Manual de Configuração -...

IBM®

SecureWay®

Trust Authority

Manual de ConfiguraçãoVersão 3 Release 1.2

S517-6878-01

IBM

Nota!Antes de utilizar estas informações e o produto suportado por elas, leia as informações gerais em “Avisos” na página 49.

Segunda Edição (Junho de 2000)

Essa edição se aplica ao IBM SecureWay Trust Authority, programa 5648-D09, versão 3 release 1 modificação 2 e atodos os releases e modificações subseqüentes até que seja indicado o contrário em novas edições.

© Copyright International Business Machines Corporation 1999, 2000. Todos os direitos reservados.

Índice

Capítulo 1. Sobre o Trust Authority . . . 1

Capítulo 2. Visão Geral . . . . . . . . 3

Capítulo 3. Como Fazer para...? . . . . 5Preparar para a Configuração. . . . . . . . . 5

Configurar a Estação de Trabalho . . . . . . 5Coletar Dados de Configuração . . . . . . . 6

Configurar o Sistema . . . . . . . . . . . 9Executar o Assistente de Configuração. . . . . 9Executar CfgStart no AIX . . . . . . . . . 11Executar o CfgStart no Windows NT . . . . . 11Importar Dados de Configuração . . . . . . 12Configurar Servidores Remotos . . . . . . . 13Especificar DNs por meio da Digitação . . . . 14Utilizar o Editor DN . . . . . . . . . . 16Exibir Mensagens de Configuração . . . . . 18Verificar a Configuração . . . . . . . . . 18

Preparar para a Produção. . . . . . . . . . 20Proteger o Assistente de Configuração . . . . 20Alterar Permissões do Directory no AIX . . . . 20Alterar Senhas do Servidor . . . . . . . . 21Editar Arquivos de Configuração . . . . . . 21Autorizar Registradores . . . . . . . . . 22Fazer Backup do Sistema Trust Authority . . . 22

Personalizar o Domínio de Registro . . . . . . 22Reconfigurar o Sistema . . . . . . . . . . 23Utilizar o Trust Authority com o Policy Director . . 23Remover Instalação do Trust Authority . . . . . 24

Remover Instalação do AIX . . . . . . . . 24Remover Instalação do Windows NT . . . . . 27

Capítulo 4. Fale-me sobre... . . . . . . 29Auditoria . . . . . . . . . . . . . . . 29Autoridades de Certificados . . . . . . . . . 30Bancos de Dados DB2 . . . . . . . . . . . 30Diretórios . . . . . . . . . . . . . . . 31

Árvores do Programa Directory . . . . . . 31DNs da Raiz . . . . . . . . . . . . . 32Administradores do Directory . . . . . . . 32

Conexões PKIX CMP . . . . . . . . . . . 33Domínios de Registro . . . . . . . . . . . 33Conexões SSL . . . . . . . . . . . . . 34Servidores da Web . . . . . . . . . . . . 35Co-processadores 4758. . . . . . . . . . . 35

Capítulo 5. Referência . . . . . . . . 37Opções de Inicialização . . . . . . . . . . 37Opções de Importação . . . . . . . . . . . 37Opções de Senha do Programa Trust Authority . . 38Opções dos Servidores CA e de Auditoria . . . . 39Opções da Chave de CA . . . . . . . . . . 39Opções do Servidor Directory . . . . . . . . 41Opções da Raiz do Directory . . . . . . . . 41Opções do Administrador do Directory . . . . . 42Opções de Domínio de Registro . . . . . . . 43Opções do Servidor Public Web . . . . . . . 44Opções do servidor Secure Web . . . . . . . 44Opções do Trust Authority Client . . . . . . . 45Resumo de Configuração . . . . . . . . . . 45Salvar Dados de Configuração . . . . . . . . 45Processo de Configuração . . . . . . . . . 46Alternativas de Teclado para Ações do Mouse . . . 47Considerações sobre o Idioma Nacional . . . . . 48

Avisos . . . . . . . . . . . . . . . 49Marcas e Marcas de Serviço . . . . . . . . . 50

Informações Relacionadas . . . . . . 53

Glossário . . . . . . . . . . . . . 55

Índice Remissivo . . . . . . . . . . 67

© Copyright IBM Corp. 1999, 2000 iii

iv Trust Authority: Manual de Configuração

Capítulo 1. Sobre o Trust Authority

O IBM®

SecureWay®

Trust Authority fornece aos aplicativos meios para autenticarusuários e assegurar comunicações confiáveis:v Ele permite que as organizações emitam, publiquem e administrem certificados

digitais, de acordo com seus critérios de registro e certificação.v O suporte para os padrões criptográficos PKIX (Public Key Infrastructure para

X.509 versão 3) e CDSA (Common Data Security Architecture) permiteinteroperabilidade de fornecedores.

v Assinatura digital e protocolos seguros fornecem os meios para autenticar todasas partes em uma transação.

v Recursos de registro com base em navegador e em cliente proporcionamflexibilidade máxima.

v Comunicações criptografadas e armazenamento seguro de informações deregistro asseguram confiabilidade.

Um sistema Trust Authority pode ser executado em plataformas de servidor IBMAIX/6000

®

e Microsoft Windows NT. Ele inclui os seguintes recursos chave:v Um CA (Autoridade de Certificado) confiável que gerencia o ciclo de vida

completo de certificação digital. Para garantir a autenticidade de um certificado,o CA assina digitalmente cada um que emite. Ele também assina listas derevogação de certificado (CRLs) para garantir que um certificado não é maisválido. Para aumentar a proteção de sua chave de assinatura, você pode utilizarhardware criptográfico, como o Co-processador Criptográfico PCI 4758 IBMSecureWay.

v Um RA (Autoridade de Registro) manipula as tarefas administrativas por trás doregistro de usuário. O RA garante que somente certificados que suportam suasatividades comerciais são emitidos e que eles são emitidos somente parausuários autorizados. As tarefas administrativas podem ser manipuladas atravésde processos automatizados ou da decisão do usuário.

v Uma interface de inscrição com base na Web facilita a obtenção de certificadospara navegadores, servidores e outros objetivos, como dispositivos de redeprivada virtual (VPN), cartões inteligentes e e-mail seguro.

v Um aplicativo do Windows, o Trust Authority Client, permite que usuários finaisobtenham e gerenciem certificados sem utilizar um navegador da Web.

v Uma interface de administração com base na Web, o RA Desktop, permite queregistradores autorizados aprovem ou rejeitem pedidos de inscrição eadministrem certificados após terem sido emitidos.

v Um subsistema de Auditoria calcula um código de autenticação da mensagem(MAC) para cada registro de auditoria. Se dados de auditoria forem alterados ouexcluídos após terem sido gravados no banco de dados de auditoria, o MACpermitirá detectar a violação.

v Saídas de critério permitem que desenvolvedores de aplicativos personalizem osprocessos de registro.

v Suporte integrado para um mecanismo criptográfico. Para autenticarcomunicações, os principais componentes do Trust Authority são assinados comuma chave privada gerada na fábrica. Objetos de segurança, como chaves eMACs, são criptografados e armazenados em áreas protegidas chamadasKeyStores.

© Copyright IBM Corp. 1999, 2000 1

v Suporte integrado para o IBM SecureWay Directory. O programa Directoryarmazena informações sobre certificados válidos e revogados em um formatocompatível com LDAP.

v Suporte integrado para o IBM WebSphere™

Application Server e o IBM HTTPServer. O servidor da Web trabalha com o servidor RA para criptografarmensagens, autenticar pedidos e transferir certificados para o destinatáriopretendido.

v Suporte integrado para o IBM DB2®

Universal Database premiado.

2 Trust Authority: Manual de Configuração

Capítulo 2. Visão Geral

Após instalar o software Trust Authority, você deve executar o Assistente deConfiguração para configurar o sistema para seu ambiente. Por exemplo, énecessário especificar onde os diferentes programas do servidor foram instaladospara que eles possam se comunicar.v Selecione um tópico da seção ″Como Posso...?″ para aprender sobre tarefas

relacionadas à configuração, como a de definir nomes distintos, verificar oprocesso de configuração e preparar o sistema para liberação em um ambientede produção.

v Selecione um tópico da seção ″Fale-me sobre...″ para aprender sobre os conceitosnecessários na configuração do sistema. Por exemplo, você pode aprender comoo programa Trust Authority interage com o Directory para obter instruções paraa utilização do hardware criptográfico.

v Selecione um tópico da seção ″Referência″ para aprender sobre os valores quepodem ou devem ser especificados durante a execução do Assistente deConfiguração.

Para obter as informações mais recentes sobre o produto, consulte o arquivo Leiame antes de começar a configurar o sistema. A versão mais recente do arquivo Leiame está disponível na página do site IBM SecureWay Trust Authority:http://www.tivoli.com/support


http://www.tivoli.com/support

Capítulo 3. Como Fazer para...?

Os tópicos nesta seção mostram como configurar o programa IBM SecureWay TrustAuthority. As tarefas comuns incluem:v Coleta de informações necessárias para configurar seu sistemav Utilização do Editor de Nomes Distintos para definir DNsv Configuração dos programas do servidor Trust Authority e bancos de dados em

máquinas remotasv Importação de um conjunto de valores de configuração para um novo sistema

Trust Authorityv Verificação da configuração correta do sistema

Após configurar o sistema, você deve rever os vários tópicos que podem ajudá-lo acolocar o novo sistema Trust Authority em modo de produção. Também estãodisponíveis procedimentos para remoção da instalação do software do produto,caso você decida que precisa removê-lo do sistema.

Preparar para a ConfiguraçãoAntes de começar a configurar o programa IBM SecureWay Trust Authority, vocêprecisa assegurar-se de que sua estação de trabalho esteja configuradacorretamente para executar o Assistente de Configuração. Também é necessárioreunir informações sobre seu ambiente para que seja possível fornecer as respostasapropriadas no Assistente de Configuração.

Releia as diretrizes nas seções a seguir para garantir que você esteja pronto parainiciar o processo de configuração.

Configurar a Estação de TrabalhoPara melhor desempenho, você deve executar o Assistente de Configuração emuma máquina que é separada da máquina servidora do Trust Authority. Dessamaneira, você garante que a quantidade máxima de recursos do sistema estejadisponível para execução do applet.

Para executar o Assistente de Configuração, a IBM recomenda a seguinteconfiguração de estação de trabalho:v Configuração da máquina física:

– Processador Intel Pentium com pelo menos 96 MB de RAM ou mais– Um monitor que suporte resoluções 1024x768 ou superiores com 65536 cores

ou maisv Um dos seguintes sistemas operacionais:

– IBM AIX– Microsoft Windows 95, Windows 98 ou Windows NT

v Um navegador da Web que suporte applets com base em JDK 1.1, tais como:– Netscape Navigator e Netscape Communicator, versão 4.05 ou posterior– Microsoft Internet Explorer, versão 4.01 ou posterior

v O programa Java Swing Library (swingall.jar) versão 1.1, instalado localmente.Se você ainda não tem essa versão da biblioteca, pode fazer download ao acessaro URL do Assistente de Configuração. Veja detalhes na seção “Executar oAssistente de Configuração” na página 9.


Considerações do Navegador:É necessário instalar a versão oficial do navegador, conforme distribuídapela Netscape ou pela Microsoft. As versões obtidas de terceiros podemnão exibir as informações de forma correta, especialmente durante aexecução do applet em um idioma que não seja o inglês.

Se você precisar executar o Assistente no servidor Trust Authority e seestiver executando-o em uma plataforma Windows NT, será necessárioutilizar o Microsoft Internet Explorer versão 5.0 ou posterior. Odesempenho do applet em um navegador Netscape é muito mais lento.

Se você precisar executar o Assistente de Configuração com um navegadorNetscape e se estiver executando-o em uma plataforma AIX, nãoconseguirá exibir o progresso do processo de configuração. Observe que oprograma de configuração executa uma conclusão bem-sucedida, mas vocênão conseguirá exibir o status do processo conforme ele progride.

Certifique-se de que seu navegador não utiliza um proxy HTTP paraacessar o servidor Trust Authority. Se ele utilizar, o applet poderáexperimentar vários tempos limites que podem fazer com que a exibiçãodo progresso de configuração falhe.

Coletar Dados de ConfiguraçãoDurante a configuração, o Assistente de Configuração solicita a você informaçõesmostradas no “Formulário de Dados de Configuração do Trust Authority” napágina 7. Você deve reunir essas informações antes de iniciar o processo deconfiguração.

Se você pretende instalar mais de um servidor Trust Authority, é possível imprimiro formulário e registrar suas opções. Ele pode ajudá-lo a identificar o conjuntoespecífico de valores de configuração que você deseja importar para uma novainstalação.

Nota: O Assistente de Configuração fornece valores padrão para várias opções deconfiguração. Na maioria dos casos, você deve aceitar esses valores.Altere-os apenas se tiver certeza da necessidade de alteração.


Formulário de Dados de Configuração do Trust Authority

Janela Descrição Valor Padrão Seu Valor

Importar Dados deConfiguração

Nome de um arquivo dedados de configuração quevocê deseja importar.

Nenhuma.

Senha do Trust Authority Senha para os componentesdo servidor. Deve conter 8caracteres.

Nenhuma.

Servidor CA e de Auditoria Nome do host virtual ouendereço IP do servidor.

Nome do hostcompletamente qualificadodo servidor RA

Porta de escuta para oservidor CA.

1830

Porta de escuta para oservidor de Auditoria.

59998

DN para o CA. /C=US/O=YourOrganization/OU=TrustAuthority/CN=TrustAuthority CA

Chave de CA Algoritmo de assinatura deCA.

sha–1WithRSAEncryption v sha-1WithRSAEncryption

Tamanho da chave de CA. 1024 v 1024

Este CA deve utilizar ohardware 4758?

Não v Simv Não

Se utilizar o hardware 4758,o tamanho da chave deRSA.

1024 v 512v 768v 1024v 2048

Deseja armazenar a chavede CA no hardware 4758?

Não (recomendado) v Simv Não

Servidor Directory Nome do host virtual ouendereço IP do servidor.


Porta de escuta parapedidos do Directory.

389

Deseja utilizar umDirectory existente?

Não v Simv Não

DN da Raiz do Directory DN da raiz do Directory. /C=US/O=YourOrganization/OU=TrustAuthority/CN=Ldap RootDN

Senha da raiz do Directory. Nenhuma. Se você instalouo Directory anteriormente,ela deve corresponder àsenha da raiz existente.

Capítulo 3. Como Fazer para...? 7

Janela Descrição Valor Padrão Seu Valor

Administrador do Directory DN do administrador doDirectory.

/C=US/O=YourOrganization/OU=TrustAuthority/CN=DirAdmin

Senha do administrador doDirectory.

Nenhuma. Se você instalouo Directory anteriormente,ela deve corresponder àsenha do administradorexistente.

O administrador doDirectory deveria atualizaro programa?

Sim (recomendado) v Simv Não

Domínio de Registro Nome de domínio. Nãopode conter espaços.

YourDomain

Idioma do domínio. Inglês

Diretório de instalação dodomínio.

AIX: /usr/lpp/iau/pkrf/Domains

Windows NT: c:\Arquivosde Programas\IBM\TrustAuthority\pkrf\Domains

Servidor Público da Web Nome do host virtual ouendereço IP do servidor.


Porta de escuta parapedidos que não requeremcriptografia ouautenticação.

80

Servidor Seguro da Web,sem Autenticação doCliente

Nome do host virtual ouendereço IP do servidor.


Porta de escuta parapedidos SSL que nãoprecisam ser autenticadospelo cliente.

443

Servidor Seguro da Web,com Autenticação doCliente

Nome do host virtual ouendereço IP do servidor.


Porta de escuta parapedidos SSL que devem serautenticados pelo cliente.

1443

Cliente PKIX Porta de escuta parapedidos de PKIX CMP deaplicativos cliente.

829

Salvar Dados deConfiguração

Nome do arquivo para oarquivo de dados deconfiguração. Digite umnome que suporteconvenções do AIX ouWindows NT. Não digiteuma extensão do arquivo.

DatabaseBackup


Configurar o SistemaAo configurar o IBM SecureWay Trust Authority, especifique opções para aconfiguração do software em seu ambiente. Os tópicos nesta seção discutem asdiferentes formas de configurar os componentes do Trust Authority. Eles tambémmostram como salvar valores de configuração que sejam reutilizados em umainstalação do Trust Authority posterior. Os tópicos que você deve rever incluem osseguintes:v Execução do Assistente de Configuraçãov Importação de dados de configuraçãov Configuração de servidores remotosv Especificação de DNs por digitaçãov Uso do Editor DN para especificar DNsv Exibição de mensagens de configuraçãov Verificação da configuração

Executar o Assistente de ConfiguraçãoQuando estiver pronto para iniciar a configuração, utilize este procedimento parainiciar e executar o Assistente de Configuração.

1. Assegure-se de que seu navegador esteja pronto para executar o applet. Estaetapa é crítica. Consulte a seção “Configurar a Estação de Trabalho” napágina 5 antes de prosseguir.

2. Inicie sessão como o usuário de configuração do Trust Authority (tipicamente,cfguser).

3. Acesse o URL onde foi instalada a página de índice para o applet. Noexemplo a seguir, secure_Web_server identifica uma porta de servidor da Webseguro na máquina onde você instalou o código principal do Trust Authority:https://secure_Web_server:81/

4. Responda às solicitações do navegador para aceitar um certificadoauto-assinado.v Se estiver utilizando um navegador Netscape, será solicitado que você

aceite um Novo Certificado de Site. Clique em Avançar repetidamente atéchegar em Concluir para aceitar o certificado. Quando solicitado, você deveescolher a opção Aceitar este certificado permanentemente (até que eleexpire).

v Se estiver utilizando o Internet Explorer, aparecerá uma mensagemindicando que o emissor do certificado é desconhecido. Clique em Sim paraaceitar o certificado e continuar.

5. O navegador apresenta informações sobre o Assistente de Configuração, comoinformações sobre download e instalação da versão de Swing, necessária parao applet.

Nota: Se ainda não o fez, faça download e configure o Swing em seu sistemaantes de prosseguir. Você deve verificar se o arquivo swingall.jar foicorretamente instalado. Após incluir a variável CLASSPATH noambiente do sistema, é necessário reiniciar o navegador antes de tentarcarregar o applet de configuração.

Em algumas ocorrências, o Microsoft Internet Explorer pode renomear oarquivo como swingall..jar durante o download. Para resolver oproblema, você pode renomear o arquivo como swingall.jar ou fazerdownload do arquivo novamente.


6. Quando tiver certeza de que sua estação de trabalho está pronta para começaro processo de configuração, clique no link CfgSetupWizard.html.

Nota: Após iniciar o applet, seja paciente. Você deve aguardar até que oapplet carregue completamente o banco de dados de configuração antesde tentar inserir os dados em quaisquer campos.

No Microsoft Internet Explorer, o Java Console (se você escolherexibi-lo) pode mostrar uma exceção de segurança longa. Isso podeacontecer, se o Swing UI Manager tentar carregar um arquivo depropriedade que não seja acessível para applets feitos download. Vocêpode ignorar essa exceção inofensiva.

7. Avance pelo applet especificando os valores e clicando em Avançar paracontinuar. Na maioria dos casos, você pode aceitar os valores padrão exibidos.v Se você digitar um valor incorreto ou tentar continuar antes de fornecer as

informações em um campo obrigatório, o applet exibirá uma mensagem.Enquanto você não fornecer o valor, o símbolo de seta a seguir indicará queestão faltando dados necessários no campo:

v Ocasionalmente, um campo de entrada de texto pode ser selecionado,embora ele não contenha o texto. Quando isso acontece, você fica impedidode digitar caracteres no campo. Para resolver esse problema, pressione atecla Home para redefinir a seleção do campo de texto e libere-a paraaceitar o texto.

v À medida que você move o cursor sobre um campo, o applet exibe umabreve linha de auxílio para o campo.

v Para exibir mais informações descritivas sobre todos os campos em umadeterminada janela, clique no botão Auxílio a qualquer momento.

v Para exibir informações detalhadas sobre a configuração do Trust Authority,clique no ícone do manual a seguir enquanto exibe o auxílio online. Essaação abre este manual, o Trust Authority Manual de Configuração.

8. Após salvar os valores de configuração, você deve clicar no botão Concluir.Essa ação inicia os programas de configuração (CfgStart), atualiza os arquivosde configuração do servidor e cria os bancos de dados requeridos. Consulte“Executar CfgStart no AIX” na página 11 e “Executar o CfgStart no WindowsNT” na página 11 para obter mais informações sobre o processo deconfiguração.

Nota: Se você não clicar em Concluir, o applet não conseguirá exportar osvalores para um arquivo de configuração. Ele também não conseguiráexibir uma página de pós-configuração que contenha informações quepossam ajudá-lo a validar a configuração e iniciar a utilização do TrustAuthority.

9. Releia as mensagens de status à medida que o programa de configuração éexecutado. Se você instalou algum componente em máquinas remotas, verámensagens orientando uma ação no sistema remoto antes que o processopossa continuar.

10. Existem várias etapas após a configuração que devem ser executadas paraverificar e proteger o sistema antes de utilizá-lo. Consulte a seção “Verificar aConfiguração” na página 18 e “Preparar para a Produção” na página 20 paraobter detalhes.


Executar CfgStart no AIXApós especificar os valores de configuração no Assistente de Configuração e clicarem Concluir, o programa CfgStart é iniciado automaticamente.

Se você instalou o Trust Authority em uma configuração de várias máquinas, seránecessário reler “Configurar Servidores Remotos” na página 13 e certificar-se deexecutar o CfgStart em cada máquina na ordem correta.

A saída do processo de configuração é salva nos seguintes arquivos:v /usr/lpp/iau/logs/instCfg.log. Esse é o arquivo que você deve rever em um

sistema de produção típico.v /usr/lpp/iau/logs/AIXCfgStart.out. Esse arquivo contém mensagens de saída

de nível de depuração que você deverá utilizar somente se existir umanecessidade de determinação de problema.

v /usr/lpp/iau/logs/AIXCfgStart.err. Esse arquivo contém mensagens de erro denível de depuração que você deverá utilizar somente se existir uma necessidadede determinação de erros.

Após o CfgStart ser iniciado, o Assistente de Configuração poderá por enganoretornar uma mensagem de erro, indicando que o processo de configuração noservidor AIX falhou. Você deve clicar em OK na caixa de diálogo de mensagem eignorar a mensagem. Não clique no botão Concluir novamente. Em vez disso,observe o arquivo AIXCfgStart.out para certificar-se de que a configuração estáprosseguindo. Quando as mensagens no arquivo AIXCfgStart.out indicam que aconfiguração do Trust Authority foi concluída com êxito, clique em Concluir paraexportar seus valores para um arquivo de configuração.

