IBM i: Digital Certificate Manager · 2017. 9. 28. · Примечание...

IBM iверсия 7.2

ЗащитаDigital Certificate Manager

��

ПримечаниеПеред применением этой информации, а также поддерживаемого ей продукта ознакомьтесь с информацией, приведенной вразделе “Юридическая информация” на стр. 93.

Этот документ может содержать ссылки на Лицензионный внутренний код. Лицензионный внутренний код - этомашинный код, лицензия на использование которого предоставляется в соответствии с условиями лицензионногосоглашения IBM на машинный код.

© Copyright IBM Corporation 1999, 2013.

Содержание

Диспетчер цифровых сертификатов . . 1Новое в IBM i 7.2 . . . . . . . . . . . . . 1Документ Диспетчер цифровых сертификатов вформате PDF . . . . . . . . . . . . . . 2Концепции DCM . . . . . . . . . . . . . 2Расширения сертификатов . . . . . . . . . 3Обновление сертификатов . . . . . . . . . 3Отличительное имя . . . . . . . . . . . 3Цифровые подписи . . . . . . . . . . . 4Общий и личный ключи . . . . . . . . . . 5Алгоритмы сертификатов . . . . . . . . . 6Сертификатная компания . . . . . . . . . 6Определения списка аннулированных сертификатов(CRL) . . . . . . . . . . . . . . . . 7Хранилища сертификатов . . . . . . . . . 8Шифрование . . . . . . . . . . . . . 9Шифровальные сопроцессоры IBM для IBM i . . 10Определения приложений . . . . . . . . . 10Проверка . . . . . . . . . . . . . . 11

Сценарии: DCM . . . . . . . . . . . . . 12Сценарий: Внешняя идентификация с помощьюсертификатов . . . . . . . . . . . . . 13Заполните формы планирования . . . . . 16Создание запроса на сертификат клиента илисервера . . . . . . . . . . . . . . 17Настройка поддержки SSL в приложениях . . 18Импорт и присвоение приложениюподписанного общего сертификата . . . . . 18Запуск приложений в режиме SSL . . . . . 19(Необязательно): Создание спискауполномоченных CA для приложения, котороеих требует.. . . . . . . . . . . . . 19

Сценарий: Внутренняя идентификация с помощьюсертификатов . . . . . . . . . . . . . 20Заполнение форм планирования . . . . . . 23Настройка поддержки SSL на сервере HTTPотдела кадров . . . . . . . . . . . 25Создание и управление локальнойсертификатной компанией (CA) . . . . . . 26Настройка идентификации клиентов наWeb-сервере отдела кадров . . . . . . . 27Запуск Web-сервера отдела кадров в режимеSSL . . . . . . . . . . . . . . . 27Установка копии сертификата локальной CA вбраузере . . . . . . . . . . . . . 28Запрос сертификата от локальнойсертификатной компании . . . . . . . . 28

Сценарий: Создание сертификатной компании спомощью Диспетчера цифровых сертификатов . . 29Заполнение Формы планированияконфигурации Диспетчера цифровыхсертификатов . . . . . . . . . . . . 29Запуск IBM HTTP Server for i в системе A . . . 31Настройка системы А в качестве сертификатнойкомпании . . . . . . . . . . . . . 31

Создание цифрового сертификата для системыB . . . . . . . . . . . . . . . . 33Переименование файлов .KDB и .RDB вСистеме B . . . . . . . . . . . . . 33Изменение пароля хранилища сертификатов всистеме B . . . . . . . . . . . . . 34Определение уровень надежностисертификатной компании для диспетчераключей VPN IBM i в Системе B . . . . . . 34

Планирование работы с DCM . . . . . . . . 34Требования для установки DCM. . . . . . . 35Особенности резервного копирования ивосстановления данных DCM. . . . . . . . 35Типы цифровых сертификатов . . . . . . . 36Сравнение общих и частных сертификатов . . . 37Применение цифровых сертификатов взащищенных соединениях SSL . . . . . . . 39Применение цифровых сертификатов дляидентификации пользователей . . . . . . . 40Цифровые сертификаты и технологияпреобразования идентификаторов в рамкахпредприятия . . . . . . . . . . . . . 41Применение цифровых сертификатов всоединениях VPN . . . . . . . . . . . 42Цифровые сертификаты подписи объектов . . . 43Применение цифровых сертификатов проверкиподписей объектов . . . . . . . . . . . 44

Настройка DCM . . . . . . . . . . . . . 45Запуск Диспетчера цифровых сертификатов . . . 46Первичная настройка сертификатов . . . . . 46Создание и управление локальнойсертификатной компанией (CA) . . . . . . 47Управление пользовательскимисертификатами . . . . . . . . . . 49Выдача сертификатов пользователям другихIBM i с помощью API . . . . . . . . 54Получение копии сертификата частнойсертификатной компании . . . . . . . 54

Управление сертификатами, полученными отобщественной сертификатной компании . . . 56Управление общими сертификатами Internetдля сеансов SSL . . . . . . . . . . 57Управление общими сертификатами Internetдля подписания объектов . . . . . . . 58Управление сертификатами проверкиподписей объектов . . . . . . . . . 60

Обновление существующего сертификата. . . . 62Обновление сертификата, полученного отлокальной сертификатной компании . . . . 62Обновление сертификата, полученного отсертификатной компании в Internet . . . . . 62Импорт и обновление сертификата,полученного непосредственно отсертификатной компании Internet . . . . 62

© Copyright IBM Corp. 1999, 2013 iii

||

Обновление сертификата путем созданияновой пары из личного и общего ключей, атакже запроса на подписание сертификата. . 63

Импорт сертификата . . . . . . . . . . 63Управление DCM . . . . . . . . . . . . 64Выдача сертификатов для других моделей IBM i спомощью локальной сертификатной компании . . 64Применение общих сертификатов в SSL . . . 65Хранилище сертификатов *SYSTEM несуществует. . . . . . . . . . . . 66Хранилище сертификатов *SYSTEMсуществует - работа с файлами как сХранилищем сертификатов другой системы . 67

