utilize a chave pública do certificado de verificação de assinaturas para autenticar a assinatura digital criada com um certificado de assinatura de objectos num objecto.

v _{Certificados de utilizador. Um certificado de utilizador é uma credencial digital que valida a identidade}

do cliente ou utilizador proprietário do certificado. Já existem muitas aplicações que fornecem suporte para utilizar certificados para autenticar utilizadores para recursos, em vez de nomes de utilizador e palavras-passe. O Gestor de Certificados Digitais (DCM) associa automaticamente os certificados do utilizador emitidos pela CA privada ao perfil do utilizador de iSeries do utilizador. Também pode utilizar o DCM para associar certificados de utilizador emitidos por outras Autoridades de Certificação ao perfil do utilizador de sistema do utilizador.

Quando utiliza o Gestor de Certificados Digitais (DCM) para gerir os certificados, o DCM organiza-os de acordo com estas classificações e coloca-os, e às respectivas chaves privadas, num arquivo de

certificados.

Nota: Se tiver um coprocessador IBM 4758 PCI Cryptographic Coprocessor instalado no servidor iSeries,

pode escolher outras opções de armazenamento de chaves privadas para os certificados (com excepção dos certificados de assinatura de objectos). Pode optar por armazenar a chave privada no próprio coprocessador. Também pode utilizar o coprocessador para codificar a chave privada e

armazená-la num ficheiro de chaves especial, em vez de num arquivo de certificados. No entanto, os certificados de utilizador e as respectivas chaves são armazenadas no sistema do utilizador, no software do browser ou num ficheiro, para utilização por outros pacotes de software cliente.

Para obter mais informações sobre outros conceitos importantes para compreender os certificados digitais e o respectivo funcionamento, analise estes tópicos:

v Autoridade de Certificação (CA)

Leia estas informações para saber mais sobre CAs, as entidades que emitem os certificados digitais.

v _{Localizações de CRL}

Leia estas informações para saber o que é uma Lista de Revogação de Certificados (CRL) e como é utilizada no processo de validação e autenticação de certificados.

v _{Arquivos de certificados}

Leia estas informações para saber o que é um arquivo de certificados e como utilizar o Gestor de Certificados Digitais (DCM) para trabalhar com eles e com os certificados neles contidos.

v _Criptografia

Leia estas informações para saber o que é a criptografia e como é que os certificados digitais utilizam funções criptográficas para fornecer segurança.

v _{Secure Sockets Layer (SSL)}

Leia estas informações para obter uma breve descrição do SSL.

Autoridade de Certificação (CA)

Uma Autoridade de Certificação (CA) é uma entidade administrativa central fidedigna que pode emitir certificados digitais para utilizadores e servidores. A confiança na CA é a base de confiança no certificado como credencial válida. Uma CA utiliza a respectiva chave privada para criar uma assinatura digital no certificado que emite para validar a origem do certificado. É possível outros utilizarem a chave pública do certificado da CA para verificar a autenticidade dos certificados emitidos e assinados pela CA.

Uma CA tanto pode ser uma entidade comercial pública, como a VeriSign, como uma entidade privada utilizada por uma organização para fins internos. Existem várias empresas que prestam serviços de Autoridade de Certificação a utilizadores da Internet. O Gestor de Certificados Digitais (DCM) permite-lhe gerir certificados de CAs públicas e privadas.

Além disso, pode utilizar o DCM para trabalhar com a sua própria CA privada para emitir certificados privados para sistemas e utilizadores. Quando a CA emite um certificado de utilizador, o DCM associa automaticamente o certificado ao perfil do utilizador do sistema iSeries do utilizador. Deste modo,

assegura que os privilégios de acesso e de autorização para o certificado são os mesmos que os do perfil de utilizador do proprietário.

Estado de raiz fidedigna

O termo raiz fidedigna refere-se a uma designação especial que é dada a um certificado de Autoridade de Certificação. Esta designação como raiz fidedigna permite a um browser ou outra aplicação autenticar e aceitar certificados emitidos pela Autoridade de Certificação (CA).

Quando transfere um certificado de Autoridade de Certificação para o browser, este permite-lhe designá-lo como raiz fidedigna. É necessário configurar também outras aplicações que suportam a utilização de certificados para confiar numa CA para que a aplicação possa autenticar e confiar nos certificados emitidos por uma CA específica.

Pode utilizar o DCM para activar ou desactivar o estado de confiança para um certificado de Autoridade de Certificação (CA) no arquivo de certificados. Quando activa um certificado de CA, pode especificar que as aplicações podem utilizá-lo para autenticar e aceitar certificados emitidos pela CA. Quando desactiva um certificado de CA, não pode especificar que as aplicações podem utilizá-lo para autenticar e aceitar certificados emitidos pela CA.

