Tivoli Public Key...

Tivoli Public Key InfrastructureGuida per l’utenteVersione 3 Rilascio 7.1 SH13-0559-03

Tivoli Public Key Infrastructure Guida per l’utente

Informazioni sulle leggi sul diritto di autore

Copyright © 1999, 2001 Tivoli Systems Inc., una società IBM, compresa questa documentazione e tutto il software.Tutti i diritti riservati. Da utilizzare solo in conformità a Tivoli Systems Software License Agreement o Addendum forTivoli Products to IBM Customer o all’accordo di licenza. Nessuna parte di questa pubblicazione può essere riprodotta,trasmessa, trascritta, conservata in un sistema di ripristino o tradotta in qualsiasi altro linguaggio di programmazione, inogni forma e con ogni mezzo, elettronico, meccanico, magnetico, ottico, chimico, manuale o altro, senza una previaautorizzazione scritta di Tivoli Systems. Tivoli Systems concede un’autorizzazione limitata a creare copie cartacee oaltre riproduzioni di documentazione per computer ad uso personale, purché tali riproduzioni riportino le informazionisulle leggi sul diritto d’autore di Tivoli Systems. Nessun altro diritto sulle leggi d’autore viene concesso senzal’autorizzazione scritta di Tivoli Systems. Questo documento non è stato ideato per la produzione e viene fornito “nellostato in cui si trova” senza garanzia di alcun tipo.

Con il presente documento tutte le garanzie vengono negate compresa la garanzia di commerciabilità e idoneitàper uno scopo particolare.

Marchi

I seguenti nomi di prodotti sono marchi di Tivoli Systems Inc. o International Business Machines Corp. negli StatiUniti e/o in altri paesi: AIX, DB2, DB2 Universal Database, IBM, RS/6000, SecureWay, Tivoli, WebSphere.

Il programma Tivoli PKI (indicato da qui in avanti come″il Programma″) contiene parti di IBM WebSphereApplication Server e di IBM HTTP Web Server (″Server IBM″). Non si è autorizzati a installare o a utilizzare i ServerIBM se non mediante l’utilizzo regolato da licenza del Programma. I Server IBM devono trovarsi sulla stessa macchinadel Programma e non si è autorizzati a installarli o a utilizzarli separatamente dal Programma.

Il Programma comprende parti di DB2 Universal Database. E’ possibile installare e utilizzare questi componentisoltanto insieme all’utilizzo regolato da licenza del Programma e di IBM WebSphere Application Server per lamemorizzazione e la gestione dei dati utilizzati o generati dal Programma stesso o da IBM WebSphere ApplicationServer, e non per scopi di gestione di altri dati. Ad esempio, in questa licenza non sono incluse connessioni in arrivo aldatabase da parte di altre applicazioni per la creazione di prospetti o interrogazioni. E’ possibile installare e utilizzarequesti componenti soltanto con e sulla stessa macchina utilizzata dal Programma.

Microsoft, Internet Explorer, Windows, Windows NT ed il logo Windows sono marchi della Microsoft Corporation.

UNIX è un marchio registrato negli Stati Uniti e in altri paesi con licenza esclusiva della The Open Group.

Java e tutti i marchi e i logo Java sono marchi della Sun Microsystems, Inc.

Pentium è un marchio della Intel Corporation negli Stati Uniti e/o in altri paesi.

Questo programma contiene software per la sicurezza prodotto da RSA Data Security, Inc. Copyright ©1994 RSA Data Security, Inc. Tutti i diritti riservati.

Questo programma contiene software STL (Standard Template Library) prodotto da Hewlett-Packard Company.Copyright (c) 1994.

¶ Viene concessa l’autorizzazione a utilizzare, copiare, modificare, distribuire e vendere questo software e la relativadocumentazione per qualsiasi scopo senza il pagamento di alcun corrispettivo purché in tutte le copie delladocumentazione di supporto vengano conservate le notizie sulle leggi sul diritto d’autore. Hewlett-PackardCompany non fornisce alcuna dichiarazione relativa all’appropriatezza di questo software per qualsiasi scopo. Essaviene fornita″nello stato in cui si trova″, senza alcuna garanzia esplicita o implicita.

Questo programma contiene software STL (Standard Template Library) della Silicon Graphics Computer Systems, Inc.Copyright (c) 1996–1999.

¶ Viene concessa l’autorizzazione a utilizzare, copiare, modificare, distribuire e vendere questo software e la relativadocumentazione per qualsiasi scopo senza il pagamento di alcun corrispettivo purché in tutte le copie delladocumentazione di supporto vengano conservate le notizie sulle leggi sul diritto d’autore. Silicon Graphics nonfornisce alcuna dichiarazione relativa all’appropriatezza di questo software per qualsiasi scopo. Essa viene fornita″nello stato in cui si trova″, senza alcuna garanzia esplicita o implicita.

Nomi di altri prodotti, società o servizi, possono essere marchi di altre società.

iiiTivoli PKI Guida per l’utente

Informazioni particolariI riferimenti contenuti in questo documento relativi a prodotti, programmi o servizi Tivoli Systems o IBM nonimplicano che siano resi disponibili in tutti i paesi in cui Tivoli Systems o IBM opera. Qualsiasi riferimento a prodotti,programmi o servizi Tivoli Systems o IBM non implica che questi siano gli unici a poter essere utilizzati. Insostituzione a quelli forniti da Tivoli System o IBM, possono essere usati prodotti, programmi o servizi funzionalmenteequivalenti che non comportino la violazione dei diritti della proprietà intellettuale o di altri diritti di Tivoli Systems oIBM. E’ responsabilità dell’utente valutare e verificare la possibilità di utilizzare altri prodotti, fatta eccezione per quelliespressamente indicati da Tivoli Systems o IBM.

Tivoli Systems o IBM possono avere brevetti o domande di brevetto in corso relativi a quanto trattato nella presentepubblicazione. La fornitura di questa pubblicazione non implica la concessione di alcuna licenza su di essi. E’ possibileinviare domande di brevetto a: IBM Director of Commercial Relations, IBM Europe, Schoenaicher Str. 220, D-7030Boeblinghen, Deutschland.

Il seguente paragrafo non è valido per il Regno Unito o per tutti i paesi le cui leggi nazionali siano in contrastocon le disposizioni in esso contenute:

L’INTERNATIONAL BUSINESS MACHINES CORPORATION FORNISCE QUESTA PUBBLICAZIONE “NELLOSTATO IN CUI SI TROVA” SENZA ALCUNA GARANZIA, ESPLICITA O IMPLICITA, COMPRESA, MA NONLIMITATA A, QUALSIASI GARANZIA DI NON-CONTRAFFAZIONE, COMMERCIABILITA’ O IDONEITA’ PERUNO SCOPO PARTICOLARE. Alcune nazioni non escludono le garanzie implicite; di conseguenza, la suddettaesclusione potrebbe, in questo caso, non essere applicabile.

Questa pubblicazione potrebbe contenere imprecisioni tecniche o errori tipografici. Le informazioni incluse in questodocumento vengono modificate su base periodica; tali modifiche vengono incorporate nelle nuove edizioni dellapubblicazione. L’IBM si riserva il diritto di apportare miglioramenti e/o modifiche al prodotto o al programma descrittonel manuale in qualsiasi momento e senza preavviso.

Tutti i riferimenti a siti Web non dell’IBM contenuti in questo documento sono forniti solo per consultazione. Ilmateriale disponibile presso i siti Web non fanno parte di questo prodotto e l’utilizzo di questi è a discrezionedell’utente.

iv Versione 3 Rilascio 7.1

Indice

Prefazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viiA chi si rivolge questo manuale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Informazioni correlate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Contenuto di questo manuale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .viii

Convenzioni utilizzate in questo manuale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .viii

Come contattare il supporto clienti. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Informazioni Web su Tivoli PKI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Capitolo 1. Informazioni su Tivoli PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Capitolo 2. Panoramica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Capitolo 3. Procedure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Accesso alle pagine web di iscrizione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Iscrizione utilizzando un browser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Richiesta di un certificato browser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Iscrizione di un server o di un dispositivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Preregistrazione di un utente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Controllo dello stato di iscrizione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Utilizzo di un browser per gestire i certificati. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Sospensione di un certificato. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Rinnovo di un certificato. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Revoca di un certificato. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Annullamento richieste attive. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Operazioni con più certificati. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Emissione di una richiesta di backup di chiave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Emissione di una richiesta di ripristino chiave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Capitolo 4. Informazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Iscrizione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Preregistrazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Supporto browser Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Registrazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Politica aziendale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

RA (Registration Authorities). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Database di registrazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Domini di registrazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Record di registrazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

vTivoli PKI Guida per l’utente

Attributi del record. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Certificazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

CA (Certificate Authorities). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

CRL (Certificate Revocation Lists). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Nomi distinti. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Certificati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Certificati browser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Certificati CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Certificati server o di dispositivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Estensioni dei certificati. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Cicli di vita dei certificati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Rinnovabilità. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Accesso alle risorse sicure. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Controllo di accesso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Autenticazione e autorizzazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Firme digitali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Funzione di backup e ripristino della chiave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Capitolo 5. Riferimenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Modulo di iscrizione pagina web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Tipi di certificati forniti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Motivi per la revoca di un certificato. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Requisiti di sistema per iscrizione browser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Considerazioni sulla lingua nazionale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Glossario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Indice analitico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

vi Versione 3 Rilascio 7.1

Prefazione

In questo manuale sono contenute le informazioni su come ottenere e gestire i certificati.Esso fornisce procedure per l’utilizzo dei moduli di iscrizione del browser di Tivoli PKI perrichiedere, rinnovare e revocare i certificati. Questo manuale spiega inoltre comepreregistrare i certificati di tipo PKIX.

Questo rilascio del prodotto supporta soltanto piattaforme AIX. Si consiglia pertanto diignorare tutto il materiale di discussione relativo a Microsoft Windows.

A chi si rivolge questo manualeQuesto manuale è per chiunque desideri utilizzare le funzioni di Tivoli PKI basate sulbrowser per inviare una richiesta di iscrizione o gestire un certificato esistente emesso daTivoli PKI.

Gli utenti di questa guida devono conoscere l’utilizzo dei browser Internet supportati edavere esperienza delle applicazioni di commercio elettronico.

Informazioni correlateLa documentazione del prodotto Tivoli PKI è disponibile in formato PDF (PortableDocument Format) e HTML nel sito Web di Tivoli. Versioni HTML di alcune pubblicazionisono installate con il prodotto e sono accessibili dalle interfacce utente.

Si noti che il prodotto potrebbe avere subito delle modifiche dal momento dellarealizzazione delle pubblicazioni. Per le informazioni più recenti sul prodotto e perinformazioni sull’accesso ad una pubblicazione nella lingua e nel formato prescelti,consultare le Release Notes. La versione più recente delle Release Notes è disponibile nelsito Web di Tivoli Public Key Infrastructure:http://www.tivoli.com/support

La libreria di Tivoli PKI include la seguente documentazione:

Guida operativaQuesto manuale fornisce una panoramica del prodotto. Elenca i requisiti delprodotto, include le procedure di installazione e fornisce informazioni su comeaccedere alla guida in linea disponibile per ogni componente del prodotto. Questomanuale viene stampato e distribuito con il prodotto.

System Administration GuideQuesto manuale contiene informazioni generali sull’amministrazione del sistema diTivoli PKI. Include procedure per l’avvio e l’arresto dei server, modifica dellepassword, amministrazione dei componenti del server, esecuzione di controlli edesecuzione di verifiche di integrità dei dati.

Guida alla configurazioneQuesto manuale contiene informazioni sull’utilizzo dell’Installazione guidata perconfigurare un sistema di Tivoli PKI. E’ possibile accedere alla versione HTML diquesta guida durante la visualizzazione dell’aiuto in linea per la procedura guidata.

Guida al Desktop RAQuesto manuale contiene informazioni sull’utilizzo di Desktop RA per gestire i

viiTivoli PKI Guida per l’utente

http://www.tivoli.com/support

certificati per tutta la loro durata. E’ possibile accedere alla versione HTML diquesta guida durante la visualizzazione dell’aiuto in linea per il Desktop.

Guida per l’utenteQuesto manuale contiene informazioni su come ottenere e gestire i certificati.Fornisce procedure per l’utilizzo dei moduli di registrazione del browser di TivoliPKI per richiedere, rinnovare e revocare i certificati. Inoltre spiega comepreregistrare i certificati di tipo PKIX.

Customization GuideQuesto manuale mostra come personalizzare la funzione di registrazione Tivoli PKIper supportare gli obiettivi di registrazione e certificazione delle proprie politicheaziendali. Ad esempio, è possibile imparare come personalizzare pagine HTML eJava Server, lettere di notifica, profili del certificato e politiche.

Contenuto di questo manualeIn questo manuale sono contenute le seguenti informazioni:

¶ “Informazioni su Tivoli PKI” a pagina 1 descrive brevemente le funzioni e lecaratteristiche di Tivoli PKI.

¶ “Panoramica” a pagina 3 descrive il processo di iscrizione del certificato.

¶ “Procedure” a pagina 5 fornisce informazioni orientate all’attività su come iscriversi conTivoli PKI e su come gestire i certificati ottenuti.

¶ “Informazioni” a pagina 15 presenta informazioni generali relative a Tivoli PKI econcetti relativi all’iscrizione del certificato, alla registrazione e all’accesso a risorsesicure.

¶ “Riferimenti” a pagina 21 include descrizioni di campo, valori e attributi presentati nelmodulo di iscrizione di pagina Web.

¶ “Glossario” a pagina 29 definisce i termini e le abbreviazioni utilizzati nel manuale chepotrebbero essere nuovi o non conosciuti.

Convenzioni utilizzate in questo manualeIn questo manuale vengono utilizzate diverse convenzioni per i caratteri tipografici pertermini e operazioni particolari. Tali convenzioni hanno il seguente significato:

Convenzione Significato

GrassettoI comandi, le parole chiave, gli indicatori e qualsiasi altra informazione chedeve essere letteralmente utilizzata vengono visualizzati ingrassetto.

CorsivoLe variabili che devono essere fornite e i nuovi termini vengono visualizzatiin corsivo. Inoltre, vengono visualizzate incorsivoanche le parole e le frasiche si desidera enfatizzare.

Spaziatura fissaGli esempi di codice, le emissioni e i messaggi di sistema vengonovisualizzati con un carattere aspaziatura fissa.

viii Versione 3 Rilascio 7.1

Come contattare il supporto clientiSe si incontrano difficoltà con i prodotti Tivoli, è possibile immettere l’indirizzohttp://www.support.tivoli.com per visualizzare la home page per il supporto Tivoli. Dopoessersi collegati ed aver inoltrato il modulo di registrazione clienti, è possibile accedere asvariati servizi di supporto clienti sul Web.

Utilizzare i seguenti numeri di telefono per contattare il supporto clienti negli Stati Uniti: ilnumero Tivoli è 1–800–848–6548 (1-800–TIVOLI8) ed il numero IBM® è 1–800–237–5511(selezionare o pronunciare 8 dopo aver raggiunto questo numero). Entrambi i numeriindirizzano la chiamata al Call Center del Supporto clienti Tivoli.

E’ molto importante conoscere quali siano state le esperienze degli utenti con ladocumentazione e i prodotti Tivoli. Sono pertanto molto graditi tutti i suggerimenti fornitiper un eventuale miglioramento dei nostri servizi. Se si desidera esprimere dei commenti ofornire dei suggerimenti relativi a questa documentazione, inviare una e-mail all’[email protected].

Informazioni Web su Tivoli PKII clienti Tivoli e IBM Tivoli possono trovare informazioni in linea per ogni prodotto disicurezza Tivoli e Tivoli PKI.