Nota: Se você determinar que ocorreu um erro real (por exemplo, se precisarincluir espaço em disco), envie o problema. Quando você clica em Concluirnovamente, a configuração deve continuar do ponto em que parou.

Se você configurar o navegador para utilizar um servidor proxy, que não érecomendado, será possível iniciar acidentalmente mais de uma ocorrência doprograma CfgStart. Você poderá informar que isso ocorreu, caso veja várias linhasde descrição do processo como resultado da execução do seguinte comando:ps -deaf | grep -v grep | grep CfgStart

O resultado da execução do comando acima deve parecer com a seguinte linha:root 24012 23502 60 16:51:02 - 0:48 /usr/lpp/iau/bin/CfgStart -i

Se mais de uma ocorrência estiver sendo executada, você deverá cancelar oprocesso CfgStart extra (ou seja, aquele com a marca de hora posterior) digitando ocomando a seguir, onde process_ID é o número que segue a raiz da palavra nasaída da amostra anterior:cancelar process_ID

Executar o CfgStart no Windows NTSe você instalou o Trust Authority no Windows NT, deverá iniciar manualmente oprograma CfgStart após clicar no botão Concluir no Assistente de Configuração.

Se você instalou o Trust Authority em uma configuração de várias máquinas, seránecessário reler “Configurar Servidores Remotos” na página 13 e certificar-se deexecutar o CfgStart em cada máquina na ordem correta.


Utilize o procedimento a seguir para executar o CfgStart. O exemplo mostra ocaminho de instalação padrão; seu sistema pode ser diferente:1. Abra uma janela de comando do MS DOS.2. Mude para o subdiretório bin do caminho de instalação do Trust Authority. Por

exemplo:cd "c:\Arquivos de Programa\IBM\Trust Authority\bin"

3. Se desejar capturar a saída detalhada ou prolixa, modifique as propriedades dajanela de comando do MS DOS: Selecione a guia Layout e aumente a Altura doTamanho do Buffer da Tela para 9999.

4. Digite um dos seguintes comandos:CfgStart (utilize para processamento padrão)CfgStart -i (utilize para obter informações prolixas)

Enquanto CfgStart estiver sendo executado, você pode ter problemas com asjanelas que não estão sendo fechadas corretamente. Se isso ocorrer, aguarde oprocesso de configuração terminar e, em seguida, saia de quaisquer janelas abertas.

Além disso, se você estiver executando o processo de configuração em umamáquina desligada (tal como aquela com menos de 96 MB de RAM), poderáreceber um erro indicando que o CfgStart não conseguirá iniciar a ocorrência doIBM HTTP Server para o domínio de registro. Realmente, a ocorrência do HTTPServer (que é o componente final configurado pelo programa CfgStart) écorretamente iniciada, mas o comando de verificação foi excedido. Todos osprogramas do Trust Authority estão sendo executados, mas o CfgStart nãoconsegue limpar as senhas no banco de dados de configuração. Se esse problemaocorrer, você deverá executar uma das seguintes ações:v Execute o CfgStart.exe novamente. Neste momento, ele deve concluir e limpar

com êxito as senhas no banco de dados. Isso acontece porque a ocorrência doHTTP Server para o domínio de registro já está sendo executada (da chamadaanterior para CfgStart.exe), que previne que o comando de verificação sejaexcedido.

v Ignore o problema e complete os procedimentos para verificar a configuração eobter um certificado.

Importar Dados de ConfiguraçãoPara facilitar a capacidade de configurar vários sistemas Trust Authority comconfigurações semelhantes, o Assistente de Configuração salva seus valores deconfiguração em um arquivo exportável. Posteriormente, você poderá importaresse arquivo e usá-lo como linha de base para configurar outro sistema TrustAuthority.

Se pretende instalar o Trust Authority em vários servidores e executar umaconfiguração semelhante em cada um, é possível aproveitar esse recurso. Acapacidade de importar configurações também facilita migração de um sistemaexistente que foi configurado para um release anterior do Trust Authority.

Notas:

v Se você tentar importar dados de configuração para um sistema jáconfigurado, todos os dados existentes serão destruídos.

v Ao importar dados de configuração, você poderá importá-los somentepara um sistema que esteja sendo executado no mesmo sistemaoperacional. Por exemplo, você não poderá importar um arquivo dedados de configuração que contém valores para uma plataforma AIX eutilizá-lo para configurar o Trust Authority no Windows NT.


Utilize o seguinte procedimento como uma diretriz para importar dados deconfiguração.1. Instale o Trust Authority em uma máquina. Anote o nome que atribuiu ao

arquivo de dados ao salvar os dados de configuração.2. Instale uma nova instância do Trust Authority em uma máquina diferente.3. Copie o arquivo de dados de configuração da primeira máquina Trust

Authority para a segunda máquina.v No AIX, o caminho padrão para armazenar arquivos de dados de

configuração é: /usr/lpp/iau/cfg/cfgdb/v No Windows NT, o caminho padrão para armazenar arquivos de dados de

configuração é: c:\Arquivos de Programas\IBM\Trust Authority\cfg\cfgdb\

4. Inicie o Assistente de Configuração na nova máquina. A primeira janela solicitaque você especifique se deseja importar dados de configuração de umainstalação anterior. Clique na caixa de opções para indicar que deseja importar.

5. A próxima janela o instrui a selecionar o arquivo de dados de configuração quevocê deseja utilizar para esta instalação. Selecione o arquivo que copiou paraesta máquina.

6. Você também deve especificar se está instalando um novo servidor TrustAuthority ou migrando dados de uma versão anterior do produto.

7. Quando clicar em Avançar para continuar, o Assistente de Configuraçãoocupará as janelas restantes no applet com informações do arquivo que vocêimportou.

8. Altere seletivamente os poucos valores que precisam ser diferentes para estainstalação do Trust Authority.

Configurar Servidores RemotosSe você instalou os servidores CA, de Auditoria e Directory na mesma máquinaque o servidor Trust Authority principal e o servidor RA, os programas deconfiguração serão executados sem solicitar informações.

Se você instalou qualquer componente do servidor em uma máquina remota, oAssistente de Configuração fará uma pausa quando atingir o ponto em que essecomponente precisa ser configurado. Você deve ir para essa máquina e executar oprograma de configuração solicitado antes de continuar com a configuração noservidor Trust Authority principal.

Utilize o procedimento a seguir como uma diretriz para configurar os componentesremotos após clicar no botão Concluir no Assistente de Configuração:1. Observe o progresso na coluna Status. Quando o applet atingir um ponto onde

um componente que precisa ser configurado não estiver no servidor TrustAuthority, ele exibirá a mensagem Parcialmente Configurado. Ele tambémexibirá uma janela de mensagem informando qual o próximo componente queprecisa ser configurado.

2. Siga as instruções na mensagem exibida e vá para a máquina remotaespecificada. Você deve configurar os componentes na seguinte ordem:a. Servidor RA (inicia a configuração do servidor Trust Authority principal)b. Servidor Directory (cria um banco de dados para os dados do Directory e

configura o Directory)c. Servidor CA e de Auditoria (cria bancos de dados para os dados CA e de

Auditoria)


d. Servidor RA (cria um banco de dados para dados de registro e configura oRA)

e. Servidor CA e de Auditoria (configura o subsistema CA e de Auditoria; oCA é iniciado no final desse processo)

f. Servidor RA (configura a inscrição e configura os HTTP e WebSphereApplication Servers)

3. Se estiver executando o AIX, digite os seguintes comandos na máquina remotapara catalogar o banco de dados de configuração, ondeTrustAuthorityServerName é o nome do host do servidor Trust Authorityprincipal:cd /usr/lpp/iau/bin (este é o caminho padrão para este programa)CfgPostInstall -r

4. Altere para o diretório do programa de configuração do Trust Authority eexecute o programa CfgStart como cfguser.v No AIX, o caminho padrão para este programa é:

/usr/lpp/iau/bin/CfgStart

v No Windows NT, o caminho padrão para esse programa é: c:\Arquivos dePrograma\IBM\Trust Authority\bin\CfgStart

O programa CfgStart cria o banco de dados necessário no servidor remoto eexecuta tarefas de configuração adicionais. Quando ele atinge o ponto em quenão pode continuar, é exibida uma mensagem que o instrui a retornar aoservidor Trust Authority principal.

5. Vá para o servidor principal e clique em Continuar na janela de mensagempara prosseguir com o processo de configuração. Se você configurou algumcomponente em uma terceira máquina, a configuração continuará até atingir oponto em que for necessária a configuração desse componente remoto.

6. Repita as etapas anteriores para executar os programas de configuraçãosolicitados naquela máquina remota e, em seguida, retorne para o servidorTrust Authority principal.O Assistente de Configuração exibirá uma mensagem quando todos oscomponentes forem configurados com êxito.

Especificar DNs por meio da Digitação

DicaPara facilitar a especificação de nomes distintos (DNs), o Assistente deConfiguração inclui uma interface gráfica, o Editor de Nome Distinto. Paramaior exatidão, você deve utilizar esta ferramenta para especificar DNs parao Trust Authority ao invés de digitá-los.

Durante a configuração, você deve especificar nomes distintos (DNs) exclusivospara diversos componentes do Trust Authority: o CA, a raiz do Directory oadministrador do Directory. Se não estiver familiarizado com o formato de DNs nopadrão X.509v3, consulte a seção “Utilizar o Editor DN” na página 16 para obterassistência.

Se estiver familiarizado com o padrão X.509v3, você pode digitar os DNs conformese desloca pelo Assistente de Configuração. O Trust Authority suporta os seguintesatributos do DN:


Entrada Comprimento Valor

C= 4 O país onde o objeto do DN está localizado. Issodeve corresponder a uma cadeia definida no padrãoISO 3166.

ST= 128 O estado ou a região onde o objeto do DN estálocalizado.

L= 128 A localidade (cidade ou município) onde o objeto doDN está localizado.

STREET= 128 O endereço onde o objeto do DN está localizado.

O= 64 O nome da organização à qual o objeto deste DN estáassociado.

OU= 64 A unidade dentro da organização à qual o objetodeste DN está associada, como uma divisãocorporativa ou um nome de produto. Um único DNpode conter até quatro atributos OU.

CN= 64 O nome comum para o objeto deste DN, como onome completo de uma pessoa ou o objetivopretendido de um dispositivo.

DC= 64 O componente de domínio, que pode consistir em umou mais RDNs (nomes distintos relativos). Cada RDNcontém um componente do nome de domínio dainternet da entidade, com o componente maissignificativo listado primeiro. Por exemplo, o nomede domínio da internet ″CS.UCL.AC.UK″ pode sertransformado em/DC=UK/DC=AC/DC=UCL/DC=CS.

Ao digitar o DN, você deve respeitar os seguintes requisitos de formato do DN:v Você deve atribuir um nome descritivo ou comum para identificar o objeto.

Todos os outros atributos são opcionais.v Embora CN= seja o único atributo requerido, um DN não pode ser composto

apenas pelo atributo CN; o DN deve conter um outro atributo além do atributoCN=.

v Digite o atributo CN= por último.v Coloque antes de cada atributo uma barra (/), incluindo a primeira entrada.v Não utilize um separador de fechamento.v Se um valor contiver caracteres especiais, coloque entre aspas duplas (″ ″).v Se você incluir atributos de localização, digite-os nesta seqüência: /ST= /L=

/STREET=.v Se você incluir atributos de organização, digite-os nesta seqüência: /O= /OU=.v Você pode intercalar os atributos de localização e organização, desde que

mantenha suas respectivas seqüências.O Trust Authority sugere as seguintes seqüências:– /C=/DC=/ST=/L=/STREET=/O=/OU=/CN= (esse é o formato preferido)– /C=/DC=/ST=/L=/O=/OU=/STREET=/CN=– /C=/DC=/ST=/O=/OU=/L=/STREET=/CN=– /C=/DC=/O=/OU=/ST=/L=/STREET=/CN=


***

É apresentado a seguir um exemplo de uma entrada de DN que utiliza o formatopreferido e o nome de domínio é TRUSTCA.IBM.COM:/C=US/DC=COM/DC=IBM/DC=TRUSTCA/ST=MD/L=Gaithersburg/STREET=800 N. Frederick Avenue/O=IBM/OU=PKI/CN=TrustCA

Consulte Instalação e Uso do Trust Authority para obter mais informações sobre comoo Trust Authority utiliza o Directory.

Utilizar o Editor DNQuando o Assistente de Configuração solicitar que você especifique um DN (nomedistinto), você pode clicar no ícone do Editor DN para iniciar o Editor DN.

Essa interface gráfica com o usuário (GUI) o ajuda a especificar as partes doDN que você deseja incluir. Ela também não exige que você tenha conhecimentosobre a sintaxe do DN. Você simplesmente preenche os espaços em branco para osatributos que deseja incluir no DN e, em seguida, seleciona a partir de uma lista deseqüências de atributos.

O Editor DN divide as partes do DN em várias áreas tabuladas:v Uma coleta informações gerais sobre a pessoa, o programa ou o dispositivo para

o qual o DN está sendo criado (o objeto do DN)v Uma coleta informações sobre a organização que possui o objeto do DNv Uma coleta informações sobre onde o objeto do DN está localizadov Uma identifica o formato seqüencial para as várias partes do DN

Informações Gerais

Nome ComumDigite um nome descritivo para o objeto deste DN. Quando tratarde pessoas, ele é normalmente o nome completo. Para servidores,aplicativos, dispositivos ou outros objetos, você deve atribuir umnome que o ajude a identificar sua função ou proposta.

País Selecione o país onde o objeto deste DN está localizado.

Nome de DomínioDigite o nome de domínio da Internet que identifica essa entrada.

Informações sobre a Organização

Nome da OrganizaçãoOpcionalmente, digite o nome da organização à qual o objeto desteDN está associado. Normalmente, este é o nome legalmenteregistrado da organização. Para incluir uma unidadeorganizacional, você deve primeiro especificar o nome daorganização.

Unidade OrganizacionalOpcionalmente, identifique a unidade dentro da organização à qualo objeto deste DN está associado. Por exemplo, pode ser umadivisão organizacional, como Contas de Clientes ou uma categoriade trabalho, como um nome de produto. Você pode associar umdeterminado DN a até quatro unidades organizacionais.


/iaug.htm

Informações sobre a Localização

Estado ou RegiãoOpcionalmente, identifique o estado ou a região onde o objeto doDN está fisicamente localizado. Também pode ser uma áreageográfica à qual o objeto está associado de uma formasignificativa. Normalmente, esta é a localização da organização àqual o DN está associado.

Se você soletrar o nome completo do estado ou da província ou seutilizar uma abreviatura padrão, dependerá de suas preferências deregistro. Por exemplo, utilize São Paulo ou SP.

LocalidadeOpcionalmente, identifique a cidade ou o município onde o objetodo DN está fisicamente localizado, como por exemplo Chicago ouParis. Também pode ser uma área geográfica que seja significativade alguma forma para o objeto de DN. Para incluir informaçõessobre a localidade, você deve primeiro especificar o estado ou aregião.

EndereçoOpcionalmente, identifique o endereço onde o objeto do DN estálocalizado. Normalmente, esse é o endereço da organização à qualo DN está associado. Para incluir um endereço local, você deveprimeiro especificar a localidade e o nome do estado ou região.

Tipo de Formato:Depois de identificar os atributos que tiram a ambigüidade do DN e otorna exclusivo, é necessário selecionar a seqüência de atributos. Aoselecionar uma opção, o Editor DN exibe um exemplo do aspecto do DNna ordem selecionada.

A seqüência que você escolhe depende totalmente de como suaorganização exibe sua estrutura, as entidades que ela pretende incluir emum determinado domínio administrativo ou como ela pretende utilizar apesquisa e o Directory.

Por exemplo, se sua organização possui escritórios em várias localizações, épossível especificar informações sobre a localização antes das informaçõessobre a organização. Nesta abordagem, uma consulta ao Directory pode serlimitada a entradas pertencentes a uma determinada área geográfica.

Observe que o Editor DN pode mostrar o texto truncado na margemdireita da área de Formato, onde ele exibe o formato do DN. Este é umerro de exibição; ele não impacta o formato atual do DN que está sendocriado.

Localização primeiroEste é o formato padrão e preferido em que todas as informaçõessobre a localização precedem as informações organizacionais. Aseqüência dos atributos é a seguinte:/Nome de domínio/País/Estado ou província/Localidade/EndereçoOrganização/Unidade organizacional/Nome comum

O endereço vem após a organizaçãoNeste formato, as informações sobre a organização precedem oendereço local associado ao objeto do DN. A seqüência dosatributos é a seguinte:/Nome de domínio/País/Estado ou província/Localidade/Organização/Unidade organizacional/Endereço/Nome comum


A localidade vem após a organizaçãoNeste formato, as informações sobre a organização precedem acidade ou o município associado ao objeto do DN e seu endereçolocal. A seqüência dos atributos é a seguinte:/Nome de domínio/País/Estado ou província/Organização/Unidade organizacional/Localidade/Endereço/Nome comum

O Estado ou região vem após a organizaçãoNeste formato, as informações sobre a organização precedem asinformações sobre a localização. A seqüência dos atributos é aseguinte:/Nome de domínio/País/Organização/Unidade organizacional/Estado ou província/Localidade/Endereço/Nome comum.

Exibir Mensagens de ConfiguraçãoApós clicar no botão Concluir para iniciar o processo de configuração, uma sériede programas de configuração é executada. Esses programas aplicam os valores deconfiguração especificados aos diversos componentes do servidor Trust Authority ecriam os bancos de dados dos componentes.

Enquanto o processo de configuração é executado, a coluna Status fornece o statusgeral de cada componente à medida que é configurado.

Para obter informações mais detalhadas sobre o progresso dos programas, cliqueno botão Exibir Mensagens Avançadas.

Detecção de Problemas no Windows NTExiste um arquivo conhecido bloqueando o problema no Windows NT quepode fazer com que o Assistente de Configuração falhe quando tentarrecuperar o conteúdo atual do arquivo de log de configuração de um servidorWindows NT. Ao clicar no botão Exibir Mensagens Avançadas, esseproblema resulta em uma janela de diálogo vazia.

Se esse problema ocorrer, você deverá fechar a janela vazia e clicarnovamente em Exibir Mensagens Avançadas para permitir que o Assistentede Configuração recupere o conteúdo do arquivo de log. Se o problemapersistir, será possível repetir essa ação até que a janela mostre o conteúdo doarquivo de log ou vá para a máquina servidora do Trust Authority e exiba oarquivo de log diretamente. O arquivo de log, instCfg.log, está localizado nosubdiretório de logs da raiz de instalação. O exemplo a seguir mostra ocaminho de instalação padrão:c:\Arquivos de Programa\IBM\Trust Authority\logs\instCfg.log

Verificar a ConfiguraçãoApós o processo de configuração terminar, você precisa confirmar se o sistema estácorretamente configurado. Esse procedimento o instrui a verificar sua habilidadede obter um certificado duas vezes: uma vez após o sistema ter sido inicialmenteconfigurado e novamente após o sistema ter sido completamente encerrado ereinicializado.

1. Quando a configuração está concluída, clique em Sair para sair do Assistentede Configuração.

2. O applet sai para a página Verificação da Configuração do Trust Authority.Clique no link para o site da Web de inscrição.


Se a página Verificação da Configuração não for exibida, será possível acessaro site de inscrição no URL a seguir, onde MyPublicWebServer é o nome do hostdo servidor da Web público e MyDomain é o nome do domínio de registro:http://MeuServidorWebPúblico:80/MeuDomínio/index.jsp

O navegador abre página de índice de inscrição, que na instalação padrão édenominada Central de Credencial. Sua organização pode ter alterado essanomenclatura.

3. Clique no link para instalar o certificado CA do servidor. Esse certificadopermite que seu navegador autentique as comunicações a partir dos serviçosde inscrição. Se você estabelecer conexão aos serviços de inscrição a partirdesse navegador no futuro, poderá omitir esta etapa.

4. Na área Inscrição de Certificado:a. Selecione Tipo de Inscrição → Certificado de navegador.b. Selecione Ação → Inscrever.c. Clique em OK.

5. Siga as instruções online para preencher as duas partes do formulário deregistro.v Ao selecionar o Tipo de Certificado na parte Informações sobre o Registro

do formulário, selecione Autenticação do Cliente Web (1 Ano). Nainstalação padrão, essa ação permite que o pedido de certificado sejatratado por um processo de aprovação automatizado.

v Clique em Instalar Certificado CA para o Navegador. Esse certificadodefine informações específicas para inscrição do navegador. Quando vocêcadastrar certificados do navegador no futuro, poderá omitir essa etapa.Observe que a primeira vez que você cadastra um certificado do servidorou dispositivo, é necessário selecionar essa opção novamente para instalar ocertificado CA que suporta esse tipo de certificado.

6. Quando estiver satisfeito com os dados da inscrição, clique em Enviar Pedidode Inscrição.

7. Siga as instruções online para verificar o status de seu pedido. Certifique-sede colocar um marcador na página de status. Esse é o modo mais fácil deretornar e verificar o status.Para proteção, você deve registrar o ID do pedido que é exibido após o enviodo pedido. Se você especificou que deseja receber uma notificação por e-mailno formulário de inscrição, o ID do pedido será enviado para você.

8. Na primeira vez que você verificar o status após o certificado ter sidoaprovado, ele será automaticamente descarregado e instalado em seunavegador. Siga as instruções online na notificação de aprovação paraconfirmar que ele foi instalado corretamente.

9. Siga os procedimentos no Trust Authority Manual de Administração do Sistemapara encerrar todos os componentes do Trust Authority. Se você instalou oTrust Authority em várias máquinas, certifique-se de encerrar cada programado servidor na ordem correta.

10. Encerre as ocorrências do WebSphere Application Server e do IBM HTTPServer associadas ao Assistente de Configuração, digitando Ctrl-C nasrespectivas janelas.

11. Reinicialize a máquina do Trust Authority principal (o Servidor RA).12. Siga os procedimentos no Trust Authority Manual de Administração do Sistema

para iniciar todos os componentes do Trust Authority. Se você instalou o TrustAuthority em várias máquinas, certifique-se de iniciar cada programa doservidor na ordem correta.


