Tivoli PKI Systemverwaltung - FTP Directory Listing
Contents
1. Erweiterung von Zertifizierungsregeln Alternativname des Ausstellers Diese Erweiterung enth lt eine Reihe von Regelanzeigern Ein solcher Anzeiger kann beispielsweise eine Objekt kennung sein deren Bedeutung publiziert werden muss Es kann sich jedoch auch um eine Objektkennung in Verbin dung mit einer Beschreibung der angestrebten Regel han deln Die Beschreibung der Regel kann durch eine Webadresse angegeben sein unter der sie abgerufen werden kann oder aber durch einen kurzen Text der in das Zertifi kat aufgenommen wird Diese Erweiterung enth lt einen oder mehrere Alternativ namen in verschiedenen Namensformaten f r den Aussteller des Zertifikats Der Wert dieser Erweiterung wird immer vom CA definiert Directory Attribute des Zertifikats gegenstands Diese Erweiterung enth lt eine Reihe zus tzlicher Directory Attribute des Zertifikatsgegenstands die nicht Teil des regis trierten Namens sind Diese Erweiterung muss als unkritisch definiert werden Erweiterte Schl sselverwendung Diese Erweiterung enth lt eine Reihe von Objektkennungen die den Nutzungszweck f r den zertifizierten ffentlichen Schl ssel angeben Die Einstellungen werden in der Regel durch Zertifizierungsschablonen definiert Die Werte dieser Erweiterung k nnen durch eine Benutzergemeinschaft defi niert oder von RFC 2459 abgeleitet werden Grundlegende Einschr nkungen Diese Erweiterung ist nur bei CA Zertifikaten sin2. Nach der Ausf hrung des Befehls wird eine Erfolgs oder Fehlernachricht angezeigt 38 Version 3 Release 7 1 Verschl sselung f r die RA Datenbank aktivieren Standardm ig werden Informationen in der Registrierungseinrichtung Datenbank nicht verschliisselt Nach der Konfiguration des Tivoli PKI Systems Konnen Sie die Datenbank verschl sselung durch Ausf hren des Programms iauEnableRADBSec aktivieren Wenn Sie jauEnableRADBSec ausf hren untersucht das Programm die Datei raconfig cfg um fest zustellen ob die Datenbankverschl sselung bereits aktiviert ist Falls nicht wird die Ver schl sselung vom Programm iauEnableRADBSec aktiviert Ist die Aktivierung bereits erfolgt gibt das Programm eine Nachricht aus und wird beendet Das Programm iauEnableRADBSec aktualisiert die RADATABASE und afservice RADB Eintr ge in der Datei raconfig cfg mit den generierten Chiffrierschl sseln Anschlie end werden die Werte f r diese Eintr ge verschl sselt und Base 64 codiert Anmerkung Im Unterverzeichnis etc des virtuellen Root Installationsverzeichnisses das f r Ihre Registrierungsdom ne konfiguriert wurde der im Setup Wizard ange gebene Wert f r das Root Installationsverzeichnis wird eine Sicherungskopie der Datei raconfig cfg erstellt Der Name der Sicherungskopie lautet racon fig cfg ERADSBKUP Verwenden Sie je nach Betriebssystem eine der folgenden Prozeduren um die Versc
3. m Unter Windows NT 1 2 Melden Sie sich bei Windows NT als Systemadministrator an Starten Sie den Task Manager durch Driicken der Tastenkombination Strg Alt und Entf 3 W hlen Sie die Registerkarte Prozesse aus Suchen Sie nach dem Prozess slapd exe Finden Sie diesen Prozess fahren Sie mit Schritt H fort Finden Sie diesen Prozess nicht lesen Sie bitte im Abschnitt L Fehlerbe eite nach Wechseln Sie an der MS DOS Eingabeaufforderung in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standardpfad c Program Files IBM Trust Authority bin Tivoli PKI Systemverwaltung 63 asiamsuayabio ANZ u uol guulojuj 6 Stellen Sie sicher dass das Directory erfolgreich antwortet und verwenden Sie hierzu folgenden Befehl isdirup h server a port p installationspfad t1 Hierbei steht server f r den Namen der Maschine auf der das Directory ausgef hrt wird port f r den Listener Port des Directory Servers und installationspfad f r den Pfad in dem das Directory installiert ist Ist die Antwort des Directory erfolgreich wird folgende Nachricht angezeigt isdirup returning 0 Directory Server Protokolle prufen Sie k nnen die Protokolle des Directory Servers an den in abe priifen Tabelle 9 Protokolle des Directory Servers e 9 angegebenen Positionen AIX Standardpfad Windows NT Standardpfad Beschreibung tmp slapd errors c Directory Installationspfad
4. 59 asioamsudyebo ANZ UOUONEWIOJUL 60 DB2 Datenbanken verwalten In diesem Abschnitt werden grundlegende Prozeduren f r Betrieb und Verwaltung von DB2 Datenbanken erl utert N here Informationen hierzu finden Sie in der DB2 UDB Dokumen tation Tivoli PKI verwendet die in Tabelle aufgef hrten Datenbanken Tabelle 8 Datenbankpositionen Exemplar Datenbankname Beschreibung cfguser cfgdb Die Trust Authority Standard Konfigurations datenbank cfguser ibmdb Die CA Standarddatenbank cfguser pkrfdb Die Standard Registrierungsdatenbank cfguser adtdb Die Standard Priifdatenbank cfguser AIX Idapdb Die Standard Directory Datenbank bei einer Installation mit Tivoli PKI Wenn Sie ein vor IdapInst Windows NT handenes Verzeichnis verwenden wird diese Position von Ihrem Unternehmen festgelegt cfguser krbdb Die Standarddatenbank f r das Sichern und Wie derherstellen von Schl sseln Status der DB2 Datenbanken pr fen Je nach Umgebung k nnen Sie den Status von DB2 Datenbanken mit folgenden Prozeduren pr fen m Unter AIX 1 Melden Sie sich bei AIX als Systemadministrator an 2 Geben Sie an der Eingabeaufforderung den Befehl su ein um zum Konto des Benutzers mit Administratorberechtigung zu wechseln der Tivoli PKI installiert hat 3 Geben Sie das Kennwort dieses Tivoli PKI Benutzers ein 4 Geben Sie den folgenden Befehl ein set DB2INSTANCE Tivoli PKI_instance
5. Hierbei steht Tivoli PKI_instance fiir die Benutzer ID des Benutzers der Tivoli PKI installiert hat 5 Geben Sie f r die Standard Konfigurationsdatenbank den Befehl db2 connect to cfgdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 6000 6 1 0 Tivoli PKI_instance SQL authorization ID Local database alias Version 3 Release 7 1 10 11 Geben Sie f r die Standard CA Datenbank den Befehl db2 connect to ibmdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zuriick Database server DB2 6000 6 1 0 SQL authorization ID Tivoli PKI_instance Local database alias ibmdb Geben Sie f r die Standard Registrierungsdatenbank den Befehl db2 connect to pkrfdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 6000 6 1 0 SQL authorization ID Tivoli PKI_instance Local database alias pkrfdb Geben Sie f r die Standard Pr fdatenbank den Befehl db2 connect to adtdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 6000 6 1 0 SQL authorization ID Tivoli PKI_instance Local database alias adtdb Geben Sie f r die Standarddatenbank zur Schl sselsicherung den Befehl db2 connect to krbdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 6000 6 1 0 SQL authorization ID Tivoli PKI_instance
6. 158 G Gegenseitige Zertifizierung 22 66 70 Gesicherte Kommunikation 1 Gesichertes Modell Hierarchie 25 Grundlegende Einschr nkungen Erweiterung 67 G ltigkeitspr fung Unterschrift 72 H Hardwaresicherheitsmodul HSM 64 73 Hierarchie Aktualisierungen nach nderung der CA Hierarchie vorneh men 29 Hierarchie CA Zertifikat 25 Hierarchien CA 66 Hinzufiigen von Registratoren 36 Host Name 43 49 HSM Hardwaresicherheitsmodul 73 HTTP Server 15 Protokoll priifen 17 Status 16 verwalten 15 iauEnableRADBSec Dienstprogramm 115 IBM 4758 Cryptographic Coprocessor Aufgabenbereiche und Profile 76 Cryptographic Coprocessor 73 klonen 10 77 Manipulationsereignisse 75 Option fiir Beibehaltung 74 Option fiir Nicht Beibehaltung 74 verwalten 64 IBM HTTP Server 15 80 IBM SecureWay 4758 PCI Cryptographic Coprocessor 64 73 ICL Issued Certificate List 71 Schutzregel 20 Schutzschl ssel 20 Informationen zu diesem Handbuch xi Informationszugriff f r Aussteller Erweiterung 67 Integrit t 72 Integrit tspr fung 21 55 79 Integrit tsversiegelung 79 IP Adressen ndern 9 IP Adressmaske 23 26 IP Aliasing 80 ISO 8 ITU Standard 67 81 J jonahca ini jonahra ini 84 85 84 95 Version 3 Release 7 1 K Kennwort f r Steuerprogramm 6 Kennw rter 4758 CA Profil 6 4758 RA Profil 6 ndern 5 Directory Administrator 6 Pr fadministrator 6 Steuerprogramm 6 Kette Trust 73 Klonen des IBM SecureWay 4758 PC
7. Dabei spielt es keine Rolle ob diese Aktionen manuell durch einen Registrator oder automatisch ber Regel Exits ausgef hrt wurden Vorgehensweise anhand von Programmsymbolen unter Windows NT Wenn Sie Tivoli PKI auf einer Windows NT Plattform ausf hren und das Ausw hlen von Programmsymbolen gegen ber der Befehlseingabe in einem DOS Befehlsfenster bevorzugen k nnen Sie anhand der folgenden Prozedur einen Aktivit tsbericht Activity Report erstel len Der Abschnitt g h lt ein Beispiel einer Berichtsausgabe 1 Melden Sie sich als Tivoli PKI Konfigurationsbenutzer an der Maschine an auf der die Tivoli PKI RA Server Komponente installiert ist Der empfohlene Benutzername lautet cfguser m glicherweise wurde jedoch vom jeweiligen Unternehmen ein anderer Benutzername verwendet Version 3 Release 7 1 2 W hlen Sie Start gt Programme gt IBM SecureWay Trust Authority gt Trust Autho rity Activity Report aus 3 Wenn Sie vom System aufgefordert werden die Berichtsart einzugeben geben Sie 1 fiir einen w chentlichen Bericht ein oder 2 um eine Zusammenfassung der Aktivit ten anzu zeigen die an einem bestimmten Tag stattfanden 4 Wenn Sie zur Eingabe des Datums aufgefordert werden geben Sie das Startdatum fiir die Woche ein fiir die ein Bericht erstellt werden soll bzw das exakte Datum fiir die Erstel lung eines Tagesberichts Geben Sie das Datum im Format jjjj mm tt ein beispielsweise 1999 10 01 Befehlszeilenp
8. Konfigurationsdatei 110 17 Rollover Prozess f r CA Schliissel 2 0 0 0 eee 124 18 Felder f r Pr fereignisse Ne ag ped ea PEG Ca ee aka a aa eee eee ds 125 9 Pr fereipnisse 2 NIE ee nennen ne EEN 126 20 Felder in der Schliisseltabelle reinis rediens inapi mis i eee eee eee eee 129 21 Felder in der Tabelle f r die Ereignisbewertung 130 22 Felder in der Tabelle f r die Bregntseteuerung 222 a ua W a w ss Q u aa QUY MW SS S S 9 sls 130 23 Felder in der D ellent belle dutt ati Obs be sath OSS wees ne w us sara 131 24 Felder in der Tabelle berechtigter Fn ten 2 0 0000000000 131 25 Felder in der Tabelle berechtigter Aufgabenbereiche 0 0 0000000 131 26 Felder in der Tabelle der Arten betroffener Fnn ten 222 ccnnnneeeeneeenene nenn 132 27 Felder in der Tabelle der Komponentenarten yc qua carea padn ss ga Saga qasasqa 132 28 Felder in der Pr fprotokolltabelle u u uum aaa eee eee 132 29 Felder in der Systemtabelle uu zu yu ce bee ee ee de ae ea eda eee 134 Tivoli PKI Systemverwaltung Version 3 Release 7 1 Dieses Handbuch erl utert die Verwaltung des Tivoli PKI Systems Es beschreibt die Proze duren zum Starten und Stoppen der Server zum ndern von Kennw rtern zum Verwalten der Server Komponenten sowie zum Ausf hren von Pr fungen und Datenintegrit ts ber pr fungen Das aktuelle Release des Produkts unterst tzt ausschlie lich AIX Plattformen Alle Angaben bez
9. Oo Speichern Sie die Datei 9 Starten Sie das Tivoli PKI System RA Server verwalten In diesem Abschnitt werden Prozeduren fiir Betrieb und Verwaltung des Tivoli PKI Regis trierungsstellen Servers RA Server erl utert Der RA Server verwaltet die Kommunikation zwischen RA Desktop und CA Server Er befindet sich zusammen mit seinem DB2 Daten bankexemplar auf einer lokalen Maschine Die folgenden Tasks zur Verwaltung des CA Servers werden beschrieben Tivoli PKI Systemverwaltung 35 asiamsuayabio ANZ u uolguulojuj 36 m Vornahme der folgenden nderungen an der Konfigurationsdatei jonahra ini mit einem Texteditor Registratoren hinzuf gen Sie sind fiir das Hinzufiigen neuer Registratoren zum System verantwortlich Ein Benutzer mit dem Status eines Registrators kann die Funktionen nutzen und auf die eingeschr nkten Ressourcen zugreifen die in einem der RA Profile in der Konfigurationsdatei einer Tivoli PKI Registrierungseinrichtung definiert wurden Um einen neuen Registrator hinzuf gen zu k nnen m ssen Sie selbst ein RA Administrator sein Dieser Abschnitt erl utert die Proze duren zum erstmaligen Anfordern des Identit tsnachweises als RA Administrator und zum Hinzuf gen eines weiteren RA Administrators Eigenes Benutzerkonto als ersten Registrator hinzuf gen So f gen Sie sich selbst dem Tivoli PKI System als Registrator hinzu 1 Fordern Sie ein Browser Zertifikat an sofern Sie noch keine
10. Syntax Die Syntax dieses Befehls lautet wie folgt bcireport batchID Parameter batchID Die Stapel ID die als Wert fiir den Parameter BATCHID in der BCR Datei angegeben wurde Beispiel bcireport BC1200101140043 Befehl bcistart Der Befehl beistart f hrt den gesamten BCI Prozess vom Anfang bis zum Ende aus beiin bcirun bcipost Syntax Die Syntax dieses Befehls lautet wie folgt bcistart batchID TPKI password Parameter batchID Die Stapel ID die als Wert fiir den Parameter BATCHID in der BCR Datei angegeben wurde TPKI password Das TPKI Kennwort ist das Steuerungskennwort f r das Tivoli PKI System Beispiel bcirunstart BC1I200101140043 adpass23 BCI Ausgabedateien und Protokolldateien Alle BCI Ausgabe und Protokolldateien befinden sich in dem Verzeichnis usr lpp iau pkrf Domains xxxxDom nel logs Hierbei steht xxxxDom ne f r den Tivoli PKI Dom nennamen Der Administrator muss sicherstellen dass in diesem Verzeichnis gen gend Plattenspeicherplatz verf gbar ist Die Ausgabe und Protokolldateien werden nachfolgend beschrieben BCI Ausgabedateien m bcireport steht f r die Stapel ID m bcioutput steht f r die Stapel ID BCI Protokolldateien m bcistart log steht f r die Stapel ID m bciin log steht f r den Namen der BCR Datei m bcirunstart log steht f r die Stapel ID Diese Protokolldatei wird nur dann erstellt wenn dieser Schritt separat vom B
11. einheit des IBM 4758 Cryptographic Coprocessor sowie aller Dateien im Verzeichnis usr lpp csuf csufkeys geschaffen werden Entsprechende Anweisungen enth lt das Handbuch Version 2 XX CCA Support Pro gram Installation Anhang Cloning Procedure Empfohlene Dokumentation zum IBM 4758 Cryptographic Coprocessor Pr fung Bei der Installation und Konfiguration des IBM 4758 Cryptographic Coprocessor sollten Sie die folgende Produktdokumentation hinzuziehen und sich mit diesen Informationen vertraut machen Die Angaben in dem vorliegenden Handbuch sind nur als Erg nzung zur Produkt dokumentation f r den IBM 4758 Cryptographic Coprocessor zu verwenden Die Produkt dokumentation finden Sie unter den folgenden Webadressen IBM 4758 Models 002 023 Specification Sheet G221 9091 02 IBM 4758 General Information Manual Kapitel 1 3 IBM 4758 Installation Manual Version 2 XX CCA Installation Manual Kapitel 1 6 sowie der Anhang Master Key Cloning Version 2 XX CCA Basic Services Kapitel 1 sowie die Einf hrungstexte der Kapitel 2 und 3 Das Tivoli PKI Pr fsubsystem bietet Unterst tzung f r die Protokollierung sicherheits relevanter Aktionen auf der Grundlage der Empfehlungen des Standards X9 57 f r den Finanzsektor Auf diese Weise k nnen Sie Pr fprotokolle verwalten und archivieren und Integrit tspr fungen von Protokolleintr gen durchf hren Das Pr fsubsystem besteht aus einer Client Bibliothek und einem
12. quivalent und umgekehrt ohne dass hierbei Informationen verloren gehen Verkettungspr fung Die G ltigkeitspr fung aller CA Unterschriften in der Trust Hierarchie ber die ein bestimmtes Zertifikat ausge stellt wurde Wenn z B das Unterschriftszertifikat eines CA ber einen anderen CA ausgestellt wurde werden bei der G ltigkeitspr fung des vom Benutzer vorgelegten Zertifikats beide Unterschriften gepr ft Verschl sseln Das Umordnen von Informationen so dass nur Personen die ber den richtigen Entschl sselungscode verf gen die urspr nglichen Informationen durch Entschl sselung abrufen k nnen Verschl sselt Die Eigenschaft von Daten die nach einem bestimmten System umgesetzt wurden um deren Bedeutung unkennt lich zu machen Verschl sselung Entschl sselung Die Verwendung des ffentlichen Schl ssels des gew nschten Empf ngers zum Verschl sseln von Daten f r diese Person Der Empf nger verwendet anschlie end den privaten Schl ssel seines Schl sselpaares um die Daten zu entschl sseln Vertrauensdom ne Eine Gruppe von Entit ten deren Zertifikate vom gleichen CA zertifiziert wurden Vertraulichkeit Der Schutz von Daten gegen den Zugriff nicht berechtigter Personen Tivoli PKI Systemverwaltung 153 Jesso 5 154 Vertraulichkeit Die Wahrung der Geheimhaltung bestimmter Informationen gegen ber nicht berechtigten Personen Virtual Private Network VPN Ein privates Datennetz das ferne Verbindung
13. 1d Der Wert muss kleiner sein als der Wert f r die G ltigkeitsdauer der CRL Editieren Sie im Abschnitt CrossCertPolicy den Parameter TimeBetweenCRLs ndern Sie den Wert f r die Zeit zwischen den Erstellungen von neuen CRLs Der Wert ist ein in Minuten m Stunden h oder Tagen d angegebenes Intervall Bei spiel 1d Der Wert muss kleiner sein als der Wert f r die G ltigkeitsdauer der CRL Speichern Sie die Datei Starten Sie das Tivoli PKI System G ltigkeitsdauer einer CRL ndern So k nnen Sie die Regeln f r Zertifikate und die gegenseitige Zertifizierung bez glich der G ltigkeitsdauer einer CRL ndern Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das Tivoli PKI System Lesen Sie gegebenenfalls die Anweisungen unter Laden Sie die ETC Fee ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt CertPolicy den Parameter CRLDuration ndern Sie den Wert fiir die G ltigkeitsdauer einer CRL Der Wert ist ein in Minuten m Stunden h oder Tagen d angegebenes Intervall Beispiel 2d Editieren Sie im Abschnitt CrossCertPolicy den Parameter CRLDuration ndern Sie den Wert f r die G ltigkeitsdauer einer CRL Der Wert ist ein in Stunden Minuten oder Tagen angegebenes Intervall Beispiel 2d Speichern Sie die Datei Starten Sie das Tivoli PKI System Tivoli PKI Systemverwaltung 19 asiamsua
14. 50 Protokoll 52 Protokolleintr ge suchen 49 Pr fereignisse Felder 125 Q Quellentabelle 131 R RA Registrierungsstelle Administrator hinzuf gen 37 Administratoren Registratoren 72 Dienstprogramm Add RA User 37 115 ersten Administrator hinzuf gen 36 ersten Registrator hinzuf gen 36 Informationen 72 mehrere 73 RA Ereignisse 78 RA Server 35 Datenbankverschl sselung aktivieren 39 115 Host Name des Directory ndern 43 Konfigurationsdatei 95 Listener Port ndern 40 Port des Directory ndern 43 Protokolle 41 Sendeaufrufintervall ndern 40 Status 41 verwalten 35 Wiederholungsintervall ndern 41 Regeleinschr nkungen Erweiterung 67 160 Regelzuordnung Erweiterung 67 Registratoren hinzuf gen 36 Registrierter Name DN 71 Registrierungsdom nen 73 RFC 2459 67 Rollover Prozess f r CA Schl ssel 30 124 RSA 64 S Schemaversion von LDAP 103 Schl ssel MAC 7 Verschl sselung 72 Schl ssel f r CA aktualisieren 30 124 Schl ssel Rollover Prozess f r CA 124 Schl sselbund des Webservers aktualisieren 29 Schl sselkennung des Ausstellers Erweiterung 67 Schl sselkennung des Zertifikatsgegenstands Erweiterung 67 Schl sseltabelle 129 Schl sselverwaltungsereignisse 78 Schl sselverwendung Erweiterung 67 Schutz ICL Regel 20 ICL Schl ssel 20 Schutzregel ICL 20 Sendeaufrufintervall 18 40 Sendeintervall 43 Server CA Server 17 Directory 43 81 HTTP 15 80 Komponenten starten 7 Kompon
15. Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt Transport den Parameter Polllnterval Andern Sie den Wert des Sendeaufrufintervalls Speichern Sie die Datei Starten Sie das Tivoli PKI System Version 3 Release 7 1 CRL Einstellungen ndern Eine Zertifikatswiderrufsliste CRL ist eine digital unterzeichnete mit Zeitmarken versehene Liste der Zertifikate die vom Zertifikatsaussteller CA widerrufen wurden In der Konfi gurationsdatei des CA Servers k nnen folgende Werte ge ndert werden um die Art der CRL Verwaltung zu beeinflussen m Die Zeit zwischen den geplanten CRL Erstellungen m Die G ltigkeitsdauer einer CRL Zulassige Zeit zwischen CRL Erstellungen andern So k nnen Sie die Regeln f r Zertifikate und die gegenseitige Zertifizierung bez glich der zul ssigen Intervalle zwischen geplanten Publizierungen einer CRL ndern Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das Tivoli PKI System Lesen Sie gegebenenfalls die Anweisungen unter Laden Sie die Konfigurationsdatei jonahca ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt CertPolicy den Parameter TimeBetweenCRLs 5 ndern Sie den Wert f r die Zeit zwischen den Erstellungen von neuen CRLs 8 9 Der Wert ist ein in Minuten m Stunden h oder Tagen d angegebenes Intervall Bei spiel
16. Geben Sie Folgendes ein um die CA Schliisselaktualisierung zu starten cakeyroll Nach Beendigung des Befehls wird die folgende Nachricht angezeigt CA Key Rollover wurde gestartet Sie k nnen nun den Befehl Start_TA sh eingeben Geben Sie den folgenden Befehl ein Start_TA sh berpr fen Sie nach Absetzen des Befehls Start_TA sh ob die CA Protokolldatei die folgende Nachricht enth lt Ausf hrung von CA Key Rollover f r RA ra name erfolgreich Hierbei steht ra name f r den Namen Ihrer RA Anmerkung Wenn Sie mehrere RAs verwenden sollte diese Nachricht f r jede RA ausgegeben werden Stellen Sie sicher dass das System keine Zertifikatoperationen Registrierung Widerruf Sicherung Wiederherstellung usw verarbeitet bis diese Nachricht in der CA Protokoll datei angezeigt wird Falls sich die RA und der CA auf unterschiedlichen Maschinen befinden Kopieren Sie die folgenden Dateien auf jede RA m caCertificate m RAsCopyOfCAChain b64 m RAsCopyOfCAChain p7b In der Standardeinstellung befinden sich diese Dateien auf dem CA und der RA im Ver zeichnis usr lpp iau etc Geben Sie auf der RA Maschine Folgendes in der Befehlszeile ein um das Verzeichnis zu wechseln cd usr opt ibm gskit bin Geben Sie den folgenden Befehl ein um die GUI f r die Schl sselverwaltung Key Management GUI zu aktivieren gsk4ikm W hlen Sie Key Database File und dann Open aus Geben Sie den Pfad bzw Ordnernamen f
17. Information Tree DIT bezeichnet Die Struktur verf gt ber einen einzigen Stamm und eine unbegrenzte Anzahl von Knoten die sich vom Stamm verzweigen Jeder Knoten entspricht einem durch Attribute gekenn zeichneten Directory Eintrag Die Beschreibung eines DNs f r einen Directory Eintrag h ngt von den Syntaxanforderungen des Directory Clients und dem Zugriffsprotokoll des Directo ry Servers ab In Tivoli PKI das auf IBM Directory basiert kann ein DN f r einen Directory Eintrag wie folgt aussehen C US 0 IBM OU Tivoli PKI MAIL cjsmith vnet ibm com CN Chris Smith Hierbei steht US fiir das Land C IBM fiir das Unternehmen O Tivoli PKI fiir die Abtei lung innerhalb des Unternehmens OU cjsmith vnet ibm com fiir die E Mail Adresse MAIL und Chris Smith fiir den allgemeinen Namen CN Liste der ausgestellten Zertifikate ICL Die Liste der ausgestellten Zertifikate ICL Issued Certificates List ist eine vollst ndige Liste der Zertifikate einschlie lich deren Status die von einem CA ausgestellt wurden Die Zertifikate sind nach Seriennummer und Status indexiert Die ICL wird vom CA verwaltet und in der CA Datenbank gespeichert Diese Liste dient zur Ermittlung der Zertifikate die in einer Zertifikatwiderrufsliste CRL Certificate Revocation List publiziert werden soll ten Tivoli PKI Systemverwaltung 71 us un4ayneug E Die Tivoli PKI ICL verfiigt ber folgende Merkmale m ODBC Implementierung Open Database
18. L NI ALOYNY VA uN ISNIL NO UsWIysUIDNUA IY O SA O i s rp YO S P aweN IMONSIZ Y Jonss va Anoymny 1JsniT NO Quouny UIN sni no u uu us lun IYJ O SN O JIU Jop IUWEN 191191nSIS 2 Sure N e2039 UIOPIOJUR 1uoru SJZ Soule FNLIOPLM u p E nudH Ju r O 210 uuey ANON H M Jop MeT UOPIOJUL SIEYLINIOZ UNIOPIOJ OBUR IYI UOA S UI FNATIPIM Usp w nug ust 7 sip UWY 4 TAS WOM Jop IN usoprojue SEYN I9Z u siq r q s ur Jn z pIAA Usp WINUA WelD NP UWY ANV H M Jap PMeT uuey usop IOJUL SENLNIOZ SOUT JnLTODIAA UIN ANY up WUJA ur qo ur IqID s sonboyoyoaoyA a 81 Jeqsnjioa Z o1 od IN Sunsiomuy uN any x pur sou geool di u Ip Jop IUN ss tpy Tan Cd Aieqai opuue sojwajgoA1d uon em3yuoy YOUN uoneain3ruoypiepuue S GeUlss JIM Sungr ayasag PPWEIBT sHoj lajepsuoneinbyuoy 194 S YY FL ale 101 Tivoli PKI Systemverwaltung purs SIssepnz u qe Ssuesumieq uN A u snjunynz pu STAO qo ue 01 TIDAINMIMOITV purs SIsseinz UION d STAO suaynejasqe qo up 31419 SERIES LAKE UdTJOS UPIM JOPUIMIIA s ss zoidjJnid S P IAL uN L SIP STAV pun STAJO qo ur 0 STAO Sf amp omodysniL IE Syes oje urewmoq anox surewoq jaryd nerddyyisny XIV na I SHPO O UIeWMIOGINOX sueMOg Td AOoyINY pied MEWS APONTA Ap UION ISMIT N ANS SrlqndvV 9 LN SMOPULM IN INF uteur jeq pun pejd Joynposqy
19. O WN SYST pue ny AIO Haat UOA SUNIOIZIHUSp u nn putr nz snurstueysouprepuris sqIO ieq epue sojwsjgoA1d uon em3yuoy LN uonein3ruoypiepuue S EI JIM sSunqir iu5s q OPWEIBT 1sjepsuoneindluoy JeNIES YWI aljegeL Version 3 Release 7 1 86 5 Referenz informationen Quiou nvisnal 32 ner ddr 1isn XIV MA AMIOYMYISNIL R HLIOYMY u r leq uN Ip Daat WEIS LN SMOPULM MA VI DId HOALL WJ PeJd Joinjosqy e uoroyepuajeq VO VU FUNPUMIA UIN aroygyoalqgrs nz SunJoylaMiq uuo urum1 sto eq oUleN 91o S 9 fqao JOPUIMIIA snuru uos v sop Jyemsny mz pun 3r zuv MZ ISA19S ut p 19po JND JOp UOA pry Snuuu uoS es Jiiuos T91u 1 SQIIN WU VS sep uontuj dq SANWMVSA JOPUIMIIA SNWUYJLI O8 V s p Jyemsnvy nz pun 8rozuv INZ A WAP 1 p0 IND Jep UOA DHdIAA SNWyJLIOSTesILIySSIHJUN uN uondAnugy SAYIM I 8us I VHS Wu YSA s p uontuJ od TVHSUMAVSa JOPUIMIIA SNWUYJLI O8 V s p Jyemsnvy nz pun osiezuy INZ A WAP 1 p0 IND op UOA PILM snuru uosrges1Jrruosi lur uN Teys W1M BSp PpI T VHS Wu ysa s p vonrtulyed IVHSUNAV SA SSrVSiSS5rn urui sv snurq ios es un ssn U9S1 gA uN eSp pl VSd Sep Don UO VSd s8rVv uso rn urui sv snwwu LlosTe UIN uondAmugesi OSSNIYIS VSA S P VONUA VSu snuru iosre uN eSp pl Joss MSC sep UOHTUOA VSd Aieqai opuue sojwajgoA1d uon em3yuoy YOUN UOHVINSIUOYpPAepuUL S GeUlss JIM sSunqir iu5s q PP
20. Version 3 Release 7 1 31 32 33 34 35 36 3T 38 39 40 41 42 43 44 45 46 Wechseln Sie auf der RA Maschine zum Benutzerkonto cfguser indem Sie den fol genden Befehl eingeben su cfguser Geben Sie Folgendes ein um das Verzeichnis zu wechseln cd usr 1pp iau bin Geben Sie den folgenden Befehl ein und setzen Sie hierbei die entsprechenden Werte ein kdbUtils i m 3 f usr lpp iau etc httpd RD kdb r usr 1pp iau etc RAsCopyOfCAChain b64 p kennwort 1 kennung L protokolldatei Hierbei gilt kennwort Das urspr ngliche Kennwort f r das Steuerprogramm dass Sie bei CfgPostIns tall eingegeben haben kennung Die Kennung die Sie fiir das CA Zertifikat bzw die CA Zertifikate vergeben wollen das die Sie importieren protokolldatei Die Protokolldatei f r diesen Befehl Sie m ssen sicherstellen dass das Benutzerkonto cfguser zum Schreibzugriff auf das Verzeichnis berechtigt ist in dem die Protokolldatei erstellt wird Verwenden Sie auf der RA Maschine die GUI f r die Schl sselverwaltung Key Management GUI und wechseln Sie zu Personal Certificates Klicken Sie auf Receive Die Anzeige Receive from a File wird aufgerufen Geben Sie den Namen der PKCS 7 Zertifikatsdatei an die Sie in Schritt bo auf Seite 32 gespeichert haben Geben Sie die Pfadinformationen f r die Zertifikatsdatei an die Sie in Schritt Bo aud gespeichert haben Klicken Sie au
21. WAS muss auf einem Host Web Server installiert sein der HTTP Anforderungen von Browsern verarbeitet und die Antworten ber das HTTP Protokoll im HTML Format zuriickgibt Bei der Installation von WebSphere wird die Konfiguration des entsprechenden Host Webser vers so ver ndert dass bestimmte Anforderungen zur Verarbeitung an WebSphere und nicht an den Webserver weitergeleitet werden WAS nutzt eine Java Entwicklungs und Laufzeit umgebung auf der Host Maschine Diese Java Umgebung erm glicht WebSphere die Ausf h rung von Java Programmen die von der Tivoli PKI Registrierungseinrichtung verwendet werden IBM HTTP Server Der Tivoli PKI Server basiert auf einem Modell mit drei Servern und drei Ports um die Cli ent Anforderungen zu verarbeiten Ihr Unternehmen hat sich m glicherweise f r die Instal lation eines einzigen Exemplars des IBM HTTP Server und f r die Konfiguration verschie dener virtueller Host Namen und Ports entschieden um verschiedene Arten von Anforderungen verarbeiten zu k nnen Mit diesem Modell verarbeitet Tivoli PKI folgende Arten von Anforderungen m Anforderungen die keine Verschl sselung oder Authentifizierung ben tigen m Anforderungen die Verschl sselung und Server Authentifizierung ben tigen m Anforderungen die Verschl sselung sowie Server und Client Authentifizierung ben ti gen ahelle 11 fasst diese Konfigurationsalternativen zusammen Tabelle 11 Modell f r IBM HTTP Server mit drei
22. Wird dieser ffentlich bekannt gege ben k nnen die mit ihm bearbeiteten Nachrichten von jedem Benutzer ver und entschl sselt werden Der Inhalt der bertragenen Daten kann nur dann geheim gehalten werden wenn der Schl ssel nur den jeweils berechtigten Personen bekannt ist Gegensatz zu Asymmetrische Verschl sselung TCP IP Transmission Control Protocol Internet Protocol TP Trust Policy Sicherungsregel Transaktions ID Eine Kennung die die RA als Antwort auf eine Anforderung f r eine Vorabregistrierung zur Verf gung stellt Mit dieser ID kann ein Benutzer der die Client Anwendung von Tivoli PKI ausf hrt ein vorab genehmigtes Zertifi kat erhalten Transmission Control Protocol Internet Protocol TCP IP Eine Gruppe von bertragungsprotokollen die Peer zu Peer Konnektivit tsfunktionen f r lokale Netze LANs und Weitverkehrsnetze WANs unterst tzen Triple DES Ein symmetrischer Algorithmus bei dem der unverschl sselte Text dreimal verschl sselt wird Obwohl f r diese Mehrfachverschl sselung zahlreiche Methoden existieren stellt die Triple DES Verschl sselung die auf drei ver schiedenen Schl sseln basiert das sicherste dieser Verfahren dar Tivoli PKI Eine integrierte IBM Sicherheitsl sung die die Ausstellung Erneuerung und den Widerruf digitaler Zertifikate unterst tzt Diese Zertifikate k nnen f r eine breite Palette von Internet Anwendungen eingesetzt werden und bie ten eine M glichkeit zur Authen
23. ften Ports erfolgreich wird folgende Nachricht angezeigt Port Port on Server is bound Hierbei steht Port f r den gepr ften Port und Server f r den Namen des entsprechen den Servers m Unter Windows NT 1 2 Melden Sie sich bei Windows NT als Systemadministrator an Starten Sie den Task Manager durch Dr cken der Tastenkombination Strg Alt und Entf W hlen Sie die Registerkarte Prozesse aus Suchen Sie nach zwei Exemplaren des Prozesses Apache exe Sind diese zwei Prozesse vorhanden fahren Sie mit Schritt H fort Sind diese beiden Prozesse nicht vorhanden lesen Sie bitte im Abschnitt Fehlerbe nach Wechseln Sie an der MS DOS Eingabeaufforderung in das Verzeichnis bm Dieses Verzeichnis hat folgenden Standardpfad c Program Files IBM Trust Authority bin Version 3 Release 7 1 6 Pr fen Sie die Ports indem Sie fiir jeden Port folgenden Befehl eingeben checkSrvPortStatus p Port s Server rl wl i Hierbei steht Port fiir die Nummer des zu priifenden Ports und Server fiir den Namen des zugeordneten HTTP Servers Eine Ubersicht der st andardm igen HTTP Server und Port Konfigurationen von Tivoli PKI finden Sie in Tabelle 11 auf Seil Ist die Antwort des gepr ften Ports erfolgreich wird folgende Nachricht angezeigt Port Port on Server is bound Hierbei steht Port f r den gepr ften Port und Server f r den Namen des entsprechen den Servers HTTP Server Protokolle pr fen
24. nnen folgende Werte ge ndert werden um die Kommunikation zwischen RA und Directory zu beeinflussen m Host Name und Port des Directory Servers m Sendeintervall Version 3 Release 7 1 RA Einstellungen f r Host Namen und Port des Directory Servers andern F r eine effiziente Kommunikation mit dem Directory benotigt die RA den korrekten Host Namen und den korrekten Port an dem das Directory empfangsbereit ist So ndern Sie den Host Namen und den Port der von der RA f r die Kommunikation mit dem Directory ben tigt wird 1 Melden Sie sich bei Ihrem Betriebssystem als mn an 3 Laden Sie die Konfigurationsdatei jonahra ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt LDAP den Parameter Serverl 4 5 ndern Sie die Werte f r den Host Namen und die Port Nummer 6 Speichern Sie die Datei 7 Starten Sie das Tivoli PKI System RA Einstellungen f r das Sendeintervall des Directory Servers andern Das Sendeintervall ist der Zeitraum in dem die RA nicht priift ob Informationen zum Senden an das Directory vorliegen Zu diesen Informationen z hlen beispielsweise neue Benutzerzertifikate oder neue CRLs So ndern Sie das Sendeintervall der RA 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Tivoli PKI System Lesen Sie gegebenenfalls die Anweisungen unter 3 Laden Sie die Konfigur
25. r den Schl sselspeicher des Webservers ein usr 1pp iau etc Klicken Sie auf Update Tivoli PKI Systemverwaltung 31 asiamsuayabio ANZ u uolguuloju 32 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 W hlen Sie die Datei httpd RD kdb aus und klicken Sie anschlie end auf OK Geben Sie in der Eingabeaufforderung fiir das Kennwort das Kennwort fiir das Steuer programm ein Dies ist das Kennwort das Sie bei der Ausf hrung von CfgPostInstall angegeben haben Anmerkung Falls Sie nach der Konfiguration von Tivoli PKI das Kennwort fiir das Steuerprogramm ndern wird das Schl sselbundkennwort des Webservers f r die Datei usr lpp iau etc httpd RA kdb nicht ge ndert Klicken Sie auf OK Klicken Sie unter Key database content auf das Dropdown Men und w hlen Sie die Option Personal Certificate Requests aus Klicken Sie auf New um ein neues Zertifikat anzufordern Geben Sie die entsprechenden Werte f r die Felder in der Anzeige Create New Key and Certificate Request an Die anzugebenden Werte sind mit den Werten identisch die Sie w hrend der Konfiguration von Tivoli PKI angegeben haben Der Wert den Sie f r Key Label angeben wird an einer sp teren Stelle in dieser Prozedur verwendet Nachdem Sie die erforderlichen Informationen eingegeben haben geben Sie den Namen der Datei an in der die Zertifikatsanforderung gespeichert
26. ssen Sie den Hauptschliissel der Maschine auf der das Tivoli PKI System installiert ist auf einer anderen Maschine klonen Beschreibungen der entsprechenden Prozeduren finden Sie in der Dokume e die Sie unter der folgenden Webadresse aufrufen k nnen n D WWW DM om ecu Dtocard Anzahl von Benutzern und Zertifikaten berwachen Im Rahmen der Lizenzvereinbarung m ssen Sie die Anzahl der Tivoli PKI Benutzer berwa chen Um Sie bei dieser Aufgabe zu unterst tzen stellt Tivoli PKI ein Tool zur Erstellung von Nutzungsberichten Usage Report zur Verf gung Dieses Tool zeichnet die Anzahl der aktiven und inaktiven Benutzer im jeweiligen System auf sowie die Anzahl der aktiven und widerrufenen Zertifikate die vom Tivoli PKI CA seit der Installation des Produktes unter zeichnet worden sind Es folgt eine Beschreibung der spezifischen Datenelemente des Nutzungsberichts Usage Report Aktive Benutzer Benutzer mit mindestens einem aktiven Zertifikat wobei Benutzer als Entit t defi niert ist die ber einen eindeutigen registrierten Namen DN verf gt Inaktive Benutzer Benutzer die ber keine aktiven Zertifikate verf gen d h alle zuvor f r diese Benutzer ausgestellten Zertifikate sind entweder abgelaufen oder wurden widerrufen Aktive Zertifikate Vom Tivoli PKI CA unterzeichnete Zertifikate die weder abgelaufen sind noch widerrufen wurden Widerrufene Zertifikate Zertifikate die widerrufen wurden Vorgehensweise anha
27. varchar folge die das Ereignis kenn zeichnet und beschreibt Dieses Feld wird von den Java Ressourcenpaketen verwendet event_severity_id Die Bewertungs ID des Ereig smallint nisses Dies ist der fremde Schl ssel der auf die Tabelle event_severities verweist 130 Version 3 Release 7 1 Quellentabelle Diese Tabelle enth lt eine Liste aller Pr f Clients Ein Pr f Client ist eine Tivoli PKI Kom ponente die Pr fereignisse erzeugt Tabelle 23 Felder in der Quellentabelle Feld Beschreibung Datentyp source_id Die eindeutige Kennung des Pr f smallint Clients Quelle Die Kennung des Pr f Clients die zur varchar Anzeige genutzt werden kann In der Regel handelt es sich hierbei um den DN des Pr f Clients integrity Dieses Feld dient der Aufrechterhaltung varchar f r Bitdaten der Integrit t des Datensatzes Tabelle der berechtigten Entit ten Diese Tabelle enth lt eine Liste aller berechtigten Entit ten Eine berechtigte Entit t berech tigt die Operation f r die ein Pr fereignis erzeugt wurde Tabelle 24 Felder in der Tabelle berechtigter Entit ten Feld Beschreibung Datentyp auth_entity_id Die eindeutige interne Kennung der smallint berechtigten Entit t auth_entity_desc Die Kennung der berechtigten Entit t varchar die zur Anzeige genutzt werden kann In der Regel handelt es sich hierbei um den DN der berechtigten Entit t int
28. wiederherstellen 10 Trace Protokoll 53 U bergabe der Trust Kette aktivieren 43 inaktivieren 43 bersicht 73 Uniform Resource Identifiers URIs 24 Unterschrift G ltigkeitspr fung 72 Unterst tzung f r Tivoli Kunden xiii Unterzeichnen 72 URIs 27 Tivoli PKI Systemverwaltung URLs Homepage zu Tivoli PKI xi V Ver ffentlichungen Beschreibungen xi Tivoli Sicherheitsprodukte xiii Verschl sselung f r RA Datenbank aktivieren 39 Verschliisselungssteuerkomponente 65 Verteilungspunkte f r CRL aktivieren 35 Vertraulichkeit 72 Verwalten CA Server 17 DB2 UDB 60 Directory Server 62 HTTP Server 15 IBM SecureWay 4758 PCI Cryptographic Coprocessor 64 Pr fsubsystem 46 RA Server 35 Trust Authority 5 WebSphere Application Server 14 Vorwort xi W Web Server 79 Webserver aktualisieren 29 Website fiir Informationen zur Sicherheitsverwaltung xiii Tivoli Customer Support Kundenunterstiitzung xiii Tivoli Public Key Infrastructure xiii Tivoli Sicherheitsprodukte xiii WebSphere Application Server 14 80 Protokolle 15 Status 14 verwalten 14 Widerrufsliste CRL f r Zertifikate 1 Wiederherstellen 10 AIX 10 Tivoli PKI Datenbanken 10 Windows NT 10 Wiederholungen 50 Wiederholungsintervall 41 Windows NT sichern 10 wiederherstellen 10 X X 509v3 67 X 680 81 161 x pul Z Zertifikat Aktivit t berwachen 12 ausstellen 1 Erneuerung 1 Erweiterungen 67 Nutzung berwachen 11 widerrufen 1 Zerti
29. zu beschr nken Die RA verwendet ACLs um den Zugriff auf RA Funktionen wie beispielsweise die Genehmigung von Anforderungen zu beschr nken Das Directory nutzt ACLs um den Zugriff auf verschiedene Directory Bereiche zu begrenzen die m glicherweise sensible Informationen enthalten Tivoli PKI Systemverwaltung 65 u Buni lne i3 E 66 Zertifikatsaussteller Certification Authority CA Ein Zertifikatsaussteller CA Certificate Authority ist die Entitat die f r die Einhaltung der Sicherheitsregeln eines Unternehmens verantwortlich ist und sichere elektronische Identi t ten in Form von Zertifikaten zuweist Die mit dem privaten Schl ssel des CA unterzeichne ten Zertifikate enthalten Identifikations und andere Informationen zum Eigent mer des Zer tifikats Der Tivoli PKI CA hat folgende Aufgaben m Verarbeitung von Ausstellungs Erneuerungs oder Widerrufanforderungen der RAs m Verwaltung einer Zugriffssteuerungsliste ACL die durch Dateiberechtigungen gesch tzt ist Diese Liste enth lt die registrierten Namen DNs berechtigter RAs und Administra toren m Verwaltung einer Liste der ausgestellten Zertifikate ICL Issued Certificates List in der CA Datenbank Diese Liste enth lt Informationen zum Zertifikatstatus zur Serien nummer sowie CRL Informationen Der CA leitet ICL Informationen an die Tivoli PKI RA weiter die wiederum Zertifikate und CRLs im Directory publiziert In der CA Datenbank gespeicherte
30. 149X19S YI EL ale 93 Tivoli PKI Systemverwaltung 729893 VY op J NA wop pun ss 3IPpY TAN Joep Wu uonel 678 350ype9oJy xiyd V A Amoyny 1sn11 OH NO uouiny ISNILYOFIYHNO USUySUISJJuN ef Na va n 1yuoy Jop req pam Senurg 1 s tq IYIYOAYHO SNYOII STAA 21016 Ady uN Ay OVW VO ur JASSOTYIS OVIAL ANY Zyesuusy P TOV uN qpuiqr NSd TOL Any Juequojeq Jop sueN U PAPON UOTJIESUBLLSJEUTULIOL IFessIWyp Monunuo 1ous er asessoyy Monunuo LWA TOSAIZINYIS TOI AdITOqUON IE 01g 9 ieqiopue sojwsjgoA1d uon BINSIJUOS YOUN uonein3ruoypiepuue S GeUlss JIM sSunqir iu5s q PPWEIBT sHoj lajepsuoneinbyuoy 19119S YWI EL ale Version 3 Release 7 1 94 Konfigurationsdatei f r RA Server enthalt Informationen zu den Parametern der RA Server Konfigurationsdatei Jonahra ini Tivoli PKI Systemverwaltung 95 u uonkguuJojJu ZU919J9H G KTO HDIUUDSON wr ZaueNAoTog MI CIO UION 0177 Jour aqesurg orp any I rdsioq A1J04 OT AW Ada NIUyasqy wr ureN o1 od AN GIO UION LLOVE T Joura aqesurg orp ing jordsiog Ko1Og N URN ELINLEESELTOFSTI SISEQUIOMUUSY Ing OVI INF CIO OVINPOS qPJOMsse g URN ITT6T6rSellor8 Cl JeqUniozZ 60S X MJ GIO OEILNIII 60SK URN TTOPZUT6rScIL0F9 CI eyoseqoessn yos 7T SOMd MJ AIO Seqhoy 7 soyd oyose URN ETOTTITOFSEIL OSTI SENNIOZ ZIESINA MJ AIO Sequieo Z s
31. 19A I PUNISIJUIH WU USYISIMZ URN d SUNPUIGIOA SIP INJ qo Up 1010 orjoquond s1ou URN 91 1oj ourmreds3uni rundo SUOISSOO XP 39A149S9Jour z u p UIMIOA UOISIOABWOUSS VAT ef Jopo Z UOISOALUIUIS AVAT PUIU AIO III eq I pug sojwsjgoA1d uon BINSIJUOS LN UOHVINSIUOYpPjAepuLjS EI JIM sSunqir iu5s q PPWEIBT sHoj lajepsuoneinbyuoy Juge KH FL ale Version 3 Release 7 1 104 Konfigurationsdatei f r Pr fserver Die Konfigurationsdatei des Pr f Servers AuditServer ini definiert die Konfigurations variablen des Priif Servers Diese Variablen konfigurieren die grundlegenden Funktions merkmale des Servers und definieren das Protokollieren von Debug und Fehlernachrichten Die Variablen legen auBerdem fest welche Ereignisse protokolliert werden Die nachfolgen den Abschnitte enthalten zus tzliche Informationen zu den Eintr gen in Hahelle 15 auf Sci m Generische Parameter von Servicesteuerroutinen m Bewertungsstufen f r Ereignisse m Trace Stufen Generische Parameter von Servicesteuerroutinen Folgende Parameter f r Servicesteuerroutinen k nnen f r jeden Service verwendet werden H service count Die Anzahl verf gbarer Services H service x name Der Name eines Services H service x classname Der Klassenname eines Services m service x dpolicy Der Klassenname einer bergaberegel H service default count Die Anzahl der Standardservices H service default x name Der Name eines Sta
32. Berechtigung der MRA Sie m s sen die Vorabregistrierungsdatei mit einer gesicherten Methode im Offlinemodus an den CA Server bertragen Sie m ssen daf r sorgen dass die Integrit t der Datei w hrend der bertragung an den CA gesch tzt bleibt Speichern Sie die Datei auf dem CA Server im Verzeichnis usr lpp iau bin MRA Registrierung auf CA Server berechtigen Nachdem Sie die Vorabregistrierungsdatei an den CA Server bertragen haben muss der CA Server die MRA genehmigen Dies erfolgt ber den Befehl authRAEnrollment F r die sen Befehl muss der Parameter f gefolgt vom Namen der Vorabregistrierungsdatei verwen det werden Weitere Informationen zum Befehl authRAEnrollment finden Sie unter e Dies berechtigt das Zertifikat von der MRA und bereitet den CA so vor dass ee von der MRA akzeptiert werden k nnen Setup Wizard erneut auf MRA Server ausf hren Der letzte Schritt ist die erneute Ausf hrung des Setup Wizard auf dem MRA Server Wenn Ihr Browser noch mit der Konfigurationsseite ge ffnet ist laden Sie den Browser erneut indem Sie die Umschalttaste gedr ckt halten und auf die Option f r das erneute Laden kli cken Hierdurch wird die Seite erneut geladen und zwar nicht aus dem Cache sondern aus dem Server Sie k nnen auch den Browser schlie en und erneut mit der Konfigurationsseite ffnen Klicken Sie wieder auf den Link f r den Setup Wizard Der Setup Wizard ruft auto matisch die letzte Anzeige au
33. CA die entsprechenden Zertifikate aus Digitale Zertifikate Ein digitales Zertifikat ist ein elektronischer Identit tsnachweis der einer Person oder einer Entit t von einem vertrauensw rdigen Dritten ausgestellt wird Jedes Zertifikat ist mit dem privaten Schl ssel des CA unterzeichnet Es b rgt f r die Identit t einer Person eines Unter nehmens oder einer Organisation Abh ngig vom Aufgabenbereich des CA kann das Zertifikat den Identit tsnachweis seines Eigners best tigen e Business ber das Internet ausf hren zu d rfen In gewissem Sinne ent spricht ein digitales Zertifikat einem F hrerschein oder einem medizinischen Diplom Es best tigt dass der Eigner des entsprechenden privaten Schl ssels berechtigt ist bestimmte e Business Aktivit ten auszuf hren Ein Zertifikat enth lt Informationen ber die Entit t die von ihm zertifiziert wird gibt an ob es sich um eine Person eine Maschine oder ein Computerprogramm handelt und enth lt als Teil dieser Informationen den zertifizierten ffentlichen Schl ssel dieser Entit t Bei Tivoli PKI entspricht der Typ des ausgestellten Zertifikats den gesch ftlichen Regeln Ihres Unternehmens Registrierte Namen Ein registrierter Name DN Distinguished Name ist der eindeutige Name eines im Direc tory gespeicherten Datensatzes Der DN kennzeichnet eindeutig die Position eines Daten satzes in der hierarchischen Struktur des Directory Diese Struktur wird auch als Directory
34. CAs die das PKIX Zertifikatsverwaltungsprotokoll Certificate Management Protocol CMP sowie die Protokolle PKCS 7 und PKCS 10 einhalten Zur Definition einer CA Hierarchie verwenden Sie das Tivoli PKI Dienstprogramm CA Cer tification CACertRq Wenn Sie dieses Tool starten m ssen Sie mindestens eine Option f r die Standardzertifikatserweiterung f r Namenseinschr nkungen definieren Detail lierte Beschreibungen der Zertifikatserweiterungen finden Sie im Abschnitt e erweite eite 671 Ein kleingeschriebener Buchstabe steht f r die Auf nahme in die T zul ssiger Unterverzeichnisstrukturen Ein gro geschriebener Buchstabe steht f r die Aufnahme in die Liste nicht zul ssiger Unterverzeichnisstrukturen In der Regel werden nicht zul ssige Unterverzeichnisstrukturen nur f r einen Adresstyp angegeben f r den auch eine Liste zul ssiger Unterverzeichnisstrukturen existiert Anmerkung Wenn Sie planen als Teil Ihrer allgemeinen Hierarchiel sung die hierarchi schen CA Zertifikate in Netscape Communicator herunterzuladen sollten Sie den Parameter m mit dem Dienstprogramm CA Certification verwenden um die Erweiterung f r Namenseinschr nkungen Name Constraints aus dem resultierenden CA Zertifikat auszuschlie en Mit Ausnahme von m sollten Sie keine anderen der Befehlszeilenoptionen f r Namenseinschr nkungen also nicht i I d D u U n N oder m M mit dem Dienstprogramm CA Certifi cation verwenden D
