Tivoli PKI Einführung - FTP Directory Listing
Contents
1. APP_SEC_MECH Der Sicherheits mechanismus der Anwendung Standardm ig wird die RA Datenbank verschl sselung inak tiviert Wenn Sie den Wert auf 1 setzen wird die Datenbank verschl sselung akti viert CA_IBM_CA_CERT _LIFETIME Die in Monaten ange gebene Lebensdauer des CA Zertifikats von Tivoli PKI 36 Dieser Wert muss ein Mehrfaches von 12 sein CA_IBM_ADMIN PORT Der Verwaltungs Port des Zertifikats ausstellers CA von Tivoli PKI Der ange gebene Wert muss auch fiir den PORT Eintrag in der Datei irgAutoCA ini tpl definiert werden die im Verzeichnis cfg gespeichert ist 1835 Tivoli PKI Einf hrung 89 us1a jejsul XIV Join Did IIOAIL 7 Feldname Beschreibung Standardwert ADT_DN Der registrierte Name C US O Ihr DN des Unternehmen OU Tivoli Priifsubsystems Sie PKVCN Tivoli PKI k nnen lediglich den Priifsubsystem allgemeinen Namen CN ndern Konfigurationsprogramm fur den Installationsab schluss ausf hren Nach der Installation der Tivoli PKI Serversoftware m ssen Sie das Konfigurationsprogramm CfgPostInstall f r den Installationsab schluss auf dem Tivoli PKI Hauptserver ausf hren auf dem die RA WebSphere sowie der HTTP Server installiert sind Sie m ssen die ses Programm ausf hren bevor Sie Tivoli PKI mit dem Setup Wizard konfigurieren Von diesem Programm wird eine Webserver Konfigurationsda2. Erstellen Sie eine dbfsibm Partition und definieren Sie f r diese 500 MB 1 000 000 512 Byte Bl cke Dies ist das Standarddateisystem f r den Tivoli PKI CA M glicherweise muss die Gr e angepasst werden um der Anzahl der ausgestellten Zertifikate zu entsprechen Erstellen Sie eine dbfspkrf Partition und definieren Sie f r diese 300 MB 600 000 512 Byte Bl cke Dies ist das Standarddateisystem f r die Registrierungs funktion Beachten Sie hierbei dass die Gr e m glicher weise entsprechend der Anzahl der Benutzer angepasst wer den muss die eine Zertifikatsregistrierung durchf hren Erstellen Sie eine dbfsadt Partition und definieren Sie f r diese 300 MB 600 000 512 Byte Bl cke Dies ist das Standarddateisystem f r das Pr fsubsystem Beachten Sie hierbei dass die Gr e m glicherweise entspre chend der Anzahl der Pr fereignisse angepasst werden muss die protokolliert werden sollen Erstellen Sie eine dbfskrb Partition und definieren Sie f r diese 300 MB 600 000 512 Byte Bl cke Dies ist das Standarddateisystem f r die Funktion zur Schl sselsicherung und wiederherstellung Beachten Sie hier bei dass die Gr e m glicherweise entsprechend der Anzahl der ausgegebenen Anforderungen f r die Schl sselsicherung angepasst werden muss Version 3 Release 7 1 CD ROM Dateisystem erstellen Wenn Sie Tivoli PKI sowie die hierf r erforderlichen Produkte installieren wollen m ssen Sie
3. Sie sind nicht berechtigt die IBM Server zu anderen Zwecken als in Verbindung mit der lizenzgerechten Verwendung des Programms zu benutzen Die IBM Server m ssen auf derselben Maschine wie das Programm installiert sein Sie sind nicht berechtigt sie unabh ngig vom Programm zu installieren und zu verwenden Java und alle auf Java basierenden Marken und Logos sind in gewissen L ndern Marken der Sun Microsystems Inc Microsoft Windows Windows NT und das Windows Logo sind in gewissen L ndern Marken der Microsoft Corporation UNIX ist eine eingetragene Marke und wird ausschlie lich von der X Open Company Limited lizenziert Pentium ist in gewissen L ndern eine Marke der Intel Corporation Tivoli PKI Einf hrung PEs Dieses Programm enth lt Sicherheitssoftware von RSA Data Security Inc Copyright 1994 RSA Data Security Inc Alle Rechte vorbehalten Dieses Programm enth lt STL Software STL Standard Template Library von Hewlett Packard Company Copyright c 1994 Die Berechtigung zum Verwenden Kopieren Andern Verteilen und Verkaufen dieser Software sowie der zugeh rigen Dokumentation fiir die gew nschten Zwecke wird hier mit geb hrenfrei erteilt Voraussetzung hierf r ist allerdings da der o a Copyright vermerk auf allen Kopien erscheint und da sowohl dieser Copyrightvermerk als auch dieser Berechtigungshinweis in der zugeh rigen Dokumentation aufgef hrt werden Hewlett Packard Company macht kei
4. Produkt Anmerkungen Eines der folgenden Betriebssys teme m IBM AIX 6000 AIX Version 4 3 3 Wartungsstufe 6 m Microsoft Windows NT Version 4 0 mit Service Pack 5 Erforderlich m Alle Tivoli PKI Server Pro gramme m ssen auf derselben Plattform installiert werden AIX und Windows NT Maschi nen d rfen nicht gleichzeitig in derselben Tivoli PKI Installation verwendet werden IBM DB2 Universal Database Ver sion 6 1 Fix Pack 4 RH Erforderlich im Tivoli PKI Datentr gerpaket enthalten m F r jede Tivoli PKI Server Komponente ist eine eindeutige Datenbank vorhanden Vor der Installation von Tivoli PKI muss DB2 auf jeder Maschine instal liert werden die als Tivoli PKI Server verwendet werden soll IBM WebSphere Application Server Standard Edition Version 3 5 Pro gram Temporary Fix PTF 4 Die ses Produkt umfasst IBM HTTP Server Version 1 3 12 3 und Sun Java Development Kit JDK Ver sion 1 2 2 Program Temporary Fix PTF 8 Erforderlich im Tivoli PKI Datentr gerpaket enthalten m Vor der Installation von Tivoli PKI muss die Web Server Soft ware auf derselben Maschine installiert werden auf der auch die Registrierungsstelle instal liert werden soll IBM Directory Version 3 1 1 5 Erforderlich im Tivoli PKI Datentr gerpaket enthalten m Vor der Installation von Tivoli PKI muss die Directory Soft ware installiert werden Die Directory Software kann au
5. m Der Regel Exit policy_exit der im Unterverzeichnis bin instal liert ist Tivoli PKI stellt diesen Exit als Beispiel daf r zur Ver f gung wie die automatische Genehmigungsverarbeitung zu implementieren ist Sie K nnen andere Exits schreiben durch die die Registrierungsverarbeitung in andere Anwendungen integriert wird oder durch die eigene Registrierungsaktionen verarbeitet werden Informationen zu den nderungen die Sie an den Registrierungs und Zertifizierungsprozessen vornehmen k nnen sowie Anweisungen zur Vorgehensweise finden Sie im Handbuch Tivoli PKI Anpassung Zus tzliche Informationen zur Anpassung finden Sie im IBM Red book Working with Business Process Objects for Tivoli SecureWay PKI IBM Form SG24 6043 00 Diese Ver ffentlichung enth lt Emp fehlungen zum Entwickeln und Anpassen von BPOs Unternehmens prozessobjekten an die individuellen Anforderungen Ihres Unterneh mens Tivoli PKI Einf hrung Buniaynyuig Did HOAIL L Zertifikatsaussteller 10 Der Zertifikatsaussteller CA ist die Server Komponente die den Zertifizierungsprozess verwaltet Er stellt dabei eine anerkannte dritte Partei f r die Benutzer dar die e business Aktionen ausf hren und b rgt ber die von ihm ausgestellten Zertifikate f r die Identit t von Benutzern Das Zertifikat weist nicht nur die Identit t des Benutzers nach es enth lt au erdem einen ffentlichen Schl ssel mit dem der Benutzer die Kommunikation pr f
6. ses erneut eingeben und klicken Sie anschlie end auf Weiter Der empfohlene Wert f r beide Eintr ge lautet db2admin Das Programm beginnt mit der Installation der Datenbank software Die Ausf hrung dieses Prozesses kann einige Minuten dauern Klicken Sie im Fenster Setup abgeschlossen auf Beenden um die Installation abzuschlie en Version 3 Release 7 1 Webserversoftware installieren Tivoli PKI verwendet zur Unterst tzung seiner Web basierten Funkti onen IBM WebSphere Application Server und IBM HTTP Server Befolgen Sie beim Installieren der Software auf einer Windows NT Plattform die angegebene Prozedur um sicherzustellen dass die Webserverprogramme f r den Einsatz mit Tivoli PKI korrekt instal liert sind Sie m ssen die Software auf der Maschine installieren auf der auch die RA Komponente installiert werden soll Zum Lieferumfang von Tivoli PKI geh rt eine aktualisierte Version des WebSphere Application Server die sich auf der CD von Tivoli PKI f r AIX und NT befindet Sie k nnen die CD von WebSphere Application Server Version 2 02 zum Installieren des IBM HTTP Server und die Tivoli PKI CD zum Installieren des WebSphere Application Server verwenden Obwohl WebSphere ber eine Verwaltungsschnittstelle zum Verwal ten von Servlets verf gt ist es weder m glich noch erforderlich Tivoli PKI Servlets ber diese Schnittstelle zu verwalten JDK installieren Gehen Sie wie folgt vor um JDK zu installieren
7. 1 Legen Sie die CD f r WebSphere Application Server Version 2 0 2 in das CD ROM Laufwerk Ihres Systems ein 2 Wechseln Sie in das Verzeichnis NT jdk und f hren Sie das JDK Programm setup exe aus Klicken Sie im Eingangsfenster auf Weiter 4 Lesen Sie die Informationen im Fenster mit den Softwarelizenz vereinbarungen und klicken Sie anschlie end auf Ja um diese zu akzeptieren 5 Akzeptieren Sie im Fenster Komponenten w hlen die Standard auswahloptionen Programmdateien Bibliothek Header Dateien und Demo Applets Klicken Sie auf Weiter um den Standard installationspfad zu verwenden W hlen Sie andernfalls das gew nschte Laufwerk und den gew nschten Zielordner aus in Tivoli PKI Einf hrung 101 usaa jelsul IN SMOPUIM 49 UN Did HOAIL e dem JDK installiert werden soll und klicken Sie anschlie end 102 8 auf Weiter Im vorliegenden Fall kann der Standardpfad ver wendet werden berpr fen Sie im Fenster Kopiervorgang starten die ausge w hlten Optionen und klicken Sie anschlie end auf Weiter um die Verarbeitung fortzusetzen Klicken Sie im Fenster f r den Installationsabschluss auf die Option f r Beenden Wenn die Readme Datei angezeigt wird lesen Sie die darin ent haltenen Informationen IBM HTTP Server installieren Gehen Sie wie folgt vor um IBM HTTP Server zu installieren 1 Legen Sie die CD f r WebSphere Application Server Version 2 0 2 in das CD ROM