Dados da política da Autoridade de Certificação

Quando cria uma Autoridade de Certificação (CA) com o Gestor de Certificados Digitais, pode especificar os dados da política da CA. Os dados de política para uma CA descrevem os respectivos privilégios de assinatura. Os dados da política determinam:

v _{Se a CA pode emitir e assinar certificados de utilizador.}

v _{Por quanto tempo são válidos os certificados emitidos pela CA.}

Localizações de Lista de Revogação de Certificados (CRL)

Uma Lista de Revogação de Certificados (CRL) é um ficheiro que lista todos os certificados inválidos ou revogados de uma Autoridade de Certificação (CA) específica. As CAs actualizam periodicamente as suas CRLs e disponibilizam-nas para outros as publicarem nos directórios do protocolo Lightweight Directory Access Protocol (LDAP). Algumas CAs tal como, por exemplo, a SSH na Finlândia, publicam elas próprias as CRLs em directórios de LDAP ao quais poderá aceder directamente. Se uma CA publicar as suas próprias CRLs, este facto será indicado no certificado através da inclusão de uma extensão de ponto de distribuição de CRL sob o formato de um Uniform Resource Identifier (URI).

O Gestor de Certificados Digitais (DCM) permite-lhe definir e gerir as informações de localização CRL para assegurar uma autenticação mais segura dos certificados que utiliza ou que aceita a partir de outros. Uma definição de localização CRL descreve a localização, as informações de acesso e o servidor de protocolo de Lightweight Directory Access Protocol (LDAP) que armazena a CRL.

As aplicações que efectuem a autenticação de certificados acedem à localização da CRL, se uma estiver definida, para uma CA específica para se assegurar de que a CA não revogou nenhum determinado certificado. O DCM permite-lhe definir e gerir as informações de localização da CRL de que as aplicações necessitam para efectuar o processamento de CRL durante uma autenticação de certificado. Os exemplos de aplicações e processos que podem efectuar o processamento de uma CRL para a autenticação de certificados são os seguintes: o servidor da Internet Key Exchange (IKE) da rede privada virtual (VPN), as aplicações com Secure Sockets Layer (SSL) activado e o processo de assinatura de objectos. Para além disso, quando definir uma localização da CRL e a associar a um certificado de CA, o DCM efectua o processamento da CRL como parte do processo de validação dos certificados emitidos pela CA especificada.

Arquivos de certificados

Um arquivo de certificados é um ficheiro de base de dados de chaves especial utilizado pelo Gestor de Certificados Digitais (DCM) para armazenar certificados digitais e as respectivas chaves privadas associadas. O DCM permite-lhe criar e gerir vários tipos de arquivos de certificados. Os arquivos de certificados são classificados com base nos tipos de certificados que contêm. As tarefas de gestão que pode executar para cada arquivo de certificados variam consoante o tipo de certificado que o arquivo de certificados contém. O DCM fornece os seguintes arquivos de certificados predefinidos:

v Autoridade de Certificação (CA) Local. O DCM utiliza este arquivo de certificados para armazenar o

certificado de CA local e a respectiva chave privada, se criar uma CA local. Pode utilizar o certificado neste arquivo de certificados para assinar certificados utilizados pela CA local para emissão. Quando a CA local emite um certificado, o DCM coloca uma cópia do certificado de CA (sem a chave privada) no arquivo de certificados adequado (por exemplo, *SYSTEM) para efeitos de autenticação. As aplicações utilizam certificados de CA para verificar a origem dos certificados que têm de validar como parte da negociação de SSL para conceder autorização para os recursos.

v _{*SYSTEM. O DCM fornece este arquivo de certificados para gerir certificados servidor ou cliente}

utilizados pelas aplicações para participar em sessões de comunicações de Secure Sockets Layer (SSL). As aplicações IBM iSeries (e muitas outras aplicações de programadores de software) são escritas para utilizarem certificados apenas no arquivo de certificados *SYSTEM.

v _{*OBJECTSIGNING. O DCM fornece este arquivo de certificados para gerir certificados utilizados para}

assinar digitalmente os objectos. Além disso, as tarefas neste arquivo de certificados permitem-lhe criar assinaturas digitais em objectos.

v _{*SIGNATUREVERIFICATION. O DCM fornece este arquivo de certificados para gerir certificados}

utilizados para verificar a assinatura digitalmente nos objectos. Além disso, as tarefas neste arquivo de certificados permitem-lhe autenticar as assinaturas digitais em objectos.