/iaus.htm

/iaus.htm

13. Repita as etapas anteriores (etapa 2 na página 18 até a etapa 8 na página 19)para confirmar novamente sua habilidade de obter um certificado donavegador.

Após instalar com êxito este segundo certificado, o sistema fica pronto para iniciarpedidos de processamento. Para obter informações completas sobre processo deinscrição e os diferentes tipos de certificados disponíveis para usuários, consulte oTrust Authority Manual do Usuário.

Preparar para a ProduçãoApós verificar a instalação de seu novo sistema Trust Authority, existem váriasetapas que devem ser realizadas para finalizar a configuração do sistema eprotegê-lo para um ambiente de produção.v Proteger o Assistente de Configuração.v Alterar permissões do Directory (somente AIX).v Alterar as senhas de servidor.v Editar os arquivos de configuração (somente se necessário).v Autorizar registradoresv Fazer backup do sistema recém configurado.v Personalizar o domínio de registro.v Orientar seus administradores e usuários. Consulte os seguintes manuais para

suporte:– Trust Authority RA Desktop - Manual do Programa, para obter informações sobre

como acessar e utilizar o RA Desktop para administrar certificados.– Trust Authority - Manual do Usuário, para obter informações sobre como

utilizar os formulários de inscrição com base no navegador e o aplicativoTrust Authority Client para obter e gerenciar certificados.

Proteger o Assistente de ConfiguraçãoApós executar o Assistente de Configuração e aplicar os valores de configuração,você deve proteger o applet para que ele não seja executado neste servidor TrustAuthority novamente. Depois de configurar um determinado sistema TrustAuthority, você não pode reconfigurá-lo. Apesar de existirem sinalizadores nosprogramas de configuração para impedir que determinados componentes sejamconfigurados novamente, você pode executar etapas adicionais para proteção doapplet.

Para evitar que o Assistente de Configuração seja executado novamente, énecessário renomeá-lo ou movê-lo para um diretório em que ele não possa serprontamente acessado. Durante a instalação, o Assistente de Configuração éinstalado nas seguintes localizações:v No AIX, o caminho padrão para o applet é:

/usr/lpp/iau/cfg/CfgSetupWizard.html

v No Windows NT, o caminho padrão para o applet é:c:\Arquivos de Programas\IBM\Trust Authority\cfg\CfgSetupWizard.html

Alterar Permissões do Directory no AIXSe você configurou o Trust Authority em uma plataforma AIX, precisará alterar aspermissões de propriedade do arquivo slapd.conf. Durante a configuração, o TrustAuthority define o proprietário de determinados arquivos de configuração doDirectory como cfguser.cfggrp. Você precisa alterar o proprietário para ldap.ldap.


/iauu.htm

/iaud.htm

/iauu.htm

Dessa maneira, você permitirá que o administrador do Directory faça as alteraçõesnecessárias para outros produtos que podem compartilhar o Directory com o TrustAuthority. Para fazer isso, execute as seguintes etapas:1. Inicie sessão como raiz.2. Digite o seguinte comando para alterar os diretórios:

cd /usr/ldap/etc

3. Digite o seguinte comando para definir as permissões de propriedadeapropriadas:chown ldap.ldap slapd.conf

Alterar Senhas do ServidorQuando configurar o Trust Authority, especifique as seguintes senhas:v Uma para proteger os componentes do servidor Trust Authorityv Uma para a raiz do programa Directoryv Uma para o administrador do programa Directory

Você precisa lembrar-se destas senhas para poder executar determinadasferramentas administrativas. Além disso, antes de colocar o sistema no modo deprodução, é necessário executar o utilitário Alterar a Senha e especificar uma senhapara cada componente confiável. Para proteger seu sistema, controle o acesso a elee permita que os componentes sejam iniciados de forma segura. Essa etapa é muitoimportante.

As chaves que permitem que os componentes do servidor sejam autenticados sãoarmazenadas em KeyStores criptografados separados. A primeira vez que executaro utilitário, você deverá especificar a senha que especificou durante a configuração.v Você deve especificar a senha do servidor Trust Authority para acessar a maioria

dos KeyStores de componentes e alterar suas senhas.v Você deve especificar a senha do administrador do programa Directory para

acessar o KeyStore do administrador do Directory e alterar sua senha.

Após a alteração de uma senha, somente o componente autorizado pode acessar oKeyStore e as chaves e dados criptografados nele.

Para obter informações completas sobre a utilização do utilitário Alterar a Senha,consulte o Trust Authority - Manual de Administração do Sistema.

Editar Arquivos de ConfiguraçãoApós salvar os valores de configuração e iniciar o processo de configuração, osprogramas de configuração atualizam diversos arquivos de configuração. Essesarquivos controlam o comportamento em tempo de execução dos componentes doproduto.

Você pode e deve utilizar os valores de configuração conforme definidos durante oprocesso de configuração. No entanto, é possível ajustar determinados valores paraatender melhor às necessidades de seu ambiente operacional. Por exemplo, vocêpode ajustar um tempo limite de servidor ou ajustar um intervalo de polling.

Para facilitar sua capacidade de alterar valores operacionais, o Trust Authorityfornece um utilitário para editar os arquivos de configuração. Antes de usar outilitário IniEditor para alterar um arquivo de configuração, crie um backup doarquivo.


/iaus.htm

Veja informações sobre a edição de arquivos de configuração do Trust Authority einformações sobre os parâmetros que podem ou não ser alterados no TrustAuthority - Manual de Administração do Sistema.

Autorizar RegistradoresO Trust Authority suporta aprovação automatizada para pedidos de registro. Parapermitir que um administrador releia os pedidos e aprove ou rejeite-os conformenecessário, é preciso designar o usuário como um registrador do Trust Authority.Após ser autorizado, o registrador pode executar o RA Desktop para administrarcertificados e pedidos de inscrição. Para suportar sua carga de trabalho de registro,você pode autorizar qualquer quantidade de registradores.

Para facilitar esse processo, o Trust Authority fornece um utilitário de linha decomandos. Quando usar o utilitário add_rauser para autorizar um usuárioadministrativo, identifique o domínio de registro e especifique os privilégios dousuário. Por exemplo, você pode autorizar um registrador apenas a aprovar erejeitar pedidos, mas também pode autorizar outro registrador para revogarcertificados.v Para obter informações sobre como incluir registradores, consulte o Trust

Authority Manual de Administração do Sistema.v Para obter informações sobre como acessar e utilizar o RA Desktop, consulte o

Trust Authority RA Desktop - Manual do Programa.

Fazer Backup do Sistema Trust AuthorityAntes de colocar o sistema em produção, certifique-se de que tenha um backupatual de todos os componentes do servidor e de seus repositórios de bancos dedados. Isso inclui:v O servidor Trust Authority principal, incluindo o RA (Autoridade de Registro),

todos o software principal do Trust Authority e utilitários de suporte e os bancosde dados criados para dados de configuração e registro.

v O servidor Web, incluindo o WebSphere Application Server e o HTTP Server.v O servidor Directory, incluindo o banco de dados do Directory.v Os servidores CA e de Auditoria, incluindo os bancos de dados criados para

dados de CA e de Auditoria.v O co-processador 4758, se instalado e utilizado com a instalação do Trust

Authority.

Para obter informações sobre o backup dos componentes que você pode precisarproteger no Trust Authority, consulte a publicação Trust Authority - Manual deAdministração do Sistema.

Personalizar o Domínio de RegistroO domínio de registro pode utilizar o recurso de registro conforme fornecido como Trust Authority. No entanto, é possível alterar alguns dos formulários deinscrição ou processos de registro para refletir os objetivos específicos de suaorganização para certificação digital. Por exemplo, é possível exibir o logotipo desua empresa nos formulários de inscrição do navegador. Também é possível criarou personalizar um perfil de certificado para que ele suporte uma classe específicade usuários, servidores ou dispositivos que estiverem sendo inscritos.

Após instalar o Trust Authority e executar o Assistente de Configuração, você podepersonalizar muitos dos arquivos que definem o domínio de registro para seus fins


/iaus.htm

/iaus.htm

/iaus.htm

/iaus.htm

/iaud.htm

/iaus.htm

/iaus.htm

comerciais. Como em qualquer tarefa de personalização, assegure-se de fazerbackup de todos os arquivos que planeja alterar.

Você pode personalizar os seguintes arquivos. Durante a configuração, essesarquivos são criados no caminho do diretório para o registro de domínio.v Os arquivos de configuração (tipo de arquivo .cfg) instalados no subdiretório etc.

Por exemplo, você pode ajustar uma configuração operacional para o servidorRA ou o RA Desktop.

v Os exemplos de cartas de notificação (tipo de arquivo .ltr) instalados nosubdiretório etc. O Trust Authority fornece texto de exemplo para informar osusuários quando um pedido foi aprovado ou rejeitado, mas é possível escrever oseu próprio.

v Os arquivos HTML (tipo de arquivo .html), gráfico (tipo de arquivo .gif) e JavaServer Pages (tipo de arquivo .jsp) instalados no subdiretório webpages. Porexemplo, é possível alterar o texto e os gráficos exibidos nos formulários deinscrição do navegador. Você também pode personalizar um perfil de certificadoexistente ou definir um novo perfil para suportar os critérios de certificado desua organização.

v A saída de critério (policy_exit) instalada no subdiretório bin. O programa TrustAuthority fornece essa saída como exemplo de manipulação de processamentode aprovação automatizado. Você pode gravar outras saídas para integrar oprocessamento de registro com outros aplicativos ou para chamar suas própriasações de processamento.

Para obter informações sobre as alterações que podem ser feitas em seu registro enos processos de certificação, e para obter instruções sobre como fazer isso,consulte Trust Authority Customization Guide.

Reconfigurar o SistemaDepois de aplicar valores de configuração e executar os programas de configuraçãopara esta instalação do Trust Authority, você não poderá reconfigurar o sistema.

Você pode editar valores de configuração para alterar determinados controlesoperacionais, mas não pode executar novamente o Assistente de Configuração paraalterar um sistema configurado anteriormente.

Nota: Se você tentar reconfigurar o sistema, estará arriscado a destruir todos osdados de configuração existentes.

Consulte a publicação Trust Authority - Manual de Administração do Sistema paraobter informações sobre os parâmetros de configuração que podem ser atualizadosapós a configuração do sistema.

Utilizar o Trust Authority com o Policy DirectorVocê pode configurar o IBM SecureWay Policy Director para compartilhar oDirectory com o Trust Authority e aceitar certificados assinados por uma CA doTrust Authority. As etapas a seguir resumem o procedimento que você deve seguirpara configurar o Trust Authority e o Policy Director, para que eles possaminteragir e compartilhar recursos seguros.1. Instale e configure o Trust Authority e certifique-se de que esteja funcionando

corretamente.


/iaus.htm

Nota: Para preparar para Policy Director, você deve modificar o DN raiz doDirectory padrão quando executar o Assistente de Configuração. ParaPolicy Director, o DN raiz não pode conter quaisquer espaços. Alémdisso, o DN raiz padrão é longo e criado como uma ramificação noDirectory. Alterá-lo o ajudará a conseguir simetria na árvore doDirectory.

Se você configurou o Trust Authority em uma plataforma AIX,certifique-se de seguir as etapas em “Alterar Permissões do Directory noAIX” na página 20. Procedendo dessa forma, será crítico para suacapacidade configurar o Policy Director para utilizar o Directory.

2. Instale e configure o DCE. Certifique-se de que ele esteja funcionandocorretamente e digite o comando a seguir para confirmar se os serviços do DCEestão disponíveis:dcecp -c cell ping

3. No servidor Directory, crie o Directory nas entradas que são requeridas peloPolicy Director. Certifique-se de que não exista nenhum espaço seguindoquaisquer vírgulas nos DNs. Consulte a documentação do Policy Director paraobter detalhes sobre as entradas requeridas. Como uma diretriz geral:v Configure a porta Admin do Directory e lance as páginas Admin para criar

as entradas do administrador requeridas.v Utilize o console Gerenciamento do Directory para criar as entradas

requeridas adicionais.4. Instale o Netseat e o Policy Director. Certifique-se de que os componentes

estejam ativados, possam se comunicar e estejam funcionando corretamente.

Neste momento, o Trust Authority e o Policy Director são configuradoscorretamente para compartilharem o mesmo Directory.

Remover Instalação do Trust AuthorityUtilize os seguintes procedimentos se precisar remover a instalação do produtoTrust Authority. Por exemplo, é possível remover a instalação de uma versão doTrust Authority configurada para fins de teste antes de instalar um sistema quevocê pretende utilizar em produção.

Separe os procedimentos existentes para as plataformas do servidor suportadas.

Remover Instalação do AIXSe você instalou os componentes do servidor Trust Authority em um sistema AIX,utilize o seguinte procedimento somente se precisar remover o produto. Releia asdiretrizes a seguir, antes de remover o software do Trust Authority:v Se você instalou os componentes em várias máquinas, deverá repetir as etapas a

seguir para remover o software de cada máquina.v Se você receber quaisquer mensagens de erro sobre os processos não existentes,

poderá ignorar as mensagens e continuar. Esse procedimento fornece orientaçãogeral; os processos realmente executados em seu sistema podem ser diferentes.

v Esse procedimento supõe que você utiliza os caminhos da instalação padrão enomes do banco de dados. Se sua instalação for diferente, adapte oprocedimento desta maneira.

1. Digite os seguintes comandos para encerrar os componentes do TrustAuthority:


su - cfgusercd /usr/lpp/iau/bin./Stop_TA.sh

Esse comando deve encerrar o WebSphere Application Server, todas asocorrências httpd associadas ao Trust Authority, ao Servidor RA, ao ServidorCA, ao Servidor de Auditoria e ao Servidor Directory.

2. Encerre todas as ocorrências httpd restantes. Primeiro, utilize o comando pspara listar os processos httpd em execução e, em seguida, utilize o comandokill para encerrá-los. Os itens mostrados abaixo são exemplos de como utilizaresses comandos junto com a saída de amostra.$ ps -ef | grep httpdcfguser 22766 15664 0 15:57:00 pts/3 0:00 grep httpdcfguser 24440 27132 0 14:01:15 - 0:00 /usr/lpp/HTTPServer/sbin/httpd -f

/usr/lpp/iau/etc/httpd-CfgApplet.confcfguser 25752 27132 0 09:08:42 - 0:01 /usr/lpp/HTTPServer/sbin/httpd -f

/usr/lpp/iau/etc/httpd-CfgApplet.confroot 27132 1 0 Oct 09 - 0:12 /usr/lpp/HTTPServer/sbin/httpd -f

/usr/lpp/iau/etc/httpd-CfgApplet.conf$ suSenha da raiz: senha# kill 24440 25752 27132

3. Utilize os comandos ps e kill para identificar e, em seguida, encerrarquaisquer processos slapd restantes pertencentes ao cfguser. Se não existirnenhum slapd na tabela de processos, prossiga com a próxima etapa.# ps -ef | grep slapdcfguser 13942 1 0 09:51:41 pts/1 0:00 /usr/bin/slapd -f /etc/slapd.confroot 24444 22768 0 15:58:48 pts/3 0:00 grep slapd# kill 13942

4. Utilize os comandos ps e kill para identificar e, em seguida, encerrar todos osprocessos pertencentes ao cfguser diferentes dos processos e interfaces doDB2.# ps -ef | grep cfguser | grep -v db2

cfguser 15664 33842 0 15:54:58 pts/3 0:00 -kshcfguser 16270 31674 0 09:20:53 pts/1 0:00 -kshcfguser 20566 1 0 Oct 09 - 0:00 /usr/lpp/HTTPServer/sbin/siddcfguser 21978 1 0 13:59:16 pts/1 0:21 java com/ibm/servlet/engine/outofproc/OutOfProcEngine -nativelogfile /usr/lpp/iau/etc/logs/oop_native.log-native log level 14 -linktype remote -port 8081 -queuename ibmappserve -stublib/usr/WebSphere/AppServer/plugins/aix/libosestub.so -serverlib /usr/WebSphere/AppServer/plugins/aix/libasouts.so

cfguser 11868 1 13 10:21:33 pts/1 0:18 java com/ibm/servlet/engine/outofproc/OutOfProcEngine -nativelogfile /usr/lpp/iau/pkrf/Domains/YourDomain/etc/logs/oop_native.log -nativeloglevel 14 -linktype local -port 8081 -queuenameibmappserve -stublib /usr/WebSphere/AppServer/plugins/aix/libosestub.so-serverlib /usr/WebSphere/AppServer/plugins/aix/libasouts.so

root 22414 22768 0 16:00:23 pts/3 0:00 grep cfgusercfguser 26686 13570 0 15:54:05 pts/3 0:00 -kshcfguser 28748 16270 0 09:22:26 pts/1 0:00 -kshcfguser 29830 16772 0 15:49:54 pts/1 0:00 -kshcfguser 33842 26686 0 15:54:36 pts/3 0:00 -ksh# kill 20566 21978

5. Como cfguser, elimine os bancos de dados do Trust Authority. Os itensmostrados abaixo são exemplos de como utilizar o vídeo de comandos DB2 eeliminar o banco de dados, junto com a saída de amostra.# su - cfguser$ db2(c) Copyright IBM Corporation 1993,1997Processador da Linha de Comandos para DB2 SDK 5.2.0

Você pode emitir os comandos do gerenciador do banco de dados e instruções


SQL do prompt de comandos.Por exemplo: db2 => connect to sampledb2 => bind sample.bnd

Para obter auxílio geral, digite: ?.Para obter auxílio de comandos, digite: ? comando, onde comando pode ser asprimeiras palavras-chavede um comando do gerenciador de banco de dados. Por exemplo:? CATALOG DATABASE para auxílio no comando CATALOG DATABASE? CATALOG

para auxílio em todos os comandos CATALOG.

Para sair do modo interativo do db2, digite QUIT no prompt de comandos.Modo interativo externo, todos os comandos devem ser prefixados com 'db2'.Para listar as definições de opção de comando atuais, digite LIST COMMAND OPTIONS.Para obter auxílio mais detalhado, consulte o Manual de Referência Online.

db2 => list db directory

Diretório do Banco de Dados do Sistema

Número de entradas no diretório = 5

Entrada 1 do banco de dados:Alias do banco de dados = CFGDBNome do banco de dados = CFGDBDiretório do banco de dados local = /local/cfguserNível de release do banco de dados = 8.00Comentário =Tipo de entrada do Diretório = IndiretoNúmero do nó do catálogo = 0

Entrada 2 do banco de dados:Alias do banco de dados = LDAPDBNome do banco de dados = LDAPDBDiretório do banco de dados local = /local/cfguserNível de release do banco de dados = 8.00Comentário =Tipo de entrada do Diretório = IndiretoNúmero do nó do catálogo = 0

Entrada 3 do banco de dados:Alias do banco de dados = IBMDBNome do banco de dados = IBMDBDiretório do banco de dados local = /dbfsibmNível de release do banco de dados = 8.00Comentário =Tipo de entrada do Diretório = IndiretoNúmero do nó do catálogo = 0

Entrada 4 do banco de dados:Alias do banco de dados = ADTDBNome do banco de dados = ADTDBDiretório do banco de dados local = /dbfsadtNível de release do banco de dados = 8.00Comentário =Tipo de entrada do Diretório = IndiretoNúmero do nó do catálogo = 0

Entrada 5 do banco de dados:Alias do banco de dados = PKRFDBNome do banco de dados = PKRFDBDiretório do banco de dados local = /dbfspkrfNível de release do banco de dados = 8.00Comentário =Tipo de entrada do Diretório = IndiretoNúmero do nó do catálogo = 0


db2 => quitDB20000I O comando QUIT foi concluído com êxito.$ db2 force application allDB20000I O comando FORCE APPLICATION foi concluído com êxito.DB21024I Esse comando é assíncrono e pode não ser efetivado imediatamente.$ db2 terminateDB20000I O comando TERMINATE foi concluído com êxito.$ db2 drop database cfgdbDB20000I O comando DROP DATABASE foi concluído com êxito.$ db2 drop database ldapdbDB20000I O comando DROP DATABASE foi concluído com êxito.$ db2 drop database ibmdbDB20000I O comando DROP DATABASE foi concluído com êxito.$ db2 drop database adtdbDB20000I O comando DROP DATABASE foi concluído com êxito.$ db2 drop database pkrfdb

6. Digite os seguintes comandos para encerrar o DB2:$ db2stopO processamento SQL1064N DB2STOP foi bem-sucedido.

7. Como raiz, digite os seguintes comandos para eliminar a ocorrência do bancode dados cfguser:$ suSenha da raiz: senha# /usr/lpp/db2_05_00/instance/db2idrop cfguserDBI1070I O programa db2idrop foi concluído com êxito.

8. Utilize os comandos ps e kill para identificar e, em seguida, encerrar todas asinterfaces que estão sendo executadas como cfguser:# ps -ef | grep cfgusercfguser 15664 33842 0 15:54:58 pts/3 0:00 -kshcfguser 16270 31674 0 09:20:53 pts/1 0:00 -kshcfguser 20570 22768 0 16:02:40 pts/3 0:00 -kshcfguser 26686 13570 0 15:54:05 pts/3 0:00 -kshcfguser 28748 16270 0 09:22:26 pts/1 0:00 -kshcfguser 29830 16772 0 15:49:54 pts/1 0:00 -kshroot 30274 21276 1 16:07:03 pts/3 0:00 grep cfgusercfguser 33842 26686 0 15:54:36 pts/3 0:00 -ksh# kill 15664 16270 20570 26686 28748 3384

9. Digite os seguintes comandos para remover os arquivos cfguser e pkix:rm -rf /local/cfguserrm -rf /usr/pkix

10. Digite o seguinte comando para remover a instalação dos conjuntos dearquivos do programa Trust Authority:installp -u 'ta.*' 'sway.*'

11. Digite o seguinte comando para remover os arquivos do Trust Authority queforam criados:rm -rf /usr/lpp/iau

12. Digite o seguinte comando para encerrar e reinicializar a máquina AIX:shutdown -Fr

Remover Instalação do Windows NTSe você instalou os componentes do servidor Trust Authority em um sistemaWindows NT, utilize o seguinte procedimento somente se precisar remover oproduto. Releia as diretrizes a seguir, antes de remover o software do TrustAuthority:v Se você instalou os componentes em várias máquinas, deverá repetir as etapas a

seguir para remover o software de cada máquina.


v Se você receber quaisquer mensagens de erro sobre os processos não existentes,poderá ignorar as mensagens e continuar. Esse procedimento fornece orientaçãogeral; os processos realmente executados em seu sistema podem ser diferentes.

v Esse procedimento assume a unidade de instalação padrão (c:), o nome dousuário de configuração do Trust Authority (cfguser) e os nomes de bancos dedados do Trust Authority. Se sua instalação for diferente, adapte o procedimentodesta maneira.