8. Server 28 wahlfreie Software Server 28 Web Server Software 28 T ta backup Dienstprogramm 92 117 TCP IP Hostname pr fen 59 temp Verzeichnis 96 Tivoli Kundenunterst tzung xvi Webinformationen zur Sicherheitsverwal tung xvii Version 3 Release 7 1 Tivoli Forts Websites f r Sicherheitsprodukte xvii Tivoli PKI Webinformationen xvii Tivoli PKI Konfiguration Benutzer 98 Tivoli PKI System Beschreibung 1 Datenbanksystem 14 Directory Server 15 Funktionen 1 Haupt Server 4 IBM 4758 PCI Cryptographic Coproces sor 15 Pr fsubsystem 12 RA Server 4 Systemdiagramm 3 unter AIX installieren 77 unter Windows NT installieren 108 Verschl sselungsstandards 23 Web Server 13 Zertifikatsaussteller Server 10 U berblick verwendete Konventionen xvi berblick ber die Vorgehensweise AIX Installation 57 Windows NT Installation 96 Unicode Unterst tzung 54 Unterst tzung f r Tivoli Kunden xvi Unterst tzung in der Landessprache Chiffrieralgorithmen 54 Encryption Edition 54 sprachenspezifische Unterschiede 54 bersicht 54 URL Adressen IBM HTTP Server Ver ffentlichungen 46 Tivoli PKI Bibliothek Web Seite xii Tivoli PKI Homepage xii UTF 8 Verschliisselung 54 Tivoli PKI Einf hrung V Ver ffentlichungen Anpassung 126 Benutzerhandbuch 125 Beschreibung xii Konfiguration 119 RA Desktop 123 Systemverwaltung 122 Tivoli Sicherheitsprodukte xvii Verschl sselungsalgorithmen 54 Vorabregistrierung Browser
9. eee eee eee 105 Directory Software installieren 2 0 0 0 0 0000000000005 105 Directory unter Tivoli PKI verwenden 107 Systemeinstellungen best tigen 107 Tivoli PKI installieren ENEE ENNEN eee 2080 eee Eee ee ee ees 108 Serversoftware installieren 2 0 0 0 0 cae eee eee eee 109 Bootwerte ndem 2 3 2 sara wae 20020 eee eee ewe ee aa 111 Konfigurationsprogramm f r den Installationsabschluss ausf hren 115 Pr fliste f r den Installationsabschluss 2 222222200 116 Backup Dienstprogramm ausf hren 117 Kapitel 6 Tivoli PKI konfigurieren 119 Kapitel 7 Erste Schritte ausunun nun 121 Systemverwaltung 20 0 0c eee eee eee eee eens 122 RA Verwaltung Ae EINEN Oe EOE ea Oe HE EEE Rew EEE SRE oe ES 123 Registrierung und Zertifizierung 2 0 0 0 0 eee eee eee eee 125 HEIEREN ee dan havin eds aN a eek ge en eae ea lee ie 126 viii Version 3 Release 7 1 Tivoli PKI Einf hrung Version 3 Release 7 1 Vorwort Das vorliegende Handbuch enth lt die Informationen die Sie ben ti gen um mit einem Tivoli Public Key Infrastructure System Tivoli PKI produktiv zu arbeiten Es umfasst die folgenden Themen Einsatz von Tivoli PKI in Ihrem Unternehmen f r die verschl s selte authentifizierte und vertrauliche Ausf hrung von Transakti onen ber das Internet Mit Hilfe der Registrierungsfunktion von Tivoli PKI k nnen Sie auf einfache Weise digitale Zert
10. en kann sie in Bezug auf eine ausgedehnte Schl sselsuche flexib ler als DES gestaltet werden Sie verf gt ber eine Blockgr e von 64 Bit und arbeitet auf Softwareebene zwei bis dreimal schneller als DES RC2 kann in den selben Modi eingesetzt werden wie DES Durch eine Vereinbarung zwischen SPA Software Publishers Association und der US Regierung nimmt RC2 einen speziellen Status ein Hierdurch ist das Genehmigungsverfahren f r den Export einfacher und schneller als dies bei anderen Verschl sselungsprodukten der Fall ist Um die Voraussetzungen f r eine rasche Exportgenehmigung zu erf llen muss ein Produkt mit einigen Ausnahmen die RC2 Schl sselgr e auf 40 Bit beschr nken Eine zus tzliche Zeichenfolge kann verwen det werden um Nichtberechtigte abzuwehren die versuchen eine umfangreiche Tabelle m glicher Verschl sselungsvarianten vorauszuberechnen Regel Exit In einer Registrierungsfunktion ein auf Unternehmensebene definiertes Programm das von der Registrierungsanwendung aufgerufen wird Die Regeln eines Regel Exits implementieren die Unternehmens und Sicherheitsbenutzervorgaben eines Unternehmens f r den Registrierungsprozess Tivoli PKI Einf hrung 145 Jesso 5 146 Registrierter Name DN Der eindeutige Name eines im Directory gespeicherten Dateneintrags Der DN dient zur eindeutigen Identifizierung der Position eines Eintrags in der hierarchischen Struktur des Directory Registrierung Bei Tivoli PKI d
11. fereignis ein Datensatz gespeichert wird Pr f Server Ein Tivoli PKI Server der zum Empfangen von Pr fereignissen von Pr f Clients und zum Aufzeichnen dieser Ereignis in einem Pr fprotokoll dient Tivoli PKI Einf hrung 143 Jesso 5 144 Pr fzeichenfolge Eine Zeichenfolge die von einem Server oder einer Anwendung gesendet wird und zum Anfordern der Benutzerberechtigung dient Der Benutzer der zur Authentifizie rung aufgefordert wird unterzeichnet die Pr fzeichenfolge mit einem privaten Schl ssel Der ffentliche Schl ssel des Benutzers sowie die unterzeichnete Pr fzei chenfolge werden zur ck an den Server oder die Anwendung gesendet der bzw die die Authentifizierung anforderte Der Server versucht anschlie end die unterzeich nete Pr fzeichenfolge mit Hilfe des ffentlichen Schl ssels des Benutzers zu ent schl sseln Wenn die entschl sselte Pr fzeichenfolge mit der urspr nglich gesende ten Pr fzeichenfolge bereinstimmt gilt der Benutzer als authentifiziert Public Key Cryptography Standards PKCS Informelle hersteller bergreifende Standards die im Jahr 1991 von den RSA Labo ratories in Zusammenarbeit mit Repr sentanten verschiedener Computerhersteller entwickelt wurden Diese Standards umfassen die RSA Verschl sselung die Diffie Hellman Vereinbarung die kennwortbasierte Verschl sselung sowie die Syntax f r erweiterte Zertifikate verschl sselte Nachrichten Daten zu privaten Schl sseln un
12. gbar sind Dar ber hinaus muss sicherge stellt werden dass das System korrekt konfiguriert ist bevor Sie es einsetzen Das Handbuch Tivoli PKI Konfiguration enth lt Informationen zur Konfigurationsvorbereitung zur Angabe von Konfigurationsoptionen Tivoli PKI Einf hrung 119 Uaiounfuuon Did HOALL 9 120 sowie zur Vorbereitung des Systems f r die Verwendung in einer Produktionsumgebung Die folgenden Informationen sind beispiels weise in diesem Handbuch enthalten Arbeitsbl tter die Sie beim Zusammenstellen von Informationen vor dem Starten des Setup Wizard unterst tzen Richtlinien f r die Verwendung des DN Editors zur Angabe eines g ltigen registrierten Namens DN Empfehlungen f r die Schritte die ausgef hrt werden sollten bevor Tivoli PKI den beteiligten Benutzern zur Verf gung gestellt wird Bitte beachten Sie dass einige Schritte wie bei spielsweise das ndern der Server Kennw rter und das Sichern des soeben konfigurierten Systems kritisch sind Prozeduren f r die Deinstallation der Software Das Handbuch Konfiguration ist f r die Verwendung in einer Web Umgebung konzipiert und bietet Folgendes Taskorientierte Informationen wie z B Anweisungen zum Kon figurieren ferner Komponenten oder zur Pr fung der Konfigura tion Konzeptionelle Informationen wie z B eine Erl uterung zu Registrierungsdom nen oder eine Beschreibung zum Directory Referenzinformationen wie z B ausf hrliche
13. mit denen der Benutzer sp ter mit Hilfe der Client Anwendung von Tivoli PKI ein Zertifikat erhalten kann VPN Virtual Private Network Web Browser Auf einem PC ausgef hrte Client Software mit der ein Benutzer im World Wide Web navigieren oder lokale HTML Seiten anzeigen kann Der Web Browser ist ein Abfrage Tool das universellen Zugriff auf die umfangreichen Hypermedia Daten sammlungen erm glicht die im Web und im Internet zur Verf gung gestellt werden Manche Browser k nnen Text und Grafik anzeigen w hrend andere Browser auf die Textanzeige beschr nkt sind Die meisten Browser unterst tzen die Hauptformen der Internet Kommunikation z B die Ausf hrung von FTP Transaktionen Web Server Ein Server Programm das auf Anforderungen von Browser Programmen nach Informationsressourcen antwortet Siehe auch Server WebSphere Application Server Ein IBM Produkt das Benutzer bei der Entwicklung und Verwaltung von Websites mit einem hohen Leistungsumfang unterst tzt Es erleichtert den bergang vom ein fachen Web Publishing zu komplexen e business Anwendungen im Web Der WebSphere Application Server besteht aus einer Java Servlet Maschine die unab h ngig vom Webserver und dem verwendeten Betriebssystem arbeitet World Wide Web WWW Der Teil des Internets in dem ein Netz von Verbindungen zwischen Computern auf gebaut wird auf denen Hypermediamaterial gespeichert ist Dieses Material stellt Tivoli PKI Einf hrung 153
14. r diese Objekte die gew nschte Zertifizierungshierarchie auch unterst tzen 5 F llen Sie das Tivoli PKI Konfigurationsdatenformular aus das im Handbuch Tivoli PKI Konfiguration enthalten ist um sich mit den Informationen vertraut zu machen die Sie f r die Konfigura tion des Systems bereithalten m ssen Verwenden Sie dieses For mular um Informationen zum jeweiligen System aufzuzeichnen wie beispielsweise die Server Host Namen und die bevorzugten registrierten Namen DN Backup Dienstprogramm ausf hren Das Backup Dienstprogramm von Tivoli PKI ta backup ist ein Tool zum Sichern von Konfigurationsdaten die in keiner der DB2 Daten banken gespeichert sind Die zugeh rigen Dateiinformationen wie z B Dateiberechtigungen etc werden ebenfalls gesichert Verwen den Sie zum Sichern von DB2 Datenbanken die entsprechenden DB2 Dienstprogramme Das Backup Dienstprogramm akzeptiert einen Parameter der das Verzeichnis angibt in das Backup Daten geschrieben werden sollen Dieses Backup Verzeichnis ist das Stammverzeichnis das zum Spei chern aller Datendateien eingesetzt wird Um Namensunvertr glich keiten innerhalb des Backup Verzeichnisses zu verhindern speichert das Backup Dienstprogramm Dateien mit derselben Verzeichnis struktur die auch auf dem gesicherten System definiert wurde Das folgende Beispiel illustriert die Programmsyntax ta backup d backup_directory Version 3 Release 7 1 Hierbei steht backup_directory