35. Die Datendatei enth lt die Position das Zertifikat und den elektronischen Fingerab druck des CA Mit dem Dienstprogramm Create New RA k nnen Sie sie auf dem CA erstel len Weitere Informationen zum Dienstprogramm Create New RA finden Sie unter Befehlszeilendienstprogramme a eite Das Dienstprogramm Create New RA erstellt die Datendatei basierend auf der Datei mraTemplate ini Name und Zielposition der Aus gabedatei k nnen mit dem Befehlszeilenparameter f angegeben werden Andernfalls wird die Datendatei mit mraConfig dat benannt und im aktuellen Arbeitsverzeichnis gespeichert mraConfig dat an MRA Server bertragen Sobald die Datei mraConfig dat erstellt wurde m ssen Sie sie ber eine gesicherte Methode im Offlinemodus an das System bertragen auf dem Sie die MRA definieren wol len Der Inhalt der Datei sollte w hrend der bertragung vor Manipulationen gesch tzt sein Da die Datendatei jedoch das Zertifikat des CA enth lt sollte der CA nicht zum Unterzeich nen der Datei verwendet werden Sie m ssen daf r sorgen dass die Integrit t der Datei w h rend der bertragung an die MRA Maschine gew hrleistet ist Speichern Sie die Datei mra Config dat im Verzeichnis usr lpp iau bin Version 3 Release 7 1 CfgPostinstall auf MRA Server ausf hren Nachdem Sie die Datei mraConfig dat an das System bertragen haben auf dem Sie eine neue MRA definieren wollen f hren Sie den Befeh
36. Ereignisse m ssen jedoch immer gesendet werden Informationen zu verbindlichen und optionalen Pr fereignissen finden Sie im Abschnitt Pr fereisnisse a eite 126 Dar ber hinaus k nnen Sie auch die Anzahl der Wieder holungsversuche nach dem ersten Sendeversuch des Pr f Clients an den Pr fserver definie ren Sie k nnen auch die Zeit in Millisekunden angeben die zwischen den Wiederholungs versuchen f r das Herstellen einer Verbindung zum Server gewartet werden soll Pr fmaske definieren So definieren Sie eine Pr fmaske 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Tivoli PKI Systemverwaltung 49 asiamsudYyeb1o0 ANZ u uolguulojuj 50 8 9 Laden Sie die Konfigurationsdatei AuditClient ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt CA den Parameter ExcludedEvents F gen Sie die Namen der vom CA generierten Pr fereignisse hinzu die vom Pr f Client zur ckgehalten werden sollen Die Namen der Pr fereignisse m ssen durch Kommas getrennt werden Geben Sie nur optionale Ereignisse an Editieren Sie im Abschnitt RA den Parameter ExcludedEvents F gen Sie die Namen der vom RA generierten Pr fereignisse hinzu die vom Pr f Client zur ckgehalten werden sollen Die Namen der Pr fereignisse m ssen durch Kommas getrennt werden Geben Sie nur optionale Ereignisse an Informationen zu den Namen vo
37. HQQUSYOL 1ojensrururpejniq UIN NIdOS u p Inj JIoMUUEYssuLjuy MdosTentu uN V68ET9OVY000 0448 IAII1 TH69 0896TSAL eynuepy nbiun Ieqo D dINO uN TAGOW JOVAOLS IISINd s19uo1odS u opu A A sap WV PPOW Joe ISA AISIMI SEPWEIEA sop NIM Jop UUM YIIIOSPIOFII IST VIUYOSqY 1 s tq ISA UIN ISA 1o1S y 19 9PU AI A UEJUIWON a10 AoyIND 910985434 120 WY Jop Noz yn VAPNA Jop 104 Jnyneapuss usp Inj und HOZ lhtutoqn VA sip ue VO woa Jop uzos yy rp uomp u s ef we BUNN u p agin VOZ Aq RAIOUTAN OY ef sog RAIOUTJNIFNVapuas RAIOUT Od DUU VA ANP Ys Jop me UIN ureN 1SsoH IJ ouryosepy op owenN IsOH dI dOL SOHdO L PIIM JYOVM ef 678 Ran VA PP UOA Jap Jod dO L 4H0ddDL Daodsueal 1eq pug sojwsjgoA1d uon em3yuoy LN uonein3ruoypiepuue S GeUulss JIM SungrAayasag PPWEIBT sHoj lajepsuoneinbyuoy Juge HH FL lleqP Version 3 Release 7 1 102 5 Referenz informationen USIA AOPA sep ue u pu s wnz UVUOHEULIOJUL ef wig qo pam Jnid 3 wop ur Peau JEAISJUNSOA u iopue PIOmsseg Suey utturpiSoidisu rq IJd OALL Wop yur mu s101 ef 662 1N99S IsturWupPY AIOP2ILq Sop IOMUUOM IPmay ny uruipyiq NO Qroumvy UIN sniT noO u uu us lurn IUJ O SN O SIOVenstunupYy Alopalq sop NA purenymvy OAIOS AVAT Uap ef yod owreujsoy Inj urumN liod pun S ureN ISoH IRARS UIN I UIOAINS qVCT YOA yez
38. Jop oyun assoipy TaN CSdO UIN Aood INT W u pi9A Usgesasue pruyos qv qIO W GIO pu uo 1ds u ur ssnut U PULYIOA SBN ISAP 1S 198 u mpuny s Jop Sure N ZouleNAIOg UIN DON lunu x putr Isou eool diu Sunippii9 s8 unuu qv 1 po SIOMUIH 1 uosnsumr et Jeqsnjioa JAN Od Inj Sunsiomuy rp Jop oyun assoipy TaN zent USSHYIISYONIOG ussunproyos Jug 19q pun u s 19ed AIopue ap rp sunsepylessunuys qy ur Japo SIOMUIH Joyosystint urg ISdO TIXOLSIHON IOSN DON LI youpioesnz Z oS1 Od PIM ZION Z2010N T IN Od UION 3 upio Snz AoTOg PIM ION 9010N Aotfod ieqiapue so umqo d uon em3yuoy LN UOHVINSIUOYpPjAepuL S GeUulss JIM SungrAayasag OPWEIBT sHoj lajepsuoneinbyuoy Juge KH FL lleqP 99 Tivoli PKI Systemverwaltung URN AO 1r1 AW esoy UoIEpuNyeas Jop Sure N ZouleNAOg 81 Jeqsnjioa J N Oq Inj Sunsiomuy uN way xeputpsoyyesoy duy 210 Jap Jon assoipy TaN IdSO zent USSHYIISYONIOG ussunproyos Jug 19q pun u s 19ed AIopue ap rp sunsepyJessunuys qyv UIN Sunigpy osunuysfqy p0 SIOMUIH Iyosysunpf UTD Jopo siowurH 1 uosnsum urg 1x r snoNiosn DON LI 3 upio Snz SI JOd PIM ZONON Z SnoNI orloq DON Cl J upio sSnz OI Od PIM 99nON 5SnoNI orloq 13QUdq day A1 s rp UIN u uru uj lur Iy sep s
39. Local database alias krbdb Angenommen die Standard Directory Datenbank wurde mit dem Produkt installiert Geben Sie den Befehl db2 connect to Idapdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 6000 6 1 0 SQL authorization ID Tivoli PKI_instance Local database alias Idapdb Kehren Sie zum Root zur ck m Unter Windows NT 1 2 3 Melden Sie sich bei Windows NT als Systemadministrator an Starten Sie ein DB2 Befehlsfenster Geben Sie den folgenden Befehl ein set DB2INSTANCE Tivoli PKI_instance Hierbei steht Tivoli PKI_instance f r die Benutzer ID des Benutzers der Tivoli PKI installiert hat Geben Sie f r die Standard Konfigurationsdatenbank den Befehl db2 connect to cfgdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 6 1 SQL authorization ID Tivoli PKI_instance Local database alias cfgdb Tivoli PKI Systemverwaltung 61 Bs amsusya on ANZ UOUONEWIOJUL 10 DB2 Protokolle pr fen Die DB2 Protokolle werden von Tivoli PKI im Hinblick auf den Systembetrieb nicht ver wendet Weitere Informationen zu den Protokollen finden Sie in der Dokumentation zu IBM DB2 Geben Sie f r die Standard CA Datenbank den Befehl db2 connect to ibmdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 6 1 SQL authorization ID Tivoli PKI_instance L
40. Namensformaten f r die Entit t die vom CA dem zertifizierten ffentlichen Schl ssel zugeordnet wurde In der Regel wird in Zertifizierungsschablonen defi niert welche dieser Namensformate in Zertifikaten verwen det werden d rfen die diese Schablone nutzen Tivoli PKI Systemverwaltung 67 u Buni lne i3 r 68 Tabelle 10 Zertifikatserweiterungen Forts Erweiterung Beschreibung Schliisselkennung des Zertifikats gegenstands Diese Erweiterung legt fest welcher ffentliche Schl ssel durch ein bestimmtes Zertifikat zertifiziert wird Diese Erweiterung dient prim r der Unterscheidung von Schl s seln wenn mehrere Schl ssel f r eine Entit t zertifiziert sind oder zertifiziert wurden Der Wert dieser Erweiterung wird in Tivoli PKI immer vom CA definiert Schl sselkennung des Ausstellers Diese Erweiterung gibt an welcher ffentliche Schl ssel vom Aussteller eines Zertifikats zu dessen Unterzeichnung verwendet wurde Diese Erweiterung dient prim r der Unter scheidung von Schl sseln wenn mehrere Schl ssel f r einen Aussteller zertifiziert werden Der Wert dieser Erweiterung wird immer vom CA definiert Nutzungszeitraum f r privaten Schl s sel Diese Erweiterung schr nkt die Nutzung des privaten Schl ssels gem der G ltigkeitsdauer des Zertifikats ein Das aktuelle PKIX Zertifikatsprofil RFC 2459 gibt an dass die Nutzung dieses Schl ssels nicht l nger empfohlen wird
41. PKCS 10 definiert eine Standardsyntax f r Zertifizierungsanforderungen m PKCS 11 definiert eine Programmierschnittstelle f r Verschl sselungseinheiten z B Smart Cards die unab h ngig vom verwendeten technologischen Konzept ist m PKCS 12 definiert ein portierbares Format zum Speichern oder Transportieren der privaten Schl ssel Zerti fikate und sonstiger geheimer Daten etc eines Benutzers Public Key Infrastructure PKD Ein Standard f r Sicherheitssoftware der auf der Verschl sselung mit Hilfe ffentlicher Schl ssel basiert Bei PKI handelt es sich um ein System digitaler Zertifikate Zertifikatsaussteller Registrierungsstellen Zertifikat verwaltungsservices und verteilter Verzeichnisservices Er dient zum Pr fen der Identit t und Berechtigung aller Parteien die an Transaktionen beteiligt sind die ber das Internet ausgef hrt werden Diese Transaktionen umfas sen m glicherweise Operationen zu deren Ausf hrung eine Identit tspr fung erforderlich ist Sie dienen z B zur Best tigung des Ursprungs von Senderechtanforderungen E Mail Nachrichten oder Finanztransaktionen PKI stellt ffentliche Chiffrierschl ssel und Benutzerzertifikate f r die Authentifizierung durch eine berechtigte Einzelperson oder ein berechtigtes Unternehmen zur Verf gung Er stellt Online Verzeichnisse bereit die die ffentlichen Chiffrierschl ssel und Zertifikate enthalten die zur berpr fung der digitalen Zertifikate Identit ts nachw
42. S tze verwenden zum Schutz einen Nachrichtenau thentifizierungscode MAC Message Authentication Code Die Pr fung dieser S tze ist eine Tivoli PKI Option mit der Bezeichnung Integrit tspr fung m Speicherung der eigenen Schl ssel und Zertifikate im Tivoli PKI KeyStore m Generierung von Pr fs tzen f r sicherheitsrelevante Ereignisse und deren Weiterleitung an den Pr f Server m Unterst tzung von gegenseitiger Zertifizierung und CA Hierarchien m Unterst tzung der Generierung und Best tigung von Zertifikaten die benutzerdefinierte und vom Benutzer ausgew hlte Zertifikatserweiterungen enthalten CA Hierarchien Eine CA Hierarchie ist eine Sicherungsstruktur bei der sich ein CA an der Spitze dieser Struktur befindet Dieser Spitze k nnen bis zu vier CA Ebenen untergeordnet sein Werden Benutzer oder Server bei einem CA registriert erhalten sie ein Zertifikat das von diesem CA unterzeichnet wurde Auf diese Weise bernehmen sie die Zertifizierungshierarchie der dar berliegenden Ebenen In Tivoli PKI kann ein CA als Teil einer internen einer Abw rts oder einer Aufw rtshierarchie konfiguriert werden Die einzelnen Hierarchietypen sind wie folgt definiert Interne Hierarchie Eine interne Hierarchie besteht ausschlie lich aus Tivoli PKI CAs CAs in einer sol chen Hierarchie verwenden das PKIX Protokoll CMP Certificate Messaging Proto col Aufw rtshierarchie Eine Aufwartshierarchie ist definiert als die Kombinati
43. SS Hpne uone mnJyuoyIAII Joyxoo1d ef L SIUSIOI M SUNM ALWEN XpUur LIA S So Ju A Tloyoloid ef T 210 21311 mM Sun I2MagJsopum ururALIOAaS ZOJ JUDAS PITA u q uuosi qn s s rp qo Japo u p J J3nJoZue oyoloidsruSr orq sep ef ony ue usjeq go que am ZuniompieW puodde SofJusAs So sju A uIs sSo nut ddi 1sn XIV MA SOFSIJUFADUIS SFON AILIOUMY uoss usiorg ef ISNIL WEAT SOTLI WEISOIA D LN SAONpuIrAA MA uoa Sunuuor zjJnv mz q q urpu jij 3o Ju A SdITAIIS OYOJOIg S P UOYLINSYUO Y Aieqai opue sojwajgoA1d uon BINSIJUOS EN JAIMPAIEPURIS sSunqir iuos q DPULILd suoj JajepsuojeinByuoy 19A19S JIud GL S1ISgeL 107 Tivoli PKI Systemverwaltung 119 pwsneiysZoj ner ddj isn XTV MA Jo puisnel ssoyp Aloyny ef ISNIL WATNSOTLI WEISOIA D LN SMOPUIM MA TOyepIofyog Jop SureN VA 9WEUOTLF FOT IOLIO IA u pI m JSNJosue 10WA 2WIL SU DUPUIOA Ap ef ony ue useq qo que am ZuniompieW puodde Sof soen Sof puisner sdoj ner ddj ssn X1TV MA Sof pusnen sSoN ALIOUMY ef ISNIL WATNSOTLI WEISOIA D LN SMOPUIAA And I ep l oyXoloid S5 841 Jop aueN Jod aweua LF3ofoden ssru r rq INJ uonyung UIN ospeF 9IBIL JOP USIOIAHNEUJ USIOTAUNV ET IEN HEEN ef Te JNIS WIL JU INJ IWLN VA aweu TIA AED uonyun 20611 Jop SUNIDIANYCUL SUNIDIADYV ef EI INZ SunmmpepW 2017 qeu oop n HEIL Sunjnids e 3u UIN nn Jop UdIOIATYRU 19po
44. Schliissel ersetzt wurde Dieser Schliissel wird fiir den gleichen Zweck eingesetzt wie der alte Schliissel KeyCompromise Gibt an dass ein Chiffrierschl ssel nicht mehr verbindlich sicher ist CAKeyDistribution Gibt an dass der ffentliche Schl ssel des CA in verbindlich das Directory geschrieben wurde Zertifikatsverwaltung CertGeneration Gibt an dass ein Zertifikat generiert wurde verbindlich CertRevocation Gibt an dass ein Zertifikat widerrufen wurde verbindlich CertRenewal Gibt an dass ein Zertifikat erneuert wurde verbindlich CertSuspension Gibt an dass ein Zertifikat tempor r ausgesetzt verbindlich wurde 126 Version 3 Release 7 1 Tabelle 19 Pr fereignisse Forts Zugriffs auf einen Tivoli PKI KeyStore erfolg reich war Ereignis Beschreibung Verbindlich oder optional CertResumption Gibt an dass ein zuvor ausgesetztes Zertifikat verbindlich aktiviert wurde CRLQuery Gibt an dass die Zertifikatswiderrufsliste CRL optional gelesen wurde CRLUpdate Gibt an dass die Zertifikatswiderrufsliste CRL verbindlich aktualisiert wurde SubmitCertRequest Gibt an dass eine Zertifikatsanforderung tiberge optional ben wurde Enrollment Gibt an dass eine RA eine Registrierung bei verbindlich einem CA angefordert hat Unenrollment Gibt an dass eine RA das Aufheben einer Regis verbindlich trierung bei einem CA angefordert h
45. Servern und drei Ports Protokoll SSL Server Client Beispiel f r Beispiel f r Authentifizierung Authentifizierung Port Nummer Port Nummer bei einer IP bei mehreren IPs HTTP Nein Nein Nein 80 80 HTTPS Ja Ja Nein 443 443 HTTPS Ja Ja Ja 1443 443 IP Aliasing Im Bereich der Internet Technologie ist ein Aliasname ein Name der einem Server zugeord net wird so dass der Server vom Namen seiner Host Maschine unabh ngig wird Der Alias name muss im Domain Name System DNS Ihres Systems definiert werden Version 3 Release 7 1 Directory Server Tivoli PKI verwendet das IBM SecureWay Directory zur Speicherung von digitalen X 509 Zertifikaten Zertifikatswiderrufslisten CRLs CA Regeln und weiteren Informationen zu registrierten Servern und Benutzern Mit dieser Komponente kann nach einem Zertifikat f r einen ffentlichen Schl ssel einer bestimmten Person oder eines Servers gesucht werden Hierzu wird das Directory nach dem eindeutigen registrierten Namen DN der Person oder des Servers oder nach anderen relevanten Informationsquellen durchsucht Dieser Server unterst tzt LDAP Standards LDAP Lightweight Directory Access Protocol und basiert auf DB2 UDB Er wird als eigenst ndiger D mon ausgef hrt und verwendet ein Client Server Modell um Tivoli PKI den Zugriff auf den Server zu erm glichen Der Server nutzt eine Schnittstelle auf Web Basis um das Directory einzurichten zu verwalten und d
46. Sie den Parameter certPerDp in der Konfigurationsdatei jonahca ini entsprechend einstellen Gegenseitige Zertifizierung Bei der gegenseitigen Zertifizierung handelt es sich um ein Sicherungsmodell in dem ein Zertifikat das einen ffentlichen CA Schl ssel enth lt der einem entsprechenden privaten CA Unterschriftsschl ssel f r das Ausstellen von Zertifikaten zugeordnet ist von einem CA an einen anderen CA ausgestellt wird Typischerweise wird die gegenseitige Zertifizierung eingesetzt um Client Systemen oder Endentit ten in einer Registrierungsdom ne die sichere Kommunikation mit Client Systemen oder Endentit ten in einer anderen Registrierungs dom ne zu erm glichen Obwohl die gegenseitige Zertifizierung zwischen CAs in beiden Richtungen erfolgen kann werden in Tivoli PKI Anforderungen f r die gegenseitige Zertifizierung nur in einer Rich tung unterst tzt Die gegenseitige Zertifizierung in beiden Richtungen ist m glich wenn jeder CA ein gegenseitiges Zertifikat vom jeweils anderen CA erh lt Tivoli PKI unterst tzt eine gegenseitige Zertifizierung nur zwischen CAs die das PKIX CMP Protokoll einhalten Version 3 Release 7 1 Zertifizierung Als Zertifizierung bezeichnet man die Erstellung eines digitalen Zertifikats f r eine Entit t oder eine Person In Tivoli PKI erfolgt die Zertifizierung nur nach Pr fung und Best tigung einer Zertifizierungsanforderung durch die RA Als Ergebnis der Registrierung stellt der
47. Sie die Datenbankverschl sselung durch Aus f hren des Programms Enable RA Database Encryption iauEnableRADBSec aktivieren Syntax jauEnableRADBSec d domain_name r install_directory i Tivoli PKI Systemverwaltung 115 USUONEULOJUN ZU919J9H G Parameter d domain_name Der Name Ihrer Registrierungsdom ne Dieser Wert muss mit dem Wert bereinstimmen der im Setup Wizard f r den Registrierungsdom nennamen angegeben wurde r install_directory Der vollst ndige Pfad unter dem Tivoli PKI installiert ist i install_directory Ein optionaler Parameter ber den das System angewiesen wird Debug Nachrichten derzeit nur in Englisch anzuzeigen Dienstprogramm Audit Archive and Sign Mit dem Dienstprogramm Audit Archive and Sign k nnen Sie Pr fprotokolldateien archivie ren und unterzeichnen Anmerkung Wenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der ein gebettete Leerzeichen enth lt m ssen Sie den Pfad in doppelte Anf hrungs zeichen setzen Syntax AuditArchiveAndSign c ConfigFile Path n ArchiveFileName Parameter c ConfigFilePath Der absolute Pfad der Konfigurationsdatei des Pr f Servers m Der Standardpfad f r AIX lautet usr lpp iau etc TrustAuthority AuditServer ini m Der Standardpfad f r Windows NT lautet c Program Files IBM Trust Athority etc TrustAuthority AuditServer ini Anmerkung Dieser Parameter ist optional Wenn Sie keinen Wert angeben wird die
48. UAAANYY A LISOUT SOP pne s JOYoIoIdjn1g sop Suni oIsTeMyVY INZ Woemssunjromosioqn ef s09 NWINIOZ 38rss nz Nq mourn Soy yipne 1eq pug sojwsjgoA1d uon BINSIJUOS YDeN JAIMPAIEPURIS sSunqir iuos q DPULILd suoj ISjepsuoreinbyuoy 19419S 4Nd GL S1ISgeL Version 3 Release 7 1 108 Konfigurationsdatei f r Pr f Client Die Konfigurationsdatei des Priif Clients AuditClient ini definiert die Konfigurations variablen des Pr f Clients Tivoli PKI Systemverwaltung 109 u uonkguuJojJu ZU919J9H G TTOS USPIOM Jemo I A19S WNZ SUNPUTGIaA IU UTAS IH Sep nJ u yonsI AsFUNJOyYIpAM UP er 0001 u u stAz rp uopuny stH ur NOZ A JOU stu ef p 31014 U1 INJ u uonsiSA pu S UOA UpZuV solLnoy z ms ayun Mam T3Id HOALL UOA SLAPY WASAP UT PIIM 1 9 urpipd uN woyoL 19801 u yor Wuegqu jeplossnIuoS TSS u NoLZATSS APYISSWUSHS IPnE AHOYInYy ISHIL WAI SOTII WeIZOIA D IN SMOpuI MA Psu yoru Id HOALL UOA asvafay WASAP ur PIIM 19 uN qpy Issnu ronipneyner ddi asny X1V 2041 oureIeg 1 s rq Nurquaeppossntyss ISS gq amp y1SS yz2ynysi 1un U ISId TIDALL UOA asvajay UI S ID ur PIIM pUer 1q ues UNZJIS 8nJunynz INA U 9DISA 19pUSAJ A uN umN SunzjHS rmA1S Au 1IO AP NJ TSS TOS Ee GE IZIMSAOUN YOU Sd TIOALL UOA SLAPY UI S Ip UT PIM 1 9 urpipd uN KUN Josalq snursrupuo uis uni rzunu uiny d Lymy wowuwnsur
49. UIN POST SJeYIJNIIZ SIU Jonep SHIYSHIND osigeurpsepurys Nq JoCoulL ofl I UIN YO9L8 SJENI s ur IONEPSIONSHIND Lwe Aq 9W LJ TXP UION uupy Usqesur 1rI971101S Ip VI ue Vq Jopo VY up anug Just pui pioJuv Jap qo ue OI o quiploodgouml ues UIN uondAmugvsawp Mm 1 VYS uorlda 9pioji IST WIUYSsqy CIO W Senurg Jopusyooidsyus urg snwuyJLosTe SU US Sop VOUI STV3IS nuyssqy qIo ut ur s UIPUPYIOA GIO epuceyseidsjus outa ssnw u umpu 8 q u p Inj u pi A oep GIO ule wWuyosqy CIO WI ssnw snwyN1IosTesjLIyssIzjun Upo inj AdOg 419D A1enssq ieqiopue sojwsjgoA1d uon em3yuoy WOEN UOHVINSIUOYpPAepuL S GeUlss JIM SungrAayasag OPWEIBT sHoj lajepsuoneinbyuoy 194 S YY FL ae Version 3 Release 7 1 98 5 Referenz informationen DON uondAmugvsawp Mm I eus YIIOPIOFIO IST WIUYSsqy CIO W Senurg Jopusyooidsyue urg snwuyJLosTe S JUIYOSIOIUL u si sop Sut N STV3IS NO g 19SS0 1 10NSsT UIN Auy ULOPIOJUL IYANU SJVYLJNIIZ s ur FALIOPIM Usp PMUJ arp uuey ANON VM Jop jong UOPIOJUL SIENLFNIOZ u iopioj 98UR IYI UOA S UI Jn H pIAA Usp WMUJJUNO sip UWY ANV N M Jop MeT uupy up IOJUL sJeNUJD19Z SIUN JIn LI DIAA Uap MUJUN 2019 qo up 1qID s s nb yo yoso yA UIN runy x putsoyreo0 dny 81 Jeqsnjioa Z o91 od Inj Sunsiomuy rp
50. Wizard verwendet wird um die MRA einzurichten Das Dienstprogramm erstellt die Datendatei anhand einer Schablonendatei namens mraTemplate ini Dieses Dienstprogramm wird auf dem CA Ser ver ausgef hrt Tivoli PKI Systemverwaltung 117 u uonkguuJojJu ZU919J9H G 118 Syntax createNewRA f filename Parameter f filename filename steht f r den Namen der Datendatei Anmerkung Dieser Parameter ist optional Wenn Sie keinen Wert angeben lautet der Name der Datendatei mraConfig dat Dienstprogramm Multiple RA Enrollment Authorization Mit dem Dienstprogramm Multiple RA Enrollment Authorization wird eingesetzt wenn meh rere RAs MRA eingerichtet werden Es liest die w hrend der MRA Einrichtung erstellte Vorabregistrierungsdatei und berechtigt die neue MRA Auf diese Weise kann der CA alle durch die MRA ausgestellten Zertifikate unterzeichnen sobald die Einrichtung abgeschlossen wurde Dieses Dienstprogramm wird auf dem CA Server ausgefiihrt Syntax authRAEnrollment f filename Parameter f filename Gibt den Namen der Datei an die zur Registrierung der MRA verwendet wird Anmerkung Dieser Parameter ist optional Wenn Sie keinen Wert angeben lautet der Name der Datendatei mraConfig dat Dienstprogramm Bulk Certificate Issuance Das Dienstprogramm Bulk Certificate Issuance BCD bietet f r einen RA Administrator eine sichere Methode um mehrere digitale Zertifikate durch eine einzige An
51. alle Dateien mit der Erweiterung ixf Angenommen Sie verwenden Windows NT und den Tivoli PKI Standardpfad f r Konfigurationsdateien Melden Sie sich bei Tivoli PKI als Konfigurationsbenutzer an der Maschine an auf der die Tivoli PKI CA und Pr f Server Komponente installiert ist Sie m chten die nachfolgenden Komponenten nach Manipulationen durchsuchen Version 3 Release 7 1 m So priifen Sie die Datenbank des Pr f Servers 1 Geben Sie an der DOS Eingabeaufforderung in diesem Fall c folgenden Befehl ein AuditIntegrityCheck c c Program Files IBM Trust Authority etc TrustAuthority AuditServer ini d 2 Wenn das System Sie zur Eingabe eines Kennworts KeyStore PIN auffordert geben Sie das Kennwort des Priifadministrators ein Die Ergebnisse werden auf der Standardausgabeeinheit angezeigt m So pr fen Sie eine oder mehrere Archivierungsdateien des Pr f Servers 1 Geben Sie an der DOS Eingabeaufforderung in diesem Fall c folgenden Befehl ein AuditIntegrityCheck c c Program Files IBM Trust Authority etc TrustAuthority AuditServer ini a c Program Files IBM Trust Authority arc archivel_meine datei 2 Wenn das System Sie zur Eingabe eines Kennworts KeyStore PIN auffordert geben Sie das Kennwort des Priifadministrators ein Dieser Befehl pr ft alle Dateien mit dem Pfadpr fix Program Files IBM Trust Authority arc archivel_my file und den Erweiterungen ixf und sig Die Erweite rung ixf
52. als Systemadministrator an Laden Sie die Konfigurationsdatei AuditServer ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie den Abschnitt Audit Weitere Schritte m ndern Sie die Anzahl der zul ssigen Versuche zur Herstellung einer Verbindung mit der Pr fprotokolldatenbank wie folgt a Editieren Sie den Parameter audit log connect retries b ndern Sie den Wert des Parameters Der Wert muss eine ganze Zahl sein m Andenr Sie die Anzahl der zul ssigen Versuche zur Aktualisierung des Pr fprotokolls wie folgt a W hlen Sie den Parameter audit log update retries aus b ndern Sie im angezeigten Editierfeld den Wert des Parameters Sie m ssen einen Integer Wert eingeben m ndern Sie den zul ssigen Zeitlimit berschreitungswert zur Aktualisierung des Pr f protokolls wie folgt a W hlen Sie den Parameter audit log timeout aus b ndern Sie im angezeigten Editierfeld den Wert des Parameters Sie m ssen ein Zeitintervall eingeben Speichern Sie die Datei und beenden Sie das Programm Starten Sie das Tivoli PKI System Einstellungen f r Trace Protokoll ndern Das Trace Protokoll enth lt Aufzeichnungen zur Ausf hrung eines Computerprogramms Es gibt die Reihenfolge der Ausf hrung von Anweisungen wider Dieses Protokoll wird pri m r zur Fehlerbehebung verwendet Sie k nnen folgende Konfigurationsparameter ndern Aktivieren In
53. ber RDNs die den angegebenen RDNs C US O companyA OU departmentB entsprechen Pfad und Dateiname der Vorabregistrierungsdatei lauten tmp ccprereg reg und das Kenn wort lautet Secure Folgender Befehl platziert den angegebenen RDN in der Liste der zul ssigen Unterverzeichnisstrukturen CACertRq n C US O companyA OU departmentB h r tmp ccprereg reg P 1835 W Secure99 Anmerkung In Tivoli PKI wird f r DNs folgendes Format verwendet C Land 0 Unternehmen 0U Unternehmenseinheit CN allgemeiner_Name Namenseinschrankungen ausschlieBen Wenn Sie planen als Teil Ihrer allgemeinen Hierarchiel sung die hierarchischen CA Zerti fikate in Netscape Communicator herunterzuladen sollten Sie den Parameter m mit dem Dienstprogramm CA Certification verwenden um die Erweiterung f r Namens einschr nkungen Name Constraints aus dem resultierenden CA Zertifikat auszuschlie en Im folgenden Beispiel wird das Betriebssystem Windows NT ausgef hrt und es werden jeweils die Standardwerte f r den Installationspfad den Namen der Vorabregistrierungsdatei und das Systemkennwort von Tivoli PKI verwendet Das Exemplar eines solchen Befehls k nnte beispielsweise folgenderma en aussehen CACertRq m h r c Program Files IBM Trust Authority ccprereg reg P 1835 W Secure99 CA Zertifikat von Fremd CA erhalten Mit Tivoli PKI k nnen Sie ein CA Zertifikat von einem Fremd CA empfangen Indem Sie das Zertifikat dieses Fremd
54. dem Schl sselnamen PREID Version 3 Release 7 1 G ltige Schl sselnamen BATCHID x Die eindeutige ID f r einen Stapel von BCI Anforderungen Sie k nnen die Sta pel ID in jedem gew nschten Format angeben PREID x Die kundendefinierte ID f r die Anforderung CERTTYPE x Der Zertifikatstyp f r dieses Zertifikat Alle nachfolgenden Eintr ge in diesem Stapel verwenden denselben Wert f r CERTTYPE bis ein neuer Wert f r CERTTYPE angegeben ist Der Standardzertifikatstyp lautet SSLBrowserCertl Year LASTNAME x Der Nachname der Person f r die das Zertifikat angefordert wird FIRSTNAME x Der Vorname der Person fiir die das Zertifikat angefordert wird EMAILADR x Die E Mail Adresse der Person fiir die das Zertifikat angefordert wird COMMNAME x Der allgemeine Name fiir das Zertifikat Diese Angabe ist optional ORGNAME x Der Name des Unternehmens Diese Angabe ist optional ORGUNIT x Der Name der Unternehmensabteilung Diese Angabe ist optional STREET x Die Hausanschrift des Unternehmens Diese Angabe ist optional LOCALITY x Die Stadt in der das Unternehmen seinen Sitz hat Diese Angabe ist optional STATE x Die Name der Region bzw des Verwaltungsbezirks in dem der das Unternehmen ans ssig ist Diese Angabe ist optional COUNTRY x Der Name des Landes in dem das Unternehmen seinen Sitz hat Diese Angabe ist optional DOMAIN x Der Dom nenname Diese Angabe ist optional P
55. eingeschrankte Standardprofil wurde absichtlich relativ weit gefasst damit Benutzer die auf Grund von fal schen Kennphrasen oder verfallenen Profilen keinen Zugriff mehr haben ber eine Wieder herstellungsoption verf gen In fast allen F llen ist es jedoch sinnvoll diesen eingeschrank ten Standardaufgabenbereich sp ter ber die Installationseinstellungen hinaus zu begrenzen Anmerkung Tivoli empfiehlt dringend die Erstellung eines neuen Aufgabenbereichs der durch eine sorgf ltig gew hlte Kennphrase gesch tzt wird und ber ausrei chende Zugriffsberechtigungen f r eine Wiederherstellung nach Profilsper rungen verf gt IBM 4758 Cryptographic Coprocessor in der Tivoli PKl Umgebung installieren und klonen Anweisungen zur physischen Installation und zur Softwareinstallation f r den IBM 4758 Cryptographic Coprocessor finden Sie in der Dokumentation zum IBM 4758 Cryptographic Coprocessor Spezifischere Anweisungen enth lt die Dokumentation die Sie im Abschnitt Libar der Webseite zum IBM 4758 Cryptographic Coprocessor unter der folgenden Adresse aufrufen k nnen b e Physische Installation Tivoli PKI 3 7 1 unterst tzt nur den ersten IBM 4758 Cryptographic Coprocessor auf jeder physischen Maschine Wenn sich RA und CA auf derselben Maschine befinden kann dieser IBM 4758 Cryptographic Coprocessor gemeinsam benutzt werden Entsprechende Informationen enth lt das Installationshandbuch zum IBM 4758 Cryp tographic
56. glich Microsoft Windows sind zu ignorieren Zielgruppe Dieses Buch bietet Task orientierte Informationen die Systemadministratoren f r den Betrieb und die Verwaltung des Tivoli PKI Systems ben tigen Die Benutzer dieses Handbuchs sollten in den folgenden Bereichen ber praktische Erfah rungen verf gen Betriebssystem AIX oder UNIX Betriebssystem Windows NT Systemarchitektur Netzverwaltung Datenbankverwaltung Web Server Verwaltung Verzeichnisverwaltung Bezugsinformationen Die Produktdokumentation zu Tivoli PKI ist im PDF Format Portable Document Format und im HTML Format auf der Tivoli Website verf gbar Zusammen mit dem Produkt wer den die HTML Versionen einiger Ver ffentlichungen installiert sie k nnen ber die Benutzerschnittstelle aufgerufen werden Bitte beachten Sie dass seit der Erstellung der Dokumentation m glicherweise nderungen am Produkt vorgenommen wurden Aktuelle Produktinformationen sowie Informationen ber den Zugriff auf Ver ffentlichungen in der Sprache und im Format Ihrer Wahl finden Sie in den Release Informationen Die neueste Version der Release Informationen ist auf der Web site f r unter der folgenden Adresse verf gbar http www tivoli com support Die Tivoli PKI Bibliothek umfasst die folgende Dokumentation Einf hrung Dieses Handbuch enth lt eine Produkt bersicht f hrt die Produktvoraussetzungen und Installationsverfahren auf und bietet Informationen zum Zugrif
57. innerhalb der PKI CA Hierarchie die h chste Position einnimmt Version 3 Release 7 1 HTML Hypertext Markup Language HTTP Hypertext Transaction Protocol HTTP Server Ein Server der die Web gestiitzte Kommunikation mit Browsern und anderen Programmen im Netz steuert Hypertext Textsegmente die einzelne oder mehrere W rter umfassen oder Bilder enthalten auf die der Leser mit der Maus klicken kann um ein anderes Dokument aufzurufen und anzuzeigen Diese Textsegmente werden als Hyperlinks bezeichnet Ruft der Leser diese anderen Dokumente auf stellt er zu diesen eine Hyperlink Verbindung her Hypertext Markup Language HTML Eine Formatierungssprache f r das Codieren von Web Seiten HTML basiert auf SGML Standard Generalized Markup Language Hypertext Transaction Protocol HTTP Ein Client Server Protokoll f r das Internet mit dem Hypertext Dateien im Web bertragen werden ICL Issued Certificate List Liste der ausgestellten Zertifikate Identit tsnachweis Vertrauliche Informationen die verwendet werden um beim Austausch von Daten w hrend der Authentifizierung die eigene Identit t zu belegen In Network Computing Umgebungen ist die am h ufigsten verwendete Form des Identit tsnachweises ein Zertifikat das von einem CA erstellt und unterzeichnet wurde IniEditor Bei Tivoli PKI ein Tool mit dem Konfigurationsdateien editiert werden k nnen Integrit t Ein System sch tzt seine Datenintegrit t wenn es die nder
58. kennzeichnet Dateien im von DB2 generierten Exportformat Die Erweite rung sig kennzeichnet eine vom Pr fsubsystem generierte Unterschriftsdatei Die exportierten Dateien werden also unterzeichnet und die Unterschrift wird in der Datei mit der Erweiterung sig gespeichert m So pr fen Sie alle Archivierungsdateien in einem bestimmten Verzeichnis in diesem Fall c Program Files IBM Trust Authority arc 1 Geben Sie an der DOS Eingabeaufforderung in diesem Fall c folgenden Befehl ein AuditIntegrityCheck c c Program Files IBM Trust Authority etc TrustAuthority AuditServer ini A c Program Files IBM Trust Authority arc 2 Wenn das System Sie zur Eingabe eines Kennworts KeyStore PIN auffordert geben Sie das Kennwort des Priifadministrators ein Dieser Befehl pr ft im angegebenen Verzeichnis alle Dateien einschlie lich der Dateien mit den Erweiterungen ixf und sig Informationen zur Befehlssyntax und Parameterbeschreibungen finden Sie im Abschnitt Tivoli PKI Systemverwaltung 57 si sAsu u BioA ANZ u uolguuloju Status des Pr fservers pr fen Je nach Umgebung k nnen Sie den Status des Pr f Servers mit folgenden Prozeduren pr fen m Unter AIX 1 Melden Sie sich bei AIX als Root an 2 Pr fen Sie die Prozesstabelle und suchen Sie nach folgender Zeichenfolge java Finden Sie diesen Prozess fahren Sie mit Schritt D fort Finden Sie diesen Prozess nicht lesen Sie bi
59. mit einem zugeordneten registrierten Namen DN Distinguished Name verbun den Dieser ist eindeutig wenn der Eintrag ein Attribut umfasst das f r das tats chliche Objekt als eindeutig bekannt ist Im folgenden DN Beispiel wurde als Land C Country US als Unternehmen O Organization IBM als Unternehmenseinheit OU Organization Unit Trust und als allgemeiner Name CN Common Name der Wert CAl angegeben C US 0 IBM OU Trust CN CAl Directory Server In Tivoli PKI das IBM Directory Dieses Directory unterst tzt die LDAP Standards und verwendet DB2 als Basissystem Distinguished Encoding Rules DER Durch DER werden bestimmte Einschr nkungen f r BER definiert Mit DER kann genau ein bestimmter Verschl sselungstyp aus den verf gbaren und auf der Basis der Verschl sselungsregeln als zul ssig definierten Typen ausgew hlt werden Hierdurch werden alle Senderoptionen eliminiert DL Data Storage Library Datenspeicherbibliothek DN Distinguished Name Registrierter Name Dokumentverschl sselungsschl ssel DEK Normalerweise ein symmetrischer Ver Entschl sselungsschl ssel z B DES Dom ne Siehe Sicherheitsdom ne und Registrierungsdom ne DSA Digital Signature Algorithm e Business Das Durchf hren gesch ftlicher Transaktionen ber Netze und Computer z B der Kauf und Verkauf von Waren und Dienstleistungen sowie der Transfer von Zahlungsmitteln mit Hilfe der digitalen Kommunikation Tivoli PKI Systemv
60. nnen auch andere ihnen quivalente Produkte Programme oder Dienstleis tungen verwendet werden solange diese keine gewerblichen Schutzrechte der IBM verletzen Die Verantwortung f r den Betrieb der Produkte Programme und Dienstleistungen in Verbindung mit Fremdprodukten liegt beim Kunden soweit solche Verbindungen nicht ausdr cklich von IBM best tigt sind F r in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder Patentanmeldungen geben Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbunden Lizenzanforderungen sind schriftlich an IBM Europe Director of Licensing 92066 Paris La Defense Cedex France zu richten Anfragen an obige Adresse m ssen auf englisch formuliert werden C E N U INE SEE Dieses Programm enth lt Sicherheitssoftware von RSA Data Security Inc Copyright 1994 RSA Data Security Inc Alle Rechte vorbehalten Dieses Programm enth lt STL Software STL Standard Template Library von Hewlett Packard Company Copyright c 1994 m Die Berechtigung zum Verwenden Kopieren ndern Verteilen und Verkaufen dieser Software sowie der zugeh ri gen Dokumentation f r die gew nschten Zwecke wird hiermit geb hrenfrei erteilt Voraussetzung hierf r ist aller dings da der o a Copyrightvermerk auf allen Kopien erscheint und da sowohl dieser Copyrightvermerk als auch dieser Berechtigungshinweis in der zugeh rigen Dokumentation aufgef hrt werden Hewlet
61. platziert den ange gebenen Adressenbereich in der Liste zul ssiger Unterverzeichnisstrukturen CACertRq i 9 0 0 0 255 0 0 0 h r tmp ccprereg reg P 1835 W Secure99 DNS Adressen angeben Sie k nnen ein CA Zertifikat anfordern das die CA Hierarchie eines anderen CA bernimmt und die G ltigkeit des Zertifikats auf eine Gruppe von DNS Adressen einschr nkt Im folgenden Beispiel wird das Betriebssystem Windows NT verwendet alle Tivoli PKI CA Hosts verf gen ber DNS Adressen die mit companyA com enden Pfad und Dateiname der 26 Version 3 Release 7 1 Vorabregistrierungsdatei lauten a ccprereg reg und das Kennwort lautet Secure99 Mit fol gendem Befehl werden die angegebenen DNS Adressen in der Liste der zul ssigen Unter verzeichnisstrukturen platziert CACertRq d companyA com h r a ccprereg reg P 1835 W Secure99 Anmerkung Beginnt eine DNS Adresse mit einem Punkt werden alle Hosts einbezogen die mit dieser Unterzeichenfolge einschlie lich enden Diese Adressen werden in die Liste der Unterverzeichnisstrukturen aufgenommen Beginnt die Adresse nicht mit einem Punkt wird nur der Host einbezogen dessen Name der Zeichenfolge entspricht Der Einschr nkung companyA com entsprechen beispielsweise us company A com vnet companyA com und w3 software companyA com jedoch nicht companyA com oder kidcompanyA com selbst Der Einschr nkung compa nyA com entsprechen companyA com jedoch nicht us companyA
62. q u p Ing u pioA UaUgIap GIO 2019 YruyssqyY qIO WI ssnur snurt uos es1Juruosi Jurm u p rm Lod Teq pug sojwsjgoA1d uon BIS UDO el LN UOHVINSIUOYPjAepuL S GVUlss JIM sSunqir iu5s q PPWEIBT sHoj lajepsuoneinbyuoy 19119S YWI EL ale Version 3 Release 7 1 88 5 Referenz informationen SEPH uN POST SOUT Joneps oysH NSpiepuels Aq JPAPULLSITI SEPH ef Yprs Soule FOnepstoysnmg APULU Aq SWLLSFFIXEN uupy u q 2206 NOZUEIS rp YY Jopo MUJ uN L Wel D pui pioJuv Jop qo ue qin o quiplood gout HVIS YOIOPIOJIO IST tuuosqv qIO WH Sen urg 19pu uo ids1u urg snumpLosfe UION uondAriouqy SYYNM LYS SJYOSIJUN USI sop uonrurJoq S VS3IS do M AIJSS01J Wi PC Jonepsioysn ND TaO uonemd qO Ha TAO er PI u ljup d 8 u uostAz MOZPIePULIS S TAJOV MgL IST TEQEJA Z ONOq MJ Suns DON runu x pur jsou soo dju muy sip Jop Tomm assoipy TyN SC EH WPIOM u oq s sup niuypsqy CIO mt GIO epucyse ds Ju UTA SSNUI U9PUELLIOA suey Jos URN Kood ST AW Ip 1S1 TeS UsIRpuNyas op aweN ZouleNAdIOg SI QSHA AOOg MJ Suns DON any x pur jsou soo dju muy sip Jop Tomm assoipy TaN ISdO sent u 8nuorsyoni q uasunproyosyuq 19q pun u s DU oJopue rp rp SunsepyJossunuys qy UION ZunsepyJIosgunuyajqy Iopo Stan Joyosnstine 2013 Japo Stan 1 uosnsun urg TIXALI2HON DSN Teq I pug so umqo d uon BINSIUOY LN uoneain3uoypiepuue S GeUlss JIM
63. r die Hardwareimplementierung entwickelt DES wird von NIST alle f nf Jahre erneut als offizieller Verschl sselungsstandard der US Regierung zertifiziert Datenspeicherbibliothek DL DEK DER DES Ein Modul das den Zugriff auf permanente Datenspeicher mit Zertifikaten CRLs Schl sseln Regeln und ande ren sicherheitsrelevanten Objekten erm glicht Document Encryption Key Dokumentverschl sselungsschl ssel Distinguished Encoding Rules Data Encryption Standard Diffie Hellman Ein Verfahren zur Datenverschl sselung das auf der Verwendung eines gemeinsamen Schl ssels auf einem nicht gesicherten Medium basiert und nach seinen Erfindern Whitfield Diffie und Martin Hellman benannt wurde Digitales Zertifikat Ein elektronischer Identit tsnachweis der von einer zuverl ssigen Stelle f r eine Person oder Entit t ausgestellt wird Jedes Zertifikat ist mit dem privaten Schl ssel des CAs unterzeichnet Es b rgt f r die Identit t einer Per son eines Unternehmens oder einer Organisation Abh ngig vom Aufgabenbereich des CAs kann das Zertifikat die Berechtigung seines Inhabers best tigen e Busi ness Transaktionen ber das Internet auszuf hren In gewisser Weise hat ein digitales Zertifikat eine hnliche Funktion wie ein F hrerschein oder ein Meisterbrief Es best tigt dass der Inhaber des entsprechenden privaten Schl ssels berechtigt ist bestimmte e Business Aktivit ten auszuf hren Ein Zertifikat enth
64. ssen Sie das WebSphere Exemplar das f r die Registrierungsdom ne gestartet wurde manuell stop pen Verwenden Sie hierzu den Windows NT Task Manager um den java exe und den reqdbagent exe Prozess zu beenden m Um eine optimale Leistung zu erhalten sollten Sie vor einem erneuten Starten der Ser ver Komponenten auf einem Windows NT System einen Neustart der Maschine durch f hren m Wenn Sie das Steuerprogramm verwenden um die Tivoli PKI Server Komponenten unter Windows NT zu starten kann das Fenster in dem das Programm gestartet wird nicht geschlossen werden Dies liegt daran dass einige Komponenten diesem Konsol fenster zugeordnet sind Nach dem Stoppen der Tivoli PKI Serverkomponenten kann die ses Fenster geschlossen werden m Durch das Starten und Stoppen von Tivoli PKI wird auch der Directory Server auto matisch gestartet bzw gestoppt Wenn das Directory nicht automatisch gestartet bzw gestoppt werden soll m ssen Sie den Abschnitt AutoStopN der Datei TrustAuthCont rol cfg editieren um den Eintrag f r die Directory Komponente zu entfernen Ferne Server starten und stoppen Wenn Sie die Tivoli PKI Komponenten auf fernen Maschinen installiert haben m ssen Sie das Steuerprogramm verwenden um die Komponenten auf den einzelnen Maschinen zu star ten oder zu stoppen Starten Sie ferne Komponenten in der folgenden Reihenfolge 1 Directory Server 2 CA und Pr f Server 3 RA Server einschlie lich IBM HTTP Server
65. ssen Sie zun chst in das Verzeichnis usr lpp iau bin wechseln Version 3 Release 7 1 Der BCI Prozess besteht aus mehreren Abschnitten Sie k nnen den gesamten BCI Prozess ber einen einzigen Befehl ausf hren oder aber bestimmte BCI Abschnitte mit unterschiedli chen Befehlen ausf hren Um den gesamten BCI Prozess als einen Befehl auszuf hren ver wenden Sie den Befehl beistart Sollen die BCI Befehle separat ausgef hrt werden verwen den Sie hierbei die folgende Reihenfolge 1 beiin 2 beirunstart 3 beipost 4 beireport Die Befehle f r BCI werden im Folgenden beschrieben BCI Befehle Dieser Abschnitt enth lt Beschreibungen der Syntax und der Parameter f r die folgenden BCI Befehlszeilendienstprogramme m beiin m bcirunstart m bcipost m bcireport m beistart Befehl bciin Bei der Ausf hrung liest der Befehl beiin die Informationen in der BCR Datei und speichert sie in der Datenbank pkrf auf dem RA Server Die Daten aus der BCR Datei werden so formatiert dass pro Kundensatz in der Datei 1 Zertifikatsanforderung erstellt wird Bei jedem Datensatz werden Paare aus Schl sselnamen und Werten untersucht und die erforderli chen Felder gepr ft Falls ein Fehler festgestellt wird wird die Anforderung bersprungen und die Informationen werden in die Protokolldatei geschrieben Der Prozess wird gestoppt und schreibt einen Fehler in die Protokolldatei wenn die BCR Datei nicht gefunden oder nicht ge
66. tmp slapd errors Fehlerprotokoll f r das Directory IBM SecureWay 4758 PCI Cryptographic Coprocessor verwalten Der IBM SecureWay 4758 PCI Cryptographic Coprocessor ist eine Tivoli PKI Zusatz komponente Der IBM SecureWay 4758 PCI Cryptographic Coprocessor ist eine program mierbare PCI Bus Verschl sselungskarte mit Manipulationsschutz die DES und RSA Verschl sselungsoperationen mit hoher Geschwindigkeit erm glicht In Tivoli PKI ist die Unterst tzung f r die Einheit IBM 4758 nur unter AIX verf gbar Sie k nnen den Status des IBM SecureWay 4758 PCI Cryptographic Coprocessor mit dem Dienstprogramm csufenm pr fen Der IBM SecureWay 4758 PCI Cryptographic Coprocessor erstellt keine Protokolle Wenn bei der Einheit IBM 4758 ein Fehler auftritt werden normalerweise ein R ckkehrcode und ein Ursachencode zusammen mit dem Fehler ausgegeben Eine umfassende Liste mit den R ckkehr und Ursachencodes sowie den zugeh rigen Erl uterungen finden Sie im Hand buch IBM 4758 CCA Basic Services Reference and Guide Diese Codes sind normalerweise ausreichend f r eine vorl ufige Fehlerbehebung Weitere Informationen finden Sie in der Dokumentation zum IBM SecureWay 4758 PCI 64 Version 3 Release 7 1 Erlauterungen Das vorliegende Kapitel liefert Ihnen Informationen mit deren Hilfe Sie das Tivoli PKI System effizient verwalten k nnen Die Abschnitte umfassen allgemeine Sicherheitsaspekte von Tivoli PKI sowie Informatio
67. und WebSphere Application Server Zum Stoppen des Systems m ssen die Server Programme in der umgekehrten Reihenfolge gestoppt werden Tivoli PKI Systemverwaltung asiamsudYyeb1o0A ANZ u uolguuloju 10 Tivoli PKI IP Adressen andern System Wurde das Tivoli PKI System mit einem einzigen Host Namen auf einer einzigen Maschine installiert und konfiguriert K nnen Sie die IP Adresse dieser Maschine mit folgender Proze dur ndern 1 Stoppen Sie das Tivoli PKI System 2 ndern Sie die IP Adresse der Maschine gem den Regeln Ihres Unternehmens 3 Editieren und ndern Sie die IP Adresse auf die in der Datei usr Ipp iau pkrf Domains YourDomain etc httpd RD_0 conf verwiesen wird und geben Sie die neue IP Adresse an 4 Fahren Sie die Maschine herunter und starten Sie sie erneut 5 Starten Sie das Tivoli PKI System sichern und wiederherstellen Dieser Abschnitt behandelt die Sicherung und Wiederherstellung von Tivoli PKI Folgende Themen werden ausf hrlich behandelt m Richtlinien f r das Sichern und Wiederherstellen der Tivoli PKI Datenbanken m Sichern und Wiederherstellen der Betriebssysteme AIX und Windows NT m Klonen des IBM SecureWay 4758 PCI Cryptographic Coprocessor Sichern und Wiederherstellen unter AIX und Windows NT Um Tivoli PKI unter AIX oder Windows NT sichern zu k nnen m ssen Sie zun chst alle Tivoli PKI Prozesse in der folgenden Reihenfolge beenden 1 Tivoli PKI 2 DB2 Datenba