Per informazioni relative ai servizi e agli ultimi aggiornamenti relativi a Tivoli PKI, visitareil sito Web all’indirizzo: http://www.tivoli.com/support/secure_download_bridge.html

Per ulteriori informazioni sul prodotto Tivoli Public Key Infrastructure, visitare il sito Weball’indirizzo: http://www.tivoli.com/products/index/secureway_public_key/

Per informazioni su altri prodotti Tivoli relativi alla gestione della sicurezza, visitare il sitoWeb all’indirizzo: http://www.tivoli.com/products/solutions/security/

ixTivoli PKI Guida per l’utente

http://www.tivoli.com/support

http://www.tivoli.com/support/secure_download_bridge.html

http://www.tivoli.com/products/index/secureway_public_key/

http://www.tivoli.com/products/solutions/security/

x Versione 3 Rilascio 7.1

Informazioni su Tivoli PKI

Tivoli Public Key Infrastructure (Tivoli PKI) fornisce applicazioni per autenticare gli utentied assicurare comunicazioni accreditate e sicure:

¶ Consente alle organizzazioni di emettere, pubblicare e gestire certificati digitali in basealle politiche di registrazione e certificazione.

¶ Il supporto agli standard di crittografia PKIX (Public Key Infrastructure for X.509)versione 3 e CDSA (Common Data Security Architecture) consentono l’interagibilità trafornitori.

¶ La firma digitale ed i protocolli sicuri consentono di autenticare tutte le parti di unatransazione.

¶ Le funzionalità di registrazione tramite browser consentono una massima flessibilità.

¶ Le comunicazioni codificate e la memorizzazione sicura delle informazioni sullaregistrazioni assicurano la più stretta riservatezza.

Un sistema Tivoli PKI si può eseguire su piattaforme server IBM AIX/6000®

e MicrosoftWindows NT. Comprende le seguenti funzioni principali:

¶ Una Certificate Authority (CA) sicura gestisce la durata complessiva della certificazionedigitale. Per convalidare l’autenticità di un certificato, la CA firma digitalmente ognicertificato che emette. Inoltre vengono firmati i CRL (Certificate Revocation Lists) perverificare se un certificato è valido. Per proteggere ulteriormente la chiave di firma, èpossibile utilizzare hardware di crittografia, come IBM 4758 PCI CryptographicCoprocessor.

¶ Una Registration Authority (RA) gestisce le attività amministrative relative allaregistrazione di un utente. La RA assicura che vengano emessi soltanto certificati chesupportano le proprie attività di gestione, e che vengano concessi soltanto a utentiautorizzati. È possibile compiere le attività di gestione mediante processi sia automaticiche manuali.

¶ Una interfaccia di iscrizione basata su Web facilita l’ottenimento dei certificati per ibrowser, i server e altre funzioni, quali periferiche VPN (Virtual Private Network),smartcard ed e-mail sicure.

¶ Un’interfaccia di gestione basata sul web, Desktop RA, consente agli organismi diregistrazione autorizzati di approvare o respingere richieste di registrazione e di gestire icertificati emessi.

¶ Un sottosistema di controllo elabora un MAC (message authentication code, codice diautentificazione messaggi) per ciascun record di controllo. Se i dati di controllo vengonomodificati o cancellati dopo essere stati inseriti nel database di controllo, il MACconsente all’utente di rilevare la manomissione.

1

1Tivoli PKI Guida per l’utente

1.Inform

azionisuTivoli

PK

I

¶ I criteri e i BPO (Business Process Objects) consentono agli sviluppatori delleapplicazioni di personalizzare i processi di registrazione.

¶ Supporto integrato per una macchina di crittografia. Per autenticare le comunicazioni, icomponenti di Tivoli PKI vengono sottoscritti con una chiave privata creata dalla casaproduttrice. Gli oggetti di sicurezza, ad esempio chiavi e MAC, vengono codificati ememorizzati in aree sicure dette KeyStore.

¶ Il supporto integrato per IBM Directory. Questa directory memorizza le informazioni suicertificati validi e su quelli revocati in un formato conforme a LDAP.

¶ Supporto integrato per IBM WebSphere™

Application Server e IBM HTTP Server. Ilserver Web opera con il server RA per crittografare i messaggi, autenticare le richieste etrasferire i certificati ai relativi destinatari.

¶ Supporto integrato per IBM DB2®

Universal Database.

2 Versione 3 Rilascio 7.1

Panoramica

Quando un’organizzazione dispone di applicazioni sicure protette da Tivoli PKI, l’accesso atali applicazioni è consentito solo agli utenti con le credenziali adeguate. Chi desidera unacredenziale, ad esempio un certificato digitale, può inoltrare una richiesta fornendo leinformazioni necessarie. I dati riportati nella richiesta di registrazione costituiscono la baseper concedere o rifiutare la credenziale. Se una richiesta di registrazione viene approvata, laRA (Registration Authority) di Tivoli PKI elabora la richiesta e la CA (Certificate Authority)di Tivoli PKI emette il certificato. I record per le richieste di iscrizione e i certificato sonomemorizzati in un database di registrazione cifrato.

In un sistema Tivoli PKI, la richiesta di un certificato avviene attraverso i moduli diiscrizione di Tivoli PKI, disponibili su una pagina Web.

I moduli di iscrizione consentono di inviare le informazioni necessarie per richiedere uncertificato e di ottenere quindi la risposta dalla funzione di registrazione Tivoli PKI.E’possibile fare richiesta di un certificato per un browser, un server o un dispositivo.E’possibile inoltre preregistrare un certificato per accedere ad un’applicazione di tipo PKIX.È possibile inoltre ritornare alla pagina Web di registrazione per gestire i certificati ricevutieseguendo la registrazione sulla pagina.

Questa guida offre un supporto per ognuna di queste attività di registrazione.

2


2.P

anoramica

Procedure

Gli argomenti in questa sezione forniscono istruzioni relative ad ogni fase di iscrizione perun certificato sulla pagina Web di iscrizione di Tivoli PKI e per l’utilizzo di quella paginaper gestire i certificati browser ottenuti.

Accesso alle pagine web di iscrizionePer accedere alla pagina Web per l’iscrizione:

1. Assicurarsi che la propria stazione di lavoro disponga dei requisiti elencati in “Requisitidi sistema per iscrizione browser” a pagina 25.

2. Determinare il sito Web della propria organizzazione per accedere alla pagina Web diiscrizione. Il sito Web avrà il seguente formato:http://MyPublicWebServer/MyDomain/index.jsp

3. Aprire il browser ed immettere il sito Web:

¶ In Netscape, immettere il sito Web nella casella di testoIndirizzo .

¶ In Internet Explorer, immettere l’URL nella casella di testoIndirizzo .

4. Premere il tastoInvio .

Viene visualizzata la pagina Web di iscrizione di Tivoli PKI. Per un’installazionepredefinita, il nome della pagina è Centrale credenziali.

5. Se si stanno utilizzando i servizi di iscrizione di Tivoli PKI per la prima volta, fare clicsu installa il certificato CA del server.

Questo certificato consente al browser di autenticare le comunicazioni dai servizi diiscrizione. Per utilizzare nuovamente questi servizi, è possibile saltare quest’operazione.

Iscrizione utilizzando un browserGli argomenti riportati in questa sezione descrivono come utilizzare il browser Web perrichiedere un certificato sulla pagina di iscrizione di Tivoli PKI.

Se si stanno utilizzando i servizi di iscrizione per la prima volta, è necessario ottenere uncertificato CA per il browser Web prima di poter proseguire. Una volta ottenuto questocertificato, è possibile utilizzare le pagine di iscrizione ripetutamente.

Le procedure a cui attenersi per ottenere un certificato valido possono variare a seconda deltipo di personalizzazione della funzione di registrazione delle varie organizzazioni. Gliargomenti di seguito riportati descrivono le operazioni di base. Contattare l’amministratore disistema per apprendere le procedure appropriate di un determinato sito.

3


3.P

rocedure

Richiesta di un certificato browserPer ottenere un certificato di browser mediante il browser Web:

1. Accedere alla pagina Web di iscrizione dal browser.

2. In Tipo di iscrizione, aprire l’elenco e selezionareCertificato browser.

3. In Azione, selezionareEsegui iscrizione.

4. Fare clic suOK .

Viene visualizzato il modulo di iscrizione richiesto.

5. Seguire le istruzioni riportate dalla pagina Web per completare i campi del modulo.“Modulo di iscrizione pagina web” a pagina 21 descrive i campi. Il modulo è costituitodalle seguenti sezioni:

¶ Una sezioneInformazioni sulla registrazione con caselle di testo in cui l’utenteimmette le informazioni richieste.

¶ Una sezioneInformazioni sulla richiesta di certificato con caselle di testo in cuil’utente immette le informazioni sul certificato desiderato. Se nei campi facoltatividella sezione non vengono immessi valori, Tivoli PKI fornisce i valori predefinitiassociati al tipo di certificato richiesto.

Fare particolare attenzione ai seguenti campi:

Tipo di certificatoSelezionare il tipo di certificato di browser che l’organizzazione richiede. “Tipidi certificati forniti” a pagina 24 descrive i tipi di certificato.

Installa certificato CA nel BrowserFare clic per ottenere un certificato CA corrispondente compatibile con il tipo dicertificato. Se si fa clic su questo pulsante, il certificato CA viene scaricatoimmediatamente.

Questo certificato consente al browser di autenticare le comunicazioni da TivoliPKI. Se per qualche motivo si dispone già dello stesso certificato CA, non ènecessario ottenerne un altro.

Indirizzo e-mailPer selezionareNotifica e-mail, è necessario fornire il proprio indirizzo e-mail.

Notifica e-mailSelezionare questo campo per ricevere l’esito della richiesta inoltrata tramitee-mail.

Risposta ChallengePrendere nota dellaRisposta Challengefornita che è sensibile al maiuscolo eminuscolo. Sarà necessaria successivamente per controllare lo stato della richiestadi iscrizione.

Nome comuneIl campoNome comuneè precedentemente riempito con informazionispecificate perNome e Cognome. Se successivamente si torna indietro permodificare le voci del nome o del cognome, la modifica potrebbe non essereriportata automaticamente nel nome comune. Se non è riportata, assicurarsidell’aggiornamento del campoNome comunecon i valori revisionatiNome eCognomeprima di inviare il modulo di registrazione.


Nome dominioFornire il nome host del computer sul quale installare il certificato, se collegatoall’utilizzo del certificato. Per i certificati browser questo campo è facoltativo;utilizzarlo solamente se si è stati incaricati di farlo.

6. Fare clic suInoltra richiesta iscrizione.

Una volta che Tivoli PKI ha ricevuto il modulo di iscrizione, si verifica quanto segue:

¶ Se il modulo contiene errori, questo vengono mostrati all’utente. Apportare leopportune modifiche e fare clic suInoltra di nuovo richiesta di iscrizione.

¶ Se il modulo non contiene errori, un’altra pagina Web visualizza l’ID richiesta.

7. Non dimenticare di registrare l’ID richiesta. Questo ID server ad essere identificatisuccessivamente in modo da poter controllare lo stato della richiesta e ricevere ilcertificato quando è pronto. Effettuare una delle seguenti operazioni, descritte sullapagina Web:

¶ Inserire un segnalibro sulla pagina Web in modo da poter tornare facilmente a questavisualizzazione e controllare il certificato.

¶ Registrare l’ID richiesta per essere in grado di fornirlo.

¶ Attendere l’arrivo dell’ID tramite e-mail.

Iscrizione di un server o di un dispositivoQualsiasi server o dispositivo per il quale si esegue l’iscrizione deve avere le caratteristichespecifiche descritte in questa guida. “Certificati server o di dispositivo” a pagina 19 illustratali caratteristiche.

Per ottenere un certificato di server o dispositivo mediante il browser Web:

1. Accedere alla pagina Web di iscrizione dal browser.

2. In Tipo di iscrizione, aprire l’elenco e selezionareCertificato server o periferica.


4. Fare clic suOK .



¶ Una sezioneInformazioni sulla registrazione con caselle di testo in cui l’utenteimmette le informazioni richieste.

¶ Una sezioneInformazioni sulla richiesta di certificato con caselle di testo in cuil’utente immette le informazioni sul certificato desiderato per il server o ildispositivo. Se nei campi facoltativi della sezione non vengono immessi valori,Tivoli PKI fornisce i valori predefiniti associati al tipo di certificato richiesto.


Tipo di certificatoSelezionare il tipo di certificato di server o periferica che l’organizzazionerichiede. “Tipi di certificati forniti” a pagina 24 descrive i tipi di certificato.

Salva certificato CA su fileFare clic per ottenere un certificato CA corrispondente compatibile con il tipo di


3.P

rocedure

certificato. Il browser richiederà un percorso. Se si fa clic su questo pulsante, ilcertificato CA viene scaricato immediatamente.

Questo certificato consente al server o al dispositivo di autenticare lecomunicazioni da Tivoli PKI. Se per qualche motivo si dispone già dello stessocertificato CA, nn è necessario ottenerne un altro.



Risposta ChallengePrendere nota dellaRisposta Challengefornita che è sensibile al maiuscolo eminuscolo. Sarà necessaria successivamente per controllare lo stato della richiestadi registrazione.


Nome dominioFornire il nome host del computer sul quale installare il certificato, se collegatoall’utilizzo del certificato. Per i certificati server questo campo è facoltativo; selo si include, identificare il computer su cui è installato il server Web. Per icertificati IPSec, viene richiesto ilNome dominio; è necessario identificare laperiferica IPSec su cui verrà installato il certificato.









Preregistrazione di un utenteÈ possibile utilizzare i servizi di registrazione per eseguire per se stessi o per un altro utenteuna preregistrazione a un certificato che consente di accedere ad un’applicazione conforme aPKIX.


Per eseguire la preregistrazione di un utente mediante il browser:

1. Accedere alla pagina Web di registrazione dal browser.

2. In Tipo di iscrizione, aprire l’elenco e selezionarePreregistrazione certificato.


4. Fare clic suOK .



¶ Una sezioneInformazioni sulla registrazione con caselle di testo in cui l’utenteimmette le informazioni sulla persona per la quale si esegue la preregistrazione. Inquesta sezione vengono immesse anche alcune informazioni che consentiranno poi diverificare lo stato della richiesta.

¶ Una sezioneInformazioni sulla richiesta di certificato con caselle di testo di cuil’utente immette le informazioni sul certificato desiderato. Se nei campi facoltatividella sezione non vengono immessi valori, Tivoli PKI fornisce i valori predefinitiassociati al tipo di certificato richiesto.


Tipo di certificatoSelezionare il tipo di certificato desiderato dalla persona per la quale si staeseguendo la preregistrazione. “Tipi di certificati forniti” a pagina 24 descrive itipi di certificato.

Indirizzo e-mailPer selezionareNotifica e-mail, fornire il proprio indirizzo e-mail.




Nome dominioFornire il nome host del computer sul quale installare il certificato, se collegatoall’utilizzo del certificato. Per i certificati di preregistrazione questo campo èfacoltativo; utilizzarlo solamente se si è stati incaricati di farlo.




3.P

rocedure







Controllo dello stato di iscrizionePer verificare lo stato della richiesta di registrazione, ritornare alla pagina Web con ilsegnalibro oppure completare le operazioni di seguito riportate:

1. Accedere alla pagina di registrazione Web.

2. In Tipo di iscrizione, selezionare il tipo di iscrizione richiesto.

3. In Azione, selezionareControlla stato.

4. Fare clic suOK .

La visualizzazione contiene i campi in cui autenticare la propria identità prima di poterottenere le informazioni sulla richiesta.

5. Fornire le informazioni nei campi:

¶ In ID richiesta, immettere l’ID richiesta mostrato dopo aver nuovamente inoltrato ilmodulo di registrazione.

¶ In Risposta Challenge, immettere la stessa Risposta Challenge fornita sul modulo diregistrazione.

6. Fare clic suControlla stato iscrizione.

Viene visualizzato um messaggio che indica lo stato corrente della richiesta.

¶ Se la richiesta è ancora in sospeso, è possibile controllare di nuovo successivamente.

¶ Se la richiesta è stata approvata, le successive operazioni variano in base al tipo dirichiesta:

Certificato browserIl certificato del browser viene immediatamente scaricato nel browser.

Certificato server o perifericaIl browser richiede di selezionare un formato e di specificare un percorso sucui viene scaricato il certificato del server o del dispositivo.