15. 121 Exportierbarkeit Chiffrieralgorithmen 54 F Firewall Sicherheit 41 FirstSecure Integration mit dem Policy Director 51 Planung und Integration 51 G Gegenseitige Zertifizierung 11 Gr e von Plattenpartitionen unter AIX 61 Gruppen von Datentr gern unter AIX konfigurie ren 61 Version 3 Release 7 1 H Handbuchzielgruppe xii Hardware Security Model HSM 16 Hardwarevoraussetzungen IBM 4758 PCI Cryptographic Coproces sor 28 Server erforderlich 29 Server wahlfrei 28 Setup Wizard 31 Hauptspeicher Arbeitsspeicher f r AIX empfohlen 30 f r Windows NT empfohlen 30 Hierarchie CA 11 Hilfe f r die Registrierung 125 f r RA Desktop 124 f r Setup Wizard 120 Host Namensaufl sung AIX 63 Hostname f r TCP IP angeben 59 HSM Einheit 16 HTTP Protokoll 44 httpd conf Datei 90 115 HTTPS Protokoll 44 IBM 4758 PCI Cryptographic Coprocessor CA Schl sselspeicher KeyStore 22 CA Unterst tzung 11 15 installieren 50 77 Integration in den CA 49 Konfiguration 49 Speichern des CA Schl ssels 50 Systemvoraussetzungen 28 bersicht 15 Verschl sseln des CA Schl ssels 49 IBM HTTP Server unter AIX installieren 72 unter Windows NT installieren 101 102 ICL 10 Informationen zu diesem Handbuch xi Installation AIX 58 Tivoli PKI Einf hrung Installation Forts best tigen Windows NT System 107 Datenbanksoftware unter AIX 64 65 Datenbanksoftware unter Windows NT 99 Directory Server unter AIX 67
16. 4 Geben Sie den folgenden Befehl ein und definieren Sie den abso luten Pfad f r das Verzeichnis in dem die Daten gesichert wer den sollen ta backup d c Program Files IBM Trust Authority my_tabackup Version 3 Release 7 1 Tivoli PKI konfigurieren Nach der Installation der Serversoftware von Tivoli Public Key Infrastructure PKI m ssen Sie Konfigurationswerte angeben um zu steuern wie die Komponenten an Ihrem Standort konfiguriert werden So m ssen Sie beispielsweise die Position f r die Server programme definieren registrierte Namen DNs angeben und die Registrierungsdom ne einrichten W hrend der Konfiguration sichert das System die angegebenen Werte in einer exportierbaren Datei Diese Funktion ist n tzlich wenn mehrere Exemplare von Tivoli PKI konfiguriert werden sollen die dieselbe Plattform verwenden und hnlich konfiguriert sind Wenn Sie ein neues Tivoli PKI Exemplar installieren k nnen Sie die gesicherten Werte importieren und als Basis f r die Konfiguration des neuen Systems verwenden Tivoli PKI enth lt den Setup Wizard ein Applet f r die Angabe von Konfigurationsoptionen Bevor Sie mit der Konfiguration des Tivoli PKI Systems beginnen sollten Sie sich mit dem Konfigurations prozess vertraut machen und festlegen wie das System in der ver wendeten Umgebung eingerichtet werden soll Stellen Sie die Infor mationen zu Ihrem System bereit so dass sie bei der Ausf hrung des Setup Wizard schnell verf
17. Anwendungssoftware durchzuf hren Die PKIX Implementierung in Tivoli PKI basiert auf der Common Data Security Architecture CDSA von Intel CDSA unterst tzt eine Vielzahl von Sicherheitsmodellen Zertifikatsformaten Verschl sse lungsalgorithmen und Zertifikats Repositories Unternehmen k nnen mit Hilfe dieser Architektur Anwendungen erstellen die dem PKI Standard entsprechen und ihre Unternehmensstrategien unterst tzen Diese F higkeit stellt den Hauptvorteil von CDSA dar PKIX CMP Protokoll Tivoli PKI verwendet das PKIX Certificate Management Protocol CMP f r die Kommunikation zwischen den RA und CA Servern sowie f r die Kommunikation zwischen dem RA Server und den Clients CMP verwendet als prim res bertragungsprotokoll TCP IP es steht jedoch auch eine Abstraktionsebene oberhalb der Sockets Schicht zur Verf gung Dies erm glicht die Unterst tzung f r zus tz liche Daten bertragungsoperationen mit Sendeaufrufen Polling CMP definiert Nachrichtenformate f r die gesamte G ltigkeitsdauer eines Zertifikats Dar ber hinaus definiert CMP wie der Nach richtenschutz unabh ngig vom bertragungsprotokoll ausgef hrt werden soll CMP Version 2 das im aktuellen Release von Tivoli PKI unterst tzt wird tr gt zur Verbesserung der Interoperabilit t bei und erm glicht den Einsatz von CAs unterschiedlicher Hersteller bei der Ausf hrung verschiedenster Funktionen wie z B der Ausstellung berarbeitung und dem Wid
18. Befehl ping hostname in die korrekte IP Adresse und der Befehl ping a IPaddress in den korrekten Host Namen aufgel st wird m Pr fen Sie ob auf der Maschine ein Verzeichnis emp definiert wurde Falls dies nicht der Fall ist m ssen Sie dieses Verzeich nis erstellen Geben Sie den Befehl md temp ein um zu pr fen ob das Verzeichnis temp vorhanden ist oder um dieses zu erstellen Wenn das Verzeichnis bereits vorhanden ist gibt das System eine Nachricht aus in der Sie dar ber informiert werden dass ein entsprechendes Unterverzeichnis bzw eine entspre chende Datei bereits existiert Andernfalls erstellt das System das Verzeichnis temp m Definieren Sie f r den virtuellen Speicher der Maschine mindes tens 400 MB und gehen Sie hierzu wie folgt vor 1 W hlen Sie Start gt Einstellungen gt Systemsteuerung aus 2 Klicken Sie System doppelt an und w hlen Sie anschlie end die Indexzunge Leistungsmerkmale aus Tivoli PKI Einf hrung 97 usaa jelsul IN SMOPUIM Jun Pid HOAIL S 98 3 Klicken Sie im Bereich Virtueller Arbeitsspeicher auf Andern 4 ndern Sie den Wert f r Anfangsgr e auf 400 MB und den Wert f r Maximale Gr e auf 500 MB 5 Klicken Sie auf Setzen 6 Klicken Sie auf OK um das Dialogfenster zu schlie en 7 Klicken Sie auf OK um das Fenster Systemeigenschaften zu schlie en 8 Klicken Sie auf Ja um einen Neustart des Computers durch zuf hren Erstellen S
19. CDSA Eine Initiative zum Definieren eines umfassenden Ansatzes f r Sicherheitsservices und Sicherheitsverwaltungsoperationen bei computerbasierten Sicherheitsan wendungen Diese Architektur wurde von Intel entworfen und dient dazu Computer plattformen f r Anwendungen sicherer zu gestalten Common Gateway Interface CGI Ein Standardverfahren zum Ubertragen von Informationen zwischen Web Seiten und Webservern Version 3 Release 7 1 CRL Certificate Revocation List Zertifikatswiderrufsliste CRL Publikationsintervall D mon Dieses Intervall wird in der CA Konfigurationsdatei definiert und gibt das Zeit intervall zwischen zwei Publikationen der Zertifikatswiderrufsliste im Directory an Ein Programm das Tasks im Hintergrund ausf hrt Es wird implizit aufgerufen wenn eine Bedingung auftritt die die Hilfe des D mons erforderlich macht Es ist nicht erforderlich dass der Benutzer ber die Ausf hrung des D mons unterrichtet wird da der D mon normalerweise vom System automatisch gestartet wird Ein D mon kann ber eine unbegrenzte Zeit hinweg ausgef hrt oder vom System in bestimmten Zeitintervallen erneut generiert werden Der Terminus englisch demon stammt aus der Mythologie Sp ter wurde er aber als Akronym f r den Ausdruck Disk And Execution MONitor Platten und Aus f hrungs berwachungsprogramm erkl rt Data Encryption Standard DES Eine Verschl sselungs Block Cipher die 1977 von der US Regierung
20. Database Version 6 1 Fix Pack 4 Erforderlich im Tivoli PKI Datentr gerpaket enthalten IBM WebSphere Application Server Standard Edition Version 3 5 Program Temporary Fix 4 Dieses Produkt umfasst IBM HTTP Ser ver Version 1 3 12 3 und Sun Java Development Kit JDK Version 1 2 2 Program Temporary Fix PTF 8 Erforderlich im Tivoli PKI Datentr gerpaket enthalten IBM Directory Version ILLS Erforderlich im Tivoli PKI Datentr gerpaket enthalten IBM Global Security Kit SSL Runtime Toolkit GSKit Version 4 0 3 116 Erforderlich im Tivoli PKI Datentr gerpaket enthalten IBM KeyWorks Version 1 1 3 1 Erforderlich im Tivoli PKI Datentr gerpaket enthalten m IBM 4758 PCI Cryptographic Coprocessor m IBM 4758 CCA Support Program Version 2 2 1 0 Optional und lediglich f r AIX Systeme verf g bar Dieses Produkt muss ber die blichen IBM Vertriebskan le bestellt werden Tivoli PKI Einf hrung 35 Bunueid d IONIL E Voraussetzung Beschreibung Kommentare Erf llt Le Hardwarevorausset zungen f r den Server Eine der folgenden Plattformen m AIX IBM RISC System 6000 m Windows NT IBM Netfinity Server m 4 GB Platten speicherplatz m 256 MB Hauptspei cher m Ein 233 MHz Pro zessor AIX oder m cin 300 MHz Intel Pentium Prozessor Windows NT 36 Version 3 Release 7 1 Voraussetzung B
21. Dateien tpki srvr core tpki srvr ic Szenario 4 RA Server auf einer Maschine CA und Pr fserver auf einer anderen Maschine Directory Server auf einer dritten Maschine F r den RA Server m ssen folgende Softwarekomponenten installiert bzw folgende Arbeitsschritte ausgef hrt werden AIX 4 3 3 0 AIX 4 3 3 0 Wartungsstufe 6 IBM DB2 Universal Database Version 6 1 Fix Pack 4 IBM Directory Client IBM Developer Kit f r AIX Java Technology Edition Version 1 2 2 PTF 8 IBM WebSphere Application Server Standard Edition Version 3 5 F hren Sie einen Upgrade von IBM WebSphere Application Ser ver Standard Edition auf Version 3 5 PTF 4 aus Inaktivieren Sie die Funktion f r automatisches Starten des IBM HTTP Server Starten Sie WebSphere Application Server IBM Key Works Tivoli PKI Dateien tpki srvr core tpki srvr ic tpki srvr icg tpki srvr ra F r den CA und Pr fserver m ssen folgende Softwarekomponenten installiert werden AIX 4 3 3 0 AIX 4 3 3 0 Wartungsstufe 6 IBM DB2 Universal Database Version 6 1 Fix Pack 4 IBM Directory Client IBM Developer Kit f r AIX Java Technology Edition Version 1 2 2 PTF 8 IBM Key Works Tivoli PKI Dateien tpki srvr core tpki srvr ic ta srvr ca F r den Directory Server m ssen folgende Softwarekomponenten installiert werden AIX 4 3 3 0 Tivoli PKI Einf hrung 85 us1a jjejsul XIV Join Did IIOAIL 7 86 AIX 4 3 3 0 Wartungsstufe 6 IBM DB2 Universal Databas