v _{Outro Arquivo de Certificados do Sistema. Este arquivo de certificados fornece uma localização de}

armazenamento alternativa para certificados servidor ou cliente utilizados para sessões de SSL. Outros Arquivos de Certificados do Sistema são arquivos de certificados secundários definidos pelo utilizador para certificados SSL. A opção Outro Arquivo de Certificados do Sistema permite-lhe gerir certificados para aplicações escritas por si ou por outros que utilizam a API SSL_Init para aceder

programaticamente e utilizar um certificado para estabelecer uma sessão de SSL. Esta API permite que uma aplicação utilize o certificado predefinido para um arquivo de certificados, em vez de um

certificado identificado especialmente. De uma maneira geral, este arquivo de certificados é utilizado ao migrar certificados de uma edição anterior do DCM ou para criar um subconjunto especial de

certificados para utilização pelo SSL.

Nota: Se tiver um coprocessador 4758 PCI Cryptographic Coprocessor instalado no servidor iSeries,

pode escolher outras opções de armazenamento de chaves privadas para os certificados (com excepção dos certificados de assinatura de objectos). Pode optar por armazenar a chave privada no próprio coprocessador ou utilizar o coprocessador para codificar a chave privada e armazená-la num ficheiro de chaves especial, em vez de num arquivo de certificados.

O DCM controla o acesso a arquivos de certificados através de palavras-passe. Além disso, também mantém o controlo de acesso do directório do sistema de ficheiros integrado e dos ficheiros que constituem os arquivos de certificados. A Autoridade de Certificação (CA) Local, os arquivos de

certificados *SYSTEM, *OBJECTSIGNING e *SIGNATUREVERIFICATION têm de estar localizados nos caminhos específicos do sistema de ficheiros integrado; Outros arquivos de Certificados do Sistema podem estar localizados em qualquer parte no sistema de ficheiros integrado.

Criptografia

A criptografia é a ciência de manter os dados protegidos. A criptografia permite-lhe armazenar informações ou comunicar com outras entidades e, ao mesmo tempo, impedir que entidades não envolvidas compreendam as informações armazenadas ou a comunicação. A codificação transforma o texto inteligível em dados ininteligíveis (texto cifrado). A descodificação restaura o texto inteligível a partir dos dados ininteligíveis. Ambos os processos envolvem uma fórmula matemática ou um algoritmo e uma sequência de dados secreta (a chave).

Existem dois tipos de criptografia:

v _{Na criptografia de chave partilhada ou secreta (simétrica), uma chave é um segredo partilhado entre}

duas entidades comunicantes. A codificação e a descodificação utilizam a mesma chave.

v _{Na criptografia de chave pública (assimétrica), tanto a codificação como a descodificação utilizam}

chaves diferentes. Uma entidade tem duas chaves: uma chave pública e uma chave privada. A chave pública é distribuída gratuitamente, normalmente num certificado digital, enquanto a chave privada é guardada em segurança pelo proprietário. As duas chaves estão relacionadas matematicamente, mas é praticamente impossível fazer derivar a chave privada da chave pública. Um objecto como, por

exemplo, uma mensagem que seja codificada com a chave pública de alguém só pode ser

descodificada com a chave privada associada. Em alternativa, um servidor ou utilizador pode utilizar uma chave privada para″assinar″um objecto e o receptor pode utilizar a chave pública correspondente para descodificar a assinatura digital para verificar a origem e integridade do objecto.

Chave pública

Uma chave pública é uma de um par de chaves assimétrico e está normalmente associada ao certificado digital do proprietário. Consequentemente, uma chave pública está disponível para utilização por qualquer pessoa. Uma chave pública consiste numa cadeia de dados e num padrão algorítmico.

Um utilizador ou aplicação pode utilizar uma chave pública para descodificar mensagens codificadas com a chave privada correspondente. Um utilizador ou aplicação também pode utilizar uma chave pública para codificar mensagens que só podem ser descodificadas com a chave privada correspondente.

Chave privada

Uma chave privada é uma de um par de chaves assimétrico e consiste numa cadeia de dados e num padrão algorítmico.

Um utilizador ou aplicação pode utilizar uma chave privada para descodificar mensagens que foram codificadas com a chave pública correspondente. Um utilizador ou aplicação também pode utilizar uma chave privada para codificar mensagens que só podem ser descodificadas com a chave pública correspondente.