Preregistrazione certificatoVengono visualizzate le informazioni di cui necessita il titolare del certificatodi prospettiva per richiedere il certificato: un ID transazione, una passworded il sito Web della RA che ha approvato la richiesta. Con questeinformazioni viene prodotto un file di preregistrazione che si utilizza con laregistrazione di amministratore.


Utilizzo di un browser per gestire i certificatiSulla pagina Web di registrazione, è possibile anche rinnovare o revocare un certificato dibrowser ricevuto. Se necessario, è possibile sospendere il certificato invece di revocarlodefinitivamente. Questa procedura non si applica ai certificati per i quali è stata eseguita lapreregistrazione.

Nota: Se si riceve un errore mentre si utilizza Microsoft Internet Explorer per rinnovare orevocare certificati, significa che è impossibile stabilire una sessione SSL autenticatadal client con il server Web. Per risolvere il problema, selezionareStrumenti →Opzioni Internet nel browser. Nella finestra relativa all’impostazione delle opzioniInternet selezionare la schedaAvanzate e fare clic sul pulsanteRipristinapredefinite. Questa operazione riattiverà SSL versione 3.0. Fare clic suOK echiudere il browser. Riavviare Internet Explorer e tentare di connettersi nuovamenteal server.

Sospensione di un certificatoE’ possibile sospendere un certificato browser ottenuto direttamente dalla pagina Web diiscrizione.

Per sospendere il certificato:


2. In Tipo di iscrizione, selezionareCertificato browser .

3. In Azione, selezionareSospendi.

4. Fare clic suOK .

La visualizzazione contiene le informazioni che identificano l’utente e il certificato.

5. Esaminare le informazioni per assicurarsi che questo sia il certificato che si desiderasospendere.

6. Fare clic suSospendi certificato.

Nota: Se si desidera riattivare un certificato sospeso, è necessario contattarel’Amministratore RA prima che scada il periodo di tolleranza. Una volta scaduto taleperiodo, un certificato sospeso non può essere riattivato

Rinnovo di un certificatoÈ possibile rinnovare un certificato di browser ottenuto direttamente dalla pagina Web diregistrazione.

Per rinnovare il certificato:


2. In Tipo di iscrizione, selezionareCertificato browser .

3. In Azione, selezionareRinnova.

4. Fare clic suOK .

Viene visualizzato un modulo di rinnovamento.

5. Esaminare il modulo per verificare che il certificato sia quello che si desidera rinnovare.

6. Se desiderato, modificare i valori dei campi modificabili. “Modulo di iscrizione paginaweb” a pagina 21 descrive i campi.


3.P

rocedure


Notifica e-mailSelezionare questa opzione se si desidera ricevere notifica del risultato dellarichiesta tramite e-mail.

Domanda ChallengeÈ possibile modificare la domanda a cui dare risposta quando si controlla lo statodella richiesta.


Per Internet Explorer

¶ Seguire le istruzioni contenute nel modulo se si desidera cambiare ilfornitore del servizio di codifica.

¶ Decidere se creare un nuovo insieme di chiavi o riutilizzare quello esistente.Il nuovo insieme di chiavi può essere denominato dall’utente.

¶ Se desiderato, selezionareAltre opzioni di protezione per richiedereulteriori misure di sicurezza da Microsoft Internet Explorer.

7. Fare clic suRinnova certificato.

8. Conservare l’ID richiesta quando viene visualizzato in modo da poter controllare lo statodella richiesta successivamente. “Controllo dello stato di iscrizione” a pagina 10 illustracome controllare lo stato della richiesta.

Revoca di un certificatoÈ possibile revocare un certificato di browser ottenuto direttamente dalla pagina Web diregistrazione.

Per revocare il certificato:


2. In Tipo di iscrizione, selezionareCertificato browser.

3. In Azione, selezionareRevoca.

4. Fare clic suOK .

Vengono visualizzate le informazioni che identificano il certificato.

5. Esaminare le informazioni per assicurarsi che questo sia il certificato che si desiderarevocare.

6. In Motivo , selezionare una motivo per la revoca del certificato. “Motivi per la revoca diun certificato” a pagina 25 descrive i motivi validi.

7. In La data del certificato non è più valida, specificare quando revocare il certificato.Selezionare la data corrente o una data passata. Se il motivo è associato a una data,utilizzare quella data. Ad esempio, se si sospetta che la chiave sia stata compromessa,selezionare la data in cui si ritiene che ciò sia avvenuto.

8. Fare clic suRevoca certificato.


Annullamento richieste attiveSe si invia una richiesta per rinnovare, revocare o sospendere un certificato e poi si tenta dicancellare la richiesta, il browser restituisce un errore come″Il documento non contienedati″. Inoltre sarà impossibile rivisualizzare la pagina Web di iscrizione.

Tale problema può verificarsi se il browser trasmette la richiesta al server RA prima dirichiedere di presentare un certificato per l’autenticazione. Quando il certificato nonaccompagna la richiesta, viene restituito un errore. Il browser si comporta normalmente inquesto modo. In questa situazione, il browser non sa quale richiesta deve essere cancellatadopo che si è fatto clic sul pulsanteAnnulla .

Operazioni con più certificatiSe si invia una richiesta per rinnovare, revocare o sospendere un certificato e poi si ritornaalla pagina Web di iscrizione per operare con un altro certificato, sarà impossibile procederefino a che non si esce dal browser e lo si riavvia. Il browser si comporta normalmente inquesto modo. E’ necessario eliminare il certificato corrente dalla cache del browser prima ditentare di gestirne un altro.

Similmente, dopo aver scaricato un certificato, non è possibile rinnovarlo o revocarlo nellastessa sessione browser. E’ necessario uscire dal browser prima di tentare di gestire uncertificato appena installato.

Emissione di una richiesta di backup di chiaveE’ possibile richiedere che venga creato un backup per un certificato e per la relativa chiaveprivata. Il file PKCS #12 utilizzato come input per tale richiesta, viene creato quando siesporta un certificato da un browser supportato. Il file PKCS #12 può esseresuccessivamente recuperato con l’emissione di una richiesta di ripristino chiave.

Per emettere una richiesta di backup chiave:

1. Determinare il sito Web dell’organizzazione per accedere alla pagina WebRichiesta dibackup chiave. Gli URL presentano il seguente formato:http://MyPublicWebServer/MyDomain/KeyBackup_Request.jsp





Viene visualizzata la pagina Web Tivoli PKIRichiesta di backup chiave.

4. In File PKCS #12, immettere il percorso ed il nome del file o fare clic suSfoglia perspecificare il file PKCS #12 esportato che contiene il certificato su cui eseguire backup.

5. In Password del File PKCS #12, immettere la password specificata al momento dellacreazione di tale file.

6. Fare clic suInoltra richiesta backup chiave.

Viene visualizzato un messaggio che indica lo stato di questa richiesta.

Emissione di una richiesta di ripristino chiaveE’ possibile emettere una richiesta per recuperare un certificato e la relativa chiave privatada un backup precedentemente creato da una richiesta di backup chiave. Su approvazionedella richiesta di ripristino da parte dell’Amministratore RA, il file PKCS #12 è disponibile


3.P

rocedure

e pronto per essere scaricato. Non viene fornita la password per il file dato che dovrebbeessere già conosciuta. L’Amministratore RA può, comunque, visualizzare gli attributi delfile, inclusa la password, se il richiedente necessita di tale informazione. Il meccanismo didistribuzione di tale informazione è tipicamente definito dall’impresa (ad esempio, postaelettronica o altri mezzi di corrispondenza).

Dopo l’invio della richiesta di ripristino chiave, è possibile verificare lo stato perdeterminare se la richiesta è approvata, rifiutata o sospesa.

Per emettere una richiesta di ripristino chiave:

1. Determinare il sito Web dell’organizzazione per accedere alla pagina WebRichiesta diripristino chiave . Gli URL presentano il seguente formato:http://MyPublicWebServer/MyDomain/KeyRecovery_Request.jsp





Viene visualizzata la pagina Web Tivoli PKIRichiesta ripristino chiave.

4. In Tipo di certificato , selezionare il tipo di certificato che si desidera ripristinaredall’elenco a discesa.

5. Nel campoNome, immettere il nome.

6. Nel campoCognome, immettere il cognome della persona.

7. Nel campoID di richiesta , immettere l’ID di richiesta dal processo di iscrizione delcertificato originale, se lo si conosce; altrimenti non effettuare immissioni nel campo.

8. Fare clic suInoltra richiesta di ripristino chiave .

9. Se nel database RA sono presenti più voci che contengono lo stesso nome e cognome,come la richiesta di ripristino chiave, viene visualizzato un Elenco di selezione dirichieste di ripristino chiave. Si tratta di un elenco di possibili certificati o chiavi daripristinare. L’elenco contiene il DN del soggetto, il numero di serie del certificato e ledate del periodo di validità.

Selezionare il preciso certificato o la chiave da ripristinare.

10. Fare clic suInvia richiesta di ripristino chiave .

11. Fare clic suControlla stato di ripristino chiave per determinare lo stato dellarichiesta.

Quando l’Amministratore RA approva la richiesta, viene visualizzata la paginaRichiesta di ripristino chiave – Stato completato.

12. Fare clic suSalva file PKCS #12 ripristinato per scaricare e salvare il file ripristinato.


Informazioni

Gli argomenti riportati in questa sezione definiscono o descrivono i concetti relativi allaregistrazione, alla certificazione, ai certificati e all’accesso alle risorse sicure.

IscrizionePer registrazione si intende la richiesta di un certificato. Tivoli PKI offre diversi metodi diregistrazione, e le politiche dell’organizzazione dell’utente determinano i metodi disponibili.Quando occorre richiedere un certificate, è possibile accedere ai moduli di registrazionemediante il browser Web. Sulla pagina Web di registrazione, è possibile anche riempire einviare un modulo di registrazione. Sono possibili le seguenti opzioni:

¶ Richiedere un certificato CA in preparazione alle attività di iscrizione.

¶ Richiedere un certificato browser per se stessi.

¶ Richiedere un certificato per uno specifico server o dispositivo.

¶ Preregistrare se stessi o qualcun altro per un certificato che consente di accedere aun’applicazione conforme a PKIX.

I dati provenienti dai moduli di iscrizione vengono inseriti nei record del database che gliRA (Registration Authority) responsabile registrazione possono visualizzare dal Desktop diTivoli PKI Registration Authority (Desktop RA).

PreregistrazioneTivoli PKI consente a un programma o a unresponsabile di preregistrare possibili utentifuturi.

Di seguito sono riportate le istruzioni per preregistrare altre persone per l’ottenimento dicertificati:

¶ È necessario raccogliere informazioni sulla persona che si desidera preregistrare. Èpossibile ottenere tali informazioni dalla persona stessa o utilizzare i recorddell’organizzazione, ad esempio le informazioni presenti in un database.

¶ È possibile accedere alla pagina di registrazione dal proprio browser Web. Questa paginacontiene un modulo di registrazione specificamente adibito alla preregistrazione dipossibili utenti.

¶ Riempire il modulo con le informazioni sulla persona e sul tipo di certificato che essadesidera. Quindi, inviare il modulo.

¶ Controllare lo stato della richiesta.

Quando la richiesta di preregistrazione viene approvata, si riceve un ID transazione, unapassword ed il sito Web della RA che ha approvato la richiesta.

4


4.Inform

azioni

¶ Dare queste informazioni—per telefono, e-mail o di persona—alla persona che si èpreregistrata. In alternativa, è possibile fornire loro un file di preregistrazione contenentealtre informazioni relative alla richiesta. La persona utilizza il materiale ricevuto nonappena è pronto a richiedere il certificato.

Supporto browser WebTivoli PKI consente di creare una richiesta di registrazione riempendo e inviando un modulodi registrazione mediante uno dei seguenti browser Web:

¶ Microsoft Internet Explorer, versione 5.0 o successiva.

¶ Netscape Navigator o Communicator, versione 4.7x

RegistrazioneLa registrazione è il processo di emissione di un certificato digitale a una persona o altraentità. In Tivoli PKI, prima della registrazione un programma o un responsabile registrazionevaluta le informazioni contenute nella richiesta di registrazione. Quindi, indipendentementedall’esito della richiesta, la RA di Tivoli PKI crea un record per la richiesta nel database diregistrazione. Se la decisione è di rilasciare il certificato, la Certificate Authority (CA) diTivoli PKI emette il certificato.

Politica aziendaleQuando un programma o un responsabile registrazione valuta le informazioni per laregistrazione, essi applicano le politiche aziendali dell’organizzazione dell’utente ad alcunedelle informazioni di registrazione. Il tipo di informazioni che un programma può valutare èmeno complesso del tipo valutato da un responsabile registrazione. I valori tendono adessere precisi, ad esempio il numero minimo di anni in una residenza. Tivoli PKI consenteall’organizzazione dell’utente di fornire a tale programma informazioni sulle propriepolitiche aziendali. Il programma utilizza queste informazioni nelle sue valutazioni.

RA (Registration Authorities)In Tivoli PKI, la RA è un’applicazione server. È responsabile di alcune delle attivitàamministrative necessarie per la registrazione degli utenti, tra cui:

¶ Confermare l’identità di un utente

¶ Verificare che un utente abbia diritto a un certificato con gli attributi e le autorizzazionirichiesti

¶ Approvare o respingere le richieste di creazione o revoca dei certificati

¶ Sospensione o riattivazione dei certificati

¶ Verificare che chi tenta di accedere a un’applicazione sicura abbia la chiave privataassociata alla chiave pubblica relativa a un certificato

Database di registrazioneUn database di registrazione di Tivoli PKI memorizza i record di registrazione. Il database diregistrazione è un database relazionale, creato con IBM DB2

®

Universal Database. TivoliPKI esegue la cifratura dei record. Tuttavia, mediante il Desktop RA un responsabileregistrazione autorizzato può leggere gran parte delle informazioni per la registrazione.

Domini di registrazioneCiascun sistema Tivoli PKI ha un singolo dominio di registrazione. Questo dominiodefinisce politiche aziendali, politiche dei certificati e risorse associate alla registrazione e


alla certificazione presso l’organizzazione dell’utente. Gli utenti che desiderano accedere auna risorsa devono essere registrati per il dominio relativo a quella risorsa.

Quando il software del server RA viene installato, esso contiene la struttura che consente adun’organizzazione di impostare una funzione di registrazione. Può utilizzare una qualsiasi deilinguaggi o delle politiche supportate dalla RA. Il nome del dominio, la lingua ed il percorsodi installazione formano il sito Web per accedere ad un’istanza data della funzione diregistrazione.

Ad esempio, se il nome del server Web pubblico è MyPublicWebServer ed il nome deldominio di registrazione è MyDomain, è possibile utilizzare il seguente sito Web peraccedere alla funzione di registrazione:http://MyPublicWebServer/MyDomain/index.jsp

Un sistema Tivoli PKI include una JSP (Java Server Page) predefinita (index.jsp) con lafunzione di registrazione. Questa pagina è visualizzata al sito Web di iscrizione per ildominio di registrazione. Essa fornisce i seguenti tipi di servizi di iscrizione:

¶ Gli utenti potenziali vanno su questa pagina Web per richiedere un certificato e perrinnovare o revocare i propri certificati browser.

¶ Anche i responsabili possono visitare la pagina Web di registrazione per preregistratealtri utenti.

Tivoli PKII responsabile registrazione accedono al Desktop RA per utilizzare le richieste ed icertificati di registrazione associati al dominio di registrazione.

Record di registrazioneCiascuna richiesta di certificato è un modulo di registrazione che viene sottoposto alla RA diTivoli PKI. Ciascuna richiesta di registrazione produce un record di database diregistrazione. Gli aggiornamenti a questo record incidono su tutte le azioni relative allarichiesta, finanche un suo rifiuto. Se viene creato un certificato, lo stesso record riflette tuttigli eventi relativi a quel certificato. Il record di registrazione contiene così tutti gli eventicontenuti nel ciclo di vita della richiesta e del relativo certificato.