22. Installation von AIX und dem Neustart des Systems m s sen Sie pr fen ob die folgenden Dateien erfolgreich installiert wur den bos adt base bos adt debug bos adt graphics bos adt include bos adt 1ib bos adt 1ibm bos adt prof bos adt prt_tools bos adt samples bos adt sccs bos adt syscalls bos adt utils bos adt data Xll adt bitmaps Xll adt ext Xll adt imake Xll adt include Xll adt lib Xll adt motif Xll apps aixterm Xll apps clients Xll apps config X1ll apps custom X1l apps msmit Xll apps rte Tivoli PKI Einf hrung pment pment pment pment pment pment COMMITTED Base Application Deve COMMITTED Base Application Deve COMMITTED Base Application Deve COMMITTED Base Application Deve COMMITTED Base Application Deve COMMITTED Base Application Deve COMMITTED Base Profiling Support COMMITTED Printer Support Development COMMITTED Base Operating System Samples COMMITTED SCCS Application Development COMMITTED System Calls Application COMMITTED Base Application Development COMMITTED Base Application Development COMMITTED Al windows Application COMMITTED Al windows Application COMMITTED Al windows Application COMMITTED Al windows Application COMMITTED AlXwindows Application COMMITTED AlXwindows Application COMMITTED AlXwindows aixterm Application COMMITTED AlXwindows Client Applications COMMITTED Al windows Configuration COMMITTED Al windows Customizing Tool COMMITTED AlXwindows msmit Application COMMITTED Al wind
23. Jesso 5 152 URL Adresse Ein Schema f r die Adressierung von Ressourcen im Internet Die URL Adresse gibt das verwendete Protokoll sowie den Host Namen und die IP Adresse an Au er dem enth lt er Angaben zur Anschlussnummer zum Pfad sowie weitere Ressourcen details die erforderlich sind um ber eine bestimmte Maschine auf eine Ressource zuzugreifen UTF 8 Ein Umsetzungsformat Es erm glicht Informationsverarbeitungssystemen die nur die Verarbeitung von 8 Bit Zeichens tzen unterst tzen die Umsetzung von 16 Bit Unicode in ein 8 Bit quivalent und umgekehrt ohne dass hierbei Informationen verloren gehen Verkettungspr fung Die G ltigkeitspr fung aller CA Unterschriften in der Trust Hierarchie ber die ein bestimmtes Zertifikat ausgestellt wurde Wenn z B das Unterschriftszertifikat eines CA ber einen anderen CA ausgestellt wurde werden bei der G ltigkeitspr fung des vom Benutzer vorgelegten Zertifikats beide Unterschriften gepr ft Verschl sseln Das Umordnen von Informationen so dass nur Personen die ber den richtigen Entschl sselungscode verf gen die urspr nglichen Informationen durch Entschl sse lung abrufen k nnen Verschl sselt Die Eigenschaft von Daten die nach einem bestimmten System umgesetzt wurden um deren Bedeutung unkenntlich zu machen Verschl sselung Entschl sselung Die Verwendung des ffentlichen Schl ssels des gew nschten Empf ngers zum Ver schl sseln von Daten f r diese
24. Jesso 5 154 X 500 neben Informationen auch Verbindungen Hyperlinks zu anderem Material im World Wide Web und Internet zur Verfiigung Der Zugriff auf WWW Ressourcen erfolgt ber einen Web Browser Ein Standard f r die Implementierung eines multifunktionalen verteilten und ver vielf ltigten Verzeichnisservices durch die Verbindung von Computersystemen Die ser Standard wurde gemeinsam definiert von der bisher als CCITT bekannten Inter national Telecommunications Union ITU sowie der International Organization for Standardization und der International Electro Chemical Commission ISO IEC X 509 Version 3 Zertifikat Das X 509v3 Zertifikat verf gt ber erweiterte Datenstrukturen f r die Speicherung und das Abrufen von Informationen zu Zertifikatsantr gen zur Zertifikatsverteilung und zu Zertifikatswiderrufen sowie zu Sicherheitsregeln und digitalen Unterschrif ten X 509v3 Prozesse dienen zum Erstellen von CRLs mit Zeitmarken f r alle Zertifi kate Bei jeder Verwendung eines Zertifikats erm glichen die X 509v3 Funktionen der Anwendung die G ltigkeit des Zertifikats zu berpr fen Die Anwendung kann au erdem feststellen ob sich das Zertifikat auf der Zertifikatswiderrufsliste CRL befindet CRLs unter X 509v3 k nnen f r eine bestimmte G ltigkeitsperiode erstellt werden Sie k nnen auch auf anderen Kriterien basieren die zur Aufhebung der G ltigkeit eines Zertifikats f hren Wenn z B ein Mitarbeiter ein Unterne
25. Laufwerk Ihres Systems ein Wechseln Sie in das Verzeichnis NT httpd und f hren Sie das IHS Programm setup exe aus Klicken Sie im Eingangsfenster auf Weiter Lesen Sie die Informationen im Fenster mit den Softwarelizenz vereinbarungen und klicken Sie anschlie end auf Ja um diese zu akzeptieren Akzeptieren Sie im Fenster Zielpfad w hlen den Standard installationspfad oder geben Sie den gewiinschten Pfad an Klicken Sie auf Weiter W hlen Sie im Fenster Setup Typ die Option fiir Angepasst aus und klicken Sie anschlieBend auf Weiter Im Fenster Komponenten w hlen sind zwei Teilfenster enthal ten Auf der linken Seite werden die Namen der Komponenten gruppen auf der rechten Seite die Komponenten aufgelistet aus denen diese Komponentengruppen bestehen Wahlen Sie links den Eintrag fiir Basis aus und nehmen Sie rechts die Auswahl fiir Apache Quelle zuriick Version 3 Release 7 1 Wenn Sie die Dokumentation nicht installieren wollen nehmen Sie die Auswahl des entsprechenden Eintrags ebenfalls zur ck Klicken Sie auf Weiter um die Verarbeitung fortzusetzen 9 Klicken Sie im Men Programmordner ausw hlen auf Weiter um den Standardprogrammordner zu akzeptieren Geben Sie andernfalls den gew nschten Ordnernamen ein und klicken Sie dann auf Weiter 10 Geben Sie im Fenster mit den Informationen f r den Dienst Setup als Benutzer ID den Wert cfguser sowie das Kennwort ein das Si
26. Person Der Empf nger verwendet anschlie end den privaten Schl ssel seines Schl sselpaares um die Daten zu entschl sseln Vertrauensdom ne Eine Gruppe von Entit ten deren Zertifikate vom gleichen CA zertifiziert wurden Vertraulichkeit Der Schutz von Daten gegen den Zugriff nicht berechtigter Personen Vertraulichkeit Die Wahrung der Geheimhaltung bestimmter Informationen gegen ber nicht berech tigten Personen Version 3 Release 7 1 Virtual Private Network VPN Ein privates Datennetz das ferne Verbindungen nicht ber Telefonleitungen sondern ber das Internet herstellt Da der Zugriff der Benutzer auf die Netzressourcen eines Unternehmens nicht ber eine Telefongesellschaft sondern ber einen Internet Ser vice Provider ISP erfolgt k nnen diese durch den Einsatz von VPN deutliche Ein sparungen bei Fernzugriffen erzielen Ein VPN erh ht auch die Sicherheit beim Datenaustausch Bei der herk mmlichen Firewall Technologie kann zwar der Inhalt der Nachricht verschl sselt werden nicht jedoch die Quellen und Zieladressen Bei der VPN Technologie k nnen die Benutzer eine Tunnelverbindung herstellen bei der das gesamte Datenpaket Header und Datenkomponente verschl sselt und gekapselt ist Vorabregistrierung Bei Tivoli PKI ein Prozess mit dem ein bestimmter Benutzer normalerweise ein Administrator andere Benutzer registrieren kann Wenn die Anforderung genehmigt wird stellt die RA Informationen zur Verf gung
27. Registrierung 6 Vorwort Informationen xi VPN Zertifikate 6 W Web Server DNS 45 HTTP Protokoll 44 HTTPS Protokoll 44 konfigurieren 44 ffentlicher Host 44 sichere Hosts 44 Softwarevoraussetzungen 28 SSL Protokoll 44 Ubersicht 13 unter AIX installieren 72 unter Windows NT installieren 101 Ver ffentlichungen 46 Website f r Informationen zur Sicherheitsverwaltung x vii Tivoli Kundenunterst tzung xvi Tivoli Public Key Infrastructure xvii Tivoli Sicherheitsprodukte xvii WebSphere Application Server unter AIX installieren 72 unter Windows NT installieren 101 104 WebSphere Application Server Upgrade ausf h ren 75 Wiederherstellung Schl ssel 17 163 x pul Windows NT Backup Dienstprogramm 117 Betriebssystemversion 27 cfguser Benutzername 43 98 Directory Server installieren 105 erforderliche Einstellungen 107 Hardwarekonfigurationen 30 Installationsabschluss Priifliste 116 Installationsrichtlinien 108 Installationstibersicht 96 IP Aliasnamen 105 konfigurieren 96 Serverplattformen 27 Sicherheitsaspekte 40 Softwarevoraussetzungen 27 berlegungen zur Firewall 41 Zugriffssteuerung 41 X X 509v3 Zertifikate 24 Z Zertifikate Erweiterungen 25 Massenausstellung 18 selbst unterzeichnender CA 11 Sicherheitshierarchie 11 X 509v3 Unterstiitzung 24 Zertifikatsaussteller CA Datenbank 10 DN Eintrag 48 gegenseitige Zertifizierung 11 Hierarchie 11 IBM 4758 PCI Cryptographic Coproces sor 11 15 Integration
28. Sie in der Produktdok CA oder RA Schl ssel in der Hardware speichern Wenn Sie den IBM 4758 PCI Cryptographic Coprocessor verwenden m chten m ssen Sie ihn auf der Maschine installieren auf der auch der Tivoli PKI CA Server oder Tivoli PKI RA Server installiert ist bevor Sie das Tivoli PKI System konfigurieren Bei der Konfigura tion des CA bzw der RA k nnen Sie angeben ob der Koprozessor zum Speichern des Unterschriftsschl ssels verwendet werden soll Bei den meisten Tivoli PKI Systemen wird der CA bzw RA Schl ssel physisch nicht zusammen mit dem Hauptschl ssel gespeichert Eine Konfigurationsoption erm glicht Ihnen jedoch die sen Standardwert zu berschreiben Dies wird von IBM aber nicht empfohlen Wenn in der Hardware des IBM 4758 PCI Cryptographic Coprocessor ein Fehler auftritt m ssen sofort die geeigneten Ma nahmen zur Behebung dieses Fehlers durchgef hrt werden Version 3 Release 7 1 Wenn Sie den CA bzw RA Schl ssel fest in der Hardware spei chern wollen sollten Sie einen Fehlerbehebungsplan ausarbeiten Die folgenden Risiken und die entsprechenden Fehlerbehebungs ma nahmen sind beim festen Speichern des Schl ssels in der Hard ware zu beachten m Wenn der IBM 4758 PCI Cryptographic Coprocessor gesichert wird wird lediglich f r den Hauptschl ssel jedoch nicht f r die anderen auf der Hardwarekarte gespeicherten Schl ssel eine Sicherungskopie erstellt Wenn die Karte besch digt wird ode