68. und die sichere bertragung von E Mails Tivoli PKI Systemverwaltung Dd HOALL nz u uonewoyzu L Eine Web Verwaltungsschnittstelle das RA Desktop erm glicht berechtigten Regis trierungsstellen die Genehmigung oder Zur ckweisung von Registrierungsanforde rungen sowie die Verwaltung von Zertifikaten nach deren Ausstellung Ein Pr fsubsystem ermittelt einen Nachrichtenauthentifizierungscode MAC f r jeden Protokolleintrag Wenn Pr fdaten nach ihrer Aufzeichnung in der Pr fdatenbank ge ndert oder gel scht werden k nnen Sie mit Hilfe des MAC diese Manipulation feststellen Regel Exits und Unternehmensprozessobjekte Business Process Objects BPOs erm g lichen Anwendungsentwicklern die Anpassung der Registrierungsprozesse Integrierte Unterst tzung f r eine Verschl sselungsmaschine Zur Authentifizierung der Kommunikation werden die Tivoli PKI Hauptkomponenten mit einem werkseitig gene rierten privaten Schl ssel unterzeichnet Sicherheitsobjekte z B Schl ssel und MACs werden verschl sselt und in gesch tzten Bereichen so genannten KeyStores oder Schl sselspeichern gespeichert Integrierte Unterst tzung f r IBM Directory Das Directory speichert Informationen zu g ltigen und zur ckgewiesenen Zertifikaten in einem LDAP kompatiblen Format Integrierte Unterst tzung f r IBM WebSphere Application Server und IBM HTTP Ser ver Der Web Server arbeitet mit dem RA Server um Nachrichten zu verschl sseln Anford
69. und pr fen Sie die Protokolle aller Komponenten um den Fehler zu lokalisieren Wenn Sie bei einem Fehler ausf hrliche Unterst tzung zur Fehlerbehebung ben tigen akti vieren Sie die Umgebungsvariable f r die Debug Stufe DebugLevel Sie k nnen diesen Wert Ihren Bed rfnissen entsprechend anpassen je nachdem ob Sie mehr oder weniger Fehlerbehebung mit aktivierter Nachrichtenerstellung auf Debug Stufe Nachrichtendetails erhalten wollen Die in dieser Variable angegebene Protokollstufe legt den Protokollumfang fest Der Wert ist eine positive ganze Zahl im Bereich zwischen 0 und 1000 Je h her die Stufe desto umfangreicher die Protokollierung Die folgenden Tivoli PKI Debug Stufen werden empfohlen m DebugLevel 25 Minimale Protokollierung es werden jedoch alle Fehler aufgezeich net Verwenden Sie diese Stufe f r st ndige Operationen bei denen Probleme zwar nicht aktiv diagnostiziert werden bei denen Sie die Protokolle jedoch gegebenenfalls einsehen wollen falls doch etwas passiert m DebugLevel 75 Enth lt zus tzlich die Protokollierung von darunter liegenden Softwareschichten Verwenden Sie diese Stufe wenn Probleme zwischen den CA und RA Servern auftre ten Das Ausgabevolumen ist etwa f nfmal h her als bei Debug Stufe 25 m DebugLevel 101 Enth lt eine umfangreiche und detaillierte Protokollierung der h her stufigen RA Server Verarbeitung einschlie lich der Verarbeitung von Zertifikatsprofilen und d
70. und ver wendet wird Das Programm enth lt Komponenten des IBM WebSphere Application Server und des IBM HTTP Web Server IBM Server Sie sind nicht berechtigt die IBM Server zu anderen Zwecken als in Verbindung mit der lizenzgerechten Ver wendung des Programms zu benutzen Die IBM Server m ssen auf derselben Maschine wie das Programm installiert sein Sie sind nicht berechtigt sie unabh ngig vom Programm zu installieren und zu verwenden Java und alle auf Java basierenden Marken und Logos sind in gewissen L ndern Marken der Sun Microsystems Inc Microsoft Windows Windows NT und das Windows Logo sind in gewissen L ndern Marken der Microsoft Corporation UNIX ist eine eingetragene Marke und wird ausschlie lich von der X Open Company Limited lizenziert Pentium ist in gewissen L ndern eine Marke der Intel Corporation Bemerkungen Die vorliegenden Informationen wurden f r Produkte und Services entwickelt die auf dem deutschen Markt angeboten werden M glicherweise bietet IBM die in dieser Dokumentation beschriebenen Produkte Services oder Funktionen in anderen L ndern nicht an Informationen ber die gegenw rtig im jeweiligen Land verf gbaren Produkte und Services sind beim IBM Ansprechpartner erh ltlich Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht da nur Programme Produkte oder Dienstleistungen von IBM verwendet werden k nnen Anstelle der IBM Pro dukte Programme oder Dienstleistungen k
71. werden soll Klicken Sie auf OK Es wird die Nachricht ausgegeben dass die Operation erfolgreich abgeschlossen wurde Klicken Sie auf OK Die Datei wird jetzt unter Personal Certificate Requests aufge f hrt Editieren Sie die in Schritt J erstellte Datei mit einem Texteditor und Kopieren Sie den Inhalt der PKCS 10 Datei in die Zwischenablage Rufen Sie in Ihrem Browser die Tivoli PKI Seite index jsp auf Setzen Sie eine Anforderung f r ein neues Server oder Einheitenzertifikat ab Ausf hr liche Angaben hierzu finden Sie im Tivoli PKI Benutzerhandbuch Nachdem Sie die entsprechenden Anforderungsinformationen angegeben haben f gen Sie die PKCS 10 Informationen aus Schritt QU in das Feld PKCS 10 Zertifikatsan forderung ein Klicken Sie auf Registrierungsanforderung bergeben Best tigen Sie die Zertifikatsanforderung am RA Desktop Ausf hrliche Angaben hierzu finden Sie im Handbuch Tivoli PKI RA Desktop Klicken Sie in dem Browser ber den Sie das Serverzertifikat angefordert auf Registrierungsstatus berpr fen um die PKCS 7 Datei abzurufen W hlen Sie f r Format der Zertifikatsdatei die Einstellung Base64 verschl sseltes PKCS 7 Zertifikat f r PC CRLF aus Klicken Sie auf Zertifikat auf Platte sichern und geben Sie an in welcher Position die Datei gespeichert werden soll bertragen Sie die in Schritt bo gespeicherte Zertifikatsdatei per E Mail oder mittels einer anderen Methode an die RA Maschine
72. 135 Fehlerbehebung mit aktivierter Nachrichtenerstellung auf Debug Stufe 135 GIOSSAR usual dace na ae aan a a neun 137 AEX TEE 157 viii Version 3 Release 7 1 Tabellen 1 WebSphere Application Server Protokolle ber Transaktionen mit dem Setup Wizard 15 2 IBM WebSphere Application Server Protokolle ber Transaktionen mit der Registrierungsan WENdUNG ear e ee alee Q Si sy a EE e Ree eee eget ae Asie wes ea ec 15 3 HTTP Server Protokoll 34404 4464440 be SPREE uha qasamun quam ae saa qa Re EERO eee we ES 17 4 Protokolle d siCAQ Servers u y suspa itay apa isa ee eee eee anne 34 5 RA Servef Protokolle uu 6004 asas curse caed EAD ee EEE DER See base Sew ees 41 6 Spaltenbeschreibungen der Sichten f r die Tivoli PKI Priifdatenbank 47 7 Protokolle des Prtif Servers EE EE ANER cu nee a Ee HE LEE REE ES 59 8 Datenbankpositionen un uay eee eee whee dae d eh Gd Peewee ea ade Pode ae eed 60 9 Protokolle des Directory Servers 0 ssaea cama pawa scenti sedeat euet paga sqa 64 LL Zettifikatserweiterungei sss doriai maaua ha eee PR ee EE a ee ead oe 67 11 Modell f r IBM HTTP Server mit drei Servern und drei Portz 80 12 Tivoli PKI Konfigurationsdateien 1 0 0 eee eee 84 13 CA Server Konfigurationsdatei 0 0 eee 86 14 RA Server Konfigurationsdatei ss cse seses eee eee ee 96 15 Pr f Server Kontfigurationsdaf l u u u aswa eamaq aga aguas eee 106 16 Pr f Client
73. 1pp iau etc RAsCopyOfCAChain b64 p kennwort 1 kennung L protokolldatei Hierbei gilt kennwort Das urspr ngliche Kennwort f r das Steuerprogramm dass Sie bei CfgPostIns tall eingegeben haben kennung Die Kennung die Sie f r das CA Zertifikat bzw die CA Zertifikate vergeben wollen das die Sie importieren protokolldatei Die Protokolldatei f r diesen Befehl Sie m ssen sicherstellen dass das Benutzerkonto cfguser f r den Schreibzugriff auf das Verzeichnis berechtigt ist in dem die Protokolldatei erstellt wird Stoppen Sie Tivoli PKI Starten Sie Tivoli PKI CA Schl ssel aktualisieren Mit dem Dienstprogramm CA Key Update k nnen Sie eine Schl sselaktualisierung oder einen Rollover Prozess aus einem unbesch digten CA Schl sselpaar auf das n chste CA Schl sselpaar einleiten Sobald die Erstellung vorgenommen wurde verwendet der CA beim Unterzeichnen von Zertifikaten das neue Schl sselpaar Nach Ausf hrung eines CA Key Rollover Prozesses m ssen Sie das Webserverzertifikat aktualisieren damit der neue CA Unterschriftsschl ssel verwendet wird Weitere Details und Referenzinformationen finden Sie im Abschnitt LDienstprogramm CA Version 3 Release 7 1 So k nnen Sie eine CA Schl sselaktualisierung vornehmen und das Webserverzertifikat aktu alisieren 1 10 11 Melden Sie sich am CA Server als cfguser an und geben Sie Folgendes ein um das Verzeichnis zu wechseln usr 1pp iau bin
74. 2 Eine Registrierungsstelle RA Registration Authority ist ein Server Prozess der die admi nistrativen Aufgaben im Bereich der digitalen Zertifizierung bernimmt In Tivoli PKI kann eine RA Anforderungen genehmigen oder zur ckweisen sowie den Widerruf eines Zertifikats einleiten Die RA gew hrleistet dass die gesch ftlichen und Zertifizierungsregeln eines Unternehmens eingehalten werden Registratoren Registratoren k nnen ber den Tivoli PKI RA Desktop Verwaltungs Tasks f r Registrie rungsanforderungen ausf hren Damit ein Registrator diese Tasks ausf hren Kann muss die entsprechende Person als Registrator registriert werden Anweisungen zur Registrierung eines Registrators finden Sie unter Re e elte ber den RA Desktop k nnen Registratoren folgende Statuswerte von Zertifikatsanforde rungen abrufen Empfangen Anstehend Genehmigt Nicht genehmigt Abgeschlossen Zu den weiteren Abfragefeldern des RA Desktop z hlen Vor und Nachname Aktualisierungs datum Erstellungsdatum und Ablaufdatum des Zertifikats Zeigt der RA Desktop die zu einer Abfrage gefundenen Eintr ge in Tabellenform an kann der Registrator f r die Ergeb nisse weitere Ma nahmen ergreifen So kann er beispielsweise eine Registrierungsan forderung best tigen oder zur ckweisen oder den Erneuerungsstatus eines Zertifikats wider rufen oder ndern Version 3 Release 7 1 Registrierungsdomanen Eine Registrierungsdom ne ist eine Gruppe von Ressour
75. A pim snum uosrgs jiqosi junq URN uondAnugy SAYIM 1 VYS I VHS Hu ysy sop uontuuodq IVHSP MYSA JOPUSMIOA SNWUNIOSTV sop yemsny Inz pun 8r zuv INZ 1 A19S Wap 1 po INN Jap uoA PTAA snuq uosrgs jiqosi un UION TeYys YyM esp pl VHS Wu vSd sep uontuU q IVHSUNAVSGQ SSrVSiSS3rn urui sv snurq ios es un 9 ssn US9S1 9A URN eSp pI ysa s p uonrurj q VSd sS y3upryawwAsY WN uonddrougqesi snwyMIoSIV VSA s p uonrur q VS snwwypLIosTe URN esp pl Tessn yoS VSq sep uonruroq VSd Ss yAe STR I OTM 1eqI pug so umqo d uon BINSIUOY LN UOHVINSIUOYpPAepuL S GeUlss JIM Sungr ayasag PPWEIBT sHoj lajepsuoneinbyuoy 149XI9S YH F lleqP 97 Tivoli PKI Systemverwaltung UIN Ha aam IU Snouag eday mud s rp sep Su Sop ureN VA 310 Aorod UIN Kotods UISITFIOA GIO pu uo ds u ur Aruy gt dsqV AIO UT sent MJH pay vamrwud Jap sueN Joq oweNnA9l od UIN d YSILIOPIOFIO 030 20 qo ue 1010 p irmb g orloq UIN fppuey o3oy oyos DU 2019 um uots sa qo ur IqID PO N Od UIN 81 YoIJopslojia SuNpuIMAIATOssNTYIS Jop SUNIO IOMI_ Ip qo ur IqIDH pormnbayyases 9 Ady UIN UIN PIIM JzyMsIJJun SUNpUdMIOATASSNTYIS Jop SUNIO IOMI_ Ap qo ur 1qID uupy Udqesue spue suases SEJI Sop ssn u5S uourour adjfe Usp VA IPO MUJUD pui pioJuv Jap qo ue OI pa11oddnsasesnAoy ojgeipioodsAkoy
76. AS IMNAIIST OYOJ0IA UIN T SOOIAIOS I IeqSnJI 9A yezuy Aq Junoo o1IA19S JULNOLIINIISIIATIS sne uapunyas uoA 4408 WUIRISOIg Seq los u pi oA Jemo uoyonssaAssunpurg ISAZ UOS ef IMZ Ip u puny S ur yezuy Aq Aepp nur 1oJdesse JOYOOS I9AIIS ef we oyonsioAssunpurg Jop yezuy s rm rgzurio jd oop PIIM JUOPA ef TZzL OQU ISA49S Jnid WOA Jap od Ja 3 1e 10Jdo99e UIN JO d 95259v1935osS AJS siold ooe uouroep jyur8us s 8T umqruro assepy lojdaooy Jap uteN 1q urpussp o 1o d ootp IOT IIAIIS 1eq pug sojwsjgoA1d uon BINSIUOY LN Ji9Apaepur s sSunqir iu5s q JojoUIvIeg layepsuonesnbyuoy JEAI S Nd GL a eqeL Version 3 Release 7 1 106 5 Referenz informationen slloyoloidJnid sop Suni rsilenyv nz ef oyans aAa usdIssenz Jop yezuy at somoroyepdn soy pne To epT OYoIoIg yuRquayeq Inz SUNPUIGIOA Rum Sun 1 si9H INZ ef Cl uo nsiI9A usdIssenz Jop yezuy at OLAI IO HO SOT pne SunpuiqioAupqu leGq UIN 8uis Jop SunyeMisaA Z snur uoS V 1q uono uuoo qp ipne UIN yuequsjeppnig Jop owen NA ouleu qp ipne UIN sre duiexejnig 7qq Sep aweN NA out1sur qp ipne I SAADAI SOTEESmeN ddyyasn XIV MA TIA SGADAN S0TRe9 HoyINY TOJep UIN ISNLL WEAT SOTLI WEISOIA D LN SAOpUIAA MA Sofee4 SIN Jop urpur leq qA Sopeyeo jipne JOPUIMIIA OSSNTYISIOLIFIUI MId Jop usoyoreds wnz Dit uN PEA Aq Talepynig o10ig hoy NA
77. CA akzeptieren ordnen Sie anschlie end den Tivoli PKI CA dem Fremd CA hierarchisch unter So k nnen Sie ein CA Zertifikat von einem Fremd CA empfangen 1 Erstellen Sie eine PKCS 10 Anforderungsdatei Verwenden Sie hierzu das Dienstpro gramm CA Certification CACertRq Die Anforderung kann entweder im Bin rformat oder im Base 64 Format erstellt werden F hren Sie den Befehl CACertRq mit dem Parameter P aus nach dem Sie die Nummer des Verwaltungs Ports f r den CA ange ben Verwenden Sie au erdem den Parameter C um die Anforderungsdatei im Bin r format zu erstellen oder den Parameter B damit die Anforderungsdatei im Base 64 Format erstellt wird Die Anforderungsdatei muss ber eine sichere im Offlinemodus verwendete Methode Ihrer Wahl an den Fremd CA bertragen werden W hrend der bertragung m ssen Sie und der Fremd CA der die Datei empf ngt daf r sorgen dass Sicherheit und Integrit t dieser Datei gew hrleistet sind 2 Der Fremd CA nimmt die Anforderungsdatei an und gibt dann eine Antwortdatei an Sie zur ck Die Antwortdatei muss im Bin rformat stehen und eine codierte PKCS 7 Kette von CA Zertifikaten enthalten einschlie lich des an Ihren Tivoli PKI CA ausgestellten Zertifikats und des Zertifikats f r den CA auf der Ausgangsebene der Hierarchie Die Antwortdatei muss vom Fremd CA ber eine sichere im Offlinemodus verwendete Methode Ihrer Wahl bertragen werden W hrend der bertragung m ssen S
78. CI Prozess ausgef hrt wurde m bcirun log steht f r die Stapel ID m bcipost log steht f r die Stapel ID Tivoli PKI Systemverwaltung 123 u uonkguuJojJu ZU919J9H G BCI Zertifikatsverwaltung Nachdem der BCI Prozess abgeschlossen ist werden die BCI Zertifikate an die RA Daten bank gesendet Diese gesendeten BCI Zertifikate k nnen dann ber den RA Desktop verwal tet werden Sie K nnen den Status der BCI Zertifikate in jedem Abschnitt des BCI Prozesses pr fen indem Sie den Befehl bcireport ausf hren Die gesamten BCI Anforderungsdaten werden in der Tabelle BCIRT der Datenbank PKRF auf dem RA Server gespeichert BCI enth lt keine Tools um Eintr ge in dieser Tabelle zu l schen Dienstprogramm CA Key Update Mit dem Dienstprogramm CA Key Update k nnen Sie eine Schliisselaktualisierung einen so genannten Rollover Prozess aus einem unbesch digten CA Schliisselpaar auf das n chste CA Schliisselpaar einleiten Sobald die Erstellung vorgenommen wurde verwendet der CA beim Unterzeichnen von Zertifikaten das neue Schliisselpaar Der Administrator legt fest ob das alte Schl sselpaar versetzt oder gel scht werden soll sobald das neue Schl sselpaar wirksam ist Wenn sich die Giiltigkeitsdauer des CA Schliissels dem Ende zuneigt sollte der Administra tor einen Rollover Prozess f r das CA Schl sselpaar bei einem geplanten Systemabschluss des Tivoli PKI Systems einplan
79. Chain xxx m ssen an die RAs mit einer sicheren im Offlinemodus verwendeten Methode Ihrer Wahl bertragen werden W hrend der bertragung m ssen Sie daf r sorgen dass Sicherheit und Integrit t dieser Dateien gew hrleistet sind Sobald die alten Versionen der Dateien RAsCopyOfCAChain x x auf jedem RA System ersetzt wurden das unter dem CA mit der ge nderten Hierarchie ausgef hrt wird akzeptieren alle ausgestellten Zertifikate die neue Hierarchie und k nnen wie gewohnt verwendet werden Anmerkung Sollte ein Benutzer versuchen in dem Zeitraum zwischen der nderung der Hierarchie und der Aktualisierung der Dateien RasCopyOfCAChain xxx auf den einzelnen RAs ein Zertifikat zu verwenden schl gt die Authentifizierung des Zertifikats fehl Daher ist es wichtig diesen Zeitraum so kurz wie m g lich zu halten Schl sselbund des Webservers nach Aufbau der CA Hierarchie aktua lisieren Nachdem Sie eine CA Hierarchie aufgebaut haben in der der Tivoli PKI CA der ausstel lende CA ist also das Tivoli PKI CA Zertifikat durch einen anderen CA unterzeichnet wurde m ssen Sie den Schl sselbund des Webservers auf dem Tivoli PKI System aktuali sieren damit diese neue Hierarchie wiedergegeben wird So aktualisieren Sie den Schl ssel bund des Webservers 1 Geben Sie auf der RA Maschine Folgendes in der Befehlszeile ein gsk4ikm 2 W hlen Sie Key Database File und dann Open aus 3 Geben Sie den Pfad bzw Ordnernamen f
80. Connectivity in Tivoli PKI ber DB2 m Optionale Verwendung von MACs in Datenbankeintr gen zur Gew hrleistung der Inte grit t nur ODBC m Verschleierung von Chiffrier und MAC Schl ssel zur Laufzeit m Unterst tzung mehrerer Verbindungen pro Thread mit einem standardm igen Maxi malwert m Zugriff auf die Pr fprotokollfunktion Unterzeichnen und G ltigkeitspr fung f r Unterschriften Als Unterzeichnen wird die Verwendung eines privaten Schl ssels zum Generieren einer Unterschrift bezeichnet Eine G ltigkeitspr fung beinhaltet die Verwendung des entsprechen den ffentlichen Schl ssels zur Best tigung der Unterschrift Tivoli PKI verwendet zur Unterzeichnung und f r G ltigkeitspr fungen eine Verschl s selungsmaschine auf PKIX Basis Dieses Produkt erm glicht es Anwendungen Informati onen zu ver und entschl sseln Mit diesem Produkt k nnen Anwendungen eine digitale Unterschrift pr fen ein Zertifikat von einem Directory abrufen und entscheiden ob ein Zer tifikat gesichert ist Diese Verschl sselungsmaschine bietet au erdem nahtlose Unterst tzung f r die hardwaregest tzte Verschl sselung Sie unterst tzt den IBM SecureWay 4758 PCI Cryptographic Coprocessor oder jedes andere Hardware Token mit PKCS 11 Schnittstelle Alle Tivoli PKI Softwarekomponenten die Verschl sselungs und KeyStore Operationen durchf hren werden von dieser Verschl sselungsmaschine unterzeichnet Registrierungsstellen RA 7
81. Coprocessor Softwareinstallation Lesen und befolgen Sie alle Anweisungen in der Datei README die sich im Ver zeichnis usr Ipp csuf befindet Hierbei muss insbesondere darauf geachtet werden dass die passenden Softwaresegmente f r den jeweils installierten spezifischen IBM 4758 Cryptographic Coprocessor geladen werden damit ein unn tiges erneutes Laden des ersten Segments f r den IBM 4758 Cryptographic Coprocessor vermieden werden kann Version 3 Release 7 1 Uber das Dienstprogramm csufclu k nnen sensible Daten komplett gel scht wer den indem die Segmente 2 und 3 zur ckgesetzt werden Alternativ kann zu diesem Zweck auch das Dienstprogramm csufcnm verwendet werden Hierzu werden die Optionen Crypto Node gt Initialize ausgew hlt Weitere Informationen finden Sie im Handbuch Version 2 XX CCA Support Program Installation Manual Kapitel 3 Installing the Support Program und Kapitel 4 Loa ding Software into the Coprocessor Klonen Bei den Klonprozeduren die fiir den IBM 4758 Cryptographic Coprocessor empfoh len werden wird lediglich ein gemeinsam benutztes Exemplar des Hauptschliissels erstellt Bei einer kompletten Sicherung miissen die Aufgabenbereiche die Profile und der auf Platte befindliche Speicher die durch die Einheit verwendet werden kopiert werden Sie miissen sicherstellen dass die Bedingungen fiir die Ubertragung aller installierten Aufgabenbereiche und Profile von der Haupt an die Sekundar
82. Dieses Kapitel erl utert die Verwaltung von Tivoli PKI und seiner Komponenten verwalten Im folgenden Abschnitt werden die Tools und Prozesse beschrieben die bei der Verwaltung von Tivoli PKI ben tigt werden Dies ist im Einzelnen Eingabe von Befehlen tiber die Windows NT Befehlszeile ndern von Tivoli PKI Kennw rtern Starten und Stoppen der Server Komponenten ndern von Konfigurationsdateien Pr fen der Tivoli PKI Konfigurationsprotokolle ndern von Tivoli PKI IP Adressen Sichern und Wiederherstellen des Systems berwachen der Zertifikatsaktivit t Aufzeichnen der Anzahl von Benutzern und Zertifikaten Befehle unter Windows NT eingeben Wenn Sie Tivoli PKI unter Windows NT installiert haben gibt es f r eine Reihe von Tasks keine Programmsymbole so dass diese Tasks von einer DOS Befehlszeile aus aufgerufen werden m ssen So muss beispielsweise add_rauser manuell ausgef hrt werden damit Regis tratoren definiert werden k nnen Wenn Sie einen Befehl angeben f r den ein Verzeichnispfad als Parameter erforderlich ist und dieser Pfad eingebettete Leerzeichen enth lt m ssen Sie den Pfad in doppelte Anf h rungszeichen setzen So muss beispielsweise der Parameter f r den Pfad im Befehl add_rauser wie folgt angegeben werden add_rauser c Program Files IBM Trust Authority bin Tivoli PKI Kennw rter ndern Tivoli PKI verf gt ber ein Dienstprogramm zum ndern von Kennw rtern Mit diesem Dienstpr
83. Format 2 AuditIntegrityCheck c ConfigFilePath a ArchivefileNamel ArchiveFileName2 ArchiveFileName3 Format 3 AuditIntegrityCheck c ConfigFilePath A ArchiveFileDirectory Parameter c ConfigFilePath Der absolute Pfad der Konfigurationsdatei des Priif Servers m Der Standardpfad fiir AIX lautet usr lpp iau etc TrustAuthority AuditServer ini m Der Standardpfad f r Windows NT lautet c Program Files IBM Trust Authority etc TrustAuthority AuditServer ini Anmerkung Dieser Parameter ist optional Wenn Sie keinen Wert angeben wird die Standardkonfigurationsdatei des Priif Servers angegeben a ArchiveFileNamel ArchiveFileName2 ArchiveFileName3 Das Pfadnamenpr fix der Archivdateien deren Integrit t gepr ft werden soll Das Pr fix steht fiir eine Gruppe von Dateien die dem Archiv zugeordnet sind Der Befehl a local archive archive1 1067 verarbeitet beispielsweise mehrere Dateien mit dem Pfadnamenpr fix local archive archivel 1067 wie folgt local archive archivel 1067_audit_log ixf local archive archivel 1067_audit_log sig A ArchiveFileDirectory Der Pfadname des Verzeichnisses das die Archivdateien enth lt deren Integrit t gepr ft werden soll Alle Dateien mit den Endungen _audit_log ixf und _audit_log sig werden gepriift Dienstprogramm Create New RA Mit dem Dienstprogramm Create New RA werden mehrere RAs MRA definiert Das Dienstprogramm Create New RA erstellt eine Datendatei die vom Setup
84. I Cryptographic Copro cessor 10 Kommunikation gesicherte 1 Komponenten von Tivoli PKI CA Server 17 IBM Directory 62 IBM HTTP Server 15 IBM SecureWay 4758 PCI Cryptographic Coprocessor 64 Pr f Server 46 RA Server 35 Server starten 7 Server stoppen 7 WebSphere Application Server 14 Konfigurationsdatei AuditClient ini 109 AuditServer ini 105 CA Server 85 jonahca ini 85 jonahra ini 95 Pr f Client 109 Pr f Server 105 RA Server 95 Konfigurationsdateien 83 84 Konventionen xiii Kundenunterst tzung xiii L LDAP Lightweight Directory Access Protocol 62 LDAP Schemaversion angeben 103 Liste der ausgestellten Zertifikate ICL 71 Listener Port 40 M MAC Schl ssel 72 Manipulationserkennung 78 Massenzertifikate ausstellen 118 Mehrere RAs Dienstprogramm Create New RA 45 117 Dienstprogramm Multiple RA Enrollment Authorizati on 118 Dienstprogramm Multiple RA Enrollment Registration 44 Installation 44 bersicht 73 Mehrere Zertifikate erstellen 118 Tivoli PKI Systemverwaltung N Nachrichten PKIX 65 Nachrichtenauthentifizierungscode MAC 66 Name des Zertifikatsgegenstands Erweiterung 67 Namenseinschr nkungen Erweiterung 28 67 Nutzungsbericht Usage Report 11 Nutzungszeitraum f r privaten Schl ssel Erweiterung 67 O Objektkennungen OID 81 P PKIX Nachrichten 65 Port 43 49 51 CA Server 18 Directory Server 43 Priif Server 49 51 RA Server 40 Private Erweiterungen 69 Protokolle CA Serv
85. IP ein System in einem Netz das die Anforderungen eines Systems an einem ande ren Standort verarbeitet Dieses Konzept wird als Client Server Modell bezeichnet Server Zertifikat Ein digitales Zertifikat das von einem CA ausgegeben wird und es einem Web Server erm glicht SSL gest tzte Transaktionen auszuf hren Wenn ein Browser ber das SSL Protokoll eine Verbindung zum Server herstellt sen det der Server seinen ffentlichen Schl ssel an den Browser Hierdurch kann die Identit t des Servers authentifi ziert werden und es k nnen verschl sselte Daten an den Server gesendet werden Siehe auch CA Zertifikat Digi tales Zertifikat und Browserzertifikat Servlet Ein Server Programm das zus tzliche Funktionen f r Server zur Verf gung stellt die Java unterst tzen SET Secure Electronic Transaction SGML Standard Generalized Markup Language SHA 1 Secure Hash Algorithm Ein von NIST und NSA entwickelter Algorithmus der beim DSS Digital Signature Standard verwendet wird Der Standard wird als Secure Hash Standard bezeichnet SHA ist der Algorithmus der von diesem Standard ver wendet wird Er generiert einen 160 Bit Hash Code Sicherheitsdom ne Eine Gruppe z B Unternehmen Arbeitsgruppe Projektteam deren Zertifikate vom gleichen CA zertifiziert wurden Benutzer die ber ein von einem CA unterzeichnetes Zertifikat verf gen k nnen der Identit t eines anderen Benutzers vertrauen der ein Zertifikat besitzt das vom
86. ISO IEC X 509 Version 3 Zertifikat Das X 509v3 Zertifikat verf gt ber erweiterte Datenstrukturen f r die Speicherung und das Abrufen von Infor mationen zu Zertifikatsantr gen zur Zertifikatsverteilung und zu Zertifikatswiderrufen sowie zu Sicherheitsregeln und digitalen Unterschriften X 509v3 Prozesse dienen zum Erstellen von CRLs mit Zeitmarken f r alle Zertifikate Bei jeder Verwendung eines Zertifikats erm glichen die X 509v3 Funktionen der Anwendung die G ltigkeit des Zertifikats zu berpr fen Die Anwendung kann au erdem feststellen ob sich das Zertifikat auf der Zertifikatswiderrufsliste CRL befindet CRLs unter X 509v3 k nnen f r eine bestimmte G ltigkeitsperiode erstellt werden Sie k nnen auch auf Version 3 Release 7 1 anderen Kriterien basieren die zur Aufhebung der G ltigkeit eines Zertifikats f hren Wenn z B ein Mitarbeiter ein Unternehmen verl sst wird sein Zertifikat in der CRL eingetragen X 509 Zertifikat Ein weit verbreiteter Zertifikatsstandard der entwickelt wurde um die sichere Verwaltung und Verteilung von digital unterzeichneten Zertifikaten ber sichere Internet Netze zu unterst tzen Das X 509 Zertifikat definiert Datenstrukturen die Prozeduren f r die Verteilung ffentlicher Schl ssel unterst tzen die von zuverl ssigen Stel len digital unterzeichnet sind Zertifikatsaussteller CA Die Software die zur Einhaltung der Sicherheitsregeln eines Unternehmens und zur Vergabe gesi
87. KCS10 x Die PKCS 10 Zeichenfolge im B64 Textformat Diese PKCS 10 Anforderung muss einen ffentlichen RSA Schl ssel enthalten PUBKEY x Die hexadezimal codierte Bitfolge f r den ffentlichen Schl ssel im ASN1 Format Es muss sich hierbei um einen ffentlichen RSA Schl ssel handeln Anmerkungen 1 Alle in der BCR Datei aufgelisteten Schl sselnamen m ssen das oben dargestellte For mat verwenden Tivoli PKI Systemverwaltung 119 u uonkguuJojJu ZU919J9H G 2 Schl sselnamen m ssen in Gro buchstaben angegeben werden Alle Schl sselwerte m ssen mit einem Semikolon enden 4 Die Werte f r alle Schl sselnamen m ssen im ASCII Format angegeben werden und d r fen h chstens 64 Zeichen lang sein Ausnahmen PUBKEY und PKCS10 Die Schl sselnamen die unbedingt angegeben werden m ssen sind BATCHID PREID LASTNAME FIRSTNAME PKCS10 und PUBKEY Der Schl sselname DOMAIN ist dann erforderlich wenn CERTTYPE IPSecCert1 Year oder CERTTYPE IPSecCert2 Year angegeben wird Alle anderen Schliisselnamen sind optional Die Schliisselnamen miissen nicht in einer bestimmten Reihenfolge angegeben werden Der Schl sselname PREID wird jedoch als Begrenzer verwendet und signalisiert dass ein neuer Anforderungssatz beginnt Daher muss er am Anfang eines Datensatzeintrags stehen Beispiel einer Anforderungsdatei f r Massenzertifikate Im Folgenden ist ein Beispiel einer Anforderungsdatei f r ein Massenzertifikat BCR Datei
88. Laden Sie die Konfigurationsdatei Jonahra ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt Transport den Parameter Polllnterval Andern Sie den Wert des Sendeaufrufintervalls Speichern Sie die Datei aN ws Starten Sie das Tivoli PKI System 40 Version 3 Release 7 1 RA Wiederholungsintervall ndern Die Zeit zwischen den CA Abfragen durch die RA in Sekunden s Minuten m oder Stun den h sofern der vom CA an die RA bermittelte Zeitpunkt f r den Sendeaufruf vor der aktuellen Uhrzeit der RA liegt So ndern Sie das RA Wiederholungsintervall 1 Melden Sie sich bei Ihrem Betriebssystem als nen an 3 Laden Sie die Konfigurationsdatei jonahra ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in 4 Editieren Sie im Abschnitt Transport den Parameter RetryInterval 5 ndern Sie den Wert des Wiederholungsintervalls 6 Speichern Sie die Datei 7 Starten Sie das Tivoli PKI System RA Serverprotokolle pr fen Sie k nnen die Protokolle des RA Servers an den in angegebenen Positionen pr fen Tabelle 5 RA Server Protokolle AIX Standardpfad Windows NT Standardpfad Beschreibung usr Ipp iau pkrf Domains YourDomain logs c Program Files IBM Trust Protokolldateien haben Authority pkrf Domains YourDomain logs den Namen irgrasvr und die Erweiterung gt log zufal
89. M SecureWay Trust Authority gt Trust Authority starten Start gt Programme gt IBM SecureWay Trust Authority gt Trust Authority stoppen Wenn Sie unter Windows NT die Befehlseingabe verwenden m chten geben Sie die fol genden Befehle in einer DOS Befehlszeile ein um die Serverkomponenten zu starten bzw zu stoppen Befolgen Sie die Online Anweisungen zur Eingabe des Kennworts f r das Steuerprogramm Start_TA bat oder Stop_TA bat Richtlinien zur Verwendung unter AIX Die Richtlinien zum Starten und Stoppen des Systems unter AIX sehen folgenderma en aus Wenn der CA und der RA Server durch die Ausf hrung des Steuerprogramms unter AIX nicht gestoppt werden k nnen erstellen Sie mit dem Befehl ps eine Liste der akti ven Prozesse und stoppen Sie diese Prozesse anschlie end mit dem Befehl kill Nach folgend sind Beispiele f r die Verwendung dieser Befehle sowie Beispiele f r Ausgabe daten aufgef hrt ps ef grep irgAutoCA root 18886 1 0 Oct 24 76 34 usr Ipp iau bin irgAutoCa usr Ipp iau etc TrustAuthority irgAutoCA ini cfguser 23316 32400 2 11 58 20 pts 4 0 00 grep irgAutoCA kill 18886 ps ef grep irgrasvr root 23526 1 12 Oct 24 207 46 usr Ipp iau bin irgrasvr c usr Ipp iau pkrf etc domain cfg d YourDomain cfguser 26016 12488 3 11 57 16 pts 0 0 00 grep irgrasvr kill 23526 Version 3 Release 7 1 m Durch das Stoppen von Tivoli PKI werden die Webserverprogramme unter AIX norma lerweise autom
90. MI SPPWEIEA Sop NIM Jop UUM YIISPIOFII IST VIUYOSqY 1 s tq ISA 1eq pug sojwsjgoA1d uon BINSIUOY LN UOHVINSIUOYpPjAepuUL S GeUlss JIM sSunqir iu5s q OPWEIBT sHoj lajepsuoneinbyuoy 149119S YI EL ale Version 3 Release 7 1 92 5 Referenz informationen uN aan DIAO MJ si lquv Sop HY IOplAolgoqpOly TOI UIN JOPUIMIIA IYAN 4oJpensturuipy UOA NA NATumupy a UIN 0 ens turupvyv UHAZIJNI Z Jop yezuy sunupyumN u purj q WOISAS uaq as Wap Jne apta0 YS UUM Dit JOPUIMISUP ASIISSUNTASSNYOSIIA ur JOEHSTUNUPY WUJ u ss p pun IdAIOS PUNISIO UT WU UOS URN H IMZ Zunpurq aA Ap J qo ue 1qID AoljoquondAiouq URN 91 1oj oumreds3uni rundo SUOISSISXEN 39A149S 9Jour z UISUNOYIIA U9 JI9DUu LIOUu91I Iq UAIS UIN I msy iI q J nsSun yi9A ALWEN u d quo 1e sSureuOumuirxoej u pI m u punj s 1 o ssnv u ur IN STAY 19P0 STAD UNJ UIN uu A 4304A IYJ UN qo up OI JE OL YoReg TYOMOTV purs S ssejnz usgeduesumgeq ues uN J Juz yu INZ qo W JqID S JeS9UDISO Smmnd4AO V purs SIssgmz UIN d 1eyuniozZ uaynvjesqe qo ue 1qID s lpouJnio9OpordxgAolV purs S ssepnz uoqeguesumweq uN d u snjunynz WU STAO qo up Ou S TIDAINMIMOITV Aieqai opuue sojwajgoA1d uon em3yuoy YOUN UOHVINSIUOYpPjAepuL S GeUulss JIM sunqir iu5s q PPWEIBT sHoj lajepsuoneinbyuoy
91. NT Plattform ausf hren k nnen Sie entweder die unter eite 7 beschriebene Prozedur oder die Befehlszeilenprozedur verwenden um das Dann Change Password auszu f hren Befehlszeilenprozedur 1 Wechseln Sie in das Tivoli PKI Verzeichnis bm indem Sie einen der folgenden Pfade eingeben m Unter AIX lautet der Standardpfad usr 1Ipp iau bin m Unter Windows NT lautet der Standardpfad c Program Files IBM Trust Authority bin 2 Geben Sie je nach Betriebssystem einen der folgenden Befehle ein m Unter AIX changePWD sh m Unter Windows NT changePWD bat Das folgende Men wird angezeigt Tivoli PKI Kennw rter ndern Geben Sie die Nummer der Zusatzeinrichtung f r die zu ndernde Komponente ein Sie werden aufgefordert das aktuelle Kennwort und anschlie end das neue Kennwort einzugeben Kennwort ndern f r 1 Beenden Version 3 Release 7 1 2 Steuerprogramm 3 Directory Administrator 4 Pr fadministrator 5 4758 CA Profil 6 4758 RA Profil Option eingeben 3 W hlen Sie die Option f r das zu ndernde Kennwort aus indem Sie im Feld Option eingeben die entsprechende Zahl eingeben 4 Geben Sie nach Aufforderung das aktuelle Kennwort f r die ausgew hlte Option ein und best tigen Sie es Anmerkung Bei der erstmaligen Nutzung dieses Tools m ssen Sie als aktuelles Kenn wort das Kennwort eingeben das bei der Konfiguration des Systems d
92. P Adressen enth lt In diesem Fall wird er als exakte bereinstimmung behandelt Verzeichniseintr ge angeben Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat anfordern das die G ltigkeit des Zer tifikats auf eine Gruppe von Verzeichniseintr gen mit den gleichen RDNs Relative Distingu ished Names einschr nkt Im folgenden Beispiel wird das Betriebssystem AIX verwendet alle Tivoli PKI CA Hosts verf gen ber RDNs die den angegebenen RDNs C US O companyA OU departmentB entsprechen Pfad und Dateiname der Vorabregistrierungsdatei lauten tmp ccprereg reg und das Kennwort lautet Secure Folgender Befehl platziert den angegebenen RDN in der Liste der zul ssigen Unterverzeichnisstrukturen CACertRq n C US O companyA OU departmentB r tmp ccprereg reg P 1835 W Secure99 Version 3 Release 7 1 CA Zertifikat mit Hilfe des Hierarchiemodells anfordern Sie k nnen ein CA Zertifikat mit Hilfe des Hierarchiemodells von einem anderen CA anfor dern Unternehmen fordern h ufig CA Zertifikate von etablierten und extrem gesicherten CAs an um die Zuverl ssigkeit ihrer eigenen CAs zu vergr ern CAs betrachten die CAs als zuverl ssig die in der Hierarchie ber ihnen stehen und akzeptieren deren Zertifikate als Identit tsnachweis Sie k nnen ein CA Zertifikat entweder von einem Fremd CA oder von einem Tivoli PKI CA anfordern Anmerkung Tivoli PKI unterst tzt eine hierarchische Zertifizierung nur zwischen
93. PCI Cryptographic Coprocessor erstellten Schliissel werden durch die Karte geschiitzt indem sie mit dem 4758 Hauptschliissel verschl sselt werden Die CA und RA Schliissel k nnen entweder im Schliisselspeicher KeyStore oder im IBM SecureWay 4758 PCI Cryptographic Coprocessor gespeichert werden Der IBM SecureWay 4758 PCI Cryptographic Coprocessor ist eine optionale aber empfoh lene Tivoli PKI Komponente die nur fiir die AIX Plattform verf gbar ist Zudem handelt es sich beim IBM 4758 Cryptographic Coprocessor um ein separates und u erst komplexes Produkt Daher sollten Sie mit seiner Dokumentation und den entsprechenden Prozeduren vertraut sein Am Ende dieses Abschnitts finden Sie eine Liste deren Zus tzliche Informationen zum IBM SecureWay 4758 PCI Cryptographic Coprocessor sind unter der folgenden Webadresse verf gbar Unterschiede zwischen den Optionen f r Beibehaltung und Nicht Bei behaltung Eine der Entscheidungen die der Administrator einer durch einen IBM 4758 Cryptographic Coprocessor erweiterten Tivoli PKI Installation treffen muss ist die Verwendung der Option f r die Beibehaltung retain Die F higkeit sensible private Schl ssel im gesicherten inte grierten Speicher beizubehalten ist eine der leistungsst rksten Funktionen des IBM 4758 Cryptographic Coprocessor und kann die Vertraulichkeit des CA und RA Schl ssels vergr Bern Da dieser Speicher jedoch speziell dazu entwickelt wurde Kopiervorg nge
94. Pr f Server Der Pr f Ser ver empf ngt Pr fereignisse von autorisierten Clients und schreibt diese Ereignisse in ein integrit tsgesch tztes Pr fprotokoll Alle Protokolleintr ge werden in einer DB2 Datenbank gespeichert Pr fereignisse werden au erdem in einer Datei gespeichert Abfrage und Berichterstellungs Tools werden von DB2 UDB bereitgestellt Tivoli PKI Systemverwaltung 77 u Buni lne i3g r Protokolleintrage Protokolleintr ge werden in Form eines Pr fprotokolls in einer DB2 Datenbank gespeichert Das Pr fprotokoll enth lt pro Pr fereignis einen Protokolleintrag Die Pr fdatenbank hilft bei der Manipulationserkennung wie im Standard f r den Finanzsektor X9 57 vorgeschrieben Jeder Protokolleintrag ist durch eine Seriennummer eindeutig gekennzeichnet Pr fereignisse Tivoli PKI Pr fereignisse sind S tze die die Bedeutung einer sicherheitsrelevanten Task angeben Der Pr f Server empf ngt Pr fereignisse von autorisierten Clients und schreibt diese Ereignisse in ein integrit tsgesch tztes Pr fprotokoll Die Tivoli PKI Pr fereignisse werden in die folgenden Kategorien unterteilt m Schl sselverwaltungsereignisse Ereignisse im Zusammenhang mit der sicheren Verwaltung von Schl sseln um Benut zern Schl ssel am gew nschten Ort und zur gew nschten Zeit bereitstellen zu k nnen m Zertifikatsverwaltungsereignisse Ereignisse die sich aus der Verwaltung digitaler Zertifikate und aus der Pflege von Informa
95. S P PssnIyoS u ur ur 3 e u p VA 1 opo MUJ uN L JWD puir opiojuv 19p qo ur OH o quiploodg Koy 1eq pug sojwajgoA1d uon em3yuoy LN uonein3ruoypiepuue S GVUlss JIM sunqir iuo5s q PPWEIBT sHoj lajepsuoneinbyuoy 149119S YWI EL ale Version 3 Release 7 1 90 5 Referenz informationen UN ISA 101SA SI IOYPUIMIIA UBJUSWON a10jg haying 9109843 4 ef wol TfeAs2JursZunjoysoparM EAIDUJANON ef soI feAojurpnipneopuas RU Od Jopulfeg vO Jep UDIS uN 2 1DN 1SOH AY Jop ne PUYSEN Jap IWLN ISOH ISOHdOL PIIM ef OEST JuogAuoqn vO WOA Jap 3od dO L HOdd AL Daodsugal Va Anoyny 1JsniT NO Quouny uN ISNLL NO USuyausJuN IYJ O SN O VO u s rp MJ VA PP NA Iva xpid ussn XIV MA u y ulorq uN x1yd 9 EN SMOPUIM MA Ig XDId uoA Sunsayotedg inz peza STIAOLUeA Quiounvlsnil 32 ner ddr 1sn XTV MA VGQuiounv1sniTXo1 9VQqruiou ny WRA UION ISNnIL WIT SOTII wea doag gt LN SAOpurAA MA Jorpioduia Suni ouorods nz DEL yyegduas sjyundsZungjis 12 u pu s ef P Y gt WENISITTAIAW ennzur WJZ sep ur sap suey 9WENISITTAD ef 0 jyundsZungry1oA oid eJI qqiedyeg SIOJBIQUESSUNTASSN YOSI9A s p Joljnuep uN 819AT0IIEF000 098 OPLI ELAL 09T90EPP onbrun AreqoI9 GIND Id I9PIAOLJOJ TJPALIIFJOIA uN I Va prepurys AA V PPA VO Motiv Jsni NO Qrou jny uN ULNO wmon IUI O SN I WMU op NA oure NAIA e1209 Aeqai opuue so
96. SA Modulus h ngt von den individuellen Sicherheitsan forderungen ab Je gr er der Modulus desto h her die Sicherheit Die momentan von den RSA Laboratories empfohlenen Schl sselgr en h ngen vom geplanten Einsatz des Schl ssels ab Hierbei werden 768 Bit f r Schl ssel zum pers nlichen Gebrauch 1024 Bit f r den Unternehmensbereich und 2048 Bit f r extrem wertvolle Schl ssel wie z B CA Schl sselpaare angegeben Ein 768 Bit Schl ssel wird voraussichtlich bis mindestens zum Jahr 2004 sicher sein Multipurpose Internet Mail Extensions MIME Eine frei verf gbare Gruppe von Spezifikationen die den Austausch von Text in Sprachen mit unterschiedlichen Zeichens tzen erm glicht Diese Spezifikationen unterst tzen auch den Austausch von Multimedia E Mail zwi schen unterschiedlichen Computersystemen die Internet Mail Standards verwenden So k nnen E Mail Nachrich ten beispielsweise andere Zeichens tze als den US ASCII Satz sowie erweiterten Text Bilder oder Tondaten ent halten Tivoli PKI Systemverwaltung 145 Jesso y5 146 Nachrichtenauszug Eine irreversible Funktion bei der auf der Basis einer Nachricht beliebiger Lange eine Datenmenge mit fester L nge generiert wird Bei MD5 handelt es sich z B um einen Nachrichtenauszugsalgorithmus Nachrichtenauthentifizierungscode MAC Ein geheimer Schl ssel der von Sender und Empf nger gemeinsam benutzt wird Der Sender authentifiziert sich und der Empf nger pr ft die hierb
97. Sie k nnen die Protokolle pr fen die Transaktionen zwischen dem IBM HTTP Server und dem Tivoli PKI Setup Wizard aufzeichnen Namen und Positionen der entsprechenden Proto kolle finden Sie in der WebSphere Dokumentation Au erdem k nnen Sie das Protokoll pr fen das Transaktionen zwischen dem IBM HTTP Server und Ihrer Registrierungsanwendung aufzeichnet Die Position dieses Protokolls ist in angegeben Tabelle 3 HTTP Server Protokoll AIX Standardpfad Windows NT Standardpfad Anmerkungen usr HTTPServer logs error_log c Program Files IBM Trust Authority Domains YourDomain logs apache log ERROR PID Fehlernachrichten des IBM HTTP Server CA Server verwalten In diesem Abschnitt werden Prozeduren f r Betrieb und Verwaltung des Tivoli PKI Zertifikatsaussteller Servers CA Server erl utert Der CA Server verwaltet die server seiti gen Tasks f r den Tivoli PKI CA Er befindet sich zusammen mit seinem DB2 Datenbank exemplar auf einer lokalen oder fernen Maschine Die folgenden Tasks zur Verwaltung des CA Servers werden beschrieben m nderung der folgenden Angaben in der Konfigurationsdatei jonahca ini mit einem Texteditor Dnd CA Hierarchien Tivoli PKI Systemverwaltung 17 Bs amsuaya on ANZ USUONEWIOJUL 18 Listener Port des CA Servers andern Der Listener Port des CA Servers ist der Port an dem der CA f r PKIX Nachrichten empfangsbereit ist So k nne
98. Standardkonfigurationsdatei des Priif Servers angegeben n Gibt an dass Protokolleintr ge nicht aus der Datenbank gel scht werden sollen ArchiveFileName Das Namenspr fix der Datei in die die Pr fprotokolle geschrieben werden Das Dienst programm f gt den Archiv und Unterschriftsdateien die Endungen ixf beziehungsweise sig hinzu Dienstprogramm Audit Integrity Check Das Dienstprogramm Audit Integrity Check pr ft die Integrit t von Protokolleintr gen sowohl in Archiven als auch in der Datenbank des Pr f Servers Dieses Tool Kann nur dann eingesetzt werden wenn Integrit tspr fungen auf Ihrem System aktiviert wurden Die Syntaxformate f r diesen Befehl lauten wie folgt m Format 1 Dieses Format pr ft die Integrit t der Datenbank des Pr f Servers und fordert Sie zur Eingabe des Pr fadministratorkennworts auf m Format 2 Diese Format pr ft die Integrit t einer oder mehrerer Archivdateien des Pr f Servers und fordert Sie zur Eingabe des Pr fadministratorkennworts auf 116 Version 3 Release 7 1 m Format 3 Dieses Format pr ft die Integrit t aller Archivdateien im angegebenen Verzeichnis und fordert Sie zur Eingabe des Priifadministratorkennworts auf Anmerkung Wenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der ein gebettete Leerzeichen enth lt m ssen Sie den Pfad in doppelte Anf hrungs zeichen setzen Syntax Format 1 AuditIntegrityCheck c ConfigFilePath d
99. Tivoli Public Key Infrastructure Systemverwaltung Version 3 Release 71 SH12 2979 02 Tivoli Public Key Infrastructure Systemverwaltung Version 3 Release 71 SH12 2979 02 Tivoli Public Key Infrastructure Systemverwaltung Copyrightvermerke Copyright 1999 2001 IBM Corp einschlie lich dieser Dokumentation und aller Software Alle Rechte vorbehalten Kann nur gem der Softwarelizenzvereinbarung von Tivoli Systems bzw IBM oder dem Anhang f r Tivoli Produkte der IBM Nutzungsbedingungen verwendet werden Diese Ver ffentlichung darf ohne vorherige schriftliche Genehmi gung der IBM Corp weder ganz noch in Ausz gen auf irgendeine Weise elektronisch mechanisch magnetisch optisch chemisch manuell u a vervielf ltigt bertragen aufgezeichnet auf einem Abrufsystem gespeichert oder in eine andere Computersprache bersetzt werden Die IBM Corp gestattet Ihnen in begrenztem Umfang eine Hardcopy oder eine Reproduktion einer maschinenlesbaren Dokumentation f r den eigenen Gebrauch zu erstellen unter der Vor aussetzung dass jede dieser Reproduktionen mit dem Copyrightvermerk der IBM Corp versehen ist Weitere das Copy right betreffende Rechte werden nur nach vorheriger schriftlicher Genehmigung durch die IBM Corp gew hrt Die Ver ffentlichung dient nicht zu Produktionszwecken Die in diesem Dokument aufgef hrten Beispiele sollen ledig lich zur Veranschaulichung und zu keinem anderen Zweck dienen Marken AIX DB2 DB2 Uni
100. WEIBT sHoj lajepsuoneinbyuoy 149X19S YWI EL ale 87 Tivoli PKI Systemverwaltung DON LI upio snz AS1 Od DIA ZIYON 720NO0N T Od uN j upio snz orodq PIIM 99nON 991 0N M Od 12 DOua0 J289 s rp UN Haam TUT sep suswysulsjuN Sop IUWEN Ja 3IO A104 uagara GIO pu uo ids Ju9 3U ntuuosqy qIO WI ssnu ny URN AdodAW PIH TP3ay usagund Jap sureN PA umN Aorlod UN A IST YOIpPIapsojzo J989 rp qo ue IqID pa mboyAsrfod ppuey eso UN A uoSsntrp 2019 wn uorIs sa qo ue IqID EIHLIJANOA JST YOILIOPIOAO SUNPUIMIOATISSNIYIS uN A Jop SUNID IOMI_ Ap qo up 1010 pormnbeayases Ady DIIM IZINISIOIUN SUNPUSMIDATISSNTYIS URN L Jop SunIsJoMIF AP go ue 1qID pa11oddnsasesnAoy uuey usgoZue spurJsusgsdsyey17n 1 gt Z sop POSSNJYOS u ur ur sl e u p WA Jopo MUJ uN L JUMO puir opiojuv top qo ur OH lqguJ199dSAo3 UZEL uD SEU sours uN POST A nepsiioysnInoO osigeurpsepurys Nq JoCoulL ofr I U9pUNIg ur SEXLNIOZ ef YprSLI Soule IOnEPSNONSHMH app Aq 9UMSJFIXEN uupy Usqosue JIOZJIEIS ap VO ue VY Jopo vy ue MUJ uN L JWD puir opiojuv sop qo ur OH q ood SIUL res YSILIOPIOJIO IST ntuuosqy qIO W Sen urg 1opu uo ds u urg snurmpLIosTe UN uondAmugVSyYIM VYS SJJLIYISISJUN UASI sop VOUA 3TV3IS ur s UspULYIOA GIO 9pu uo ds u ould piuyosqy qJo WI ssnw u umgu 3
101. Zertifikatsaussteller Certificate Authority CA verwaltet die G ltig keitsdauer digitaler Zertifikate Zur Best tigung der Richtigkeit eines Zertifikats unter zeichnet der CA alle von ihm ausgestellten Zertifikate digital Au erdem unterzeichnet er Zertifikatswiderrufslisten Certificate Revocation List CRL um zu best tigen dass ein bestimmtes Zertifikat nicht mehr g ltig ist Zur weiteren Sicherung seines Unterschrifts schl ssels k nnen Sie Verschl sselungshardware die auch als Hardwaresicherheitsmodul Hardware Security Module HSM bezeichnet wird wie beispielsweise den IBM 4758 PCI Cryptographic Coprocessor einsetzen Eine Registrierungsstelle Registration Authority RA f hrt die Verwaltungsaufgaben aus die bei der Benutzerregistrierung notwendig sind Sie stellt sicher dass nur solche Zertifikate ausgestellt werden die Ihre Unternehmensaktivit ten unterst tzen und dass diese Zertifikate nur an berechtigte Benutzer ausgestellt werden Die Verwaltungsauf gaben k nnen ber automatisierte Prozesse oder auf der Basis menschlicher Entschei dungen ausgef hrt werden hnlich wie beim CA k nnen Sie au erdem den IBM 4758 PCI Cryptographic Copro cessor einsetzen um den Unterschriftsschl ssel der RA zu sch tzen Eine Web Schnittstelle f r die Registrierung vereinfacht das Abrufen von Zertifikaten f r Browser Server und andere Einheiten und Zwecke z B VPN Einheiten VPN Virtual Private Network Smart Cards