Attributi del recordGli attributi di un record nel database di registrazione sono variabili che descrivono larichiesta di registrazione. Per le richieste approvate, le variabili descrivono anche ilcertificato che è stato emesso. Altri attributi sono variabili di elaborazione che aiutanol’organizzazione dell’utente nell’applicazione delle proprie politiche aziendali. Molti attributie relativi valori sono visibili ai responsabili di RA mediante il Desktop RA.

CertificazioneLa certificazione è la creazione di un certificato digitale per un’entità o una persona. PerTivoli PKI, la certificazione avviene solo dopo la valutazione e l’approvazione di unarichiesta di registrazione. A seguito della registrazione, la Certificate Authority (CA) emette icertificati. Per Tivoli PKI, il tipo di certificato emesso è compatibile con le politicheaziendali dell’organizzazione dell’utente.

CA (Certificate Authorities)In Tivoli PKI, la CA è un programma server responsabile dell’emissione dei certificatidigitali in accordo alle politiche dell’organizzazione dell’utente.


4.Inform

azioni

Tivoli PKI supporta la certificazione incrociata, in cui le CA che intrattengono rapporti direciproca fiducia con altre CA accettano i certificati emessi da tali organismi come prova diautenticità. Tivoli PKI supporta anche una gerarchia di CA. Le CA si fidano delle CA lorosuperiori nella gerarchia e accettano i certificati da esse rilasciati come prova di autenticità.

CRL (Certificate Revocation Lists)La RA di Tivoli PKI pubblica a intervalli regolari un CRL (certificate revocation list, elencodi revoche certificati). Questi elenchi contengono i certificati non più validi, di modo che chili presenta non viene autenticato.

Qualsiasi CA, RA o applicazione può accedere a questo elenco per controllare se uncertificato è stato revocato. È questo un modo con il quale la RA di Tivoli PKI garantisce lasicurezza quando gli utenti cercano di accedere alle applicazioni sicure di un’organizzazione.

DirectoryLa Directory che Tivoli PKI utilizza per memorizzare i certificati è la IBM Directory. QuestaDirectory potrebbe essere quella impostata dalla propria organizzazione per essere utilizzataspecificamente con Tivoli PKI. Oppure potrebbe essere una directory installata in precedenzae utilizzata con altre applicazioni.

Il protocollo utilizzato da Tivoli PKI per accedere alla Directory è il LDAP (LightweightDirect Access Protocol).

Nomi distintiIl DN (distinguished name) è un elemento della directory per un certificate digitale.Identifica in modo univoco la posizione dell’elemento nella struttura gerarchica dellaDirectory.

CertificatiUn certificato è una credenziale digitale, contrassegnato da una CA, che garantisce l’identitàdel possessore del certificato. Il possessore può utilizzare il certificato come autenticazionequando comunica con altri o quando richiede l’accesso a un’applicazione sicura. In TivoliPKI, anche server, applicazioni e unità come stampanti e smart card devono avere uncertificato per l’autenticazione reciproca e nei confronti degli utenti.

Tivoli PKI supporta i certificati X.509v3 nelle seguenti categorie:¶ Certificati browser¶ Certificati server¶ Certificati dispositivo¶ Certificati per l’accesso alle applicazioni conformi a PKIX¶ Certificati incrociati per le CA

Tivoli PKI supporta inoltre i seguenti protocolli:¶ SSL¶ S/MIME¶ IPSec¶ CMP PKIX

L’installazione predefinita di Tivoli PKI fornisce una varietà di tipi di certificato basati suqueste categorie e protocolli. È possibile richiedere certificati in base alle proprie necessità.“Tipi di certificati forniti” a pagina 24 descrive i tipi di certificato.


Certificati browserUn certificato browser è una credenziale digitale memorizzata di norma in un file cifrato dalproprio browser Web. Con alcune applicazioni è possibile memorizzare le chiavi su unasmart card o su un altro tipo di supporto. In un sistema Tivoli PKI, è possibile richiedere uncertificato browser attraverso il proprio browser Web. In seguito, se necessario, è possibiletornare alla pagina Web di iscrizione per rinnovare o revocare il certificato.

Certificati CAOgni browser, server, unità o applicazione che ha un certificato da presentare ai server diTivoli PKI devono avere anche un certificato CA compatibile. Questo certificato è necessarioper autenticare le comunicazioni dai server che detengono certificati emessi dalla CA diTivoli PKI.

Per utilizzare i servizi di registrazione Tivoli PKI sicuri è necessario avere un certificato CAdi Tivoli PKI. È possibile ottenerlo la prima volta che si visitano le pagine Web diregistrazione di Tivoli PKI. In seguito, ogni qual volta viene richiesto un certificato daiservizi di registrazione, è possibile scaricare un certificato CA corrispondente ad essocompatibile.

Ad esempio, se si richiede un certificato browser SSL con 2 anni di validità, è possibilericevere un certificato CA compatibile con quel certificato.

Nota: I primi rilasci di Netscape potrebbero accettare un certificato di sito presentato da unserver di Tivoli PKI. Quel certificato era accettabile per le comunicazioni con quelserver autenticate sia dal server che dal client. Tuttavia, l’ultimo rilascio di Netscaperichiede un certificato CA per le sessioni autenticate dal client.

Certificati server o di dispositivoSe fa parte del proprio lavoro, è possibile richiedere un certificato per un server o per undispositivo. Utilizzare il modulo di registrazione reperibile con il browser Web.

Il server e il dispositivo per i quali si sta richiedendo il certificato devono utilizzare ilformato di richiesta PKCS #10.

Estensioni dei certificatiLe estensioni di certificato sono elementi opzionali nel formato di un certificato X.509v3. Leestensioni consentono di incorporare campi aggiuntivi nel certificato. Tivoli PKI fornisce ungruppo di estensioni di certificato per permettere all’organizzazione dell’utente dipersonalizzare i certificati emessi. Questi campi aggiuntivi sono denominativariabili deiprocessi aziendali.

Cicli di vita dei certificatiQuando si richiede un certificato, si inizia un ciclo di vita che continua per l’intera durata ditale credenziale. Tale ciclo di vita finisce quando il certificato viene revocato o quandoscade.

Se un certificato viene rinnovato, viene creato un nuovo record nel database di registrazione.

RinnovabilitàLa rinnovabilità di un certificato è una delle caratteristiche che un responsabile registrazionepuò modificare dal Desktop RA:


4.Inform

azioni

¶ Se il certificato dell’utente è rinnovabile, è possibile richiedere un certificato nuovomentre quello vecchio è ancora valido. Il possesso di un certificato rinnovabilesemplifica la procedura di registrazione.

Se si dispone di un certificato di browser rinnovabile, è possibile richiedere il rinnovonella pagina Web di registrazione.

¶ Se il certificato in uso non è rinnovabile, è necessario attendere che scada e quindiregistrarsi di nuovo nel caso in cui occorra ancora un certificato. Quando ci si registra, ènecessario fornire tutte le informazioni, come se ci si stesse registrando per la primavolta.

Accesso alle risorse sicureL’argomento contenuto in questa sezione è correlato all’utilizzo e alla gestione dei certificati.

Controllo di accessoUn ACL (access control list, elenco dei controlli di accesso) autentica e autorizza dispositivi,software e utenti interni di Tivoli PKI. Ad esempio, il servlet di supporto di Desktop RAutilizza l’ACL per autenticare e autorizzare i responsabili di RA prima che questi possanoaccedere al Desktop RA.

Autenticazione e autorizzazioneL’autenticazione fornisce una prova di identità, mentre l’autorizzazione concede il permessodi fare qualcosa. Tivoli PKI consente all’organizzazione dell’utente di insistere su entrambeprima che gli utenti possano accedere alle applicazioni sicure. Dal canto loro, i possessori dicertificato sono sicuri che le applicazioni che utilizzano sono sicure.

Firme digitaliUtilizzando uno dei propri certificati, è possibile contrassegnare un file con una firmadigitale. In questo modo chiunque apra il file può sapere se il suo contenuto è statomodificato dal momento in cui l’utente lo ha firmato. La firma non cifra il contenuto delfile.

Funzione di backup e ripristino della chiaveTivoli PKI fornisce una funzione di richiesta di backup/ripristino di chiave che consentebackup e ripristino di certificati di entità finale e delle corrispondenti chiavi privatecertificate da Tivoli PKI.

Traendo vantaggio da questa funzione, è possibile il recupero di certificato e chiave privatapersi, dimenticati o altrimenti inconseguibili. Ad esempio, considerare il seguente scenario:un dipendente esegue abitualmente backup di certificati e chiavi private ed improvvisamentelascia l’azienda, non restituendo tutte le chiavi private necessarie per accedere a quelleinformazioni. Emettendo una richiesta di ripristino, è possibile recuperare quelleinformazioni considerate perse.

In generale, il processo di backup richiede che l’utente crei un file PKCS #12. Questo filecontiene il certificato e la chiave privata dell’utente. L’utente emette una richiesta di backupda un browser supportato utilizzando il file PKCS #12 come input. Il database di ripristinodi chiave, krbdb, si aggiorna e contiene informazioni di accesso. Il ripristino di chiave operain un modo simile, ossia emettendo una richiesta di ripristino per il file PKCS #12 su cui siè eseguito il backup. Una volta approvata la richiesta da parte dell’Amministratore RA, èpossibile scaricare il file.


Riferimenti

Gli argomenti riportati in questa sezione includono descrizioni di campi, valori validi per icampi e significati degli attributi di certificato. Sono inoltre incluse informazioni chepotrebbero essere di aiuto se si sta utilizzando Tivoli PKI in una lingua diversa dall’Inglese.

Modulo di iscrizione pagina webIl modulo di iscrizione contiene delle sezioni per la descrizione del potenziale detentore delcertificato e della richiesta di certificato. Alcuni campi contenuti in questa sezione sonopresenti solo per uno specifico tipo di iscrizione.

Nota: Se l’organizzazione dell’utente personalizza i moduli di iscrizione, il contenutopotrebbe essere diverso da quanto illustrato in questa guida.

Informazioni sulla registrazione comprende i seguenti campi, laddove appropriati al tipo dirichiesta di certificato:

Tipo di certificatoSelezionare un valore dall’elenco. “Tipi di certificati forniti” a pagina 24 descrive itipi di certificato forniti con un’installazione predefinita.

Nome Il nome proprio o attribuito. Se lo si desidera, può comprendere un secondo nome oun’iniziale.

Per la preregistrazione, questo valore si riferisce alla persona che si stapreregistrando.

CognomeIl proprio cognome.

Per la preregistrazione, questo valore si riferisce alla persona che si stapreregistrando.

Indirizzo e-mailIl proprio indirizzo e-mail, compreso il carattere chiocciola(@) e qualsiasi punto(.).Alcuni tipi di certificato richiedono questo indirizzo, ad esempio i certificati pere-mail sicura. Per selezionareNotifica e-mail, fornire un indirizzo e-mail.

Notifica e-mailSelezionare questa opzione per ricevere notifica tramite e-mail dell’esito di questarichiesta di registrazione.

Nota: Se il server RA è installato all’interno della propria organizzazione su unapiattaforma Windows NT, il file di configurazione di funzione di registrazione(raconfig.cfg) potrebbe aver bisogno di essere aggiornato in modo che faccia

5


5.R

iferimenti

riferimento ad un host SMTP per abilitare questa funzione. Per ulterioriinformazioni, consultareTivoli PKI Customization Guide.

Domanda ChallengeUna domanda di particolare significato, da utilizzare per autenticare la propriaidentità o impedire che qualcuno assuma un falso nome. La domanda viene postaquando si controlla lo stato della richiesta di registrazione. È necessario risponderealla domanda challenge a prescindere che la richiesta sia per l’utente stesso, per unserver o un dispositivo, oppure per preregistrare qualcuno.

Risposta ChallengeUna risposta alla domanda challenge fornita dall’utente. Fornire una risposta facileda ricordare. La stessa risposta deve essere fornita quando si controlla lo stato dellapropria richiesta.

Nota: La risposta è sensibile al maiuscolo/minuscolo.

Password(solo per la preregistrazione) La password che la persona di cui si sta eseguendo lapreregistrazione deve fornire all’applicazione client quando si è pronti a scaricare ilcertificato. Utilizzare i caratteri A-Z, a-z, e 0–9. La password deve avere un numerodi caratteri compreso tra 8 e 32.

Se non viene fornita una password, l’funzione di registrazione crea automaticamenteuna password di 10 caratteri. Tale password viene fornita al momentodell’approvazione della richiesta di preregistrazione insieme all’ID di transazione.

Conferma password:(solo per la preregistrazione) Immettere di nuovo la stessa password.

Le Informazioni sulla richiesta di certificato comprende i seguenti campi:

Richiesta certificato PKCS#10(Solo per la registrazione di server o di periferiche) Il contenuto della richiesta dicertificato PKCS #10 generata dal proprio server o dispositivo per il quale si starichiedendo un certificato. Se la richiesta è stata salvata in un file, aprire il file in uneditor di testo come Windows Notepad. Copiare il contenuto e inserirlo nella caselladi testo del modulo di registrazione.

Nome comune:Un nome per identificare questo certificato.

¶ Per una persona, di solito è il nome completo della persona.

¶ Per un server o un dispositivo, di solito è il nome host. È necessario fornirequesto valore se non c’è nessun nome host nel campo Richiesta di certificatoPKCS#10.

Dimensione chiave:(Solo per l’iscrizione con Netscape) La dimensione chiave per la propria coppia dichiavi pubblica/privata. Selezionare un valore. Le chiavi di dimensioni maggiorisono più sicure, ma richiedono più tempo per collegarsi ad una sessione sicura.

CSP (Cryptographic Service Provider)(Solo per l’iscrizione con Internet Explorer) Il Fornitore servizi di cifratura pergenerare la propria coppia di chiavi pubblica/privata. Selezionare un valore. Lechiavi di dimensioni maggiori sono più sicure, ma richiedono più tempo percollegarsi ad una sessione sicura.


Il valore predefinito è Microsoft Base Cryptographic Provider, che forniscecrittografia di chiave a 512–bit.

Se installato sul proprio sistema, il Microsoft Enhanced Cryptographic Providerfornisce crittografia di chiave a 1024–bit.

Serie di chiavi(Solo per l’iscrizione con Explorer) La coppia di chiavi da utilizzare. SelezionareGenera nuova serie di chiavio aprire l’elenco e selezionare una delle coppie dichiavi esistente.

Nuovo nome serie di chiavi(Solo per l’iscrizione con Internet Explorer) Il nome della nuova coppia di chiavi dagenerare. È possibile lasciare vuoto questo campo e generare automaticamente unGUID (Globally Unique Identifier) per il nome, ma in questo modo è più difficilericonoscere la coppia di chiavi.

Altre opzioni di protezioneSicurezza aggiuntiva offerta da Microsoft Internet Explorer per la nuova coppia dichiavi. Se si seleziona questa opzione, il browser Web visualizza le finestre didialogo di Internet Explorer per l’impostazione di queste opzioni subito dopo averinviato il modulo di registrazione.

Nome organizzazioneIl nome legalmente registrato della propria organizzazione

Unità organizzativaIl nome della propria divisione o reparto, ad esempio Gestione risorse o Svilupposoftware.

Indirizzo:L’indirizzo della propria organizzazione

LocalitàLa città o comune in cui risiede la propria organizzazione, ad esempio Chicago oParigi.

Stato o provinciaLo Stato o la provincia in cui risiede la propria l’organizzazione. A seconda dellepolitiche di registrazione, è possibile immettere il nome completo dello stato o dellaprovincia, o utilizzare un’abbreviazione standard. Ad esempio, utilizzare New York oNY.

Paese Il paese in cui risiede la propria l’organizzazione. Selezionare un valore.

Nome dominioIl nome host del computer su cui un certificato verrà installato. Il campo èfacoltativo per i certificati server e per quelli dell’utente finale (certificati browser ecertificati ottenuti mediante preregistrazione). Se si sceglie di includerlo, è necessarioidentificare il computer su cui è installato il server browser o Web. Per i certificatiIPSec, è necessario identificare la periferica IPSec su cui verrà installato ilcertificato.