29. Tivoli PKI Einf hrung 115 usaa jelsul IN SMOPUI 49 UN Did HOAIL e 116 Pr fliste f r den Installationsabschluss Verwenden Sie die folgenden Pr fliste um sicherzustellen dass alle Voraussetzungen erf llt sind um mit der Konfiguration von Tivoli PKI zu beginnen Informationen zum Ausf hren des Setup Wizard finden Sie im Handbuch Tivoli PKI Konfiguration 1 Verwenden Sie die entsprechenden Windows NT Tools um eine Sicherungskopie des aktuellen Systems zu erstellen Erstellen Sie zur Unterst tzung bei der sp teren Fehlerbehebung eine Sicherungskopie der Windows Registrierung um sicherzu stellen dass eine Liste der gesamten installierten Software zur Verf gung steht Wenn Sie nicht beabsichtigen die Standardkonfigurationswerte f r Web Server Ports zu verwenden m ssen Sie die IP Alias namen konfigurieren bevor Sie den Setup Wizard ausf hren Die Konfigurationsprogramme verwenden diese Werte bei der Erstel lung des CA Zertifikats f r Ihr System Informationen dazu wie Tivoli PKI Ports auf dem Web Server konfiguriert und verwen det um gesicherte und nicht gesicherte Transaktionen zu verar Entscheiden Sie welche registrierten Namen DNs f r den Tivoli PKI CA und die zugeh rigen Agenten den Directory Ad ministrator und den Directory Root verwendet werden sollen Pr fen Sie die Richtlinien im Handbuch Tivoli PKI Konfigura tion um sicherzustellen dass die registrierten Namen DNs f r diese Ob
30. Version ML 4330 06 an und installieren Sie diese entsprechend der zugeh rigen Dokumentation Nach der Anwendung dieser Fix Version m ssen Sie die Maschine erneut starten AIX Datentr gergruppen und Dateisysteme konfigu rieren Verwenden Sie das AIX System Management Interface Tool SMIT um die folgenden Dateisysteme zu Konfigurieren Dieser Konfigu rationsvorschlag basiert auf der Verwendung von zwei Plattenlauf werken mit 4 5 GB freiem Speicherplatz f r die Datentr ger gruppen rootvg und datavg Anmerkung Bei diesen Konfigurationsvorschl gen wird davon aus gegangen dass alle Server Komponenten auf dersel ben Maschine installiert werden Wenn Sie den Zertifikatsaussteller und das Pr fsubsystem auf einer Maschine installieren bei der es sich nicht um den RA Server handelt m ssen Sie die Prozedur entspre chend anpassen m F r die rootvg Partition s Definieren Sie f r die Root Partition 64 MB 128 000 512 Byte Bl cke e Definieren Sie f r die usr Partition 3 GB 6 000 000 512 Byte Bl cke Definieren Sie f r die tmp Partition 200 MB 400 000 512 Byte Bl cke e Definieren Sie f r die var Partition 500 MB 1 000 000 512 Byte Bl cke Tivoli PKI Einf hrung 61 us1a jjejsul XIV Join Hd IIOAIL 7 Definieren Sie f r die home Partition 200 MB 400 000 512 Byte Bl cke m F r die datavg Partition 62 Definieren Sie f r die local Partition 2 GB 4 000 000 512 Byte Bl cke
31. Web Server eine Authentifizierung durch bevor er den Informations austausch zul sst Datenbanksystem IBM DB2 Universal Database DB2 dient bei Tivoli PKI als das grundlegende System zur Datenspeicherung Die Server Komponen ten verwalten separate Datenbanken f r Konfigurationsdaten Registrierungsdaten Zertifikatsdaten Pr fdaten und Directory Daten DB2 bietet umfassende Sicherheitseinrichtungen und verf gt ber eine hohe Speicherkapazit t So erm glicht DB2 beispielsweise Tivoli PKI Registrierungsdaten im verschl sselten Format zu spei chern und Integrit tspr fungen f r gespeicherte Pr fs tze durchzu f hren Die DB2 Version die unter Tivoli PKI ben tigt wird ist in dem Tivoli PKI Datentr gerpaket enthalten Vor der Installation des Tivoli Version 3 Release 7 1 PKI Server Codes muss sichergestellt werden dass die Datenbank software auf allen Maschinen zur Verf gung steht auf denen eine Server Komponente installiert werden soll W hrend der Installation und Konfiguration werden die erforderlichen Datenbanken von Tivoli PKI erstellt Directory Server Das IBM Directory verwaltet Zertifikatsinformationen an zentraler Stelle Durch die Integration mit IBM DB2 kann das Directory Milli onen von Verzeichniseintr gen unterst tzen Dar ber hinaus erm g licht es Client Anwendungen wie beispielsweise Tivoli PKI Trans aktionen zum Speichern in der Datenbank zum Aktualisieren der Datenbank und zum Abrufen von
32. Zertifikatsspezifikation und registrierung Der Aussteller kann die Namen der Profile ndern und Kenndaten des gew nschten Zertifikats angeben Hierzu z hlen z B der G ltigkeitszeitraum die Verwendung von Schl sseln DN Einschr nkungen usw Zertifikatsregel Eine benannte Gruppe mit Regeln die angibt ob ein Zertifikat f r eine bestimmte Klasse von Anwendungen mit gemeinsamen Sicherheitsanforderungen anwendbar ist Eine Zertifikatsregel kann z B angeben ob ein bestimmter Zertifizierungstyp dem Benutzer die Ausf hrung von Transaktionen f r Waren innerhalb eines bestimmten Preisbereichs erm glicht Zertifikatswiderrufsliste CRL Eine digital unterzeichnete mit Zeitmarken versehene Liste der Zertifikate die vom Zertifikatsaussteller CA widerrufen wurden Die Zertifikate in dieser Liste sollten als nicht akzeptierbar behandelt werden Siehe auch Digitales Zertifikat Zertifizierung Der Prozess bei dem eine zuverl ssige an der Kommunikation nicht beteiligte Stelle der Zertifikatsaussteller CA einen elektronischen Identit tsnachweis aus stellt der f r die Identit t einer Person eines Unternehmens oder einer Organisation b rgt Ziel Eine benannte oder ausgew hlte Datenquelle Zugriffssteuerungsliste ACL Ein Verfahren mit dem die Verwendung einer bestimmten Ressource auf berechtigte Benutzer beschr nkt werden kann Tivoli PKI Einf hrung 155 Jesso 5 156 Version 3 Release 7 1 Index AIX Backup
33. a Services sich im angezeigten Status befinden 1 Melden Sie sich unter Windows NT als Konfigurationsbenutzer von Tivoli PKI an Diesem ist normalerweise der Benutzer eintrag cfguser zugeordnet 2 W hlen Sie Start gt Einstellungen gt Systemsteuerung aus 3 Klicken Sie doppelt auf Dienste und best tigen Sie die folgenden Statuswerte Die beiden hervorgehoben dargestellten Dienstein stellungen sind hierbei von besonderer Bedeutung DB2 DB2 Gestartet Automatisch DB2 DB2DAS00 Gestartet Automatisch DB2 Governor Manuel 1 DB2 JDBC Applet Server Manuel DB2 Security Server Manuel IBM HTTP Server Manuell WebSphere Servlet Service Manuel 1 4 Klicken Sie auf Schlie en und verlassen Sie die Systemsteue rung Tivoli PKI Einf hrung 107 usaa jelsul IN SMOPUIM Jun Pid HOAIL S Tivoli PKI installieren Verwenden Sie die folgenden Richtlinien um die Produkt komponenten von Tivoli PKI zu konfigurieren 108 Bitte beachten Sie dass alle Serverprogramme auf derselben Plattform installiert werden m ssen im vorliegenden Fall also unter Windows NT Wurde zuvor IBM KeyWorks Version 1 1 1 installiert m ssen Sie Tivoli PKI entweder auf einer anderen Maschine installieren oder die KeyWorks Software und alle zugeh rigen Anwendungen entfernen bevor Sie das Installationsprogramm von Tivoli PKI starten Wenn Sie Tivoli PKI in einer Konfiguration mit mehreren Maschinen installieren wollen m ssen Sie die Ins
34. als offizieller Standard definiert und bernommen wurde Dieser Standard wurde urspr nglich von IBM entwickelt DES wurde seit seiner Ver ffentlichung umfassend untersucht und stellt ein allgemein bekanntes und h ufig verwendetes Verschl sselungssystem zur Verf gung Bei DES handelt es sich um ein symmetrisches Verschl sselungssystem Um es f r die Daten bertragung einzusetzen m ssen sowohl der Sender als auch der Empf n ger den selben geheimen Schl ssel kennen Dieser Schl ssel wird zum Ver und Entschl sseln der Nachricht verwendet DES kann au erdem zur Durchf hrung von Verschl sselungsoperationen f r einzelne Benutzer eingesetzt werden z B zum Speichern von verschl sselten Dateien auf einer Festplatte DES arbeitet mit einer Blockgr e von 64 Bit und verwendet f r die Verschl sselung einen 56 Bit Schl s sel Urspr nglich wurde dieser Standard f r die Hardwareimplementierung entwi ckelt DES wird von NIST alle f nf Jahre erneut als offizieller Verschl sselungs standard der US Regierung zertifiziert Datenspeicherbibliothek DL DEK DER Ein Modul das den Zugriff auf permanente Datenspeicher mit Zertifikaten CRLs Schl sseln Regeln und anderen sicherheitsrelevanten Objekten erm glicht Document Encryption Key Dokumentverschl sselungsschl ssel Distinguished Encoding Rules Tivoli PKI Einf hrung 131 Jesso 5 132 Data Encryption Standard Diffie Hellman Ein Verfahren zur Datenver
35. bertragung von Zertifi katen an den gew nschten Empf nger Integrierte Unterst tzung f r IBM DB2 Universal Database Komponenten Im folgenden Diagramm wird ein Tivoli PKI System dargestellt bei dem die Serverprogramme auf drei unterschiedlichen Maschinen ver teilt sind In Ihrem Unternehmen k nnen die drei Server auch auf einer einzigen Maschine installiert sein Tivoli PKI Einf hrung Buniaynyuig Did HOAIL L Directory Datenbank el 4758 Directory 4758 Karte Server Karte H ZZ T es T RS Tole 5 S Tivoli PKI A und PKIX CMP via TCP nn RA Server S via Pr f HTTPS 4 server R 5 Konfigurations S F RA Objekt CA Objekt Pr f speloher datenbank datenbank Registrierungs CA datenbank Datenbank Abbildung 1 Komponentenkonfiguration bei Tivoli PKI Tivoli PKI Server Der Tivoli PKI Server ist der zentrale Server ber den die anderen Komponenten miteinander verbunden sind Dieser Server verwaltet die Konfigurationsdatenbank und stellt die Dienstprogramme fiir die Systemverwaltung zur Verfiigung Registrierungsstelle Die Registrierungsstelle RA ist die Server Komponente die den Registrierungsprozess verwaltet Die RA gew hrleistet dass Zertifi kate nur an genehmigte Entit ten ausgestellt werden Dar ber hinaus wird von dieser Instanz sichergestellt dass die ausgestellten Zertifi kate nur f r autorisierte Zwecke verwendet wer