Применение частных сертификатов для подписиобъектов в целевой системе . . . . . . . 69Хранилище сертификатов*OBJECTSIGNING не существует . . . . 70Хранилище сертификатов*OBJECTSIGNING существует . . . . . 71

Управление приложениями в DCM . . . . . . 72Создание определения приложения . . . . . 73Управление присвоением сертификатовприложениям . . . . . . . . . . . . 73Определение списка уполномоченныхсертификатных компаний для приложения . . 74

Управление пользовательскими сертификатами спомощью сроков действия . . . . . . . . 75Проверка сертификатов и приложений. . . . . 76

Присвоение сертификата приложениям . . . . 77Управление определениями CRL . . . . . . 78Хранение ключей сертификатов в шифровальномсопроцессоре IBM . . . . . . . . . . . 79Шифрование личного ключа сертификата спомощью главного ключа. . . . . . . . 80

Управление расположением сертификатнойкомпании PKIX . . . . . . . . . . . . 80Управление каталогом LDAP дляпользовательских сертификатов . . . . . . . 81Подписание объектов . . . . . . . . . . 82Проверка подписей объектов . . . . . . . . 84

Устранение неполадок в DCM . . . . . . . . 85Устранение общих неполадок и неполадок спаролями . . . . . . . . . . . . . . 86Устранение неполадок хранилищ сертификатов ибаз данных ключей . . . . . . . . . . . 87Устранение неполадок браузера . . . . . . . 89Устранение неполадок IBM i сервера HTTP . . . 90Устранение неполадок, возникших прирегистрации пользовательского сертификата . . 91

Связанная информация о DCM . . . . . . . . 92

Юридическая информация . . . . . 93Сведения о программных интерфейсах . . . . . 95Товарные знаки . . . . . . . . . . . . . 95Условия . . . . . . . . . . . . . . . 95

iv IBM i: Digital Certificate Manager

Диспетчер цифровых сертификатов

Диспетчер цифровых сертификатов (DCM) позволяет управлять цифровыми сертификатами в вашей сети ииспользовать протокол SSL для защиты соединений в различных приложениях.

Цифровой сертификат - это электронный документ, который может использоваться в электронныхтранзакциях в качестве удостоверения личности. Сфера применения цифровых сертификатов в целяхповышения эффективности защиты сети постоянно расширяется. Например, цифровые сертификаты играютважную роль в соединениях SSL. Применение SSL позволяет создавать защищенные соединения междупользователями и приложениями сервера в незащищенной сети, например Internet. Это один из лучшихспособов защиты передаваемых по Internet конфиденциальных данных, таких как имена пользователей ипароли. Многие платформы и приложения IBM® i, такие как FTP, Telnet, HTTP Server и другие,поддерживают SSL для обеспечения конфиденциальности данных.

IBM i предоставляет широкую поддержку цифровых сертификатов, что позволяет применять сертификаты вкачестве удостоверений личности в различных приложениях защиты. Помимо соединений SSL, сертификатымогут применяться для идентификации клиентов в транзакциях SSL и виртуальной частной сети (VPN).Кроме того, с помощью цифровых сертификатов и связанных с ними ключей шифрования можноподписывать объекты. Подписание объектов позволяет обнаруживать непредвиденные изменения в них;таким образом, цифровые подписи гарантируют целостность объектов.

Воспользоваться преимуществами поддержки сертификатов в IBM i позволяет Диспетчер цифровыхсертификатов (DCM) - бесплатная программа, обеспечивающее централизованное управлениесертификатами для приложений. DCM обеспечивает управление сертификатами, полученными от всех типовсертификатных компаний (CA). Кроме того, DCM позволяет вам создать собственную, частную локальнуюсертификатную компанию и с ее помощью выдавать частные сертификаты приложениям и пользователям ввашей организации.

Эффективность применения сертификатов напрямую связана с правильным планированием конфигурации иучетом особенностей конкретной системы. Дополнительная информация о работе с сертификатами ииспользующими их приложениями с помощью DCM приведена в следующих разделах:Информация, связанная с данной:Secure Sockets Layer (SSL)Создание и проверка подписей объектов

Новое в IBM i 7.2Ознакомьтесь с новыми или значительно измененными сведениями о Диспетчере цифровых сертификатов(DCM).v Добавлена поддержка алгоритма цифровой подписи на эллиптических кривых (ECDSA) для локальнойсертификатной компании, *SYSTEM и других хранилищ ключей. Дополнительная информация приведенав разделе “Алгоритмы сертификатов” на стр. 6.

v Добавлена поддержка выбора алгоритма вычисления дайджеста сообщений, применяемого локальнойсертификатной компанией. Дополнительная информация приведена в разделе “Алгоритмы сертификатов”на стр. 6.

v Добавлена поддержка создания нескольких локальных сертификатных компаний. Дополнительнаяинформация приведена в описании локальной сертификатной компании в разделе “Хранилищасертификатов” на стр. 8.

v Добавлена возможность присвоения до четырех сертификатов “Определения приложений” на стр. 10 вхранилище сертификатов *SYSTEM.

v Добавлена новая поддержка системных атрибутов SSL в определения приложений DCM.

© Copyright IBM Corp. 1999, 2013 1

v В определениях приложений отсутствует поле Поддержка идентификации клиента, поскольку всеопределения приложений поддерживают идентификацию клиентов. Таким образом, при создании списканадежных CA для приложения необязательно указывать в поле Поддержка идентификации клиентазначение Да.

Как получить информацию о новых возможностях и изменениях

Для того чтобы упростить поиск измененной технической информации, в данном документе применяютсяследующие обозначения:v Значок отмечает начало новой или измененной информации.v Значок отмечает конец новой или измененной информации.

Другую информацию о новых и измененных функциях в этом выпуске вы можете найти в документеИнформация для пользователей.

Документ Диспетчер цифровых сертификатов в формате PDFВы можете просмотреть и распечатать файл РDF с данной информацией.

Для просмотра или загрузки этого раздела в формате PDF выберите ссылку Диспетчер цифровых

сертификатов .