5.R

iferimenti

Tipi di certificati fornitiUn sistema Tivoli PKI fornisce più tipi di certificato per i protocolli e le categorie dicertificato supportati. Le variazioni includono differenti periodi di validità. Il nome delcertificato è un indicatore della durata della sua validità e del principale utilizzo della chiave.Consultare il Glossario per la descrizione delle varie funzioni.

Certificato incrociato CAConsente alla CA che ne è proprietaria di ottenere i propri certificati accreditati dallaCA che li emette. Il certificato fornisce le funzioni di firma digitale e di non ripudio.

Certificato cifratura dati d i 1 e 2 anniConsente al proprietario di cifrare i dati. Il certificato non ha altri scopi

Certificato protezione di e-mail di 1 e 2 anniConsente al proprietario di utilizzare il protocollo S/MIME (Secure Multi-PurposeInternet Mail Exchange). Questo protocollo protegge le e-mail o altri oggetti MIME.Inoltre fornisce autenticazione dell’origine, integrità dei messaggi, non rifiutodell’origine e riservatezza. È un tipo di certificato rivolto soprattutto a un utentefinale.

Certificato IPSec di 1 e 2 anniAssicura l’integrità e la riservatezza dei dati inviati tramite Internet nei pacchetti deiprotocolli Internet. Il certificato IPSec viene utilizzato per i dati e non per gli utentied è spesso assegnato a un router.

Solo cifratura chiavi di 1 e 2 anniConsente al proprietario di cifrare le chiavi. Il certificato non ha altri scopi

Non rifiuto d i 1 e 2 anniFornisce funzioni di cifratura dei messaggi e di firma digitale per impedire il nonrifiuto dell’origine di un messaggio o il non rifiuto della relativa consegna.

Solo firma di 1 e 2 anniConsente al proprietario di apporre una firma digitale nel file. Il certificato non haaltri scopi

Autenticazione client Web per1 e 2 anniConsente a un browser Web di partecipare a una sessione SSL autenticata dal client.Mediante questo certificato, l’utente del browser può accedere a uno specifico sitoWeb sicuro. Il certificato fornisce le funzioni di firma digitale, non ripudio ecifratura chiavi. È un tipo di certificato rivolto soprattutto a un utente finale.

Autenticazione server Web per1 e 2 anniConsente a un server di partecipare a una sessione SSL autenticata dal server. Ilcertificato fornisce la firma digitale e la crittografia delle chiavi.

I Delegati o persone che preregistrano altre persone possono richiedere un tipo di certificatoappropriato. I moduli di registrazione elencano i tipi di certificato possibili nel campoTipodi certificato .

Nota: L’elenco visualizzato potrebbe non corrispondere a questo elenco. La propriaorganizzazione potrebbe aver modificato i nomi o le offerte.


Motivi per la revoca di un certificatoQuando viene revocato un certificato, è necessario selezionare un motivo per tale decisione.Quello che segue è un elenco di motivi validi che è possibile selezionare quando si revocaun certificato:

La chiave CA è compromessaLa chiave della Certificate Authority che ha emesso il certificato è compromessa.

Il certificato è stato sostituitoSi possiede un nuovo certificato e non si ha più bisogno di quello vecchio.

Nessun motivoNon viene specificato alcun motivo.

L’uso originale non è più validoIl certificato non serve più per il suo scopo originario. Ad esempio, non occorre piùaccedere alla risorsa o all’applicazione per la quale il certificato è stato emesso.

L’utente ha cambiato affiliazioneL’utente non è più affiliato all’organizzazione alla quale il certificato fa riferimento.

La chiave utente è compromessaLa chiave privata dell’utente è compromessa.

Nota: Quando viene revocato un certificato sulla pagina Web di registrazione, i moduli diregistrazione elencano i motivi validi nel campoMotivo .

Requisiti di sistema per iscrizione browserL’IBM raccomanda la seguente configurazione delle stazioni di lavoro per utilizzare imoduli di iscrizione browser forniti con la funzione di registrazione.

¶ La seguente impostazione di computer fisico:v Processore 486 da 166 MHz Intel con almeno 32MB di RAM

(Si consiglia un processore da 200 MHz Intel Pentium con almeno 64MB di RAM)v Un video che supporti una risoluzione VGA o migliore

¶ Uno dei seguenti sistemi operativi:v Microsoft Windows 95v Microsoft Windows 98v Microsoft Windows NT

¶ Uno dei seguenti browser Web:v Netscape Navigator o Netscape Communicator, versione 4.7xv Microsoft Internet Explorer, versione 5.0 o superiore

¶ Facoltativamente, supporto per una smart card fisica. Se si pianifica di memorizzare icertificati su smart card, potrebbe essere necessario aggiornare il browser ad unaversione richiesta da quella smart card. Ad esempio, IBM Smart Card Security Kitrichiede uno dei seguenti browser:v Netscape Navigator o Netscape Communicator, versione 4.7xv Microsoft Internet Explorer, versione 5.0 o superiore


5.R

iferimenti

Considerazioni sulla lingua nazionaleIn questa sezione vengono riassunte le differenze tra la versione inglese di Tivoli PKI e leversioni nelle altre lingue supportate. Se si richiedono o si gestiscono certificati utilizzandouna versione non inglese di Tivoli PKI, consultare questa sezione per chiarimenti su come leinformazioni possono essere visualizzate o elaborate nella propria lingua .

Di seguito sono elencati i codici delle lingue per le lingue supportate.¶ de_DE per il tedesco¶ en_US per l’inglese¶ es_ES per lo spagnolo¶ fr_FR per il francese¶ it_IT per l’italiano¶ ja_JP per il giapponese¶ ko_KR per il coreano¶ pt_BR per il portoghese brasiliano¶ zh_CN per il cinese semplificato¶ zh_TW per il cinese tradizionale

Richiesta di certificati che hanno i DN non ASCII

E’possibile utilizzare Tivoli PKI per richiedere certificati che contengono DN(distinguished name) non ASCII, come un certificato che utilizza caratteri accentatiper il nome comune. I DN dei certificati creati da Tivoli PKI sono codificati incaratteri Printable, Teletex (T.61), o UTF-8. Tipicamente, i DN che contengonocaratteri accentati europei sono codificati in Teletex e i DN checontengono caratterinativi in cinese, giapponese, o coreano sono codificati in UTF-8. A seconda del tipodi browser e del modo in cui è stato posizionato per il proprio ambiente, essopotrebbe non rendere questi certificati correttamente quando li si visualizza.

Utilizzo di Netscape con certificati che hanno i DN non ASCII

Il browser Netscape non può trattare certificati codificati UTF-8–. Tivoli PKIcodifica i DN che contengono caratteri a byte doppio (cinese, giapponese, o coreano)in UTF-8. Poiché le versioni disponibili attualmente di Netscape non possono trattarecertificati codificati UTF-8–, non è possibile utilizzare Netscape per richiedere oimportare certificati che contengono caratteri cinesi, giapponesi o coreani nel DN.Invece, utilizzare Microsoft Internet Explorer per richiedere certificati in questelingue.

Utilizzo di Netscape per visualizzare la dimensione di chiave

Quando si utilizza Netscape ed una versione non inglese del modulo di iscrizionebrowser, il campo della dimensione di chiave visualizza un testo irriconoscibile comeparentesi quadre ([][][]). Questo testo è generato internamente dal browser, che non èin formato UTF-8. Il browser Netscape genera questa stringa di testo solo in set dicaratteri nativi(come ISO-8859-1 per l’inglese e per le lingue dell’Europaoccidentale, Big5 per il cinese tradizionale e BG2312 per il cinese semplificato).

Poiché le pagine JSP di iscrizione sono codificate in UTF-8, il browser nonriconosce la stringa nel set di caratteri nativi. Perciò, questa stringa non può esserevisualizzata utilizzando il set di caratteri UTF-8 nel browser.

Le scelte per la dimensione di chiave in una versione USA interna del browserNetscape sono le seguenti:

¶ 1024 (Grado Elevato)


¶ 768 (Grado Medio)

¶ 512 (Grado Basso)

A causa delle restrizioni del governo all’esportazione, è come se una versione noninglese del browser avesse solo una voce con un grado basso, una dimensione dichiave a 512 bit.


5.R

iferimenti

Glossario

In questo glossario vengono definiti i termini e le abbreviazioni utilizzati in questo manualeche sono nuovi o non conosciuti. Esso include i seguenti termini e definizioni estratti da:

¶ IBM Dictionary of Computing, New York: McGraw-Hill, 1994.

¶ American National Standard Dictionary for Information Systems, ANSI X3.172–1990,American National Standards Institute (ANSI), 1990.

¶ The Answers to Frequently Asked Questions, Versione 3.0, California: RSA DataSecurity, Inc., 1998.

Numeri

4758 PCI Cryptographic CoprocessorUna scheda bus PCI di crittografia non corruttibile e programmabile che fornisce una elaborazione di crittografiaRSA e DES ad elevate prestazioni. I processi di crittografia si verificano all’interno di una chiusura protetta sullascheda. La scheda rispetta i requisiti dello standard FIPS PUB 140-1 livello 4. Il software può essere eseguitoall’interno della chiusura protetta. Ad esempio, le elaborazioni relative alle transazioni con le carte di creditopossono utilizzare lo standard SET.

A

Abstract Syntax Notation One (ASN.1)Una notazione ITU utilizzata per definire la sintassi dei dati relativi alle informazioni. Tale termine definisce unnumero di tipi di dati semplici e specifica una notazione per identificare tali tipi e per specificare i relativi valori.E’ possibile utilizzare tali notazioni se è necessario definire la sintassi astratta delle informazioni senza limitare ilmodo in cui le informazioni sono codificate per la trasmissione.

ACLAccess Control List.

ACL (access control list)Un meccanismo per la limitazione dell’utilizzo di una risorsa specifica agli utenti autorizzati.

ANSIAmerican National Standards Institute.

ANSI (American National Standards Institute)Una organizzazione che stabilisce le procedure mediante le quali le organizzazioni accreditate creano e gestisconogli standard industriali facoltativi negli Stati Uniti. Tale organizzazione è costituita da produttori, consumatori egruppi di interesse generale.

appletUn programma del computer scritto in Java e che viene eseguito all’interno di un browser Web compatibile perJava. Un’applet è meglio conosciuta come applet Java.

applet JavaVedere ancheapplet.E’ il contrario dell’applicazioneJava.

applicazione JavaUn programma autonomo scritto nel linguaggio Java. Esso viene eseguito fuori dal contesto di un browser Web.

ASCIIAmerican National Standard Code for Information Interchange.

ASCII (American National Standard Code for Information Interchange)Il codice standard utilizzato per l’interscambio di informazioni tra i sistemi di elaborazione dati, i sistemi dicomunicazione dati e la relativa apparecchiatura. Il codice ASCII utilizza un gruppo di caratteri codificati


Glossario

costituiti da caratteri codificati a 7 bit (8 bit che includono un bit per il controllo della parità). Il gruppo dicaratteri è costituito da caratteri di controllo e da caratteri grafici.

ASN.1Abstract Syntax Notation One.

assimilazione messaggiUna funzione irreversibile che rileva un messaggio a dimensioni arbitrarie e produce una quantità a lunghezzafissa. MD5 è un esempio di algoritmo per l’assimilazione dei messaggi.

attributo di iscrizioneUna variabile di iscrizione contenuta in un modulo di iscrizione. Il valore di tale variabile rispecchia leinformazioni rilevate durante l’iscrizione. Il valore dell’attributo di iscrizione rimane lo stesso per tutta la duratadella credenziale.

autenticazioneIl processo per la determinazione in maniera affidabile dell’identità di una parte della comunicazione.

autenticazione utenteIl processo di convalida che l’originatore di un messaggio è il proprietario legittimo e identificabile delmessaggio. Esso convalida inoltre la che si sta comunicando con l’utente finale o con il sistema.

autorizzazioneL’autorizzazione ad accedere a una determinata risorsa.

B

Backup e ripristino della chiaveQuesta funzione di Tivoli PKI consente di effettuare il backup e il ripristino dei certificati dell’entità finale e lerelative chiavi pubbliche e private certificate da Tivoli PKI. Il certificato le chiavi sono memorizzati nel filePKCS #12. Tale file è protetto da una password. La password viene impostata nel momento in cui viene eseuitoil backup del certificato e delle chiavi.

BERBasic Encoding Rules.

BER (Basic Encoding Rules)Le regole specificate in ISO 8825 per la codifica delle unità di dati descritti in ASN.1 (abstract syntax notation1). Tali regole specificano una tecnica di codifica e non la sintassi astratta.

browserVederebrowser Web.

browser WebSoftware del client che viene eseguito su un PC e consente all’utente di navigare nell’intero Web o in pagineHTML locali. Questo è uno strumento di recupero che fornisce un accesso universale a una vasta raccolta dimateriale multimediale disponibile su Web e su Internet. Alcuni browser consentono di visualizzare testo eimmagini, mentre con altri è possibile visualizzare soltanto testo. Con la maggior parte dei browser è possibilegestire le principali forme di comunicazione, come le transazioni FTP.

C

CACertificate Authority.

CAST-64Un algoritmo a blocchi che utilizza una dimensione dei blocchi a 64 bit e una chiave a 6 bit. Tale algoritmo èstato progettato da Carlisle Adams e Stafford Tavares.

CA superioreLa CA posta nella parte superiore di una gerarchia CA PKI.


catena di protezioneUn insieme di certificati costituito dalla gerarchia di protezione, che va dal certificato utente alla root o alcertificato autofirmato.

CCAIBM Common Cryptographic Architecture.

CCA (Common Cryptographic Architecture)Un software IBM che consente un approccio costante alla crittografia sulle principali piattaforme di elaborazioneIBM. Esso supporta il software dell’applicazione scritto in vari linguaggi di programmazione. Il softwaredell’applicazione può utilizzare i servizi CCA per eseguire un ampio intervallo di funzioni di crittografia,compresa la codifica DES e RSA.

CDSACommon Data Security Architecture.

CDSA (Common Data Security Architecture)Un’iniziativa per definire un esauriente approccio ai servizi di protezione e alla gestione della protezione delleapplicazioni. Esso è stato progettato da Intel, in modo da rendere le piattaforme dei computer più sicure per leapplicazioni.

certificate authority (CA)Il software responsabile dell’esecuzione delle politiche di protezione dell’organizzazione e dell’assegnazione delleidentità elettroniche protette nei certificati. La CA elabora le richieste dalle RA per emettere, rinnovare e revocarei certificati. La CA interagisce con la RA per pubblicare i certificati e i CRLs nella Directory.Vedere anchecertificato digitale.

certificato browserUn certificato digitale conosciuto anche come certificato del client. Tale certificato viene emesso da una CAmediante un server Web abilitato per SSL. Le chiavi in un file codificato consentono al proprietario delcertificato di codificare, decodificare e firmare i dati. Di solito, le chiavi vengono memorizzate nel browser Web.Con alcune applicazioni è possibile memorizzare le chiavi su smart card o altri supporti.Vedere anchecertificatodigitale.

certificato CAUn certificato accettato dal browser Web, se richiesto, da una CA non riconosciuta. Il browser può quindiutilizzare questo certificato per autenticare le comunicazioni con i server che dispongono dei certificati emessidalla CA.

certificato del serverUn certificato digitale, emesso da una CA per abilitare un server Web a condurre transazioni basate su SSL.Quando un browser si connette a un server mediante l’utilizzo di un protocollo, il server invia al browser la suachiave pubblica. Questo consente l’autenticazione dell’identità del server. Inoltre, questa operazione abilita l’inviodi informazioni codificate al server.Vedere anchecertificato CA, certificato digitalee certificato del browser.

certificato del sitoSimile al certificato CA, ma valido soltanto per un particolare sito Web.Vedere anchecertificato CA.

certificato digitaleUna credenziale elettronica emessa per una persona o una entità da una terza parte protetta. Ogni certificato vienefirmato con la chiave privata della CA. Esso vale per una identità singola, aziendale o organizzativa.In base al ruolo della CA, il certificato può attestare l’autorità del detentore per condurre la transazionee-business su Internet. In un certo senso, un certificato digitale ha lo stesso ruolo di una patente di guida o di undiploma medico. Esso certifica che il detentore della corrispondente chiave privata ha l’autorità per condurrecerte attività e-business.Un certificato contiene informazioni sull’entità che certifica, sia essa un utente, un computer o un programma diun computer. Esso include la chiave pubblica certificata dell’entità.

certificato X.509Uno standard di certificato generale progettato per supportare la gestione protetta e la distribuzione di certificaticon firma digitale su reti Internet protette. Il certificato X.509 definisce le strutture dei dati che comprendono leprocedure per la distribuzione delle chiavi pubbliche che contengono una firma digitale generata da terze partiprotette.