102. a Editieren Sie den Parameter trace log append b ndern Sie den Wert des Parameters Geben Sie true zum Anf gen bzw false zum berschreiben an Speichern Sie die Datei Starten Sie das Tivoli PKI System Dateinamen und Pfad des Fehlerprotokolls ndern Das Fehlerprotokoll enth lt Fehlernachrichten des Pr fsubsystems So k nnen Sie den Datei namen und den Pfad des Fehlerprotokolls ndern Te Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das Tivoli PKI System Lesen Sie gegebenenfalls die Anweisungen unter erve ente e e e 8 nach Laden Sie die Konfigurationsdatei AuditClient ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt Error den Parameter error log filename ndern Sie den Wert des Parameters error log filename Speichern Sie die Datei Starten Sie das Tivoli PKI System Pr fberichte generieren Anweisungen zum Generieren von Pr fberichten finden Sie im Handbuch BM DB2 Univer sal Database SOL Reference 54 Version 3 Release 7 1 Pr fprotokolldateien archivieren und unterzeichnen Mit dem Tivoli PKI Tool Audit Archive and Sign k nnen Sie Pr fprotokolldateien archivie ren und unterzeichnen Dieses Tool archiviert die Tabellen der Datenbank des Pr f Servers die Pr fs tze enthalten Die Tabellen werden mit Hilfe des DB2 Exportdienstprogramms in einer Datei archiviert Ansch
103. aktivieren der Trace Funktion Die Trace Stufe Dateiname und Pfad des Trace Protokolls Die Markierung die angibt ob Daten an die bereits vorhandene Trace Datei angef gt werden oder ob diese berschrieben wird So ndern Sie die Einstellungen f r das Trace Protokoll ndern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Tivoli PKI Systemverwaltung 53 asiamsuayabio ANZ u uolguulojuj gt 6 Laden Sie die Konfigurationsdatei AuditServer ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie den Abschnitt Trace Weitere Schritte m Aktivieren bzw inaktivieren Sie die Trace Funktion wie folgt a Editieren Sie den Parameter trace enable b ndern Sie den Wert des Parameters Geben Sie true zum Aktivieren bzw false zum Inaktivieren an m ndern Sie die Trace Stufe wie folgt a Editieren Sie den Parameter trace level name b ndern Sie den Wert des Parameters Sie m ssen eine Zeichenfolge eingeben Eine Liste der Trace Stufen finden Sie im Abschnitt e e elte m ndern Sie folgenderma en Dateiname und Pfad des Trace Protokolls a Editieren Sie den Parameter trace log filename b ndern Sie den Wert des Parameters Sie m ssen eine Zeichenfolge eingeben m So k nnen Sie die Markierung ndern die angibt ob Daten an die bereits vorhan dene Trace Datei angef gt werden oder ob diese berschrieben wird
104. anfordern das die G ltigkeit des Zer tifikats auf alle bis auf ein Element einer Gruppe von E Mail Adressen einschr nkt Im folgenden Beispiel wird das Betriebssystem Windows NT verwendet der Tivoli PKI CA Host hat die E Mail Adresse outCA us companyA com Pfad und Dateiname der Vorab registrierungsdatei lauten a ccprereg reg und das Kennwort lautet Secure Folgender Befehl platziert die angegebenen E Mail Adressen in der Liste nicht zul ssiger Unter verzeichnisstrukturen CACertRq m us companyA com M outCA us companyA com r a ccprereg reg P 1835 W Secure99 URIs angeben Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat anfordern das die G ltigkeit des Zer tifikats auf eine Gruppe von URIs Uniform Resource Identifiers eine Kennungskategorie die haupts chlich aus URL Adressen besteht einschr nkt Im folgenden Beispiel wird das Betriebssystem AIX verwendet alle Tivoli PKI CA Hosts verf gen ber Namen die mit xyz com enden Pfad und Dateiname der Vorabregistrierungs datei lauten tmp ccprereg reg und das Kennwort lautet Secure99 Folgender Befehl plat ziert die angegebene URI in der Liste zul ssiger Unterverzeichnisstrukturen CACertRq u xyz com r tmp ccprereg reg P 1835 W Secure99 Anmerkung Der Knotenabschnitt in einer Baumstruktur ein Punkt an dem untergeordnete Datenelemente ihren Ursprung haben der URI unterliegt den im Abschnitt g beschriebenen Regeln sofern er keine I
105. ase 7 1 Glossar In diesem Glossar werden alle Termini und Abkiirzungen definiert die in diesem Handbuch verwendet werden und die m glicherweise neu oder unbekannt und von Bedeutung sind Numerische Eintr ge 4758 PCI Cryptographic Coprocessor Eine programmierbare manipulationssensitive PCI Bus Verschl sselungskarte die die Ausf hrung von DES und RSA Verschl sselungsoperationen mit hoher Geschwindigkeit erm glicht Die Verschl sselungsprozesse werden in einem gesicherten und abgegrenzten Bereich auf der Karte ausgef hrt Die Karte entspricht den strengen Anforderungen des FIPS PUB 140 1 Level 4 Standards In dem gesicherten und abgegrenzten Bereich kann Soft ware ausgef hrt werden Der SET Standard kann z B zur Verarbeitung von Kreditkartentransaktionen genutzt werden Abstract Syntax Notation One ASN 1 Eine ITU Notation die zum Definieren der Syntax von Informationsdaten benutzt wird Sie definiert eine Reihe einfacher Datentypen und gibt eine Notation f r die Identifizierung dieser Typen und die Angabe von Werten f r diese Typen an Diese Notationen k nnen verwendet werden wenn es erforderlich ist die abstrakte Syntax von Informationen zu definieren ohne damit die Art der Verschl sselung dieser Informationen f r die bertragung zu beeintr chtigen ACL Access Control List Zugriffssteuerungsliste Aktionsprotokoll Die Aufzeichnung aller Ereignisse die w hrend der gesamten G ltigkeitsdauer eines Identit tsnac
106. at CertDeletion Gibt an dass der CA ein Zertifikat aus der optional Zertifikatsdatenbank gel scht hat Sicherheitsrelevant SuccessfulAuthWithPassword Gibt an dass ein Authentifizierungsversuch mit verbindlich Hilfe eines Kennworts erfolgreich war UnsuccessAuthWithPassword Gibt an dass ein Authentifizierungsversuch mit verbindlich Hilfe eines Kennworts fehlgeschlagen ist SuccessfulAuthWithCert Gibt an dass ein Authentifizierungsversuch mit verbindlich Hilfe eines Zertifikats erfolgreich war UnsuccessfulAuthWithCert Gibt an dass ein Authentifizierungsversuch mit verbindlich Hilfe eines Zertifikats fehlgeschlagen ist SuccessfulCert Validation Gibt an dass die gesamte Zertifizierungskette bis verbindlich hin zum Zertifikat des Stamm CA gepriift wurde UnsuccessfulCertValidation Gibt an dass die gesamte Zertifizierungskette bis verbindlich hin zum Zertifikat des Stamm CA nicht best tigt wurde PasswordChange Gibt an dass ein Kennwort erfolgreich ge ndert verbindlich wurde ACLUpdate Gibt an dass ein Benutzer oder eine Entit t der verbindlich Zugriffssteuerungsliste ACL hinzugef gt oder aus der Liste gel scht wurde SuccessfullntegrityCheck Gibt an dass ein Versuch die Integrit t eines verbindlich durch eine Transaktion mit einer Nicht Tivoli PKI Komponente entstandenen Protokolleintrag zu testen erfolgreich war UnsuccessfullntegrityCheck Gibt an dass ein Versuch die Integrit t eines verbindlich d
107. at erm glicht Benutzergemeinschaften au erdem private oder allgemeine Erweiterungen zu definieren die spezifische Informationen f r diese Gemeinschaft enthalten Jede Erweiterung eines Zertifikats kann als kritisch oder unkritisch gekennzeichnet werden Ein System das Zertifikate im X 509v3 Format nutzt muss ein Zertifikat zur ckweisen wenn dieses eine kritische Erweiterung enth lt die dem System nicht bekannt ist Eine unbe kannte unkritische Erweiterung kann jedoch ignoriert werden Es gibt drei Arten von Zertifikatserweiterungen m Standarderweiterungen m Allgemeine Erweiterungen m Private Erweiterungen Standarderweiterungen Eine Zertifikatsstandarderweiterung ist eine Erweiterung deren Bedeutung und Syntax im ITU Standard RFC 2459 definiert ist Bis auf eine sind alle diese Erweiterungen auch in X 509v3 definiert Einige von ihnen sind nur innerhalb von CA Zertifikaten definiert Tivoli PKI erm glicht das Hinzuf gen der meisten Standarderweiterungen zu einem Zertifikat hier f r gelten die in Tabelle 10 dargestellten Regeln Tabelle 10 Zertifikatserweiterungen Erweiterung Beschreibung Schl sselverwendung Diese Erweiterung gibt den Zweck der Verwendung des zer tifizierten ffentlichen Schl ssels an Die Einstellungen wer den in der Regel durch Zertifizierungsschablonen definiert Alternativer Name des Zertifikats Diese Erweiterung enth lt einen oder mehrere Alternativ gegenstands namen in verschiedenen
108. ationsdatei jonahra ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt LDAP den Parameter PostInterval 4 5 ndern Sie den Wert des Parameters PostInterval 6 Speichern Sie die Datei T Starten Sie das Tivoli PKI System bergabe der Trust Kette aktivieren bzw inaktivieren Bei der Installation des CA Servers ist die bergabe der Trust Kette standardm ig inakti viert Die bergabe der Trust Kette k nnen Sie aktivieren bzw inaktivieren indem Sie den Wert eines Parameters in der Datei jonahra ini ndern So aktivieren bzw inaktivieren Sie die Ubergabe der Trust Kette 1 Melden Sie sich bei Ihrem Betriebssystem als an 3 Laden Sie die Konfigurationsdatei Jonahra ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in 4 Editieren Sie im Abschnitt General den Parameter TrustChainDelivery Tivoli PKI Systemverwaltung 43 asiamsuayabio ANZ u uolguuloju 44 5 Andern Sie den Wert in 1 um die Ubergabe der Trust Kette zu aktivieren Zur Inaktivie rung geben Sie den Wert 0 an 6 Speichern Sie die Datei 7 Starten Sie das Tivoli PKI System Mehrere RAs installieren Tivoli Datei Datei Tivoli PKI unterstiitzt die Installation von mehreren RA Servern MRA unter einem CA Auf diese Weise k nnen Sie verschiedene RA Server f r unterschiedliche Zwe
109. atisch gestoppt Ist dies nicht der Fall ermitteln Sie mit dem Befehl ps die Prozess ID des fiir die jeweilige Dom ne zu stoppenden Exemplars und verwenden Sie anschlieBend den Befehl kill um das Exemplar zu stoppen Beispiel ps ef grep httpServer grep ihre_dom ne kill prozess id m Durch das Stoppen von Tivoli PKI wird die Anwendungsdom ne von Tivoli PKI inner halb von WebSphere unter AIX normalerweise automatisch gestoppt Falls die Tivoli PKI Anwendung nicht gestoppt wird und das Script Stop TA ah einen Fehler w hrend des Stoppens der Anwendungsdom ne von Tivoli PKI in WebSphere unter AIX angibt k nnen Sie die gesamte Anwendungsdom ne von Tivoli PKI ber die Verwaltungs konsole von WebSphere stoppen Informationen zur Verwendung der Verwaltungskonsole von WebSphere finden Sie in der WebSphere Dokumentation m Durch das Starten und Stoppen von Tivoli PKI wird auch der Directory Server automa tisch gestartet bzw ge stoppt Wenn das Directory nicht automatisch gestartet bzw gestoppt werden soll m s sen Sie den Abschnitt AutoStopN der Datei TrustAuthControl cfg editieren um den Eintrag f r die Directory Komponente zu entfernen Richtlinien zur Verwendung unter Windows NT Die Richtlinien zum Starten und Stoppen des Systems unter Windows NT sehen folgender ma en aus m Durch das Stoppen von Tivoli PKI werden die Web Server Programme unter Windows NT nicht automatisch gestoppt Nach dem Stoppen von Tivoli PKI m
110. atistiken zur Gesamtauslastung der Tivoli PKI Registrierungs einrichtung m Bereitstellen von Datenbanken f r den Tivoli PKI CA die RA das Pr fsubsystem das Directory die Funktion zum Sichern und Wiederherstellen von Schl sseln und die Tivoli PKI Konfigurationsdaten Webserver Web Server sind Server Programme die auf Informationsanforderungen von Browsern rea gieren Tivoli PKI verwendet IBM WebSphere Softwareprodukte um eine gesicherte Grund lage f r solche Netztransaktionen bereitzustellen Der WebSphere Application Server und der IBM HTTP Server stellen in Tivoli PKI die Infrastruktur f r Web Server Funktionalit t zur Verf gung In einem Tivoli PKI System befindet sich die Web Server Software auf der gleichen Maschine wie die RA Sie erm glicht eine sichere Abgrenzung zwischen gesch tzten Pro grammen und den Benutzern die auf diese Programme zugreifen wollen Mit Hilfe der HTTP und HTTPS Hypertext Transfer Protocols sowie der SSL Technologie Secure Sockets Layer kann das Web Server Produkt die Kommunikation zwischen Client und Ser ver verschl sseln Dar ber hinaus k nnen Client Authentifizierungen durchgef hrt werden um unbefugten Zugriff oder Datenmanipulationen zu verhindern Tivoli PKI Systemverwaltung 79 u Buni lne i3 E IBM WebSphere Application Server Der IBM WebSphere Application Server WAS ist ein Server f r Java Anwendungen der die Verwaltung und Nutzung von Web Anwendungen vereinfachen soll
111. atus des CA Servers mit folgenden Prozeduren pr fen m Unter AIX 1 Melden Sie sich bei AIX als Root an 2 Pr fen Sie die Prozesstabellen und suchen Sie nach folgender Zeichenfolge irgAutoCa Finden Sie diesen Prozess fahren Sie mit Schritt Bl fort Finden Sie diesen Prozess nicht lesen Sie bitte im Abschnitt 3 Wechseln Sie in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standard pfad usr 1Ipp iau bin 4 Pr fen Sie ob Port 1835 erfolgreich antwortet indem Sie folgenden Befehl einge ben ServerControl i c k CA n Server p 1835 1 Protokolldatei Hierbei steht Server f r den Namen des CA Servers der dem Port 1835 zugeordnet ist und Protokolldatei f r den Namen der Datei in der die Ergebnisse des Befehls ServerControl aufgezeichnet werden sollen Ist die Antwort des gepr ften Ports erfolgreich wird folgende Nachricht angezeigt Es wurde festgestellt dass der CA Service auf dem Server an Port 1835 ausgef hrt wird Hierbei steht Server f r den Server der dem Port 1835 zugeordnet ist m Unter Windows NT 1 2 Melden Sie sich bei Windows NT als Systemadministrator an Starten Sie den Task Manager durch Driicken der Tastenkombination Strg Alt und Entf W hlen Sie die Registerkarte Prozesse aus Suchen Sie nach dem Prozess irgAutoCA exe Finden Sie diesen Prozess fahren Sie mit Schritt 5 auf Seite 33 fort Finden Sie die sen Prozess nicht lesen Sie bitte im Abschnitt 3 na
112. bank pr fen 21 CA Zertifikat ber gegenseitige Zertifizierung anfordern 22 CA Zertifikat mit Hilfe des Hierarchiemodells anfordern 25 Tivoli PKI Systemverwaltung CA Zertifikat von Fremd CA erhalten 28 Aktualisierungen nach nderung der CA Hierarchie vornehmen 29 Schliisselbund des Webservers nach Aufbau der CA Hierarchie aktualisieren 29 CA Schl ssel aktualisieren 2 ee eee eee eee ees 30 CA Serverprotokolle priifen we u qu ba esse Sede deed 34 CA Serverstat s pr fen 2 cca AUER RUE a ara EES EE y ua a ges Y ewe dE 34 CRL Verteilungspunkte aktivieren us usa aus awa eee eens 35 RA Server verwalten ii esse s say WP s ee De gege i 35 Registr toren hinzuf gen 1 NEE ae dehnen 36 Verschl sselung f r die RA Datenbank aktivieren 39 RA Server Listener Port ndern os ce ds she be 222 Ra e ae 40 RA Sendeaufrufintervall nder eee eee ees 40 RA Wiederholungsintervall nde 41 RA Serverprotokoll Pr fen ss a KEE eats ae se bs ae KEN de ang 41 RA Serverstatus pr fen add badd toad added beds een 41 RA Einstellungen f r die Kommunikation mit dem Directory 4ndern 42 bergabe der Trust Kette aktivieren bzw inaktivieren 43 Mehrere RAs installieren spies y s asya asss 202 0 aa OE RAE Rae ae 44 Pr fsubsystem verwalten y e EE Ee KOR Ee eu S usu oa dage au Goad ew eu ada 46 Pro
113. ben CACertRq d companyA com r c Program Files IBM Trust Authority ccprereg reg P 1835 W Secure99 IP Adressmaske angeben Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat anfordern das die G ltigkeit des Zer tifikats auf die IP Adressen einschr nkt die von Ihrem Unternehmen verwendet werden Im folgenden Beispiel ist das Betriebssystem AIX Ihr Unternehmen verwendet IP Adressen im Bereich von 9 0 0 0 bis 9 255 255 254 die Vorabregistrierungsdatei befindet sich im Pfad tmp ccprereg reg und das Kennwort lautet Secure Folgender Befehl platziert den angegebenen Adressenbereich in der Liste zul ssiger Unterverzeichnisstrukturen CACertRq i 9 0 0 0 255 0 0 0 r tmp ccprereg reg P 1835 W Secure99 DNS Adressen angeben Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat anfordern das die G ltigkeit des Zer tifikats auf eine Gruppe von DNS Adressen einschr nkt Im folgenden Beispiel wird das Betriebssystem Windows NT verwendet und alle Tivoli PKI CA Hosts verf gen ber DNS Adressen mit der Endung companyA com Mit folgen dem Befehl werden die angegebenen DNS Adressen in der Liste der zul ssigen Unter verzeichnisstrukturen platziert CACertRq d companyA com r c temp ccprereg reg P 1835 W Secure99 Anmerkung Beginnt eine DNS Adresse mit einem Punkt werden alle Hosts einbezogen die mit dieser Unterzeichenfolge einschlie lich des Punktes enden Diese Adressen werden in die Liste de
114. berpr ft au erdem ob ein Kommunikationsteilnehmer auch tats chlich mit dem erwarteten Endbenutzer oder System in Verbindung steht BER Basic Encoding Rules Berechtigung Die Erlaubnis auf eine Ressource zuzugreifen Bestreiten Etwas als unwahr zur ckweisen Dies ist z B dann der Fall wenn ein Benutzer abstreitet eine bestimmte Nach richt gesendet oder eine bestimmte Anforderung bergeben zu haben Browser Siehe Web Browser Browser Zertifikat Ein digitales Zertifikat das auch als Zertifikat der Client Seite bezeichnet wird Es wird von einem CA ber einen f r SSL aktivierten Web Server ausgestellt Die Schl ssel in einer verschl sselten Datei erm glichen dem Inhaber des Zertifikats das Verschl sseln Entschl sseln und Unterzeichnen von Daten Normalerweise werden diese Schl ssel im Web Browser gespeichert In bestimmten Anwendungen k nnen die Schl ssel auf Smart Cards oder anderen Speichermedien gespeichert werden Siehe auch Digitales Zertifikat Bytecode Maschinenunabh ngiger Code der mit dem Java Compiler generiert und mit dem Java Interpreter ausgef hrt wird CA Certificate Authority Zertifikatsaussteller CA Hierarchie Bei Tivoli PKI eine Sicherungsstruktur bei der ein CA auf der h chsten Ebene positioniert ist Anschlie end k n nen bis zu vier weitere Ebenen mit untergeordneten CAs definiert werden Wenn Benutzer oder Server bei einem Version 3 Release 7 1 Zertifikatsaussteller registriert we
115. buch aus a F hren Sie eine Vorabregistrierung aus und geben Sie an dass die Anforderung f r einen CA erfolgt Achten Sie beim Ausf llen des Registrierungsformulars darauf einen registrierten Namen DN einzugeben der mit dem des anfordernden CA bereinstimmt b Pr fen Sie den Status der Registrierungsanforderung c Befolgen Sie die Anweisung am Ende des Abschnitts um die Vorabregistrierungsdatei zu speichern 2 bertragen Sie die Vorabregistrierungsdatei auf die Maschine auf der sich der anfor dernde CA befindet 3 Melden Sie sich bei Tivoli PKI unter dem Benutzerkonto cfguser auf der Maschine an auf der sich der CA befindet der die gegenseitige Zertifizierung anfordert 4 F hren Sie den Befehl CACertRq aus und zwar unter AIX ber die Befehlszeile und unter Windows NT ber die DOS Eingabeaufforderung Stellen Sie bei Ausf hrung des Befehls CACertRq sicher dass Sie den absoluten Pfad und den Namen der Vorabregistrierungsdatei eingeben Informationen zur Befehlssyntax und Parameterbeschreibungen finden Sie im Abschnitt Kenification auf Seite 112 Version 3 Release 7 1 Anmerkung Wenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der eingebettete Leerzeichen enth lt m ssen Sie den Pfad in doppelte Anf h rungszeichen setzen F r den Befehl CACertRq beispielsweise w r den Sie den Parameter r vorabregistrierungspfad mit eingebetteten Leerzeichen folgenderma en ange
116. cen Regeln und Konfigurations optionen die sich auf bestimmte Registrierungsprozesse f r Zertifikate beziehen Der Dom nenname ist eine Untergruppe der Webadresse die zum Widerrufen von Regis trierungsoperationen verwendet wird Sie dient als eindeutige Unterzeichnung der Anwen dung Tivoli PKI unterst tzt eine Registrierungsdom ne pro Tivoli PKI Installation Mehrere RAs Tivoli PKI unterst tzt mehrere RAs MRAs Bei der Installation von Tivoli PKI wird sowohl ein erster CA als auch eine erste RA installiert Durch die Unterst tzung von meh rere RAs wird es m glich mehrere RAs unter einem CA zu installieren Dank dieser Funk tion k nnen Sie verschiedene RA Server f r unterschiedliche Zwecke definieren Eine Situa tion in der dies erforderlich sein k nnte w re beispielsweise eine Muttergesellschaft die f r ihre einzelnen Tochtergesellschaften unterschiedliche Zertifikattypen ausstellen muss Dies wird durch die Einrichtung mehrerer RAs m glich Jede RA verwendet denselben CA kann jedoch Zertifikate anhand unterschiedlicher Regeln ausstellen Anweisungen zur Einrichtung von mehreren RAs finden Sie unter Mehrere ere eite bergabe der Trust Kette Die bergabe der Trust Kette ist das Konzept bei dem die gesamte Trust Hierarchie eines CA f r jedes Zertifikat bergeben wird das ber eine RA ausgestellt wird Wird die Trust Kette nicht bergeben werden neue Zertifikate zwar durch einen CA unterzeichnet aber das Zertif
117. ch Version 3 Release 7 1 5 Wechseln Sie an der MS DOS Eingabeaufforderung in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standardpfad c Program Files IBM Trust Authority bin 6 Priifen Sie ob Port 1835 erfolgreich antwortet indem Sie folgenden Befehl einge ben ServerControl i c k CA n Server p 1835 1 Protokolldatei Hierbei steht Server fiir den Namen des CA Servers der dem Port 1835 zugeordnet ist und Protokolldatei fiir den Namen der Datei in der die Ergebnisse des Befehls ServerControl aufgezeichnet werden sollen Ist die Antwort des gepr ften Ports erfolgreich wird folgende Nachricht angezeigt Es wurde festgestellt dass der CA Service auf dem Server an Port 1835 ausgef hrt wird Hierbei steht Server f r den Server der dem Port 1835 zugeordnet ist CRL Verteilungspunkte aktivieren So k nnen Sie die CRL Verteilungspunkte aktivieren 1 Melden Sie sich bei Ihrem Betriebssystem als Administrator an 2 Stoppen Sie das Tivoli PKI System 3 Laden Sie die Konfigurationsdatei jonahca ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt General den Parameter CertperDP ndern Sie den Wert in eine positive ganze Zahl ungleich Null Editieren Sie im Abschnitt General den Parameter CRLDistName Na a ndern Sie den Wert in einen aussagekr ftigen Namen Die Zeichen d im Namen m ssen beibehalten werden
118. cherter elektro nischer Identit ten in Form von Zertifikaten dient Der CA verarbeitet die Anforderungen von RAs zum Ausstel len Erneuern und Widerrufen von Zertifikaten Er kooperiert mit der RA um Zertifikate und CRLs im Directory zu publizieren Siehe auch Digitales Zertifikat Tivoli PKI Systemverwaltung 155 Jesso 5 156 Zertifikatserweiterung Eine Zusatzfunktion des X 509v3 Zertifikatformats die zur Einbindung zus tzlicher Felder in das Zertifikat dient Es stehen Standard und benutzerdefinierte Erweiterungen zur Verf gung Die Standarderweiterungen dienen ver schiedenen Zwecken und umfassen Schl ssel und Regelinformationen Betreff und Ausstellerattribute sowie Einschr nkungen die f r den Zertifizierungspfad gelten Zertifikatsprofil Eine Gruppe von Kenndaten die den gew nschten Zertifikatstyp definieren z B SSL oder IPSec Zertifikate Das Profil vereinfacht die Zertifikatsspezifikation und registrierung Der Aussteller kann die Namen der Profile ndern und Kenndaten des gew nschten Zertifikats angeben Hierzu z hlen z B der G ltigkeitszeitraum die Ver wendung von Schl sseln DN Einschr nkungen usw Zertifikatsregel Eine benannte Gruppe mit Regeln die angibt ob ein Zertifikat f r eine bestimmte Klasse von Anwendungen mit gemeinsamen Sicherheitsanforderungen anwendbar ist Eine Zertifikatsregel kann z B angeben ob ein bestimm ter Zertifizierungstyp dem Benutzer die Ausf hrung von Transaktione
119. cke definieren Eine Situation in der dies erforderlich sein k nnte w re beispielsweise eine Muttergesell schaft die f r ihre einzelnen Tochtergesellschaften unterschiedliche Zertifikattypen ausstellen muss Dies wird durch die Einrichtung mehrerer RAs m glich Jede RA verwendet densel ben CA kann jedoch Zertifikate anhand unterschiedlicher Regeln ausstellen MRAs m ssen auf einem anderen Server als der urspr ngliche CA und die urspr ngliche RA installiert wer den Die Installation von mehreren RAs hnelt in vielen Punkten der Installation der ersten RA Um zus tzliche RAs zu installieren lesen und befolgen Sie die Anweisungen in den fol genden Abschnitten Anmerkung Sie k nnen eine MRA erst nach der Erstinstallation von CA und RA installie ren PKI auf MRA System installieren Tivoli PKI kann so installiert werden wie Sie m chten Alle Konfigurationsoptionen sind zul ssig Befolgen Sie hierzu die Anweisungen im Handbuch Tivoli PKI Einf hrung Sobald Sie die Erstinstallation vorgenommen haben kehren Sie jedoch zu den vorliegenden Anwei sungen zur ck Bitte f hren Sie jetzt noch keine der Dienstprogramme aus die nach der Installation oder nach der Konfiguration verwendet werden k nnen mraConfig dat f r neue MRA erstellen F r jede Installation einer MRA wird eine Datei mraConfig dat ben tigt Sie k nnen f r jede installierte MRA eine neue Datendatei erstellen oder auch jedes Mal dieselbe Datei ver wenden
120. com oder die brigen Adressen Daraus folgt dass eine zul ssige Unterverzeichnis strukturen ohne f hrenden Punkt nur einen m glichen Knoten angibt Angaben ohne einen f hrenden Punkt werden prim r f r nicht zul ssige Unterverzeichnisstrukturen verwendet E Mail Adressen angeben Sie k nnen ein CA Zertifikat anfordern das die CA Hierarchie eines anderen CA bernimmt und die G ltigkeit des Zertifikats auf eine Gruppe von E Mail Adressen einschr nkt Im folgenden Beispiel wird das Betriebssystem AIX verwendet alle Tivoli PKI CA Hosts verf gen ber E Mail Adressen die mit us companyA com enden Pfad und Dateiname der Vorabregistrierungsdatei lauten tmp ccprereg reg und das Kennwort lautet Secure99 Fol gender Befehl platziert die angegebenen E Mail Adressen in der Liste zul ssiger Unter verzeichnisstrukturen CACertRq m us companyA com h r tmp ccprereg reg P 1835 W Secure99 Sie k nnen ein CA Zertifikat anfordern das die CA Hierarchie eines anderen CA bernimmt und die G ltigkeit des Zertifikats auf alle bis auf ein Element einer Gruppe von E Mail Adressen einschr nkt Im folgenden Beispiel hat der Tivoli PKI CA Host die E Mail Adresse outCA us companyA com Pfad und Dateiname der Vorabregistrierungsdatei lauten tmp ccprereg reg und das Kennwort lautet Secure Folgender Befehl platziert die angegebene E Mail Adresse in der Liste nicht zul ssiger Unterverzeichnisstrukturen CACertRq m us compan
121. dargestellt Das Beispiel veranschaulicht die g ltigen Schl sselnamen und einige Beispiel werte BATCHID Test20010110002 PREID 100002151 CERTTYPE SSLBrowserCertlYear LASTNAME Wang FIRSTNAME wesamy EMAILADR wewang tivoli com COMNAME weswang ORGNAME Tivoli ORGUNIT TEST STREET 12000 Main Street LOCALITY Austin STATE Texas COUNTRY US DOMAIN play com PUBKEY 30818A02818100E2A31748E2A803437F3831319329A7E9EFA8D35A3B1B79212C FCQB71F4046DC287F1C28BE4A2287 9CD2708BCE4C395FC480318E2FF02871E219E51BEF5 320A1E03241E9DOFD21C893E72ECD41F149678C24E0FBC3B69628D9E51613F6049C3CC2D 20F84740ED29F739F73CD5C4C4FD36C7 1DEC27ABDBE79F98801889129EF8B7020400010001 PREID 100002152 CERTTYPE SSLBrowserCert2Year LASTNAME Tang FIRSTNAME ranny EMAILADR rtang tivoli com COMNAME rantang ORGNAME Tivoli ORGUNIT TEST2 STREET 12004 Main Street LOCALITY BocaRaton STATE Florida COUNTRY US DOMAIN try com PUBKEY 30818A02818100E7348549F8F2EB4BABO1924B47CAD3C00CO36BBB1A65C7D12C BC3AB2DEC9C3D8D8E68FFE2D5D47BB1CD809DEC274FE18EB9A37A4ECC13BE77C6413DC35 D47041AD9088048C5912CFF6A7C97 1CDB67BBEA5EB6F9B77744B296BO6BBOODD50E6E23E 9FC221A105738C610BA325091E251DF7007C4A6FFA38E20AB52B81F397D1A3020400010001 BCI ausf hren BCI wird ber die AIX Befehlszeile ausgef hrt Hierzu m ssen Sie als efguser angemeldet sein Alle BCI Befehle sind im Verzeichnis usr lpp iau bin installiert Um die BCI Befehle ausf hren zu k nnen m
122. den Sie sich bei Tivoli PKI als der Benutzer an der das System auf der Maschine installiert hat auf der sich der anfordernde CA befindet 4 F hren Sie den Befehl CACertRq aus und zwar unter AIX ber die Befehlszeile und unter Windows NT ber die DOS Eingabeaufforderung Stellen Sie bei Ausf hrung des Befehls CACertRq sicher dass Sie den absoluten Pfad und den Namen der Vorabregistrierungsdatei eingeben Informationen zur Befehlssyntax und Parameterbeschreibungen finden Sie im Abschnitt See Anmerkung Wenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der eingebettete Leerzeichen enth lt m ssen Sie den Pfad in doppelte Anf h rungszeichen setzen F r den Befehl CACertRq beispielsweise w r den Sie den Parameter r vorabregistrierungspfad mit eingebetteten Leerzeichen folgenderma en angeben CACertRq d companyA com h r c Program Files IBM Trust Authority ccprereg reg P 1835 W Secure99 IP Adressmaske angeben Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat anfordern das die CA Hierarchie eines anderen CA bernimmt und die G ltigkeit des Zertifikats auf die IP Adressen ein schr nkt die von Ihrem Unternehmen verwendet werden Im folgenden Beispiel ist das Betriebssystem AIX Ihr Unternehmen verwendet IP Adressen im Bereich von 9 0 0 0 bis 9 255 255 254 die Vorabregistrierungsdatei befindet sich im Pfad tmp ccprereg reg und das Kennwort lautet Secure99 Folgender Befehl
123. der zugeh rigen von Tivoli PKI zertifizierten ffentlichen und privaten Schl ssel Die Zertifikate und Schl ssel wer den in einer PKCS 12 Datei gespeichert Diese Datei ist kennwortgesch tzt Das Kennwort wird beim Sichern des Zertifikats und der Schl ssel gesetzt Secure Electronic Transaction SET Ein Branchenstandard f r die Durchf hrung sicherer Kredit oder Kundenkartenzahlungen ber nicht gesicherte Netze Der Standard formuliert Definitionen f r die Authentifizierung von Kartenhaltern H ndlern sowie der Banken durch die die Karten ausgestellt werden da er die Ausstellung von Zertifikaten anfordert Secure Sockets Layer SSL Ein IETF Standard bertragungsprotokoll mit integrierten Sicherheitsservices die f r den Endbenutzer m glichst transparent sind Es stellt einen digitalen sicheren Kommunikationskanal zur Verf gung 150 Version 3 Release 7 1 Ein SSL f higer Server empf ngt SSL Verbindungsanforderungen im Allgemeinen an einem anderen Anschluss Port als normale HTTP Anforderungen SSL erstellt eine Sitzung in der die Austauschsignale zum Herstellen der Kommunikation zwischen zwei Modems nur einmal gesendet werden m ssen Anschlie end wird die Kom munikation verschl sselt und die Nachrichtenintegrit t wird solange berpr ft bis die SSL Sitzung abgelaufen ist Server 1 In einem Netz eine Datenstation die anderen Stationen Funktionen zur Verf gung stellt wie beispielsweise ein Datei Server 2 In TCP
124. des Pr f Servers 1 Geben Sie an der AIX Befehlszeile folgenden Befehl ein AuditIntegrityCheck c usr lpp iau etc TrustAuthority AuditServer ini d 2 Wenn das System Sie zur Eingabe eines Kennworts KeyStore PIN auffordert geben Sie das Kennwort des Pr fadministrators ein Die Ergebnisse werden auf der Standardausgabeeinheit angezeigt m So pr fen Sie eine oder mehrere Archivierungsdateien des Pr f Servers 1 Geben Sie an der AIX Befehlszeile folgenden Befehl ein AuditIntegrityCheck c usr 1pp iau etc TrustAuthority AuditServer ini a usr Ipp iau arc archivel_my file 2 Wenn das System Sie zur Eingabe eines Kennworts KeyStore PIN auffordert geben Sie das Kennwort des Pr fadministrators ein Dieser Befehl pr ft Dateien mit dem Pfadpr fix usr lpp iau arc archivel_my file und den Erweiterungen ixf und sg Die Erweiterung ixf kennzeichnet Dateien im von DB2 generierten Exportformat Die Erweiterung sig kennzeichnet eine vom Pr fsubsystem generierte Unterschriftsdatei m So pr fen Sie alle Archivierungsdateien in einem bestimmten Verzeichnis in diesem Fall usr lpp iau arc 1 Geben Sie an der AIX Befehlszeile folgenden Befehl ein AuditIntegrityCheck c usr lpp iau etc TrustAuthority AuditServer ini A usr lpp iau arc 2 Wenn das System Sie zur Eingabe eines Kennworts KeyStore PIN auffordert geben Sie das Kennwort des Pr fadministrators ein Dieser Befehl pr ft im angegebenen Verzeichnis
125. e component_types verweist smallint auth_entity_id Die interne Kennung der Entitat die dieses Ereignis berechtigt hat Dies ist ein fremder Schliis sel der auf die Tabelle auth_entities verweist smallint auth_role_id Die interne Kennung des Aufga benbereichs der Entit t die die ses Ereignis berechtigt hat Dies ist ein fremder Schliissel der auf die Tabelle auth_entities verweist smallint afctd_entity Der Name oder DN der Art der Entit t die von diesem Ereignis betroffen ist varchar afctd_entity_id Die interne Kennung der Art der Entit t die von diesem Ereignis betroffen ist smallint storage_media Das dem Pr fereignis zugeord nete Speichermedium varchar extra_info Dem Pr fereignis zugeordnete Zusatzinformationen varchar sig_key_id Die interne Kennung des Schl ssels der zur Erzeugung des Integrit tsfelds verwendet wurde Dies ist ein fremder Schl ssel der auf die Schl ssel tabelle verweist smallint enc_key_id Die interne Kennung des Schl ssels der zur Verschl sse lung ausgew hlter Felder des Datensatzes verwendet wird Dies ist ein fremder Schl ssel der auf die Schl sseltabelle ver weist Im aktuellen Release von Tivoli PKI wird keines der Fel der verschl sselt smallint integrity Dieses Feld dient der Aufrecht erhaltung der Integrit t des Datensatzes varchar f r Bitda
126. e 18 Felder f r Pr fereignisse Forts Feldname Beschreibung Bewertungsstufe Typ der berichtenden Komponente Die Bewertung des Ereignisses entweder Infor mation oder Alert Der Typ der Tivoli PKI Komponente die das Ereignis meldet Client Quelle Identifizierungsinformationen f r die Tivoli PKI Komponente die das Ereignis sendet Client Zeitmarke Die Uhrzeit an der das Pr fereignis von einer Tivoli PKI Komponente gesendet wurde Zeitmarke Die Uhrzeit an der das Pr fereignis in die Daten bank oder in eine Datei geschrieben wurde Zusatzinformationen Zus tzliche Informationen die f r die Operation relevant sind Diese Informationen werden von einem Pr f Client angegeben Pr fereignisse rabelle 19 erl utert die Tivoli PKI Pr fereignisse und gibt an ob ein Ereignis verbindlich oder optional ist Tabelle 19 Pr fereignisse Ereignis Beschreibung Verbindlich oder optional Schl sselverwaltung KeyGeneration Gibt an dass ein Chiffrierschl ssel generiert verbindlich wurde KeylImport Gibt an dass ein Chiffrierschl ssel in Tivoli PKI optional importiert wurde KeyExport Gibt an dass ein Chiffrierschl ssel aus Tivoli optional PKI exportiert wurde KeyStorage Gibt an dass ein Chiffrierschl ssel gespeichert optional wurde KeyRollover Gibt an dass ein Chiffrierschl ssel durch einen optional neuen
127. e Tabelle ist schreibgeschiitzt und wird bei Installation und Konfiguration geladen Tabelle 27 Felder in der Tabelle der Komponentenarten Feld Beschreibung Datentyp component_type_id Die eindeutige interne Kennung der Komponentenart smallint component_desc Die NLS Zeichenfolge die die Komponentenart beschreibt varchar Tabelle fur Prufprotokoll Diese Tabelle enth lt die Protokolleintrage Tabelle 28 Felder in der Pr fprotokolltabelle Feld Beschreibung Datentyp serial_ num Die eindeutige Seriennummer des Protokolleintrags smallint src_date_time Die Zeitmarke die angibt wann das Ereignis von der Quelle Priif Client erzeugt wurde Zeitmarke cr_date_time event_id Die Zeitmarke die angibt wann der Protokolleintrag vom Priif Server erzeugt wurde Die interne Ereigniskennung Dies ist ein fremder Schliissel der auf die Tabelle event_ctl verweist Zeitmarke smallint source_id Die interne Kennung der Quelle die dieses Ereignis erzeugt hat Dies ist ein fremder Schliissel der auf die Quellentabelle ver weist smallint Version 3 Release 7 1 Tabelle 28 Felder in der Pr forotokolltabelle Forts Feld Beschreibung Datentyp component_type_id Die interne Kennung der Komponentenart der Quelle die dieses Ereignis erzeugt hat Dies ist ein fremder Schliissel der auf die Tabell
128. eben geht das Programm zun chst davon aus dass es sich bei der ID um eine Anforderungs ID handelt Es verwendet anschlie end diesen Wert um die Identit tsnachweis UUID festzustellen beispielsweise spOApHvpzvCicr1Ts8 ssKw Das Zertifikat muss also bereits zuvor an den Benutzer ausgestellt worden sein der die Berechtigung als Registrator anfordert Kann kein bereinstimmender Eintrag in der Registrierungsdatenbank gefunden werden geht das Programm davon aus dass es sich bei der ID um eine Identit tsnachweis UUID handelt Es versucht einen entsprechenden Anforderungseintrag zu finden Kann keine bereinstimmung gefunden werden gibt das Programm eine Warnung aus und versucht einen Eintrag zur Tabelle der Registratoren rausers in der Datenbank hinzuzuf gen access_profile Ein optionaler Parameter der das Zugriffsprofil angibt das dem Registrator zugeordnet ist den Sie dem System hinzuf gen Wenn Sie keinen Wert angeben verwendet das Pro gramm den Standardwert RAUser Bei diesem Parameter muss es sich um ein g ltiges Profil handeln das in einer der Tivoli PKI Konfigurationsdateien f r die Registrierungsverwaltung angegeben wurde Das Profil enth lt die Anforderungsarten Aktionen etc die die zugeordneten Registrato ren ausf hren k nnen Dienstprogramm Enable RA Database Encryption Standardm ig werden Informationen in der Datenbank der Registrierungseinrichtung nicht verschl sselt Nach der Konfiguration k nnen
129. ebung k nnen Sie den Status des WebSphere Application Server mit folgenden Prozeduren pr fen m Unter AIX 1 Melden Sie sich bei AIX als Root an 2 Pr fen Sie die Prozesstabelle und suchen Sie nach der folgenden Zeichenfolge ManagedServer Wenn Sie diesen Prozess finden fahren Sie mit Schritt Bl fort Finden Sie diesen Pro zess nicht lesen Sie bitte im Abschnitt LFe nach 3 Informationen dazu wie Sie die Verwaltungskonsole von WebSphere verwenden und den Serverstatus bestimmen k nnen finden Sie in der WebSphere Dokumentation m Unter Windows NT 1 Melden Sie sich bei Windows NT als Systemadministrator an 2 Starten Sie den Task Manager durch Dr cken der Tastenkombination Strg Alt und Entf 3 W hlen Sie die Registerkarte Prozesse aus 4 Suchen Sie nach mindestens einem Vorkommen des Prozesses EN exe Finden Sie diesen Prozess fahren Sie mit Schritt 5 auf Seite 15 fort Finden Sie die sen Prozess nicht lesen Sie bitte im Abschnitt Le j nach 14 Version 3 Release 7 1 5 Informationen zum Zugriff auf die WebSphere Verwaltungsseiten und zur Ermittlung des Server Status finden Sie in der WebSphere Dokumentation WebSphere Application Server Protokolle pr fen Sie k nnen die Protokolle pr fen in denen die Transaktionen zwischen dem WebSphere Application Server und dem Tivoli PKI Setup Wizard aufgezeichnet werden Die Positionen dieser Protokolle sind in Tabelle 1 dargestellt Tabelle 1 WebSphe
130. echende Kom ponente nach einem solchen Ereignis funktionsunf hig In einer Installation ohne Beibehaltung ist die Wiederherstellung nach einem Manipulations ereignis unter den folgenden Bedingungen m glich m Es wurde zuvor ein Sicherungsklon des IBM 4758 Cryptographic Coprocessor erstellt der von der Manipulation betroffen war m Es wurden zuvor Sicherungen der nicht integrierten verschl sselten Daten erstellt Der Administrator einer durch einen IBM 4758 Cryptographic Coprocessor erweiterten Tivoli PKI Installation muss die Sicherheitsanforderungen sorgf ltig gegen das Erfordernis einer Sicherung und Wiederherstellung von privaten Schl sseln abw gen In vielen F llen kann der Systemaufwand der mit der Ausstellung eines neuen CA Zertifikats und aller von diesem Zertifikat abh ngigen Client Zertifikate verbunden ist die Verwendung der Option f r die Nicht Beibehaltung vorgeben Im Allgemeinen sollte die Option f r die Beibehaltung nur dann verwendet werden wenn dies eindeutig erforderlich ist und zudem die hiermit verbundenen Nutzen und Risiken grundlegend berdacht wurden Falls das Tivoli PKI System in einer Umgebung eingesetzt werden muss in der durch Standards vorgegeben ist dass Schl sselpaare in der Hardware generiert und permanent gespeichert werden m ssen ist die Verwendung der Option f r die Beibehaltung erforderlich In anderen F llen empfiehlt es sich diese Option nicht zu ver wenden Tivoli PKI System
131. efi niert wurde Geben Sie als Kennwort f r das Steuerprogramm und den Pr fadministrator das Kennwort f r das Steuerprogramm an das Sie im Programm CfgPostInstall als aktuelles Kennwort definiert haben Als Kennwort f r den Directory Administrator das 4758 CA Profil und das 4758 RA Profil geben Sie jeweils das Kennwort an das Sie im Setup Wizard als aktuelles Kennwort definiert haben 5 Geben Sie nach Aufforderung das neue Kennwort f r die ausgew hlte Option ein und best tigen Sie es Das Kennwort darf maximal acht Zeichen lang sein das Kennwort f r das 4758 CA Profil bzw das 4758 RA Profil muss genau acht Zeichen umfassen Das Dienstprogramm gibt in einer Nachricht an ob die nderung erfolgreich war Nach dem erfolgreichen Abschluss der Verarbeitung ruft das Dienstprogramm das Haupt men erneut auf Anmerkung Nachdem Sie ein Kennwort ge ndert haben m ssen Sie Tivoli PKI stoppen und anschlie end erneut starten Vorgehensweise anhand von Programmsymbolen unter Windows NT Wenn Sie Tivoli PKI auf einer Windows NT Plattform ausf hren und das Ausw hlen von Programmsymbolen gegen ber der Befehlseingabe in einem DOS Befehlsfenster bevorzugen k nnen Sie anhand der folgenden Prozedur das Dienstprogramm Change Password ausf h ren 1 W hlen Sie nacheinander Start gt Programme gt IBM SecureWay Trust Authority gt Change Passwords Tool aus Das Men Tivoli PKI Kennw rter ndern wird aufgeruf
132. egrity Dieses Feld dient der Aufrechterhaltung varchar fiir Bitdaten der Integrit t des Datensatzes Tabelle der berechtigten Aufgabenbereiche Diese Tabelle enth lt Informationen zu den Aufgabenbereichen berechtigter Entit ten Diese Tabelle ist schreibgesch tzt und wird bei Installation und Konfiguration geladen Tabelle 25 Felder in der Tabelle berechtigter Aufgabenbereiche Feld Beschreibung Datentyp auth_role_id Die eindeutige interne Kennung des smallint berechtigten Aufgabenbereichs auth_role_desc Die NLS Zeichenfolge die den berech varchar tigten Aufgabenbereich beschreibt Tivoli PKI Systemverwaltung 131 u uonkguuJojJu ZU919J9H G 132 Tabelle der Arten betroffener Entitaten Diese Tabelle enth lt Informationen zu verschiedenen Arten betroffener Entit ten Eine betroffene Entit t wird von der Operation beeinflusst f r die ein Pr fereignis erzeugt wird Diese Tabelle ist schreibgesch tzt und wird bei Installation und Konfiguration geladen Tabelle 26 Felder in der Tabelle der Arten betroffener Entit ten betroffene Entit t beschreibt Feld Beschreibung Datentyp afctd_entity_id Die eindeutige interne Kennung smallint der betroffenen Entitat afctd_entity_desc Die NLS Zeichenfolge die die varchar Tabelle der Komponentenarten Diese Tabelle enthalt Informationen zu den verschiedenen Komponentenarten des Priif Cli ents Dies
133. ehlszeile folgenden Befehl eingeben der den ent sprechenden Tivoli PKI Installationspfad enth lt Beispiel m Unter AIX wenn Sie den Standardinstallationspfad von Tivoli PKI verwenden CAIntegrityCheck in usr lpp iau bin m Unter Windows NT wenn Sie den Standardinstallationspfad von Tivoli PKI verwen den CAIntegrityCheck in c Program Files IBM Trust Authority bin Das Tool fordert Sie zur Eingabe des Kennworts fiir das Tivoli PKI Steuerprogramm auf 3 Geben Sie das Kennwort fiir das Tivoli PKI Steuerprogramm ein 4 Falls das Programm CAlntegrityCheck Fehlernachrichten f r den Integrit tsschutz zur ckgibt f hren Sie den Befehl CARemac erneut aus um einen neuen Schutzschl ssel festzulegen und die Integrit t der CA Datenbank wiederherzustellen Bitte denken Sie daran dass bei Ausf hrung des Befehls CARemac der CA aktiv sein muss auf dem Tivoli PKI System jedoch keine Aktivit t bestehen darf Tivoli PKI Systemverwaltung 21 asiamsuayabio ANZ u uol guulojuj CA Zertifikat ber gegenseitige Zertifizierung anfordern Sie k nnen im Namen des Tivoli PKI CA ein CA Zertifikat von einem anderen CA anfor dern wenn Sie das Sicherungsmodell f r die gegenseitige Zertifizierung verwenden Die gegenseitige Zertifizierung erm glicht es zuverl ssigen CAs die Anerkennung gegenseitig ausgestellter Zertifikate als Identit tsnachweis zu vereinbaren Obwohl die gegenseitige Zer tifizierung zwischen CAs in beiden Richtungen erfol
134. ei Arten von Sendevorg ngen f r die ange forderten Zertifikate vor Bei der ersten Art wird jeder giiltige Datensatz aus der Tabelle mit den BCI Anforderungen BCIRT an die Anforderungstabelle in der Datenbank PKRF auf dem RA Server gesendet Die zweite Sendeart sendet die Zertifikatsanforderungen an den LDAP Server Alle in diesem Prozess gegebenenfalls auftretenden Fehler werden an die Datei bcipost log gesendet steht f r die Stapel ID Syntax Die Syntax dieses Befehls lautet wie folgt bcipost batchID Parameter batchID Die Stapel ID die als Wert f r den Parameter BATCHID in der BCR Datei angegeben wurde Beispiel bcipost BC1200101140043 Befehl bcireport Der Befehl beireport generiert die beiden Ausgabedateien bcioutput und bcireport steht fiir die Stapel ID Die Datei bcioutput enth lt die Werte f r den Schl ssel PREID den Zertifikatstyp und die PKCS 7 Zeichenfolgen f r alle Datens tze mit einer tibereinstimmenden Stapel ID In der Datei bcireport ist der Status der Anforderung angegeben Sie enth lt eine Liste mit den aktuellen Werten f r Abschnitt und Status Jeder Zertifikatsanforderung die mit der gegebenen Stapel ID bereinstimmt Diese Datei kann in Jedem Abschnitt des Prozesses erstellt werden sobald die Anfangsinformationen mit dem Befehl bciin aus der BCR Datei gelesen wurden 122 Version 3 Release 7 1