36. der Basis der Pr fungsergebnisse Um die Zugriffseinschr nkungen umzusetzen m ssen die Tivoli PKI Server hinter der Firewall konfiguriert werden Die installierte Firewall muss mindestens die folgenden Funktionen zur Verf gung stellen m Finen Uberwachungs Router mit dem Datenpakete den in Ihrem Unternehmen g ltigen Regeln entsprechend selektiv geblockt werden k nnen So sollte es die Firewall beispielsweise erm gli Tivoli PKI Einf hrung 41 Bunueid d IONIL E chen Steuerfunktionen einzurichten mit denen die Kommunika tion auf bestimmte IP Adressen und Anschl sse begrenzt werden kann m Einen Proxy Server der als Vermittler zwischen Client Server Anforderungen eingesetzt werden kann So sollte es die Firewall beispielsweise erm glichen FTP oder HTTP Anforderungen von Benutzern abzufangen bevor sie an den entsprechenden Ser ver Prozess weitergeleitet werden Auf diese Weise wird die direkte Kommunikation zwischen dem Client und dem Server verhindert m Ein Peripherienetz das einen zus tzlichen Puffer bietet der das interne Netz abschirmen und sch tzen kann falls im externen Netz ein Fehler auftritt Bitte beachten Sie dass Sie die Tivoli PKI Serverprogramme auf mehreren Maschinen installieren k nnen dieses Konzept bietet eine Reihe von Vorteilen So k nnen Sie beispielsweise die Leistung ver bessern indem Sie die Arbeitsmenge auf mehrere Prozessoren vertei len separate Datensicherungszeitpl ne def
37. die Homepage der Tivoli Unter st tzungsfunktion aufrufen Nach der Herstellung der Verbindung und der bergabe des Kundenregistrierungsformulars k nnen Sie auf zahlreiche Kundenunterst tzungsservices im Web zugreifen Kunden in Deutschland sterreich oder der Schweiz k nnen eine der folgenden Telefonnummern anrufen H Deutschland 01805 00 1242 m sterreich 01 1706 6000 m Schweiz 0800 555454 Unter diesen Nummern erreichen Sie das Telefonservicecenter der Tivoli Kundenunterst tzung Version 3 Release 7 1 Tivoli PKI Einf hrung Wir sind an Ihren Erfahrungen mit Tivoli Produkten und der zugeh rigen Dokumentation sehr interessiert Ihre Verbesserungsvorschl ge nehmen wir gerne entgegen Wenn Sie Kommentare oder Vorschl ge zur vorliegenden Dokumentation haben senden Sie diese bitte via E Mail an pubs tivoli com Webinformationen zu Tivoli PKI Tivoli sowie IBM Tivoli Kunden k nnen Onlineinformationen f r alle Tivoli Sicherheitsprodukte sowie Tivoli PKI im Web abrufen Wichtige Informationen zu den aktuellsten Produktaktualisierungen und Serviceinformationen zu Tivoli PKI finden Sie ber die folgende Website Informationen zum Produkt Tivoli Public Key Infrastructure finden Sie auf folgender Website Informationen zu anderen Tivoli Sicherheitsverwaltungsprodukten finden Sie auf folgender Website xvii xviii Version 3 Release 7 1 Tivoli PKI Einf hrung Das vorliegende Kapitel enth lt
38. die Unterst tzungsfunktionen zum Protokollieren von sicherheitsrelevanten Aktionen bereitstellt Es entspricht den Empfehlungen die im X9 57 Standard unter Public Key Cryptography for the Financial Services Indus try definiert wurden Proxy Server Eine Einheit die zwischen einem Computer der eine Zugriffsanforderung absetzt Computer A und einem Computer auf den zugegriffen werden soll Computer B implementiert ist Wenn ein Endbenutzer eine Anforderung f r eine Ressource ber Computer A absetzt wird diese an den Proxy Server geleitet Dieser sendet die Anforderung an Computer B erh lt von diesem die Antwort und leitet diese an den Endbenutzer weiter Mit Hilfe eines Proxy Servers kann ber einen Computer der sich innerhalb einer Firewall befindet auf das World Wide Web zugegriffen werden Pr f Client Jeder Client im System der Pr fereignisse an den Tivoli PKI Pr f Server sendet Bevor ein Pr f Client ein Ereignis an den Pr f Server sendet stellt er eine Verbin dung zu diesem her Nach der Herstellung der Verbindung verwendet der Client die Client Bibliothek des Pr fsubsystems um Ereignisse an den Pr f Server zu bertra gen Pr fprotokoll Daten in Form eines logischen Pfades die eine Folge von Ereignissen verbinden Mit dem Pr fprotokoll k nnen Transaktionen oder der bisherige Verlauf einer bestimmten Aktivit t verfolgt werden Pr fprotokoll Bei Tivoli PKI eine Tabelle in einer Datenbank in der f r jedes Pr
39. eine bersicht ber Tivoli Public Key Infrastructure Tivoli PKI Es enth lt eine kurze Beschreibung der Funktionen und des Leistungsumfangs von Tivoli PKI seiner Komponenten sowie der verwendeten Architektur und der unterst tz ten Standards Tivoli PKI Produktbeschreibung Tivoli Public Key Infrastructure stellt Anwendungen zur Verf gung mit denen Benutzer authentifiziert werden k nnen und die gesicherte bertragung von Daten gew hrleistet werden kann Im Folgenden sind einige Funktionen von Tivoli PKI aufgef hrt Das Produkt erm glicht es Unternehmen digitale Zertifikate ihren Registrierungs und Zertifizierungsstrategien entsprechend auszustellen zu publizieren und zu verwalten Die Unterst tzung f r die Verschl sselungsstandards Public Key Infrastructure f r X 509 Version 3 PKIX und Common Data Security Architecture CDSA erm glicht die Interoperabilit t zwischen verschiedenen Lieferanten Digitale Unterschriften und sichere Protokolle bieten die M g lichkeit alle Teilnehmer einer Transaktion zu authentifizieren Browserbasierte Registrierungsfunktionen bieten optimale Flexi bilit t Verschl sselte Kommunikation und gesicherte Speicherung von Registrierungsinformationen stellen die Vertraulichkeit sicher Tivoli PKI Einf hrung Bunaynyuig Did HOAIL L Ein Tivoli PKI System kann auf Serverplattformen unter IBM AIX 6000 AIX und Microsoft Windows NT ausgef hrt werden Das Produkt umfasst die
40. f r alle Pr fs tze Mit Hilfe des MAC kann die Integrit t des Datenbankinhalts gew hrleistet werden So k nnen Sie beispiels weise anhand des MAC feststellen ob ein Eintrag seit seiner Protokollierung ge ndert unbefugt manipuliert oder gel scht wurde m Bereitstellen eines Tools zur Durchf hrung von Integrit ts pr fungen der Pr fdatenbank und der archivierten Pr fs tze m Bereitstellen eines Tools zum Archivieren und Unterzeichnen des aktuellen Status der Pr fdatenbank Aus Sicherheitsgr nden soll ten Sie die Pr fdatenbank regelm ig archivieren und separat speichern Durch die Archivierung der Datenbank kann auch eine Leistungsverbesserung erzielt und Plattenspeicherplatz gespart werden Der Pr f Server muss auf derselben Maschine installiert sein wie der Zertifikatsaussteller Nach der Installation und Konfiguration des Systems finden Sie im Handbuch Tivoli PKI Systemverwaltung Infor mationen zur Verwendung der Pr f Tools sowie zur Verwaltung des Pr f Servers Webserver Tivoli PKI verwendet den IBM WebSphere Application Server um eine gesicherte Basis f r Netztransaktionen bereitzustellen Bei WebSphere handelt es sich um eine Gruppe von Produkten bei denen die Gew hrleistung der System und Datensicherheit von zen traler Bedeutung ist Diese Produktgruppe umfasst den IBM HTTP Server der die Implementierung von hoch entwickelten e business Anwendungen unterst tzt In einem Tivoli PKI System muss die
41. in den IBM 4758 PCI Cryptogra phic Coprocessor 49 Liste der ausgestellten Zertifikate 10 MACs 10 164 Zertifikatsaussteller CA Forts Schl sselspeicher KeyStore 22 Schutz von Schl sseln 49 selbstunterzeichnetes Zertifikat 11 Seriennummer 10 Speichern des Schl ssels in Hardware 50 bersicht 10 unter AIX installieren 79 unter Windows NT installieren 109 Zertifikatswiderrufsliste 10 Zertifikatserweiterungen allgemein 25 Anpassung 25 privat 25 Standard 24 unter Tivoli PKI 25 Zertifikatsprofile Anpassung 8 Beschreibung 6 Zertifikatstypen 6 Zertifikatswiderrufsliste CRL 10 Zielgruppe xii Zugriffssteuerung CA Berechtigungen 48 Directory Administratorberechtigungen 48 Directory Berechtigungen 48 Directory Root Berechtigung 48 RA Desktop Berechtigungen 7 System 41 Version 3 Release 7 1
42. rungsstelle von Tivoli PKI verwendet wird 29783 113 usaa jelsul IN SMOPUIM Jun Did HOAIL S 114 Feldname Beschreibung Standardwert APP_SEC_MECH Der Sicherheits mechanismus der Anwendung Standard m ig wird die RA Datenbank verschl sselung inakti viert Wenn Sie den Wert auf 1 setzen wird die Datenbank verschl sselung akti viert CA_IBM_CA_CERT _LIFETIME CA_IBM_ADMIN_PORT Die in Monaten ange gebene Lebensdauer des CA Zertifikats von Tivoli PKI Der Verwaltungs Port des Zertifikats ausstellers CA von Tivoli PKI Der ange gebene Wert muss auch fiir den PORT Eintrag in der Datei irgAutoCA ini tpl definiert werden die im Verzeichnis cfg gespeichert ist 1835 ADT_DN Der registrierte Name DN des Priifsub systems Sie k nnen lediglich den allgemei nen Namen CN ndern C US O Ihr Unternehmen OU Tivoli PKI CN Tivoli PKI Audit Version 3 Release 7 1 Konfigurationsprogramm f r den Installationsab schluss ausf hren Nach der Installation der Tivoli PKI Server Software m ssen Sie das Konfigurationsprogramm CfgPostInstall f r den Installationsab schluss ausf hren Sie m ssen dieses Programm ausf hren bevor Sie Tivoli PKI mit dem Setup Wizard konfigurieren Von diesem Programm wird eine Web Server Konfigurationsdatei httpd conf erstellt die das Starten des Web Servers mit den f r Tivoli PKI erfor