Сохранение файлов PDF

Для сохранения файла в формате PDF на персональном компьютере выполните следующие действия:1. Щелкните правой кнопкой мыши на ссылке на файл PDF в браузере.2. Выберите пункт, позволяющий сохранить PDF на локальном компьютере.3. Перейдите в каталог, в котором вы хотите сохранить документ PDF.4. Нажмите кнопку Сохранить.

Загрузка Adobe Acrobat Reader

Для просмотра или печати документов в формате PDF вам понадобится Adobe Acrobat Reader. Загрузить

копию программы можно с Web-сайта Adobe (www.adobe.com/products/acrobat/readstep.html) .

Концепции DCMЦифровой сертификат - это электронный документ, удостоверяющий личность своего владельца. Его можносравнить с паспортом. Идентификационные данные, которые предоставляет цифровой сертификат,называют отличительными именем субъекта. Специальная уполномоченная организация, называемаясертификатной компанией (CA), выдает цифровые сертификаты пользователям и организациям.Полномочия CA служат гарантией подлинности сертификатов, которые она выдает.

Цифровой сертификат также содержит общий ключ, входящий в состав пары из общего и личного ключей.Множество функций защиты основаны на применении цифровых сертификатов и связанных пар ключей. Спомощью цифровых сертификатов можно настраивать защищенные сеансы связи Secure Sockets Layer (SSL),между пользователями и серверными приложениями. Можно обеспечить дополнительную защиту, настроивприложения SSL таким образом, чтобы для идентификации пользователей применялись не имяпользователя и пароль, а цифровой сертификат.

Дополнительная о информация о работе с цифровыми сертификатами приведена в следующих разделах:

2 IBM i: Digital Certificate Manager

http://www.adobe.com/products/acrobat/readstep.html

Расширения сертификатовРасширения сертификата - это информационные поля, которые содержат дополнительные сведения осертификате.

Расширения сертификата позволяют расширить возможности основного стандарта данных сертификатаX.509. Часть полей расширения содержит дополнительные сведения об идентификации сертификата, а часть- дополнительные сведения о возможностях шифрования сертификата.

Не во всех сертификатах поля расширения служат для дополнения отличительного имени и хранения другойинформации. Число и тип полей расширения в сертификатах разных сертификатных компаний (CA) могутсущественно различаться.

Например, локальная сертификатная компания, которую можно создать с помощью диспетчера цифровыхсертификатов (DCM), поддерживает только расширения Дополнительное имя субъекта. Эти расширенияпозволяют связывать сертификат с конкретным IP-адресом, доменным именем или с адресом электроннойпочты. Если такой сертификат применяется для идентификации конечной точки соединения VPN в системеIBM i, то необходимо указать данные в этих полях расширения.Понятия, связанные с данным:“Отличительное имя”Отличительное имя (DN) - это термин, обозначающий хранящуюся в сертификате идентификационнуюинформацию. Отличительное имя входит в состав сертификата. Сертификат содержит как DN владельца илиотправителя запроса на сертификат (DN субъекта), так и DN сертификатной компании, выдавшейсертификат (DN сертификатной компании). В зависимости от стратегии CA, выдающей сертификат, DNможет содержать различную информацию.

Обновление сертификатовПроцесс обновления сертификата, применяемый Диспетчером цифровых сертификатов (DCM), зависит оттипа сертификатной компании (CA), выдавшей сертификат.

Если обновленный сертификат подписан локальной CA, то DCM на основе предоставленной пользователеминформации создает новый сертификат в текущем хранилище сертификатов и не удаляет предыдущийсертификат.

Если сертификат получен от общеизвестной сертификатной компании Internet, то обновить сертификатможно одним из двух способов: импортировать обновленный сертификат из файла, полученного отсертификатной компании, либо создать с помощью DCM новую пару из общего и личного ключа длясертификата. При обновлении сертификата в компании, выдавшей его, в DCM применяется первый способ.

Если вы решили создать новую пару ключей, то для обновления сертификата DCM применяет ту жепроцедуру, что и для создания сертификата. DCM создаст новую пару из личного и общего ключей дляобновленного сертификата, и создаст запрос на подписание сертификата (CSR), который состоит из общегоключа и других сведений, содержащихся в сертификате. После этого с помощью CSR можно отправитьзапрос на получение нового сертификата в компанию VeriSign или любую другую CA. После полученияподписанного сертификата можно с помощью DCM импортировать его в соответствующее хранилищесертификатов. После этого хранилище будет содержать обе копии сертификата - исходную и обновленную.

Если вы решили не создавать новую пару ключей, то DCM предложит вам последовательно выполнитьоперации по импорту обновленного подписанного сертификата из полученного от сертификатной компаниифайла в хранилище сертификатов. В этом случае предыдущая версия сертификата будет заменена на новуюимпортированную версию.

Отличительное имяОтличительное имя (DN) - это термин, обозначающий хранящуюся в сертификате идентификационнуюинформацию. Отличительное имя входит в состав сертификата. Сертификат содержит как DN владельца или

Диспетчер цифровых сертификатов 3

отправителя запроса на сертификат (DN субъекта), так и DN сертификатной компании, выдавшейсертификат (DN сертификатной компании). В зависимости от стратегии CA, выдающей сертификат, DNможет содержать различную информацию.

У каждой CA есть стратегия, определяющая идентификационную информацию, которую необходимопредоставить для получения сертификата. Для некоторых общественных сертификатных компанийдостаточно указать только имя и электронный адрес. Другие общественные CA могут требовать болееразвернутую информацию и более надежное подтверждение истинности этой информации. Например,сертификатные компании, поддерживающие стандарты Инфраструктуры общих ключей (PKIX), могуттребовать от инициатора подтверждения идентификационной информации с помощью регистрационнойкомпании (RA). Таким образом, если вы собираетесь применять сертификаты в качестве удостоверенийличности, то необходимо определить, насколько идентификационные требования сертификатной компаниисоответствуют требованиям защиты вашей системы.