1. Selecione Iniciar → Programas → IBM SecureWay Trust Authority → PararTrust Authority.

2. Após garantir que todos os componentes foram encerrados, selecione Iniciar →Definições → Painel de Controle.

3. Dê um clique duplo em Adicionar/Remover Programas.4. Selecione a pasta do programa IBM SecureWay Trust Authority e clique em

Adicionar/Remover.5. Quando solicitada a confirmação da exclusão do programa, clique em Sim.6. Abra uma janela de comando DB2: Selecione Iniciar → Programas → DB2 para

Windows NT → Janela de Comandos.7. Digite os seguintes comandos para remover a instalação da ocorrência e

bancos de dados do Trust Authority:set db2instance=cfguserdb2 force application alldb2 terminatedb2 drop db adtdbdb2 drop db pkrfdbdb2 drop db ibmdbdb2 drop db cfgdbdb2stopdb2idrop cfguserrd /s c:\cfguser

8. Digite os seguintes comandos para remover a instalação da ocorrência e bancode dados do Directory. Observe que esse procedimento supõe que o Directoryfoi instalado e configurado pelo Trust Authority; se você configurou o TrustAuthority para um Directory existente, adapte as etapas desta maneira.

Nota: Não é necessário remover a instalação do Directory. Se desejarreutilizá-la, certifique-se de especificar que você estará utilizando umDirectory existente na próxima vez que executar o Assistente deConfiguração para configurar o Trust Authority.

set db2instance=ldapInstdb2 force application alldb2 drop db ldapDBdb2stopdb2idrop ldapInstrd /s c:\ldapInst

9. Garanta que todos os diretórios instalados para o Trust Authority foramremovidos. O caminho da instalação padrão é c:\Arquivos dePrograma\IBM\Trust Authority. Elimine manualmente todos os diretóriosnesse caminho.

10. Desligue e reinicie o Windows NT.


Capítulo 4. Fale-me sobre...

Os tópicos nesta seção podem ajudá-lo a entender e utilizar o IBM SecureWayTrust Authority. Eles fornecem informações gerais sobre recursos do TrustAuthority e informações detalhadas sobre os componentes que devem serconfigurados durante a configuração de um sistema Trust Authority.

AuditoriaNo Trust Authority, o servidor de Auditoria suporta as seguintes atividades:v Ele recebe eventos de auditoria de clientes de auditoria, como o RA (Autoridade

de Registro) e o CA (Autoridade de Certificado).v Ele grava os eventos em um log de auditoria que é normalmente armazenado

em um banco de dados DB2 (você pode optar por armazenar o log como umarquivo de dados). Existe um registro no log por evento de auditoria.

v Permite que os clientes de auditoria coloquem máscara em determinadoseventos de auditoria. Apesar de alguns eventos serem sempre registrados, vocêpode utilizar a máscara para impedir que outros eventos sejam relatados. Issopermite controlar o tamanho dos logs de auditoria e assegurar que os eventosregistrados sejam aqueles que interessam em seu ambiente.

v Computa um código de autenticação da mensagem (MAC) para cada registro deauditoria. O MAC ajuda a assegurar a integridade do conteúdo do banco dedados. Por exemplo, você pode determinar se um registro foi alterado, violadoou excluído desde o momento em que foi registrado.

v Fornece uma ferramenta para executar verificações de integridade no banco dedados de auditoria e nos registros de auditoria arquivados.

v Fornece uma ferramenta para arquivar e assinar o estado atual do banco dedados de auditoria. Por motivos de segurança, você deve arquivar o banco dedados de auditoria e armazená-lo externamente periodicamente. O arquivamentodo banco de dados também pode trazer benefícios no desempenho e conservar oespaço em disco.

Quando executar o Assistente de Configuração, você deverá identificar o nome dohost do servidor de Auditoria. Você também deve identificar um número de umaporta livre onde o servidor de Auditoria pode ouvir pedidos de clientes.

Após configurar o sistema, consulte a publicação Trust Authority - Manual deAdministração do Sistema para obter informações sobre as seguintes tarefas:v Execução da ferramenta de Alteração de Senha para alterar a senha do

Administrador de Auditoria. Esta etapa é importante para garantir que apenas oservidor de Auditoria tenha acesso aos logs de auditoria ou execute asferramentas de administração de auditoria.

v Execução da ferramenta AuditIntegrityCheck para verificar a integridade dobanco de dados de auditoria e de arquivos de auditoria arquivados.

v Execução da ferramenta AuditArchiveAndSign para arquivar todos os registrosna tabela do banco de dados de auditoria atual em um arquivo e, em seguida,assinar esse arquivo.


/iaus.htm

/iaus.htm

Autoridades de CertificadosUm CA (Autoridade de Certificado) atua como um terceiro confiável paraassegurar que os usuários integrantes de e-business possam confiar um no outro.Ele garante a identidade dos usuários através dos certificados que emite. Além defornecer a identidade do usuário, o certificado inclui uma chave pública quepermite ao usuário verificar e codificar as comunicações.

Nesse modelo de segurança, a confiança das partes depende da garantia que écolocada no CA que emitiu o certificado. Para assegurar a integridade de umcertificado, o CA assina digitalmente o certificado como parte de sua criação.Tentativas de alterar um certificado invalidam a assinatura e a torna não-utilizável.

No Trust Authority, o CA suporta as seguintes atividades:v Para assegurar a exclusividade de um certificado, o CA gera um número de série

para cada novo certificado e para cada certificado renovado. Esse número desérie é um Identificador exclusivo que não é armazenado como parte do nomedistinto (DN) no certificado.

v Para acompanhar os certificados que emite, o CA mantém uma lista decertificados emitidos (ICL). A ICL armazena uma cópia segura de cadacertificado, indexada por número de série. Comumente, a ICL é criada como umbanco de dados DB2.

v Para acompanhar certificados revogados, o CA cria e atualiza listas de revogaçãode certificados (CRLs). Assim que assina certificados, o CA assina digitalmentetodas as listas CRL para confirmar sua integridade.

v Para proteger-se contra violação de dados, o CA calcula um código deautenticação da mensagem (MAC) para cada registro gravado no banco dedados. O MAC ajuda a assegurar a integridade do banco de dados permitindo adetecção de alteração ou exclusão de dados.

v Para aumentar a proteção da assinatura do CA, ele pode ser integrado com oCo-processador Criptográfico PCI IBM SecureWay 4758. O Co-processador 4758utiliza uma chave de criptografia armazenada no hardware para criptografar eproteger a chave de assinatura do CA.

v Para suportar recuperação de auditoria e de dados, o CA gera registros deauditoria para vários eventos auditáveis. Esses registros são armazenados emum banco de dados DB2 pelo servidor de Auditoria.

Para obter mais informações sobre o Trust Authority CA, consulte a publicaçãoTrust Authority - Manual de Administração do Sistema. Por exemplo, esse manualcontém diretrizes para o ajuste de opções de tempo de execução para o servidorCA e procedimentos para o estabelecimento de modelos confiáveis de certificaçãocruzada e CA hierárquicos.

Bancos de Dados DB2O IBM SecureWay Trust Authority utiliza o IBM DB2 Universal Database paraarmazenar dados de certificados, dados de registro e logs de auditoria. Antes deexecutar o Assistente de Configuração, você deve assegurar-se de que o nívelcorreto do software DB2 esteja disponível em cada máquina onde instalou umcomponente do servidor Trust Authority.


/iaus.htm

Como parte do processo de pós-instalação, o Trust Authority cria o banco de dadosde configuração e o ocupa com dados padrão. Durante a configuração, ele criabancos de dados para os componentes dos servidores. Os nomes dos bancos dedados padrão estão listados abaixo:v cfgdb, para o banco de dados de configuraçãov ibmdb, para o banco de dados CAv pkrfdb, para o banco de dados de registrov adtdb, para o banco de dados de auditoriav ldapdb, para o banco de dados Directory (a menos que você utilize um

existente)

Se você instalou algum componente em máquinas remotas, deverá seguir osprocedimentos na seção “Configurar Servidores Remotos” na página 13 paragarantir que os bancos de dados tenham sido configurados corretamente.

DiretóriosO IBM SecureWay Trust Authority utiliza o Directory do IBM SecureWay como seurepositório central para certificados de chaves públicas. Por meio de sua integraçãocom o DB2, o Directory pode suportar milhões de entradas de diretório. Eletambém permite que um aplicativo cliente, como o Trust Authority, executetransações de armazenamento, atualização e recuperação.

No Trust Authority, o servidor RA publica as seguintes informações no Directory:v Certificados de chave pública, que são utilizados para criptografia e autenticaçãov Os atributos associados a um nome distinto (as funções e privilégios do

proprietário)v Listas de revogação de certificados que listam os números de série de todos os

certificados revogadosv Informações sobre o CA que assina os certificados, incluindo os critérios

comerciais e de certificados associados ao certificado

O Directory proporciona o meio para inscrever e autenticar usuários e recursoscom segurança. Ele define um esquema de diretório comum; ou seja, as regraspelas quais as informações podem ser armazenadas ou recuperadas do Directory.O esquema reforça a uniformidade dos dados. Ele também garante que asinformações sobre um determinado usuário ou recurso não sejam armazenadas emvárias localizações ou formatos na rede.

Quando executar o Assistente de Configuração, você deve especificar informaçõesque permitirão que os componentes do Trust Authority leiam, armazenem eatualizem dados no Directory. Além de saber onde o Directory está instalado emsua rede, você precisa entender:v A árvore do Directoryv O administrador da raiz do Directoryv O administrador do Directory

Para obter mais informações sobre como o Trust Authority interage com oDirectory, consulte a seção ″Utilização do Directory do SecureWay com o TrustAuthority″. Esse documento está disponível no site IBM SecureWay Trust Authority.

Árvores do Programa DirectoryCada entrada no Directory apresenta um único objeto (como uma pessoa,organização, recurso ou dispositivo) que é identificado por um nome distinto

Capítulo 4. Fale-me sobre... 31


exclusivo e não ambíguo. O DN contém um conjunto de atributos que ajudam aidentificar exclusivamente o objeto e definir seus privilégios. Os atributos podemespecificar o país de origem do objeto, a organização à qual ele está associado e onome pelo qual ele é conhecido.

Todas as entradas do Directory estão logicamente organizadas em uma estruturahierárquica chamada de árvore do Directory. Essa árvore possui uma raiz única eum número ilimitado de nós em cascata. Cada nó corresponde a uma entrada doDirectory que ajuda exclusivamente a distinguir entradas subordinadas de outrasentradas subordinadas no mesmo nó.

A sintaxe do DN é controlada pelo esquema do Directory e pelo cliente que estátentando acessar esse Directory. Ao especificar DNs para o Trust Authority, vocêpode digitá-los em campos de entrada de dados ou utilizar uma interface gráfica.v Consulte a seção “Especificar DNs por meio da Digitação” na página 14 para

obter instruções sobre como especificar DNs utilizando a sintaxe requerida peloTrust Authority.

v Consulte a seção “Utilizar o Editor DN” na página 16 para obter instruções sobrecomo utilizar o Editor de Nomes Distintos para definir DNs. A utilização doeditor reduz a possibilidade de erro e não requer que você saiba a sintaxe doDN.

DNs da RaizUm DN da raiz é um agente do Directory que tem autoridade para atualizar todaa árvore do Directory. Ele é uma entidade configurada, mas não existe realmentena árvore do Directory.

O DN da raiz também permite que o Trust Authority determine informaçõesbásicas sobre o servidor Directory. Por exemplo, atributos no DN da raiz fornecemas seguintes características sobre o Directory:v O nível de software Directory que está instaladov As classes de objetos e esquemas de atributos conhecidos pelo servidorv As operações e os controles que são suportados pelo servidorv Os protocolos de segurança suportados

Quando executar o Assistente de Configuração, você deve especificar um DN euma senha para a raiz do Directory. Se estiver utilizando um Directory que estavano local antes da instalação do Trust Authority, será necessário especificar o DN daraiz do Directory existente e sua senha.

Administradores do DirectoryComo o CA do Trust Authority não é ligado diretamente ao Directory, ele utilizaum agente, chamado administrador do Directory, para gerenciar a subárvore ondesão armazenadas entradas assinadas pelo CA. O administrador do Directory, que éespecífico para um CA, tem autoridade para atualizar todas as entradas no pontode entrada do CA ou abaixo dele na árvore do Directory. Esse privilégio inclui acapacidade de adicionar, excluir, alterar, ler, pesquisar e comparar entradas doDirectory.

Quando executar o Assistente de Configuração, você deve especificar um DN euma senha para o administrador do Directory. Se estiver utilizando um Directoryque estava no local antes da instalação do Trust Authority, será necessárioespecificar o DN do administrador do Directory existente e sua senha.


Conexões PKIX CMPO padrão Public Key Infrastructure para X.509 versão 3 (PKIX) aumentou anecessidade de fornecer uma estrutura para facilitar a interoperabilidade deaplicativos de e-business. Sua vantagem principal é permitir que organizaçõesrealizem transações eletrônicas seguras independentes da plataforma de operaçãoou pacote de software aplicativo.

No Trust Authority, o aplicativo Client fornece a interface do usuário paratratamento de pedidos que utilizam o protocolo de gerenciamento de certificados(CMP) do PKIX. O CMP do PKIX utiliza TCP/IP como seu mecanismo detransporte principal. Quando executar o Assistente de Configuração, você deveidentificar uma porta livre onde o servidor RA possa ouvir conexões PKIX CMP.

Quando um usuário envia um pedido para obter, renovar ou revogar umcertificado, o software Client comunica o pedido ao RA (Autoridade de Registro).Quando o certificado é emitido, o aplicativo o armazena no cartão inteligentevirtual ou físico do usuário. Compare essa abordagem com a seção “ConexõesSSL” na página 34, em que um navegador da Web comunica o pedido ao RA paraobter o certificado para o usuário.

O aplicativo Trust Authority Client permite que os usuários exportem certificadosde PKIX para aplicativos existentes com base na Internet ou compatíveis com PKI,como o Microsoft Internet Explorer e o Netscape Navigator. Esse recurso fornecesuporte flexível e extensível a vários aplicativos acessíveis pela Internet, como porexemplo e-mail seguro.

Consulte a seção Trust Authority - Manual do Usuário para obter informações sobre autilização do aplicativo Trust Authority Client para obter e gerenciar certificados.

Domínios de RegistroCada sistema Trust Authority possui um único domínio de registro. O domíniodefine os critérios comerciais, critérios de certificados e recursos relacionados aosprocessos de registro e certificação de sua organização. Os usuários que desejamacessar um recurso devem estar registrados no domínio que regula o uso doreferido recurso.

Quando o software do servidor RA é instalado, ele contém a estrutura para orecurso de registro. Ao executar o Assistente de Configuração, escolha um nome dedomínio, idioma de domínio e caminho de domínio para os processos de registroque serão executados para essa instalação do Trust Authority.

Após salvar os valores de configuração e iniciar o processo de configuração, osprogramas de configuração criam o registro de domínio. O sistema utiliza o nomede domínio para formular o URL através do qual os usuários acessam o recurso deregistro.

Por exemplo, se seu servidor da Web público chama-se MyPublicWebServer e seunome de domínio é MyDomain, você poderá utilizar o seguinte URL para acessaro site de registro:http://MeuServidorWebPublico:80/MeuDomínio/index.jsp

A página Java Server Page (index.jsp) padrão neste URL chama-se Central deCredencial. Ela fornece o ponto de entrada para a coleta de dados de inscrição,registro de usuários e emissão de certificados que suportam os fins definidos nos


/iauu.htm

perfis de certificado padrão. Como parte da personalização do recurso de registropara esse domínio, sua organização pode ter renomeado essa página e alterado osformulários de inscrição. Ela também pode ter adicionado, removido ou alteradoos perfis de certificado.v Consulte “Personalizar o Domínio de Registro” na página 22 para obter um

resumo dos modos nos quais sua organização pode personalizar o recurso deregistro.

v Consulte Trust Authority Customization Guide para obter informações completassobre como personalizar o processamento de registro para suportar os critériosde sua organização.

Conexões SSLO protocolo SSL (Secure Sockets Layer) utiliza assinaturas de chaves públicas,certificados digitais e criptografia para fornecer duas partes que se comunicam —normalmente um servidor da Web e um cliente navegador — um ambienteconfiável e privado para o intercâmbio de mensagens.

O SSL oferece as seguintes vantagens em relação a uma conexão por soqueteTCP/IP padrão:v Privacidade. Todas as mensagens trocadas entre o cliente e o servidor são

criptografadas e apenas as duas partes envolvidas na transação podemdecriptografar os dados.

v Integridade. Uma verificação de integridade com base em uma função de hashsegura garante que danos ao dados sejam detectados.

v Autenticidade. Através do intercâmbio de certificados digitais, o cliente podeautenticar a identidade do servidor e, opcionalmente, o servidor pode autenticaro cliente.

v Não repúdio. Através de assinaturas digitais, todas as comunicações podem serrastreadas até a entidade de origem, permitindo que a responsabilidade sejaprovada conforme necessário.

Em um sistema Trust Authority, existem portas separadas para o tratamento dediferentes níveis de autenticação. Quando executar o Assistente de Configuração,você deverá identificar uma porta segura para processar conexões SSL querequerem autenticação do servidor. Identifique uma segunda porta segura paraprocessar conexões de SSL que requerem autenticação tanto do servidor quanto docliente.

O recurso de registro inclui um conjunto de formulários de inscrição do navegadorque permite que os usuários comuniquem pedidos de SSL ou obtenhamcertificados para uso em aplicativos compatíveis com SSL. Por exemplo, quandoum usuário envia um pedido para renovar um certificado, o navegador da Web dousuário comunica o pedido ao RA (Autoridade de Registro). Quando o novocertificado é emitido, o RA o armazena no navegador do usuário. Compare essaabordagem com a seção “Conexões PKIX CMP” na página 33, na qual o aplicativoClient comunica o pedido e instala o certificado para o usuário.

Consulte a publicação Trust Authority - Manual do Usuário para obter informaçõessobre a utilização de formulários de inscrição do navegador para obter, renovar erevogar certificados. Este manual discute os diferentes tipos de certificados quepodem ser obtidos através dos perfis de certificado padrão e descreve a finalidadeplanejada para cada tipo de certificado.


/iauu.htm

Servidores da WebO Trust Authority utiliza um modelo em três servidores e três portas virtuais paraprocessar pedidos de clientes. Como parte da configuração do sistema, vocêidentifica os nomes de hosts e portas que configurou ao instalar o IBM HTTPServer.

O servidor da Web público utiliza o protocolo HTTP e uma única porta para tratarpedidos não SSL. Esses pedidos não requerem criptografia ou autenticação.

Dois servidores da Web seguros utilizam o protocolo HTTPS para tratar pedidosSSL. Para garantir confidencialidade, toda a comunicação entre um cliente e umservidor seguro é criptografada. Além disso, a criptografia de chave pública básicaem uma conexão SSL permite que o servidor seja autenticado na inicialização dasessão. Em um sistema Trust Authority, você configura uma das portas do servidorseguro para autenticar o cliente também na inicialização da sessão.

A tabela a seguir resume esta arquitetura e os valores de porta padrão.Dependendo de como sua organização configura o firewall, pode ser precisoutilizar o mesmo número de porta, tal como 443, para processar ambos os tipos depedidos seguros. Em caso afirmativo, consulte o manualTrust Authority Instalação eUso para obter informações sobre a configuração dos aliases IP para diferentesprocessos do servidor da Web. Você deve definir esses aliases e portas antes deexecutar o Assistente de Configuração do Trust Authority.

Protocolo SSLAutenticação do

ServidorAutenticação do

ClienteNúmero da

Porta

HTTP Não Não Não 80

HTTPS Sim Sim Não 443

HTTPS Sim Sim Sim 1443

Co-processadores 4758Embora opcional, recomenda-se utilizar o Co-processador Criptográfico PCI IBMSecureWay 4758 para maximizar a segurança da chave de assinatura do CA.

Como parte da instalação do co-processador 4758, o programa de configuraçãogera uma chave mestre e a armazena no hardware. Em um sistema TrustAuthority, o co-processador pode utilizar essa chave mestre e um algoritmo RSApara criptografar três vezes a chave de assinatura. Essa etapa fornece uma camadaextra de segurança contra tentativa de comprometer ou, de outra forma,decodificar a assinatura do CA.

Se você decidir utilizar o co-processador 4758, deve instalá-lo na máquina em queinstalar o CA do Trust Authority. Quando executar o Assistente de Configuração,especifique se o CA deve utilizar ou não o co-processador para proteger sua chavede assinatura.

Na maioria dos sistemas Trust Authority, a chave de CA não é armazenadafisicamente com a chave mestre. No entanto, uma opção de configuração permitesubstituir este padrão — uma ação não recomendada pela IBM. Se você optar porarmazenar a chave de CA em hardware, precisará avaliar os seguintes riscos:v Quando se faz backup do co-processador 4758, apenas sua chave mestre é

copiada, outras chaves armazenadas na placa de hardware não são


/iaug.htm

/iaug.htm

armazenadas. Portanto, se o cartão for danificado ou ocorrer alguma outra falhade hardware, você perderá a chave de assinatura do CA.

v Se a chave de CA for perdida e estiver comprometida, será necessário obter oCA e exibi-lo com uma nova chave. Enquanto o CA não está disponível, osusuários cujos certificados são assinados pelo CA não podem utilizá-los porquenão existem meios de validá-los.

v Como os certificados que foram assinados com a chave original do CA não sãomais válidos, você deve emitir certificados assinados com a nova chave de CAapós reestabelecer o CA.

Para obter informações sobre a instalação, configuração e cópia do co-processador4758, consulte a seção ″Utilização do Co-processador SecureWay 4758 com o TrustAuthority″. Esse documento está disponível no site IBM SecureWay Trust Authority.



Capítulo 5. Referência

Os tópicos nesta seção descrevem os valores que podem ser especificados durantea execução do Assistente de Configuração do Trust Authority. Cada tópico descreveuma janela separada no applet.

Os dois tópicos finais fornecem informações gerais sobre o appletv “Alternativas de Teclado para Ações do Mouse” na página 47 apresenta maneiras

alternativas de navegar no applet.v “Considerações sobre o Idioma Nacional” na página 48 fornece dicas para

execução do applet em um idioma diferente do inglês.