Uma chave pública está normalmente associada ao certificado digital do proprietário e está disponível para utilização por qualquer pessoa. No entanto, uma chave privada é protegida e só está disponível para o respectivo proprietário. Este acesso limitado garante que as comunicações que utilizam a chave são mantidas em segurança.

Assinaturas digitais

Uma assinatura digital num documento electrónico ou outro objecto é criada utilizando uma forma de criptografia e equivale a uma assinatura pessoal num documento impresso. Uma assinatura digital constitui prova da origem e integridade do documento. Um proprietário de certificado digital″assina″um objecto utilizando a chave privada do certificado. O destinatário do objecto utiliza a chave pública

correspondente para descodificar a assinatura, que verifica a integridade do objecto assinado e confirma o remetente como sendo a origem.

Uma Autoridade de Certificação (CA) assina os certificados que emite. Esta assinatura consiste numa cadeia de dados que é codificada com a chave privada da Autoridade de Certificação. Em seguida, qualquer utilizador pode verificar a assinatura no certificado utilizando a chave pública da Autoridade de Certificação para descodificar a assinatura.

Secure Sockets Layer (SSL)

O Secure Sockets Layer (SSL), originalmente criado pela Netscape, é o standard da indústria para a codificação de sessões entre clientes e servidores. O SSL utiliza criptografia assimétrica, ou de chave pública, para codificar a sessão entre servidor e cliente. As aplicações cliente e servidor negoceiam a chave desta sessão durante uma troca de certificados digitais. A chave expira automaticamente após 24 horas e o processo de SSL cria uma chave diferente para cada ligação de cliente e de servidor. Por conseguinte, mesmo que utilizadores não autorizados interceptem e descodifiquem uma chave de sessão (o que não é provável), não poderão utilizá-la para″espreitar″sessões posteriores.

Capítulo 5. Utilizar o Gestor de Certificados Digitais

O Gestor de Certificados Digitais (DCM) fornece uma interface do utilizador baseada no browser que pode ser utilizada para gerir certificados digitais para as suas aplicações e utilizadores. A interface do utilizador divide-se em duas molduras principais: uma moldura de navegação e uma moldura de tarefas.

Pode utilizar a moldura de navegação para seleccionar as tarefas para gerir certificados ou as aplicações que os utilizam. Ainda que algumas tarefas individuais apareçam directamente na moldura de navegação principal, a maioria das tarefas na moldura de navegação estão organizadas em categorias. Por exemplo,

Gerir Certificados é uma categoria de tarefa que contém uma variedade de tarefas orientadas individuais

como, por exemplo, Ver certificado, Renovar certificado, Importar certificado, etc. Se um item da moldura de navegação corresponder a uma categoria que contém mais de uma tarefa, aparece uma seta à esquerda desse item. A seta indica que, quando selecciona a ligação da categoria, é apresentada uma lista de tarefas expandida para poder seleccionar a tarefa que pretende executar.

Com excepção da categoria Fast Path, cada tarefa da moldura de navegação é uma tarefa orientada que guia o utilizador ao longo de uma série de passos para concluir a tarefa rápida e facilmente. A categoria Fast Path fornece um agrupamento de funções de gestão de certificados e aplicações que permitem que utilizadores experientes do DCM acedam rapidamente a uma variedade de tarefas relacionadas a partir de um conjunto de páginas central.

As tarefas disponíveis na moldura de navegação variam consoante o arquivo de certificados em que está a trabalhar. Além disso, a categoria e o número de tarefas que vê na moldura de navegação variam dependendo das autorizações do seu perfil do utilizador do iSeries. Todas as tarefas para trabalhar com uma CA, gerir os certificados utilizados pelas aplicações e outras tarefas ao nível do sistema só estão disponíveis para responsáveis pela segurança ou administradores do iSeries. O responsável pela

segurança ou administrador tem de ter as autoridades especiais *SECADM e *ALLOBJ para ver e utilizar estas tarefas. Os utilizadores sem estas autoridades especiais só têm acesso às funções de certificado de utilizador.

Para obter informações sobre como começar a utilizar o DCM, analise estes tópicos:

v _{Requisitos de utilização do DCM}

Leia este tópico para obter informações sobre o software que tem de instalar e outras informações necessárias para configurar o sistema para utilizar o DCM.

v _{Iniciar o DCM}

Leia este tópico para obter informações sobre como aceder à função Gestão de Certificados Digitais.

v _{Configurar certificados pela primeira vez}

Leia este tópico para obter informações sobre como começar a utilizar o DCM pela primeira vez para configurar tudo o que é necessário para começar a utilizar certificados. Aprenda a começar a gerir certificados de uma Autoridade de Certificação (CA) da Internet pública ou a criar e utilizar uma CA privada para emitir certificados.