Диспетчер цифровых сертификатов позволяет создать частную сертификатную компанию для выдачисертификатов. Кроме того, DCM позволяет создавать информацию DN и пару ключей для сертификатов,получаемых от общественной сертификатной компании. Независимо от типа сертификата, вы можетепредоставить следующую информацию DN:v Обычное имя владельца сертификатаv Организацияv Подразделениеv Населенный пункт или городv Область или округv Страна или регион

При выдаче личных сертификатов с помощью DCM вы можете воспользоваться расширениями сертификатаи включить в них данные DN:v IP-адрес версии 4v Полное имя доменаv Электронный адресПонятия, связанные с данным:“Расширения сертификатов” на стр. 3Расширения сертификата - это информационные поля, которые содержат дополнительные сведения осертификате.

Цифровые подписиЦифровая подпись в электронном документе или другом объекте аналогична обычной подписи внапечатанном документе и создается с помощью одного из видов шифрования.

Она подтверждает подлинность источника и целостность объекта. Владелец сертификата "подписывает"объект с помощью личного ключа, связанного с его сертификатом. Получатель объекта с помощью общегоключа из сертификата проверяет подпись, которая в свою очередь проверяет целостность подписанногообъекта и отправителя сообщения.

Сертификатная компания (CA) всегда подписывает свои сертификаты. Подпись представляет собойдвоичные данные, создаваемые с помощью личного ключа сертификатной компании в процессе созданияподписи. Пользователь может проверить подпись на сертификате с помощью общего ключа сертификатнойкомпании.

Цифровая подпись - это электронная подпись, добавленная к объекту с применением личного ключацифрового сертификата. Цифровая подпись объекта обеспечивает уникальное связывание владельца подписи(владельца ключа) с источником объекта. При обращении к подписанному объекту можно проверить егоподпись, чтобы идентифицировать его источник (например, если необходимо убедиться, что загружаемое


приложение действительно получено из надежного источника, такого как фирма IBM). Такая проверкапозволяет определить, не нарушалась ли целостность объекта с момента его подписания.

Пример работы с цифровыми подписями

Разработчик программного обеспечения создал приложение IBM i и собирается распространять его по сетиInternet, так как это удобно для его заказчиков и недорого. Однако разработчику известно, что заказчикиобоснованно опасаются загружать программы из сети Internet из-за увеличения числа объектов,замаскированных под полезные приложения, но содержащих опасные программы, например вирусы.

По этой причине разработчик программного обеспечения принимает решение добавить к своемуприложению цифровую подпись, чтобы его покупатели могли проверить подлинность его приложения.Разработчик подписывает свое приложение с помощью личного ключа цифрового сертификата, выданногообщеизвестной сертификатной компанией. После этого разработчик размещает приложение на сервере дляпокупателей. В загрузочный пакет он включает копию цифрового сертификата, с помощью которого былподписан объект. При загрузке пакета заказчик может с помощью общего ключа этого сертификатапроверить подпись приложения. Это позволяет заказчику идентифицировать и проверить подписьприложения, а также убедиться, что содержимое объекта приложения не изменялось с момента егоподписания.Понятия, связанные с данным:“Сертификатная компания” на стр. 6Сертификатная компания (CA) - это центральный административный орган, уполномоченный выдаватьцифровые сертификаты пользователям и серверам.“Шифрование” на стр. 9Общий и открытый ключи - это два различных типа функций шифрования, используемых цифровымисертификатами для защиты.“Общий и личный ключи”Каждый цифровой сертификат содержит общий ключ. Общий ключ и связанный с ним личный ключ,который не входит в состав сертификата, образуют пару ключей. Они создаются одновременно иматематически связаны друг с другом. Каждому создаваемому сертификату присваивается пара ключей.

Общий и личный ключиКаждый цифровой сертификат содержит общий ключ. Общий ключ и связанный с ним личный ключ,который не входит в состав сертификата, образуют пару ключей. Они создаются одновременно иматематически связаны друг с другом. Каждому создаваемому сертификату присваивается пара ключей.

Примечание: Исключением из этого правила является сертификат проверки подписи. Он содержит общийключ, для которого не предусмотрен личный ключ.

Общий ключ - общедоступная часть цифрового сертификата владельца. Напротив, личный ключ можетприменяться только его владельцем. Такое ограничение гарантирует защищенность соединений, в которыхприменяется этот ключ.

С помощью этих ключей владелец сертификата может выполнять шифрование. Например, с помощьюличного ключа владелец сертификата может "подписывать" сообщения, документы, программы и прочиеданные, которыми пользователи обмениваются с серверами. Получатель подписанного объекта можетпроверить подпись с помощью общего ключа сертификата владельца подписи. Цифровые подписигарантируют подлинность и позволяют проверить целостность объектов.Понятия, связанные с данным:“Цифровые подписи” на стр. 4Цифровая подпись в электронном документе или другом объекте аналогична обычной подписи внапечатанном документе и создается с помощью одного из видов шифрования.“Сертификатная компания” на стр. 6Сертификатная компания (CA) - это центральный административный орган, уполномоченный выдавать


цифровые сертификаты пользователям и серверам.

Алгоритмы сертификатовАлгоритмы сертификатов - это криптографические алгоритмы, описывающие математические процедурысоздания пар ключей и выполнения операций, связанных с цифровыми подписями.

DCM поддерживает следующие алгоритмы создания пары из общего и личного ключей: алгоритм цифровойподписи на эллиптических кривых (ECC) и алгоритм RSA. Сертификат содержит информацию оприменяемом алгоритме. Сертификаты, содержащие общий ключ RSA, часто называются сертификатамиRSA. Сертификаты, содержащие общий ключ ECC, называются сертификатами ECDSA (алгоритм цифровойподписи на эллиптических кривых). DCM позволяет выбрать алгоритм общего ключа, применяемый присоздании сертификата.

Примечание: Алгоритмы ECC не применяются к сертификатам из хранилища *SIGNING ипользовательским сертификатам. Они всегда используют пары ключей RSA.

Алгоритм общего ключа вместе с алгоритмом формирования дайджеста сообщения описываютматематическую процедуру создания и проверки цифровых подписей. Кроме того, сертификат содержитинформацию об алгоритме общего ключа и алгоритме формирования дайджеста сообщения, с помощьюкоторых была создана подпись сертификата. DCM поддерживает следующие алгоритмы построениядайджеста, предназначенные для создания и проверки подписей: SHA1, SHA224, SHA256, SHA384 и SHA512.Кроме того, DCM поддерживает алгоритмы построения дайджеста MD2 и MD5 для проверки подписей.DCM позволяет выбрать алгоритм построения дайджеста, применяемый локальной сертификатнойкомпанией вместе с алгоритмом общего ключа для подписания сертификатов. Эта опция доступна присоздании локального сертификата CA.