Opções de InicializaçãoQuando você inicia o Assistente de Configuração pela primeira vez, o sistemainforma o nome do host do servidor em que o software principal do TrustAuthority está instalado. Se esse não for o servidor que você pretende configurar,clique em Sair para sair do Assistente de Configuração. Se você sair do Assistentede Configuração antes de concluir a configuração, nenhum dado será salvo.

Atenção!Se você executar o Assistente de Configuração em uma máquina jáconfigurada, você destruirá todos os dados existentes. Você não podereconfigurar um sistema existente ou importar dados de configuração paraum sistema configurado anteriormente.

Importar dados de uma configuração existenteSomente selecione essa opção se:v Instalou e configurou anteriormente um sistema Trust Authorityv Desejar utilizar os dados da configuração existente como linha de base

para a configuração desse sistemav Esse novo sistema estiver instalado na mesma plataforma de sistema

operacional que o sistema anterior

Se estiver planejando instalar o Trust Authority em vários servidores eexecutar uma configuração semelhante em cada um, é possível aproveitareste recurso.

Se você selecionar essa caixa de opções, será solicitado que selecione onome do arquivo que contém os dados de configuração que você desejaimportar.

Opções de ImportaçãoSe você especificou que deseja importar dados de uma configuração existente,deverá especificar opções sobre os dados de configuração que deseja importar.

Dados de configuraçãoO quadro de listagem contém uma lista de todos os arquivos de dados deconfiguração que foram salvos durante instalações anteriores do Trust


Authority e copiados para esta máquina. Role a lista e selecione o arquivoque contém os valores de configuração que você deseja aplicar a essainstalação.

O Assistente de Configuração copia os valores importados para a sessão doapplet atual. À medida que avança pelo applet, você pode manter osvalores exibidos ou alterar seletivamente os valores que não se aplicarem aesse sistema Trust Authority.

Nova instalação ou migração

v Clique em Novo se estiver configurando um novo sistema TrustAuthority.Os programas de configuração criarão um novo banco de dados deconfiguração para conter os dados para essa nova ocorrência do TrustAuthority.

v Clique em Migração se estiver migrando dados de configuração. Porexemplo, você pode escolher essa opção para migrar dados de umaversão anterior do Trust Authority.Os programas de configuração copiarão o banco de dados deconfiguração existente para ser utilizado na instalação desse TrustAuthority.

Opções de Senha do Programa Trust AuthorityVocê deve especificar uma senha para proteger os componentes do servidor TrustAuthority. Essa senha permite que os programas de configuração apliquem osvalores de configuração, criem os bancos de dados necessários e atualizem osarquivos de configuração do servidor.

Senha do Trust AuthorityA senha que você digita aqui deve corresponder à senha do usuário deconfiguração do Trust Authority.v Se você instalou o Trust Authority no AIX, esse usuário será criado como

cfguser durante o processo de configuração de pós-instalação. A senhapadrão é Secure99. Se você alterou a senha depois que essa conta foicriada, certifique-se de especificar essa nova senha aqui.

v Se você instalou o Trust Authority no Windows NT, deverá ter criadoesse usuário ao configurar o Windows antes de instalar o software doTrust Authority. O valor sugerido é cfguser, mas sua instalação pode serdiferente. Não existe nenhuma senha padrão.

Atenção!Após a conclusão do processo de configuração, você deve usar outilitário Alterar a Senha para especificar senhas para diversoscomponentes confiáveis do servidor. Para utilizar esse utilitário, vocêdeve especificar essa mesma senha do Trust Authority.

Confirmar senha do Trust AuthorityDigite novamente a mesma senha.

Se você especificou uma senha que contém letras maiúsculas e minúsculas,assegure-se de que a tenha digitado da mesma forma aqui.


Opções dos Servidores CA e de AuditoriaVocê deve especificar opções que permitirão que outros componentes do TrustAuthority se comuniquem com o CA (autoridade de certificado) e o subsistema deauditoria do Trust Authority.

Os programas do servidor CA e de Auditoria do Trust Authority devem existir namesma máquina. Dependendo de como sua organização instalou o software, elespodem estar ou não na mesma máquina com o RA (Autoridade de Registro) ou oservidor Directory.

Nome do host ou endereço IPDigite o nome do host completamente qualificado da máquina onde osprogramas do servidor CA e de Auditoria estão instalados. Você não podedigitar o nome abreviado ou o alias, nem pode digitar o endereço IP.

Esse é o nome do host configurado para esse servidor no Serviço de Nomede Domínio (DNS) do TCP/IP da rede. O valor padrão é o nome do hostdo servidor Autoridade de Registro.

Número da porta para o servidor CAIdentifique uma porta livre onde o CA do Trust Authority deve atenderpedidos. O valor padrão é 1830.

Número da porta para o servidor de AuditoriaIdentifique uma porta livre onde o subsistema de Auditoria do TrustAuthority deve atender pedidos. O valor padrão é 59998.

DN para o CAEsse nome distinto identifica o CA no Directory e permite que os usuáriosidentifiquem prontamente qual CA assinou um certificado que elesemitiram. O valor padrão é:/C=US/O=Your Organization/OU=Trust Authority/CN=Trust Authority CA.

Se estiver familiarizado com o formato de DNs X.509 v3, você poderádigitar um DN exclusivo para o CA do Trust Authority. Consulte a seção“Especificar DNs por meio da Digitação” na página 14 para obterinformações sobre como especificar DNs no formato requerido pelo TrustAuthority.

Para facilitar a especificação de um DN e para eliminar apossibilidade de erro, clique no ícone do Editor DN. Consulte a seção“Utilizar o Editor DN” na página 16 para obter informações sobre a criaçãode DNs com essa ferramenta.

Opções da Chave de CAVocê deve especificar um algoritmo de criptografia e um tamanho de chave para achave privada de assinatura do CA. Se sua organização instalou o Co-processadorCriptográfico PCI 4758 do IBM SecureWay, você pode configurar opcionalmente oCA para que ele utilize hardware criptográfico para a proteção da chave.

Algoritmo para assinatura de certificadosSelecione um algoritmo de criptografia para a assinatura digital do CA doTrust Authority. A assinatura do CA prova a autenticidade e a integridadedos certificados e das listas de revogação de certificados (CRLs) assinadaspelo CA.

Nesta versão do produto, você deve selecionar sha–1WithRSAEncryption.

Capítulo 5. Referência 39

Isso gera uma assinatura aplicando uma função hash SHA-1 ao cálculo daassinatura definido no padrão RSA (desenvolvido por Rivest, Shamir eAdleman). Com o RSA, a verificação da assinatura é relativamente rápida.No entanto, a geração da assinatura pode demorar mais do que quando seutiliza outros algoritmos.

Tamanho da chave de certificadoA segurança da assinatura digital de CA é também um fator do tamanhoda chave. Geralmente, o algoritmo da assinatura é considerado seguroquando o tamanho da chave é grande o suficiente para prevenir acomputação reversa. Ao mesmo tempo em que chaves grandes melhoram asegurança, podem também aumentar o tempo necessário para verificar aassinatura ao estabelecer uma sessão segura.

Nesta versão de produto, você deve selecionar 1024.

Uso de hardware criptografadoSomente selecione essa opção se:v Você tiver instalado o Trust Authority em uma plataforma IBM AIXv Você tiver instalado anteriormente o co-processador criptografado 4758

na máquina do servidor de Auditoria e de CA doTrust Authorityv Você quiser utilizar o co-processador 4758 para proteger a chave de CA

Se você não quiser utilizar o co-processador 4758, as chaves de CA serãosempre criptografadas e armazenadas em um KeyStore seguro. Porém, oco-processador 4758 oferece proteção de hardware estendida, utilizando achave mestre para criptografar a chave de assinatura de CA.

Tamanho da chave RSASe você especificar que deseja utilizar o hardware criptografado, oco-processador 4758 utilizará automaticamente o algoritmo RSA paracriptografar a chave de assinatura de CA. Você deve selecionar o tamanhode chave a ser utilizado como entrada na computação. Um tamanho dechave grande pode melhorar a segurança, porém aumenta também otempo necessário para verificar as transações seguras.

Escolha um dos seguintes valores: O valor padrão é 1024.v 512v 768v 1024v 2048

Armazenamento de chave de assinatura em hardwareSe você especificar que deseja utilizar o hardware criptografado, poderáescolher se deseja ou não que a chave de assinatura fique armazenadafisicamente no hardware.

O valor padrão e recomendado é No.

Atenção!Quando é feito backup do co-processador 4758, é feito backup apenasda chave mestre. Se o hardware estiver danificado, você perderá achave de CA. Para resolver a perda, você deve tornar visível o CAcom uma nova chave e, em seguida, emitir novamente os certificadosassinados para os proprietários do certificado existente.


Selecione Yes apenas se você conhecer os riscos envolvidos. Consulte“Co-processadores 4758” na página 35 para obter uma discussão sobre osriscos e as ações de correção.

Opções do Servidor DirectoryVocê deve especificar as opções que ativarão a comunicação do Trust Authoritycom o Servidor IBM SecureWay Directory. Por exemplo, o servidor RA publica oscertificados e as CRLs (listas de revogação de certificado) no Directory. Osaplicativos precisam ler as informações no Directory quando acessarem a validadede um certificado.

Nome do host ou endereço IPDigite o nome do host completamente qualificado da máquina na qual osoftware do servidor Directory está instalado. Você não pode digitar onome abreviado ou o alias, nem pode digitar o endereço IP.

Esse é o nome do host configurado para esse servidor no DNS (Serviço deNome de Domínio) do TCP/IP da rede. Pode ser um servidor Directoryutilizado com outros aplicativos ou um servidor que pode ser configuradopara uso específico com o Trust Authority. O valor padrão é o nome dohost do servidor Autoridade de Registro.

Número de porta para o DirectoryIdentifique uma porta livre na qual o servidor Directory possa ouvir ospedidos. O valor padrão é 389.

Utilizar um SecureWay Directory existentePor padrão, essa caixa de opções não está ativada, o que indica que vocêdeseja criar um novo banco de dados do Directory para uso com o TrustAuthority.

Você deve verificar essa caixa de opções apenas se tiver instaladoanteriormente o SecureWay Directory e quiser utilizá-lo para armazenarinformações para o Trust Authority.

Se você planeja utilizar o Trust Authority com um Directory existente,consulte ″ Using the SecureWay Directory With Trust Authority.″ Essedocumento está disponível no site do Trust Authority.

Opções da Raiz do DirectoryVocê deve especificar um DN (nome distinto) e uma senha para a raiz doDirectory. A raiz é um agente do Directory que tem autoridade para administrartodas as entradas na árvore do Directory. Ativa também o Trust Authority paraobter informações sobre os protocolos e padrões suportados pelo servidorDirectory.

Nota: Se o servidor Directory já estava instalado antes da instalação do TrustAuthority, talvez você já tenha uma raiz do Directory configurada. Nessecaso, especifique o DN da raiz existente e a senha aqui.

DN da raizSe você estiver familiarizado com o formato de DNs X.509v3, poderádigitar um DN exclusivo para a raiz do Directory. O valor padrão é:/C=US/O=Your Organization/OU=Trust Authority/CN=Ldap Root DN.

Consulte “Especificar DNs por meio da Digitação” na página 14 para obterinformações sobre como especificar os DNs no formato exigido pelo TrustAuthority.




Senha da raizDigite uma senha para a raiz do Directory.

A senha deve conter 8 caracteres. Para otimizar a segurança, você deveráespecificar uma cadeia que não constitua uma palavra com significado. Asenha deve também ser uma mistura de caracteres em maiúsculas eminúsculas e incluir no mínimo um número.

Se você especificar a senha para o DN de uma raiz existente, esteja cientede que o Trust Authority valida apenas os primeiros 8 caracteres.

Confirmar senha da raizDigite novamente a mesma senha.


Opções do Administrador do DirectoryVocê deve especificar um DN (nome distinto) e uma senha para o administradordo Directory. Esse agente cria e gerencia entradas dentro da subárvore do CA noDirectory. Funciona com os servidores CA e RA para publicar informações sobrecertificados e listas de revogação de certificado.

Nota: Se o servidor Directory já estava instalado antes da instalação do TrustAuthority, talvez você já tenha um administrador do Directory configurado.Nesse caso, especifique o DN existente e a senha aqui.

DN do administrador do Directory.Se você estiver familiarizado com o formato de DNs X.509v3, poderádigitar um DN exclusivo para o administrador do Directory do TrustAuthority. O valor padrão é:/C=US/O=Your Organization/OU=Trust Authority/CN=DirAdmin.

Consulte “Especificar DNs por meio da Digitação” na página 14 para obterinformações sobre como especificar os DNs no formato exigido pelo TrustAuthority.


Senha do administrador do DirectoryDigite uma senha para o administrador do Directory.

A senha deve conter 8 caracteres. Para otimizar a segurança, você deveráespecificar uma cadeia que não constitua uma palavra com significado. Asenha deve também ser uma mistura de caracteres em maiúsculas eminúsculas e incluir no mínimo um número.

Se você especificar a senha para um administrador existente do Directory,esteja ciente de que o Trust Authority valida apenas os primeiros 8caracteres.


Confirmar senha do administrador do DirectoryDigite novamente a mesma senha.


Permitir que o administrador do Directory atualize o DirectoryO administrador do Directory deve atualizar os privilégios de modo quepossa adicionar, remover e alterar as entradas no Directory.

Por padrão, essa caixa de opções está ativada, o que indica que oadministrador do Directory pode atualizar a subárvore do CA no Directory.Geralmente, você deve deixar essa opção ativada.

Opções de Domínio de RegistroVocê deve especificar as informações sobre o domínio de registro para a instalaçãodo Trust Authority. O domínio de registro define a política de negócios, decertificados e de recursos específicos de uma determinada ocorrência do recurso deregistro.

Nome de domínio de registroDigite o nome que você deseja utilizar para identificar o domínio deregistro. O valor padrão é YourDomain. Você deve alterar esse nome paraalgo significante para sua organização ou que esteja de acordo com oobjetivo do uso do recurso de registro.

O nome de domínio deve atender aos requisitos de nomeação de diretóriodo sistema operacional (AIX ou Windows NT). Você deverá seguirespecificamente as seguintes regras ao determinar o nome que desejautilizar:v O nome deve ser uma cadeia de URL válida.v O nome não pode conter mais de 128 caracteres.v O nome não pode conter espaços ou tabulação.v O nome não pode conter os seguintes caracteres especiais: barra

invertida (\), barra (/), dois pontos (:), asterisco (*), ponto deinterrogação (?), aspas (″), chaves (< >), barra vertical (|), (#), símbolode dólar ($) ou apóstrofo (’).

Idioma do domínio de registroSelecione o idioma para esse domínio de registro.

Quando os usuários submetem um pedido de certificado ou quando osadministradores acessam o RA Desktop, os dados são apresentados earmazenados no idioma selecionado. O valor padrão é Inglês.

Escolha um dos seguintes valores:v Inglêsv Francêsv Alemãov Italianov Espanholv Português do Brasilv Japonêsv Coreanov Chinês simplificadov Chinês tradicional


Diretório de instalação da RaizDigite a localização do domínio de registro no servidor RA. Você deveespecificar o caminho completamente qualificado.

Durante a configuração, o sistema configura o domínio de registro nessalocalização. Se você personalizar o recurso de registro, os arquivos nessedomínio são personalizados. Isso garante que qualquer atividade deregistro que direciona esse domínio seja administrada pelas políticasdefinidas.v No AIX, o valor padrão para o caminho do domínio é:

/usr/lpp/iau/pkrf/Domains

v No Windows NT, o valor padrão para o caminho do domínio é:c:\Arquivos de Programas\IBM\Trust Authority\pkrf\Domains

Opções do Servidor Public WebVocê deve especificar as opções que ativarão a comunicação dos componentes doTrust Authority com o servidor public Web. Esse servidor trata de pedidos que nãorequerem criptografia ou autenticação.

Nome do host ou endereço IP para o servidor publicDigite o nome do host completamente qualificado do servidor que estáconfigurado para tratar dos pedidos públicos. Você não pode digitar onome abreviado ou o alias, nem pode digitar o endereço IP.

Quando você instalou o software do IBM HTTP Server, você deve terconfigurado um nome de host virtual para o programa do servidor quetrata de pedidos não-SSL. O valor padrão é o nome do host do servidorAutoridade de Registro.

Número da porta para o servidor públicaIdentifique uma porta livre na qual o servidor public Web possa ouvir ospedidos. O valor padrão é 80.

Opções do servidor Secure WebVocê deve especificar as opções que ativarão a comunicação dos componentes doTrust Authority com os servidores secure Web. Esses servidores tratam dasconexões SSL que requerem a criptografia e a autenticação do servidor. Você deveconfigurar um servidor secure para tratar dos pedidos que necessitam deautenticação do cliente.v Configure o servidor secure que trata de pedidos que não requerem autenticação

do cliente:

Nome do host ou endereço IPDigite o nome do host completamente qualificado do servidor que estáconfigurado para tratar desses tipos de pedidos. Você não pode digitar onome abreviado ou o alias, nem pode digitar o endereço IP.

Quando você instalou o software do IBM HTTP Server, você deve terconfigurado um nome de host virtual para o programa do servidor quetrata de pedidos que não requerem autenticação do cliente. O valorpadrão é o nome do host do servidor Autoridade de Registro.

Número da portaIdentifique uma porta livre na qual o servidor secure Web possa ouviros pedidos SSL que requerem criptografia e autenticação do servidor,mas que não requerem de autenticação de cliente. O valor padrão é 443.


v Configure o servidor secure que trata de pedidos que requerem autenticação docliente:

Nome do host ou endereço IPDigite o nome do host completamente qualificado do servidor que estáconfigurado para tratar desses tipos de pedidos. Você não pode digitar onome abreviado ou o alias, nem pode digitar o endereço IP.

Quando você instalou o software do IBM HTTP Server, você deve terconfigurado um nome de host virtual para o programa do servidor quetrata de pedidos autenticados do cliente. O valor padrão é o nome dohost local do servidor Autoridade de Registro.

Número da portaIdentifique uma porta livre na qual o servidor secure Web possa ouviros pedidos SSL que requerem criptografia, autenticação do servidor eautenticação do cliente. O valor padrão é 1443.

Opções do Trust Authority ClientVocê deve identificar uma porta no servidor RA para processamento de pedidos apartir do aplicativo do Trust Authority Client.

Essas conexões, como os pedidos para obter, renovar ou revogar certificados,utilizam o protocolo de gerenciamento de certificado PKIX (PKIX CMP). Comparecom os pedidos tratados pelos servidores secure Web, que utilizam o protocoloHTTPS para estabelecer conexões SSL.

Número de porta para os pedidos do Trust Authority ClientIdentifique uma porta livre na qual o servidor RA do Trust Authority possaouvir os pedidos do PKIX a partir de um aplicativo do Client. O valorpadrão é 829.

Resumo de ConfiguraçãoRole pelas opções de configuração especificadas para os vários componentes doTrust Authority.

Se você quiser alterar qualquer uma das definições antes de aplicá-las, clique emPrevious até voltar ao componente que deseja alterar.

Quando você estiver pronto para continuar com o processo de configuração, cliqueem Next.

Salvar Dados de ConfiguraçãoAo salvar os dados de configuração, você fica com um backup dos valores deconfiguração. Possibilita também que você utilize os valores como a linha de basepara a configuração de outro sistema do Trust Authority.

Ao iniciar o Assistente de Configuração, será exibida uma mensagem perguntandose você deseja importar os dados de uma configuração anterior. Se quiser, vocêpoderá então selecionar o arquivo de dados de configuração que contém os valoresque deseja importar.


Nome de dados de configuraçãoDigite um nome de arquivo para os dados de configuração. Não énecessário digitar uma extensão de arquivo. O valor padrão éDatabaseBackup.

Utilize um nome que permitirá identificar esse arquivo como o que vocêdeseja importar ao configurar outro sistema do Trust Authority. O nomepode conter espaços, mas não pode conter símbolos ou quaisquercaracteres que não sejam permitidos pelo sistema operacional.

Consulte “Importar Dados de Configuração” na página 12 para obterinformações sobre as etapas que devem ser seguidas para importar osdados para um novo servidor do Trust Authority.

Para salvar os dados de configuração e continuar com o processo de configuração,clique em Next. Se você especificar um nome de arquivo que não seja permitidopelo sistema operacional, o Assistente de Configuração o avisará para corrigi-lo.Observe que se você clicar em Exit para sair do Assistente de Configuração antesde salvar definitivamente os dados de configuração, nenhum desses valoresespecificados será salvo.

Processo de ConfiguraçãoDepois de salvar os dados de configuração para a instalação desse Trust Authority,você deve aplicar os valores no sistema. Ao aplicar os valores, o programa deconfiguração CfgStart é iniciado. Durante esse processo, o sistema cria o banco dedados do componente e atualiza os arquivos de configuração do sistema.

Nota: Se você instalar qualquer um dos componentes do servidor em umamáquina remota, haverá uma pausa nos programas de configuração e vocêserá avisado para ativar a máquina remota antes de continuar com apróxima etapa no processo de configuração. Veja detalhes na seção“Configurar Servidores Remotos” na página 13.

Botão FinishQuando você estiver pronto para iniciar o processo de configuração, cliqueem Finish.

A coluna Status exibe o progresso do processo de configuração. Assim quecada componente for atualizado, o indicador de status será alteradoconforme mostrado a seguir:

Yet to be configuredIndica que a configuração desse componente não foi iniciada.

ConfiguringIndica que a configuração desse componente foi iniciada.

Partially ConfiguredIndica que a intervenção manual é requerida como, por exemplo, aexecução de um programa de configuração em uma máquinaremota.

ConfiguredIndica que a configuração desse componente foi bem-sucedida.

Failed Indica que esse componente não pôde ser configurado. Exiba oslogs de mensagem para obter mais informações sobre a falha.


Botão View Advanced MessagesPara ver mensagens mais detalhadas sobre o processo de configuração,clique em View Advanced Messages.

O applet abre uma janela para exibir os logs de mensagem criados pelosprogramas de configuração.

Alternativas de Teclado para Ações do MouseConsulte a seguinte tabela se deseja utilizar o teclado para fazer seleções noAssistente de Configuração ou no Editor DN em vez de utilizar um mouse.

Localização do Foco do Cursor Teclado

Trabalhando com o Editor do DN

Selecione outra etiqueta de guia e exiba aguia.

A seta para a direita vai para apróxima guia. A seta para aesquerda vai para a guia anterior.