Para obter mais informações sobre como utilizar o DCM em vários sistemas ou sobre como proceder à actualização de uma edição anterior do DCM, analise estes tópicos:

v _{Utilizar uma CA privada para emitir certificados para outros sistemas iSeries}

Leia este tópico para obter informações sobre como utilizar uma CA privada num sistema para emitir certificados para utilização noutros sistemas iSeries.

v _{Migrar de uma versão anterior do DCM para a versão V5R1}

Leia este tópico para obter informações sobre como utilizar a versão V5R1 do DCM para gerir os certificados e as aplicações existentes de uma versão anterior do DCM.

Para obter mais informações sobre a utilização do DCM para gerir os seus certificados e as aplicações que os utilizam, analise estes tópicos:

v _{Gerir aplicações no DCM descreve como utilizar o DCM para trabalhar com definições de aplicações}

para aplicações com suporte de SSL ou aplicações de assinatura de objectos. Este tópico fornece informações sobre a criação de definições de aplicações e a gestão de atribuições de certificados de uma aplicação. Pode obter informações sobre como definir listas fidedignas de CA utilizadas pelas aplicações como base de aceitação de certificados para autenticação do cliente.

v Validar certificados e aplicações descreve como verificar a autenticidade de um certificado específico

antes de ser utilizado ou aceite por uma aplicação.

v _{Gerir Localizações de CRL descreve como definir e utilizar localizações de Listas de Revogação de}

Certificados (CRL) utilizadas pelas aplicações para verificar se os certificados que aceitam são válidos.

v _{Armazenar chaves de certificado no IBM 4758 Cryptographic Coprocessor descreve como utilizar}

um coprocessador instalado para fornecer armazenamento mais seguro para as chaves privadas dos seus certificados.

v _{Gerir a localização de pedidos para uma CA PKIX descreve como utilizar o DCM para gerir}

certificados obtidos de uma CA da Internet pública que emite certificados ao abrigo das normas Public Key Infrastructure X.509 (PKIX).

v _{Gerir certificados do utilizador descreve como os utilizadores podem utilizar o DCM para obter}

certificados ou associar os certificados existentes aos perfis de utilizador do iSeries.

Para obter mais informações sobre como utilizar certificados para assinar objectos e validar assinaturas de objectos, analise estes tópicos:

v Assinar objectos descreve como utilizar o DCM para gerir os certificados utilizados para assinar

digitalmente objectos de modo a assegurar a sua integridade.

v _{Verificar assinaturas de objectos descreve como utilizar o DCM para validar a autenticidade das}

assinaturas digitais em objectos.

Se quiser obter informações mais educativas sobre a utilização de certificados digitais num ambiente de Internet para melhorar a segurança do sistema e da rede, o site da Web da VeriSign é um excelente recurso. O site da Web do VeriSign fornece uma biblioteca extensa com tópicos sobre certificados digitais, bem como inúmeros outros assuntos de segurança na Internet. Pode aceder a esta biblioteca no

endereço da VeriSign:http://digitalid.verisign.com/server/help/hlpIntroID.htm

Requisitos para utilizar o DCM

Assegure-se que que executas os seguintes procedimentos para utilizar o DCM com sucesso:

v Instale a opção 34 do OS/400. Trata-se da funcionalidade DCM baseada no browser.

v Instale o IBM HTTP Server for iSeries (5722–DG1) e inicia a instância de servidor *ADMIN.

v _{Instale um dos programas licenciados de fornecimento de acesso criptográfico (5722–AC2 ou}

5722–AC3). Estes produtos criptográficos determinam o comprimento máximo de chave que é

permitido para algoritmos criptográficos baseados nas normas de exportação e de importação. Tem de instalar um destes produtos antes de poder criar certificados.

v _{Assegure-se de que o TCP está configurado no seu sistema para que possa utilizar um browser da}

web e uma instância *ADMIN do Servidor HTTP para aceder à função DCM.

Nota: Só poderá criar certificados se instalar todos os produtos necessários. Se um produto necessário

não estiver instalado, O DCM apresentará uma mensagem de erro a indicar-lhe que deverá instalar o componente em falta.

Iniciar o Gestor de Certificados Digitais

Antes de poder utilizar qualquer uma das suas funções, terá de iniciar o Gestor de Certificados Digitais (DCM). Efectue as seguintes tarefas para se assegurar de que iniciou o DCM com sucesso:

1. Instale a Opção 34 do 5722 SS1. Instale o 5722 DG1.