Сертификатная компанияСертификатная компания (CA) - это центральный административный орган, уполномоченный выдаватьцифровые сертификаты пользователям и серверам.

Полномочия CA служат гарантией подлинности сертификатов, которые она выдает. С помощью своеголичного ключа CA добавляет к сертификату цифровую подпись, указывающую на происхождениесертификата. С помощью общего ключа сертификатной компании другие пользователи могут проверитьподлинность выдаваемых и подписываемых ей сертификатов.

Вы можете выбрать одну из крупных сертификатных компаний, например, VeriSign, или создатьсобственную сертификатную компанию, которая будет обслуживать, например, сеть вашей организации. ВInternet существует несколько сертификатных компаний. Диспетчер цифровых сертификатов (DCM)позволяет применять сертификаты, полученные как от частных, так и общественных сертификатныхкомпаний.

DCM позволяет также выдавать системам и пользователям сертификаты с помощью собственной локальнойчастной сертификатной компании. При выдаче локальной CA пользовательского сертификата DCMавтоматически связывает сертификат с пользовательским профайлом IBM i или с идентификаторомпользователя. Тип объекта, с которым DCM связывает сертификат, зависит о того, поддерживает литекущая конфигурация DCM работу с функцией преобразования идентификаторов в рамках предприятия(EIM). Это означает, что сертификату присваиваются те же права доступа, что и его владельцу.

Надежный базовый сертификат

Надежный базовый сертификат - это специальное обозначение сертификата CA. Это обозначение позволяетбраузеру или другому приложению идентифицировать и принимать сертификаты, выданные CA.


|

||

||||||

||

|||||||||

При загрузке сертификата CA в окно браузера последний позволяет пометить его как надежный базовыйсертификат. Другие приложения, поддерживающие работу с цифровыми сертификатами, также необходимонастроить для работы с сертификатами данной CA.

DCM позволяет изменить статус надежности сертификата CA. Если сертификат CA помечен как надежный,то можно указать приложения, которые будут с его помощью проверять и принимать сертификаты,выданные данной CA. В противном случае, этого сделать нельзя.

Информация о полномочиях сертификатной компании

Когда вы создаете локальную сертификатную компанию с помощью Диспетчера цифровых сертификатов,вы можете указать ее полномочия. В полномочиях локальной CA определяется, есть ли у нее права наподпись сертификатов. В информации о полномочиях задаются следующие параметры:v Может ли CA выдавать и подписывать пользовательские сертификаты.v Срок действия сертификатов, выдаваемых CA.Понятия, связанные с данным:“Цифровые подписи” на стр. 4Цифровая подпись в электронном документе или другом объекте аналогична обычной подписи внапечатанном документе и создается с помощью одного из видов шифрования.“Общий и личный ключи” на стр. 5Каждый цифровой сертификат содержит общий ключ. Общий ключ и связанный с ним личный ключ,который не входит в состав сертификата, образуют пару ключей. Они создаются одновременно иматематически связаны друг с другом. Каждому создаваемому сертификату присваивается пара ключей.

Определения списка аннулированных сертификатов (CRL)Список аннулированных сертификатов (CRL) - это файл, содержащий список всех недопустимых ианнулированных сертификатов определенной сертификатной компании (CA).

Сертификатные компании периодически обновляют свои CRL и предоставляют их внешним пользователямдля опубликования в каталогах LDAP. Некоторые сертификатные компании, например SSH в Финляндии,публикуют сами CRL в каталогах LDAP. Если сертификатная компания публикует свой собственный CRL, тоэто будет отмечено в сертификате: в унифицированный идентификатор ресурсов (URI) будет добавленорасширение узла рассылки CRL.

Диспетчер цифровых сертификатов позволяет создавать и управлять определениями CRL. Применение CRLповышает надежность проверки сертификатов. Определение CRL содержит информацию о расположении испособе доступа к серверу Lightweight Directory Access Protocol (LDAP), на котором хранится CRL.

При подключении к серверу LDAP нужно ввести DN и пароль, во избежание анонимного подключения.Анонимное подключение к серверу не обеспечивает уровень доступа, необходимый для работы с"критическими" атрибутами, такими как CRL. В этом случае в результате проверки сертификата Диспетчерцифровых сертификатов может выдать аннулированное состояние, поскольку он не может получитьправильное состояние от CRL. Для анонимного доступа к серверу LDAP необходимо с помощьюWeb-инструмента администрирования сервера каталогов выбрать задачу "Управление схемой" и изменитькласс защиты (который также называется "классом доступа") атрибутов certificateRevocationList иauthorityRevocationList с "critical" до "normal".

При идентификации сертификата приложения обращаются к определению CRL (если оно задано), чтобыубедиться, что соответствующая сертификатная компания не аннулировала данный сертификат. DCMпозволяет задавать и изменять информацию определения CRL, необходимую приложениям для работы сCRL при идентификации сертификата. Примерами приложений и процессов, которые могут выполнятьидентификацию сертификатов с помощью CRL, служат: виртуальная частная сеть (VPN), сервер обмена


ключами Internet (IKE), приложения с поддержкой Secure Sockets Layer (SSL) и приложения, подписывающиеобъекты. Кроме того, если определение CRL связано с сертификатом CA, то DCM применяет CRL припроверке сертификатов, выданных этой CA .Понятия, связанные с данным:“Проверка сертификатов и приложений” на стр. 76Диспетчер цифровых сертификатов (DCM) позволяет проверять отдельные сертификаты и применяющие ихприложения. Проверка приложения несколько отличается от проверки сертификата.Задачи, связанные с данной:“Управление определениями CRL” на стр. 78Диспетчер цифровых сертификатов (DCM) позволяет задать для сертификатной компании определениеСписка аннулированных сертификатов (CRL), применяемое в процессе проверки сертификатов.