Role dentro da guia. Page Down rola para baixo. PageUp rola para cima.

Sair do Editor de DN. Escape.

Movendo entre os campos

Move para o próximo campo a partir damaioria dos campos.

Tab.

Move para o campo anterior a partir damaioria dos campos.

Shift-Tab.

Trabalhando com uma caixa de combinação

Move pela lista de itens. A seta para baixo move para baixo.A seta para cima move para cima.

Move para o próximo campo; o itematualmente exibido permanece selecionado.

Tab.

Trabalhando com os itens em uma caixa de combinação

Move pela lista de itens. A seta para baixo move para baixo.A seta para cima move para cima.

Move para o próximo campo; o itematualmente exibido permanece selecionado.

Tab.

Trabalhando com um conjunto de botões de rádio (um conjunto é considerado um campo)

Mova pelos botões de rádio e selecioneum.

A seta para baixo e a seta para adireita movem para a próximaseleção. A seta para cima e a setapara a esquerda movem para aseleção anterior.

Saia e mova para o próximo campo. Tab.

Trabalhar com caixa de opções

Selecione ou desmarque a caixa de opções. Barra de espaço.

Saia e mova para o próximo campo. Tab.

Trabalhar com botões de comando

Move para o botão de comando. Tab.

Executa o comando. Barra de espaço ou tecla Enter.


Considerações sobre o Idioma NacionalEsta seção resume as diferenças entre a versão em inglês do Trust Authority e osoutros idiomas suportados. Se você executar o Assistente de Configuraçãoutilizando uma versão não-Inglês do Trust Authority, reveja essa seção para sabermais sobre as diferenças de como as informações podem ser exibidas ouprocessadas em seu idioma.

Especificando o Idioma de Domínio de RegistroSe você planeja executar o recurso de registro em um idioma diferente doInglês, certifique-se de selecionar o seu idioma ao especificar as opções deconfiguração para o domínio de registro. O valor padrão é Inglês. Se vocênão alterar esse valor durante a configuração, não será possível alterá-loposteriormente sem reinstalar o produto.

Utilizando os Caracteres ASCIIAo especificar os caminhos do diretório ou dos DNs (nomes distintos) parao CA, o administrador do Directory ou a raiz do Directory, você deveutilizar caracteres ASCII. Não é possível digitar nomes de caminho ou DNsque contêm caracteres não-ASCII ou de idioma de byte duplo comojaponês ou chinês.

Execução do Applet em Chinês TradicionalSe você utilizar uma versão do CHT do Netscape Navigator ou NetscapeCommunicator, versão 4.05 ou versão 4.5, a página de índice do Assistentede Configuração pode ser retornada em inglês em vez de chinêstradicional. É necessário garantir que a preferência do idioma em seunavegador é definida para utilizar o chinês tradicional como o idiomaprincipal, não o inglês.

Se ainda tiver problemas, isso pode ser uma limitação do navegadorcausada pelo modo como o Netscape foi localizado em sua organização.Como alternativa, tente utilizar o Microsoft Internet Explorer para carregaro Assistente de Configuração.


Avisos

Solicite informações sobre os produtos e serviços atualmente disponíveis em sualocalidade através de um Revendedor Autorizado IBM. Qualquer referência a umproduto, programa ou serviço IBM não significa que apenas o produto, programaou serviço IBM possa ser utilizado. Qualquer produto, programa ou serviçofuncionalmente equivalente, que não infrinja nenhum direito de propriedadeintelectual da IBM, poderá ser utilizado em substituição a este produto, programaou serviço. A avaliação e verificação da operação de qualquer produto, programaou serviço que não seja da IBM são de inteira responsabilidade do usuário.

A IBM pode ter patentes ou solicitações de patentes relativas a assuntos descritosneste documento. O fornecimento deste documento não lhe garante nenhumdireito sobre tais patentes. Consulta sobre licenças devem ser enviadas por escritopara:

Gerência de Relações Comerciais e IndustriaisAvenida Pasteur, 138-146 - BotafogoRio de Janeiro - RJCEP: 22.290-240

O parágrafo a seguir não se aplica a nenhum país em que tais disposições nãoestejam de acordo com a legislação local: A INTERNATIONAL BUSINESSMACHINES CORPORATION FORNECE ESTA PUBLICAÇÃO “NO ESTADO”,SEM GARANTIA DE ESPÉCIE ALGUMA, EXPLÍCITA OU IMPLÍCITA,INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS DENÃO-VIOLAÇÃO, COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM FIMESPECÍFICO. Alguns países não permitem a exclusão de garantias explícitas ouimplícitas em certas transações; portanto, esta disposição pode não se aplicar avocê.

Esta publicação pode incluir imprecisões técnicas ou erros tipográficos. São feitasalterações periódicas nas informações aqui contidas; tais alterações serãoincorporadas em futuras edições destas informações. A IBM pode fazeraperfeiçoamentos e/ou alterações nos produtos e/ou programas descritos nestasinformações, a qualquer momento, sem aviso prévio.

Quaisquer referências nesta publicação a sites da Web que não sejam controladospela IBM são fornecidas apenas por conveniência e não constituem endosso ourecomendação, desses sites da Web. Os materiais contidos nesses sites da Web nãofazem parte dos materiais deste produto IBM e a utilização desses sites da Web éde inteira responsabilidade do cliente.

Quando você envia informações à IBM, concede a ela direitos não exclusivos deutilização ou distribuição das informações, da forma que julgar adequada, semincorrer em obrigações para com você.

Os possuidores de licença deste programa que pretendam obter mais informaçõessobre o mesmo com o objetivo de permitir: (i) a troca de informações entreprogramas criados independentemente e outros programas (incluindo este) e (ii) autilização mútua das informações trocadas, devem entrar em contato com a:

Central de Atendimento a Clientes IBMAv. Pasteur, 138/146


Botafogo - RJCep: 22290-240Brasil

Tais informações podem estar disponíveis, sujeitas a termos e condiçõesapropriadas, incluindo, em alguns casos, o pagamento de uma taxa.

O programa licenciado descrito nesta publicação e todo o material licenciadodisponível para ele são fornecidos pela IBM sob os termos do Contrato com oCliente IBM (IBM Customer Agreement), Contrato de Licença Internacional deProgramas IBM (IBM International Program License Agreement) ou qualquercontrato equivalente.

Os dados de desempenho aqui contidos foram determinados em um ambientecontrolado. Portanto, os resultados obtidos em outros ambientes operacionaispodem variar significativamente. Algumas medidas podem ter sido tomadas emsistemas em nível de desenvolvimento e não existe garantia de que essas medidasserão as mesmas nos sistemas normalmente disponíveis. Além disso, algumasmedidas podem ter sido estimadas através da extrapolação. Os resultados reaispodem variar. Os usuários desta documentação devem verificar os dadosaplicáveis ao seu ambiente específico.

As informações relativas a produtos não-IBM foram obtidas dos fornecedores dosrespectivos produtos, de seus anúncios publicados ou de outras fontespublicamente disponíveis. A IBM não testou estes produtos e não pode confirmar aexatidão do desempenho, compatibilidade ou quaisquer outras declaraçõesrelacionadas a produtos não-IBM. Perguntas sobre a capacidade de produtosnão-IBM devem ser endereçadas aos fornecedores dos respectivos produtos.

Todas as declarações referentes à futura decisão ou intenção da IBM estão sujeitasa alterações ou remoção sem aviso prévio e representam apenas metas e objetivos.

Todos os preços da IBM mostrados são preços de mercado sugeridos pela IBM, sãoatuais e estão sujeitos a alteração sem aviso prévio. Os preços dos revendedorespodem variar.

Marcas e Marcas de ServiçoOs termos a seguir são marcas da International Business Machines Corporation nosEstados Unidos e/ou em outros países:

IBMAIXAIX/6000DB2DB2 Universal DatabaseSecureWayWebSphere

O Programa Trust Authority (″o Programa″) inclui partes do DB2 UniversalDatabase. Você está autorizado a instalar e utilizar estes componentes apenas emconjunto com o uso licenciado do Programa para o armazenamento egerenciamento de dados utilizados ou gerados pelo Programa mas não para outrasfinalidades de gerenciamento de dados. Por exemplo, esta licença não incluiconexões de recepção ao banco de dados a partir de outros aplicativos para


consultas ou geração de relatórios. Você está autorizado a instalar e utilizar estescomponentes apenas e na mesma máquina do Programa.

O Programa inclui partes do IBM WebSphere Application Server e IBM HTTP WebServer (″Servidores IBM″). Você não está autorizado a instalar ou utilizar osServidores IBM sem a utilização licenciada do Programa. Os Servidores IBMdevem residir na mesma máquina que o Programa, e você não está autorizado ainstalar ou utilizar os Servidores IBM em separado do Programa.

Java e todas as marcas e logotipos com base em Java são marcas da SunMicrosystems, Inc. nos Estados Unidos e/ou em outros países.

Microsoft, Windows, Windows NT e o logotipo Windows são marcas da MicrosoftCorporation nos Estados Unidos e/ou em outros países.

UNIX é marca registrada nos Estados Unidos e/ou em outros países e é licenciadaexclusivamente pela X/Open Company Limited.

Pentium é marca da Intel Corporation nos Estados Unidos e/ou em outros países.

Este programa contém software de segurança da RSA Data Security,Inc. Copyright © 1994 RSA Data Security, Inc. Todos os direitos reservados.

Este programa contém o software STL (Standard Template Library) daHewlett-Packard Company. Copyright (c) 1994.v A permissão para utilizar, copiar, modificar, distribuir e vender esse software e

sua documentação para qualquer propósito é concedida sem encargos, contantoque o aviso de copyright acima apareça em todas cópias e que, tanto o aviso decopyright quanto este aviso de permissão apareçam na documentação desuporte. A Hewlett-Packard Company não faz declarações sobre a adequaçãodesse software para qualquer propósito. Ele é fornecido ″no estado″ semgarantia explícita ou implícita.

Esse programa contém o software STL (Standard Template Library) da SiliconGraphics Computer Systems, Inc. Copyright (c) 1996–1999.v A permissão para utilizar, copiar, modificar, distribuir e vender esse software e

sua documentação para qualquer propósito é concedida sem encargos, contantoque o aviso de copyright acima apareça em todas as cópias e que, tanto o avisode copyright, quanto esse aviso de permissão, apareçam na documentação desuporte. Silicon Graphics não faz declarações sobre a adequação desse softwarepara qualquer propósito. Ele é fornecido ″no estado″ sem garantia explícita ouimplícita.

Outros nomes de empresas, produtos e serviços podem ser marcas ou marcas deserviço de terceiros.

Avisos 51

Informações Relacionadas

A documentação do produto Trust Authority está disponível no formatos PortableDocument Format (PDF) e HTML no CD-ROM da Documentação do IBMSecureWay Trust Authority. As versões em HTML de algumas das publicações sãoinstaladas com o produto e podem ser acessadas a partir das interfaces do usuário.

Esteja ciente de que o produto pode sofrer alterações desde a produção dapublicação. Para obter as informações mais recentes e informações sobre comoacessar uma publicação no idioma e formato de sua escolha, consulte o arquivoLeia me. A versão mais recente do arquivo Leia me está disponível na páginaLibrary do site IBM SecureWay Trust Authority:http://www.tivoli.com/support

A biblioteca do Trust Authority inclui a seguinte documentação:

Instalação e UsoEste manual fornece uma visão geral do produto. Ela lista os requisitos doproduto, inclui procedimentos de instalação e fornece informações sobrecomo acessar o auxílio online, disponível para cada componente doproduto. Este manual é impresso e distribuído com o produto.

Manual de Administração do SistemaEste manual contém informações gerais sobre como administrar o sistemaTrust Authority. Ele inclui procedimentos para iniciar e parar os servidores,alterar senhas, administrar os componentes do servidor, executar auditoriase verificações da integridade dos dados.

Manual de ConfiguraçãoEste manual contém informações sobre como utilizar o Assistente deConfiguração para configurar um sistema Trust Authority. Você podeacessar a versão em HTML deste manual enquanto exibe o auxílio onlinedo Assistente.

Registration Authority Desktop - Manual do ProgramaEle contém informações sobre como utilizar o RA Desktop paraadministrar certificados em todo o ciclo de duração do certificado. Vocêpode acessar a versão em HTML deste manual enquanto exibe o auxílioonline do Desktop.

Manual do UsuárioEste manual contém informações sobre como obter e gerenciar certificados.Ele fornece procedimentos para utilizar os formulários de inscrição denavegador do Trust Authority para solicitar, renovar e revogar certificados.Ele também discute como registrar previamente certificados compatíveiscom PKIX e como utilizar o Trust Authority Client para gerenciar estescertificados. Você pode acessar a versão em HTML deste manual enquantoexibe o auxílio online do Client.

Customization GuideEste manual mostra a você como personalizar o Trust Authority recurso deregistro para suportar os objetivos de registro e certificação de seuscritérios comerciais. Por exemplo, você pode aprender como personalizaras páginas HTML e Java Server, cartas de notificação, perfis de certificadoe saídas de critérios.




/iaug.htm

/iaus.htm

/iauc.htm

/iaud.htm

/iauu.htm

/iaut.htm

A página Library do site Trust Authority inclui outros documentos que podemajudá-lo a instalar, administrar e utilizar o Trust Authority. Por exemplo, você podeencontrar instruções adicionais sobre o esquema do Directory e aprender comointegrar o Trust Authority com o IBM SecureWay 4758 PCI Coprocessor.




Glossário

Este glossário define os termos e abreviaçõesneste guia que podem ser novos ou nãoconhecidos e termos que podem ser de alguminteresse. Ele inclui termos e definições de:v The IBM Dictionary of Computing, New York:

McGraw-Hill, 1994.v The American National Standard Dictionary for

Information Systems, ANSI X3.172–1990,American National Standards Institute (ANSI),1990.

v The Answers to Frequently Asked Questions,Version 3.0, California: RSA Data Security, Inc.,1998.

AAbstract Syntax Notation One (ASN.1). Uma notaçãode ITU utilizada para definir a sintaxe dos dados deinformações. Ela define vários tipos de dados simples eespecifica uma notação para identificar estes tipos epara especificar valores destes tipos. Estas notaçõespodem ser aplicadas sempre que for necessário paradefinir a sintaxe abstrata de informações sem restringira forma como as informações são codificadas paratransmissão.

ACL. Lista de controle de acesso.

American National Standard Code for InformationInterchange (ASCII). O código padrão utilizado paraa troca de informações entre sistemas de processamentode dados, sistemas de comunicação de dados eequipamento associado. O conjunto ASCII utiliza umconjunto de caracteres codificados que consiste decaracteres codificados de 7 bits (8 bits incluindo um bitpara verificação de paridade). O conjunto de caracteresconsiste de caracteres de controle e caracteres gráficos.

American National Standards Institute (ANSI). Umaorganização que estabelece os procedimentos pelosquais organizações confiáveis criam e mantêm padrõesindustriais voluntários nos Estados Unidos. Ela consistede produtores, consumidores e grupos de interessesgerais.

ANSI. American National Standards Institute.

aplicativo Java. Um programa independente que éescrito na linguagem Java. Ele é executado fora docontexto de um navegador da Web.

ASCII. American National Standard Code forInformation Interchange.

ASN.1. Abstract Syntax Notation One.

assinar. Utilizar sua chave privada para gerar umaassinatura. A assinatura é um meio de provar que vocêé responsável por e aprova a mensagem que estáassinando.

assinatura digital. Uma mensagem codificadaadicionada a um documento ou a dados quecomprovam a identidade do emissor.

Uma assinatura digital pode fornecer um nível desegurança maior que uma assinatura física. Aexplicação é que uma assinatura digital não é um nomecriptografado ou uma série de códigos de identificação.Ao contrário, é um resumo criptografado da mensagemque está sendo assinada. Assim, anexando umaassinatura digital a uma mensagem fornece umaidentificação sólida do emissor. (Somente a chave doemissor pode criar a assinatura.) Ela também anexa oconteúdo da mensagem que está sendo assinada (oresumo da mensagem criptografada deve corresponderao conteúdo ou a assinatura não será válida). Dessaforma, uma assinatura digital não pode ser copiada deuma mensagem e aplicada a outra porque o resumo, ouhash, não corresponderia. Qualquer alteração namensagem assinada também invalidaria a assinatura.

assinatura por códigos. Uma técnica de assinarprogramas executáveis com assinaturas digitais. Aassinatura por códigos foi desenvolvida para melhorara confiabilidade do software distribuído pela Internet.

assinatura/verificação. Assinar é utilizar uma chaveprivada digital para gerar uma assinatura. Verificar éutilizar a chave pública correspondente para verificar aassinatura.

atributo de inscrição. Uma variável de inscrição queestá contida em um formulário de inscrição. Seu valorreflete as informações que são capturadas durante ainscrição. O valor do atributo da inscrição permanece omesmo em toda a duração da credencial.

autoridade de registro (RA). O software queadministra certificados digitais para assegurar que oscritérios de negócios de uma organização sejamaplicados do recebimento inicial de um pedido deinscrição até a revogação do mesmo.

autenticação. O processo de determinar seguramente aidentidade de um interlocutor de comunicação.

autenticação cruzada. Um modelo confiável pelo qualum CA emite para outro CA um certificado que contémuma chave pública associada à sua chave privada deassinatura. Um certificado cruzado permite quesistemas clientes ou entidades finais em um domínio


administrativo se comuniquem de forma segura comsistemas clientes ou entidades finais em outro domínio.

autenticação de usuário. O processo de validação emque o originador de uma mensagem é o proprietárioidentificável e verdadeiro da mensagem. Ele tambémcomprova que você está se comunicando com o usuáriofinal ou sistema desejado.

autoridade de certificado (CA). O softwareresponsável por seguir os critérios de segurança deuma organização e por atribuir identidades eletrônicasseguras na forma de certificados. O CA processapedidos de RAs para emitir, renovar e revogarcertificados. O CA interage com o RA para divulgarcertificados e CRLs no Directory. Consulte tambémcertificado digital.

autorização. Permissão para acessar um recurso.

Bbanco de dados de registro. Contém informaçõessobre pedidos de certificados e certificados emitidos. Obanco de dados armazena dados de inscrição e todas asalterações nos dados do certificado em toda seu ciclode vida. O banco de dados pode ser atualizado porprocessos e saídas de critérios de RA ou porregistradores.

base de computador confiável (TCB). Os elementosde software e hardware que coletivamente executamum critério de segurança de computadores em umaorganização. Qualquer elemento ou parte de umelemento que pode afetar a execução do critério desegurança é relevante à segurança e faz parte do TCB.O TCB é um objeto limitado pelo perímetro desegurança. Os mecanismos que executam o critério desegurança devem ser não violáveis e devem evitar queprogramas tenham acesso aos privilégios do sistemapara os quais eles não estão autorizados.

Basic Encoding Rules (BER). As regras especificadasna ISO 8825 para a codificação de unidades de dadosdescritas em notação de sintaxe abstrata 1 (ASN.1). Asregras especificam a técnica de codificação e não asintaxe abstrata.

BER. Basic Encoding Rules.

CCA. Autoridade de certificado.

cartão inteligente. Uma parte do hardware,geralmente o tamanho de um cartão de crédito,utilizado para armazenar chaves digitais de umusuário. Um cartão inteligente pode ser protegido porsenha.

Cartão PCMCIA. Semelhante a um cartão inteligente eàs vezes chamado de cartão PCMCIA. Este cartão émaior que um cartão inteligente e geralmente possuiuma capacidade maior.

CAST-64. Um algoritmo de cifra de bloco que utilizaum tamanho de bloco de 64 bits e uma chave de 6 bits.Foi projetado por Carlisle Adams e Stafford Tavares.

CA superior. O CA no topo de uma hierarquia de CAPKI.

CCA. IBM Common Cryptographic Architecture.

CDSA. Common Data Security Architecture.

CDSA (Common Data Security Architecture). Umainiciativa para definir uma abordagem abrangente deserviços de segurança e gerenciamento de segurança deaplicativos com base em computador. Foi projetadopela Intel para tornar as plataformas de computadoresmais seguras para os aplicativos.

certificação. O processo pelo qual uma pessoa emiteuma credencial eletrônica que afiança uma pessoa,empresa ou entidade organizacional.

certificação digital. Consulte certificação.

certificado de CA. Um certificado que seu navegadorda Web aceita, em seu pedido, de um CA que nãoreconhece. O navegador pode, então, utilizar estecertificado para autenticar as comunicações comservidores que retêm certificados emitidos por esse CA.

certificado de navegador. Um certificado digitaltambém conhecido como certificado de cliente. Éemitido por um CA por meio de um servidor Webativado por SSL. As chaves em um arquivocriptografado permitem que o portador do certificadocriptografe, decodifique e assine dados. Normalmente,o navegador da Web armazena essas chaves. Algunsaplicativos permitem o armazenamento das chaves emcartões inteligentes ou em outra mídia. Consulte tambémcertificado digital.

certificado de servidor. Um certificado digital, emitidopor um CA para permitir que um servidor Webconduza transações com base em SSL. Quando umnavegador se conecta ao servidor utilizando oprotocolo SSL, o servidor envia ao navegador a suachave pública. Isto permite a autenticação daidentidade do servidor. Permite também queinformações criptografadas sejam enviadas ao servidor.Consulte também certificado de CA, certificado digital ecertificado de navegador.

certificado de site. Semelhante a um certificado deCA, mas válido apenas em um site específico da Web.Consulte também certificado de CA.

certificado digital. Uma credencial eletrônica que éemitida por um terceiro confiável a uma pessoa ou


entidade. Cada certificado é assinado com a chaveprivada do CA. Ele afiança uma pessoa, uma empresaou entidade organizacional.

Dependendo da função do CA, o certificado podedeclarar a autoridade do portador para administrare-business pela Internet. De certo modo, um certificadodigital executa uma função semelhante a uma carteirade habilitação ou a um diploma de medicina. Elecertifica que o portador da chave privadacorrespondente tem autoridade para administrardeterminadas atividades de e-business.

Um certificado contém informações sobre a entidadeque ele certifica, se pessoa, máquina ou programa decomputador. Ele contém a chave pública certificadadessa entidade.

certificado X.509. Um padrão de certificadoamplamente aceito, projetado para suportar ogerenciamento seguro e a distribuição de certificadosassinados digitalmente por meio de redes seguras naInternet. O certificado X.509 define estruturas de dadosque acomodam procedimentos para a distribuição dechaves públicas que são assinadas digitalmente porterceiros confiáveis.