135. ei zur Verf gung gestellten Daten Bei Tivoli PKI werden MAC Schl ssel f r CA und Pr fkomponenten in den KeyStores gespeichert National Security Agency NSA Die offizielle Sicherheitsbeh rde der US Regierung NIST National Institute of Standards and Technology fr her NBS National Bureau of Standards Aufgabe dieses Insti tuts ist die Unterst tzung offener Standards und der Interoperabilit t in den verschiedenen Bereichen der Computerbranche NLS National Language Support Unterst tzung in der Landessprache NSA National Security Agency Objekt Beim objektorientierten Design oder bei der objektorientierten Programmierung eine abstrakte Entit t die zur Abgrenzung bestimmter Daten und der zugeh rigen Operationen dient Siehe auch Klasse Objektart Die Art von Objekt die im Directory gespeichert werden kann Beispiele sind eine Firma ein Konferenzraum eine Einheit eine Person ein Programm oder ein Prozess Objekt ID OID Ein von einer Verwaltungsfunktion zugeordneter Datenwert der den in ASN 1 definierten Typ aufweist ODBC Open Database Connectivity ffentlicher Schl ssel In einem Paar aus einem ffentlichen und einem privaten Schl ssel steht dieser Schl ssel anderen Benutzern zur Verf gung Er erm glicht diesen Benutzern die Weiterleitung einer Transaktion an den Eigner des Schl ssels sowie die Pr fung einer digitalen Unterschrift Mit einem ffentlichen Schl ssel verschl sselte Daten k nnen nur
136. eichnis der Installation Geben Sie dazu bei Ver wendung des Standard Stammverzeichnisses folgenden Befehl ein cd usr 1pp iau bin b Geben Sie einen Befehl nach folgendem Muster ein add_rauser usr Ipp iau pkrf etc domain cfg YourDomain aBcXyZ Dabei gilt usr Ipp iau pkrf etc domain cfg ist der Pfad des Standardstamm verzeichnisses der Tivoli PKI Installation und der Dom nenkonfigurations datei YourDomain ist die Standard Registrierungsdom ne aBcXyZ ist entweder ein Beispiel einer Anforderungs ID oder einer Identi t tsnachweis UUID m Unter Windows NT a Wechseln Sie in das Stammverzeichnis der Installation Geben Sie dazu bei Ver wendung des Standard Stammverzeichnisses folgenden Befehl ein cd c Program Files IBM Trust Authority bin b Geben Sie einen Befehl nach folgendem Muster ein add_rauser c Program Files IBM Trust Authority pkrf etc domain cfg YourDomain aBcXyZ Dabei gilt c Program Files IBM Trust Authority pkrf etc domain cfg ist der Pfad des Standardstammverzeichnisses der Tivoli PKI Installation und der Dom nenkonfigurationsdatei Anmerkung Wenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der eingebettete Leerzeichen enth lt m ssen Sie den Pfad in doppelte Anf hrungszeichen setzen YourDomain ist die Standard Registrierungsdom ne aBcXyZ ist entweder ein Beispiel einer Anforderungs ID oder einer Identi t tsnachweis UUID
137. eien Dieser Abschnitt enth lt die Beschreibungen der Parameter f r folgende Konfigurations dateien Tivoli PKI Systemverwaltung 83 u uonkguuJojJu ZU919J9H G Tabelle 12 Tivoli PKI Konfigurationsdateien AIX Standardpfad Windows NT Standardpfad Beschreibung usr lpp iau etc TrustAuthority jonahca ini c Program Files IBM Trust Authority etc TrustAuthority jonahca ini Die Konfigurationsdatei des CA Servers Diese Datei ent halt die Konfigurations variablen des CA Servers Sie konnen diese Variablen ndern um grundlegende Funktionsmerkmale und Verbindungseinstellungen fest zulegen usr lpp iau pkrf Domains YourDomain etc jonahra ini c Program Files IBM Trust Authority pkrf Domains YourDomain etc jonahra ini Die Konfigurationsdatei des RA Servers Diese Datei ent halt die Konfigurations variablen des RA Servers Neben den grundlegenden Funktionsmerkmalen und Verbindungseinstellungen erm glichen diese Variablen die Steuerung der Interaktion von RA und Directory Server usr lpp iau ete AuditClient ini c Program Files IBM Trust Authority etc AuditClient ini Die Konfigurationsdatei des Priif Clients Diese Datei ent halt die Konfigurations variablen der Priif Clients Die Variablen erm glichen Verbindungseinstellungen und unterst tzen die Optimierung der Pr fmaske die die Weiter leitung von Pr fereignissen steuert usr lpp iau etc TrustAuthority A
138. eise 9 0 0 0 255 0 0 0 und die der Abteilung Y dieses Unternehmens lautet 9 210 134 0 255 255 254 0 d dns D dns Die Adresse des Domain Name Server DNS Der kleingeschriebene Parameter d f gt die angegebene DNS Adresse der Liste zul ssiger Unterverzeichnisstrukturen hinzu Der gro geschriebene Parameter D entspricht dem kleingeschriebenen Parameter Die an gegebene DNS Adresse wird jedoch der Liste unzul ssiger Unterverzeichnisstrukturen hinzugef gt Beginnt die Adresse mit einem Punkt werden alle Hosts einbezogen die mit dieser Unterzeichenfolge einschlie lich enden Ist dies nicht der Fall wird nur der Host einbezogen der der Zeichenfolge entspricht Der Einschr nkung orga com entsprechen beispielsweise die Hosts us orga com vneto orga com und w3 software orga com jedoch nicht orga com selbst oder kidorga com Der Einschr nkung orga com entspricht der Host orga com jedoch nicht us orga com oder die anderen Daraus folgt dass eine zul ssige Unterverzeichnisstruktur ohne f hren den Punkt nur einen m glichen Knoten angibt m emailAddress M emailAddress Die E Mail Adressen Der kleingeschriebene Parameter m f gt die angegebene E Mail Adresse der Liste zul ssiger Unterverzeichnisstrukturen hinzu Der gro geschriebene Parameter M entspricht dem kleingeschriebenen Parameter Die angege bene E Mail Adresse wird jedoch der Liste unzul ssiger Unterverzeichnisstrukturen hin zugef g
139. eise sowie der digitalen Unterschriften verwendet werden PKI stellt au erdem Funktionen zur schnellen und effizienten Antwort auf Pr fabfragen und Anforderungen f r ffentliche Chiffrierschl ssel bereit Der Standard dient dar ber hinaus zur Identifizierung potenzieller Sicherheitsl cken im System und zur Verwaltung von Ressourcen zur Bearbeitung von Sicherheitsverletzungen PKI bietet au erdem einen digitalen Zeitmarkenservice f r wichtige Unternehmenstransaktionen Version 3 Release 7 1 RA Registration Authority Registrierungsstelle RA Desktop Ein Java Applet das den RAs eine Grafikschnittstelle f r die Verarbeitung von Anforderungen f r Identit tsnach weise und zur Verwaltung dieser Nachweise w hrend ihrer G ltigkeitsdauer zur Verf gung stellt RA Server Der Server f r die RA Komponente von Tivoli PKI RC2 Eine variable Schl sselgr en Block Cipher die von Ron Rivest f r RSA Data Security entwickelt wurde RC steht f r Ron s Code oder Rivest s Cipher Sie arbeitet schneller als DES und l st diese Block Cipher ab Durch die Verwendung geeigneter Schl sselgr en kann sie in Bezug auf eine ausgedehnte Schl sselsuche flexibler als DES gestaltet werden Sie verf gt ber eine Blockgr e von 64 Bit und arbeitet auf Softwareebene zwei bis dreimal schneller als DES RC2 kann in denselben Modi eingesetzt werden wie DES Durch eine Vereinbarung zwischen SPA Software Publishers Association und der US Regierung ni
140. elverwaltung zu l sen Nach diesem Konzept erh lt jeder Benutzer ein Schl sselpaar bei dem einer als ffentlicher und einer als privater Schl ssel bezeichnet wird Der ffentliche Schl ssel ist hierbei allgemein bekannt der private Schl ssel wird hingegen geheim gehalten Sender und Empf nger m ssen geheime Daten nicht gemeinsam benutzen Alle Kommunikationsoperationen wer den lediglich auf der Basis ffentlicher Schl ssel ausgef hrt Die privaten Schl ssel werden niemals bertragen oder gemeinsam verwendet Auf diese Weise ist es nicht mehr notwendig sich auf die Sicherheit eines bertragungskanals gegen ber Manipulationen zu verlassen Die einzige Anforderung ist dass ffentliche Schl s sel den entsprechenden Benutzern in einer gesicherten authentifizierten Weise z B in einem gesicherten Ver zeichnis zugeordnet werden Jeder Benutzer kann nun mit Hilfe dieser ffentlichen Daten eine vertrauliche Nachricht senden Diese Nachricht kann nur mit einem privaten Schl ssel entschl sselt werden auf den allein der gew nschte Empf nger zugreifen kann Dar ber hinaus kann die Verschl sselung auf der Basis von Schl ssel paaren nicht nur zur Gew hrleistung der Vertraulichkeit Verschl sselung sondern auch f r die Authentifizierung digitale Unterschriften eingesetzt werden Schl sselsicherung und wiederherstellung Diese Funktion von Tivoli PKI erm glicht das Sichern und Wiederherstellen von Endentit tszertifikaten und
141. en 2 F hren Sie die Schritte aus beginnend mit Bl unter Tivoli PKI Systemverwaltung asiamsuayabio ANZ u uolguuloju Serverkomponenten starten und stoppen Tivoli PKI verwendet einen sicheren automatischen Startmechanismus der als Tivoli PKI Steuerprogramm bezeichnet wird um alle Komponenten einer Maschine zu starten oder zu stoppen Das Tivoli PKI Steuerprogramm bei fernen Maschinen ein Programm pro Maschine verf gt ber einen eigenen Chiffrierschl ssel mit dem Komponentenkennworter bei Bedarf ver oder entschl sselt werden Wenn Sie Tivoli PKI Server Komponenten auf fernen Maschinen installiert haben finden Sie im Abschnitt I EEEE weitere Informationen Serverkomponenten lokal starten und stoppen Um alle Komponenten einer Maschine zu starten oder zu stoppen k nnen Sie eine der fol genden Methoden verwenden Geben Sie unter AIX die folgenden Befehle ein um die Server Komponenten zu starten oder zu stoppen Befolgen Sie die Onlineanweisungen zur Eingabe des Kennworts f r das Steuerprogramm Bitte beachten Sie dass Sie sich als Tivoli PKI Konfigurations benutzer cfguser anmelden m ssen um das System zu starten und zu stoppen cd usr Ipp iau bin Start_TA sh oder Stop_TA sh Wenn Sie Tivoli PKI auf einer Windows NT Plattform installiert haben k nnen Sie das entsprechende Symbol im Windows NT Programmmen ausw hlen Sie k nnen bei spielsweise Folgendes ausw hlen Start gt Programme gt IB
142. en Der Administrator sollte das System aus der Produktions umgebung herausnehmen und alle notwendigen Vorbereitung dafiir treffen dass ausstehende Anforderungen erf llt werden Sobald das System beendet und heruntergefahren wurde kann der Administrator das Dienstprogramm CA Key Update durch Absetzen des Befehls cakey roll ausf hren Hat der Administrator den Befehl cakeyroll abgesetzt beginnt der erste Abschnitt des Rollo ver Prozesses f r den CA Schl ssel In diesem ersten Abschnitt wird ein neues CA Schl s selpaar erstellt Mit dem neuen privaten Schliissel werden drei Zertifikate erstellt Jedes Zer tifikat wird zur Pr fung von Zertifikaten verwendet die mit dem alten privaten CA Schliissel unterzeichnet wurden sowie von neuen Zertifikaten die mit dem neuen privaten Schl ssel unterzeichnet wurden Diese neuen Zertifikate sind im Directory unter dem Attribut caCerti ficate angegeben Tahelle 17 veranschaulicht diesen Prozess Kunden k nnen weiterhin die alten CA Zertifikate mit ffentlichen Schl sseln verwenden bis sie eine Aktualisierung auf das neue CA Zertifikat vornehmen Das Zertifikat muss durch das neue CA Zertifikat ersetzt werden bevor der aktuelle G ltigkeitszeitraum des Zertifikats abl uft Tabelle 17 Rollover Prozess f r CA Schl ssel Zertifikat Unterschriftsschliissel G ltigkeitsdatum G ltigkeitsdatum Anfang Ende new WithNew Ne
143. en Sie das Datum im Format jjjj mm tt ein beispielsweise 1999 10 01 Anmerkung Um die Eingabeaufforderungen zu umgehen k nnen Sie die folgenden Befehlsparameter in der Befehlszeile angeben TAActivityReport t reportType 1 2 d startDate jjjj mm tt Beispiel TAActivityReport t 2 d 1999 09 27 Tivoli PKI Systemverwaltung 13 asiamsuayabio ANZ u uol guulojuj Beispielausgabe Aktivit tsbericht Activity Report Im folgenden Beispiel wird ein t glicher Aktivit tsbericht dargestellt Der w chentliche Bericht ist entsprechend aufgebaut enth lt jedoch eine Zusammenfassung der w chentlichen Summen der jeweiligen Aktivit ten Tivoli PKI Activity Report Report generated on Sep 28 1999 15 59 23 EDT Date of daily report 1999 09 27 Daily Activity Report for RA Administrators RA Administrator DN Approved Rejected Revoked CN RAadminl OU PKI O IBM C US 23 6 1 CN RAadmin2 OU PKI O IBM C US 14 2 0 CN RAadmin3 OU PKI O IBM C US 55 8 4 Daily Activity Report for the System Approved 92 Rejected 16 Revoked 5 WebSphere Application Server verwalten IBM WebSphere besteht aus einer Gruppe von Softwareprodukten mit denen Unternehmen leistungsf hige Web Sites entwickeln und verwalten k nnen Der WebSphere Application Server stellt zusammen mit dem IBM HTTP Server in Tivoli PKI die Infrastruktur f r Web Server Funktionalit t bereit Status des WebSphere Application Server pr fen Je nach Umg
144. en in der Datenbanktabelle audit_log gespeichert Bei den meisten Spalten dieser Tabelle handelt es sich um kurze Integer Codes die auf andere Tabellen verweisen Diese anderen Tabellen enthalten die voll st ndige Beschreibung oder die Namen der Felder des Protokolleintrags Diese Felder ent sprechen in der Datenbank den Spalten einer Tabelle Informationen zu Feldnamen und Beschreibungen aller Tabellen im Pr fdatenbankschema finden Sie im Abschnitt o o O enDankda Od c Folgende Sichten sind verf gbar m viewar Dies ist die grundlegende Sicht die den Zugriff auf alle Textbeschreibungen ungektirzt erm glicht E viewar_t Diese Sicht entspricht der Sicht viewar die Textspalten werden jedoch nach 40 Zeichen abgeschnitten Anmerkung Wenn Sie die Datenbank viewar_t unter Windows NT ber die Schnitt stelle der DB2 Steuerzentrale abfragen wird aufgrund des Abschneidens beim Ausw hlen der Option f r den Beispielinhalt eine leere Ausgabe angezeigt Die in diesem Abschnitt dokumentierte Prozedur bietet eine M glichkeit dieses Problem zu umgehen Die Sichten verf gen ber die in Eabele d angegebenen Spaltennamen Tabelle 6 Spaltenbeschreibungen der Sichten f r die Tivoli PKI Pr fdatenbank Spaltenname Beschreibung Datentyp serial_num Die Seriennummer des integer Protokolleintrags sourcetime Die Zeitmarke die angibt wann timestamp das Pr fereignis durch den Client erstellt wurde crea
145. en nicht ber Telefonleitungen sondern ber das Internet herstellt Da der Zugriff der Benutzer auf die Netzressourcen eines Unternehmens nicht ber eine Telefongesellschaft son dern ber einen Internet Service Provider ISP erfolgt k nnen diese durch den Einsatz von VPN deutliche Ein sparungen bei Fernzugriffen erzielen Ein VPN erh ht auch die Sicherheit beim Datenaustausch Bei der her k mmlichen Firewall Technologie kann zwar der Inhalt der Nachricht verschl sselt werden nicht jedoch die Quellen und Zieladressen Bei der VPN Technologie k nnen die Benutzer eine Tunnelverbindung herstellen bei der das gesamte Datenpaket Header und Datenkomponente verschl sselt und gekapselt ist Vorabregistrierung Bei Tivoli PKI ein Prozess mit dem ein bestimmter Benutzer normalerweise ein Administrator andere Benutzer registrieren kann Wenn die Anforderung genehmigt wird stellt die RA Informationen zur Verf gung mit denen der Benutzer sp ter mit Hilfe der Client Anwendung von Tivoli PKI ein Zertifikat erhalten kann VPN Virtual Private Network Web Browser Auf einem PC ausgef hrte Client Software mit der ein Benutzer im World Wide Web navigieren oder lokale HTML Seiten anzeigen kann Der Web Browser ist ein Abfrage Tool das universellen Zugriff auf die umfangrei chen Hypermedia Datensammlungen erm glicht die im Web und im Internet zur Verf gung gestellt werden Manche Browser k nnen Text und Grafik anzeigen w hrend andere Bro
146. enten stoppen 7 Pr fung 46 RA 35 Web 79 WebSphere Application 14 80 Sicherheit bei Tivoli PKI 65 Sicherheitsmodul f r Hardware 73 Sicherheitsrelevante Ereignisse 78 Sicherung 10 AIX 10 Tivoli PKI Datenbanken 10 Windows NT 10 Sichten der Pr fdatenbank 47 SQL Befehl 37 Standarderweiterungen 67 Standards ASN 1 81 CCITT 81 ISO 81 ITU 67 81 RFC 2459 67 X 509v3 67 X 680 81 Starten von Server Komponenten 7 Status CA Server 34 Version 3 Release 7 1 Status Forts DB2 Datenbanken 60 Directory Server 63 HTTP Server 16 Priif Server 58 RA Server 41 WebSphere Application Server 14 Stoppen von Server Komponenten 7 Systemtabelle 134 T Tabelle der Arten betroffener Entit ten 132 Tabelle der berechtigten Aufgabenbereiche 131 Tabelle der berechtigten Entit ten 131 Tabelle der Komponentenarten 132 Tabelle f r Ereignisbewertung 130 Tabelle zur Ereignissteuerung 130 Tabellen der Pr fdatenbank Arten betroffener Entit ten 132 berechtigte Aufgabenbereiche 131 berechtigte Entit ten 131 Ereignisbewertung 130 Ereignissteuerung 130 Komponentenarten 132 Pr fprotokoll 132 Quellen 131 Schl ssel 129 System 134 Timer 50 Tivoli Customer Support Kundenunterst tzung xiii Informationen im Web zur Sicherheitsverwaltung xiii Websites f r Sicherheitsprodukte xiii Tivoli PKI Berichte 11 12 Beschreibung 1 Informationen im Web xiii IP Adressen ndern 9 Sicherheit 65 sichern 10 Steuerung 7 verwalten 5
147. eo k aeee ee e eeni eee teen 78 Verbindliche und optionale Priifereignisse 78 Intesrit tspr fung zu wy ravus upa ce haw uE ans no Sa ee wap Be hoa aw Pace qasaq q 79 Intesrit tsversiegeluns n us a ee Pa ea ee en a 79 Pr fprotokoll archivieren NEEN ca saa gua wen en nn en sen 79 DB2 Datenbanken 4 un ae be re ee ee 79 IWEDSCHVER ke ee ante Bae gt aes EE Ee dg 79 IBM WebSphere Application Server 80 IBM HTTP Server lucu s 8 320008 canes ie EMER EEO oe CEES ER rear 80 IP Alasan p nuan een ann ee a eee oD 80 Dir ctory Server u usu ca EIER EE ELE eat ad nd ee baka a dee an eae ewes d ELSE es 81 Objektkennungen ccc ce eae ea eR EO RE ERE CRE TERE nennen 81 Kapitel 5 Referenzinformationen 83 Tivoli PKI Systemverwaltung vii Konfigurationsdateien AEN eee een 83 D terbeschreibung 2 u ene eatin pla aqata kala EE Bods q sq a afb pad ua a ng qapa we ed aus 85 Konfigurationsdatei fiir CA Server u asa sasawa waywaqwqawawaawawakawa rard eaaa wama 85 Konfigurationsdatei f r RA Server sa casa sawa came eee ari 95 Konfigurationsdatei f r Priifserver 2 usa penua s eee 105 Konfigurationsdatei fiir Priif Client 109 Befehlszeilendienstprogramme s s ces cc 0 ee nennen ea m a Q WY 112 Dienstprogramm CA Certification u au suum iae eens 112 Dienstprogramm Add RA User 115 Dienstprogramm Enable RA Database Encryption 115 Dienstprog
148. er 34 DB2 62 Directory Server 64 Ereignis 52 Fehler 54 HTTP Server 17 Priif Server 59 Pr fsubsystem 55 Pr fung 52 RA Server 41 Trace 53 WebSphere Application Server 15 Pr fadministratorkennwort 6 Pr fen des HTTP Server Protokolls 17 Pr fereignis 126 Ereignisse f r Pr fadministratoren 78 Masken 78 optional 78 RA 78 Schl sselverwaltung 78 sicherheitsrelevant 78 verbindlich 78 Zertifikatsverwaltung 78 Pr fmaske 49 Pr fprotokolltabelle 132 Pr fsubsystem Client Konfigurationsdatei 109 Datenbanksichten 47 Dienstprogramm Audit Archive and Sign 116 Dienstprogramm Audit Integrity Check 116 Ereignismasken 78 Fehlerprotokolleinstellungen ndern 54 Host Name ndern 50 Informationen 77 159 x pul Pr fsubsystem Forts Informationen zu Datens tzen 78 Informationen zu Ereignissen 78 Intervall zwischen Wiederholungsversuchen ndern 50 optionale Ereignisse 78 Port ndern 51 Protokolldateien archivieren 55 Protokolldateien unterzeichnen 55 Protokolle 52 59 Protokolleinstellungen ndern 52 Pr fmaske ndern 49 Pr fprotokolleinstellungen ndern 52 Server Konfigurationsdatei 105 Status 58 Trace Protokolleinstellungen ndern 53 verbindliche Ereignisse 78 verwalten 46 Pr fung Berichte generieren 54 Bindungsversuche ndern 51 Datenbankdaten 129 Host Name ndern 49 Intervall zwischen Bindungsversuchen ndern 51 Intervall zwischen Wiederholungsversuchen ndern 50 Maske 49 Port ndern 49
149. er AFW Interaktionen Application Framework Anwendungsger st Verwenden Sie diese Stufe wenn Sie versuchen Probleme in den Schichten des RA Ser vers f r die Zertifikatsverarbeitung zu diagnostizieren Das Ausgabevolumen ist etwa zehnmal h her als bei Debug Stufe 25 m DebugLevel 201 Umfangreiche Ablaufverfolgung Tracing kritischer interner Funkti onen die sehr h ufig verwendet werden Verwenden Sie diese Stufe nur dann wenn Sie versuchen Probleme wie abnormale Beendigungen des RA Servers zu diagnostizieren Das Ausgabevolumen ist etwa hun dertmal h her als bei Debug Stufe 25 Tivoli PKI Systemverwaltung 135 USUONEW IOJUN ZU919J9H G 136 Anmerkung Aufgrund des hohen Protokollvolumens auf Stufe 100 darf diese Einstellung sofern keine besonderen Umst nde vorliegen nicht in einer Produktions umgebung verwendet werden Auf dieser oder einer h heren Debug Stufe besteht die M glichkeit dass der freie Speicherplatz im Dateisystem aufge braucht wird was zu zahlreichen St rungen im gesamten System f hren kann So f hren Sie die Fehlerbehebung mit aktivierter Nachrichtenerstellung auf Debug Stufe aus bei dieser Prozedur wird als Beispiel die Debug Stufe 100 verwendet be 2 Stoppen Sie das Tivoli PKI System ndern Sie die Datei irgAutoCa ini folgenderma en Unter AIX Geben Sie f r den Debug Parameter in usr 1pp iau etc TrustAuthority irgAutoCa ini einen Wert zwischen 50 und 100 a
150. erungen zu authentifizieren und Zertifikate an den gew nschten Empf nger zu bertragen Integrierte Unterst tzung f r IBM DB2 Universal Database Version 3 Release 7 1 bersicht Dieses Dokument beschreibt den Betrieb und die Verwaltung des Tivoli PKI Systems Es wird vorausgesetzt dass Sie in den folgenden Bereichen ber ausreichende Kenntnisse verf gen Betriebssystem AIX oder UNIX Betriebssystem Windows NT Systemarchitektur Netzverwaltung Datenbankverwaltung Web Server Verwaltung Verzeichnisverwaltung 2 2 enth lt Informationen zu Betrieb und Ver waltung des Tivoli PKI Greter Hier erfahren Sie wie Sie das System starten und stoppen Kennw rter ndern den Editor f r Konfigurationsdateien verwenden das System sichern und wiederherstellen und folgende Systemkomponenten verwalten k nnen IBM WebSphere Application Server IBM HTTP Server CA Server RA Server Pr fsubsystem IBM DB2 Universal Database UDB IBM Directory IBM 4758 Cryptographic Coprocessor enth lt detaillierte technische Informationen zu den Themen die in den Beschreibungen der Prozeduren angesprochen werden Der Abschnitt J enth lt Referenzinformationen beispiels weise Parameter von Konfigurationsdateien die Syntax von Befehlszeilendienstprogrammen sowie Informationen in Tabellenform zum Pr fsubsystem Tivoli PKI Systemverwaltung 1u9jsi qn Version 3 Release 7 1 Informationen zur Vorgehensweise Tivoli PKI
151. erwaltung 141 1esso O e Commerce Unternehmens bergreifende Transaktionen wie beispielsweise der Kauf und Verkauf von Waren und Dienstleis tungen zwischen Unternehmen und ihren Kunden Lieferanten Subunternehmen und anderen ber das Internet E Commerce stellt einen Kernbestandteil des e Business dar Endentitat Der Gegenstand eines Zertifikats bei dem es sich nicht um einen CA handelt Entschliisseln Den Verschliisselungsprozess r ckg ngig machen Exemplar Bei DB2 bezeichnet man als Exemplar eine logische Datenbankverwaltungsumgebung zum Speichern von Daten und Ausf hren von Anwendungen Es erm glicht die Definition einer allgemeinen Gruppe von Konfigurations parametern f r verschiedene Datenbanken Extranet Ein Netz das auf dem Internet basiert und eine hnliche Technologie einsetzt Unternehmen beginnen momentan mit dem Einsatz des Web Publishings elektronischen Handels und der Nachrichten bertragung sowie der Ver wendung von Groupware f r verschiedene Gruppen von Kunden Partnern und internen Mitarbeitern File Transfer Protocol FTP Ein Client Server Protokoll im Internet das zum bertragen von Dateien zwischen Computern benutzt wird Firewall Ein Gateway zwischen Netzen der den Informationsfluss zwischen diesen einschr nkt Normalerweise dienen Firewalls dem Schutz interner Netze gegen die nicht berechtigte Verwendung durch externe Personen FTP File Transfer Protocol Gateway Eine Funktionseinheit mi
152. ess Bei Tivoli PKI die Schritte die zur berpr fung eines Benutzers ausgef hrt werden Durch den Registrierungs prozess werden Benutzer sowie deren ffentliche Schl ssel zertifiziert um sie zur Teilnahme an den gew nschten Transaktionen zu berechtigen Er kann lokal oder Web gest tzt automatisch oder von einer tats chlich mit Perso nen besetzten Registrierungsstelle ausgef hrt werden Registrierungsvariable Siehe Registrierungsattribut RSA Ein auf ffentlichen Schl sseln basierender Verschl sselungsalgorithmus der nach seinen Erfindern Rivest Sha mir und Adelman benannt wurde Er wird zur Verschl sselung und f r digitale Unterschriften verwendet Schema Beim Directory die interne Struktur die zur Definition der Beziehungen zwischen den verschiedenen Objektarten verwendet wird Schl ssel Bei der Verschl sselung ein Wert der zum Ver und Entschl sseln von Informationen verwendet wird Schl sselpaar Zusammengeh rende Schl ssel die bei der asymmetrischen Verschl sselung eingesetzt werden Ein Schl ssel wird zur Verschl sselung der andere zur Entschl sselung verwendet Schl sselpaar aus ffentlichem und privatem Schl ssel Ein Schl sselpaar aus ffentlichem und privatem Schl ssel stellt ein grundlegendes Element der Verschl sselung auf der Basis von Schl sselpaaren dar Diese Form der Verschl sselung wurde im Jahr 1976 von Whitfield Diffie und Martin Hellman eingef hrt um Probleme bei der Schl ss
153. f Klicken Sie auf Fertig stellen und warten Sie bis die Konfiguration abgeschlossen ist Nach Abschluss der Konfiguration ist die neue MRA definiert und einsatzbereit Tivoli PKI Systemverwaltung 45 asiamsusYyeb10 A ANZ u uolguulojuj Pr fsubsystem verwalten Zur Verwaltung des Pr fsubsystems m ssen Sie die Funktion des Pr fadministrators ber nehmen F r einige dieser Verwaltungs Tasks ist ein Kennwort erforderlich Informationen zum ndern des Kennworts f r den Pr fadministrator finden Sie im Abschnitt Der Pr f Server ist ein Tivoli PKI Prozess der Pr fereignisse von Tivoli PKI Komponenten empf ngt und diese in einem Pr fprotokoll aufzeichnet Er befindet sich zusammen mit sei nem DB2 Datenbankexemplar auf einer lokalen oder fernen Maschine Der Pr f Server muss sich auf der gleichen Maschine befinden wie der CA Server Die folgenden Tasks zur Verwaltung des Pr fsubsystems werden beschrieben m Vornahme der folgenden nderungen an der Konfigurationsdatei AuditClient ini mit einem Texteditor m Vornahme der folgenden nderungen an der Konfigurationsdatei AuditServer ini mit einem Texteditor Version 3 Release 7 1 Protokolleintrage anzeigen Sie k nnen sich die Protokolleintr ge in der DB2 Pr fdatenbank mit Hilfe von zwei Tivoli PKI Sichten anzeigen lassen Diese Datenbanksichten zeigen alle derzeit in der Datenbank gespeicherten Protokolleintr ge an Die Protokolleintr ge werd
154. f gung DES und RSA sind die am weitesten verbreiteten Algorithmen f r kommerzi elle Verschl sselungssysteme Aufgrund der Leistungsf higkeit dieser Algorithmen sollten Sie den von Ihnen verwendeten Methoden zur Schl sselverwaltung besondere Aufmerksam keit zukommen lassen Ist die Vertraulichkeit eines Schl ssels nicht mehr gew hrleistet k n nen unter Umst nden Unbefugte auf die mit diesem Schl ssel verschl sselten Daten zugrei fen Der IBM SecureWay 4758 PCI Cryptographic Coprocessor erm glicht mit folgenden Merkmalen die Erweiterung des umfassenden Schutzes f r diese Schl ssel Tivoli PKI Systemverwaltung 73 us un4ayneug E 74 m Dreifache Verschl sselung von Schl sseln mit Hilfe eines speziellen in der dedizierten Hardware gespeicherten Schl ssels m Schutz von Endpunkt zu Endpunkt Daten bertragungen m Programmatisches Definieren von nderbaren Regeln und Profilen m Nutzung eines Zufallsgenerators auf Hardwarebasis zur Erstellung nicht voraus berechenbarer Schliissel Die Verschliisselungsprozesse finden in einem sicheren und abgegrenzten Bereich auf der Karte statt Die Karte ist so ausgelegt dass sie den strengen Anforderungen des Standards FIPS PUB 140 1 Stufe 4 entspricht Innerhalb des sicheren Bereichs kann Software ausge f hrt werden In Tivoli PKI erm glicht der IBM SecureWay 4758 PCI Cryptographic Coprocessor die Generierung von CA und RA Unterschriftsschl sseln Die durch den IBM SecureWay 4758
155. f OK Geben Sie die entsprechende Antwort sobald mit der folgenden Nachricht angefragt wird ob der Schliissel in der Datenbank als Standardschliissel definiert werden soll Do you want to set the key as the default key in the database SchlieBen Sie die GUI fiir die Schliisselverwaltung Geben Sie Folgendes ein um das Verzeichnis zu wechseln cd usr 1pp iau pkrf Domains ihre_dom ne ffnen Sie die Datei httpd RD_0 conf in einem Texteditor Suchen Sie nach allen Exemplaren von SSLServerCert und ersetzen Sie diese durch die Schl sselkennung die Sie in Schritt 17 auf Seite 32 angegeben haben Diese Datei ent h lt zwei Exemplare von SSLServerCert Speichern Sie die Datei und beenden Sie die Datei Stoppen Sie Tivoli PKI Starten Sie Tivoli PKI Tivoli PKI Systemverwaltung 33 asiamsuayabio ANZ u uolguulojuj CA Serverprotokolle pr fen Die Protokolle des CA Servers zeichnen alle Transaktionen mit dem CA Server auf Sie k n nen die Protokolle des CA Servers in der nachfolgend beschriebenen Position priifen Tabelle 4 Protokolle des CA Servers AIX Standardpfad Windows NT Standardpfad Beschreibung usr lpp iau etc TrustAuthority c Program Files IBM Trust F r Protokolldateinamen gilt der Authority etc Trust Authority Stamm caSS log F r jede neue Protokolldatei wird die Erweiterung xnnnnnn inkrementell erh ht 34 CA Serverstatus pr fen Je nach Umgebung k nnen Sie den St
156. f auf die verf g bare Online Hilfe f r jede Produktkomponente Dieses Buch liegt in gedruckter Form vor und wird mit dem Produkt geliefert Tivoli PKI Systemverwaltung xi Systemverwaltung Dieses Handbuch enth lt Basisinformationen zur Verwaltung des Tivoli PKI Sys tems Es beschreibt die Prozeduren zum Starten und Stoppen der Server zum Andern von Kennwortern zum Verwalten der Server Komponenten sowie zum Aus f hren von Pr fungen und Datenintegrit ts berpr fungen Konfiguration Dieses Handbuch enth lt Informationen zur Verwendung des Setup Wizard f r die Konfiguration eines Tivoli PKI Systems Sie k nnen auf die HTML Version dieses Handbuchs zugreifen w hrend Sie die Online Hilfe des Wizards nutzen Registration Authority Desktop Dieses Handbuch enth lt Informationen zur Verwendung von RA Desktop f r die Verwaltung von Zertifikaten w hrend ihres G ltigkeitszeitraums Sie k nnen auf die HTML Version dieses Handbuchs zugreifen w hrend Sie die Online Hilfe des Desk tops nutzen Benutzerhandbuch Dieses Buch enth lt Informationen ber Abruf und Verwaltung von Zertifikaten Es beschreibt wie die Zertifikate mit den Browser Registrierungsformularen von Tivoli PKI angefordert erneuert und widerrufen werden Au erdem erl utert es wie eine Vorabregistrierung f r PKIX kompatible Zertifikate durchgef hrt wird Anpassung Dieses Buch beschreibt wie die Tivoli PKI Registrierungseinrichtung angepasst wird um die Regist
157. fforderung den Befehl DB2 ein 3 Geben Sie an der Eingabeaufforderung folgenden Befehl ein um die Ver bindung zur Datenbank herzustellen connect to pkrfdb In diesem Beispiel wird die Standard Registrierungsdatenbank pkrfdb verwendet b Geben Sie an der DB2 Eingabeaufforderung einen SQL Befehl nach folgendem Muster ein select last_name first_name credential_uuid created_on from requests where last_name IhrNachname and first_name ThrVorname and profile_name like BrowserCert Ist diese Abfrage erfolgreich gibt das System den angeforderten Nachnamen Vornamen die Identit tsnachweis UUID und die Zeitmarke aller entsprechenden Eintr ge zur ck In diesem Beispiel handelt es sich bei den zur ckgegebenen Informationen um Angaben aus dem Anforderungssatz Ihres genehmigten Brow ser Zertifikats c Geben Sie den Befehl quit ein um die DB2 Sitzung zu beenden 3 s Sie die Anweisungen im Abschnitt ab Schritt B aud um das Hinzufiigen des eigenen Benutzerkontos als ersten Registrator abzu schlieBen Registrator hinzuf gen Je nach den von Ihrem Unternehmen festgelegten Regeln kann eine Anforderung zum Hin zuf gen eines Registrators auf verschiedene Weise gestellt werden beispielsweise in Form eines informellen Telefongespr chs oder ber einen formellen Antragsprozess Um als Regis trator berechtigt werden zu k nnen muss der betreffende Benutzer in den meisten Unterneh men zun chst ein SSL Browser Zert
158. fikatswiderrufsliste CRL 1 70 Zertifikate 71 Zertifikate Massenzertifikate erstellen 118 Zertifikatsaussteller CA 65 Zertifikatsverwaltungsereignisse 78 Zertifizierung digitale 1 71 Zertifizierungsregeln Erweiterung 67 Zielgruppe xi Zugriffssteuerungsliste ACL 65 66 Zusammenfassung verwendete Konventionen xiii 162 Version 3 Release 7 1
159. forderung an Tivoli PKI anzufordern BCI kann durch einen RA Administrator auf einem RA Server ausgef hrt werden der mit dem benannten Tivoli PKI System verbunden ist Der Administrator muss eine BCR Da tei Bulk Certificate Request Massenzertifikatsanforderung zur Verfiigung stellen Die BCR Datei enth lt eine Reihe von Datens tzen die jeweils eine eindeutige Kunden ID zusammen mit dem ffentlichen Schl ssel oder der PKCS 10 Zeichenfolge enthalten Au er dem beinhalten diese Datens tze weitere Informationen die zur Ausstellung des digitalen Zertifikats f r diesen Kunden ben tigt werden Bei der Ausstellung von digitalen Zertifikaten generiert BCI eine PKCS 7 Zeichenfolge f r jedes Zertifikat und speichert die Zeichenfolge in der Datenbank pkrf des benannten Tivoli PKI Systems Die PKCS 7 Zeichenfolgen ent halten das Zertifikat und die CA Zertifikatketten BCI stellt die Zertifikate und die Ketten im PKCS 7 Format mit der entsprechenden Kunden ID aus Anforderungsdatei f r Massenzertifikat erstellen F r die Erstellung der BCR Datei Bulk Certificate Request Massenzertifikatsanforderung ist der Administrator zust ndig Die BCR Datei ist eine Texteingabedatei f r BCI die f r jede Zertifikatsanforderung einen Datensatz enth lt Jeder Datensatz enth lt wiederum die Paare aus den Schl sselnamen und Werten f r die Informationen die bei jeder Anforderung ben tigt werden Jeder neue Datensatz in dieser Datei beginnt mit
160. fserver f r neue Verbindungen vom Priif Client empfangsbereit ist So k nnen Sie die Port Werte f r den Pr fserver in der Konfi gurationsdatei des Pr fservers ndern Sa Six hn P Melden Sie sich bei Ihrem Betriebssystem als dE an Laden Sie die Konfigurationsdatei AuditServer ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt Server Port den Parameter acceptor arg ndern Sie den Wert der Port Nummer Speichern Sie die Datei Starten Sie das Tivoli PKI System Stellen Sie sicher dass der ge nderte Server Port an alle lokalen und fernen Dateien vom Typ AuditClient ini weitergegeben wird N here Informationen hierzu finden Sie im Abschnitt Anzahl der Bindtingsversiichez zwischen Pr fserver und Pr f Client ndern So ndern Sie die Anzahl der Bindungsversuche des Pr f Clients Melden Sie sich bei Ihrem Betriebssystem als me an Laden Sie die Konfigurationsdatei AuditServer ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt Server Port den Parameter acceptor init retries 4 5 6 7 Andern Sie den Wert fiir die Bindungsversuche Die Standardeinstellung ist 3 Speichern Sie die Datei Starten Sie das Tivoli PKI System Intervall zwischen Bindungsversuchen andern So ndern Sie das Intervall zwischen den Bindungsversuchen de
161. g der Zuverl ssigkeit von Softwarekomponenten die ber das Internet verteilt werden Common Cryptographic Architecture CCA IBM Software die einen konsistenten Verschl sselungsansatz auf den wichtigsten IBM Computerplattformen bie tet Sie unterst tzt Anwendungssoftware die in einer Vielzahl von Programmiersprachen geschrieben wurde Die Anwendungssoftware kann hierbei die CCA Services aufrufen um eine breite Palette kryptografischer Funktionen einschlie lich der DES und der RSA Verschl sselung auszuf hren Common Data Security Architecture CDSA Eine Initiative zum Definieren eines umfassenden Ansatzes f r Sicherheitsservices und Sicherheitsverwaltungso perationen bei computerbasierten Sicherheitsanwendungen Diese Architektur wurde von Intel entworfen und dient dazu Computerplattformen f r Anwendungen sicherer zu gestalten Common Gateway Interface CGI Ein Standardverfahren zum Ubertragen von Informationen zwischen Web Seiten und Webservern CRL Certificate Revocation List Zertifikatswiderrufsliste CRL Publikationsintervall Dieses Intervall wird in der CA Konfigurationsdatei definiert und gibt das Zeitintervall zwischen zwei Publikatio nen der Zertifikatswiderrufsliste im Directory an Tivoli PKI Systemverwaltung 139 Jesso 5 140 D mon Ein Programm das Tasks im Hintergrund ausf hrt Es wird implizit aufgerufen wenn eine Bedingung auftritt die die Hilfe des D mons erforderlich macht Es ist nicht erfo
162. gen Namen Diese Erweiterung muss als kritisch defi niert werden Regelzuordnung Diese Erweiterung wird nur in CA Zertifikaten verwendet Tivoli PKI definiert diese Erweiterung nicht in Zertifikaten f r die es die urspr ngliche Anforderung erstellt hat Regeleinschr nkungen Diese nur in CA Zertifikaten verwendete Erweiterung kann f r einen der folgenden Zwecke eingesetzt werden Sie kann das Zuordnen von Regeln in Zertifikaten des aktuellen Zertifizierungspfads verhindern oder f r diese Zertifikate spezifische Regeln erforderlich machen CRL Verteilungspunkte Diese Erweiterung gibt an wo sich eine partielle CRL mit Widerrufinformationen zum aktuellen Zertifikat befindet Sie wird gesetzt wenn ein g ltiger Wert ungleich Null f r den Parameter certPerDP in der Datei jonahca ini angegeben wird Informationszugriff fiir Aussteller Diese Erweiterung gibt an wo und wie auf bestimmte Infor mationen zum Aussteller des Zertifikats mit dieser Erweite rung zugegriffen werden kann Diese Erweiterung ist derzeit in von Tivoli PKI erstellten Zertifikaten nicht definiert Allgemeine Erweiterungen Tivoli PKI definiert eine einzelne vom Standard abweichende Erweiterung als allgemeine Erweiterung Diese Erweiterung kann von jedem Unternehmen eingesetzt werden die Tivoli PKI nutzt Es handelt sich hierbei um die Erweiterung f r die Zuordnung der Host Identi t t die den Zertifikatsgegenstand einer e
163. gen kann werden in Tivoli PKI Anfor derungen f r die gegenseitige Zertifizierung nur in einer Richtung unterst tzt Anmerkung Tivoli PKI unterst tzt eine gegenseitige Zertifizierung nur zwischen CAs die das PKIX Zertifikatsverwaltungsprotokoll Certificate Management Protocol CMP einhalten Verwenden Sie f r die gegenseitige Zertifizierung mit einem anderen CA das Tivoli PKI Dienstprogramm CA Certification CACertRq Dieses Dienstprogramm ist ein Befehls zeilen Tool Beim Starten k nnen Sie Optionen f r die Standardzertifikatserweiterung fiir Namenseinschr nkungen definieren Ein kleingeschriebener Buchstabe steht f r die Auf nahme in die Liste zul ssiger Unterverzeichnisstrukturen Ein gro geschriebener Buchstabe steht f r die Aufnahme in die Liste nicht zul ssiger Unterverzeichnisstrukturen In der Regel werden nicht zul ssige Unterverzeichnisstrukturen nur f r einen Adresstyp angegeben f r den auch eine Liste zul ssiger Unterverzeichnisstrukturen existiert Die folgenden Abschnitte beschreiben wie Sie ein CA Zertifikat mit Hilfe des Modells f r die gegenseitige Zertifizierung anfordern k nnen Schritte zur gegenseitigen Zertifizierung Befolgen Sie die nachfolgend beschriebenen Anweisungen um ein CA Zertifikat mit Hilfe der gegenseitigen Zertifizierung anzufordern 1 F hren Sie im Namen des anfordernden CA folgende Schritte gem den Anweisungen zur web gest tzten Registrierung im Tivoli PKI Benutzerhand
164. hliisse lung fiir die RA Datenbank zu aktivieren m Unter AIX 1 Melden Sie sich als root an su root 2 Wechseln Sie in das Unterverzeichnis bin Ihres Installationsverzeichnisses In die sem Beispiel wird der folgende Standardinstallationspfad von Tivoli PKI verwendet cd usr 1pp iau bin 3 F hren Sie das Programm iauEnableRADBSec folgenderma en aus In diesem Bei spiel werden der standardm ige Registrierungsdom nenname und der standard m ige Installationspfad von Tivoli PKI verwendet iauEnableRADBSec d YourDomain r usr 1pp iau 4 Stoppen Sie Tivoli PKI 5 Starten Sie Tivoli PKI m Unter Windows NT 1 2 Melden Sie sich als Tivoli PKI Konfigurationsbenutzer an normalerweise cfguser Wechseln Sie in das Unterverzeichnis hun Ihres Installationsverzeichnisses In die sem Beispiel wird der folgende Standardinstallationspfad von Tivoli PKI verwendet cd c Program Files IBM Trust Authority bin F hren Sie das Programm iauEnableRADBSec folgenderma en aus In diesem Bei spiel werden der standardm ige Registrierungsdom nenname und der standard m ige Installationspfad von Tivoli PKI verwendet iauEnableRADBSec d YourDomain r c Program Files IBM Trust Authority Tivoli PKI Systemverwaltung 39 asiamsuayabio ANZ u uolguuloju RA Server Listener Port andern Der RA Server Listener Port ist der Port an dem die RA f r PKIX Nachrichten empfangs bereit is
165. hmen gemeinsam zugewiesen So fallen beispielsweise alle OIDs die f r den Directory Standard definiert sind unter die gemeinsame CCITT ISO Kategorie 2 und werden der Objektkennungskomponente 5 zuge ordnet Aus diesem Grund beginnen alle OIDs f r Directory Standardobjekte mit dem Pr fix 25 Tivoli PKI Systemverwaltung 81 u Buni lne i3 r 82 Version 3 Release 7 1 Referenzinformationen Dieses Kapitel enth lt Referenzinformationen zu folgenden Themen Informationen zu Parameternamen Beschreibungen und Formaten Es wird angegeben ob die Parameter verbindlich oder optional sind und ob sie konfiguriert werden k nnen m Befchld Syntax und Parameterbeschreibungen f r die Tivoli PKI Befehlszeilendienstprogramme Dieser Abschnitt erl utert die Informationen die in Tivoli PKI Priifereignissen enthalten sind m Priifereien Dieser Abschnitt erl utert Pr fereignisse und gibt an ob ein Ereignis verbindlich oder optional ist m Daten der Pr fdatenhank Dieser Abschnitt beschreibt die Speicherung von Protokolleintr gen in den Tabellen der relationalen Datenbank Hier finden Sie Informationen zu den Feldnamen im Datensatz bzw den Spaltennamen in der Tabelle zu den Speicherorten der Daten sowie Beschrei bungen der Felder und der Datenformate m Eehlerhehebungl Dieser Abschnitt enth lt Informationen zur grundlegenden Fehlerbehebung sowie zur Nachrichtenerstellung auf Debug Stufe Konfigurationsdat
166. hweises aufge treten sind American National Standard Code for Information Interchange ASCII Der Standardcode der f r den Austausch von Informationen zwischen Datenverarbeitungssystemen DFV Syste men und zugeh riger Hardware verwendet wird ASCH verwendet einen codierten Zeichensatz der aus Zeichen von 7 Bit L nge bzw 8 Bit bei Parit tspr fung besteht Der Zeichensatz besteht hierbei aus Steuerzeichen und Schriftzeichen American National Standards Institute ANSI Eine Organisation die die Verfahrensweisen definiert mit deren Hilfe akkreditierte Organisationen freiwillig ein gehaltene Industriestandards in den Vereinigten Staaten festlegen und verwalten Ihr geh ren Hersteller Verbrau cher und allgemeine Interessenvertretungen an Anforderungs ID Ein aus 24 bis 32 Zeichen bestehender ASCII Wert der zur eindeutigen Identifikation einer Zertifikatsan forderung gegen ber der RA dient Dieser Wert kann bei der Transaktion f r die Zertifikatsanforderung verwen det werden um den Status der Anforderung oder des zugeh rigen Zertifikats abzurufen ANSI American National Standards Institute Applet Ein in der Programmiersprache Java geschriebenes Computerprogramm das innerhalb eines Java kompatiblen Webbrowsers ausgef hrt werden kann Wird auch als Java Applet bezeichnet Art Siehe Objektart ASCII American National Standard Code for Information Interchange Tivoli PKI Systemverwaltung 137 Jesso 5 138 ASN 1 Ab
167. i P 1835 Die administrative Port Nummer des CA 1835 p inhibitPolMap Der Wert des Erweiterungsfelds inhibitPolicyMapping Ist diese Option nicht vorhanden lautet der Standardwert 1 W password Das bei der Erzeugung der Vorabregistrierungsdatei eingegebene Kennwort Version 3 Release 7 1 Dienstprogramm Add RA User Mit dem Dienstprogramm Add RA User k nnen Sie der angegebenen Tivoli PKI Regis trierungsdom ne einen administrativen RA Benutzer oder einen Registrator hinzuf gen Anmerkung Wenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der ein gebettete Leerzeichen enth lt m ssen Sie den Pfad in doppelte Anf hrungs zeichen setzen Syntax add_rauser domain_configuration_file domain_name ID access_profile Parameter domain_configuration_file Der absolute Pfad zur Dom nenkonfigurationsdatei domain cfg Diese Datei enth lt einen Abschnitt f r jede im System konfigurierte Registrierungsdom ne Auf diese Weise k nnen Sie das virtuelle Stammverzeichnis der angegebenen Registrierungsdom ne loka lisieren domain_name Der Name der Registrierungsdom ne die der hinzugef gte Registrator verwalten soll ID Entweder die vom Browser zum Zeitpunkt der Zertifikatsanforderung an den Benutzer zur ckgegebene ID oder die Identit tsnachweis UUID die Sie erhalten wenn Sie mit Hilfe von RA Desktop den Zertifikatseintrag des Benutzers anzeigen Wenn Sie den Parameter f r die ID ang