Хранилища сертификатовХранилище сертификатов - это специальный файл базы данных, в котором Диспетчер цифровыхсертификатов (DCM) хранит цифровые сертификаты.

В хранилище сертификатов хранятся личные ключи сертификатов, если только для этого не был выбраншифровальный сопроцессор IBM. DCM позволяет создавать несколько типов хранилищ сертификатов иуправлять ими. Кроме того, в DCM паролями защищены хранилища сертификатов, а также каталогиинтегрированной файловой системы и файлы, образующие хранилища сертификатов.

Классификация хранилищ сертификатов основана на типах сертификатов, которые в них хранятся. Набордоступных задач по управлению сертификатами зависит от типа сертификатов в выбранном хранилищесертификатов. В DCM заранее определены следующие хранилища сертификатов:

Локальная сертификатная компания (CA)В этом хранилище сертификатов DCM хранит сертификаты локальной сертификатной компании исвязанные личные ключи. С помощью сертификата локальной CA из этого хранилища сертификатовподписываются и выдаются другие создаваемые сертификаты. При создании сертификата спомощью локальной сертификатной компании DCM сохраняет копию сертификата сертификатнойкомпании (без личного ключа) в соответствующем хранилище сертификатов (например *SYSTEM)для последующей идентификации. Можно создать несколько локальных CA. При созданиисертификата в одном из других хранилищ сертификатов можно выбрать CA для подписаниясертификата. В отдельных случаях удобно иметь несколько CA. Например, если требуется перейти ксертификатам ECDSA, сохранив при этом возможность выдачи сертификатов RSA. С помощьюсертификатов сертификатных компаний приложения проверяют подлинность сертификатов в ходесогласования SSL для предоставления доступа к ресурсам.

*SYSTEMЭто хранилище сертификатов предназначено для управления сертификатами клиентов и серверов, спомощью которых приложения принимают участие в сеансах Secure Sockets Layer (SSL).Приложения IBM i (и приложения многих других разработчиков программного обеспечения)применяют только сертификаты из хранилища сертификатов *SYSTEM. Это хранилищесертификатов создается в DCM при создании локальной сертификатной компании. Если вы решилиполучать сертификаты для приложений клиента или сервера от общедоступной сертификатнойкомпании, например VeriSign, то необходимо создать это хранилище сертификатов.

*OBJECTSIGNINGЭто хранилище сертификатов DCM предназначено для управления сертификатами, с помощьюкоторых добавляются цифровые подписи к объектам. Кроме того, задачи, связанные с этимхранилищем сертификатов, позволяют добавлять к объектам цифровые подписи, а также ипросматривать и проверять подписи объектов. Это хранилище сертификатов создается в DCM присоздании локальной сертификатной компании. Если вы решили получать сертификаты длядобавления подписей к объектам от общедоступной сертификатной компании, например VeriSign, тонеобходимо создать это хранилище сертификатов.


|||||||||||

*SIGNATUREVERIFICATIONЭто хранилище сертификатов DCM предназначено для управления сертификатами, с помощьюкоторых проверяется подлинность цифровых подписей объектов. Для проверки цифровой подписиобъекта это хранилище сертификатов должно содержать копию сертификата, с помощью которогобыл подписан объект. Кроме того, в этом хранилище сертификатов должна находиться копиясертификата сертификатной компании (CA), выдавшей сертификат для добавления подписей кобъектам. Для получения этих сертификатов необходимо либо экспортировать сертификатыдобавления подписей к объектам, находящиеся в данной системе, в хранилище сертификатов, либоимпортировать сертификаты, полученные от владельца подписи.

Другое хранилище сертификатовЭто альтернативное хранилище для сертификатов клиентов и серверов, предназначенных длясеансов SSL. Другие хранилища сертификатов являются дополнительными пользовательскимихранилищами сертификатов SSL. Они обеспечивают управление сертификатами, программируемыйдоступ к которым при настройке соединения SSL осуществляется в пользовательских приложениях спомощью API SSL_Init. Этот API предназначен для применения сертификата по умолчанию. Чащевсего это хранилище сертификатов применяется при переносе сертификатов из предыдущего выпускаDCM или для создания специального подмножества сертификатов для SSL.

Примечание: Если в системе установлен шифровальный сопроцессор IBM, то вы можете воспользоватьсядополнительными возможностями хранения личных ключей сертификатов (за исключением сертификатовподписания объектов). Кроме того, сопроцессор позволяет зашифровать личный ключ и хранить его вспециальном файле ключей, а не в хранилище сертификатов.

Хранилища сертификатов DCM защищены паролями. Кроме того, в DCM паролями защищены каталог винтегрированной файловой системе и файлы, образующие хранилища сертификатов. Пути винтегрированной файловой системе к хранилищам сертификатов Локальная сертификатная компания (CA),*SYSTEM, *OBJECTSIGNING и *SIGNATUREVERIFICATION предопределены и не могут быть изменены.Напротив, Другие хранилища сертификатов могут находиться в произвольном каталоге интегрированнойфайловой системы.Понятия, связанные с данным:“Типы цифровых сертификатов” на стр. 36Диспетчер цифровых сертификатов (DCM) распределяет сертификаты по типам и размещает их вместе ссоответствующими личными ключами в хранилище сертификатов.

ШифрованиеОбщий и открытый ключи - это два различных типа функций шифрования, используемых цифровымисертификатами для защиты.

Шифрование - это преобразование данных с целью защитить их от постороннего доступа. Шифрованиепозволяет защитить информацию, хранящуюся в системе или передаваемую по сети, от тех, для кого она непредназначена. В результате шифрования обычный текст преобразуется в нечитаемые данные. Процедуравосстановления обычного текста из зашифрованных данных называется расшифровкой. Оба процессаоснованы на применении сложного математического алгоритма, в котором используется секретная строкасимволов (ключ).