Certificado X.509 Versão 3. O certificado X.509v3estendeu as estruturas de dados para o armazenamentoe a recuperação de informações do aplicativo docertificado, de distribuição do certificado, de revogaçãodo certificado, de critérios e de assinaturas digitais.

Os processos do X.509v3 criam CRLs com marca dehora para todos os certificados. Sempre que umcertificado é utilizado, os recursos do X.509v3 permitemque o aplicativo verifique a validade dele. Ele tambémpermite que o aplicativo determine se o certificado estána CRL. As CRLs do X.509v3 podem ser construídaspara um período de validade específico. Tambémpodem ter base em outras circunstâncias que podeminvalidar um certificado. Por exemplo, se umfuncionário deixa de trabalhar em uma organização,seu certificado pode ser colocado na CRL.

CGI. Common Gateway Interface.

chave. Uma quantidade utilizada em criptografia paracodificar ou decodificar informações.

chave de criptografia de documentos (DEK).Geralmente, uma chave simétrica decriptografia/decodificação, como um DES.

chave privada. A chave em um par de chavespública/privada que está disponível somente para seuproprietário. Ela permite que o proprietário receba umatransação privada ou faça uma assinatura digital. Osdados assinados com uma chave privada podem serverificados somente com a chave públicacorrespondente. Compare com chave pública. Consultetambém par de chaves pública/privada.

chave pública. A chave em um par de chavespública/privada que se torna disponível para outros.Ela permite que seja direcionada uma transação para oproprietário da chave ou que seja verificada umaassinatura digital. Os dados criptografados com a chavepública só podem ser decriptografados com a chaveprivada correspondente. Compare com chave privada.Consulte também par de chaves pública/privada.

chave simétrica. A chave que pode ser utilizada paracriptografia e decodificação. Consulte tambémcriptografia simétrica.

classe. Um projeto ou programação orientado aobjetos, um grupo de objetos que compartilham umadefinição comum e, portanto, compartilhampropriedades, operações e comportamento.

classe Java. Uma unidade de código de programaJava.

cliente. (1) Uma unidade funcional que recebe serviçoscompartilhados de um servidor. (2) Um computador ouprograma que solicita um serviço de outro computadorou programa.

cliente de auditoria. Qualquer cliente no sistema queenvia eventos de auditoria para o servidor de Auditoriado Trust Authority. Antes de um cliente de auditoriaenviar um evento para o servidor de Auditoria, eleestabelece uma conexão com esse servidor. Depois quea conexão é estabelecida, o cliente utiliza a biblioteca decliente do subsistema de auditoria para entregareventos ao servidor de Auditoria.

cliente/servidor. Um modelo em processamentodistribuído em que um programa em um site envia umpedido a um programa em outro site e aguarda umaresposta. O programa solicitante é chamado de cliente;o que responde é chamado de servidor.

codificação base64. Uma meio comum de transmitirdados binários com MIME.

código de autenticação da mensagem (MAC). Umachave secreta que é compartilhada entre o emissor e odestinatário. O emissor autentica e o destinatárioverifica. No Trust Authority, as chaves MAC sãoarmazenadas nos KeyStores dos componentes CA eAudit.

código de bytes. Código independente de máquinaque é gerado pelo compilador Java e executado pelointerpretador Java.

Common Cryptographic Architecture (CCA). Umsoftware IBM que permite uma aproximaçãoconsistente a uma criptografia nas principaisplataformas de computação da IBM. Ele suportasoftware escrito em diversas linguagens deprogramação. O software pode solicitar que serviçosCCA executem uma grande faixa de funçõescriptográficas, incluindo criptografia DES e RSA.

Glossário 57

Common Gateway Interface (CGI). Método padrãopara a transmissão de informações entre páginas daWeb e servidores Web.

compilação de mensagens. Uma função irreversívelque pega uma mensagem de tamanho arbitrário e gerauma quantidade de tamanho fixo. A MD5 é umexemplo de algoritmo de compilação de mensagens.

comunicação assíncrona. Um modo de comunicaçãoque não requer que o emissor e o destinatário estejampresentes ao mesmo tempo.

confidencialidade. Uma propriedade denão-divulgação a pessoas não autorizadas.

Co-processador Criptográfico PCI 4758. Uma placa debarramento PCI programável, com criptografia deresposta contra violação que oferece processamentocriptográfico de DES e RSA com alto desempenho. Osprocessos criptográficos ocorrem em um compartimentoseguro na placa. A placa atende aos rigorosos requisitosdo padrão FIPS PUB 140-1 nível 4. O software pode serexecutado dentro do compartimento seguro. Porexemplo, o processamento de transação com cartões decrédito pode utilizar o padrão SET.

correio de privacidade melhorado (PEM). O padrãode correio de privacidade melhorado da Internetadotado por Internet Architect Board (IAB) parafornecer correio eletrônico seguro na Internet. Osprotocolos PEM fornecem criptografia, autenticação,integridade de mensagens e gerenciamento de chaves.

credencial. Informações confidenciais utilizadas paraprovar a identidade de uma pessoa em uma troca deautenticação. Em ambientes para computação em rede,o tipo mais comum de credencial é um certificadocriado e assinado por um CA.

criptografar. Misturar informações para que somentealguém que tenha a decodificação apropriada possaobter as informações originais por meio dessadecodificação.

criptografia. Em segurança de computadores, osprincípios, meios e métodos para criptografar textocorrido e decriptografar texto criptografado.

criptografia assimétrica. Criptografia que utilizachaves assimétricas diferentes para criptografia edecodificação. Cada usuário recebe um par de chaves:uma chave pública acessível a todos e uma chaveprivada conhecida somente pelo usuário. Umatransação segura pode ocorrer quando a chave públicae a chave privada correspondente são combinadas,permitindo a decodificação da transação. Tambémconhecida como criptografia de pares de chaves.Compare com criptografia simétrica.

criptografia/decodificação. A utilização da chavepública do destinatário pretendido para codificar dados

para essa pessoa, que então utiliza a chave privada dopar para decodificar os dados.

criptografia simétrica. A criptografia que utiliza amesma chave para criptografia e decodificação. Suasegurança está na chave — a divulgação da chavesignifica que alguém pode codificar e decodificarmensagens. A comunicação só permanece secreta se achave permanecer secreta. Compare com criptografiaassimétrica.

criptográfico. Relativo à transformação de dados paraocultar seu significado.

critério de certificado. Um conjunto de regrasdesignado que indica a aplicabilidade de um certificadoa uma determinada classe de aplicativos que possuirequisitos de segurança comuns. Por exemplo, umcritério de certificado pode indicar se determinado tipode certificação permite que um usuário conduzatransações de bens em uma determinada faixa depreços.

CRL. Lista de revogação de certificado.

Ddaemon. Um programa que executa tarefas nosegundo plano. É explicitamente chamado quandoocorre uma condição que requer sua ajuda. Um usuárionão precisa saber da existência de um daemon, porqueele é gerado automaticamente pelo sistema. Umdaemon pode durar para sempre ou o o sistema podegerá-lo novamente com intervalos.

O termo (pronunciado demon) é proveniente damitologia. Posteriormente, ele foi racionalizado como oacrônimo DAEMON: Disk And Execution MONitor.

Data Encryption Standard (DES). Uma cifra de blocode criptografia, definida e aprovada pelo governo dosEUA em 1977 como um padrão oficial. Ele foidesenvolvido originalmente pela IBM. O DES foiextensivamente estudado desde sua publicação e é umsistema criptográfico muito conhecido e amplamenteutilizado.

DES é um sistema criptográfico simétrico. Quando éutilizado para comunicação, tanto o emissor como oreceptor devem conhecer a mesma chave secreta. Estachave é utilizada para criptografar e decriptografar amensagem. O DES também pode ser utilizado paracriptografia por um único usuário, como por exemplopara armazenar arquivos em um disco rígido noformato criptografado. O DES possui um tamanho debloco de 64 bits e utiliza uma chave de 56 bits durantea criptografia. Foi originalmente projetado paraimplementação em hardware. O NIST certificanovamente o DES como um padrão de criptografiaoficial do governo dos EUA a cada cinco anos.


Data Storage Library (DL). Um módulo que forneceacesso a armazenamento de dados permanentes decertificados, CRLs, chaves, critérios e outros objetosrelacionados à segurança.

decriptografar. Desfazer o processo de criptografia.

DEK. Chave de criptografia de documentos.

DER. Distinguished Encoding Rules.

DES. Data Encryption Standard.

destino. Uma fonte de dados designada ouselecionada.

DES triplo. Um algoritmo simétrico que criptografa otexto corrido três vezes. Embora existam várias formasde se fazer isso, a forma mais segura de criptografiamúltipla é o DES triplo com três chaves distintas.

Diffie-Hellman. Um método de estabelecimento deuma chave compartilhada por um meio não confiável,que tem o nome de seus criadores (Diffie e Hellman).

Digital Signature Algorithm (DSA). Um algoritmo dechave pública que é utilizado como parte do DigitalSignature Standard. Não pode ser utilizado paracriptografia, somente para assinaturas digitais.

Directory. Uma estrutura hierárquica que serve comoum repositório global para informações relacionadas àscomunicações (como por exemplo e-mail ou trocascriptográficas). O Directory armazena itens específicosque são essenciais à estrutura PKI, incluindo chavespúblicas, certificados e listas de revogação decertificados.

Os dados no diretório são organizadoshierarquicamente na forma de uma árvore, com a raizno topo da árvore. Geralmente, organizações de níveissuperiores representam países, governos ou empresasindividuais. Os usuários e dispositivos geralmente sãorepresentados como folhas em cada árvore. Essesusuários, organizações, localidades, países edispositivos possuem cada um a sua própria entrada.Cada entrada consiste de atributos inseridos. Elesfornecem informações sobre o objeto que a entradarepresenta.

Cada entrada no Directory está limitada por um nomedistinto (DN) associado. Ele é exclusivo quando aentrada inclui um atributo que deve ser conhecidocomo exclusivo para o objeto do mundo real. Considereo seguinte exemplo de DN. Nele, o país (C) são osEUA, a organização (O) é a IBM, a unidadeorganizacional (OU) é Trust e o nome comum (CN) éCA1.

C=US/O=IBM/OU=Trust/CN=CA1

Distinguished Encoding Rules (DER). Fornecelimitações no BER. O DER seleciona apenas um tipo decodificação dos que são permitidos pelas regras decodificação, eliminando todas as opções do emissor.

DL. Data Storage Library.

DN. Nome distinto.

domínio. Consulte domínio de segurança e domínio deregistro.

domínio confiável. Um conjunto de entidades cujoscertificados foram validados pelo mesmo CA.

domínio de registro. Um conjunto de recursos,critérios e opções de configuração relacionadas aprocessos específicos de registros de certificados. Onome de domínio é um subconjunto da URL que éutilizado para executar o recurso de registro.

domínio de segurança. Um grupo (empresa, grupo ouequipe de trabalho, instituição educacional ougovernamental) cujos certificados foram validados pelomesmo CA. Os usuários que possuem certificados quesão assinados por um CA podem garantir a identidadede outro usuário que possui um certificado assinadopelo mesmo CA.

DSA. Digital Signature Algorithm.

Ee-business. Transações comerciais por meio de redes ecomputadores. Inclui a compra e venda de bens eserviços. Também inclui a transferência de fundos pormeio de comunicações digitais.

e-commerce. Transações comércio a comércio. Incluicompra e venda de bens e serviços (com clientes,revendedores, fornecedores e outros) na Internet. É umelemento principal de e-business.

entidade final. O responsável por um certificado quenão seja um CA.

esquema. Relacionada ao Directory, a estrutura internaque define as relações entre diferentes tipos de objetos.

estrutura interna. Consulte esquema.

extensão de certificado. Um recurso opcional doformato de certificado X.509v3 que fornece a inclusãode campos adicionais no certificado. Existem extensõespadrão e extensões definidas pelo usuário. As extensõespadrão existem para diversos fins, incluindoinformações sobre chaves e critérios, atributos deassuntos e emissores e limitações de caminho decertificação.

extranet. Um derivado da Internet que utilizatecnologia semelhante. As empresas estão começando aaplicar a publicação na Web, o comércio eletrônico,transmissão de mensagens e groupware a vários gruposde clientes, parceiros e pessoal interno.

Glossário 59

Ffirewall. Um gateway entre redes que limita o fluxode informações entre redes. Geralmente, o objetivo deum firewall é proteger redes internas contra o acessonão autorizado de pessoas externas.

FTP. Protocolo de Transferência de Arquivos.

Ggabarito de processo comercial. Um conjunto deobjetos de processo comercial executados em umaordem especificada.

gateway. Uma unidade funcional que permite queredes ou aplicativos incompatíveis se comuniquem.

HHierarquia de CA. No Trust Authority, uma estruturaconfiável pela qual um CA fica localizado na partesuperior da estrutura e até quatro camadas de CAssubordinados ficam localizadas abaixo. Quando osusuários ou servidores são registrados com um CA,eles recebem um certificado assinado pelo CA e herdama hierarquia de certificação das camadas acima.

hipertexto. Texto que contém palavras, frases ougráficos nos quais o leitor pode clicar com o mousepara recuperar e exibir outro documento. Essaspalavras, frases ou gráficos são conhecidos comohiperlinks. A recuperação deles é conhecida como oestabelecimento de links entre eles.

histórico da ação. Os eventos acumulados no ciclo devida de uma credencial.

HTML. Hypertext Markup Language.

HTTP. Hypertext Transaction Protocol.

Hypertext Markup Language (HTML). Umalinguagem de marcações para a codificação de páginasda Web. Baseia-se em SGML.

Hypertext Transaction Protocol (HTTP). Umprotocolo de cliente/servidor da Internet usado para atransferência de arquivos de hipertexto na Web.

IICL. Lista de certificados emitidos.

ID da transação. Um identificador fornecido pelo RAem resposta a um pedido de inscrição de pré-registro.Permite a um usuário executar o aplicativo TrustAuthority Client para obter o certificado pré-aprovado.

ID do pedido. Um valor ASCII de 24 a 32 caracteresque identifica exclusivamente um pedido de certificado

para o RA. Este valor pode ser utilizado na transaçãode pedido do certificado para recuperar o status dopedido ou o certificado que está associado a ele.

identificador de objetos (OID). Um valor de dadosatribuído de forma administrativa do tipo definido emnotação de sintaxe abstrata 1 (ASN.1).

IETF (Internet Engineering Task Force). Um grupoque focaliza o planejamento e o desenvolvimento deprotocolos para a Internet. Representa umacomunidade internacional de projetistas, operadores,fornecedores e pesquisadores. O IETF está voltado parao desenvolvimento da arquitetura da Internet e àutilização adequada da Internet.

infra-estrutura de chave pública (PKI). Um padrãopara software de segurança com base na criptografia dechaves públicas. PKI é um sistema de certificadosdigitais, autoridades de certificados, autoridades deregistros, serviços de gerenciamento de certificados eserviços distribuídos de diretórios. Utilizada paraverificar a identidade e autoridade de cada parteenvolvida em qualquer transação pela Internet. Estastransações podem envolver operações em que énecessária a verificação da identidade. Por exemplo,elas podem confirmar a origem de disputas detransmissão, autores de mensagens de e-mail outransações financeiras.

A PKI consegue fazer isso tornando as chaves públicasde criptografia e certificados de usuários disponíveispara autenticação por um indivíduo ou organizaçãoválida. Ela fornece diretórios que contêm as chavespúblicas de criptografia e certificados que sãoutilizados na verificação de certificados digitais,credenciais e assinaturas digitais.

A PKI fornece meios de agilizar e melhorar as respostasde a consultas e pedidos de verificação de chavespúblicas de criptografia. Ela também identifica ameaçaspotenciais de segurança ao sistema e mantém recursospara lidar com violações de segurança. Por último, aPKI fornece um serviço de marca de hora paraimportantes transações comerciais.

IniEditor. No Trust Authority, uma ferramentautilizada para editar arquivos de configuração.

inscrição. No Trust Authority o processo de obtençãode credenciais para utilização na Internet. A inscriçãoinclui o pedido, a renovação e a revogação decertificados.

integridade. Um sistema protege a integridade dosdados se ele impedir a modificação não autorizada (ooposto de proteger a confidencialidade dos dados, queimpede a divulgação não autorizada).

International Standards Organization (ISO). Umaorganização internacional responsável pelodesenvolvimento e publicação de padrões para tudo,desde copos de vinho a protocolos de redes decomputadores.


International Telecommunication Union (ITU). Umaorganização internacional na qual os governos e o setorprivado coordenam as redes e serviços detelecomunicação global. É o principal editor deinformações sobre tecnologia, regulamentos e padrõesde telecomunicação.

Internet. Uma coleção global de redes que fornececonexão eletrônica entre computadores. Ela permite queeles se comuniquem por meio de dispositivos desoftware, como por exemplo correio eletrônico ounavegadores da Web. Por exemplo, algumasuniversidades estão em uma rede que, por sua vez, sevincula com outras redes semelhantes para formar aInternet.

intervalo de publicação de CRL. Definido no arquivode configuração do CA, o intervalo de tempo entrepublicações periódicas de CRL para o Directory.

intranet. Uma rede dentro de uma empresa quegeralmente reside atrás de firewalls. É um derivado daInternet e utiliza tecnologia semelhante. Tecnicamente,intranet é uma simples extensão da Internet. HTML eHTTP são alguns dos seus componentes.

IPSec. Um padrão de Segurança de Protocolo Internet,desenvolvido por IETF. IPSec é um protocolo decamada de rede, projetado para fornecer serviços desegurança criptográfica que suportam de formasignificativa combinações de autenticação, integridade,controle de acesso e confidencialidade. Por ter grandesrecursos de autenticação, ele foi adotado por váriosfornecedores de produtos VPN como o protocolo paraestabelecer conexões seguras ponto a ponto pelaInternet.

ISO. International Standards Organization.

ITU. International Telecommunication Union.

JJava. Um conjunto de tecnologias de computadoresespecíficas sem plataformas, com reconhecimento derede, desenvolvido pela Sun Microsystems,Incorporated. O ambiente Java consiste do Java OS, demáquinas virtuais para diversas plataformas, dalinguagem de programação Java orientada a objetos ede várias bibliotecas de classes.

Java Virtual Machine (JVM). A parte do ambiente detempo de execução Java responsável pela interpretaçãode códigos de bytes.

KKeyStore. Uma DL para o armazenamento decredenciais de componentes do Trust Authority, comochaves e certificados, em um formato criptografado.

LLDAP. Lightweight Directory Access Protocol.

Lightweight Directory Access Protocol (LDAP ). Umprotocolo utilizado para acessar o Directory.

linguagem Java. Uma linguagem de programação,desenvolvida pela Sun Microsystems, projetadaespecificamente para ser utilizada em miniaplicativos eaplicativos agentes.

lista de certificados emitidos (ICL). Uma listacompleta de certificados que foram emitidos e seusstatus atuais. Os certificados são indexados por númerode série e estado. Esta lista é mantida pelo CA earmazenada no banco de dados dele.

lista de controle de acesso (ACL). Um mecanismo quelimita a utilização de um recurso específico a usuáriosautorizados.

lista de revogação de certificado (CRL). Uma lista decertificados assinados digitalmente, com marca de horaque foi revogada pela autoridade de certificado. Oscertificados nesta lista devem ser consideradosinaceitáveis. Consulte também certificado digital.

log de auditoria. Em Trust Authority, uma tabela emum banco de dados que armazena um registro porevento de auditoria.

MMAC. Código de autenticação da mensagem.

MD5. Uma função hash de compilação de mensagensem uma só direção, projetada por Ron Rivest. É umaversão melhorada da MD4. A MD5 processa texto deentrada em blocos de 512 bits, divididos em 16sub-blocos de 32 bits. A saída do algoritmo é umconjunto de quatro blocos de 32 bits, que seconcatenam para formar um único valor hash de 128bits. Também é utilizada juntamente com a MD2 emprotocolos PEM.

MD2. Uma função hash de compilação de mensagensde 128 bits, projetada por Ron Rivest. É utilizada com aMD5 nos protocolos PEM.

MD4. Uma função hash de compilação de mensagensde 128 bits, projetada por Ron Rivest. É várias vezesmais rápida que a MD2.

MIME (Multipurpose Internet Mail Extensions). Umconjunto amplamente disponível de aplicativos quepermite a troca de texto em idiomas com diferentesconjuntos de caracteres. Também permite a troca dee-mail multimídia entre muitos sistemas diferentes decomputadores que utilizam padrões de correio daInternet. Por exemplo, as mensagens de e-mail podem

Glossário 61

conter conjuntos de caracteres diferentes de ASCIIamericano, texto melhorado, imagens e sons.

miniaplicativo. Um programa de computador escritoem Java e executado em um navegador da Webcompatível com Java. Também conhecido comominiaplicativo Java.

miniaplicativo Java. Consulte miniaplicativo. Comparecom aplicativo Java.

modelo confiável. Uma convenção de estrutura quecontrola a forma com que as autoridades de certificadosvalidam outras autoridades de certificados.

módulo. No sistema criptográfico de chaves públicasRSA, o produto (n) de dois grandes princípios: p e q. Omelhor tamanho para um módulo RSA depende dasnecessidades de segurança de alguém. Quanto maior omódulo, maior será a segurança. Os tamanhos dechaves atuais recomendados por RSA Laboratoriesdependem da utilização planejada para a chave: 768bits para uso pessoal, 1024 bits para uso de empresas e2048 bits para chaves extremamente importantes, comoo par de chaves de um CA. Espera-se que uma chavede 768 bits seja segura pelo menos até o ano de 2004.

Nnão-rejeição. A utilização de uma chave privadadigital para impedir que o signatário de um documentose negue falsamente que tenha o assinado.

National Language Support (NLS). Suporte de umproduto para diferenças em locales, incluindo idioma,moeda, formato de data e hora e representaçãonumérica.

National Security Agency (NSA). O corpo oficial desegurança do governo dos EUA.

navegador. Consulte navegador da Web.

navegador da Web. O software cliente que éexecutado em um desktop e permite que o usuárionavegue pela World Wide Web ou em páginas HTMLlocais. É uma ferramenta de recuperação que forneceacesso universal à grande coleção de materiaishipermídia disponíveis na Web e na Internet. Algunsnavegadores podem exibir texto e gráficos e algunspodem exibir somente texto. A maioria dosnavegadores pode manipular as principais formas decomunicação da Internet, como transações de FTP.