168. ich antwortet indem Sie folgenden Befehl eingeben ServerControl i c k AUDIT n Server p 59998 1 Protokolldatei Hierbei steht Server f r den Namen des Pr f Servers der Port 59998 zugeordnet ist und Protokolldatei f r den Namen der Datei in der die Ergebnisse des Befehls Ser verControl aufgezeichnet werden sollen Ist die Antwort des gepr ften Ports erfolgreich wird folgende Nachricht angezeigt Der Pr f Server wird momentan ausgef hrt Hierbei steht Server f r den Server der dem Tivoli PKI Standard Port 59998 zuge ordnet ist Pr fserverprotokolle pr fen Die Protokolle des Pr f Servers zeichnen alle Transaktionen mit dem Pr f Server auf Sie k nnen die Protokolle des Pr f Servers an den nachfolgend beschriebenen Positionen pr fen Tabelle 7 Protokolle des Pr f Servers AIX Standardpfad Windows NT Standardpfad Beschreibung usr lpp iau logs smevents log c Program Files IBM Trust Authority logs smevents log Das Ereignisprotokoll des Pr f Ser vers zur Aufzeichnung von Pr fereignissen usr Ipp iau logs iausmd log c Program Files IBM Trust Authority logs iausmd log Das Trace Protokoll des Pr f Servers zur Aufzeichnung von Programm aktivit ten usr Ipp iau logs iausmd err c Program Files IBM Trust Authority logs iausmd err Das Fehlerprotokoll des Priif Servers zur Aufzeichnung von Fehlernach richten Tivoli PKI Systemverwaltung
169. ie enthaltenen Daten anzuzeigen Als Directory kann ein vorhandener Server oder ein speziell f r Tivoli PKI installierter und konfigurierter Server dienen Objektkennungen Eine Objektkennung OID Object Identifier ist ein Wert der sich von allen hnlichen Werten unterscheidet und der einem Objekt zugeordnet ist Jede gem ASN 1 definierte OID bildet einen Knoten einer Baumstruktur hnlich wie bei DIT Eine Objektkennungs baumstruktur ist eine Baumstruktur deren Stamm den ITU Empfehlungen X 680 entspricht Die Scheitelpunkte entsprechen Administratorberechtigungen f r die Zuordnung von B gen Segmenten die zwei Scheitelpunkte verbinden von diesem Scheitelpunkt ein Punkt der sich am Ende eines Bogens oder am Schnittpunkt von B gen befinden kann Jeder Bogen in der Baumstruktur ist durch eine Objektkennungskomponente ein numeri scher Wert gekennzeichnet Jedes zu unterzeichnende Objekt ist genau einem Scheitelpunkt in der Regel ein Blatt des Baums zugeordnet Kein anderes Objekt der gleichen oder einer anderen Art wird diesem Scheitelpunkt zugeordnet Aus diesem Grund wird ein Objekt ein deutig durch die Reihenfolge der numerischen Werte Objektkennungskomponenten der B gen vom Stamm bis zum Scheitelpunkt des Objekts unterzeichnet Direkt unterhalb des Stamms werden derzeit drei Werte definiert Sie lauten 0 1 und 2 m 0 wird CCITT Empfehlungen zugewiesen m 1 wird ISO Empfehlungen zugewiesen m 2 wird beiden Unterne
170. ie Syntax fiir einen solchen Befehl sieht folgenderma en aus CACertRq m h r vorabregistrierungspfad P 1835 W kennwort Wenn Sie den Befehl f r das Dienstprogramm CA Certification ausf hren wird die auf diese Weise aufgebaute Hierarchie in den folgenden Dateien gespeichert m CAChain P7b m RAsCopyOfCAChain P7b m CAChain b64 m RAsCopyOfCAChain b64 Die folgenden Abschnitte beschreiben wie Sie ein CA Zertifikat mit Hilfe des Hierarchie modells anfordern k nnen Tivoli PKI Systemverwaltung 25 asiamsuayabio ANZ u uolguuilojuj Schritte zum Anfordern eines CA Zertifikats in einer Hierarchie Befolgen Sie die nachfolgend beschriebenen Anweisungen um ein CA Zertifikat mit Hilfe des Hierarchiemodells anzufordern 1 F hren Sie im Namen des anfordernden CA folgende Schritte gem den Anweisungen zur web gest tzten Registrierung im Tivoli PKI Benutzerhandbuch aus a F hren Sie eine Vorabregistrierung aus und geben Sie an dass die Anforderung f r einen CA erfolgt Achten Sie beim Ausf llen des Registrierungsformulars darauf einen registrierten Namen DN einzugeben der mit dem des anfordernden CA bereinstimmt b Pr fen Sie den Status der Registrierungsanforderung c Befolgen Sie die Anweisung am Ende des Abschnitts um die Vorabregistrierungsdatei zu speichern 2 bertragen Sie die Vorabregistrierungsdatei auf die Maschine auf der sich der anfor dernde CA der Hierarchie befindet 3 Mel
171. ie und der Fremd CA daf r sorgen dass Sicherheit und Integrit t der Antwortdatei gew hrleistet Version 3 Release 7 1 sind Speichern Sie die Antwortdatei in einem beliebigen Verzeichnis und stellen Sie sicher dass das Benutzerkonto cfguser zum Lesezugriff auf die Datei berechtigt ist 3 F hren Sie das Dienstprogramm CA Certification aus um die Antwortdatei vom Fremd CA zu verarbeiten F hren Sie den Befehl CACertRq mit dem Parameter P aus nach dem Sie die Nummer des Verwaltungs Ports f r den CA angeben Verwenden Sie au erdem den Parameter S gefolgt vom vollst ndigen Pfad der Antwortdatei Mit diesem Schritt werden au erdem die Dateien CAChain p7b CAChain b64 RAsCopyOfCAChain p7b und RAsCopyOfCAChain b64 aktualisiert Aktualisierungen nach nderung der CA Hierarchie vornehmen Immer dann wenn Sie den Unterzeichner Ihrer Zertifikate ndern indem Sie entweder die interne oder die bergeordnete Hierarchie ndern m ssen Sie diese nderungen f r jede einzelne RA anlegen Beim ndern der Hierarchie wird die neue Hierarchiestruktur in die Dateien CAChain p7b RAsCopyOfCAChain p7b CAChain b64 und RAsCopyOfCAChain b64 geschrieben Die Dateien CAChain xxx k nnen sofort verwen det werden Die neuen Dateien RAsCopyOfCAChain xxx m ssen jedoch zun chst an alle RAs bertragen werden die unter diesem CA ausgef hrt werden Die neuen Dateien RAs CopyOfCA
172. ieb optimiert sind Die Java Umgebung besteht aus dem Java Betriebssystem Java OS den virtuellen Maschinen f r verschiedene Plattformen der objektorientierten Java Programmiersprache und einer Reihe von Klassenbibliotheken Java Anwendung Ein eigenst ndiges Programm das in der Programmiersprache Java geschrieben ist Es wird au erhalb eines Web Browsers ausgef hrt Java Applet Siehe Applet Gegensatz zu Java Anwendung Java Klasse Eine Einheit mit Java Programmcode Java Sprache Eine von Sun Microsystems entwickelte Programmiersprache die speziell f r die Verwendung in Applet und Agent Anwendungen konzipiert wurde Java Virtual Machine JVM Der Teil der Java Laufzeitumgebung der zum Interpretieren von Bytecodes eingesetzt wird KeyStore Schl sselspeicher Eine DL zum Speichern von Identit tsnachweisen f r Tivoli PKI Komponenten z B Schl ssel und Zertifikate in einem verschl sselten Format Klartext Nicht verschl sselte Daten Synonym zu unverschl sselter Text Version 3 Release 7 1 Klasse Beim objektorientierten Entwurf bzw bei der objektorientierten Programmierung eine Gruppe von Objekten die ber eine gemeinsame Definition verfiigen und aus diesem Grund mit denselben Merkmalen Verarbeitungs operationen und Funktionsweisen arbeiten Kryptographie Bei der Sicherung von Computern die Prinzipien Verfahren und Methoden zur Verschliisselung von unverschliis seltem und zur Entschliisselung von verschl
173. ifikat erhalten Benutzer k nnen Browser Zertifikate anfordern indem Sie die browser gest tzten Standardregistrierungsanweisungen im Tivoli PKI Benutzerhandbuch befolgen Tivoli PKI bietet zum Hinzuf gen von Registratoren das Befehlszeilendienstprogramm add_rauser Die Syntax dieses Befehls wird im Abschnitt erl utert So k nnen Sie nach Erhalt einer Anforderung dem System einen Registrator hinzuf gen 1 Pr fen Sie den Status der Anforderung des SSL Browser Zertifikats des zuk nftigen Registrators Greifen Sie hierzu auf RA Desktop zu und befolgen Sie die im Handbuch Tivoli PKI Registration Authority Desktop dokumentierten Prozeduren um eine Abfrage zu berge ben und die Ergebnisse anzuzeigen 2 Wurde ein Zertifikat ausgestellt notieren Sie die ihm zugeordnete Identit tsnachweis UUID Tivoli PKI Systemverwaltung 37 s msu y 1oA ANZ u uolguulojuj Anmerkung Sie k nnen auch die Anforderungs ID verwenden die w hrend einer erfolgreichen Browser Registrierung f r ein Zertifikat generiert wurde Um die Identit tsnachweis UUID zu erhalten lokalisieren Sie den Datenbankeintrag f r das genehmigte Zertifikat und zeigen Sie die Attribute dieses Eintrags an Sie ben tigen das Attribut der Identit tsnachweis UUID das Sie als einen Parameter des Befehls add_rauser verwenden m ssen 3 F hren Sie je nach Umgebung einen der folgenden Schritte aus m Unter AIX a Wechseln Sie in das Stammverz
174. iisseltem Text LDAP Lightweight Directory Access Protocol Lightweight Directory Access Protocol LDAP Ein Protokoll mit dem auf das Directory zugegriffen werden kann Liste der ausgestellten Zertifikate ICL Eine vollst ndige Liste der ausgestellten Zertifikate sowie deren aktueller Status Die Zertifikate sind anhand der Seriennummer und des Status indexiert Diese Liste wird vom CA verwaltet und in der CA Datenbank gespei chert MAC Message Authentication Code Nachrichtenauthentifizierungscode MD4 Eine Nachrichtenauszugs Hash Funktion auf 128 Bit Basis die von Ron Rivest entwickelt wurde Ihre Geschwin digkeit bersteigt die von MD2 um ein Mehrfaches MD5 Eine unidirektionale Nachrichtenauszugs Hash Funktion die von Ron Rivest entwickelt wurde Sie stellt eine ver besserte Version von MD4 dar MD5 verarbeitet Eingabetext in 512 Bit Bl cken die in 16 32 Bit Unterbl cke aufgeteilt werden Die Ausgabe des Algorithmus ist eine Gruppe von vier 32 Bit Bl cken die verkettet werden und so einen 128 Bit Hash Wert bilden Diese Funktion wird ebenfalls zusammen mit MD2 in dem PEM Proto kollen verwendet MD2 Eine Nachrichtenauszugs Hash Funktion auf 128 Bit Basis die von Ron Rivest entwickelt wurde Sie wird zusammen mit MD5 in den PEM Protokollen verwendet Modulus In dem auf ffentlichen Schl sseln basierenden RSA Verschl sselungssystem das Produkt n aus zwei hohen Primzahlen p und q Die optimale Gr e f r einen R
175. ikat enth lt in diesem Fall keine Angaben ber die Hierarchie dieses CA Daher kann bei der Berechtigung des Zertifikats lediglich die Tatsache ermittelt werden dass das Zertifi kat durch diesen CA unterzeichnet wurde Bei einer bergabe der Trust Kette enth lt hinge gen jedes ausgestellte Zertifikat die gesamte Trust Hierarchie des unterzeichnenden CA Auf diese Weise kann das Zertifikat in der gesamten Hierarchie des CA berechtigt werden Die bergabe der Trust Kette kann je nach den Anforderungen des Administrators aktiviert oder inaktiviert werden Weitere Informationen dazu wie Sie die bergabe der Trust Kette akti Wenn die bergabe der Trust Kette aktiviert ist werden Trust Ketten an den ein Zertifikat Anfordernden bergeben sobald ein Zertifikat ausgestellt wird Die Trust Kette muss ein Mal f r jeden Browser oder Server heruntergeladen werden IBM SecureWay 4758 PCI Cryptographic Coprocessor Der IBM SecureWay 4758 PCI Cryptographic Coprocessor ist eine programmierbare PCI Bus Verschl sselungskarte mit Manipulationsschutz die zur Gew hrleistung der Vertraulich keit und Integrit t des Unterschriftsschl ssels Ihres Unternehmens beitr gt Diese Hardware wird auch als Hardwaresicherheitsmodul Hardware Security Module HSM bezeichnet Diese Karte verwendet die API der IBM Common Cryptographic Architecture CCA und stellt umfassende Verschl sselungsservices einschlie lich DES und RSA Verschl sselung zur Ver
176. im Web A s saa wow ads wap upa anne ae xiii Kapitel 1 Informationen zu Tivoli PKI 1 Kapitel 2 Ubersicht nun nun nn nnnn nennen nennen 3 Kapitel 3 Informationen zur Vorgehensweise 5 Tivoli PKI vepwalten re E cis terp heh ee be ee Peed ra ae ee 5 Befehle unter Windows NT engeben eee 5 Tivoli PKI Kennw rter ndern e 5 Serverkomponenten starten und stoppen 8 Tivoli PKI IP Adressen ndern 10 System sichern und wiederherstellen 10 Anzahl von Benutzern und Zertifikaten berwachen 11 Zertifikataktivit t berwachen 12 WebSphere Application Server verwalten 14 Status des WebSphere Application Server pr fen 14 WebSphere Application Server Protokolle pr fen _ _ 15 HTTP Server verwalten s 2 0 dE EE ernsten den 15 Status des HTTP Server pr fen cua sama esci Cuma nennen saqsa amis nennen 16 HTTP Server Protokolle pr fen uu sa eu eee nenn 17 CA Server Vyerwalien EE 17 Listener Port des CA Servers ndern 18 CA Sendeaufrufintervall ndern 2 eee eee eens 18 ERL Einstellungen ndem UE ee ene di piniad skt eee ENN eee eee ee ee ba uq 19 ICL Schutzregel ndern u z y uyu wu Cam ein ea 20 ICL Schutzschl ssel ndern u l sss eee eee eee 20 Integrit t der CA Serverdaten
177. immung auch wenn andere RDNs vorhanden sind Anmerkung Wenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der eingebettete Leerzeichen enth lt m ssen Sie den Pfad in doppelte Anf h rungszeichen setzen h Gibt an dass die Zertifikatsanforderung das hierarchische Sicherungsmodell verwendet H filename Erstellt eine Antwortdatei im PKCS 7 Format fiir einen Fremd CA Auf diese Weise wird eine Abwartshierarchie erstellt m Gibt an dass die Erweiterung f r Namenseinschr nkungen Name Constraints aus dem Zertifikat ausgeschlossen wird C filename Gibt den Namen der Datei an in die die bin rcodierte Anforderung PKCS 10 geschrie ben wird Die Parameter C und B schlie en sich gegenseitig aus B filename Gibt den Namen der Datei an in die die Base 64 bin rcodierte Anforderung PKCS 10 geschrieben wird Die Parameter C und B schlie en sich gegenseitig aus S filename Gibt den Namen der Datei an die die Antwort f r PKCS 7 enth lt e EI In Kombination mit dem Parameter H geben diese Parameter an in welchem Format die Antwortdatei erstellt werden soll Bin r oder base64 Format Bei Verwendung des Parameters e wird die Antwortdatei im Bin rformat erstellt bei Verwendung des Para meters E wird sie im base64 Format erstellt E r preregistrationpath Der Pfadname der vom ausstellenden System erzeugten Vorabregistrierungsdate
178. in der korrekten Reihenfolge einge geben werden Konfigurationsdatei f r CA Server enth lt eine Beschreibung der Parameter der Konfigurationsdatei f r CA Server jonahca ini Tivoli PKI Systemverwaltung 85 USUONEULIOJUN ZU919J9H G sry 4 ypu sy or od119O pruyosqy w oumN I1od Inj UION TYT GIO u sgesurg orp any Jardstog A1J04 oT AW or od119O niuyosqy utr ureN I od Any UION LLOVET GIO Tours sgesurg orp ny ords og KolOg N umN EL99 L EESELL OFF TI SISEALIOMUUSY NE OVW WI GIO VINPese qpiomssed umN 776 T6HSellorsT JeqtJnioZ 60 X MJ GIO JE9UJn19O 60SX umN TOT ZI LT 6rSEll Or8 TI Sydseyyossniysg MJ CIO Seqhoy 7 soyd UION TOPZLUT6PSCIL OVS TI Iose gZ MJ GIO Sequieo Z soyd UION ULV 6rS ell 0r8 TI L SOMd NY AIO ejep soyd dpoossuNAIIZINUSYINeUDIYOLIYIeN UION TISSSTIEI yseH T VHS 3 GIO eys seuy UION ITTEHTEI I VHS 201 GIO jeys Zunjos UION STT6PSEITOPS I steig Mur T VHS WJ GIO uondAmugVSAUMT eys umN UT T6HSEITOrS TI Sun ssn uosi A VS3I AN AIO uondArugesi UION EFOFOOL 0rF8 TI I VHS Mur ysa mJ GIO JEUS YIIM BSp pI umN 170001 078 TI ve 14 GIO esp pI UION ST L001 000076 TrET 6 0 ajuouodwoyuouRWog IN GIO 0d UION US IUL Ny GIO L UION SYST pue s pung 201 AIO LS UION LYST HO 201 GIO UION EPST Vom uuowose mj AIO NO umN IPS u ourg ur lun ny AIO N0 UION OPS u ourg ur lun ny AIO
179. inheit Der ffentliche HTTP Server der von einer bestimmten Registrierungsdom ne verwendet wird um Anforderun gen der Client Anwendung von Tivoli PKI zu empfangen Privacy Enhanced Mail PEM Der vom Internet Architect Board IAB genehmigte Internet Standard f r die verbesserte Wahrung der Vertrau lichkeit der die sichere bertragung elektronischer Post E Mail ber das Internet erm glicht Die PEM Proto kolle regeln Verschl sselung Authentifizierung Nachrichtenintegrit t und Schl sselverwaltung Privater Schl ssel In einem Paar aus einem ffentlichen und einem privaten Schl ssel steht dieser Schl ssel nur f r seinen Eigner zur Verf gung Er erm glicht dem Eigner das Empfangen einer privaten Transaktion oder eine digitale Unter schrift Die mit einem privaten Schl ssel unterzeichneten Daten k nnen nur mit dem entsprechenden ffentlichen Schl ssel gepr ft werden Gegensatz zu ffentlicher Schl ssel Siehe auch Schl sselpaar aus ffentlichem und pri vatem Schl ssel Protokoll Eine vereinbarte Konvention f r die Kommunikation zwischen Computern Protokollierungssubsystem Bei Tivoli PKI ein Subsystem das die Unterst tzungsfunktionen zum Protokollieren von sicherheitsrelevanten Aktionen bereitstellt Es entspricht den Empfehlungen die im X9 57 Standard unter Public Key Cryptography for the Financial Services Industry definiert wurden Proxy Server Eine Einheit die zwischen einem Computer der eine Zugriffsanf
180. intr ge suchen Anweisungen zum Suchen nach Protokolleintr gen finden Sie im Handbuch BM DB2 Uni versal Database SOL Reference Pr fserver Port auf dem Pr f Client ndern Der Pr fserver Port ist der Port an dem der Pr fserver f r neue Verbindungen vom Pr f Client empfangsbereit ist F r eine effiziente Kommunikation zwischen Pr f Client und Pr f Server muss der Pr f Client ber den korrekten Port des Pr f Servers verf gen So ndern Sie um die Werte f r den Port des Pr fservers in der Konfigurationsdatei des Pr f Clients 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das Tivoli PKI System Lesen Sie 3 Laden Sie die Konfigurationsdatei AuditClient ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt Connection den Parameter Port ndern Sie den Wert f r den Port des Pr fservers Speichern Sie die Datei Starten Sie das Tivoli PKI System Sp Ar Stellen Sie sicher dass der ge nderte Port Wert dem Wert des Parameters acceptor arg in der Datei AuditServer ini entspricht Diese Datei befindet sich auf dem Pr f Server Sendeart f r Ereignisse vom Pr f Client ndern Der Pr f Client sendet Pr fereignisse an den Pr f Server Sie k nnen das Senden bestimmter Ereignisse an den Pr f Server unterbinden indem Sie in der Datei AuditClient ini eine Pr fmaske definieren Einige
181. istrators ein Die Ergebnisse werden auf der Standardausgabeeinheit angezeigt Die Archivierungsdatei erh lt die Erweiterung ixf Informationen zur Befehlssyntax und Parameterbeschreibungen finden Sie im Abschnitt Integrit t der Datenbank des Pr fservers und der Archivierungsda teien pr fen Tivoli PKI bietet ein Befehlszeilendienstprogramm mit dem die Datenbank des Pr f Servers und die archivierten Pr fdateien auf Manipulationen gepr ft werden k nnen Dieses Tool tr gt die Bezeichnung Audit Integrity Check Anmerkung Das Tivoli PKI System muss vor der Ausf hrung dieses Dienstprogramms nicht heruntergefahren werden Tivoli PKI Systemverwaltung 55 s msu y 1oA ANZ u uolguulojuj 56 Mit diesem Dienstprogramm Konnen Sie Manipulationen in den nachfolgenden Daten Repo sitories lokalisieren Sie werden in jedem Fall zur Eingabe des Kennworts fiir den Priifadmi nistrator KeyStore PIN aufgefordert m Datenbank des Pr f Servers m Eine oder mehrere Pr f Server Archivierungsdateien m Alle Archivierungsdateien in einem bestimmten Verzeichnis Angenommen Sie verwenden AIX und den Tivoli PKI Standardpfad f r Konfigurations dateien Melden Sie sich bei Tivoli PKI als Konfigurationsbenutzer cfguser an der Maschine an auf der die Tivoli PKI CA und Pr f Server Komponente installiert ist Sie m chten die nachfolgenden Komponenten nach Manipulationen durchsuchen m So pr fen Sie die Datenbank
182. it dem Dienstprogramm CA Certification Durch die Verwendung des Parameters m wird die Erweiterung f r Namens einschr nkungen Name Constraints aus dem resultierenden CA Zertifikat ausgeschlossen Das Exemplar eines solchen Befehls k nnte beispielsweise folgenderma en aussehen CACertRq m h r c Program Files IBM Trust Authority ccprereg reg P 1835 W Secure99 Verwenden Sie mit dem Dienstprogramm CA Certification keine der folgen den Befehlszeilenoptionen f r Namenseinschr nkungen m i oder I d oder D u oder U n oder N m oder M Syntax Die Syntax fiir dieses Dienstprogramm lautet wie folgt CACertRq i ipAddressMask I ipAddressMask d dns D dns m emailAddress TN emailAddress u uri U uri n directoryName N directoryName p inhibitPolMap h m H filename e E C filename B filename 112 Version 3 Release 7 1 S filenames r preregistrationpath P 1835 W password Parameter i ipAddressMask LI ipAddressMask Die IP Adressmaske IP Internet Protocol im CDIF Format Der kleingeschriebene Parameter i f gt die angegebene IP Adressmaske der Liste zul ssiger Unter verzeichnisstrukturen hinzu Der groBgeschriebene Parameter I entspricht dem klein geschriebenen Parameter Die angegebene IP Adressmaske wird jedoch der Liste unzu l ssiger Unterverzeichnisstrukturen hinzugef gt Die Maske des Unternehmens X lautet beispielsw
183. komponente des Web Servers Tivoli PKI verwendet mehrere HTTP D monen Diese HTTP D monexemplare verwalten ffentliche verschl sselte sowie vom Client authentifizierte und verschl sselte Verbindungen Detaillierte Informationen zu Web Servern und zu den ver schiedenen Verbindungsarten die in Tivoli PKI zur Verwaltung unterschiedlicher Transaktio nen eingesetzt werden finden Sie im Abschnitt Tivoli PKI Systemverwaltung 15 Bs amsusya on ANZ U9OUONEWIOJUL 16 Status des HTTP Server pr fen Je nach Umgebung k nnen Sie den Status des HTTP Server mit folgenden Prozeduren pr fen m Unter AIX 1 Melden Sie sich bei AIX als Root an 2 Pr fen Sie die Prozesstabelle und suchen Sie nach folgender Zeichenfolge sidd einmal httpd mindestens zweimal Sind diese drei Prozesse vorhanden fahren Sie mit Schritt Bl fort Sind nicht alle die ser drei Prozesse vorhanden lesen Sie bitte im Abschnitt nach Wechseln Sie in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standard pfad usr pp iau bin Priifen Sie die Ports indem Sie fiir jeden Port folgenden Befehl eingeben checkSrvPortStatus p Port s Server rl wl i Hierbei steht Port fiir die Nummer des zu priifenden Ports und Server fiir den Namen des zugeordneten HTTP Servers Eine bersicht der standardm igen HTTP Server und Port Konfigurationen von Tivoli PKI finden Sie in FTahalle 11 auf Seil Ist die Antwort des gepr
184. l CfgPostInstall mit dem Parameter m gefolgt vom Namen der Datei mraConfig dat aus Weitere Informationen zum Befehl Cfg PostInstall finden Sie unter L Beie S eite 112 Der Befehl CfePostlnstall nimmt anhand der Informationen in der Datei mraConfig dat eine Anpas sung der Anzeigen im Setup Wizard vor und erm glicht die Erstellung einer MRA Setup Wizard auf MRA Server ausf hren Als N chstes muss der Setup Wizard auf der MRA Maschine ausgef hrt werden Hierzu starten Sie den Browser und geben Sie die Adresse des MRA Servers ein z B https webserver tivoli com Im Browser wird dieselbe Seite angezeigt die auch bei der Konfiguration des ersten CA bzw der ersten RA verwendet wird Befolgen Sie die Anwei sungen auf der Seite um die Datei swingall jar herunterzuladen und klicken Sie anschlie Bend auf den Link zum Setup Wizard Der Setup Wizard stellt automatisch fest dass der erste Abschnitt einer MRA Installation vorliegt und erm glicht Ihnen die Anpassung und Best tigung der Parameter f r die MRA Sobald die Verarbeitung des Setup Wizard beendet ist erstellt er eine Vorabregistrierungsdatei f r die MRA Der Setup Wizard zeigt den Pfad an in dem die Vorabregistrierungsdatei gespeichert wurde Vorabregistrierungsdatei an CA Server bertragen Die Vorabregistrierungsdatei enth lt Informationen zur MRA die Sie definieren Diese Infor mationen werden durch den CA verarbeitet und dienen zur
185. lesen werden kann Syntax Die Syntax dieses Befehls lautet wie folgt bciin berf Parameter berf Der Name der BCR Datei die verarbeitet werden soll Wenn sich die BCR Datei nicht in demselben Verzeichnis wie der Befehl beiin befindet muss der vollst ndige Pfad der BCR Datei angegeben werden Beispiel bciin usr berf northbank01142001 txt Befehl bcirunstart Der Befehl beirunstart ruft die Routine beirun auf die die Zertifikatsanforderungen gene riert sie an den CA sendet und die PKCS 7 Zeichenfolge f r die zur ckgegebenen Zertifi kate erstellt Die Routine beirun zeichnet den Status der Zertifikatsanforderungen in der Tivoli PKI Systemverwaltung 121 USUONEWIOJUN ZU919J9H G Tabelle f r BCI Anforderungen BCIRT der Datenbank PKRF auf die Sie Jederzeit mit dem Befehl bcireport anzeigen k nnen Falls die Anforderung zur ckgewiesen wird wird ihr Status auf BCIREJECTED gesetzt Sind die Daten des ffentlichen Schl ssels falsch wird der Status auf BCIPUBLICKEYERROR gesetzt Syntax Die Syntax dieses Befehls lautet wie folgt bcirunstart batchID TPKI password Parameter batchID Die Stapel ID die als Wert fiir den Parameter BATCHID in der BCR Datei angegeben wurde TPKI password Das TPKI Kennwort ist das Steuerungskennwort f r das Tivoli PKI System Beispiel bceirunstart BCI200101140043 adpass23 Befehl bcipost Bei der Ausf hrung nimmt der Befehl beipost zw
186. li PKI im Web Kunden von Tivoli und IBM Tivoli k nnen f r alle Sicherheitsprodukte von Tivoli und zu Tivoli PKI Onlineinformationen erhalten Wichtige Angaben zu den aktuellsten Produktaktualisierungen und Serviceinformationen f r Tivoli PKI finden Sie auf der folgenden Website Tivoli PKI Systemverwaltung xiii xiv Version 3 Release 7 1 Informationen zu Tivoli PKI Dank Tivoli Public Key Infrastructure Tivoli PKI wird die Authentifizierung von Benutzern und die Bereitstellung von gesicherter Kommunikation durch Anwendungen m glich Unternehmen k nnen digitale Zertifikate in bereinstimmung mit ihren Registrierungs und Zertifizierungsrichtlinien ausstellen publizieren und verwalten Unterst tzung f r PKIX Public Key Infrastructure for X 509 Version 3 und CDSA Verschl sselungsstandards CDSA Common Data Security Architecture zur Realisie rung der Interoperabilit t zwischen verschiedenen Lieferanten und Herstellern Digitale Unterzeichnung und gesicherte Protokolle zur Authentifizierung aller an einer Transaktion beteiligten Parteien Optimale Flexibilit t durch Browser basierte Registrierungseinrichtungen Gew hrleistung der Vertraulichkeit durch verschl sselte Kommunikation und gesicherte Speicherung der Registrierungsinformationen Ein Tivoli PKI System kann auf IBM AIX 6000 und Microsoft Windows NT Server plattformen ausgef hrt werden Es umfasst die folgenden wichtigen Funktionen Ein anerkannter
187. lie end wird die Datei unterzeichnet Alle Pr fs tze werden nach erfolgreicher Archivierung aus der Datenbank entfernt wenn die Option n nicht ange geben wird Anmerkung Das Tivoli PKI System muss vor der Ausf hrung dieses Dienstprogramms nicht heruntergefahren werden Angenommen Sie verwenden den standardm igen Tivoli PKI Installationspfad Sie m ch ten die aktuellen Pr fs tze der Datenbank des Pr f Servers in der Datei meine datei archi vieren und diese Datei unterzeichnen Die Pr fs tze sollen jedoch nicht aus der Datenbank entfernt werden Gehen Sie wie folgt vor 1 Melden Sie sich bei Tivoli PKI als Konfigurationsbenutzer an der Maschine an auf der die Tivoli PKI CA und Pr f Server Komponente installiert ist Der empfohlene Benutzername der gleichzeitig auch der Standardbenutzername ist lau tet efguser Wenn Tivoli PKI unter Windows NT installiert ist wurde vom jeweiligen Unternehmen m glicherweise ein anderer Benutzername verwendet 2 Geben Sie in der Befehlszeile Ihrer Umgebung folgenden Befehl ein m Unter AIX AuditArchiveAndSign c usr 1pp iau etc TrustAuthority AuditServer ini n usr 1pp iau arc meine datei m Unter Windows NT AuditArchiveAndSign c d Program Files IBM Trust Authority etc TrustAuthority AuditServer ini n d Program Files IBM Trust Authority arc meine datei 3 Wenn das System Sie zur Eingabe eines Kennworts KeyStore PIN auffordert geben Sie das Kennwort des Pr fadmin
188. lige_Nummer Anmerkung In der gelieferten Form Der Abschnitt Eehlerhe protokolliert der RA Server nicht die EES 2 enth lt Asien und Informationen zu emp fohlenen Stufen wenn Sie die RA Server Protokollierung auf Debug Stufe aktivieren wollen RA Serverstatus pr fen Je nach Umgebung k nnen Sie den Status des RA Servers mit folgenden Prozeduren pr fen m Unter AIX 1 Melden Sie sich bei AIX als Root an 2 Pr fen Sie die Prozesstabelle und suchen Sie nach folgender Zeichenfolge irgrasvr Finden Sie diesen Prozess fahren Sie mit Schritt Bl fort Finden Sie diesen Prozess nicht lesen Sie bitte im Abschnitt Fehlerbehe eite nach 3 Wechseln Sie in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standard pfad usr lpp iau bin Tivoli PKI Systemverwaltung 41 s msu y 1oA ANZ u uolguulojuj 4 Stellen Sie sicher dass Port 29783 erfolgreich antwortet und geben Sie hierzu fol genden Befehl ein ServerControl i c k RA n Server p 29783 1 Protokolldatei Hierbei steht Server f r den Namen des RA Servers der Port 29783 zugeordnet ist und Protokolldatei fiir den Namen der Datei in der die Ergebnisse des Befehls Ser verControl aufeezeichnet werden sollen Ist die Antwort des gepr ften Ports erfolgreich wird folgende Nachricht angezeigt Es wurde festgestellt dass der RA Service auf dem Server am Anschluss 29783 ausgef hrt wird Hierbei steht Ser
189. lt Informationen ber die Entit t die von ihm zertifiziert wird gibt an ob es sich um eine Person eine Maschine oder ein Computerprogramm handelt und enth lt als Teil dieser Informationen den zertifi zierten ffentlichen Schl ssel dieser Entit t Digitale Unterschrift Eine codierte Nachricht die an Dokumente oder Daten angef gt wird und die Identit t des Absenders nachweist Eine digitale Unterschrift gew hrleistet ein h heres Ma an Sicherheit als eine physische Unterschrift da es sich hierbei nicht lediglich um einen verschl sselten Namen oder eine Reihe einfacher Identifikationscodes handelt Eine digitale Unterschrift enth lt eine verschl sselte Zusammenfassung der unterzeichneten Nachricht Durch das Anf gen einer digitalen Unterschrift an eine Nachricht l sst sich der Absender also zweifelsfrei feststellen Die Unterschrift kann nur mit Hilfe des Schl ssels des Absenders erstellt werden Au erdem erm glicht sie die Absi cherung des Inhalts der unterzeichneten Nachricht da die verschl sselte Nachrichtenzusammenfassung mit dem Nachrichteninhalt bereinstimmen muss Andernfalls wird die Unterschrift nicht als g ltig identifiziert Eine digi Version 3 Release 7 1 tale Unterschrift kann also nicht von einer Nachricht kopiert und f r eine andere Nachricht verwendet werden da sonst die Zusammenfassung Hash Code nicht bereinstimmen wiirde Alle Anderungen an der unterzeichneten Nachricht f hren automatisch zum Ver
190. lust der G ltigkeit der Unterschrift Digitale Zertifizierung Siehe Zertifizierung Digital Signature Algorithm DSA Ein auf ffentlichen Schl sseln basierender Algorithmus der zum Standard f r digitale Unterschriften Digital Signature Standard DSS geh rt Er kann nur f r digitale Unterschriften jedoch nicht f r die Verschl sselung verwendet werden Directory Eine hierarchische Struktur die als globales Repository f r Informationen zur Datenkommunikation wie bei spielsweise E Mail oder Austausch von verschl sselten Daten konzipiert ist Im Directory werden bestimmte Ele mente gespeichert die f r die PKI Struktur PKI Public Key Infrastructure unbedingt erforderlich sind Hierzu geh ren die folgenden Elemente ffentliche Schl ssel Zertifikate und Zertifikatswiderrufslisten CRLs Die Daten im Directory sind hierarchisch in einer Baumstruktur organisiert wobei die oberste Ebene der Baum struktur das Root Verzeichnis ist H ufig stehen Organisationen einer h heren Ebene f r einzelne L nder Regie rungen oder Unternehmen Benutzer oder Einheiten werden im Allgemeinen als Bl tter einer solchen Baum struktur dargestellt Diese Benutzer Organisationen Standorte L nder und Einheiten haben jeweils ihren eigenen Eintrag Jeder Eintrag besteht aus Attributen denen verschiedene Typen zugewiesen sind Diese enthalten Infor mationen zu den Objekten f r die der jeweilige Eintrag steht Jeder Eintrag im Directory ist
191. mit dem entsprechenden privaten Schl ssel entschl sselt werden Gegensatz zu Privater Schl ssel Siehe auch Schl sselpaar aus ffentlichem und privatem Schl ssel Open Database Connectivity ODBC Ein Standard f r den Zugriff auf unterschiedliche Datenbanksysteme Open Systems Interconnect OSI Der Name der von ISO genehmigten Computernetzstandards OSI Open Systems Interconnect PC Karte Eine mit einer Smart Card vergleichbare Einheit die auch als PCMCIA Karte bezeichnet wird Sie ist etwas gr Ber als eine Smart Card und verf gt im Allgemeinen ber eine h here Kapazit t Version 3 Release 7 1 PEM Privacy Enhanced Mall PKCS Public Key Cryptography Standards PKCS 1 Siehe Public Key Cryptography Standards PKCS 7 Siehe Public Key Cryptography Standards PKCS 10 Siehe Public Key Cryptography Standards PKCS 11 Siehe Public Key Cryptography Standards PKCS 12 Siehe Public Key Cryptography Standards PKI Public Key Infrastructure PKIX PKI auf X 509v3 Basis PKIX Certificate Management Protocol PKIX CMP Ein Protokoll das Verbindungen mit PKIX kompatiblen Anwendungen erm glicht PKIX CMP verwendet als pri m res Transportverfahren TCP IP es ist jedoch eine Abstraktionsebene oberhalb der Sockets Schicht vorhanden Dies erm glicht die Unterst tzung f r zus tzliche Daten bertragungsoperationen mit Sendeaufrufen Polling PKIX CMP PKIX Certificate Management Protocol PKIX Empfangse
192. mmt RC2 einen speziellen Status ein Hierdurch ist das Genehmigungsverfahren f r den Export einfacher und schneller als dies bei anderen Verschl sselungsprodukten der Fall ist Um die Voraussetzungen f r eine rasche Export genehmigung zu erf llen muss ein Produkt mit einigen Ausnahmen die RC2 Schl sselgr e auf 40 Bit beschr n ken Eine zus tzliche Zeichenfolge kann verwendet werden um Nichtberechtigte abzuwehren die versuchen eine umfangreiche Tabelle m glicher Verschl sselungsvarianten vorauszuberechnen Regel Exit In einer Registrierungseinrichtung ein auf Unternehmensebene definiertes Programm das von der Registrierungs anwendung aufgerufen wird Die Regeln eines Regel Exits implementieren die Unternehmens und Sicherheits benutzervorgaben eines Unternehmens f r den Registrierungsprozess Registrierter Name DN Der eindeutige Name eines im Directory gespeicherten Dateneintrags Der DN dient zur eindeutigen Identifizie rung der Position eines Eintrags in der hierarchischen Struktur des Directory Registrierung Bei Tivoli PKI das Abrufen von Identit tsnachweisen f r die Verwendung ber das Internet Bei der Registrierung werden Zertifikate angefordert erneuert und widerrufen Registrierungsattribut Eine Registrierungsvariable die in einem Registrierungsformular enthalten ist Ihr Wert gibt die Informationen wider die w hrend der Registrierung erfasst werden Der Wert des Registrierungsattributs bleibt w hrend der ge
193. n Unter Windows NT Geben Sie f r den Debug Parameter in C Program Files IBM Trust Authority etc TrustAuthority irgAutoCa ini einen Wert zwischen 50 und 100 an Aktivieren Sie folgenderma en die Umgebungsvariable f r die Debug Stufe DebugLe vel Unter AIX Geben Sie den folgenden Befehl in die Befehlszeile der Maschine ein auf der sich der RA Server befindet export DebugLevel Unter Windows NT a Rufen Sie die Systemeigenschaften auf indem Sie mit der rechten Maustaste auf das Symbol Arbeitsplatz im Windows NT Explorer klicken und Eigenschaften ausw hlen b Klicken Sie auf die Registerkarte Umgebung c Geben Sie DebugLevel in das Feld Variable und 100 in das Feld Wert ein d Klicken Sie auf Setzen und anschlie end auf bernehmen e Klicken Sie auf OK um das Fenster mit den Systemeigenschaften zu schlie en Starten Sie das Tivoli PKI System Pr fen Sie den Status aller Komponenten um den korrekten Betrieb zu gew hrleisten Reproduzieren Sie das Problem und pr fen Sie die Protokolle aller Komponenten um den Fehler zu lokalisieren Es werden Protokolldateien mit dem Dateinamen irgrasvr log nnnn erstellt wobei nnnn eine nach dem Zufallsprinzip generierte Zahl ist Unter AIX ist die Standardposition der Protokolldateien usr lpp iau etc TrustAuthority caSS log xxxxx Unter Windows NT ist die Standardposition c Program Files IBM Trust Authority etc TrustAuthority caSS log xxxxx Version 3 Rele
194. n Befehl 121 bcipost Befehl 122 bcireport Befehl 122 bcirunstart Befehl 121 beistart Befehl 123 Befehle eingeben 5 Befehlszeilendienstprogramme Audit Archive and Sign 55 Audit Integrity Check 55 Bulk Certificate Issuance 118 CA Certification 22 25 28 112 Create New RA 45 117 Enable RA Database Encryption 115 Multiple RA Enrollment Authorization 118 Multiple RA Enrollment Registration 44 RA User 115 Berichte Aktivit t 12 Nutzung 11 Berichte Pr fung 54 Bibliothek Website von Tivoli PKI xi Binden 51 Bulk Certificate Issuance Dienstprogramm 118 Tivoli PKI Systemverwaltung C CA Zertifikatsaussteller gegenseitige Zertifizierung 66 Hierarchien 66 abw rts 66 aufw rts 66 intern 66 unterst tzte Protokolle 66 CA Hierarchie einrichten 29 CA Schl ssel aktualisieren 30 124 CA Server CRL Einstellungen ndern 19 Datenbankintegrit t pr fen 21 Konfigurationsdatei 85 Listener Port 18 Protokolle 34 Sendeaufrufintervall ndern 18 Status 34 verwalten 17 Webserverzertifikat aktualisieren 30 CA Zertifikate von Fremd CA erhalten 28 CACertRq Befehl 25 CACertRq Dienstprogramm 112 CAlntegrityCheck Dienstprogramm 21 cakeyroll Befehl 30 124 CARemac Dienstprogramm 20 CCITT 81 Change Password Dienstprogramm 5 Chiffrierschliissel 72 createNewRA Dienstprogramm 117 CRL Erstellungsintervall 19 CRL Giiltigkeitsdauer 19 CRL Zertifikatswiderrufsliste 70 Einstellungen ndern 19 Erstellungsinte
195. n Pr fereignissen finden Sie im Abschnitt Speichern Sie die Datei Starten Sie das Tivoli PKI System Anzahl der Wiederholungen f r das Senden von Ereignissen ndern So ndern Sie die Anzahl von Wiederholungsversuchen nach dem ersten Sendeversuch des Priif Clients 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Tivoli PKI System Lesen Sie gegebenenfalls die Anweisungen unter erverkomponenten starten und stoppen a RI nach 3 Laden Sie die Konfigurationsdatei AuditClient ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in 4 Editieren Sie im Abschnitt Connection den Parameter Retries 5 Andern Sie den Wert des Parameters Retries 6 Speichern Sie die Datei 7 Starten Sie das Tivoli PKI System Intervall zwischen Wiederholungsversuchen andern So andern Sie das Intervall zwischen Wiederholungsversuchen 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an e Laden Sie die Konfigurationsdatei AuditClient ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt Connection den Parameter Timer Andern Sie den Wert des Parameters Timer Speichern Sie die Datei Starten Sie das Tivoli PKI System Version 3 Release 7 1 Listener Port f r den Pr fserver ndern Der Pr fserver Port ist der Port an dem der Pr
196. n Sie den Wert f r diesen Port ndern Aa 9 10 11 12 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Laden Sie die Konfigurationsdatei jonahca ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt Transport den Parameter TCPPort ndern Sie den Wert der Port Nummer Speichern Sie die Datei Laden Sie die Konfigurationsdatei jonahra ini in einen Texteditor Diese Datei kann sich je nach vorhandener Installation auf einer lokalen oder einer fernen Maschine befinden ndern Sie im Abschnitt URLs den Wert der Port Nummer Editieren Sie im Abschnitt General den Parameter IssuerlURL1 ndern Sie den Wert der Port Nummer Speichern Sie die Datei Starten Sie das Tivoli PKI System CA Sendeaufrufintervall ndern Das CA Sendeaufrufintervall ist die Zeit in Sekunden s Minuten m oder Stunden h zwischen den Abfragen der Arbeitsablaufwarteschlange durch den CA Server Die Elemente in dieser Warteschlange deren Zuteilungszeit abgelaufen ist werden f r die Verarbeitung zugeteilt So ndern Sie das Sendeaufrufintervall Sl Sr D Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das Tivoli PKI System Lesen Sie gegebenenfalls die Anweisungen unter komponen n d n na oppen d Laden Sie die Konfigurationsdatei jonahca ini in einen Texteditor Informationen zu den
197. n der Pr fs tze den Spalten namen in den Datenbanktabellen m Schl ssel Dies ist eine Steuertabelle fiir private geheime Schliissel die zum Unterzeichnen Ver schl sseln und Erzeugen von Nachrichtenauthentifizierungscodes MAC verwendet wer den m Ereignisbewertung event_severities Diese Tabelle beschreibt die Bewertung von Ereignissen m Ereignissteuerung event_ctl Diese Tabelle beschreibt alle priifbaren Ereignisse m Quellen Diese Tabelle enth lt eine Liste aller Ereignisquellen m Berechtigte Entit ten auth_entities Diese Tabelle enth lt eine Liste aller berechtigten Entit ten m Betroffene Entit ten afctd_entity_types Diese Tabelle enth lt eine Liste aller betroffenen Aufgabenbereiche m Berechtigte Aufgabenbereiche auth_roles Diese Tabelle enth lt eine Liste aller Aufgabenbereiche f r berechtigte Entit ten m Komponentenarten component_types Diese Tabelle enth lt eine Liste aller Komponentenarten m Pr fprotokoll audit_log Dies ist die Haupttabelle f r Eintr ge im Pr fprotokoll m Systemereignis Diese Tabelle enth lt Informationen die f r das gesamte Pr fsystem gelten Die Tabelle hat nur eine Zeile Schl sseltabelle Die Schl sseltabelle enth lt Informationen zu allen vom Pr fsystem verwendeten Chiffrier schl sseln Tabelle 20 Felder in der Schl sseltabelle Feld Beschreibung Datentyp key_id Die eindeutige interne Schl ssel smallint kennung alg_oid Der dem Schl ssel
198. n f r Waren innerhalb eines bestimmten Preisbereichs erm glicht Zertifikatswiderrufsliste CRL Eine digital unterzeichnete mit Zeitmarken versehene Liste der Zertifikate die vom Zertifikatsaussteller CA widerrufen wurden Die Zertifikate in dieser Liste sollten als nicht akzeptierbar behandelt werden Siehe auch Digitales Zertifikat Zertifizierung Der Prozess bei dem eine zuverl ssige an der Kommunikation nicht beteiligte Stelle der Zertifikatsaussteller CA einen elektronischen Identit tsnachweis ausstellt der f r die Identit t einer Person eines Unternehmens oder einer Organisation b rgt Ziel Eine benannte oder ausgew hlte Datenquelle Zugriffssteuerungsliste ACL Ein Verfahren mit dem die Verwendung einer bestimmten Ressource auf berechtigte Benutzer beschr nkt werden kann Version 3 Release 7 1 Index Numerische Stichworter 4758 CA Profil 6 4758 RA Profil 6 A add_rauser Dienstprogramm 115 Administrator ersten Administrator f r RA hinzuf gen 36 AIX sichern 10 wiederherstellen 10 Aktivit tsbericht Activity Report 12 Aktualisieren des CA Schl ssels 30 Aliasing IP 80 Allgemeine Erweiterungen 69 Alternativname des Ausstellers Erweiterung 67 ndern von Konfigurationsdateien 9 Anforderungsdatei f r Massenzertifikat 118 ASN 1 81 AuditArchiveAndSign Dienstprogramm 116 AuditClient ini 84 109 AuditIntegrityCheck Dienstprogramm 116 AuditServer ini 84 105 Authentifizierung 1 bcii
199. n im DB2 Befehlsfenster falsche Zeichen angezeigt werden Um dies zu beheben geben Sie vor der Ein gabe von DB2 SQL Anweisungen die folgenden Befehle ein set DB2CODEPAGE Starten Sie die DB2 Sitzung anschlie end erneut 3 Geben Sie an der DB2 Befehlszeile den folgenden Befehl ein um eine Verbindung zur Pr fdatenbank herzustellen connect to Name_Ihrer_Pr fdatenbank Geben Sie beispielsweise f r die Datenbank namens adtdb folgenden Befehl ein connect to adtdb 4 Fragen Sie die Datenbank wie nachfolgend beschrieben mit Hilfe einer Tivoli PKI Sicht ab m Geben Sie f r eine Abfrage mit der Sicht viewvar folgenden Befehl ein select from viewvar m Geben Sie f r eine Abfrage mit der Sicht viewvar_t folgenden Befehl ein select from viewvar_t Das System zeigt f r alle Eintr ge der Pr fdatenbank die in Tabelle 6 auf Seite 47 beschriebenen Spalten an 48 Version 3 Release 7 1 5 Verwenden Sie zum Filtern der Sicht f r die Protokolleintr ge die SOL Klausel where Geben Sie beispielsweise folgenden Befehl ein um Eintr ge auf einen bestimmten Datumsbereich zu beschr nken select from viewvar where sourcetime between 1999 07 01 08 00 00 and 1999 07 02 08 00 00 Details zur SQL Anweisung select finden Sie im Handbuch IBM DB2 Universal Data base SOL Reference Ausf hrliche Informationen zum Befehl db2 enth lt das Handbuch IBM DB2 Universal Database Command Reference Protokolle
200. n und Definieren von Protokollen f r das Internet befasst Sie repr sentiert eine internationale Gruppe von Netzdesignern bedienern herstellern und forschern Die Aufgabe der IETF ist die Entwicklung der Internet Architektur sowie die Gew hrleistung der reibungslosen Verwendung des Internets Intranet Ein Netz innerhalb eines Unternehmens das sich im Allgemeinen hinter Firewalls befindet Es basiert auf dem Internet und setzt eine hnliche Technologie ein Vom technischen Standpunkt aus ist ein Intranet eine Erweite rung des Internets Zu den in beiden Netzen benutzten Komponenten geh ren z B HTML und HTTP IPSec Ein von der IETF entwickelter IPS Standard IPS Internet Protocol Security IPSec ist ein Protokoll der Vermittlungsschicht das entwickelt wurde um Services f r die Gew hrleistung der Sicherheit bei der Verschl s selung zur Verf gung zu stellen die kombinierte Funktionen zur Authentifizierung Sicherung der Integrit t Zugriffssteuerung und Wahrung der Vertraulichkeit flexibel unterst tzen Aufgrund seiner leistungsf higen Funkti onen bei der Authentifizierung wurde dieser Standard von vielen Lieferanten von VPN Produkten als Protokoll zum Aufbau sicherer Punkt zu Punkt Verbindungen im Internet bernommen ISO International Standards Organization ITU International Telecommunication Union Java Von Sun Microsystems Incorporated entwickelte plattformunabh ngige Computertechnologien die f r den Netz betr
201. nd von Programmsymbolen unter Windows NT Wenn Sie Tivoli PKI auf einer Windows NT Plattform ausf hren und das Ausw hlen von Programmsymbolen gegen ber der Befehlseingabe in einem DOS Befehlsfenster bevorzugen k nnen Sie anhand der folgenden Prozedur einen Nutzungsbericht Usage Report erstellen Der Abschnitt LBe elaussahe e Re eite enth lt ein Beispiel einer Berichtsausgabe 1 Melden Sie sich als Tivoli PKI Konfigurationsbenutzer an der Maschine an auf der die Tivoli PKI CA Server Komponente installiert ist Der empfohlene Benutzername der gleichzeitig auch der Standardbenutzername ist lautet efguser m glicherweise wurde jedoch vom jeweiligen Unternehmen ein anderer Benutzername verwendet 2 W hlen Sie Start gt Programme gt IBM SecureWay Trust Authority gt Trust Autho rity Usage Report aus Befehlszeilenprozedur Wenn Sie Tivoli PKI auf einer AIX Plattform ausf hren oder die Befehlseingabe gegen ber dem Ausw hlen von Programmsymbolen unter Windows NT bevorzugen k nnen Sie anhand der folgenden Prozedur einen Nutzungsbericht Usage Report erstellen Der Abschnitt e Re enth lt ein Beispiel einer Berichtsaus gabe Tivoli PKI Systemverwaltung 11 si mAsu u BioA ANZ u uol guulojuj 1 Melden Sie sich als Tivoli PKI Konfigurationsbenutzer an der Maschine an auf der die Tivoli PKI CA Server Komponente installiert ist Der empfohlene Benutzername der gleichzeitig auch der Standardbenutzername is