Glossario

certificato X.509 Versione 3Il certificato X.509v3 ha ampliato le strutture dei dati per la memorizzazione e il richiamo delle informazionirelative all’applicazione, alla distribuzione e alla revoca dei certificati, delle informazioni sulle politiche e dellefirme digitali.I processi X.509v3 creano i CRL a formato orario per tutti i certificati. Ogni volta che viene utilizzato uncertificato, X.509v3 consente all’applicazione di controllare la validità del certificato. Inoltre consenteall’applicazione di determinare se il certificato si trova su un CRL. I CRL di X.509v3 possono essere preparatiper un particolare periodo di validità. Essi possono essere basati anche su altre circostanze che possono invalidareun certificato. Ad esempio, se un impiegato lascia un’organizzazione, il relativo certificato verrà posto sul CRL.

certificazioneIl processo durante il quale una terza parte protetta emette una credenziale elettronica valida per una identitàsingola, aziendale o di una organizzazione.

certificazione digitaleVedere anchecertificazione

certificazione incrociataUn modello di protezione mediante il quale una CA emette a un’altra CA un certificato contenete la chiavepubblica associata alla relativa chiave di firma privata. Un certificato incrociato consente ai sistemi client o alleentità finali in un dominio di amministrazione di comunicare in maniera sicura con altri sistemi client o con altreentità finali in un altro dominio.

CGICommon Gateway Interface.

CGI (Common Gateway Interface)Metodo standard per la trasmissione delle informazioni tra pagine Web e server Web.

chiaveUna utilizzata nella crittografia per cifrare o decifrare le informazioni.

chiave privataLa chiave di una coppia di chiavi pubblica/privata disponibile soltanto per il proprietario. Essa consente alproprietario di ricevere una transazione privata o di generare una firma digitale. I dati firmati con una chiaveprivata possono essere verificati soltanto con la corrispondente chiave pubblica.E’ il contrario di chiavepubblica.Vedere anchecoppia di chiavi pubblica/privata.

chiave pubblicaLa chiave di una coppia di chiavi pubblica/privata disponibile per tutti gli altri. Essa consente di indirizzare unatransazione al proprietario della chiave o di verificare una firma digitale. I dati codificati con una chiave pubblicapossono essere decodificati soltanto con la corrispondente chiave privataE’ il contrario di chiave privata.Vedereanchecoppia di chiavi pubblica/privata.

chiave simmetricaUna chiave che può essere utilizzata sia per la codifica che per la decodifica.Vedere anchecrittografiasimmetrica.

classeNella programmazione o la progettazione dell’oggetto, un gruppo di oggetti che condividono una definizionecomune e pertanto condividono anche proprietà, operazioni e comportamenti.

classe JavaUn unità di codice del programma Java.

cleartextDati che non sono codificati.Sinonimo diplaintext.

client(1) Una unità funzionale che riceve servizi condivisi da un server. (2) Un computer o un programma che richiedeun servizio di un altro computer o programma.


client auditQualsiasi client del sistema che invia eventi audit al server Audit Tivoli PKI. Prima di inviare un evento, il clientaudit stabilisce una connessione con il server Audit. In seguito a ciò, il client utilizza la libreria del sistemasecondario per inviare gli eventi al server Audit.

client/serverUn modello di elaborazione distribuita nel quale un programma di un sito invia una richiesta a un programma suun altro sito e attende la risposta. Il programma che effettua la richiesta è detto client, mentre quello che rispondeè detto server.

codice byteUn codice indipendente dal computer generato dal compilatore Java e che viene eseguito dall’interprete Java.

codifica base64Un mezzo comune per il trasferimento dei dati con MIME.

codifica/decodificaL’utilizzo della chiave pubblica del destinatario per cifrare i relativi dati e quindi l’utilizzo della chiave privatadella coppia per decifrarli.

codificareDisturbare informazioni in modo tale che soltanto chi disponde dell’appropriato codice di decodifica possaottenere le informazioni originali mediante la decodifica di queste ultime.

comunicazione asincronaUna modalità di comunicazione per cui non è necessario che il mittente e il destinatario siano presentisimultaneamente.

controllo dell’integritàIl controllo dei record audit che derivano da transazioni con componenti esterni.

convalida a catenaLa convalida di tutte le firme CA nella gerarchia della protezione mediante la quale è stato emesso un datocertificato. Ad esempio, se una CA ha emesso i relativi certificati firmati da un’altra CA, entrambe le firmeverranno convalidati durante l’operazione di convalida del certificato presentato dall’utente.

coppia di chiaviLe chiavi corrispondenti utilizzate nella crittografia asimmetrica. Una chiave viene utilizzata per codificarementre l’altra per decodificare.

coppia di chiavi pubblica/privataUna coppia di chiavi pubblica/privata fa parte del concetto di crittografia con coppia di chiavi (introdotto nel1976 da Diffie ed Hellman per risolvere il problema della gestione delle chiavi). Con questo concetto, a ogniutente viene assegnata una coppia di chiavi, una pubblica e una privata. La chiave pubblica di ogni utente è resapubblica mentre la chiave privata di ogni utente resta segreta. Il mittente e il destinatario non devononecessariamente condividere informazioni segrete: per tutte le comunicazioni c’è bisogno soltanto delle chiavipubbliche e nessuna chiave privata viene trasmessa o condivisa. Non è più necessario proteggere i canali dicomunicazione per essere sicuri che non si verifichino problemi. L’unico requisito necessario è che la chiavepubblica sia associata agli utenti in maniera protetta (autenticata), come, ad esempio, in una directory protetta.Chiunque può inviare un messaggio riservato mediante delle informazioni pubbliche. Tuttavia, il messaggio puòessere decodificato soltanto con una chiave privata, di cui è in possesso soltanto il destinatario. Inoltre, èpossibile utilizzare la crittografia a coppia di chiavi non solo per la privacy (codifica) ma anche perl’autenticazione (firme digitali).

credenzialeLe informazioni riservate utilizzate per provare una identità in uno scambio di autenticazione. In ambienti perl’elaborazione di rete, il più comune tipo di credenziale è un certificato creato e firmato da una CA.

crittografiaNella sicurezza del computer, i principi, i mezzi e i metodi per la codifica del plaintext e la decodifica del testocodificato.


Glossario

crittografia asimmetricaLa crittografia che utilizza diverse chiavi asimmetriche per la codifica e la decodifica. Ogni utente riceve unacoppia di chiavi: una chiave pubblica, a cui possono accedere tutti, e una chiave privata, nota soltanto all’utente.Una transazione protetta si verifica quando la chiave pubblica e la relativa chiave privata corrispondono,abilitando così la decodifica della transazione. Questo tipo di crittografia è anche conosciuta come crittografia acoppia di chiave.E’ il contrario di crittografia simmetrica.

crittografia simmetricaLa crittografia che utilizza la stessa chiave sia per la codifica che per la decodifica. La protezione è propria dellachiave, pertanto chiunque dispone della chiave può cifrare e decifrare i messaggi. La comunicazione resta protettafino a che la chiave resta segreta.E’ il contrario di crittografia asimmetrica.

crittograficoRelativo alla trasformazione dei dati per nasconderne il significato.

CRLCertificate Revocation List.

CRL (certificate revocation list)Un elenco di certificati temporanei e firmati che certificano che è stata revocata l’autorità del certificato. Icertificati contenuti nell’elenco devono essere considerati inaccettabili.Vedere anchecertificato digitale.

cronologia azioniEventi accumulati nel ciclo di vita di una credenziale.

D

daemonUn programma che esegue le attività in background. Esso viene implicitamente richiamato quando si verifica unacondizione per cui è necessario. Per un utente non è necessario un daemon, poiché il sistema di solito lo generaautomaticamente. Il daemon può essere sempre presenti oppure il sistema lo può generare a intervalli regolari.Il termine (che si pronunciademon) viene dalla mitologia. In seguito, è stato modificato in un acronimoDAEMON: Disk And Execution MONitor.

database di registrazioneQuesto database contiene informazioni sulle richieste dei certificati e sui certificati emessi. Il database memorizzai dati relativi all’iscrizione e tutte le modifiche effettuate ai dati del certificato per tutta la sua durata. Esso puòessere aggiornato dai processi e dalle politiche dell’RA oppure dai responsabile registrazione.

decodificareAnnullare il processo di codifica.

DEKDocument Encrypting Key.

DEK (Document Encrypting Key)Di solito, una chiave di codifica/decodifica simmetrica, come DES.

DERDistinguished Encoding Rules.

DER (Distinguished Encoding Rules)Fornisce vincoli al BER. Il DER seleziona soltanto un tipo di codifica tra quelle consentite dalle regole dicodifica, eliminando così tutte le opzioni del mittente.

DESData Encryption Standard.

DES (Data Encryption Standard)Un blocco di codifica, definito dal governo degli Stati Uniti nel 1977 come standard ufficiale. Originariamente èstato sviluppato dalla IBM. Il DES è stato ampiamente studiato da quando per le relative pubblicazioni è statocominciato ad utilizzare un sistema di crittografia.


Il DES è un sistema di crittografia simmetrico. Quando viene utilizzato per le comunicazioni, sia il mittente cheil destinatario devono essere a conoscenza della stessa chiave segreta. Tale chiave viene utilizzata per codificare edecodificare il messaggio. Inoltre, è possibile utilizzare il DES per la codifica per un unico utente, come permemorizzare i file su un hard disk in forma codificata. Le dimensioni del blocco del DES sono a 64 bit madurante le operazioni di codifica utilizzano 56 bit. Esso è stato originariamente progettato per l’implementazionenell’hardware. NIST ricertifica il DES come standard della codifica ufficiale degli Stati Uniti ogni cinque anni.

Desktop RAUna applet Java che fornisce alle RA una interfaccia grafica per l’elaborazione delle richieste per le credenziali eper la relativa gestione durante tutta la loro durata.

destinazioneUna origine dati designata o selezionata.

DES triploUn algoritmo simmetrico che codifica il plaintext tre volte. Sebbene esistano molti modi per effettuare questaoperazione, il metodo più sicuro per una codifica multipla è il DES triplo con tre chiavi distinte.

Diffie-HellmanUn metodo per stabilire una chiave condivisa su un supporto non protetto, denominato in base agli inventori(Diffie and Hellman).

DirectoryUna struttura gerarchica organizzata come magazzino globale delle informazioni relative alle comunicazioni(come scambi di crittografia o e-mail). Nella Directory vengono memorizzati elementi specifici necessari per lastruttura PKI, comprese le chiavi pubbliche, i certificati e i CRL (certificate revocation lists).I dati all’interno della Directory sono organizzati gerarchicamente in una struttura ad albero, con la root nellaparte superiore. Spesso, le organizzazioni di livello superiore rappresentano nazioni, governi o a società singole.Gli utenti e le periferiche sono di solito rappresentati come gli elementi trminali di questa struttura ad albero.Ognuno di questi utenti, organizzazioni, località, nazioni e periferiche dispone delle proprie voci. Ogni voce ècostituita dagli attributi immessi. Tali attributi forniscono informazioni relative all’oggetto rappresentato dallavoce.Ogni voce della Directory è collegata a un relativo nome distinto (DN). Esso è univoco se la voce include unattributo conosciuto come univoco per l’oggetto. Si consideri il seguente DN di esempio. La nazione (N) è IT,l’organizzazione (O) è la IBM, l’unità dell’organizzazione (UO) è Sicurezza e il nome comune (CN) è CA1.

C=IT/O=IBM/OU=Sicurezza/CN=CA1

DLData Storage Library.

DL (Data Storage Library)Un modulo che fornisce l’accesso agli archivi dei dati permanenti dei certificati, dei CRL, delle chiavi, dellepolitiche e di altri oggetti relativi alla sicurezza.

DNDistinguished Name.

DN (distinguished name, nome distinto)Il nome univoco della voce dei dati memorizzati nella Directory. Il DN identifica in maniera univoca la posizionedi una voce nella struttura gerarchica della Directory.

dominioVedere anchedominio di protezionee dominio di registrazione.

dominio di protezioneUn gruppo (una società, un team o un gruppo di lavoro, formativo ogovernativo) i cui certificati sono stati emessidalla stessa CA. Gli utenti che dispongono di certificati firmati dalla stessa CA sono tutti protetti.

dominio di protezioneUn insieme di entità i cui certificati sono stati emessi dalla stessa CA.


Glossario

dominio di registrazioneUn insieme di risorse, politiche e opzioni di configurazione relativo a particolari processi per la registrazione diun certificato. Il nome del dominio è un sottoinsieme dell’URL utilizzato per eseguire funzione di registrazione.

DSADigital Signature Algorithm.

DSA (Digital Signature Algorithm)Un algoritmo di chiave pubblica utilizzato come parte del DSS (Digital Signature Standard). Non è possibileutilizzare questo algoritmo per la codifica: esso è valido soltanto per le firme digitali.

E

e-businessTransazioni aziendali su reti e mediante computer. Esso include la compravendita di beni e servizi. Esso include ifondi di trasferimento mediante le comunicazioni digitali.

e-commerceTransazioni business-to-business. Comprende la compravendita di beni e servizi su Internet (con compratori,venditori, fornitori e altro). Questo è un elemento principale dell’e-business.

entità finaleL’oggetto di un certificato che non è una CA.

estensione del certificatoUna funzione opzionale del formato del certificato X.509v3 che fornisce la possibilità di includere ulteriori campinel certificato. Sono disponibili estensioni standard ed estensioni definite dall’utente. E’ possibile utilizzare leestensioni standard per le informazioni delle politiche e delle chiavi, per gli attributi di emissione e dell’oggetto ei vincoli del percorso di certificazione.

extranetUn derivato di Internet che utilizza la stessa tecnologia. Le società applicano la pubblicazione su Web, ilcommercio elettronico, la trasmissione dei messaggi e il groupware a più gruppi di clienti, partner e personaleinterno.

F

firewallUn gateway tra le reti che riduce il flusso di informazioni che passano tra le reti stesse. Di solito, lo scopo di unfirewall è proteggere le reti interne dall’uso esterno non autorizzato.

firmaPer utilizzare la propria chiave privata per generare una firma. La firma è un mezzo per provare la responsabilitàe per approvare il messaggio che si sta firmando.

firma del codiceUna tecnica di firma di programmi eseguibili con firme digitali. La firma del codice è progettata per migliorarel’affidabilità del software distribuito su Internet.

firma digitaleUn messaggio codificato aggiunto a un documento o a dati che garantisce l’identità del mittente.Una firma digitale fornisce un livello di protezione maggiore di quello offerto da una firma fisica. Questo perchéuna firma digitale non è un nome codificato o una serie di semplici codici di identificazione. Esso è invece unriepilogo codificato del messaggio che viene firmato. Pertanto, l’apposizione di una firma digitale in unmessaggio fornisce una completa identificazione del mittente. (Soltanto la chiave del mittente può creare lafirma.) Essa determina il contenuto del messaggio firmato (il riepilogo del messaggio firmato deve corrispondereal contenuto del messaggio altrimenti la firma non è valida). Pertanto, non è possibile copiare una firma da unmessaggio e applicarla a un altro, in quanto il riepilogo o l’hash potrebbero non corrispondere. Qualsiasimodifica ai messaggi firmati potrebbe invalidare la firma.


firma/verificaLa firma è per utilizzare una chiave privata digitale per generare una firma. La verifica è per utilizzare lacorrispondente chiave pubblica per verificare la firma.