Существует два типа шифрования:v Шифрование с секретным ключом называется симметричным. В этом случае обе системы, участвующие вобмене данными, применяют один и тот же секретный ключ. Этот ключ служит и для шифрования, и длярасшифровки.

v В случае шифрования с общим ключом (несимметричного) создаются пары обратных ключей. Один ключприменяется для подписания, а другой - для проверки. В случае RSA данные, зашифрованные с помощьюодного ключа, можно восстановить только с помощью второго ключа. В каждой системе хранится параключей, состоящая из общего ключа и личного ключа. Общий ключ свободно распространяется, обычновместе с цифровым сертификатом, а личный ключ известен только его владельцу. Эти ключи однозначно


определяют друг друга по математическому правилу, однако получить личный ключ, зная общий,возможно лишь теоретически - на практике это занимает слишком много времени. Объект, напримерсообщение, зашифрованный с помощью общего ключа RSA, можно расшифровать только с помощьюсоответствующего личного ключа RSA. Кроме того, сервер или пользователь могут подписывать своидокументы личным ключом, а получатель может с помощью общего ключа проверять подлинностьисточника и целостность объекта цифровых подписей.

Понятия, связанные с данным:“Цифровые подписи” на стр. 4Цифровая подпись в электронном документе или другом объекте аналогична обычной подписи внапечатанном документе и создается с помощью одного из видов шифрования.

Шифровальные сопроцессоры IBM для IBM iШифровальный сопроцессор содержит проверенные функции шифрования, обеспечивающиеконфиденциальность и целостность данных при разработке защищенных приложений электронного бизнеса.

Шифровальный сопроцессор IBM для IBM i значительно расширяет возможности шифрования системы.Если в системе установлен и включен шифровальный сопроцессор, то он предоставляет дополнительноезащищенное хранилище для личных ключей сертификатов.

Примечание: Шифровальный сопроцессор нельзя использовать для включения сертификатов ECDSA.

С помощью шифровального сопроцессора можно сохранить личный ключ сертификата сервера и клиента, атакже сертификата локальной сертификатной компании (CA). Личный ключ сертификата пользователядолжен находиться в системе пользователя и поэтому он не может храниться в сопроцессоре. Кроме того, втекущей версии системы в сопроцессоре не допускается хранение личного ключа сертификата подписиобъектов.

Личный ключ сертификата можно хранить непосредственно в шифровальном сопроцессоре, либозашифровать ключ с помощью главного ключа сопроцессора и хранить его в специальном файле ключей.Опция хранения ключей сертификатов в сопроцессоре задается в ходе создания или обновления сертификата.Кроме того, если ранее вы выбрали эту опцию, то вы можете назначить другой сопроцессор для данногоключа.

Для применения функций сопроцессора при хранении личного ключа необходимо перед началом работы сДиспетчером цифровых сертификатов (DCM) убедиться, что сопроцессор включен. В противном случае, входе создания или обновления сертификата DCM не покажет страницу, позволяющую выбрать опциюхранения.Понятия, связанные с данным:“Хранение ключей сертификатов в шифровальном сопроцессоре IBM” на стр. 79Если в системе установлен шифровальный сопроцессор IBM, то его можно использовать для храненияличного ключа сертификата. Сопроцессор позволяет хранить личные ключи сертификата сервера, клиентаили локальной сертификатной компании (CA).

Определения приложенийДиспетчер цифровых сертификатов (DCM) позволяет применять определения приложений, работающие сконфигурациями SSL и подписанием объектов.

С помощью DCM можно управлять двумя типами определений приложений:v Определения клиентских или серверных приложений, применяющих соединения SSL.v Определения приложений подписания объектов, применяющих подписи для обеспечения целостностиобъектов.


|

Для работы в DCM с определениями приложений с поддержкой SSL и их сертификатами приложениенеобходимо зарегистрировать в DCM с соответствующим определением приложения, после чего онополучит уникальный ИД. Разработчики приложений регистрируют приложения с поддержкой SSL спомощью API (QSYRGAP, QsyRegisterAppForCertUse) для автоматического создания ИД приложения вDCM. Все приложения IBM i, поддерживающие SSL, зарегистрированы в DCM. DCM позволяет создатьопределения и идентификаторы для приложений собственной разработки или приобретенных отдельно. Длясоздания определения клиентского или серверного приложения SSL необходимо открыть хранилищесертификатов *SYSTEM.

ИД клиента или приложения сервера можно присвоить до четырех сертификатов. Если будет присвоенонесколько сертификатов, то система выбирает один из них во время настройки сеанса SSL. Протоколвыбирается с учетом информации, передаваемой в ходе согласования с узлом. Дополнительная информацияоб обработке нескольких сертификатов, присвоенных приложению, приведена в разделе Выбор несколькихсертификатов.

Отдельные параметры приложений применяются системой при создании сеанса SSL, такие как протоколыSSL, спецификации шифров SSL, расширенный режим повторного согласования, указание имени сервера(SNI) и алгоритмы подписания SSL. Дополнительная информация об этих параметрах приведена в разделеОпределения приложений DCM.

Для подписания объектов с помощью сертификата необходимо прежде всего создать определениеприложения для сертификата. В отличие от определения приложения с поддержкой SSL, определениеприложения, подписывающего объекты, не описывает само приложение. Вместо этого определениеприложения содержит информацию о типе или группе объектов, которые будут подписываться. Длясоздания определения приложения, подписывающего объекты, необходимо открыть хранилищесертификатов *OBJECTSIGNING.

С помощью параметра "Определить список надежных CA" можно указать, должно ли приложениеиспользовать список надежных CA или считать надежными все активные CA из хранилища сертификатов*SYSTEM.

Если для этого параметра указано значение Да, то приложение может выбрать в качестве надежных часть изтех сертификатов CA, которые активированы в хранилище сертификатов *SYSTEM. Если выбрать этозначение, то приложение считает надежными все сертификаты CA, пока не будет определен список надежныхCA. Другими словами, пустой список надежных CA аналогичен выбору значения Нет для этого параметра.

Если указано значение Нет, то приложение считает надежными все активированные сертификаты CA изхранилища сертификатов *SYSTEM.Понятия, связанные с данным:“Управление приложениями в DCM” на стр. 72Диспетчер цифровых сертификатов (DCM) позволяет создавать определения приложений и управлятьприсваиванием сертификата приложения. Вы также можете создавать списки уполномоченныхсертификатных компаний, на основе которых приложения принимают сертификаты для идентификацииклиентов.Задачи, связанные с данной:“Создание определения приложения” на стр. 73В DCM можно создать и работать с двумя типами определений приложений: определения серверных иликлиентских приложений с поддержкой SSL и определения приложений, подписывающих объекты.