NIST. National Institute of Standards and Technology,anteriormente conhecido como NBS (National Bureauof Standards). Promove padrões de abertura einteroperabilidade em indústrias com base emcomputadores.

NLS. National language support.

nome distinto (DN). O nome exclusivo de umaentrada de dados que fica armazenada no Directory. ODN identifica exclusivamente a posição de uma entradana estrutura hierárquica do Directory.

nonce. Uma cadeia que é enviada de um servidor ouaplicativo, solicitando autorização do usuário. Ousuário ao qual é solicitada a autenticação assina ononce com uma chave privada. A chave pública dousuário e o nonce assinado são retornados ao servidorou ao aplicativo que solicitou a autenticação. Então oservidor tenta decodificar o nonce assinado com achave pública do usuário. Se o nonce decodificado forigual ao nonce original que foi enviado, o usuário seráautenticado.

NSA. National Security Agency.

Oobjeto. Um projeto ou programação orientada aobjetos, uma abstração que encapsula dados e asoperações associadas a esses dados. Consulte tambémclasse.

objetos de processo comercial. Um conjunto decódigos utilizados para a realização de uma operaçãode registro específica, como por exemplo verificar ostatus de um pedido de inscrição ou verificar se umachave pública foi enviada.

ocorrência. Em DB2, ocorrência é um ambiente degerenciamento de bancos de dados lógicos para oarmazenamento de dados e a execução de aplicativos.Permite a definição de um conjunto comum deparâmetros de configuração para vários bancos dedados.

ODBC. Open Database Connectivity.

Open Database Connectivity (ODBC). Um padrãopara acessar diferentes sistemas de bancos de dados.

Open Systems Interconnect (OSI). O nome dospadrões de rede de computadores aprovados pela ISO.

OSI. Open Systems Interconnect.

Ppar de chaves. Chaves correspondentes que sãoutilizadas em criptografia assimétrica. Uma chave éutilizada para criptografar e a outra paradecriptografar.

par de chaves pública/privada. Um par de chavespública/privada faz parte do conceito de criptografiade pares de chaves (apresentado em 1976 por Diffie eHellman para solucionar o problema de gerenciamentode chaves). Em seu conceito, cada pessoa obtém umpar de chaves, uma chamada de chave pública e aoutra chamada de chave privada. Cada chave pública


da pessoa se torna pública enquanto a chave privada émantida em segredo. O emissor e receptor nãoprecisam compartilhar informações secretas: todas ascomunicações envolvem somente chaves públicas enenhuma chave privada é transmitida oucompartilhada. Não é mais necessário encarregar algumcanal de comunicação para proteger contra intrusão ouinconfidência. O único requisito necessário é que aschaves públicas devem ser associadas a seus usuáriosde uma forma confiável (autenticada) (por exemplo, emum diretório confiável). Qualquer pessoa que enviauma mensagem confidencial utilizando informaçõespúblicas. No entanto, a mensagem pode serdecodificada somente com uma chave privada, que estána posse somente do destinatário pretendido. Alémdisso, a criptografia do par de chaves pode serutilizada não somente para privacidade (criptografia),mas também para autenticação (assinaturas digitais).

PEM. Correio de privacidade melhorado.

perfil de certificado. Um conjunto de característicasque definem o tipo de certificado desejado (comocertificados SSL ou certificados IPSec). O perfil ajuda nogerenciamento de especificação e registro decertificados. O emissor pode alterar os nomes dos perfise especificar características do certificado desejado,como o período de validade, utilização das chaves,limitações de DNs etc.

PKCS #10. Consulte Public Key CryptographyStandards.



PKCS. Public Key Cryptography Standards.



PKI. Infra-estrutura de chave pública.

PKIX. Um PKI com base em X.509v3.

PKIX CMP. PKIX certificate management protocol.

PKIX CMP (certificate management protocol). Umprotocolo que permite conexões com aplicativoscompatíveis com PKIX. O PKIX CMP utiliza o TCP/IPcomo seu mecanismo de transporte principal, masexiste uma camada de abstração sobre os soquetes. Issoativa o suporte para transportes de polling adicionais.

privacidade. Proteção contra a divulgação de dadosnão autorizada.

processo de registro. Em Trust Authority, as etapaspara validar um usuário de forma que esse usuário e achave pública dele possam ser certificados paraparticiparem de transações. Esse processo pode serlocal ou com base na Web e pode ser automatizado ouadministrado através da interação do usuário.

protocolo. Uma convenção estabelecida para garantira comunicação entre computadores.

Protocolo de Transferência de Arquivos (FTP). Umprotocolo cliente/servidor da Internet utilizado para atransferência de arquivos entre computadores.

Public Key Cryptography Standards (PKCS). Padrõesnão formais entre fornecedores desenvolvidos em 1991por RSA Laboratories com representantes de diversosfornecedores de computadores. Estes padrões englobama criptografia RSA, o acordo Diffie-Hellman, acriptografia com base em senha, a sintaxe estendida decertificado, a sintaxe de mensagem criptográfica, asintaxe de informações sobre a chave privada e asintaxe de certificação.

v O PKCS #1 descreve um método para criptografardados utilizando o sistema de criptografia de chavepública RSA. Seu uso é planejado na criação deassinaturas e de envelopes digitais.

v O PKCS #7 especifica um formato geral paramensagens criptográficas.

v O PKCS #10 especifica uma sintaxe padrão parapedidos de certificação.

v O PKCS #11 define uma interface de programaçãoindependente de tecnologia para dispositivoscriptográficos, como por exemplo cartões inteligentes.

v O PKCS #12 especifica um formato portátil paraarmazenar ou transportar chaves privadas,certificados, vários segredos de um usuário etc.

RRA. Autoridade de registro.

RA Desktop. Um miniaplicativo Java que fornece RAscom uma interface gráfica para o processamento depedidos para credenciais e a administração delas emtoda a sua duração.

RC2. Uma cifra de bloco de chaves de tamanhovariável, projetada pelo Ron Rivest for RSA DataSecurity. RC significa Ron’s Code ou Rivest’s Cipher. Émais rápida que o DES e foi projetada como umasubstituição de erro de leitura por excesso. Ela pode setornar mais segura ou menos segura que o DES napesquisa exaustiva de chaves através da utilização dostamanhos de chaves apropriados. Possui um tamanhode bloco de 64 bits e é duas ou três vezes mais rápidaque o DES no software. O RC2 pode ser utilizado nosmesmos modos que o DES.

Um acordo entre a Software Publishers Association(SPA) e o governo dos Estados Unidos dá um status

Glossário 63

especial ao RC2. Isto torna o processo de aprovação deexportação mais simples e mais rápido que o processonormal de exportação criptográfica. No entanto, paraser indicado para aprovação de exportação rápida, umproduto deve limitar o tamanho da chave do RC2 em40 bits com algumas exceções. Uma cadeia adicionalpode ser utilizada para impedir que intrusos tentemcalcular antecipadamente uma grande tabela depesquisa de possíveis criptografias.

receptor PKIX. O servidor HTTP público utilizado porum determinado domínio de registro para receberpedidos do aplicativo Trust Authority Client.

recurso de registro. Uma estrutura do aplicativo TrustAuthority que fornece meios especializados deinscrever entidades (como navegadores, roteadores,e-mail e aplicativos de clientes seguros) e gerenciarcertificados em todo seu ciclo de vida.

Rede Privada Virtual (VPN). Uma rede de dadosprivada que utiliza a Internet em vez de linhastelefônicas para estabelecer conexões remotas. Como osusuários acessam recursos da rede corporativa pormeio de um Internet Service Provider (ISP) em vez deuma companhia telefônica, as organizações podemreduzir significativamente os custos do acesso remoto.Um VPN também melhora a segurança de trocas dedados. Em tecnologia de firewall tradicional, oconteúdo da mensagem pode ser criptografado, mas osendereços de origem e de destino não. Em tecnologiade VPN, os usuários podem estabelecer uma conexãopor túnel em que todo o pacote de informações(conteúdo e cabeçalho) é criptografado e encapsulado.

registro prévio. No Trust Authority, um processo quepermite a um usuário, em geral, um administrador,inscrever outros usuários. Se o pedido for aprovado, oRA fornecerá informações que permitem ao usuárioobter o certificado em um outro momento utilizando oaplicativo Trust Authority Client.

registrador. Um usu rio que foi autorizado a acessar oRA Desktop para administrar certificados e pedidos decertificados.

repudiar. Rejeitar como falso; por exemplo, negar quevocê enviou uma mensagem específica ou submeteuum pedido específico.

RSA. Um algoritmo criptográfico de chave públicaque tem o nome de seus criadores (Rivest, Shamir eAdelman). É utilizado para criptografia e assinaturasdigitais.

Ssaída de critério. Em um recurso de registro, umprograma definido pela organização que é chamadopelo aplicativo do registro. As regras especificadas em

uma saída de critério aplicam as preferências denegócios e de segurança da organização ao processo deinscrição.

Secure Electronic Transaction (SET). Um padrãoindustrial que facilita o pagamento seguro com cartãode crédito ou cartão de débito em redes não confiáveis.O padrão incorpora a autenticação de titulares decartões, comerciantes e bancos emissores de cartõesporque ele exige a emissão de certificados.

Secure Sockets Layer (SSL ). Um protocolo decomunicações padrão IETF com serviços de segurançainternos que são o mais transparente possível para ousuário final. Ele fornece um canal de comunicaçõesseguras digitalmente.

Um servidor compatível com SSL geralmente aceitapedidos de conexão de SSL em uma porta diferente desolicitações de pedidos de HTTP padrão. O SSL criauma sessão durante a qual os sinais de troca paraconfigurar as comunicações entre os dois modemsprecisam ocorrer somente uma vez. Depois disso, acomunicação é criptografada. A verificação deintegridade da mensagem continua até que a sessão doSSL expire.

servidor. (1) Em uma rede, uma estação de dados quefornece funções para outras estações: por exemplo, umservidor de arquivos. (2) Em TCP/IP, um sistema emuma rede que manipula os pedidos de um sistema emoutro site, chamado de cliente/servidor.

Servidor CA. O servidor do componente CA(Certificate Authority) do Trust Authority.

servidor de Auditoria. Um servidor Trust Authorityque recebe eventos de auditoria de clientes de auditoriae registra-os em um log de auditoria.

servidor Directory. No Trust Authority, o IBMSecureWay Directory. Este Directory suporta padrõesLDAP e utiliza DB2 como base.

servidor HTTP. Um servidor que manipulacomunicações com base na Web com navegadores eoutros programas em uma rede.

servidor proxy. Um intermediário entre o computadorque está solicitando o acesso (computador A) e ocomputador que está sendo acessado (computador B).Dessa forma, se um usuário final faz um pedido de umrecurso no computador A, este pedido é direcionado aum servidor proxy. O servidor proxy faz o pedido,obtém a resposta do computador B e a encaminha parao usuário final. Os servidores proxy são úteis paraacessar recursos da World Wide Web de dentro de umfirewall.

servidor RA. O servidor do componente TrustAuthority Autoridade de Registro.


servidor Web. Um programa servidor que respondeaos pedidos de recursos de informações de programasdo navegador. Consulte também servidor.

servlet. Um programa servidor que fornecefuncionalidade adicional a servidores ativados por Java.

SET. Secure Electronic Transaction.

SGML. Standard Generalized Markup Language.

SHA-1 (Secure Hash Algorithm). Um algoritmo quefoi projetado por NIST e NSA para ser utilizado com oDigital Signature Standard. O padrão é o Secure HashStandard; SHA é o algoritmo utilizado pelo padrão. OSHA produz um hash de 160 bits.

Simple Mail Transfer Protocol (SMTP). Um protocoloque transfere correio eletrônico pela Internet.

S/MIME. Um padrão que suporta a assinatura e acriptografia de e-mail transmitido pela Internet.Consulte MIME.

SMTP. Simple Mail Transfer Protocol.

SSL. Secure Sockets Layer.

Standard Generalized Markup Language (SGML).Uma padrão para utilizado descrever linguagens demarcações. O HTML baseia-se em SGML.

subsistema de auditoria. Em Trust Authority, umsubsistema que fornece suporte para o registro de açõesrelevantes de segurança. Ele está de acordo com asrecomendações no padrão X9.57 dos padrões definidosna Public Key Cryptography for the Financial ServicesIndustry.

TTCP/IP. Transmission Control Protocol/InternetProtocol.

texto corrido. Dados não criptografados. Sinônimo detexto sem criptografia.

texto sem criptografia. Dados que não estãocriptografados. Sinônimo de texto corrido.

tipo. Consulte tipo de objeto.

tipo de objeto. Um tipo de objeto que pode serarmazenado no Directory. Por exemplo, umaorganização, uma sala de reuniões, um dispositivo,uma pessoa, um programa ou um processo.

TP. Critério Confiável.

Trust Authority. Uma solução de segurança integradado IBM SecureWay que suporta a emissão, renovação erevogação de certificados digitais. Estes certificadospodem ser utilizados em uma ampla faixa de

aplicativos da Internet, fornecendo meios de autenticarusu rios e garantir comunicações confi veis.

Transmission Control Protocol/Internet Protocol(TCP/IP ). Um conjunto de protocolos de comunicaçãoque suportam funções de conectividade ponto a pontoem redes locais e de longa distância.

trilha de auditoria. Dados, na forma de um caminhológico, que vincula uma seqüência de eventos. Umatrilha de auditoria permite o rastreio de transações oudo histórico de uma determinada atividade.

túnel. Em tecnologia VPN, uma conexão virtual pontoa ponto por pedido feita pela Internet. Enquantoconectados, os usuários remotos podem utilizar o túnelpara trocar informações seguras, criptografadas eencapsuladas com servidores na rede corporativaprivada.

UUnicódigo. Um conjunto de caracteres de 16 bits que édefinido pela ISO 10646. O padrão de codificação docaractere Unicódigo é um código de caracteresinternacionais utilizado para o processamento deinformações. O padrão Unicódigo inclui os principaisscripts do mundo e fornece a base para ainternacionalização e localização de software. Todo ocódigo fonte no ambiente de programação Java éescrito em Unicódigo.

Uniform Resource Locator (URL). Um esquema paraendereçar recursos na Internet. A URL especifica oprotocolo, o nome do host ou o endereço IP. Elatambém inclui o número da porta, o caminho e osdetalhes do recurso necessários para acessar umrecurso em uma determinada máquina.

URL. Uniform Resource Locator.

UTF-8. Um formato de transformação. Permite que ossistemas de processamento de informações quemanipulam somente conjuntos de caracteres de 8 bitsconvertam Unicódigo de 16 bits em um equivalente de8 bits e vice-versa sem a perda de informações.

Vvalidação em cadeia. A validação de todas asassinaturas de CA na hierarquia confiável por meio daqual um determinado certificado foi emitido. Porexemplo, se um CA emitiu seu certificado assinado poroutro CA, as duas assinaturas são aceitas durante avalidação do certificado apresentado pelo usuário.

variável de inscrição. Consulte atributo de inscrição.

verificação de integridade. A verificação de registrosde auditoria resultantes de transações comcomponentes externos.

Glossário 65

VPN. Rede Privada Virtual.

WWebSphere Application Server. Um produto IBM queajuda os usuários a desenvolver e gerenciar sites daWeb de alto desempenho. Ele facilita a transação depublicação simples na Web a aplicativos avançados dee-business da Web. O WebSphere Application Serverconsiste de um mecanismo servlet com base em Javaque é independente do servidor Web e de seu sistemaoperacional básico.

World Wide Web (WWW). A parte da Internet em queuma rede de conexões é estabelecida entrecomputadores que contém materiais hipermídia. Essesmateriais fornecem informações e podem fornecer linkspara outros materiais na WWW e na Internet. Osrecursos da WWW são acessados por um programa donavegador da Web.

XX.500. Uma padrão para colocar em vigor um serviçode diretório de vários fins, distribuído e replicado pelainterconexão de sistemas de computadores. Definidopela International Telecommunications Union (ITU),anteriormente conhecida como CCITT juntamente coma International Organization for Standardization e aInternational Electro-Chemical Commission (ISO/IEC).


Índice Remissivo

Aadministrador do Directory

descrito 32DN 42senha 42

alternativas de mouse 47aplicar valores de configuração 46aplicativo do cliente

descrito 33pedidos de PKIX 33porta do servidor para 45

armazenamento de chaves de CA emhardware 39

arquivo CfgSetupWizard.html 9arquivo Leia me 3arquivo slapd.conf 20arquivo swingall.jar 9arquivos de configuração, edição 21árvore do Directory 31Assistente de Configuração

auxílio para 9, 10configuração do navegador da

Web 5controles de teclado 47início 9, 37localização da instalação 20opções de acessibilidade 47preparando para executar 5processo de configuração 46proteção 20saída 37

atributos, DNexemplo 14seqüência 14

autorização de registradores 22auxílio para o Assistente de

Configuração 9, 10

Bbackup do sistema 22biblioteca Swing 5Botão Finish 46botão View Advanced Messages 46

Ccartões inteligentes 33Central de Credenciais 18certificados PKIX

descrito 33porta para processamento 45

chave de CAalgoritmo 39armazenamento em hardware 35, 39tamanho 39

chave de RSA 39chaves de criptografia, para o CA 39co-processador 4758

armazenamento da chave de CA 39armazenamento de chaves em 35

co-processador 4758 (continuação)descrito 35permissão para o CA 39tamanho da chave de RSA 39

coleta de dados de configuração 6configuração

banco de dados do TrustAuthority 46

estações de trabalho 5informações sobre status 46servidores remotos 13

configuração remota 13controles de teclado 47

Ddados de configuração

administrador do Directory 42aplicando 46aplicativo do Client 45chave de CA 39co-processador 4758 39DN de CA 39domínio de registro 43formulário para registrar opções 7importando 12, 37migrando 37nome do servidor CA 39nome do servidor de Auditoria 39nome do servidor Directory 41opções de autenticação de cliente 44opções de inicialização 37pedidos do Client 45porta do servidor CA 39porta do servidor de Auditoria 39porta do servidor Directory 41raiz do Directory 41resumo 45salvando 45senha do Trust Authority 38servidor public Web 44servidores secure Web 44verificação 18

DB2, descrito 30digitação de DNs 14DN da raiz

descrito 32nome 41senha 41

DNsadministrador do Directory 42árvore do Directory 31Autoridade de Certificado 39endereço 17esquema do Directory 31estado ou região 17exemplo 14localidade 17não-Inglês 48nome comum 16nome da organização 16nome do país 16

DNs (continuação)raiz do Directory 41regras para digitação 14unidade organizacional 16utilizando o Editor DN 16

domínios de registrodescrito 33diretório de instalação 43linguagem 43não-Inglês 48nome 43personalização 22

download do swingall.jar 9

Eeditando arquivos de configuração 21editando DNs 16editor DN

controles de teclado 47descrito 16DN da raiz do Directory 41DN de CA 39DN do administrador do

Directory. 42ícone 39, 41, 42informações gerais 16informações sobre a localização 17informações sobre a organização 16seqüência de atributos 17tipo de formato 17utilização 16

endereço, no DN 17endereços IP

servidor CA e Auditoria 39servidor Directory 41servidor public Web 44servidor secure Web 44servidor Trust Authority 37

enviando pedidos de certificados 18esquema do Directory 31estado ou região, no DN 17exibição

mensagens de configuração 18, 46status da configuração 46

Fferramenta AuditArchiveAndSign 29ferramenta AuditIntegrityCheck 29formulário de dados de configuração 7formulário para dados de

configuração 7

IIBM HTTP Server 35, 44importando dados de configuração 12,

37início do Assistente de Configuração 9inscrição 18


Llista de certificados emitidos (ICL) 30lista de revogação de certificados

(CRL) 30localidade, no DN 17

MMAC (código de autenticação da

mensagem)em processamento de Auditoria 29em processamento de CA 30

mascaramento de eventos deauditoria 29

mensagens, exibindo 18, 46mensagens de log 18migrando dados de configuração 37

Nnome comum, no DN 16nome da organização, no DN 16nome do usuário cfguser 9, 38nomes de hosts

servidor CA e Auditoria 39servidor Directory 41servidor public Web 44servidor Trust Authority 37servidores secure Web 44

Oopções de acessibilidade 47opções de inicialização 37

Ppadrão LDAP 31país, no DN 16pedidos de certificados, enviando 18permissões, slapd.conf 20personalização de domínios de

registro 22portas

aplicativo do Client 45cliente-autenticação 44servidor CA e Auditoria 39servidor Directory 41servidor public Web 44servidores secure Web 44

processo de configuração 46programa CfgStart

em máquinas remotas 13no AIX 11no NT 11

programa IniEditor 21proteção do Assistente de

Configuração 20protocolo de gerenciamento de

certificados (CMP) 33

Rreconfiguração do sistema 23registradores, autorização 22

remoção de instalaçãocomponentes do servidor do AIX 24componentes do servidor do NT 27

renomeação do Assistente deConfiguração 20

requisitos da estação de trabalho 5requisitos da máquina 5requisitos do navegador 5, 48requisitos do sistema 5

Ssalvando dados de configuração 45senhas

administrador do Directory 42DN da raiz 41servidor Trust Authority 38troca 21

servidor CAalgoritmo de assinatura 39descrito 30nome distinto 39nome do host 39número da porta 39opção de co-processador 4758 39tamanho da chave 39

servidor de Auditoriadescrito 29nome do host 39número da porta 39

servidor de Diretórioadministrador do Directory 42descrito 31DN da raiz 41nome do host 41número da porta 41permissões de propriedade 20

servidoresAuditoria 39CA 39Directory 41IBM HTTP 44public 44RA 45remoção da instalação do AIX 24remoção da instalação do Windows

NT 27secure 44Trust Authority 37

servidores da Webno Trust Authority 35nome do servidor public 44nomes do servidor secure 44porta do servidor public 44portas do servidor secure 44

sha–1WithRSAEncryption 39sistema de produção, preparando

para 20sistemas operacionais, suportados 5site da Web, Trust Authority 3site da Web do Trust Authority 3SSL

descrito 34no Trust Authority 35servidores secure Web 44

Uunidade organizacional, no DN 16URLs

do Assistente de Configuração 9para Central de Credenciais 18para domínios de registro 33para o arquivo Leia me 3para Trust Authority 3

usuário de configuração 9, 38usuário de configuração do Trust

Authority 9, 38utilitário add_rauser 22utilitário Alterar a Senha 21

Vverificando a configuração 18visão geral do produto 1


IBM

Número do Programa: 5648-D09

Impresso em Brazil

S517-6878-01

Manual de Configuração -...

Documents

Transcript of Manual de Configuração -...