FTPFile Transfer Protocol.

FTP (File Transfer Protocol)Un protocollo client/server Internet da utilizzare per il trasferimento di file tra computer.

funzione di registrazioneUna struttura dell’applicazione Tivoli PKI che fornisce mezzi specializzati per l’iscrizione di entità (browser,routers, e-mail e applicazioni client protette) e per la gestione dei certificati per tutta la loro durata.

G

gatewayUna unità funzionale che consente alle reti non compatibili di comunicare tra loro.

gerarchiaL’organizzazione della CA (Certificate Authorities) all’interno di una catena di protezione; essa inizia con la CAfirmata automaticamente o con la root e termina con la CA che emette i certificati per gli utenti.

gerarchia CAIn Tivoli PKI, una struttura protetta nella quale una CA è posizionata nella parte superiore e un massimo di altrequattro CA secondarie sono posizionate nella parte inferiore. Quando gli utenti o i server si registrano a una CA,viene ricevuto un certificato firmato dalla CA stessa ed ereditano la gerarchia dei certificati dei livelli precedenti.

H

HTMLHypertext Markup Language.

HTTPHypertext Transaction Protocol.

Hypertext Markup Language (HTML)Un linguaggio di evidenziazione per la codifica delle pagine Web. Esso si basa su SGML.

Hypertext Transaction Protocol (HTTP)Un protocollo client/server Internet per il trasferimento su Web di file ipertestuali.

I

ICLIssued Certificate List.

ICL (Issued Certificate List)Un elenco completo dei certificati emessi e del relativo stato corrente. I certificati sono contrassegnati da unnumero seriale e dallo stato. Tale elenco viene gestito e memorizzato nel database della CA.

ID di richiestaUn valore ASCII a 24-32 caratteri che identifica in maniera univoca una richiesta di certificato per la RA. Questovalore può essere utilizzato in una transazione per la richiesta di un certificato per richiamare lo stato dellarichiesta o il certificato stesso.

ID di transazioneUn identificativo fornito dalla RA in risposta a una richiesta di iscrizione di preregistrazione. Esso consenteall’utente che esegue l’aaplicazione Client Tivoli PKI di ottenere il certificato preapprovato.


Glossario

IETF (Internet Engineering Task Force)Un gruppo basato sull’ingegneria e sullo sviluppo di protocolli per Internet. Esso rappresenta una comunitàinternazionale di progettisti di rete, operatori, fornitori e ricercatori. L’IETF è coinvolto nello sviluppodell’architettura e il semplice utilizzo di Internet.

IniEditorIn Tivoli PKI, uno strumento utilizzato per modificare i file di configurazione.

integritàUn sistema protegge l’integrità dei dati se vengono evitate le modifiche non autorizzate (a differenza dellaprotezione della riservatezza dei dati che evita un’apertura non autorizzata).

InternetUna raccolta mondiale delle reti che forniscono connessioni elettroniche tra computer. Ciò consente a tali reti dicomunicare tra loro mediante dei dispositivi software come posta elettronica o browser Web. Ad esempio, alcuneuniversità si trovano su una rete mediante la quale possono comunicare con altre reti simili per formare la reteInternet.

intervallo di pubblicazione CRLImpostato nel file di configurazione della CA, tale intervallo è l’intervallo di tempo che passa tra pubblicazioniperiodiche del CRL nella Directory.

intranetUna rete all’interno di un’azienda che di solito si trova dietro a un firewall. Una rete derivata della rete Internetche utilizza una tecnologia simile. Tecnicamente, una intranet è una piccola estensione di Internet. Tra queste visono HTML e HTTP.

ipertestoTesto che contiene parole, frasi o immagini che possono essere selezionate con il mouse per richiamare evisualizzare un altro documento. Tali parole, frasi o immagini sono meglio conosciute come collegamentiipertestuali. Il relativo richiamo è anche detto collegamento.

IPSecUno standard Internet Protocol Security, sviluppato da IETF. IPSec è un protocollo di rete a strati, progettato perfornire servizi di protezione di crittografia che supportano in maniera flessibile combinazioni di autenticazione,integrità, controllo dell’accesso e riservatezza. A causa delle funzioni di massima autenticazione, questoprotocollo è stato adottato da molti fornitori di prodotti VPN che lo utilizzano come protocollo per stabilireconnessioni point-to-point protette su Internet.

iscrizioneIn Tivoli PKI, il processo di rilevamento delle credenziali da utilizzare su Internet. L’operazione di iscrizionecomprende la richiesta, il rinnovo e la revoca dei certificati.

ISOInternational Standards Organization.

ISO (International Standards Organization)Un’organizzazione internazionale per lo sviluppo e la pubblicazione degli standard per qualsiasi elemento, daibicchieri per il vino ai protocolli di rete dei computer.

istanzaIn DB2 una istanza è un ambiente logico di gestione del database per la memorizzazione dei dati e l’esecuzionedelle applicazioni. Essa consente la definizione di un gruppo di parametri di configurazione per più database.

ITUInternational Telecommunication Union.

ITU (International Telecommunication Union)Un’organizzazione internazionale mediante la quale i governi e il settore privato coordinano reti e servizi ditelecomunicazioni globali. Questo è il principale ente per la pubblicazione delle informazioni relative aglistandard, alla regolazione e alla tecnologia delle telecomunicazioni.


J

JavaUn insieme di tecnologie per la rete adatte a tutte le piattaforme sviluppate dalla Sun Microsystems, Incorporated.L’ambiente Java è costituito dal sistema operativo Java, le macchine virtuali per varie piattaforme, dal linguaggiodi programmazione Java per gli oggetti e diverse librerie di classi.

JVM Java Virtual Machine (JVM)La parte dell’ambiente runtime Java responsabile per l’interpretazione dei codici byte.

K

KeyStoreUn DL per la memorizzazione delle credenziali dei componenti Tivoli PKI come le chiavi e i certificati, informato codificato.

L

LDAPLightweight Directory Access Protocol.

LDAP (Lightweight Directory Access Protocol)Un protocollo utilizzato per accedere alla Directory.

linguaggio JavaUn linguaggio di programmazione, sviluppato dalla Sun Microsystems, progettato specificamente per l’utilizzo inapplet e applicazioni agente.

listener PKIXIl server HTTP pubblico utilizzato da un particolare dominio di registrazione per ascoltare le richiestedell’applicazione Client Tivoli PKI.

M

MACMessage Authentication Code.

MAC (Message Authentication Code)Una chiave segreta condivisa tra il mittente e il destinatario. Il mittente autenticate mentre il destinatario verifica.In Tivoli PKI, le chiavi MAC vengono memorizzate nei KeyStore per la CA e i componenti Audit.

maschera del processo aziendaleUn gruppo di oggetti del processo aziendale che vengono eseguiti in un particolare ordine.

MD5Una funzione hash per i messaggi unidirezionale, progettata da Ron Rivest. Tale funzione è una versionemigliorata MD4. MD5 elabora il testo di immissione in blocchi a 512 bit, divisi a loro volta in blocchi da 16 o32 bit. L’emissione dell’algoritmo è impostato come quattro blocchi da 32 bit, che vengono concatenati performare un unico valore hash da 128 bit. Essa viene utilizzata anche insieme a MD2 nei protocolli PEM.

MD2Una funzione hash per i messaggi a 128 bit progettata da Ron Rivest. Essa viene utilizzata con MD5 neiprotocolli PEM.

MD4Una funzione hash per i messaggi a 128 bit progettata da Ron Rivest. Tale funzione è molto più veloce di MD2.

MIME (Multipurpose Internet Mail Extensions)Un gruppo disponibile di specifiche che consentono l’interscambio di testo in lingue diverse da quella del set dicaratteri. Esso consente inoltre la comunicazione via e-mail tra diversi sistemi di computer che utilizzano glistandard di posta Internet. Ad esempio, i messaggi e-mail possono contenere set di caratteri diversi da US-ASCII,testo arricchito, immagini e suoni.


Glossario

modello di protezioneUna convenzione di strutturazione che regola come le CA certificano altre CA.

moduliNel sistema di crittografia della chiave pubblica RSA il prodotto (n) dei due numeri primi:p andq. Ledimensioni migliori per un modulo RSA dipendono dai requisiti di protezione. Più grande è il modulo, maggioresarà la protezione. Le dimensioni delle chiavi consigliate da RSA Laboratories dipendono dall’utilizzo pianificatodella chiave: 768 bit per un uso personale, 1024 bit per un uso corporativo e 2048 bit per chiavi molto preziosecome la coppia di chiavi di una CA. Una chiave a 768 bit dovrebbe essere protetta almeno fino all’anno 2004.

N

National Language Support (NLS)Supporto all’interno di un prodotto per le differenze nelle l ocali, compresi la lingua, la valuta, la data e ilformato orario e la numerazione.

National Security Agency (NSA)Il corpo di protezione ufficiale del governo degli Stati Uniti.

NISTNational Institute of Standards and Technology, meglio conosciuto come NBS (National Bureau of Standards).Esso promuove gli standard aperti e l’interoperabilità tra le industrie basate sui computer.

NLSNational Language Support.

nonceUna stringa inviata da un server o un’applicazione che richiede l’autorizzazione dell’utente. L’utente a cui èrichiesta l’autenticazione firma la stringa nonce con una chiave privata. La chiave pubblica dell’utente e la noncefirmata vengono restituite al server o all’applicazione che ha richiesto l’autenticazione. Il server quindi prova adecifrare la nonce firmata con la chiave pubblica dell’utente. Se la nonce decifrata è la stessa della nonceoriginale che è stata inviata, allora l’utente viene autenticato.

non rifiutoL’utilizzo di una chiave privata digitale per evitare che al firmatario di un documento venga notificato,falsamente, di non aver firmato.

NSANational Security Agency.

O

ODBCOpen Database Connectivity.

oggettoNella programmazione o la progettazione di un oggetto, l’incapsulamento astratto dei dati e le operazioniassociate ai dati stessi.Vedere ancheclasse.

oggetto del processo aziendaleUna parte del codice utilizzato per compiere una particolare operazione di registrazione, come il controllo dellostato di una richiesta di iscrizione o la verifica dell’invio di una chiave pubblica.

OID (Object Identifier)Un valore assegnato dall’amministratore dei dati del tipo definito nella ASN.1 (Abstract Syntax Notation 1).

Open Database Connectivity (ODBC)Uno standard per l’accesso ai diversi sistemi del database.

Open Systems Interconnect (OSI)Il nome degli standard di rete dei computer approvati da ISO.


OSIOpen Systems Interconnect.

P

PEMPrivacy-Enhanced Mail.

PKCS #1Vedere anchePublic Key Cryptography Standards.

PKCSPublic Key Cryptography Standards.





PKIPublic Key Infrastructure.

PKIXUna PKI basata su X.509v3.

PKIX Certificate Management Protocol (CMP)Un protocollo che consente le connessioni con le applicazioni conformi a PKIX. Il protocollo PKIX CMP utilizzaTCP/IP come meccanismo di trasporto principale, ma esiste anche un’astrazione su socket. Ciò consente ilsupporto per un ulteriore trasporto del polling.

PKIX CMPprotocollo di gestione del certificato PKIX.

plaintextI dati non codificati.Sinonimo dicleartext.

politicaIn un funzione di registrazione un programma di un’organizzazione richiamato dall’applicazione di registrazione.Le regole specificate in una politica applicano l’azienda e le opzioni di protezione al processo di iscrizione.

politiche del certificatoUn gruppo denominato di regole che indica la possibilità di applicare un certificato a una particolare classe diapplicazioni che hanno dei requisiti di protezione comuni. Ad esempio, una politica del certificato potrebbeindicare se un particolare tipo di certificato consente a un utente di eseguire transazioni relative a merciall’interno di un determinato intervallo di prezzi.

preregistrazioneIn Tivoli PKI, un processo che consente a un utente, di solito un amministratore, di iscrivere altri utenti. Se larichiesta viene approvata, la RA fornisce le informazioni che consentono all’utente di ottenere il certificatoall’ultimo momento utilizzando l’applicazione Client Tivoli PKI.

privacyLa protezione rispetto a una apertura dei dati non autorizzata.


Glossario

privacy-enhanced mail (PEM)Lo standard di posta per la privacy su Internet che l’IAB (Internet Architect Board) ha adottato per fornire postaelettronica protetta su Internet. I protocolli PEM forniscono la gestione della codifica, dell’autenticazione,dell’integrità di messaggi e delle chiavi.

processo di registrazioneIn Tivoli PKI, i passaggi per la convalida di un utente, in modo che l’utente stesso e la relativa chiave pubblicapossano essere certificati e possano quindi partecipare alle transazioni. Questo processo può essere effettuato inlocale oppure può essere basato su Web e può essere gestito in maniera automatizzata o manuale.

profilo del certificatoUn gruppo di caratteristiche che definiscono il tipo di certificato desiderato (come i certificati SSL o IPSec). Ilprofilo facilita la gestione della registrazione e della specifica del certificato. L’issuer può modificare i nomi deiprofili e specificare le caratteristiche del certificato desiderato, come il periodo di validità, l’utilizzo della chiave,i vincoli del DN e così via.

protocolloUna convenzione accordata per la comunicazione tra computer.

Public Key Cryptography Standards (PKCS)Standard informale tra i fornitori sviluppato nel 1991 da RSA Laboratories con i rappresentanti di vari fornitori dicomputer. Questi standard comprendono la codifica RSA, l’accordo Diffie-Hellman, la codifica basata supassword, la sintassi dei certificati estesi, la sintassi dei messaggi di crittografia, la sintassi delle informazionirelative alla chiave privata e la sintassi dei certificati.

¶ PKCS #1 descrive un metodo per la codifica dei dati mediante l’utilizzo del sistema di crittografia di chiavepubblica RSA. L’utilizzo voluto è nella costruzione di firme e di buste digitali.

¶ PKCS #7 specifica un formato generale per i messaggi di crittografia.

¶ PKCS #10 specifica una sintassi standard per le richieste di certificazione.

¶ PKCS #11 definisce una interfaccia di programmazione indipendente dalla tecnologia utilizzata per idispositivi di crittografia, quali le smart card.

¶ PKCS #12 specifica un formato portatile per la memorizzazione o il trasporto delle chiavi private, deicertificati, delle informazioni segrete dell’utente e così via.

public key infrastructure (PKI)Uno standard per il software di protezione basato sulla crittografia con chiave pubblica. PKI è un sistema dicertificati digitali, autorità di certificazione, autorità di registrazione, servizi di gestione dei certificati e servizi didirectory distribuiti. Esso viene utilizzato per verificare l’identità e l’autorità di ogni parte che partecipa aqualsiasi transazione su Internet. Tali transazioni potrebbero comprendere operazioni per le quali è necessaria unaverifica dell’identità. Ad esempio, potrebbero confermare l’origine di offerte per un’asta, gli autori di messaggie-mail o transazioni finanziarie.Con PKI ciò è possibile poiché le chiavi di codifica pubbliche e i certificati degli utenti sono disponibili perl’autenticazione da parte di un singolo o di un’organizzazione valida. Esso fornisce le directory on-line checontengono le chiavi di codifica pubbliche e i certificati utilizzati nella verifica dei certificati digitali, credenzialie firme digitali.PKI fornisce un mezzo per rispondere velocemente ed efficacemente alle interrogazioni di verifica e alle richiesteper le chiavi di codifica pubbliche. Inoltre identifica una eventuale minaccia alla protezione del sistema e gestiscele risorse nei casi in cui si verifica una interruzione della protezione. Infine, PKI fornisce un servizio orariodigitale per le transazioni aziendali di una certa importanza.

R

RARegistration Authority.