202. ndardservices Trace Stufen Es existieren folgende Trace Stufen m All Protokollierung von Fehler Warnungs Informations und Trace Nachrichten Error Protokollierung von Fehlernachrichten Warning Protokollierung von Fehlernachrichten und Warnungen Eventinfo Protokollierung von Fehler und Trace Nachrichten None Keine Protokollierung von Nachrichten Tivoli PKI Systemverwaltung 105 u uonkguuJojJu ZU919J9H G UIN JUOD SJUA IUS I9jepsuonpin3rjJuoysruSr rd Aq F1JUOIJUIAI PUISZLL uone instpuoygstustra dg DON upne SQOIAJOSPILpURIS s p IWLN NA aWeuZIIneFoP 99LAIOS DON 30 SOITAIISPIEPULIS s p IWLN NA urvu J ngJ p orA1 s SOOTAIOS UIN Z PiepueJg Joreqsnji0a yezuy Aq UNOD NeJapdd1AIAs SIITAIOSP 1epUuR S AotpogAJoATToqupnVvIN s SOOIAIOSJNIg S P URN PNE SSITAIOSTUOWSEP JWFWS SFITWATWON T S r qeS r q Jop SWeuusssely 1q A1Jo P Z 391A19S UIN DOTAIOSTIPNY AS JIpne s orA1 s uour ep yuiSuis s 8 irumqruroo S MAI SJNId Sop sueuuassepy 19G OUIVUSSPO Z INAS UIN upne SOOIAIOSJNIg S P IWLN VA upu Z 321A1 S INAIISNII 31A1 S ONO1OId sop uN Loqo TING SOT soms HOP Ise Zwar wos Tesarsgesisgqn Jop umuu sse 19q A91Jodp 991A19S SOOTAIOS UIN SIA19SSoO TIS SOT s orA1 s uour oep yur8urs s SIr wqr uoo JOYOOIg sop urpuu sstT 19q urpussp o IAS UIN 30 S S3IAJ S ONOJ OId S P IUEN 19G urpu IM
203. nen unter AIX und Windows NT finden Sie in 4 Editieren Sie den Abschnitt Event Log Weitere Schritte m So ndern Sie den Pfad oder den Dateinamen des Ereignisprotokolls a Editieren Sie den Parameter event log filename b ndern Sie den Wert f r den Pfad oder den Dateinamen m So ndern Sie die Markierung die angibt ob das Daten an das bereits vorhandende Ereignisprotokoll angef gt werden oder ob dieses berschrieben wird a Editieren Sie den Parameter event log append b ndern Sie den Wert des Parameters Geben Sie true zum Anf gen bzw false zum berschreiben an 5 Speichern Sie die Datei 6 Starten Sie das Tivoli PKI System Protokollierung von Pr fereignissen in der Datenbank ndern Das Pr fprotokoll besteht aus einer Reihe von integrit tsgesch tzten Datenbanktabellen die zur Speicherung von Pr fereignissen verwendet werden Das Pr fprotokoll enth lt pro Pr fereignis einen Protokolleintrag Sie k nnen folgende Konfigurationsparameter ndern m Die Anzahl der zul ssigen Versuche zur Herstellung einer Verbindung mit der Pr fproto kolldatenbank m Die Anzahl der zul ssigen Versuche zur Aktualisierung der Pr fprotokolldatenbank Version 3 Release 7 1 Den zul ssigen Zeitlimit berschreitungswert in Sekunden zur Aktualisierung des Pr f protokolls So k nnen Sie die Einstellungen f r das Protokollieren von Pr fereignissen ndern 1 S 6 Melden Sie sich bei Ihrem Betriebssystem
204. nen zu den Tivoli PKI CAs Zertifikatsaussteller RAs Registrierungsstellen und zum Pr fsubsystem Tivoli PKI Sicherheit Das Sicherheits und Sicherungsmodell von Tivoli PKI verf gt ber die folgenden Merk male m Codeunterzeichnung zur Absicherung der Software die Operationen auf Schl sselbasis durchf hrt m Verwendung von KeyStores zur Speicherung von und f r den Zugriff auf Identit tsnach weise f r Komponenten wie beispielsweise Schl ssel und Zertifikate In den Komponen ten KeyStores gespeicherte Identit tsnachweise werden mit Hilfe eines Chiffrierschl s sels verschl sselt der von einem eingegebenen Kennwort abgeleitet wird m Zum Zwecke der Authentifizierung wird auch die Kommunikation zwischen Komponen ten unterzeichnet Hierzu z hlen beispielsweise PKIX Nachrichten zwischen der RA und dem CA m F r AIX Systeme bietet Tivoli PKI einen hardwarebasierten Schutz von CA und RA Unterschriftsschl sseln Dies wird durch den Einsatz des optional verf gbaren IBM 4758 Cryptographic Coprocessor erm glicht Zugriffssteuerungsliste Access Control List ACL Zugriffssteuerungslisten ACL Access Control Lists bieten einen Mechanismus zur Ein schr nkung der Nutzung einer spezifischen Ressource auf berechtigte Benutzer Zu den Tivoli PKI Komponenten die ACLs nutzen z hlen CA RA und das Directory Der CA verwendet ACLs um den Zugriff auf CA Funktionen wie beispielsweise die Er stellung von Zertifikaten
205. nken Datenbanken m ssen unabh ngig vom verwendeten Sicherungsdienstprogramm herunterge fahren werden Der Directory Server und DB2 verwenden asynchrone Schreibzugriffe Solange diese Prozesse nicht heruntergefahren sind Kann nicht gew hrleistet werden dass die Daten in den Speicherpuffern mitgesichert werden Je n her Sie das System an einen Einzelbenutzer Wartungsmodus heranf hren desto besser wird die Datensicherung Informationen zum Stoppen und Starten von Tivoli PKI finden Sie im Abschnitt Server GH Informationen zum Stoppen und Starten der s finden Sie im Handbuch IBM DB2 Universal Database Command Reference Verwenden Sie die folgenden Sicherungsdienstprogramme m Nutzen Sie unter AIX die systeminternen Sicherungsdienstprogramme mksysb und savevg oder ADSM ein weiteres IBM Produkt Die korrekten Prozeduren f r die Sicherungsdienstprogramme mksysb und savevg entnehmen Sie bitte Ihrer AIX Do kumentation Verwenden Sie ADSM nur gemeinsam mit mksysb m Nutzen Sie unter Windows NT ein beliebiges Produkt das in der Lage ist ein System image zu erstellen mit dem Sie das gesamte System wiederherstellen k nnen Verwen den Sie ADSM nur gemeinsam mit mit dem jeweiligen Systemabbild Dienstprogramm Befolgen Sie die Wiederherstellungsanweisungen des jeweiligen Dienstprogramms Version 3 Release 7 1 IBM 4758 PCI Cryptographic Coprocessor klonen Zum Sichern des IBM 4758 Cryptographic Coprocessor m
206. ntsprechenden Identit t auf einem Host System zuweist Private Erweiterungen Jede f r die Nutzung von Tivoli PKI ausgelegte Client Anwendung kann eine Erweiterung definieren deren Identit t und Syntax entweder der Anwendung privat zur Verf gung stehen oder in einer Benutzergemeinschaft gemeinsam genutzt werden Diese Erweiterungen m ssen als unkritisch definiert werden Wird die Erweiterung zum ersten Mal definiert muss ihr eine Objektkennung zugewiesen werden Au erdem m ssen Sie sie gem ITU Standard X 660 und ISO Standard 9834 1 identisch registrieren Dies gilt auch f r die Syntax Tivoli PKI Systemverwaltung 69 u Buni lne i3 E 70 Ablauf der Erweiterungsanforderung Erweiterungen k nnen von einem Benutzer angefordert werden Sie m ssen jedoch vom CA oder einer RA die als CA dient best tigt werden Dieser Prozess l uft wie folgt ab 1 Der Benutzer fordert eine Erweiterung an und bermittelt die dazu erforderlichen Infor mationen einschlie lich einer eindeutigen Erweiterungskennung und eines Werts Der Benutzer definiert ob es sich um eine kritische Erweiterung handelt 2 Die Erweiterungsanforderung und die Informationen werden in die Zertifikatsanforderung an die RA aufgenommen 3 RA oder CA pr fen bei der Verarbeitung der Zertifikatsanforderung ob die Erweiterung den Zertifizierungsregeln der Unternehmen entspricht Die Erweiterungsanforderung wird dementsprechend ge ndert oder au er Kraft ge
207. nventionen haben die folgende Bedeutung Konvention Bedeutung Befehle Schl sselw rter Markierungen und andere Informationen die exakt Fett in der im Handbuch angegebenen Schreibweise verwendet werden m ssen werden durch Fettdruck kenntlich gemacht Variablen die von Ihnen angegeben werden m ssen sowie neue Begriffe wer Kursiv den in Kursivdruck dargestellt Diese Darstellungsweise wird au erdem zum Hervorheben von Begriffen und Ausdr cken verwendet Monospace Schrift wird f r Codebeispiele Ausgabedaten und Systemnach Monospace Schrift richten verwendet Kundenunterst tzung Wenn bei der Verwendung eines Tivoli Produkts Probleme auftreten k nnen Sie ber die Adresse httg die Homepage der Tivoli Unterst tzung aufrufen Nachdem Sie ber diese Seite das Formular f r die Kundenregistrierung aufgerufen und bergeben haben stehen Ihnen im Web zahlreiche Services f r die Kundenunterst tzung zur Verf gung Kunden in Deutschland sterreich oder der Schweiz k nnen eine der folgenden Telefon nummern anrufen m Deutschland 01805 00 1242 m sterreich 01 1706 6000 m Schweiz 0800 555454 Ihre Erfahrungen bei der Verwendung von Tivoli Produkten und Dokumentationen interes sieren uns ebenso wie Verbesserungsvorschl ge Wenn Sie Anmerkungen oder Anregungen hinsichtlich dieser Dokumentation machen m chten senden Sie bitte eine E Mail an pubs tivoli com Informationen zu Tivo
208. nvoll Sie ist in allen CA Zertifikaten enthalten die von Tivoli PKI erstellt wurden Bei allen anderen Zertifikaten ist diese Erweiterung entweder nicht vorhanden oder leer RFC 2459 empfiehlt diese Erweiterung nicht leer sondern wegzulas sen Diese Erweiterung kennzeichnet ein Zertifikat nicht nur als CA Zertifikat sondern kann auch den Zertifizierungspfad mit maximaler L nge enthalten Auf diese Weise kann defi niert werden wie viele zus tzliche CA Ebenen durch diesen CA zertifiziert werden k nnen Diese Erweiterung muss als kritisch definiert werden Version 3 Release 7 1 Tabelle 10 Zertifikatserweiterungen Forts Erweiterung Beschreibung Namenseinschr nkungen Diese Erweiterung wird nur in CA Zertifikaten verwendet Sie definiert einen Namensbereich in dem sich alle Namen und Alternativnamen des Zertifikatsgegenstands befinden m ssen sofern es sich um Zertifikate handelt die vom CA mit diesem Zertifikat oder von untergeordneten CAs ausge stellt wurden Der Zweck dieser Erweiterung ist die Ein schr nkung von Namen die von Zertifikaten in diesem Zertifizierungspfad genutzt werden k nnen Einschr nkun gen werden in Form von Unterverzeichnisstrukturen f r zul ssige oder nicht zul ssige Namen definiert Ein Name der einer Beschr nkung in einer Unterverzeichnisstruktur nicht zul ssiger Namen entspricht ist ung ltig unabh ngig von den Informationen in der Unterverzeichnisstruktur der zul ssi
209. ocal database alias ibmdb Geben Sie fiir die Standard Registrierungsdatenbank den Befehl db2 connect to pkrfdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 6 1 SQL authorization ID Tivoli PKI_instance Local database alias pkrfdb Geben Sie fiir die Standard Priifdatenbank den Befehl db2 connect to adtdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 6 1 SQL authorization ID Tivoli PKI_instance Local database alias adtdb Geben Sie den folgenden Befehl ein set DB2INSTANCE dap_Instance Hierbei steht dap_Instance fiir IdapInst wenn das Directory zusammen mit dem Produkt installiert wurde Angenommen die Standard Directory Datenbank wurde mit dem Produkt installiert Geben Sie den Befehl db2 connect to IdapInst ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 6 1 SQL authorization ID Tivoli PKI_instance Local database alias IdapInst Schlie en Sie das DB2 Befehlsfenster Directory Server verwalten 62 In diesem Abschnitte werden grundlegende Prozeduren f r Betrieb und Verwaltung von IBM Directory erl utert F r einige dieser Verwaltungs Tasks ist ein Kennwort erforderlich Infor mationen zum ndern des Kennworts f r den Pr fadministrator finden Sie im Abschnitt Dieser Directory Server unterst tzt LDAP Standards LDAP Lightweigh
210. ogramm k nnen Sie die w hrend der Konfiguration des Systems definierten Standardkennw rter ndern ndern Sie die Kennw rter mindestens einmal nach der ersten Konfiguration des Systems und bevor Sie das System Ihren Benutzern zur Verf gung stellen Tivoli PKI Systemverwaltung asiamsuayabio ANZ u uolguuloju Diese Kennw rter erm glichen den Zugriff auf folgende Funktionskomponenten m Sicherer Startmechanismus Das Kennwort f r das Steuerprogramm erm glicht dem System alle Tivoli PKI Kompo nenten automatisch zu starten oder herunterzufahren Au erdem kann mit diesem Kenn wort auf den sicheren Start Chiffrierschl ssel zugegriffen werden m Directory Das Directory Administratorkennwort steuert den Zugriff auf nderbare Elemente im Directory m Pr f Server Das Pr fadministratorkennwort erm glicht den Zugriff auf Pr fprotokolle und Verwal tungs Tools f r Pr foperationen m 4758 CA Profil Das Kennwort f r das 4758 CA Profil steuert den Zugriff auf das CA Profil des IBM SecureWay 4758 PCI Cryptographic Coprocessor m 4758 RA Profil Das Kennwort fiir das 4758 RA Profil steuert den Zugriff auf das RA Profil des IBM SecureWay 4758 PCI Cryptographic Coprocessor Zum ndern von Kennw rtern stehen Ihnen verschiedene Methoden zur Verf gung Wenn Sie Tivoli PKI auf einer AIX Plattform installiert haben m ssen Sie die unter Im beschriebene Befehlszeilenprozedur verwenden Wenn Sie das Produkt auf einer Windows
211. on aus einem oder mehreren Tivoli PKI CAs und einem oder mehreren Fremd CAs Hierbei befinden sich die Tivoli PKI CAs in der Trust Kette unter den Fremd CAs Daher wird die Hierarchie vom Tivoli PKI CA aus aufw rts betrachtet In einer solchen Hierarchie verwenden die CAs die Protokolle PKCS 7 und PKCS 10 Version 3 Release 7 1 Abw rtshierarchie Eine Abw rtshierarchie ist definiert als die Kombination aus einem oder mehreren Tivoli PKI CAs und einem oder mehreren Fremd CAs Hierbei befinden sich die Tivoli PKI CAs in der Trust Kette ber den Fremd CAs Daher wird die Hierarchie vom Tivoli PKI CA aus abw rts betrachtet In einer solchen Hierarchie verwenden die CAs die Protokolle PKCS 7 und PKCS 10 CAs k nnen technisch gesehen in der Mitte einer Hierarchie stehen die sowohl ber als auch unter dem Tivoli PKI CA Fremd CAs Der Tivoli PKI CA kann auch als sich selbst unterzeichnender CA konfiguriert sein In diesem Fall ist der CA nicht Bestandteil einer Hie rarchie Tivoli PKI unterst tzt eine hierarchische Zertifizierung zwischen CAs die das PKIX CMP Protokoll sowie die Protokolle PKCS 7 und PKCS 10 einhalten Tivoli PKI unterst tzt au erdem eine Hierarchie mit Fremd CAs die die Protokolle PKCS 7 und PKCS 10 ver wenden Zertifikatserweiterungen Die X 509v3 Zertifikatserweiterungen bieten Methoden zur Zuordnung weiterer Attribute zu Benutzern oder ffentlichen Schl sseln und zur Verwaltung der CA Hierarchie Das X 509v3 Form
212. orderung absetzt Computer A und einem Com puter auf den zugegriffen werden soll Computer B implementiert ist Wenn ein Endbenutzer eine Anforderung f r eine Ressource ber Computer A absetzt wird diese an den Proxy Server geleitet Dieser sendet die Anforde Tivoli PKI Systemverwaltung 147 1esso O 148 rung an Computer B erh lt von diesem die Antwort und leitet diese an den Endbenutzer weiter Mit Hilfe eines Proxy Servers kann ber einen Computer der sich innerhalb einer Firewall befindet auf das World Wide Web zugegriffen werden Pr f Client Jeder Client im System der Priifereignisse an den Tivoli PKI Priif Server sendet Bevor ein Pr f Client ein Ereig nis an den Priif Server sendet stellt er eine Verbindung zu diesem her Nach der Herstellung der Verbindung ver wendet der Client die Client Bibliothek des Priifsubsystems um Ereignisse an den Priif Server zu tibertragen Priifprotokoll Daten in Form eines logischen Pfades die eine Folge von Ereignissen verbinden Mit dem Priifprotokoll k nnen Transaktionen oder der bisherige Verlauf einer bestimmten Aktivit t verfolgt werden Pr fprotokoll Bei Tivoli PKI eine Tabelle in einer Datenbank in der f r jedes Pr fereignis ein Datensatz gespeichert wird Pr f Server Ein Tivoli PKI Server der zum Empfangen von Pr fereignissen von Pr f Clients und zum Aufzeichnen dieser Ereignis in einem Pr fprotokoll dient Pr fzeichenfolge Eine Zeichenfolge die von einem Ser
213. ows NT wenn Sie den Standardinstallationspfad von Tivoli PKI verwen den CARemac in c Program Files IBM Trust Authority bin Das Tool fordert Sie zur Eingabe des Kennworts f r das Tivoli PKI Steuerprogramm auf 4 Geben Sie das Kennwort f r das Tivoli PKI Steuerprogramm ein Integrit t der CA Serverdatenbank pr fen Tivoli PKI stellt das Tool CAlntegrityCheck zur Verf gung mit dessen Hilfe Missbr uche der CA Server Datenbank ermittelt werden k nnen Unter normalen Umst nden f hrt der CA Schutzpr fungen nur f r den Teilsatz der ICL Eintr ge aus auf den zu einem bestimmten Zeitpunkt gerade zugegriffen wird Mit anderen Worten Der CA pr ft lediglich diejenigen Eintr ge die bei Erstellung der CRL ausgew hlt sind demnach also den Status revoked widerrufen haben Daher werden die meisten der ICL Eintr ge w hrend des normalen Tivoli PKI CA Betriebs nicht auf ihre Integrit t hin gepr ft Wenn Sie die Integrit t der gesamten CA Datenbank pr fen wollen m ssen Sie das Tool CAlntegrityCheck verwenden Dieses ausf hrbare Programm liest alle Eintr ge in der ICL und f hrt f r sie entsprechende Integrit tspr fungen durch So k nnen Sie die Integrit t der CA Server Datenbank pr fen 1 Wechseln Sie zu der Maschine auf der der CA Server installiert ist und melden Sie sich als cfguser an 2 F hren Sie das Tool zur Pr fung der Integrit t der CA Datenbank CAIntegrityCheck aus indem Sie in der Tivoli PKI Bef
214. oyd URN TLET6YSEIT OVS CI L SOAd MY AIO ejep soyd POISZUNISIZIIHUSYNEUSJYILIYSEN URN CUSCO CI yseH I VHS NM AIO eys Jeuny URN ITTErTEI I VHS N GIO SUR Zunjossn yos URN CTT 6rsell OVS TI AA VSA HU T VHS NJ AIO uondAiougqyS YUNA VYS URN UTT6rSEellor8T l Sun ssn uosi A VS3I J AIO uondArugesi URN Er OYOOT OSTI I VHS Yu VSd mu GIO Teys ypIm esp pl URN 17090017 078 C I Vsa J AIO esp pl URN ST TOOT OOEOOTEI TPET6O Susuoduwoyusuruog In GIO 0d URN CLV ST PUL 201 GIO L URN gS puejsopung AN AIO LS URN LYST HO MJ AIO I URN EYST usweNn uouuose m AIO NO UION ITVS NOyursuonestueslg MJ GIO N0 URN OPS u utu ui lu IN GIO O URN ERC DUT Inj GIO saro 1eqI pug sojwsjgoA1d uon em3yuoy LN UOHVINSIUOYpPjAepuL S GeUlss JIM Sungr ayasag PPWEIBT lajepsuoljeinbyuoy 1341 S YY PL SllageL Version 3 Release 7 1 96 5 Referenz informationen urunqoy surewoq Nd ner ddj ssn X1V MA OUTELOI INOA SURWOTT JA Loy Ny used URN ISNIL NANSOTLI WEISOIA D LN SMOPULM MA V2I DId HOALL My pejd Jomjosqy yled u r jepu leq V3 WN aros pofqorI Inj Zunray omrg uuo umur eq 9WeN 9to S o fao JOPUSMIIA SNWUNIOSTV sop yemsny Inz pun 8r zuv INZ 1 A19S Wap 1 po INN Jap uoA pam snuq uosTgs jiuosi un SAWN WUE VS Sep vOHTUTjod CCNUAVSa JOPUSMIIA snuru uos v sop yemsny Inz pun 8r zuv INZ 1J A19S Wap Japo INN Jap uo
215. q Nod u u q up JlurioAJoSlpnvy 1q Jap ef 86665 Ul Wap lu SSN SI9A19S J Id sap NO UO uN JUIDN ISOY AY JSOH PARS MId 9UENISOH Vase Jed uN nn UOA UDIOLAYRUT UdIOIADYY Jpnyorgeug NOLLOANNOD ua3ung a surssdunpurgq IaA 1eqI pug so u qo 4d uone indijuoy UEN IPAPIEPURIS sSunqr u 2s q PPULILd lajepsuojeinbyuoy lu l O Jmud 91 ale Version 3 Release 7 1 110 5 Referenz informationen er s nb 211149OJO1dI90999 u pi A 1 pu s 3 1uoru rp assIUsIOIq VY SJUdAqpopnyjoxy v ef u pI m 1 pu os 3 yoru rp assIUsSIAIq VO SJUdAqpopnyjoxy vo u yseuru ju uodutosx Any tuuosq v Aieqa pug so uqoid uone nsijuoy EN J49Apiaepupe s dungrAayasagq PPWEAIBA suoJ lejepsuoneundbyuoy JUalD Ud 91 a eqeL 111 Tivoli PKI Systemverwaltung Befehlszeilendienstprogramme Dieser Abschnitt enth lt Beschreibungen der Syntax und der Parameter f r folgende Befehls zeilendienstprogramme Dienstprogramm CA Certification Mit dem Dienstprogramm CA Certification k nnen Sie von einem anderen CA Zertifizierun gen fiir den Tivoli PKI CA anfordern Hierzu stehen Ihnen das Modell zur gegenseitigen Zertifizierung und das hierarchische Sicherungsmodell zur Verf gung Anmerkung Wenn Sie im Rahmen Ihrer Gesamthierarchiel sung die hierarchischen CA Zertifikate in Netscape Communicator herunterladen verwenden Sie den Parameter m m
216. r Aufrechterhaltung der Integrit t der Tabelle der Ereignis bewertung varchar f r Bitdaten comp_types_int Dieses Feld dient der Aufrechterhaltung der Integrit t der Tabelle der varchar f r Bitdaten der zur Erzeugung der Integrit tsfelder dieses Datensatzes verwendet wird Dies ist ein fremder Schl ssel der auf die Schl sseltabelle verweist Komponententarten system_int Dieses Feld dient der Aufrechterhaltung varchar f r Bitdaten der Integrit t der Systemtabelle sig_key_id Die interne Kennung des Schl ssels smallint Version 3 Release 7 1 Fehlerbehebung Bei der Standardinstallation von Tivoli PKI werden keine Protokolldateien f r die ausf hrli che Stufe bzw Debug Stufe von Fehlernachrichten erstellt Dieser Abschnitt beschreibt die Basisschritte zur Fehlerbehebung wobei die Nachrichtenerstellung auf Debug Stufe inakti viert ist Wenn Sie ausf hrlichere Informationen ben tigen k nnen Sie die Debug Nach richtenerstellung mit Hilfe der unter L Fehlerhehe buf Debug Stufe1 beschriebenen Prozedur aktivieren Grundlegende Fehlerbehebung Befolgen Sie die nachfolgenden Anweisungen um Probleme bei der Verwaltung von Tivoli PKI zu beheben 1 Stoppen Sie das Tivoli PKI System Starten Sie die Maschine erneut Starten Sie das Tivoli PKI System Pr fen Sie den Status aller Komponenten um den korrekten Betrieb zu gew hrleisten ae ee a Reproduzieren Sie das Problem
217. r Unterverzeichnisstrukturen aufgenommen Beginnt die Adresse nicht mit einem Punkt wird nur der Host einbezogen dessen Name der Zeichenfolge entspricht Der Einschr nkung companyA com entsprechen beispielsweise us company A com vnet companyA com und w3 software companyA com jedoch nicht companyA com oder kidcompanyA com selbst Der Einschr nkung compa nyA com entsprechen companyA com jedoch nicht us companyA com oder die brigen Adressen Daraus folgt dass eine zul ssige Unterverzeichnis strukturen ohne f hrenden Punkt nur einen m glichen Knoten angibt Angaben ohne einen f hrenden Punkt werden prim r f r nicht zul ssige Unterverzeichnisstrukturen verwendet Tivoli PKI Systemverwaltung 23 si ssu u BioA ANZ u uolguuloju E Mail Adressen angeben Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat anfordern das die G ltigkeit des Zer tifikats auf eine Gruppe von E Mail Adressen einschr nkt Im folgenden Beispiel wird das Betriebssystem Windows NT verwendet alle Tivoli PKI CA Hosts verf gen ber E Mail Adressen die mit us companyA com enden Pfad und Dateiname der Vorabregistrierungsdatei lauten a ccprereg reg und das Kennwort lautet Secure Folgender Befehl platziert die angegebenen E Mail Adressen in der Liste zul s siger Unterverzeichnisstrukturen CACertRq m us companyA com r a ccprereg reg P 1835 W Secure99 Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat
218. r den Schl sselspeicher des Webservers ein usr 1pp iau etc 4 Klicken Sie auf Update 5 Wahlen Sie die Datei httpd RD kdb aus und klicken Sie anschlieBend auf OK 6 Geben Sie in der Eingabeaufforderung fiir das Kennwort das Kennwort fiir das Steuer programm ein Dies ist das Kennwort das Sie bei der Ausf hrung von CfgPostInstall angegeben haben Tivoli PKI Systemverwaltung 29 asiamsuayabio ANZ u uolguuilojuj 30 10 11 12 13 14 15 Anmerkung Falls Sie nach der Konfiguration von Tivoli PKI das Kennwort fiir das Steuerprogramm ndern wird das Schl sselbundkennwort des Webservers f r die Datei usr lpp iau etc httpd RD kdb nicht ge ndert Dieses Kenn wort bleibt mit dem urspr nglichen Kennwort f r das Steuerprogramm identisch Klicken Sie auf OK Klicken Sie unter Key database content auf das Dropdown Men und w hlen Sie die Option Signer Certificates aus W hlen Sie das Unterzeichnerzertifikat mit der Bezeichnung Trust Authority aus und klicken Sie dann auf Delete Verlassen Sie das Schl sselbundprogramm gsk4ikm Wechseln Sie auf der RA Maschine zum Benutzerkonto cfguser indem Sie den fol genden Befehl eingeben su cfguser Geben Sie Folgendes ein um das Verzeichnis zu wechseln cd usr Ipp iau bin Geben Sie den folgenden Befehl ein und setzen Sie hierbei die entsprechenden Werte ein kdbUtils i m 3 f usr Ipp iau etc httpd RD kdb r usr
219. ramm Audit Archive and Sign eee 116 Dienstprogramm Audit Integrity Check 116 Dienstprogramm Create New RA 1 eee eens 117 Dienstprogramm Multiple RA Enrollment Authorization 118 Dienstprogramm Bulk Certificate Issuance __ eee 118 Dienstprogramm CA Key Update 124 Felder f r Pr fereignisse uuu cise ee ee eke Oe EE ES RE Oe HE ERE Oe EIN EER pesa SRE ee HES 125 Pr fereipnisse 2 Aide ee oh ea Mache oe baa Suk aes Dia ae RE Ba ede KOS De Ee d a 126 Pr fung von Datenbankdaren 0 0 Aaa a a A E E EEEE E E 129 Schl sseltabelle ss eces esau sa qami ua saam ee nenn 129 Tabelle f r Ereignisbewertung Uu u aa si eiia a a ssh usa i a ps eee eee eens 130 Tabelle zur Ereignissteuerung u l 2 0 20 0 0 assaka nennen nennen 130 Quellent belle 42 2 2 55 22 2 2 52 Chee ses Eber Qusa apas pe ai s EE A 131 Tabelle der berechtigten Entit ten 131 Tabelle der berechtigten Aufgabenbereiche a awa cawsasa saa a as eee 131 Tabelle der Arten betroffener Entit t n sisiqa aaa aasawa sasaqa s saa qas s 132 Tabelle der Komponentenarten 2 eos cae eee 000 bee E be ea 132 Tabelle f r Pr fprotokoll Ju u u 062 s e404 65530 OA SEN pia has AE oad ed Rae bade 132 Systemtabelle u 2 21000 cupidus pa a ERROR ER GE ERE paga ESSER Oe HE SR Ee HES 134 Behlerbeheb ung yur z u mu 020 20024 oda ew nach ee ende 135 Grundlegende Fehlerbehebung 0 0
220. rden wird ihnen ein von diesem Aussteller unterzeichnetes Zertifikat zugeord net AuBerdem bernehmen sie die Zertifizierungshierarchie der bergeordneten Ebenen CA Server Der Server f r die CA Komponente von Tivoli PKI CAST 64 Ein Block Cipher Algorithmus der mit einer Blockgr e von 64 Bit und einem 6 Bit Schliissel arbeitet Er wurde von Carlisle Adams und Stafford Tavares entwickelt CA Zertifikat Ein Zertifikat das vom Web Browser eines Benutzers auf dessen Anforderung hin von einem nicht identifizierten CA akzeptiert wird Der Browser kann dann dieses Zertifikat verwenden um f r die Kommunikation mit Servern die ber Zertifikate dieses CAs verf gen eine Authentifizierung durchzuf hren CCA IBM Common Cryptographic Architecture CDSA Common Data Security Architecture CGI Common Gateway Interface Client 1 Eine Funktionseinheit die gemeinsam benutzte Services von einem Server empf ngt 2 Ein Computer oder Programm der das Services von einem anderen Computer oder Programm anfordert Client Server Ein Modell fiir die verteilte Verarbeitung bei dem ein Programm an einem Standort eine Anforderung an ein Pro gramm an einem anderen Standort sendet und auf eine Antwort wartet Das anfordernde Programm wird als Cli ent das antwortende als Server bezeichnet Codeunterzeichnung Ein Verfahren zum Unterzeichnen ausfiihrbarer Programme mit einer digitalen Unterschrift Die Codeunter zeichnung dient zur Verbesserun
221. rden kann ob Pr fs tze unberechtigterweise ver ndert wurden Dieses Tool tr gt die Bezeichnung Audit Integrity Check Integrit ts pr fungen unterscheiden sich von Ma nahmen zum Schutz der Vertraulichkeit von Daten zum Zwecke der Geheimhaltung Der Pr f Server unterzeichnet nicht jeden Eintrag Statt dessen wendet er auf jeden Eintrag einen Nachrichtenauthentifizierungscode MAC Message Authentication Code an und ver waltet einen MAC f r die gesamte Datenbank Integrit tsversiegelung In Tivoli PKI bedeutet Integrit tsversiegelung das Unterzeichnen archivierter Datenbank dateien mit Pr fprotokollen Das Unterzeichnen erfolgt mit Hilfe des Tivoli PKI Befehls zeilen Tools Audit Archive and Sign Pr fprotokoll archivieren Tivoli PKI unterst tzt das Archivieren des aktuellen Pr fprotokolls in eine Archivdatei Hierzu wird das Befehlszeilen Tool Audit Archive and Sign verwendet DB2 Datenbanken IBM DB2 Universal Database DB2 UDB ist ein web f higes Verwaltungssystem f r relati onale Datenbanken mit Java Unterst tzung In Tivoli PKI k nnen mit IBM DB2 Universal Database folgende Tasks ausgef hrt werden m Verwalten von Informationen zu Registrierungsprozessen f r digitale Zertifikate m Speichern von Informationen zu RA Aktionen mit denen Anforderungen f r digitale Zertifikate genehmigt oder zur ckgewiesen werden Diese Informationen werden zu Pr fungszwecken verwendet m Bereitstellen von Betriebsst
222. rderlich dass der Benutzer ber die Ausf hrung des D mons unterrichtet wird da der D mon normalerweise vom System automatisch gestartet wird Ein D mon kann ber eine unbegrenzte Zeit hinweg ausgef hrt oder vom System in bestimmten Zeitintervallen erneut gene riert werden Der Terminus englisch demon stammt aus der Mythologie Sp ter wurde er aber als Akronym f r den Ausdruck Disk And Execution MONitor Platten und Ausf hrungs berwachungsprogramm erkl rt Data Encryption Standard DES Eine Verschl sselungs Block Cipher die 1977 von der US Regierung als offizieller Standard definiert und ber nommen wurde Dieser Standard wurde urspr nglich von IBM entwickelt DES wurde seit seiner Ver ffentli chung umfassend untersucht und stellt ein allgemein bekanntes und h ufig verwendetes Verschl sselungssystem zur Verf gung Bei DES handelt es sich um ein symmetrisches Verschl sselungssystem Um es f r die Daten bertragung einzu setzen m ssen sowohl der Sender als auch der Empf nger den selben geheimen Schl ssel kennen Dieser Schl ssel wird zum Ver und Entschl sseln der Nachricht verwendet DES kann au erdem zur Durchf hrung von Verschl sselungsoperationen f r einzelne Benutzer eingesetzt werden z B zum Speichern von verschl sselten Dateien auf einer Festplatte DES arbeitet mit einer Blockgr e von 64 Bit und verwendet f r die Verschl sse lung einen 56 Bit Schl ssel Urspr nglich wurde dieser Standard f
223. re Application Server Protokolle ber Transaktionen mit dem Setup Wizard AIX Standardpfad Windows NT Standardpfad Anmerkungen usr WebSphere AppServer logs TivoliPKI c Program Files IBM Trust Standardausgabepfad f r Cfg_stderr log Authority etc logs jvm_stderr log Fehlernachrichten der Java Virtual Machine JVM usr WebSphere AppServer logs TivoliPKI c Program Files BM Trust Standardausgabepfad der Cfg_stdout log Authority etc logs jvm_stdout log JVM Sie k nnen die Protokolle pr fen die die Transaktionen zwischen dem IBM WebSphere Application Server und Ihrer Registrierungsanwendung aufzeichnen Die Positionen dieser Protokolle werden in Tabelle J erl utert Tabelle 2 IBM WebSphere Application Server Protokolle ber Transaktionen mit der Registrierungsanwendung AIX Standardpfad Windows NT Standardpfad Anmerkungen usr WebSphere AppServer logs c Program Files IBM Trust Standardausgabepfad f r TivoliPKI_stderr log Authority pkrf Domains YourDomain Fehlernachrichten der etc logs jvm_stderr log Java Virtual Machine JVM usr WebSphere AppServer logs c Program Files IBM Trust Standardausgabepfad TivoliPKI_stdout log Authority pkrf Domains YourDomain n der JVM etc logs jvm_stdout log HTTP Server verwalten IBM HTTP Server ist das Web Server Produkt das die web gestiitzte Kommunikation mit Browsern und anderen Programmen verwaltet Der HTTP D mon HTTPD ist die Haupt
224. rierung und Zertifizierungsvorgaben im Rahmen Ihrer Unter nehmensregeln zu unterst tzen Sie erfahren beispielsweise wie HTML und Java Server Seiten Mitteilungsschreiben Zertifikatsprofile und Regel Exits angepasst werden Inhalt des Handbuchs xii Dieses Handbuch enth lt die folgenden Informationen m Das Kapitel enth lt eine kurze Beschreibung der Funktionen und des Leistungsspektrums von Tivoli PKI m Im Kapitel wird erl utert wie Sie dieses Handbuch bei der Ver waltung des Systems benutzen m Das Kapitel enth lt Task orientierte Informationen mit deren Hilfe Sie Tivoli PKI SS seine Komponenten verwalten und einsetzen k nnen m Im Kapitel werden die allgemeinen Konzepte beschrieben die mit der Registrierung der Zertifizierung und der Verwaltung in Zusammenhang ste hen m Das Kapitel j enth lt Beschreibungen von Befehls zeilendienstprogrammen Syntax und nen sowie Beschreibungen von Konfigu rationsdateien und deren Inhalt Au erdem finden Sie in diesem Kapitel Abschnitte zur Pr fung und zur Fehlerbehebung m Das Kapitel Glossar auf Seite 137 definiert die in diesem Handbuch verwendeten und m glicherweise neuen oder unbekannten Begriffe und Abk rzungen die von Bedeutung sind Version 3 Release 7 1 In diesem Handbuch verwendete Konventionen Besondere Begriffe und Aktionen werden in diesem Handbuch durch die Verwendung unter schiedlicher Schriftbildkonventionen hervorgehoben Die Ko
225. rozedur Wenn Sie Tivoli PKI auf emer AIX Plattform ausf hren oder die Befehlseingabe gegen ber dem Ausw hlen von Programmsymbolen unter Windows NT bevorzugen k nnen Sie anhand der folgenden Prozedur einen Aktivit tsbericht Activity Report erstellen Der Abschnitt eite 14 enth lt ein Beispiel einer DEISDIEJAUSSADE Berichtsausgabe 1 Melden Sie sich als Tivoli PKI Konfigurationsbenutzer an der Maschine an auf der die Tivoli PKI RA Server Komponente installiert ist Der empfohlene Benutzername der gleichzeitig auch der Standardbenutzername ist lautet cfguser Wenn Sie Tivoli PKI unter Windows NT installiert haben wurde vom jeweiligen Unternehmen m glicherweise ein anderer Benutzername verwendet 2 Wechseln Sie in das Unterverzeichnis bm des Tivoli PKI Installationsverzeichnisses In den folgenden Beispielen wird der Standardverzeichnispfad verwendet m Unter AIX usr pp iau bin m Unter Windows NT c Program Files IBM Trust Authority bin 3 Geben Sie den folgenden Befehl ein TAActivityReport 4 Wenn Sie vom System aufgefordert werden die Berichtsart einzugeben geben Sie 1 fiir einen w chentlichen Bericht ein oder 2 um eine Zusammenfassung der Aktivit ten anzu zeigen die an einem bestimmten Tag stattfanden 5 Wenn Sie zur Eingabe des Datums aufgefordert werden geben Sie das Startdatum fiir die Woche ein fiir die ein Bericht erstellt werden soll bzw das exakte Datum fiir die Erstel lung eines Tagesberichts Geb
226. rvall 19 G ltigkeitsdauer 19 CRL Verteilungspunkte Erweiterung 67 CRL Verteilungspunkte aktivieren 35 D Datei f r Massenzertifikatsanforderung erstellen 118 Dateien Konfiguration 83 Daten Pr fdatenbank 129 Datenbankdaten Pr fung 129 DB2 Datenbanken 79 Protokolle 62 Status 60 verwalten 60 DES 64 157 x pul Dienstprogramme Add RA User 37 Aktivit tsbericht Activity Report 12 Audit Archive and Sign 55 116 Audit Integrity Check 55 116 Bulk Certificate Issuance 118 CA Certification 22 25 28 112 115 CAlntegrityCheck 21 CARemac 20 Change Password 5 Create New RA 45 117 Enable RA Database Encryption 115 Multiple RA Enrollment Authorization 118 Multiple RA Enrollment Registration 44 Nutzungsbericht Usage Report 11 Trust Authority Control 7 Digitale Zertifikate 71 Digitale Zertifizierung 1 Directory 62 Directory Administratorkennwort 6 Directory Attribute des Zertifikatsgegenstands Erweiterung 67 Directory Server Eintr ge 24 28 Informationen 81 Protokolle 64 RA Einstellungen ndern 43 Server 43 Status 63 verwalten 62 DNS Adressen 23 26 Dom nen Registrierung 73 E E Mail Adressen 24 27 Ereignisprotokoll 52 Ereignisse Pr fung 49 126 Ereignisse f r Pr fadministratoren 78 Ersten Registrator hinzuf gen 36 Erweiterungen allgemein 69 Anforderungsablauf 70 Namenseinschr nkungen 28 privat 69 Standard 67 Zertifikat 67 F Fehlerbehebung 135 Fehlerprotokoll 54 Felder Pr fereignisse 125
227. s Pr f Clients Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das Tivoli PKI System Lesen Sie gegebenenfalls die Anweisungen unter Laden Sie die EREECHEN iat yen ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt Server Port den Parameter acceptor init delay Andern Sie den in Sekunden angegebenen Wert fiir die Zeit zwischen zwei Bindungs versuchen Die Standardeinstellung ist 3 das Programm geht von Sekunden aus Speichern Sie die Datei Starten Sie das Tivoli PKI System Tivoli PKI Systemverwaltung 51 asiamsuayabio ANZ u uolguulojuj 52 Protokolleinstellungen ndern Sie k nnen die Einstellungen in der Datei AuditServer ini f r folgende Protokolltypen ndern Aufzeichnungsart f r Pr fereignisse ndern Das Ereignisprotokoll ist eine Datei zur Aufzeichnung von Ereignissen Sie k nnen folgende Konfigurationsparameter ndern m Den Dateinamen und den Pfad des Ereignisprotokolls m Die Markierung die angibt ob Daten an das bereits vorhandene Ereignisprotokoll ange f gt werden oder ob diese berschrieben wird So k nnen Sie die Einstellungen f r das Aufzeichnen von Ereignissen ndern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 3 Laden Sie die Konfigurationsdatei AuditServer ini in einen Texteditor Informationen zu den Dateipositio
228. s besitzen Fahren Sie fort wenn Sie dieses Zertifikat erhalten haben Entsprechende Anweisungen finden Sie im Handbuch Tivoli PKI Benutzerhandbuch 2 Tragen Sie einen der folgenden Identifikationscodes ein m Die Anforderungs ID die w hrend der Browser Registrierung f r Sie generiert wurde Wenn Sie sich erst k rzlich f r ein Browser Zertifikat registriert haben verf gen Sie m glicherweise noch ber diese ID m Die Identit tsnachweis UUID eindeutige Benutzer ID die aufgrund der erfolgrei chen Browser Registrierung generiert wurde So k nnen Sie Ihre Identit tsnachweis UUID erhalten a Starten Sie eine interaktive DB2 Befehlszeilensitzung Verwenden Sie je nach Betriebssystem folgende Prozeduren Unter AIX 1 Geben Sie an der Eingabeaufforderung den Befehl su ein um zum Konto des Benutzers mit Administratorberechtigung zu wechseln der Tivoli PKI installiert hat 2 Geben Sie das Kennwort dieses Tivoli PKI Benutzers ein 3 Geben Sie den Befehl db2 ein um die DB2 Sitzung zu starten 4 Geben Sie an der Eingabeaufforderung folgenden Befehl ein um die Ver bindung zur Datenbank herzustellen connect to pkrfdb In diesem Beispiel wird die Standard Registrierungsdatenbank pkrfdb verwendet Version 3 Release 7 1 e Unter Windows NT 1 W hlen Sie in der Windows Funktionsleiste die Option Start gt Pro gramme gt DB2 f r Windows NT gt Befehlszeilenprozessor aus 2 Geben Sie an der Eingabeau
229. sSunqir iu5s q PPWEIBT sHoj lajepsuoneinbyuoy 149X19S YWI EL ale 89 Tivoli PKI Systemverwaltung ef PT IONEPSIINSNNI TAI uonemd IO u suni rzrqnq Tq4O ef PI u jup d 8 u uostAZz jozprepuer s STNIJUSMISGOUNL jet QEN ZAOTOg IN Suns UN unu x pur sou soo diju Pmuy arp Jop Jajun assaipy TaN 7SdO uN Aoyog IVT AW osoy UsIEpUNyes Jop Sure N ZoueNAIOg SI AFNA JAO MJ Suns UION juny xapuryjsoyfesoryz duay muy arp op oyun ss ipy TaIn SdO ssnur u 8nuorsyoni q usdunp oyssjug 19q pun u s UBA i pue rp rp Sunsepylessunuys qyv UIN Sunippii9s8unuu qv 1 po SIOMUIH 1 uosnsumnr ur Japo SIOMUIH Joyosystint urg TIXOLIIHON IOSN UIN LI upio nz AIIOI Dit Z299nON Z SnoN or oq UIN j upio snz AIIOI Dit 90nON 9MONTAIIOA 12 DOua0 J289 28210 UIN Ha aam IU sep suowyouIgu N Sop uteN A 310 1 OHIO u S rlioA GIO pu uo ids Ju ut muyosqy qJO ut gent INF uN AoyogA PIH P3ay usagund Jap aureN PA oweNnA9l od UIN jet yorpIo Toon rp qo ue OI poimbayAorod pppuey Loan UIN uoSsn p ur um y rs sa qo ue OI RONLIQAoTOg IST YOIJapsIOjia SUNPUIAIOATASSNTYIS URN H Jop SUNID IOMI_ Ap qo up IqQID pormnbayases 9 Ady PIIM JzymsI2Jun SUNpUdMIOATASSNTYIS URN L Jop SUNID IOMI_ Ap qo up 1qID p ioddn s 3esn Ady uupy Uaqosue spueJsusdodspey1jnIoz
230. samten G ltigkeitsdauer des Identit tsnachweises gleich Registrator Ein Benutzer der f r den Zugriff auf RA Desktop sowie zur Verwaltung und Anforderung von Zertifikaten berechtigt ist Registrierungsstelle RA Die Software die zur Verwaltung digitaler Zertifikate verwendet wird und sicherstellt dass die Unternehmens regeln vom ersten Empfang einer Registrierungsanforderung bis zum Zertifikatswiderruf angewendet werden Registrierungsdatenbank Diese Datenbank enth lt Informationen zu Zertifikatsanforderungen und ausgestellten Zertifikaten In der Daten bank werden Registrierungsdaten gespeichert und alle nderungen aufgezeichnet die w hrend der G ltigkeits dauer an einem Zertifikat vorgenommen werden Die Datenbank kann durch RA Prozesse und Regel Exits oder durch den Registrator aktualisiert werden Registrierungsdom ne Eine Gruppe von Ressourcen Regeln und Konfigurationsoptionen die sich auf bestimmte Registrierungsprozesse f r Zertifikate beziehen Der Dom nenname stellt einen untergeordneten Wert zur URL Adresse dar die zur Aus f hrung der Registrierungseinrichtung eingesetzt wird Tivoli PKI Systemverwaltung 149 Jesso 5 Registrierungseinrichtung Ein Tivoli PKI Anwendungsger st das spezielle Verfahren zur Registrierung von Entit ten z B Browser Rou ter E Mail Einheiten und sichere Client Anwendungen und zur Verwaltung von Zertifikaten w hrend ihrer G l tigkeitsdauer bereitstellt Registrierungsproz
231. selben CA unterzeichnet worden ist Sicherungsmodell Eine Organisationskonvention die regelt wie Zertifikatsaussteller CAs andere Zertifikatsaussteller zertifizieren k nnen Simple Mail Transfer Protocol SMTP Ein Protokoll mit dem elektronische Post ber das Internet bertragen wird Site Zertifikat Dieser Zertifikatstyp ist mit einem CA Zertifikat vergleichbar gilt jedoch nur f r eine bestimmte Website Siehe auch CA Zertifikat Smart Card Eine Hardwarekomponente normalerweise in der Gr e einer Kreditkarte auf der die digitalen Schl ssel eines Benutzers gespeichert werden k nnen Eine Smart Card kann kennwortgesch tzt werden S MIME Ein Standard der das Unterzeichnen und Verschl sseln von elektronischer Post E Mail unterst tzt die ber das Internet bertragen wird Siehe MIME SMTP Simple Mail Transfer Protocol SSL Secure Sockets Layer Standard Generalized Markup Language SGML Ein Standard zur Beschreibung von Formatierungssprachen HTML basiert auf SGML Tivoli PKI Systemverwaltung 151 Jesso 5 152 Symmetrischer Schl ssel Ein Schl ssel der sowohl f r die Verschliisselung als auch f r die Entschl sselung verwendet werden kann Siehe auch Symmetrische Verschliisselung Symmetrische Verschliisselung Eine Form der Verschliisselung bei der sowohl fiir die Ver als auch fiir die Entschliisselung derselbe Schliissel verwendet wird Die Sicherheit dieses Verfahren basiert auf dem Schl ssel
232. setzt Nach Pr fung der Erweiterung wird diese vom CA zertifiziert Zertifikatswiderrufsliste CRL Eine Zertifikatswiderrufsliste CRL ist eine digital unterzeichnete mit Zeitmarken versehene Liste der Zertifikate die vom Zertifikatsaussteller CA widerrufen wurden Die Zertifikate in dieser Liste sollten als nicht akzeptierbar behandelt werden Zertifikate k nnen widerrufen werden wenn ihre G ltigkeit abgelaufen oder ihre Sicherheit fraglich ist Der Status eines Zertifikats wird in der ICL ge ndert Zur festgelegten Zeit erstellt der CA die CRL mit der Seriennummer und dem CA DN des Ausstellers des wider rufenen Zertifikats Obwohl bei einem Widerruf das entsprechende Zertifikat und dessen Informationen in der ICL ge ndert werden ist ein Widerruf erst dann endg ltig wenn die CRL ausgegeben und im Directory publiziert wird In Tivoli PKI werden die G ltigkeitsdauer einer publizierten CRL und der Zeitraum zwi schen CRL Publizierungen in der CA Konfigurationsdatei jonahca ini definiert und ge n dert Sie k nnen auch CRL Verteilungspunkte nutzen um die Anzahl der CRLs die nacheinan der verarbeitet werden sollen zu definieren und zu partitionieren Statt eine immer gr ere Anzahl widerrufener Zertifikate an einer Position bzw unter einem einzelnen Eintrag im Directory Server zu akkumulieren k nnen Sie die Liste der widerrufenen Zertifikate auf mehrere Verteilungspunkte aufteilen Sie aktivieren diese Funktion indem
233. ssbrauch ermitteln selbst wenn ein solcher vorliegt ContinueWithMessage Das System zeigt eine Warnung an setzt die Transaktion jedoch fort m TerminateTransaction Das System zeigt eine Fehlernachricht an und beendet die Transaktion 6 Speichern Sie die Datei 7 Starten Sie das Tivoli PKI System ICL Schutzschl ssel ndern Der ICL Schutzschliissel wird niemals Benutzern oder Administratoren preisgegeben Um jedoch einem Missbrauch oder einer unbeabsichtigten Dateninkonsistenz vorzubeugen emp fiehlt es sich den ICL Schutzschl ssel in regelm igen Abst nden zu ndern Tivoli PKI stellt das Befehlszeilen Tool CARemac zur Verfiigung mit dem ein neuer ICL Schutz schl ssel zur Berechnung eines neuen MAC Wertes generiert wird So ndern Sie den ICL Schutzschl ssel 1 Wechseln Sie zu der Maschine auf der der CA Server installiert ist 2 Vergewissern Sie sich dass auf dem Tivoli PKI System keine Aktivit t besteht Die Inak tivit t k nnen Sie mit Hilfe der Tivoli PKI Komponentenprotokolle feststellen 20 Version 3 Release 7 1 3 F hren Sie das Tool f r den ICL Schutzschl ssel unter dem Benutzerkonto cfguser aus indem Sie den Befehl CARemac der den Installationspfad von Tivoli PKI enth lt in der Tivoli PKI Befehlszeile eingeben Beispiel m Unter AIX wenn Sie den Standardinstallationspfad von Tivoli PKI verwenden CARemac in usr 1pp iau bin m Unter Wind
234. stSetNonRenewable Gibt an dass ein Registrator angefordert hat ein Zertifikat mit dem Status nicht erneuerbar zu definieren verbindlich RequestPend Gibt an dass ein Registrator angefordert hat verbindlich eine Identit tsnachweisanforderung in den Warte status zu setzen RA Ereignisse ReceiptOfCertRequest Gibt an dass eine Zertifikatsanforderung von optional einer RA empfangen wurde ReceiptOfRevocationRequest Gibt an dass eine Widerrufsanforderung f r ein optional Zertifikat von einer RA empfangen wurde ReceiptOfRenewalRequest Gibt an dass eine Erneuerungsanforderung f r _ optional ein Zertifikat von einer RA empfangen wurde RequestApproval Gibt an dass eine RA eine Zertifikatsan verbindlich forderung best tigt hat RequestRejection Gibt an dass eine RA eine Zertifikatsan verbindlich forderung zur ckgewiesen hat RequestCompletion Gibt an dass eine Zertifikatsanforderung abge optional schlossen wurde Preregistration Gibt an dass ein Registrator eine Anforderung verbindlich zur Vorabregistrierung erhalten hat Version 3 Release 7 1 Pr fung von Datenbankdaten Die Tivoli PKI Pr fdatenbank verwendet ein Schema das auf den Empfehlungen im Stan dard Public Key Cryptography for the Financial Services Industry X9 57 basiert In die sem Abschnitt werden folgende Datenbanktabellen beschrieben Anmerkung In diesem Abschnitt entsprechen die Feldname