ПроверкаВ DCM предусмотрены задачи, позволяющие проверять свойства сертификатов и приложений.


||||||||

|||||

||||

|||

||||

||

Проверка сертификатов

Когда вы выполняете проверку сертификата, DCM проверяет несколько элементов, относящихся ксертификату, с целью убедиться в его подлинности и правильности. Проверка сертификата позволяетизбежать неполадок в работе приложений, применяющих сертификат в защищенных соединениях или дляподписания объектов.

DCM проверяет, не истек ли срок действия сертификата. Если для сертификатной компании, выдавшейсертификат, задано определение CRL, то DCM также проверяет, не внесен ли сертификат в списоканнулированных сертификатов (CRL).

Если Упрощенный протокол доступа к каталогам (LDAP) настроен на применение CRL, то Диспетчерцифровых сертификатов проверяет CRL при проверке сертификата для того, чтобы убедиться, чтосертификат не указан в CRL. Однако для того чтобы обеспечить точность проверки CRL, сервер каталогов(сервер LDAP), настроенный с преобразованием LDAP, должен содержать соответствующий CRL. Впротивном случае, сертификат может не пройти проверку. Для того чтобы сертификат не был признананнулированным, необходимо ввести DN привязки и пароль. Кроме того, если DN и пароль не указаны принастройке преобразования LDAP, то будет выполняться анонимное подключение к серверу LDAP.Анонимное подключение к серверу LDAP не обеспечивает права доступа, достаточные для работы с"критическими" атрибутами, а CRL - это "критический" атрибут. В этом случае в результате проверкисертификата Диспетчер цифровых сертификатов может выдать аннулированное состояние, поскольку он неможет получить правильное состояние от CRL. Для анонимного доступа к серверу LDAP необходимо спомощью Web-инструмента администрирования сервера каталогов выбрать задачу "Управление схемой" иизменить класс защиты (который также называется "классом доступа") атрибутов certificateRevocationList иauthorityRevocationList с "critical" до "normal".

DCM также проверяет, находится ли сертификат CA для сертификатной компании в текущем хранилищесертификатов, и является ли сертификат CA надежным. Если сертификат содержит личный ключ (как,например, сертификаты сервера и клиента или сертификат подписи объекта), то DCM также проверяетсоответствие личного ключа общему. Другими словами, DCM обрабатывает данные с помощью общегоключа и обеспечивает возможность их восстановления с помощью личного ключа.

Проверка приложения

Когда вы выполняете проверку приложения, Диспетчер цифровых сертификатов проверяет, во-первых,существование сертификата, связанного с приложением, и во-вторых, правильность этого сертификата.Кроме того, если приложение применяет список уполномоченных сертификатных компаний (CA), то DCMпроверяет, содержит ли этот список хотя бы одну сертификатную компанию. Затем DCM проверяетправильность сертификатов CA в списке уполномоченных CA приложения. Наконец, если приложениеприменяет список аннулированных сертификатов (CRL) и определение CRL для сертификатной компаниисуществует, то DCM проверяет этот CRL.

Проверка приложения позволяет устранить потенциальные неполадки приложений при работе ссертификатами. Такие неполадки могут помешать приложению устанавливать соединения Secure SocketsLayer (SSL) или подписывать объекты.Понятия, связанные с данным:“Проверка сертификатов и приложений” на стр. 76Диспетчер цифровых сертификатов (DCM) позволяет проверять отдельные сертификаты и применяющие ихприложения. Проверка приложения несколько отличается от проверки сертификата.

Сценарии: DCMЭти сценарии помогают в разработке собственной схемы применения сертификатов в рамках стратегиизащиты сервера IBM i. В каждом сценарии, кроме того, описаны все операции по настройке, необходимыедля его реализации.


Диспетчер цифровых сертификатов позволяет существенно повысить уровень защиты системы за счетприменения сертификатов. Конкретный способ применения цифровых сертификатов зависит от ваших целейи требований к защите.

Цифровые сертификаты лежат в основе множества различных приемов по защите системы. Например,цифровые сертификаты позволяют устанавливать защищенные соединения по протоколу Secure SocketsLayer (SSL) с Web-сайтами и другими службами Internet. С помощью цифровых сертификатов вы можетенастраивать соединения частной виртуальной сети (VPN). Кроме того, с помощью ключа сертификатаможно добавлять и проверять цифровые подписи объектов. Цифровые подписи гарантируют подлинность ицелостность объектов.

Применение цифровых сертификатов вместо имен и паролей, обычно используемых для идентификацииудаленного сервера или пользователя, еще больше повышает защищенность системы. Кроме того, взависимости от конфигурации DCM, с его помощью можно связать сертификат пользователя с егопользовательским профайлом IBM i или с идентификатором EIM. В этом случае у сертификата будут те жеправа доступа, что и у связанного с ним пользовательского профайла.

Таким образом, выбор способа применения сертификатов непрост и зависит от множества факторов.Сценарии, приведенные в этом разделе, описывают некоторые наиболее распространенные способыприменения цифровых сертификатов в типичной стратегии защиты соединений. Каждый из сценариев, крометого, содержит описание всех предварительных требований к системе и программному обеспечению, а такженеобходимых действий по настройке.Информация, связанная с данной:Сценарии подписи объектов

Сценарий: Внешняя идентификация с помощью сертификатовВ этом сценарии показано, когда и как следует применять сертификаты для защиты и ограничения доступавнешних пользователей к внешним ресурсам и приложениям или приложениям и ресурсам в сети Extranet.

Задача

Вы работаете в страховой компании (MyCo., Inc), и в ваши обязанности входит обслуживание различныхприложений на внутренних и внешних серверах компании. Одним из них является приложение, котороевыдает расценки на услуги. Это приложе

IBM i: Digital Certificate Manager · 2017. 9. 28. · Примечание...

Documents

Transcript of IBM i: Digital Certificate Manager · 2017. 9. 28. · Примечание...