43. um das Arbeitsaufkommen an Registrierungen zu bearbeiten Wenn Sie einen Registrator hinzuf gen m ssen Sie die entspre chende Registrierungsdom ne definieren und die Berechtigungen f r diesen Benutzer angeben So k nnen Sie beispielsweise einen Regist rator ausschlie lich f r das Genehmigen und Ablehnen von Anforde rungen berechtigen w hrend Sie einem anderen Registrator dar ber hinaus die Berechtigung f r das Widerrufen von Zertifikaten erteilen m Informationen dazu wie Sie das Applet RA Desktop installieren und verwenden sowie auf dieses zugreifen k nnen finden Sie im Handbuch Tivoli PKI RA Desktop m Informationen zum Berechtigen von Registratoren finden Sie im Handbuch Tivoli PKI Systemverwaltung Anpassung Sie k nnen die zum Lieferumfang von Tivoli PKI geh rende Registrierungsfunktion verwenden ohne sie anzupassen M glicher weise sollen jedoch einige der Registrierungsformulare oder pro zesse angepasst werden um der speziellen Zielsetzung des jeweili gen Unternehmens f r die digitale Zertifizierung zu entsprechen So kann beispielsweise das Firmenlogo auf dem Browser Registrie rungsformular angezeigt werden Dar ber hinaus ist es m glich die Zertifikatsprofile so zu ndern dass sie die Zertifikatserweiterungen unterst tzen die f r die zu registrierenden Benutzer Server oder Einheitenklassen relevant sind Nach der Installation und Konfiguration von Tivoli PKI k nnen Sie eine gr ere Anzahl
44. von Tivoli PKI auf allen beteiligten Maschinen wiederholen Windows NT konfigurieren Gehen Sie anhand der folgenden Richtlinien vor wenn Sie die Win dows NT Software auf der Maschine bzw den Maschinen installie ren auf der denen die Tivoli PKI Software installiert werden soll Wenn Sie Windows NT bereits installiert haben k nnen Sie diese Richtlinien als Pr fliste verwenden um sicherzustellen dass alle Dateien installiert wurden die f r die Tivoli PKI Komponenten erforderlich sind 96 Version 3 Release 7 1 Wenn Sie Tivoli PKI in einer Konfiguration mit mehreren Maschinen installieren wollen m ssen Sie auf allen Maschinen auf denen eine Serverkomponente von Tivoli PKI installiert werden soll zuerst Win dows NT installieren m Bei der Installation von Windows NT m ssen Sie auch das Pro tokoll TCP IP installieren DHCP Dynamic Host Configuration Protocol kann nur verwendet werden wenn Sie ber einen dynamischen DNS Server DNS Domain Name Services ver f gen m Verwenden Sie die folgenden Richtlinien um die Konnektivit t zu aktivieren Pr fen Sie ob die IP Adressen und Host Namen zugeordnet und fest definiert sind Pr fen Sie ob Sie ber IP Konnektivit t verf gen Hierzu k nnen Sie z B feststellen ob Sie ein PING Signal an eine andere Maschine absetzen k nnen Pr fen Sie ob DNS und die zugeh rige Umkehrfunktion kor rekt arbeiten Hierzu k nnen Sie z B feststellen ob der
45. wird Obwohl f r diese Mehrfachverschl sselung zahlreiche Methoden existieren stellt die Triple DES Verschl sselung die auf drei verschiedenen Schl s seln basiert das sicherste dieser Verfahren dar Tivoli PKI Eine integrierte IBM Sicherheitsl sung die die Ausstellung Erneuerung und den Widerruf digitaler Zertifikate unterst tzt Diese Zertifikate k nnen f r eine breite Palette von Internet Anwendungen eingesetzt werden und bieten eine M glichkeit zur Authentifizierung von Benutzern und zur Gew hrleistung einer gesicherten Kommunikation Trust Kette Eine Gruppe von Zertifikaten die aus der gesicherten Hierarchie vom Benutzer zertifikat bis zum Root oder selbstunterzeichneten Zertifikat besteht Tunnel In der VPN Technologie eine virtuelle Punkt zu Punkt Verbindung die auf Anfrage ber das Internet hergestellt wird W hrend der Verbindung k nnen ferne Benutzer Version 3 Release 7 1 den Tunnel verwenden um sichere verschl sselte und gekapselte Informationen mit Servern im privaten Netz eines Unternehmens auszutauschen Unbestreitbarkeit Die Verwendung eines digitalen privaten Schl ssels um zu verhindern dass der Unterzeichner eines Dokuments dessen Unterzeichnung leugnet Unicode Ein 16 Bit Zeichensatz der in ISO 10646 definiert ist Der Unicodestandard f r die Verschl sselung von Zeichen ist ein internationaler Zeichencode f r die Informati onsverarbeitung Er umfasst die grundlegenden weltweit verw
46. zugreifen kann Dar ber hinaus kann die Verschl sselung auf der Basis von Schl sselpaaren nicht nur zur Tivoli PKI Einf hrung 147 Jesso y5 148 Gew hrleistung der Vertraulichkeit Verschl sselung sondern auch f r die Authenti fizierung digitale Unterschriften eingesetzt werden Schl sselsicherung und wiederherstellung Diese Funktion von Tivoli PKI erm glicht das Sichern und Wiederherstellen von Endentit tszertifikaten und der zugeh rigen von Tivoli PKI zertifizierten ffentli chen und privaten Schl ssel Die Zertifikate und Schl ssel werden in einer PKCS 12 Datei gespeichert Diese Datei ist kennwortgesch tzt Das Kennwort wird beim Sichern des Zertifikats und der Schl ssel gesetzt Secure Electronic Transaction SET Ein Branchenstandard f r die Durchf hrung sicherer Kredit oder Kundenkarten zahlungen ber nicht gesicherte Netze Der Standard formuliert Definitionen f r die Authentifizierung von Kartenhaltern H ndlern sowie der Banken durch die die Kar ten ausgestellt werden da er die Ausstellung von Zertifikaten anfordert Secure Sockets Layer SSL Server Ein IETF Standard bertragungsprotokoll mit integrierten Sicherheitsservices die f r den Endbenutzer m glichst transparent sind Es stellt einen digitalen sicheren Kommunikationskanal zur Verf gung Ein SSL f higer Server empf ngt SSL Verbindungsanforderungen im Allgemeinen an einem anderen Anschluss Port als normale HTTP Anforde
47. zur Durchf hrung von Verwaltungsaufgaben So enth lt das Handbuch beispielsweise Emp fehlungen zur Verwaltung der Server Komponenten und der zugeh rigen Datenbanken Version 3 Release 7 1 Dar ber hinaus werden die Schritte dokumentiert die ausgef hrt werden m ssen um die Systemkonfiguration abzuschlie en und das System f r die Verwendung in einer Produktionsumgebung zu sichern Das Handbuch Systemverwaltung ist f r die Verwendung in einer Web Umgebung konzipiert und bietet Folgendes m Taskorientierte Informationen wie z B Anweisungen zum Stop pen des Systems oder zum Archivieren der Pr fdatenbank m Konzeptionelle Informationen wie z B eine Erl uterung zur gegenseitigen Zertifizierung eine Beschreibung des Tivoli PKI CAs oder Einzelheiten zu Pr fereignissen m Referenzinformationen wie beispielsweise eine detaillierte Beschreibung der Konfigurationsdateiparameter Um auf das Handbuch Systemverwaltung zuzugreifen m ssen Sie die Website von U Pu astructure unter folgender Adresse aufrufen http www tivoli com support RA Verwaltung Auf dem RA Server werden Datens tze zu Registrierungsanforde rungen und ausgestellten Zertifikaten in einer verschl sselten Regis trierungsdatenbank gespeichert Die Auswertung von Registrie rungsanforderungen und die Verwaltung von Datenbanks tzen sind Aufgaben die von Programmen oder von Mitarbeitern mit Administratorberechtigung ausgef hrt werden k nnen
48. 0 wahlfreie Hardware 28 wahlfreie Software 28 Server Zertifikate 6 Setup Wizard Dokumentation 119 Hilfe 120 Swing Library 31 Systemvoraussetzungen 31 bersicht 119 Sicherer Web Server 44 Sicherheit Firewalls 41 physisch 40 System 40 Sicherheitshierarchie 11 Sicherung und Wiederherstellung Schl ssel 17 Sicherungsabbilder AIX 64 92 NT 99 117 Sicherungsmodell Codeunterzeichnung 21 Datenverschl sselung 22 Nachrichtenunterzeichnung 21 Schl sselspeicher KeyStores 22 SMIT Programm 61 79 Softwarevoraussetzungen Directory Server 28 IBM 4758 PCI Cryptographic Coproces sor 28 JDK 28 Produkt CD ROMs 55 Server erforderlich 27 Server wahlfrei 28 Setup Wizard 31 Verteilung 55 Web Browser f r Setup Wizard 31 37 Web Server 28 Sprachen produktspezifische Unterschiede 54 unterst tzt 54 162 SSL Protokoll 44 SSL Zertifikate 6 Standards unter Tivoli PKI unterst tzt 23 Verschl sselung 23 Standardzertifikatserweiterungen 24 Steuern des Server Zugriffs 41 Swing Library 31 Systemabbild konfigurieren 64 Systemarchitektur Diagramm 3 Server Konfigurationen 53 Systemdiagramm 3 Systemgr e f r AIX empfohlen 30 f r Windows NT empfohlen 30 Richtlinien 29 Systemschutz 40 Systemverwaltung bersicht 122 Zugriff 123 Systemvoraussetzungen Browser Registrierung 32 DB2 28 Directory 28 Hardware Server 29 IBM 4758 PCI Cryptographic Coproces sor 28 RA Desktop 32 Setup Wizard 31 Software Server 27 wahlfreie Hardware
49. 84 AIX 4 3 3 0 AIX 4 3 3 0 Wartungsstufe 6 IBM DB2 Universal Database Version 6 1 Fix Pack 4 IBM Directory Client IBM Developer Kit f r AIX Java Technology Edition Version 1 2 2 PTF 8 IBM Key Works Tivoli PKI Dateien tpki srvr core tpki srvr ic tpki srvr ca Szenario 3 RA Pr f und CA Server auf einer Maschine Directory Server auf einer anderen Maschine F r den RA Pr f und CA Server m ssen folgende Software komponenten installiert bzw folgende Arbeitsschritte ausgef hrt wer den AIX 4 3 3 0 AIX 4 3 3 0 Wartungsstufe 6 IBM DB2 Universal Database Version 6 1 Fix Pack 4 IBM Directory Client IBM Developer Kit f r AIX Java Technology Edition Version 1 2 2 PTF 8 IBM WebSphere Application Server Standard Edition Version 3 5 F hren Sie einen Upgrade von IBM WebSphere Application Ser ver Standard Edition auf Version 3 5 PTF 4 aus m Inaktivieren Sie die Funktion f r automatisches Starten des IBM HTTP Server m Starten Sie WebSphere Application Server IBM Key Works Tivoli PKI Dateien tpki srvr core tpki srvr ic tpki srvr icg tpki srvr ra tpki srvr ca F r den Directory Server m ssen folgende Softwarekomponenten installiert werden m AIX 4 3 3 0 AIX 4 3 3 0 Wartungsstufe 6 IBM DB2 Universal Database Version 6 1 Fix Pack 4 IBM Directory Server Version 3 1 1 5 IBM Developer Kit f r AIX Java Technology Edition Version 1 2 2 PTF 8 Version 3 Release 7 1 IBM Key Works Tivoli PKI