235. steuerten Bedingungen l sst der IBM 4758 Cryptographic Coprocessor die Erstellung von mehreren IBM 4758 Cryptographic Coprocessor als Klone zu Jeder dieser Klone verwendet densel ben Hauptschl ssel und kann daher einen gemeinsamen Zugriff auf nicht beibehaltene Schl ssel verwenden Bei der Prozedur zum Klonen des IBM 4758 Cryptographic Coproces sor wird nur der Hauptschl ssel zwischen den einzelnen Einheiten bertragen Wie bei jeder anderen Prozedur ist es auch hier nicht m glich auf den Speicher zuzugreifen der f r beibe haltene Schl sseldaten verwendet wird Der gesicherte integrierte Speicher f r beibehaltene Schl ssel ist so konzipiert dass nur der urspr ngliche IBM 4758 Cryptographic Coprocessor auf ihn zugreifen kann Bei bestimmten Manipulationsereignissen sch tzt sich der IBM 4758 Cryptographic Copro cessor selbst indem der f r die Aufnahme von sensiblen Daten vorgesehene Speicher sicher und unwiderruflich Komplett gel scht wird Zu diesen Daten geh ren der Hauptschl ssel alle beibehaltenen Schl sseldaten sowie die Informationen ber die Zugriffssteuerung Findet ein Manipulationsereignis statt das einen solchen Selbstschutz des IBM 4758 Cryptographic Coprocessor durch das komplette L schen des Speichers ausl st werden alle beibehaltenen Schl ssel permanent und vollst ndig zerst rt Falls Sie sich dazu entschlossen haben den Schl ssel aus einer Komponente in der Hardware beizubehalten ist die entspr
236. stract Syntax Notation One Asymmetrische Verschliisselung Ein Verschliisselungsverfahren das zur Ver und Entschliisselung unterschiedliche asymmetrische Schliissel ver wendet Jedem Benutzer wird hierbei ein Schliisselpaar zugeordnet das einen allgemeinen f r alle zug nglichen Schl ssel und einen privaten Schl ssel umfasst der nur dem jeweiligen Benutzer bekannt ist Eine gesicherte Transaktion kann ausgef hrt werden wenn der ffentliche Schl ssel sowie der zugeh rige private Schl ssel ber einstimmen In diesem Fall kann die Transaktion entschl sselt werden Dieses Verfahren wird auch als Verschl s selung auf der Basis von Schl sselpaaren bezeichnet Gegensatz zu Symmetrische Verschl sselung Asynchrone bertragung Ein bertragungsmodus bei dem Sender und Empf nger nicht gleichzeitig vorhanden sein m ssen Authentifizierung Der Vorgang bei dem die Identit t eines Teilnehmers an einer bertragung zuverl ssig berpr ft wird Base64 Verschl sselung Ein h ufig verwendetes Verfahren bei der bertragung von Bin rdaten mit MIME Basic Encoding Rules BER Die Regeln die in ISO 8825 f r die Verschl sselung von in ASN 1 beschriebenen Dateneinheiten angegeben sind Die Regeln geben das Verschl sselungsverfahren jedoch nicht die abstrakte Syntax an Benutzerauthentifizierung Der Prozess mit dem berpr ft wird ob der Absender einer Nachricht die berechtigte Person ist als die er sich ausgibt Der Prozess
237. t Eine E Mail Adresse kann im Standardformat ohne Platzhalter oder als DNS Adresse angegeben werden Die Regeln f r eine DNS Adresse entsprechen den Regeln f r die Option d Daraus folgt dass eine zul ssige Unterverzeichnisstrukturen mit einer Stan dard E Mail Adresse nur einen m glichen Benutzer angibt u uri U uri Die URI Der kleingeschriebene Parameter u f gt die angegebene URI der Liste zul s siger Unterverzeichnisstrukturen hinzu Der gro geschriebene Parameter U entspricht dem kleingeschriebenen Parameter Die angegebene URI wird jedoch der Liste unzul s siger Unterverzeichnisstrukturen hinzugef gt Der Knotenabschnitt der URI Uniform Resource Identifier unterliegt den gleichen Regeln wie die Option d sofern er keine IP Adresse enth lt In diesem Fall wird er als exakte bereinstimmung behandelt Tivoli PKI Systemverwaltung 113 u uonkguuJojJu ZU919J9H G 114 n directoryName N directoryName Der Directory Name Der kleingeschriebene Parameter n fiigt das angegebene Direc tory der Liste zul ssiger Unterverzeichnisstrukturen hinzu Der gro geschriebene Para meter N entspricht dem kleingeschriebenen Parameter Das angegebene Directory wird jedoch der Liste unzul ssiger Unterverzeichnisstrukturen hinzugef gt Diese Namen m ssen im LDAP Standardformat angegeben werden Namen die dem Ende der angegebenen RDNs Relative Distinguished Names entsprechen gelten als exakte bereinst
238. t So k nnen Sie den Wert f r diesen Port ndern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Tivoli PKI System Lesen Sie gegebenenfalls die Anweisungen unter komponen n d n nd oppen q 3 Laden Sie die Konfigurationsdatei Jonahra ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in Editieren Sie im Abschnitt Transport den Parameter TCPPort ndern Sie den Wert der Port Nummer Speichern Sie die Datei Sl oy St 2 Laden Sie die Konfigurationsdatei Jonahca ini in einen Texteditor Diese Datei kann sich je nach vorhandener Installation auf einer lokalen oder einer fernen Maschine befinden Editieren Sie den Abschnitt URLs 9 ndern Sie den Wert der Port Nummer 10 Speichern Sie die Datei und beenden Sie das Programm 11 Starten Sie das Tivoli PKI System RA Sendeaufrufintervall ndern Das RA Sendeaufrufintervall ist die Zeit in Sekunden s Minuten m oder Stunden h zwischen den Abfragen der Arbeitsablaufswarteschlange durch den RA Server Die Elemente in dieser Warteschlange deren Zuteilungszeit abgelaufen ist werden f r die Verarbeitung zugeteilt So ndern Sie das Sendeaufrufintervall 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Tivoli PKI System Lesen Sie gegebenenfalls die Anweisungen unter erve ente e e e 8 nach komponen n d n na oppen d 3
239. t lautet cfguser Wenn Sie Tivoli PKI unter Windows NT installiert haben wurde vom jeweiligen Unternehmen m glicher weise ein anderer Benutzername verwendet 2 Wechseln Sie in das Unterverzeichnis bin des Tivoli PKI Installationsverzeichnisses In den folgenden Beispielen wird der Standardverzeichnispfad verwendet m Unter AIX usr pp iau bin m Unter Windows NT c Program Files IBM Trust Authority bin 3 Geben Sie den folgenden Befehl ein TAUsageReport Beispielausgabe Nutzungsbericht Usage Report Tivoli PKI Usage Report Report generated on Sep 28 1999 16 10 20 EDT Total active users 42 Total active certificates 53 Total inactive users 6 Total revoked certificates 3 Zertifikataktivitat berwachen Mit Hilfe des Tivoli PKI Dienstprogramms Activity Report K nnen Sie Aktivit tsberichte erstellen um die Anzahl der Zertifikate zu berwachen die an einem bestimmten Tag oder innerhalb einer bestimmten Woche genehmigt zur ckgewiesen oder widerrufen wurden Der Aktivit tsbericht Activity Report ist in zwei Teile untergliedert m Teill Im ersten Teil werden die Registratoren RA Administratoren des jeweiligen Systems aufgef hrt und die Zertifikatsaktivit ten der einzelnen Registratoren Administratoren aufgezeigt m Teil 2 Im zweiten Teil des Berichts wird die Gesamtzahl der Zertifikate aufgef hrt die w h rend des angeforderten Zeitraums genehmigt zur ckgewiesen oder widerrufen wurden
240. t Directory Access Protocol Er verf gt ber eine DB2 Datenbank und befindet sich auf einer lokalen oder fer nen Maschine Bei diesem Server kann es sich um einen bereits vorhandenen oder einen spe ziell f r Tivoli PKI installierten und konfigurierten Server handeln Weitere Informationen zur Interaktion von Tivoli PKI mit IBM Directory finden Sie im Handbuch Tivoli PKI Konfiguration Version 3 Release 7 1 Status des Directory Servers pr fen Je nach Umgebung k nnen Sie den Status des Directory Servers mit folgenden Prozeduren priifen m Unter AIX 1 Melden Sie sich bei AIX als Root an 2 Pr fen Sie die Prozesstabelle und suchen Sie nach folgender Zeichenfolge slapd Finden Sie diesen Prozess fahren Sie mit Schritt Bl fort Finden Sie diesen Prozess nicht lesen Sie bitte im Abschnitt erbehe eite nach 3 Wechseln Sie in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standard pfad usr pp iau bin 4 Stellen Sie sicher dass das Directory erfolgreich antwortet und verwenden Sie hierzu folgenden Befehl isdirup h server a port p installationspfad t1 f usr l1pp iau bin Hierbei steht server f r den Namen der Maschine auf der das Directory ausgef hrt wird port f r den Listener Port des Directory Servers und installationspfad f r den Pfad in dem das Directory installiert ist Wenn die Antwort des Directory erfolgreich ist enthalt die Datei fusr lpp iau bin isdirupState Value den Wert 0
241. t Packard Company macht keine Angaben zur Eignung dieser Software f r bestimmte Zwecke Sie wird ohne Modifikationen und ohne Gew hrleistung bereitgestellt Dieses Programm enth lt STL Software STL Standard Template Library von Silicon Graphics Computer Systems Inc Copyright c 1996 1999 m Die Berechtigung zum Verwenden Kopieren ndern Verteilen und Verkaufen dieser Software sowie der zugeh ri gen Dokumentation f r die gew nschten Zwecke wird hiermit geb hrenfrei erteilt Voraussetzung hierf r ist aller dings da der o a Copyrightvermerk auf allen Kopien erscheint und da sowohl dieser Copyrightvermerk als auch dieser Berechtigungshinweis in der zugeh rigen Dokumentation aufgef hrt werden Silicon Graphics macht keine Angaben zur Eignung dieser Software f r bestimmte Zwecke Sie wird ohne Modifikationen und ohne Gew hrleistung bereitgestellt Andere Namen von Unternehmen Produkten oder Dienstleistungen k nnen Marken oder Dienstleistungsmarken anderer Unternehmen sein Tivoli PKI Systemverwaltung Version 3 Release 7 1 Inhaltsverzeichnis Tabellen EE ix Win E xi Zielgruppe ie ee Vk sn ma ama nein ran re neben super xi Bezugsintormatonen sess uu OP Me EE ee eS OM ee be ed xi Inhalt des Handbuchs seess sinto erri 2 2 2 WR ae a a au xii In diesem Handbuch verwendete Konventionen xiii Kundenunterst tzung ENEE EE qana enuia k Eee Dee a Rese Eee Ce Ree ee ees xiii Informationen zu Tivoli PR
242. t deren Hilfe nicht kompatible Netze oder Anwendungen Daten austauschen k nnen Gegenseitige Zertifizierung Ein Trust Modell bei dem ein CA f r einen anderen CA ein Zertifikat ausstellt das den ffentlichen Schl ssel enth lt der dem entsprechenden privaten Unterschriftsschl ssel zugeordnet ist Ein gegenseitig zertifiziertes Zerti fikat erm glicht Client Systemen oder Endentit ten in einer Verwaltungsdom ne die sichere Kommunikation mit Client Systemen oder Endentit ten in einer anderen Dom ne Gesicherte Computerbasis TCB Die Software und Hardwareelemente die zur Umsetzung der Computersicherheitsregeln eines Unternehmens verwendet werden Alle Elemente oder Teilelemente die zur Implementierung der Sicherheitsregeln eingesetzt werden k nnen sind sicherheitsrelevant und Bestandteil der TCB Bei der TCB handelt es sich um ein Objekt das durch die Sicherheitsperipherie begrenzt wird Die Mechanismen die zur praktischen Umsetzung der Sicherheitsregeln eingesetzt werden d rfen nicht umgangen werden k nnen und m ssen verhindern dass Pro gramme Zugriff auf Systemprivilegien erlangen k nnen f r die sie nicht berechtigt sind Hierarchie Die Organisation von Zertifikatsausstellern CAs innerhalb einer Trust Kette Diese beginnt mit einem selbst unterzeichnenden CA oder bergeordneten Root CA der sich an der h chsten Position befindet und endet mit dem CA der Zertifikate f r Endbenutzer ausstellt H chster CA Der CA der
243. ten Tivoli PKI Systemverwaltung 133 u uonkguuJoJu ZU919J9H4 G 134 Systemtabelle Diese Tabelle enthalt Statusinformationen zur Priifdatenbank Tabelle 29 Felder in der Systemtabelle der Integrit t der Tabelle events cl Feld Beschreibung Datentyp first_sn Die Seriennummer des ersten integer Protokolleintrag in audit_log next_sn Die Seriennummer des n chsten integer Protokolleintrags in audit_log audit_int Dieses Feld dient der Aufrechterhaltung varchar f r Bitdaten der Integrit t der Tabelle audit_log archive_int Dieses Feld dient der Aufrechterhaltung varchar f r Bitdaten der Integrit t der Tabelle archive_ctl events_int Dieses Feld dient der Aufrechterhaltung varchar f r Bitdaten auth_ent_int Dieses Feld dient der Aufrechterhaltung der Integrit t der Tabelle auth_entities varchar f r Bitdaten auth_role_int Dieses Feld dient der Aufrechterhaltung der Integrit t der Tabelle auth_roles varchar f r Bitdaten sources_int Dieses Feld dient der Aufrechterhaltung der Integrit t der Quellentabelle varchar f r Bitdaten afctd_ent_type_int Dieses Feld dient der Aufrechterhaltung der Integrit t der Tabelle afctd_entities varchar fiir Bitdaten keys_int Dieses Feld dient der Aufrechterhaltung der Integrit t der Schliisseltabelle varchar fiir Bitdaten event_sevs_int Dieses Feld dient de
244. tergeordneter CA Teil einer Hierarchie war Ist dies der Fall muss der Administrator die Hierarchie mit den entsprechenden RAs wiederherstellen Aus f hrliche Angaben zur Wiederherstellung der Hierarchie finden Sie unter Syntax cakeyrol1 Wenn der Befehl cakeyroll aufgerufen wird fordert er von Ihnen das Kennwort fiir das Steuerprogramm an Dieses Kennwort haben Sie bei der Ausf hrung von CfgPostInstall angegeben Felder fur Prufereignisse ahelle 18 erl utert die Informationen die in Tivoli PKI Priifereignissen enthalten sind Tabelle 18 Felder f r Pr fereignisse Feldname Beschreibung Ereignisname Die Ereigniskennung die von einem Pr f Client als Token angegeben wird Betroffene Entit t Die Entit t die von der Aktion betroffen ist f r die ein Pr fereignis gesendet wird Diese Infor mation wird von einem Pr f Client angegeben Art der betroffenen Entit t Die Art der betroffenen Entit t Diese Informa tion wird von einem Pr f Client angegeben Berechtigte Entit t Diese Entit t hat die Operation berechtigt Diese Information wird von einem Pr f Client angege ben Aufgabe der berechtigten Entit t Der Aufgabenbereich der berechtigten Entit t Speichermedium Sofern verf gbar das f r diese Operation angege bene Speichermedium Diese Information wird von einem Pr f Client angegeben Tivoli PKI Systemverwaltung 125 u uonkguuJojJu ZU919J9H G Tabell
245. tetime Die Zeitmarke die angibt wann timestamp der Protokolleintrag erstellt wurde Ereignis Der Name des Ereignisses varchar source Der Pr f Client der das varchar Pr fereignis generiert hat component Die Komponentenart des Pr f varchar Clients der das Pr fereignis generiert hat auth_entity Die Entit t die das Priifereignis varchar berechtigt hat auth_role Der Aufgabenbereich der Enti varchar tat die das Priifereignis berech tigt hat Tivoli PKI Systemverwaltung 47 aslomsUudYyeb10A ANZ u uolguulojuj Tabelle 6 Spaltenbeschreibungen der Sichten f r die Tivoli PKI Pr fdatenbank Forts Spaltenname Beschreibung Datentyp affected_entity Die Kennung der Entit t die varchar von einem Pr fereignis betroffen ist affected_entity_type Die Art der betroffenen Entit t varchar storage_media Das dem Pr fereignis zugeord varchar nete Speichermedium extra_info Dem Pr fereignis zugeordnete varchar Zusatzinformationen So k nnen Sie sich die S tze in der Tivoli PKI Pr fdatenbank anzeigen lassen 1 Melden Sie sich bei Tivoli PKI als der Benutzer an der Tivoli PKI installiert hat 2 Starten Sie eine interaktive DB2 Befehlszeilensitzung Anmerkung Wenn Sie Windows NT ausf hren hat eine w hrend des Installationsab schlusses definierte Codepage Variable m glicherweise dazu gef hrt dass in den CHAR und VARCHAR Spalte
246. tifizierung von Benutzern und zur Gew hrleistung einer gesicherten Kommunika tion Trust Kette Eine Gruppe von Zertifikaten die aus der gesicherten Hierarchie vom Benutzerzertifikat bis zum Root oder selbstunterzeichneten Zertifikat besteht Tunnel In der VPN Technologie eine virtuelle Punkt zu Punkt Verbindung die auf Anfrage ber das Internet hergestellt wird W hrend der Verbindung k nnen ferne Benutzer den Tunnel verwenden um sichere verschl sselte und gekapselte Informationen mit Servern im privaten Netz eines Unternehmens auszutauschen Unbestreitbarkeit Die Verwendung eines digitalen privaten Schl ssels um zu verhindern dass der Unterzeichner eines Dokuments dessen Unterzeichnung leugnet Unicode Ein 16 Bit Zeichensatz der in ISO 10646 definiert ist Der Unicodestandard f r die Verschl sselung von Zeichen ist ein internationaler Zeichencode f r die Informationsverarbeitung Er umfasst die grundlegenden weltweit ver wendeten Prozeduren und bildet die Basis f r die Internationalisierung und Lokalisierung von Software Der gesamte Quellencode in der Java Programmierungsumgebung wird in Unicode geschrieben Version 3 Release 7 1 Unternehmensprozessobjekte Eine Codegruppe die zur Ausfiihrung einer bestimmten Registrierungsoperation z B zum Priifen des Registrierungsstatus oder zur Best tigung des Sendens eines ffentlichen Schl ssels verwendet wird Unternehmensprozessschablone Eine Gruppe von Unternehmenspro
247. tionen zu Zertifikaten und CRLs im Directory ergeben m Sicherheitsrelevante Ereignisse Ereignisse die sich aus der Ausf hrung sicherheitsrelevanter Tasks ergeben Hierzu z h len beispielsweise Integrit tspr fungen Authentifizierungen und Zertifikatspr fungen m Ereignisse f r Pr fadministratoren Diese Ereignisse ergeben sich aus Aktionen die mit den Aufgaben von Pr fadministrato ren zusammenh ngen Die Aufgaben eines Pr fadministrators umfassen die Implementie rung der Sicherheitsregeln Ihres Unternehmens m RA Ereignisse Ereignisse die sich aus den Aktionen einer RA ergeben N here Informationen zu Pr fereignissen finden Sie im Abschnitt huf Seite 124 Masken fur Prufereignisse In Tivoli PKI bieten Masken fiir Pr fereignisse Unterst tzung f r die Steuerung der Priifer eignisse die an den Pr f Server weitergeleitet werden Beachten Sie dass eine verbindliche Untermenge von Pr fereignissen nicht von Maskenspezifikationen beeinflusst wird Informationen zum Definieren einer Maske f r Pr fereignisse finden Sie im Abschnitt Prif Verbindliche und optionale Pr fereignisse Eine bestimmte Untermenge von Pr fereignissen ist verbindlich Diese Ereignisse werden von Maskendefinitionen in der Konfigurationsdatei des Pr f Clients nicht betroffen Informa tionen zu verbindlichen und optionalen Pr fereignissen finden Sie in Version 3 Release 7 1 Integritatspr fung Tivoli PKI bietet ein Tool mit dem gepr ft we
248. tokolleintr ge anzeigen sss NEE EE eR Ren en AAR 47 Protokolleintr ge suchen 4 4 iii ANNE se bays epee ede ande bade td papu aka 49 Pr fserver Port auf dem Priif Client ndern _ 49 Sendeart f r Ereignisse vom Pr f Client andem 49 Listener Port f r den Pr fserver ndern eee nes 51 Anzahl der Bindungsversuche zwischen Pr fserver und Pr f Client andern 51 Intervall zwischen Bindungsversuchen ndern 51 Protokolleinstellungen ndern 52 Pr fberichte generieren 2 6 eee eee ee eens 54 Pr fprotokolldateien archivieren und unterzeichnen 39 Integrit t der Datenbank des Pr fservers und der Archivierungsdateien pr fen 55 Status des Priifservers por fen eee 58 Pr fserverprotokolle pr fen u ass ew 00 ne dake eee an 59 DB2 D tenb nken verwalten s uywas ne aa uw a ne 60 Status der DB2 Datenbanken pr fen 1 cs uwa eee 60 DB2 Protokolle pr fen NEE suq us Ee SRR paga Ee Re ee eee ne ns 62 Directory Server verwalten uu yr uyu oo Se Se oben ee re eu 62 Status des Directory Servers pr fen us u ana asla sa ea een 63 Directory Server Protokolle pr fen ss sasaqa qawa eee ee 64 IBM SecureWay 4758 PCI Cryptographic Coprocessor verwalten 64 Version 3 Release 7 1 Kapitel 4 Erl uterungen 65 Tivoli PKI Sicherheit rs ee ei ein 65 Z
249. tte im Abschnitt LFehlerbehe eite nach 3 Wechseln Sie in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standard pfad usr 1Ipp iau bin 4 Pr fen Sie ob der Port in diesem Fall Port 59998 erfolgreich antwortet indem Sie folgenden Befehl eingeben ServerControl i c k AUDIT n Server p 59998 1 Protokolldatei Hierbei steht Server f r den Namen des Pr f Servers der mit dem angegebenen Port in diesem Fall Port 59998 zugeordnet ist und Protokolldatei f r den Namen der Datei in der die Ergebnisse des Befehls ServerControl aufgezeichnet werden sol len Ist die Antwort des gepr ften Ports erfolgreich wird folgende Nachricht angezeigt Der Pr f Server wird momentan ausgef hrt Hierbei steht Server f r den Server der Port 59998 zugeordnet ist m Unter Windows NT 1 2 Melden Sie sich bei Windows NT als Systemadministrator an Starten Sie den Task Manager durch Driicken der Tastenkombination Strg Alt und Entf W hlen Sie die Registerkarte Prozesse aus Suchen Sie nach dem Prozess java exe Finden Sie diesen Prozess fahren Sie mit Schritt H fort Finden Sie diesen Prozess nicht lesen Sie bitte im Abschnitt LFehlerbehe eite nach Wechseln Sie an der MS DOS Eingabeaufforderung in das Verzeichnis bm Dieses Verzeichnis hat folgenden Standardpfad c Program Files IBM Trust Authority bin Version 3 Release 7 1 6 Pr fen Sie ob der Port in diesem Fall Port 59998 erfolgre
250. u uiu ui jJun sop uteN PA 310 1 400d uoJ roa GIO pu uo ds u outa wuyosqy qIO UT ssnur MJH URN ANOJN josoy uamgund Jap IWeN Joq oueNAolog 81 UIN A uonu9pioj 98 q 210 qo ue 101 pormnbayAorod fopuey o3oy oyos uN d Du SUP um uots sa qo ue IqIH PO AN Od 81 YoIJapslojia SuNPUIMAIATOSSNTYOS URN d Jop SUNIDIOMI_ Ip qo Up Iq pormnbayyases 9 Ady PIIM JzJMsIQVUN SuNpUdMIOATASSNTYIS URN L Jop SUNID IOMI_ Ap qo ur 1qID pa11oddnsasesnAoy uupy usgsdue spuejsusdad SEJNI Sop ssn u5S UUU SL u p YA IPO aInug Jusm UIN SPUI9PIOJUY Jap qo ue OI ajgeiprodsAoy uupy uogodur z EIS AP VA IPO PMUJ UIN aL pui opioJuv Jap qo ue qID o quifloodsoullp es 1eq pug sojwsjgoA1d uon e m3yuoy LN UOHVINSIUOYPAepuUL S geur S JIM sSunqir iuo5s q PPWEIBT sHoj lajepsuoneinbyuoy 19X19S YH FL ae Version 3 Release 7 1 100 5 Referenz informationen HOIAYL IST SNOY ISHAL Jap aqvsioqg I HOTAHYEUL IST ef 0 aNoOY IsNIL Jap oqesiaqn 0 AIOATTOqUIvYOISNIy xpid asn XIV MA u oy ulorqrq uN KDIdV O LN SMOpUIM MA XTAd YOA HOI INZ ptJd STIAOLUeA Aayurewoc inox surewoq jNd ner ddj ssn X1V MA NA UMWOAAINOA SURBWOTKIIINIOYUMNY u r leq uN ISNIL WIT SOTII umiSoidv 9 LN SMOpUIAA In J maodui l Sunsayotedg nz pejd uleqdur r ef 0E8T Jureunsaros xwyd Wy s p WO sep assa pv T N I TAN ANSSI VO Amoyny Isn
251. u Aktuelles Datum Neues Verfallsdatum fiir den Schliissel new WithOld Alt Aktuelles Datum Altes Verfallsdatum fiir den Schliissel oldWithNew Neu Altes Startdatum fiir Altes Verfallsdatum fiir den Schliissel den Schliissel Der zweite Teil des Rollover Prozesses f r den CA Schliissel beginnt sobald die Verarbei tung des Befehls cakeyroll abgeschlossen ist Der Befehl sollte die folgende Nachricht aus geben 124 Version 3 Release 7 1 CA Key Rollover wurde gestartet Sie k nnen nun den Befehl Start_TA sh eingeben Bitte versuchen Sie nicht den Server in die Produktionsumgebung zu stellen oder durch das Absetzen von Anforderungen zu testen nachdem Sie den Befehl Start_TA sh abgesetzt haben Diese Aktionen Konnen Sie erst dann vornehmen nachdem der Administrator gepriift hat ob die CA Protokolldatei die folgende Nachricht enth lt Ausf hrung von CA Key Rollover f r RA ra name erfolgreich Anmerkung Bei mehreren RAs muss f r jede RA eine Nachricht in der Protokolldatei angegeben sein Sobald der Administrator festgestellt hat dass die Nachrichten in der CA Protokolldatei angegeben sind kann er das Tivoli PKI System in die Produktionsumgebung zur ckstellen Die Prozeduren f r die Aktualisierung des CA Schl ssel sind unter LCA Schl ssel aktualisieren auf Seite 20 ausf hrlich beschrieben Nachdem der CA Schl ssel Rollover Prozess abgeschlossen ist muss der Administrator ermitteln ob der CA als un
252. uditServer jer Program Files IBM Trust Authority etc TrustAuthority AuditServer ini Die Konfigurationsdatei des Priif Servers Diese Datei ent halt die Konfigurations variablen des Priif Servers Sie k nnen diese Variablen ndern um grundlegende Funktionsmerkmale und Verbindungseinstellungen des Pr f Servers neu zu konfigu rieren und um das Protokollie ren von Debug und Fehlernachrichten zu steuern Die Variablen legen au erdem fest welche Ereignisse proto kolliert werden 84 Version 3 Release 7 1 Dateibeschreibung Eine Konfigurationsdatei ist in Abschnitte unterteilt Jeder Abschnitt beginnt mit einer Kopf zeile die in eckigen Klammern eingeschlossen ist Beispiel Abschnitt Ein Abschnitt kann eine oder mehrere Anweisungen mit Zuordnungen von Parametern und Werten Parameter Wert enthalten Die hier aufgef hrten Tabellen enthalten alle Abschnitte und Parameter der Tivoli PKI Konfigurationsdateien die zum Zwecke der Systemverwaltung editiert werden k nnen Die Tabellen enthalten folgende Spalten Parameter Beschreibung Wert gem Standardkonfiguration Diese Spalte enth lt den Standardwert sofern vorhanden Wenn ein Standardwert exis tiert ist ein Parameter optional andernfalls ist er erforderlich Nach Konfiguration problemlos nderbar Diese Spalte gibt dar ber Aufschluss ob der angegebene Wert ge ndert werden Kann Dieses System ignoriert Leerzeichen Einheiten m ssen
253. ugriffssteuerungsliste Access Control List ACL 65 Zertifikatsaussteller Certification Authority CA 66 CA Hierfarchien ches gana RR ne ea en a a nn 66 Zertifikatserweiterungen u apaspa osa spa a Do ae qw eee ae a Sm ah i a ai 67 Zertifikatswiderrufsliste CRI wass E kuala ae nena 70 Gegenseitige Zertifizierung 1 6 eee teen ena 70 Zera GU ACS LEE 71 Digitale Zertitik te un uyay ne na an aan beads aes 71 Registrierte Namen u cm dae awakusqa Lens ae kenne 71 Liste der ausgestellten Zertifikate OCL 71 Unterzeichnen und Giiltigkeitspriifung f r Unterschriften 72 Registrierungsstellen RA uu uu u uku nnn ene 72 Registratoren 2 2 a ie a haw eee de Ce EWES en EMER ESE oo EER ER CREE TESORO MUS 72 Resistrierungsdom nen u aS bake eto ee ee PR eee CN 73 Mehrere RAS uu u u uya das Er a ace ation Rg woke eee en Ae A SG HRA Re dos Bae Ee Bales 73 bergabe der Trust ette o oo ele et EE EE EE 73 IBM SecureWay 4758 PCI Cryptographic Coprocessor eee eee 73 Unterschiede zwischen den Optionen f r Beibehaltung und Nicht Beibehaltung 74 Aufgabenbereiche und Profile 76 IBM 4758 Cryptographic Coprocessor in der Tivoli PKI Umgebung installieren und klonen 76 PPE ns ayau yum a nen beeen ere gaye Wa get gee See wer ae 77 Protokolleiitr ge ccc G ice REINER a ei a a an 78 Pr tereisnisse se 0 0 ne ee ee ee 78 Masken f r Priifereignisse uyay uk n
254. umqo d uon BINSIUOY WOEN UOHVINSIUOYpPjAepuL S GeUlss JIM sSunqir iu5s q PPWEIBT sHojJ lajepsuoneinbyuoy 149X19S YI EL ale 91 Tivoli PKI Systemverwaltung purs SIS UIN A semz sTYO u jne 8qe qo ue OI STyOpordx_mory UdTIOS UPIM JOPUIMIIA Sassazoidjnig S P uN L TSL ste STAY pun STAO qo ue 0 STAO Sf Logoen 9n g9 t s 1 Zunjjejsurg 19q IeQsNy1oA INN 8707 PUN HZOT TIS PUIS INOM 2020 uN TIS SQN SIESSNIYOS 8SLY S P FULT ANA UU Lat nn g r sn Zunttaisut p m u Uojdur 1oq egd npoA INN ZMU ur0 o3q8 p urn yu u op am NIV LAY uondO og mu ony ospe uondo Ip vO Jap qo ue Ou UlPIOAZCLL ONN B CLES Zunjjejsurg Ioq IeqsNj 10A UIN 6621ND9S INN STYOId 8SLy S P loAuuoy seq ISVIYGSSUGIYOIG8S LY ONN BCLPEsf Zunjjejsurg 19q qS INN uN IOOVOWAI STJOId 8SLp Sep CI Jozinusg aq PH S 9 O1d8 IZMU geit uN ospe WEI Y uurq AP vO Jap qo W un 8S LOS N UION 0090895E0T00 PTA TPLI 2F79 0880PrLr SG Wal oyu DI AIND AIND8SLr LF Saeo Aounyisnsp ajener ddyjasn XIV MA TF SsTeoVQHounvy1 sni Xo019VOqrou ny pied pue APNA Ap UIN ISNI NANSAL umiSoidv 3 LN SAOpUuIAA MA Inj umur jeq pun pejg Jonjosqy IIQUONOL tojensrururpejnid UIN NIdOS u p my yomuuoysSuezuy mdosTentuf uN V68 c19OV 000 0849 IdII cr6O 09O6cSH reyynuepy onbrun Ieqo D pmd uN TAGOW JOVAOLS IISINd si9uo1odS u opu oA A sap WV PPOW Joe OSA AISI
255. ung dieser Daten durch nicht berechtigte Personen verhindert Im Gegensatz hierzu versteht man unter dem Schutz der Vertraulichkeit von Daten wenn verhindert wird dass diese unberechtigten Personen zug nglich gemacht werden Integrit tspr fung Die Pr fung der Protokolleintr ge die f r Transaktionen mit externen Komponenten aufgezeichnet wurden International Standards Organization ISO Eine internationale Organisation die sich mit der Entwicklung und Ver ffentlichung von Standards befasst International Telecommunication Union ITU Eine internationale Organisation in der Verwaltungs und private Industriebereiche globale Datenfern tibertragungsnetze und services koordinieren Bei der Ver ffentlichung von Informationen zur Datenfern bertra gungstechnologie sowie den entsprechenden Regelwerken und Standards nimmt sie eine f hrende Position ein Interne Struktur Siehe Schema Internet Ein weltweiter Verbund von Netzen die die elektronische Verbindung zwischen Computern und die Kommunika tion zwischen den Computern ber Softwareeinrichtungen wie elektronische Post E Mail oder Web Browser erm glichen So sind beispielsweise die meisten Universit ten in ein Netz eingebunden das seinerseits eine Ver bindung zu anderen hnlichen Netzen hat die zusammen das Internet bilden Tivoli PKI Systemverwaltung 143 Jesso 5 144 Internet Engineering Task Force IETF Eine Gruppe die sich schwerpunktm ig mit dem Entwickel
256. urch eine Transaktion mit einer Nicht Tivoli PKI Komponente entstandenen Protokolleintrag zu testen fehlgeschlagen ist SuccessfulAcquirePrivilege Gibt an dass die Anforderung eines bestimmten verbindlich Tivoli PKI Systemverwaltung 127 USUONEW IOJUN ZU919J9H G 128 Tabelle 19 Pr fereignisse Forts Ereignis Beschreibung Verbindlich oder optional UnsuccessfulAcquirePrivilege Gibt an dass die Anforderung eines bestimmten verbindlich Zugriffs auf einen Tivoli PKI KeyStore fehlge schlagen ist Aktionen des Sicherheitsbeauftragten SOAdd Gibt an dass dem System ein Priifadministrator verbindlich hinzugefiigt wurde SODelete Gibt an dass ein Pr fadministrator vom System verbindlich entfernt wurde AudEventMaskChange Gibt an dass die Maske ge ndert wurde die die verbindlich Gruppe von Pr fereignissen definiert die ein Client an den Server senden kann CACrossCertRequest Gibt an dass ein Zertifikat eines gegenseitig verbindlich zertifizierten CA angefordert wurde CAHierarchicalCertReq Gibt an dass ein Zertifikat eines hierarchisch zertifizierten CA angefordert wurde verbindlich SubmitRevocationRequest Gibt an dass ein Registrator RA Administrator eine Widerrufsanforderung tibergeben hat optional RequestSetRenewable Gibt an dass ein Registrator angefordert hat ein Zertifikat mit dem Status erneuerbar zu defi nieren verbindlich Reque
257. uy SIOAIOSUINN Liv u un1 s I A USLONUSLIOUSIIIA u AISIn3 1 UIN SI Taq IJONSSUNIYIOA ALUE u d quo 1e SureuOumuixe UOPIOM u punj s 1 lssnv UUNO INJ STAY 19P0 sTYO 2019 UUM UION d Toto y U qo up 141 e JO LPS TYO MONTY u os USPIOM J puo moFue QOY Jop ut eJZ NZ sep J Inu Japo oe ny uodunyurayssum URN d SUOUUBNY qo up IGID S IUCHTZOLSIUIEISUOCHGUIEN Al purs SISSRINZ UsqesuesuINnyegq usn UIN H yunyNz 1001 Jeyrgni9ozZ qo ue qID SOJVOTIWIODOININ MOTTV purs SIsse nz UIN VEJNOJ u Jne Sqe qo ue 101 SIEILNIOJPIHIXTMOIIV Aieqai opuue sojwajgoA1d uon pinSrjuo3 YOUN UOHVINSIUOYpPAepuL S GeUlss JIM sSunqir iu5s q PPWEIBT sHojJ lajepsuoneinbyuoy Juge KH FL a egeL 103 Tivoli PKI Systemverwaltung Motup vO UP MJ NA ut p pun ossoipy JTaN Jop uw uoneins IESSE Ga Anoyny 1sniL OH NO Quiou nvy 1Jsni1 O 1 T O u uuu oui olur ef Na VO yuoy Jop od pA Senurg Joo HIE e Ee ek tel STAA UION gPFANI NSA TOI my Juequojeq Jop OWEN IOSUUODISALAIAPOTPI uN aan SIOJOIQUY DAdO Sep UV TOPIAOIGIGPOPI TOI UIN JOPUIMIIA JOIN Jod sSum eAd9A 1 n1N V Joquruippylu rmo UIN JOPUIMIIA JYSIN JOJeSTUIUIpY UOA NA NATumupy Gei UIN 0 IsumupYy u rztJni9z Jop yezuy sunupyumN u putJj q ur s S u q s Wap ne pt q yS uu A PIIM JopusmasuR OSdISSuNTassn YOsIaA uI IOI SIUILIPY WU u ss p pun
258. ver fiir den Server der Port 29783 zugeordnet ist m Unter Windows NT 1 Melden Sie sich bei Windows NT als Systemadministrator an 2 Starten Sie den Task Manager durch Driicken der Tastenkombination Strg Alt und Entf 3 W hlen Sie die Registerkarte Prozesse aus 4 Suchen Sie nach dem Prozess irgrasvr exe Finden Sie diesen Prozess fahren Sie mit Schritt B fort Einden Sie diesen Prozess nicht lesen Sie bitte im Abschnitt nach 5 Wechseln Sie an der MS DOS Eingabeaufforderung in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standardpfad c Program Files IBM Trust Authority bin 6 Stellen Sie sicher dass Port 29783 erfolgreich antwortet und geben Sie hierzu fol genden Befehl ein ServerControl i c k CA n Server p 29783 1 Protokolldatei Hierbei steht Server fiir den Namen des RA Servers der Port 29783 zugeordnet ist und Protokolldatei fiir den Namen der Datei in der die Ergebnisse des Befehls Ser verControl aufgezeichnet werden sollen Ist die Antwort des gepriiften Ports erfolgreich wird folgende Nachricht angezeigt Es wurde festgestellt dass der RA Service auf dem Server am Anschluss 29783 ausgef hrt wird Hierbei steht Server fiir den Server der Port 29783 zugeordnet ist RA Einstellungen fur die Kommunikation mit dem Directory andern Der RA Server kommuniziert mit dem IBM Directory Server um den Registrierungsprozess zu verwalten In der Konfigurationsdatei des RA Servers k
259. ver oder einer Anwendung gesendet wird und zum Anfordern der Benutzer berechtigung dient Der Benutzer der zur Authentifizierung aufgefordert wird unterzeichnet die Pr fzeichenfolge mit einem privaten Schl ssel Der ffentliche Schl ssel des Benutzers sowie die unterzeichnete Pr fzeichenfolge werden zur ck an den Server oder die Anwendung gesendet der bzw die die Authentifizierung anforderte Der Server versucht anschlie end die unterzeichnete Pr fzeichenfolge mit Hilfe des ffentlichen Schl ssels des Benutzers zu entschl sseln Wenn die entschl sselte Pr fzeichenfolge mit der urspr nglich gesendeten Pr fzei chenfolge bereinstimmt gilt der Benutzer als authentifiziert Public Key Cryptography Standards PKCS Informelle hersteller bergreifende Standards die im Jahr 1991 von den RSA Laboratories in Zusammenarbeit mit Repr sentanten verschiedener Computerhersteller entwickelt wurden Diese Standards umfassen die RSA Ver schl sselung die Diffie Hellman Vereinbarung die kennwortbasierte Verschl sselung sowie die Syntax f r erwei terte Zertifikate verschl sselte Nachrichten Daten zu privaten Schl sseln und f r die Zertifizierung m PKCS 1 beschreibt ein Verfahren zum Verschl sseln von Daten mit Hilfe des RSA Verschl sselungssystems auf der Basis ffentlicher Schl ssel Er dient zur Erstellung digitaler Unterschriften und Briefumschl ge m PKCS 7 definiert ein allgemeines Format f r verschl sselte Nachrichten m
260. versal Database IBM RS 6000 SecureWay Tivoli and WebSphere sind in gewissen L ndern ein getragene Marken der International Business Machines Corp oder von Tivoli Systems Inc Das Programm Tivoli PKI im folgenden als Programm bezeichnet enth lt Komponenten von IBM WebSphere Application Server und IBM HTTP Web Server IBM Server Diese d rfen nur zusammen mit dem Programm installiert und entsprechend der f r das Programm geltenden Lizenzvereinbarungen in Kombination mit diesem verwen det werden Die IBM Server m ssen auf derselben Maschine wie das Programm installiert sein Sie sind nicht berech tigt sie unabh ngig vom Programm zu installieren und zu verwenden Das Programm Tivoli PKI im folgenden als Programm bezeichnet enth lt Komponenten von DB2 Universal Database Diese Komponenten d rfen nur zusammen mit dem Programm installiert und entsprechend der f r das Pro gramm geltenden Lizenzvereinbarungen in Kombination mit diesem verwendet werden um Daten zu speichern und zu verwalten die vom Programm verwendet oder generiert werden F r andere Datenverwaltungsoperationen ist der Ein satz nicht gestattet Diese Lizenz gilt z B nicht f r eingehende Verbindungen zur Datenbank die von anderen Anwen dungen aus f r Abfragen und Berichtserstellungsoperationen hergestellt werden Sie sind lediglich zur Installation und Verwendung dieser Komponenten auf der gleichen Maschine berechtigt auf der auch das Programm installiert
261. verwaltung 75 us un4ayneug r Aufgabenbereiche und Profile Tivoli PKI und der IBM 4758 Cryptographic Coprocessor interagieren ber unterschiedliche 4758 Aufgabenbereiche und Profile die w hrend der Installation von Tivoli PKI erstellt werden Die durch Tivoli erstellten Aufgabenbereiche und Profile sind f r die Inbetrieb nahme und Verwendung eines Systems ausreichend Bei den meisten Kunden k nnen jedoch hinsichtlich des IBM 4758 Cryptographic Coprocessor zus tzliche Optimierungen und Verwaltungsaktionen erforderlich sein Die w hrend des Installationsprozesses von Tivoli PKI erstellten Profile enthalten sowohl f r die Profilkennphrase als auch f r das Profil selbst Verfallsdaten Diese Verfallsdaten m ssen beachtet werden und die Profile m ssen wie erforderlich ge ndert und aktualisiert werden Falls die G ltigkeitsdaten der Profile nicht innerhalb des aktuellen Zeitraums gehalten wer den k nnen kann dies dazu f hren dass Sie aus dem IBM 4758 Cryptographic Coprocessor ausgesperrt sind Als komfortable Sicherheitsfunktion verf gt der IBM 4758 Cryptographic Coprocessor ber einen einzigen Aufgabenbereich DEFAULT auf den der Zugriff nicht durch eine Kenn phrase gesch tzt ist Nach der Erstelltung der Tivoli PKI spezifischen Aufgabenbereiche und Profile wird durch den Installationsprozess ein eingeschranktes Standardprofil geladen das die M glichkeiten dieses nicht gepr ften Aufgabenbereichs reduziert Das
262. wser auf die Textanzeige beschr nkt sind Die meisten Browser unterst tzen die Hauptformen der Internet Kommunikation z B die Ausf hrung von FTP Transaktionen Web Server Ein Server Programm das auf Anforderungen von Browser Programmen nach Informationsressourcen antwortet Siehe auch Server WebSphere Application Server Ein IBM Produkt das Benutzer bei der Entwicklung und Verwaltung von Websites mit einem hohen Leistungs umfang unterst tzt Es erleichtert den bergang vom einfachen Web Publishing zu komplexen e business Anwen dungen im Web Der WebSphere Application Server besteht aus einer Java Servlet Maschine die unabh ngig vom Webserver und dem verwendeten Betriebssystem arbeitet World Wide Web WWW Der Teil des Internets in dem ein Netz von Verbindungen zwischen Computern aufgebaut wird auf denen Hyper mediamaterial gespeichert ist Dieses Material stellt neben Informationen auch Verbindungen Hyperlinks zu anderem Material im World Wide Web und Internet zur Verf gung Der Zugriff auf WWW Ressourcen erfolgt ber einen Web Browser X 500 Ein Standard f r die Implementierung eines multifunktionalen verteilten und vervielf ltigten Verzeichnisservices durch die Verbindung von Computersystemen Dieser Standard wurde gemeinsam definiert von der bisher als CCITT bekannten International Telecommunications Union ITU sowie der International Organization for Stan dardization und der International Electro Chemical Commission
263. yA com M outCA us companyA com h r tmp ccprereg reg P 1835 Secure99 URIs angeben Sie k nnen ein CA Zertifikat anfordern das die CA Hierarchie eines anderen CA bernimmt und die Giiltigkeit des Zertifikats auf eine Gruppe von URIs Uniform Resource Identifiers eine Kennungskategorie die haupts chlich aus URL Adressen besteht einschr nkt Im fol genden Beispiel wird das Betriebssystem Windows NT verwendet alle Tivoli PKI CA Hosts verf gen ber URIs die mit xyz com enden Pfad und Dateiname der Vorabregistrierungs datei lauten a ccprereg reg und das Kennwort lautet Secure Folgender Befehl platziert die angegebene URI in der Liste zul ssiger Unterverzeichnisstrukturen CACertRq u xyz com h r a ccprereg reg P 1835 W Secure99 Tivoli PKI Systemverwaltung 27 asloamsudYyeb10A ANZ u uolguuilojuj Anmerkung Der Knotenabschnitt der URI unterliegt den im Abschnitt LDNS Adresser angehen auf Seite 23 beschriebenen Regeln sofern er keine IP Adressen ent h lt In diesem Fall wird er als exakte bereinstimmung behandelt Verzeichniseintr ge angeben Sie k nnen ein CA Zertifikat anfordern das die CA Hierarchie eines anderen CA bernimmt und die G ltigkeit des Zertifikats auf eine Gruppe von Verzeichniseintr gen mit den gleichen RDNs Relative Distinguished Names relative registrierte Namen einschr nkt Im folgenden Beispiel wird das Betriebssystem AIX verwendet alle Tivoli PKI CA Hosts verf gen
264. yabio ANZ u uolguulojuj ICL Schutzregel ndern Die Liste der ausgestellten Zertifikate Issued Certificates List ICL enth lt die ausgestell ten Zertifikate zusammen mit ihrem jeweiligen Status Beim ICL Schutzschl ssel handelt es sich um einen chiffrierten Schl ssel der im Tivoli PKI Schl sselspeicher KeyStore gespei chert ist und verwendet wird um f r alle Spalten der ICL MAC Werte Message Authentica tion Code Nachrichtenauthentifizierungscode zu berechnen Wenn der berechnete MAC Wert nicht mit dem gespeicherten MAC Wert bereinstimmt verwendet das System die ICL Schutzregel und f hrt entsprechende Aktionen aus So andern Sie die ICL Schutzregel 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Tivoli PKI System Lesen Sie gegebenenfalls die Anweisungen unter 3 Laden Sie die Konfigurationsdatei Jonahca ini in einen Texteditor Informationen zu den Dateipositionen unter AIX und Windows NT finden Sie in 4 Editieren Sie im Abschnitt ICL den Parameter IclProtectionPolicy 5 Andern Sie den Wert der ICL Schutzregel in einen Wert der die Anforderungen Ihres Unternehmens erf llt Folgende Werte sind m glich m Ignore Das System ignoriert die Abweichung und zeigt keine Nachrichten an Anmerkung Dieser Wert wirkt sich auf den Betrieb des Tools C AlntegrityCheck aus siehe e e Wenn Sie Ignore ne kann das Tool CAlntegrityCheck keinen Mi
265. zessobjekten die in einer bestimmten Reihenfolge ausgef hrt werden Unterst tzung in der Landessprache NLS Unterst tzung f r unterschiedliche l nderspezifische Angaben in einem Produkt Hierzu geh ren die Sprache die W hrung das Datums und Zeitformat und die Darstellung von Zahlen Unterzeichnen Die Verwendung eines digitalen privaten Schl ssels zum Generieren einer Unterschrift Diese Unterschrift dient dazu zu beweisen dass ein bestimmter Benutzer f r die von ihm unterzeichnete Nachricht verantwortlich ist und diese akzeptiert Unterzeichnen Pr fen Als Unterzeichnen wird die Verwendung eines privaten Schl ssels zum Generieren einer Unterschrift bezeichnet Unter Pr fen versteht man die Verwendung des entsprechenden ffentlichen Schl ssels zur Verifizierung dieser Unterschrift Unverschl sselter Text Nicht verschl sselte Daten Synonym zu Klartext URL Uniform Resource Locator URL Adresse URL Adresse Ein Schema f r die Adressierung von Ressourcen im Internet Die URL Adresse gibt das verwendete Protokoll sowie den Host Namen und die IP Adresse an Au erdem enth lt er Angaben zur Anschlussnummer zum Pfad sowie weitere Ressourcendetails die erforderlich sind um ber eine bestimmte Maschine auf eine Ressource zuzugreifen UTF 8 Ein Umsetzungsformat Es erm glicht Informationsverarbeitungssystemen die nur die Verarbeitung von 8 Bit Zeichens tzen unterst tzen die Umsetzung von 16 Bit Unicode in ein 8 Bit
266. zu verhin dern ist die Erstellung einer Sicherungskopie der beibehaltenen privaten Schl ssel nicht m glich Sowohl bei der Beibehaltung als auch bei der Nicht Beibehaltung Non retain werden die privaten Unterschriftsschl ssel zu keinem Zeitpunkt au erhalb der sicheren Grenzen der gesch tzten integrierten Verarbeitungsumgebung des IBM 4758 Cryptographic Coprocessor preisgegeben In einer Installation bei der die Option f r die Beibehaltung eingesetzt wird wird der private Schl ssel stets innerhalb des IBM 4758 Cryptographic Coprocessor erstellt sowie physisch gespeichert und kann nicht aus diesem entfernt werden Verwendet eine Installation die Option f r die Nicht Beibehaltung wird der private Schl ssel auch hier innerhalb der gesch tzten Umgebung des IBM 4758 Cryptographic Coprocessor erstellt jedoch au erhalb des IBM 4758 Cryptographic Coprocessor in einer stark verschl sselten Form gespeichert auf die nur ein IBM 4758 Cryptographic Coprocessor mit Hilfe des Version 3 Release 7 1 Hauptschl ssels zugreifen kann Bei dieser Option stellt der IBM 4758 Cryptographic Copro cessor den verschl sselten privaten Schliissel in die gesicherte Umgebung entschl sselt ihn unter Verwendung des Hauptschl ssels und f hrt dann die angeforderte Operation aus Neben der offensichtlichen Sicherheitsfunktionalit t gibt es hinsichtlich der Sicherung einen weiteren wichtigen Unterschied zwischen den beiden Installationsoptionen Unter ge
267. zugeordnete Algo varchar rithmus Tivoli PKI Systemverwaltung 129 USUONEULIOJUN ZU919J9H G Tabelle 20 Felder in der Schl sseltabelle Forts Feld Beschreibung Datentyp label Der KeyStore Kennsatz oder ein Token varchar zur Lokalisierung des realen Schl ssels integrity Dieses Feld dient der Aufrechterhaltung varchar fiir Bitdaten der Integrit t des Datensatzes Tabelle f r Ereignisbewertung Diese Tabelle enth lt Informationen zur Bewertung von Ereignissen Diese Tabelle ist schreibgesch tzt und wird bei Installation und Konfiguration geladen Tabelle 21 Felder in der Tabelle f r die Ereignisbewertung Feld Beschreibung Datentyp severity_id Die eindeutige interne Kennung smallint der Ereignisbewertung severity_desc Die NLS Zeichenfolge NLS varchar National Language Support f r die Bewertung Tabelle zur Ereignissteuerung Diese Tabelle enth lt Informationen zu allen Ereignissen die ein Pr f Client an den Pr f Server weiterleiten kann Diese Tabelle ist schreibgesch tzt und wird bei Installation und Konfiguration geladen Tabelle 22 Felder in der Tabelle f r die Ereignissteuerung Feld Beschreibung Datentyp event_id Die eindeutige Ereigniskennung smallint event_desc Eine sichtbare Beschreibung des varchar Ereignisses Dieses Feld kann zur Anzeige von Informationen verwendet werden event_key Eine kurze eindeutige Zeichen
Download Pdf Manuals
Related Search