RC2Una cifratura a blocchi con dimensioni della chiave variabili progettata da Ron Rivest per RSA Data Security.RCsignifica Ron’s Codeo Rivest’s Cipher. Tale metodo di cifratura è più veloce di DES ed è stato progettatoproprio come metodo sostitutivo del DES. Mediante l’utilizzo delle dimensioni delle chiavi appropriate, può


essere più o meno sicuro rispetto al DES per la ricerca di una chiave esaustiva. Esso dispone di una dimensionedel blocco di 64 bit ed è due o tre volte più veloce di DES per il software. E’ possibile utilizzare RC2 allo stessomodo di DES.Un accordo tra la SPA (Software Publishers Association) e il governo degli Stati Uniti ha assegnato a RC2 unostato speciale. Ciò rende il processo di approvazione di esportazione più semplice e più veloce del solito processodi esportazione di crittografia. Tuttavia, per essere qualificati per una veloce approvazione dell’esportazione, ènecessario che il prodotto limiti le dimensioni della chiave RC2 a 40 bit con alcune eccezioni. Una ulteriorestringa da utilizzare per impedire una possibile codifica della tabella di ricerca.

registration authority (RA)Il software che gestisce i certificati digitali per assicurare che le politiche aziendali di un’organizzazione venganoapplicate dalla ricezione iniziale di una richiesta di iscrizione fino alla revoca della certificazione.

registro auditIn Tivoli PKI, una tabella all’interno del database che memorizza un record per ogni evento audit.

responsabile registrazioneUn utente autorizzato ad accedere al Desktop RA, a gestire i certificati e le richieste dei certificati.

rifiutoPer rifiutare come non vero; ad esempio, per negare di aver spedito un particolare messaggio o inoltrato unaspecifica richiesta.

riservatezzaLa possibilità di non essere divulgato a parti non autorizzate.

RSAUn algoritmo di crittografia di chiave pubblica denominato dai suoi inventori (Rivest, Shamir e Adelman). Vieneutilizzato per la codifica e le firme digitali.

S

scheda PCSimile a una smart card, a volte detta anche scheda PCMCIA. Questa scheda è molto maggiore di una smart carde di solito ha una gran capacità.

schemaRelativo alla Directory, la struttura interna che definisce le relazioni tra i diversi tipi di oggetti.

Secure Electronic Transaction (SET)Uno standard industriale che facilita i pagamenti o gli addebiti con carta di credito su reti non protette. Talestandard comprende l’autenticazione di possessori di carat di credito, commercianti e enti emettitori delle carte dicredito che necessitano dell’emissione di certificati.

Secure Sockets Layer (SSL )Un protocollo di comunicazione standard IETF che comprende servizi di protezione incorporati il più trasparentepossibile per gli utenti. Esso fornisce un canale di comunicazione protetto in maniera digitale.Un server per SSL di solito accetta richieste di connessioni SSL su una porta diversa di quella utilizzata dallerichieste HTTP standard. Il protocollo SSL crea una sessione durante la quale i segnali di scambio per impostarele comunicazioni tra due modem si devono verificare una volta soltanto. In seguito a ciò, la comunicazionerisulta codificata. Il controllo di integrità dei messaggi continua finoa che non scade la sessione SSL.

server(1) All’interno di una rete, una stazione dati che fornisce funzioni per altre stazioni, ad esempio un server deifile. (2) Per un protocollo TCP/IP, un sistema in rete che gestisce le richieste di un sistema su un altro sito, dettoclient/server.

server AuditUn server Tivoli PKI che riceve gli eventi audit dai client audit e li scrive in un registro audit.

server CAIl server per il componente CA (Certificate Authority) Tivoli PKI.


Glossario

server DirectoryIn Tivoli PKI, la Directory IBM. Tale Directory supporta gli standard LDAP e utilizza DB2 come database.

server HTTPUn server che gestisce comunicazioni basate su Web con i browser e altri programmi in una rete.

server proxyUn intermediario tra il computer che richiede l’accesso (computer A) e il computer a cui avviene l’accesso(computer B). Pertanto, se un utente finale effettua una richiesta per accedere a una risorsa dal computer A, larichiesta viene diretta al server proxy. Il server proxy effettua a sua volta la richiesta al computer B, ottiene larisposta e la inoltra all’utente finale. I server proxy sono utili per l’accesso alle risorse Web mondiali dall’internodi un firewall.

server RAIl server per il componente Registration Authority Tivoli PKI.

server WebUn programma del server che risponde alle richieste per l’accesso alle risorse delle informazioni da programmibrowser.Vedere ancheserver.

servletUn programma del server che offre ai server Java ulteriori funzioni.

SETSecure Electronic Transaction.

SGMLStandard Generalized Markup Language.

SGML (Standard Generalized Markup Language)Uno standard per la descrizione dei linguaggi di evidenziazione. L’HTML si basa su SGML.

SHA-1 (Secure Hash Algorithm)Un algoritmo progettato da NIST e NSA per l’utilizzo con DSS (Digital Signature Standard). Lo standard è unoSecure Hash Standard; SHA è l’algoritmo utilizzato dallo standard. SHA produce una funzione hash a 160 bit.

sistema secondario auditIn Tivoli PKI, un sistema secondario che fornisce il supporto per la registrazione delle azioni importanti per lasicurezza. Tale sistema è conforme agli standard X9.57, degli standard impostati inPublic Key Cryptography forthe Financial Services Industry.

smart cardUn pezzo hardware, di solito con le dimensioni di una carta di credito, utilizzat per la memorizzazione dellechiavi digitali di un utente. Una smart card può essere protetta da una password.

S/MIMEUno standard che supporta la firma e la codifica dei messaggi e-mail trasmessi su Internet.Vedere ancheMIME.

SMTPSimple Mail Transfer Protocol.

SMTP (Simple Mail Transfer Protocol)Un protocollo che trasferisce posta elettronica su Internet.

SSLSecure Sockets Layer.

struttura internaVedere ancheschema.

T

TCP/IPTransmission Control Protocol/Internet Protocol.


TCP/IP (Transmission Control Protocol/Internet Protocol)Un insieme di protocolli di comunicazione che supportano funzioni di connettività peer-to-peer per LAN (localarea network) e WAN (wide area network).

tipoVedere anchetipo di oggetto.

tipo di oggettoIl tipo di oggetto che può essere memorizzato nella Directory. Ad esempio, un’organizzazione, una sala riunioni,una periferica, una persona, un programma o un processo.

Tivoli PKIUna soluzione di protezione IBM integrata che supporta l’emissione, il rinnovo e la revoca dei certificati digitali.Tali certificati possono essere utilizzati in una vasta gamma di applicazioni Internet, fornendo un mezzo checonsente di autenticare gli utenti e che assicura comunicazioni protette.

TPTrust Policy.

traccia auditI dati, inseriti in un percorso logico, che consentono il collegamento a una serie di eventi. Una traccia auditconsente il controllo delle transazioni o della cronologia di una particolare attività.

trusted computer base (TCB)Gli elementi software e hardware che impongono le politiche di protezione del computer dell’organizzazione.Qualsiasi elemento o parte di un elemento che può effettuare un rinforzo alla politica di protezione è rilevanteper la protezione e fa parte del TCB. Il TCB è un oggetto collegato dai parametri di protezione. I meccanismirelativi alle politiche di protezione non devono essere aggirabili e devono impedire ai programmi di accedere aiprivilegi di sistema per i quali non sono autorizzati.

tunnelNella tecnologia VPN, una connessione point-to-point virtuale su richiesta effettuata mediante Internet. Durantetale connessione, gli utenti remoti possono utilizzare il tunnel per scambiare le informazioni incapsulate,codificate e protette con i server sulla rete privata corporata.

U

UnicodeUn set di caratteri a 16 bit definito da ISO 10646. Lo standard di codifica dei caratteri Unicode è un codice per icaratteri internazionali per l’elaborazione delle informazioni. Lo standard Unicode comprende i principali scriptmondiali e fornisce la base per l’internazionalizzazione e la localizzazione del software. Tutto il codice di originedell’ambiente di programmazione Java è scritto in Unicode.

URLUniform Resource Locator.

URL (Uniform Resource Locator)Uno schema per l’indirizzamento delle risorse su Internet. L’URL specifica il protocollo, il nome host ol’indirizzo IP. Inoltre include il numero di porta, il percorso e i dettagli della risorsa necessari per accedere a unarisorsa da un particolare computer.

UTF-8Un formato di trasformazione. Esso abilita i sistemi per l’elaborazione delle informazioni che gestiscono soltantoset di caratteri a 8 bit a convertire Unicode a 16 bit in un codice equivalente a 8 bit e al contrario senza alcunaperdita di informazioni.

V

variabile di iscrizioneVedere ancheattributo di iscrizione.


Glossario

VPNVirtual Private Network.

VPN (Virtual Private Network)Una rete di dati privata che utilizza Internet piuttosto che una linea telefonica per stabilire una connessioneremota. Poiché gli utenti accedono alle risorse delle reti corporate mediante un ISP (Internet Service Provider)piuttosto che mediante una compagnia telefonica, i costi di accesso remoto per le organizzazioni vengonosignificativamente ridotti. Una VPN inoltre migliora la protezione degli scambi di dati. Con la tecnologiatradizionale dei firewall è possibile codificare soltanto il contenuto dei messaggi e non gli indirizzi di origine e didestinazione. Nella tecnologia VPN invece gli utenti possono stabilire una connessione tunnel nella quale l’interopacchetto di informazioni (contenuto e intestazione) viene codificato e incapsulato.

W

WebSphere Application ServerUn prodotto IBM che facilita gli utenti nello sviluppo e nella gestione dei siti Web ad elevate prestazioni. Essofacilita il passaggio da una semplice pubblicazione Web ad applicazioni Web e-business avanzate. WebSphereApplication Server è costituito da un motore servlet basato su Java indipendente dal server Web e dal sistemaoperativo.

WWW (World Wide Web)La parte di Internet in cui viene stabilita una rete di connessioni tra computer che contengono materialimultimediali. Tali materiali forniscono informazioni e collegamenti per altri materiali disponibili su WWW eInternet. E’ possibile accedere alle risorse WWW mediante un programma browser Web.

X

X.500Uno standard per effettuare un servizio di directory replicato, distribuito e a più scopi mediante l’interconnessionetra sistemi di computer. Definito da ITU (International Telecommunications Union), meglio conosciuto comeCCITT, e da ISO/IEC (International Organization for Standardization and International Electro-ChemicalCommission).


Indice analitico

Aaccesso alle directory 18applicazione conforme a PKIX 8, 18applicazioni sicure 20Argomenti delle informazioni 15Argomenti delle procedure 5argomenti di Riferimenti 21attributi, record di database 17autenticazione 20

Bbackup di chiave, richiesta 13backup e ripristino, chiave 20

CCA (Certificate Authority) 3, 17campi, modulo di registrazione 21campi dei moduli di registrazione 21certificato 18

categorie 18esecuzione di backup 13gestione dalla pagina Web di registrazione 11non rinnovabile 19per l’utilizzo dei servizi di iscrizione 5per l’utilizzo dei servizi di registrazione 19record di database 16richiesta dalla pagina Web di iscrizione 5rinnovabile 19ripristino 13tipi 24

certificato browser 19certificato CA 5Certificato CA 19certificato del browser di Internet Explorer 6certificato del browser di Netscape 6certificato di dispositivo 7, 19certificato di server 7, 19certificato digitale 18

categorie 18esecuzione di backup 13gestione dalla pagina Web di registrazione 11non rinnovabile 19per l’utilizzo dei servizi di iscrizione 5per l’utilizzo dei servizi di registrazione 19record di database 16richiesta dalla pagina Web di iscrizione 5rinnovabile 19ripristino 13

certificato digitale (Continua)tipi 24

certificato non rinnovabile 19certificato rinnovabile 19certificazione 17

certificazione incrociata 17gerarchia 17

certificazione incrociata 17chi dovrebbe leggere viichiave, compromessa 25chiave compromessa 25ciclo di vita dei certificati 17, 19convenzioni viii

DDB2 16Desktop RA 15, 16dn (distinguished name) 18dominio di registrazione 16

Eelenco controllo accessi 20elenco revoche certificato 18estensioni dei certificati 19estensioni di certificato X.509v3 19

Ffile di firma 20file di preregistrazione 10file PKCS #12, esecuzione di backup 13file PKCS #12, ripristino 13, 20firme digitali 20

GGerarchia di CA 17gestione certificato (su Web) 11

preregistrazione 8revoca 12richiesta per il browser 6richiesta per un server o un dispositivo 7rinnovo 11sospensione 11


Indiceanalitico

IID richiesta 6, 7, 8informazioni su questo manuale viiinformazioni sulla prefazione vii

Mmotivi per la revoca 25

NNotifica e-mail 6, 7, 8, 21

Ppagina Web, registrazione 3, 5

accesso 5campi dei moduli di iscrizione 21Certificato CA per l’utilizzo 19controllo stato registrazione 10ID richiesta 6, 7, 8scenario per la preregistrazione 15Tipi di iscrizione 15URL 5

Pagina Web di richiesta di backup di chiave 13Pagina Web di richiesta di ripristino chiave 13pagina Web per la registrazione 3, 5

accesso 5campi dei moduli di iscrizione 21Certificato CA per l’utilizzo 19controllo stato registrazione 10ID richiesta 6, 7, 8scenario per la preregistrazione 15Tipi di iscrizione 15URL 5

panoramica 3periodo di validità 24politica aziendale 16preregistrazione 15

controllo stato registrazione 10scenario per le attività 15

protocolli 18protocollo, accesso alle directory 18protocollo LDAP 18pubblicazioni

prodotti di sicurezza Tivoli ix

RRA 16record dei database di registrazione 3, 16, 17

attributi 17

record dei database di registrazione(Continua)gestione da parte della RA 3

record di database, registrazione 3, 16, 17attributi 17gestione da parte della RA 3

Registration Authority 3, 16registrazione 16

automatizzata 16dalla pagina web di iscrizione 5necessario per 3politiche 16requisiti di sistema 25Supporto browser Web 16

requisiti del browser 25requisiti di sistema

iscrizione browser 25responsabile registrazione 15, 16restrizioni all’iscrizione 21revoca

dalla pagina Web di registrazione 12motivi per 25

richiesta, registrazione 3ciclo di vita 17dalla pagina Web di iscrizione 5dominio di registrazione 16gestione da parte della RA 3modulo di registrazione 15preregistrazione 15record del database di registrazione 17Supporto browser Web 16valutazione 16valutazione automatizzata 16

richiesta di backup, emissione chiave 13richiesta di certificato per il browser 6richiesta di certificato PKCS 10 21richiesta di certificato PKCS n.10 19richiesta di registrazione 3

ciclo di vita 17dalla pagina Web di iscrizione 5dominio di registrazione 16gestione da parte della RA 3modulo di registrazione 15preregistrazione 15record del database di registrazione 17Supporto browser Web 16valutazione 16valutazione automatizzata 16

richiesta di ripristino, emissione chiave 13riepilogo delle

convenzioni utilizzate viiirinnovabilità 19rinnovo

dalla pagina Web di registrazione 11ripristino, chiave 20ripristino chiave, richiesta 13ripristino di chiave 20risorse sicure 3, 20Risposta Challenge 6, 7, 8, 10Risposta di verifica 21


Sscopo del certificato 24servizio clienti ixsezioni, modulo di iscrizione 6, 7sezioni, modulo di registrazione 8Sito Web per

prodotti di sicurezza Tivoli ixTivoli Public Key Infrastructure ix

Sito Web per leinformazioni per la gestione della sicurezza ixSupporto del servizio clienti Tivoli ix

sospendere, ponendo il certificato indalla pagina Web di registrazione 11

supporto, clienti Tivoli ixsupporto browser 16Supporto browser Web 15, 16

Ttipi di certificato 24tipo di certificato 24Tivoli

informazioni su Web per la gestione della sicurezza ixServizio clienti ix

Tivoli PKIinformazioni su Web ix

Tivoli PKI, sommario 1

UURL

dominio di registrazione 16pagina Web per l’iscrizione 5richiesta di backup di chiave 13richiesta di ripristino chiave 13

utenti vii

Vvariabili dei processi commerciali 19


Indiceanalitico

Printed in U.S.A

SH13-0559-03

Tivoli Public Key...

Documents

Transcript of Tivoli Public Key...