50. Anpassung buch enth lt Informationen zum Anpassen der Tivoli PKI Registrierungsfunktion mit der die Registrierungs und Zerti fizierungszielsetzungen Ihres Unternehmens wirkungsvoll unterst tzt werden k nnen xiii Sie erfahren z B wie HTML und Java Server Seiten Benachrichtigungsbriefe Zertifikatsprofile und Regel Exits angepasst werden k nnen Inhalt des Handbuchs Xiv Dieses Handbuch enth lt die folgenden Informationen enth lt eine kurze Beschreibung der Funktionen und des Leistungsumfangs von Tivoli PKI seiner Komponenten sowie der verwendeten Archi tektur und der unterst tzten Standards enth lt die Hardware und Softwarevoraussetzungen die zur erfolgreichen Installation von Tivoli PKI sowie zum Betrieb des Systems erforderlich sind enth lt allgemeine Informati onen zu den Funktionen von Tivoli PKI sowie detaillierte Infor mationen zu den zu konfigurierenden Komponenten enth lt Informa tionen zur Vorgehensweise bei der Installation von Tivoli PKI auf einer AIX Plattform eite OF enth lt Informationen zur Vorschensgeise bei der ETGEN von Tivoli PKI auf einer Windows NT Maschine ber den Se und die Dokumentation die zur Ausf hrung der Konfigurationsaufgaben verwendet werden kann enth lt Erl uterungen zu Themen Verfahren und Tools die zum Verwalten und Anpassen verschie dener Komponenten und Funktionen von Tivoli PKI verwendet werden k nnen enth l
51. B2 bezeichnet man als Exemplar eine logische Datenbankverwaltungs umgebung zum Speichern von Daten und Ausf hren von Anwendungen Es erm g licht die Definition einer allgemeinen Gruppe von Konfigurationsparametern f r ver schiedene Datenbanken Extranet Ein Netz das auf dem Internet basiert und eine hnliche Technologie einsetzt Unternehmen beginnen momentan mit dem Einsatz des Web Publishings elektroni schen Handels und der Nachrichten bertragung sowie der Verwendung von Group ware f r verschiedene Gruppen von Kunden Partnern und internen Mitarbeitern File Transfer Protocol FTP Ein Client Server Protokoll im Internet das zum bertragen von Dateien zwischen Computern benutzt wird Version 3 Release 7 1 Firewall Ein Gateway zwischen Netzen der den Informationsfluss zwischen diesen ein schr nkt Normalerweise dienen Firewalls dem Schutz interner Netze gegen die nicht berechtigte Verwendung durch externe Personen FTP File Transfer Protocol Gateway Eine Funktionseinheit mit deren Hilfe nicht kompatible Netze oder Anwendungen Daten austauschen k nnen Gegenseitige Zertifizierung Ein Trust Modell bei dem ein CA f r einen anderen CA ein Zertifikat ausstellt das den ffentlichen Schl ssel enth lt der dem entsprechenden privaten Unterschrifts schl ssel zugeordnet ist Ein gegenseitig zertifiziertes Zertifikat erm glicht Client Systemen oder Endentit ten in einer Verwaltungsdom ne die sichere Kommunika ti
52. Beschreibungen zu den Werten die bei der Verwendung des Setup Wizard angege ben werden k nnen F r den Zugriff auf das Handbuch Konfiguration stehen folgende M glichkeiten zur Verf gung Klicken Sie nach dem Starten des Setup Wizard auf einen belie bigen Knopf Hilfe und anschlie end auf das Buchsymbol w h rend Sie die Online Hilfe anzeigen ber die Website von Tivoli Public Key Infrastructure unter fol gender Adresse http www tivoli com support Version 3 Release 7 1 Erste Schritte Nach der Installation und Konfiguration des Tivoli PKI Systems PKI Public Key Infrastructure ben tigen Sie Informationen zur Verwaltung des Systems sowie zur Verwendung der grafischen Benutzerschnittstellen die vom System zur Verf gung gestellt wer den Die folgenden Abschnitte enthalten Verweise auf Dokumentatio nen die Sie bei den ersten Schritten mit Tivoli PKI unterst tzen Lesen Sie die Informationen in diesen Dokumenten um folgende Aufgaben auszuf hren bstimmung des Systemb bs um beispielsweise das Sys tem f r die Produktion zu sichern oder um fortlaufende Leistungsanpassungen vorzunehmen u Ausf hren des RA Desktop f r die Verwaltung von ausgestellten Zertifikaten und Zertifikatsanforderungen m Abrufen von Zertifikaten mit den Browserregistrierungsformula ren der Registrierungsfunktion d B ndern der HTML Formulare f r die Registrierung oder Unterst tzung unterschied licher Zerti
53. Dienstprogramm 92 Betriebssystemversion 27 Boot Werte 86 111 CD ROM Dateisystem 63 cfguser Benutzername 43 90 115 Dateien pr fen 59 Dateisysteme 61 Datentr gergruppen 61 Directory Server installieren 67 Hardwarekonfigurationen 30 Host Namensaufl sung 63 IBM 4758 PCI Cryptographic Coprocessor installieren 77 Installationsabschluss Pr fliste 91 Installationsrichtlinien 77 Installations bersicht 57 Konfiguration 58 Serverplattformen 27 Sicherheitsaspekte 40 Sichern 64 Softwarevoraussetzungen 27 Systemabbild 64 Systembenutzer 63 berlegungen zur Firewall 41 Zugriffssteuerung 41 AIX 6000 Betriebssystem 27 Allgemeine Erweiterungen 25 Anpassung Regel Exits 9 Registrierungsdom ne 8 bersicht 126 Zertifikatserweiterungen 25 Zertifikatsprofile 8 Zugriff 126 Architektur LDAP Protokoll 20 Objektspeicher 20 Tivoli PKI Einf hrung Architektur Forts PKIX CMP Protokoll 19 Benutzerhandbuch Ubersicht 125 Zugriff 125 Betriebssysteme f r AIX Server 27 f r NT Server 27 f r Setup Wizard 31 37 Bibliothek Tivoli PKI Website xii Boot Werte unter AIX 86 unter Windows NT 111 Browser Zertifikate 6 C CD ROM Dateisystem 63 CD ROMs Produkt 55 CDSA 19 cfgPostInstall Programm 90 cfguser Benutzername 43 90 98 115 Chiffrieralgorithmen 54 Client Anwendung Dokumentation 125 installieren 78 108 Systemvoraussetzungen 32 Client Authentifizierung 44 Codeunterzeichnung 21 Common Data Security Architectur
54. Dieses Directory unterst tzt die LDAP Standards und verwendet DB2 als Basissystem Distinguished Encoding Rules DER DL DN Durch DER werden bestimmte Einschr nkungen f r BER definiert Mit DER kann genau ein bestimmter Verschl sselungstyp aus den verf gbaren und auf der Basis der Verschl sselungsregeln als zul ssig definierten Typen ausgew hlt werden Hier durch werden alle Senderoptionen eliminiert Data Storage Library Datenspeicherbibliothek Distinguished Name Registrierter Name Dokumentverschl sselungsschl ssel DEK Normalerweise ein symmetrischer Ver Entschl sselungsschl ssel z B DES Tivoli PKI Einf hrung 133 Jesso 5 134 Dom ne Siehe Sicherheitsdom ne und Registrierungsdom ne DSA Digital Signature Algorithm e Business Das Durchf hren gesch ftlicher Transaktionen ber Netze und Computer z B der Kauf und Verkauf von Waren und Dienstleistungen sowie der Transfer von Zah lungsmitteln mit Hilfe der digitalen Kommunikation e Commerce Unternehmens bergreifende Transaktionen wie beispielsweise der Kauf und Verkauf von Waren und Dienstleistungen zwischen Unternehmen und ihren Kunden Liefe ranten Subunternehmen und anderen ber das Internet E Commerce stellt einen Kernbestandteil des e Business dar Endentit t Der Gegenstand eines Zertifikats bei dem es sich nicht um einen CA handelt Entschl sseln Den Verschl sselungsprozess r ckg ngig machen Exemplar Bei D
55. Directory Server unter Windows NT 105 HTTP Server unter Windows NT 102 IBM 4758 PCI Cryptographic Coprocessor unter AIX 50 77 JDK unter Windows NT 101 Pr fliste f r den Installationsabschluss AIX 91 Pr fliste f r den Installationsabschluss Win dows NT 116 Server Komponenten unter AIX 77 Server Komponenten unter Windows NT 108 Web Server unter AIX 72 Web Server unter Windows NT 101 WebSphere Application Server unter AIX 72 WebSphere Application Server unter Windows NT 104 Windows NT 96 Installationsabschluss Konfigurations programm 90 115 Installationsplanungspr fliste 34 installp Programm 79 InstallShield Server Konfiguration 109 Integrit tsschutz von CA S tzen 10 von Pr fs tzen 13 International Encryption Edition 54 IP Aliasnamen Beschreibung 44 unter Windows NT definieren 105 IPSec Zertifikate 6 J Java unter AIX installieren 70 JDK erforderliche Version 28 unter Windows NT installieren 101 159 xapuj K Kennw rter f r AIX Server 27 f r NT Server 27 f r Setup Wizard 31 37 KeyWorks installieren 78 Konfiguration AIX Dateisysteme 61 AIX Datentr gergruppen 61 Boot Werte unter Windows NT 86 111 Directory Server 46 DOS Umgebungskonfiguration 116 Firewalls 41 Formular f r die Datenerfassung 92 116 Server Architektur 53 bersicht 119 bersicht ber den Prozess 119 unter AIX vorbereiten 91 119 unter Windows NT vorbereiten 116 119 Web Server 44 Zugriff 120 Konfigurationsdatenfor
56. HTML basiert auf SGML Symmetrischer Schl ssel Ein Schl ssel der sowohl f r die Verschl sselung als auch f r die Entschl sselung verwendet werden kann Siehe auch Symmetrische Verschl sselung Tivoli PKI Einf hrung 149 Jesso 5 150 Symmetrische Verschl sselung Eine Form der Verschl sselung bei der sowohl f r die Ver als auch f r die Ent schl sselung derselbe Schl ssel verwendet wird Die Sicherheit dieses Verfahren basiert auf dem Schl ssel Wird dieser ffentlich bekannt gegeben k nnen die mit ihm bearbeiteten Nachrichten von jedem Benutzer ver und entschl sselt werden Der Inhalt der bertragenen Daten kann nur dann geheim gehalten werden wenn der Schl ssel nur den jeweils berechtigten Personen bekannt ist Gegensatz zu Asymmetrische Verschl sselung TCP IP Transmission Control Protocol Internet Protocol TP Trust Policy Sicherungsregel Transaktions ID Eine Kennung die die RA als Antwort auf eine Anforderung f r eine Vorab registrierung zur Verf gung stellt Mit dieser ID kann ein Benutzer der die Client Anwendung von Tivoli PKI ausf hrt ein vorab genehmigtes Zertifikat erhalten Transmission Control Protocol Internet Protocol TCP IP Eine Gruppe von bertragungsprotokollen die Peer zu Peer Konnektivit tsfunktio nen f r lokale Netze LANs und Weitverkehrsnetze WANs unterst tzen Triple DES Ein symmetrischer Algorithmus bei dem der unverschl sselte Text dreimal ver schl sselt
57. Informationen aus der Datenbank durchzuf hren In Tivoli PKI publiziert der RA Server die folgenden Informationen im Directory m Zertifikate f r ffentliche Schl ssel die zur Verschl sselung und Authentifizierung verwendet werden m Die einem registrierten Namen DN zugeordneten Attribute die Aufgabenbereiche und Berechtigungen des Eigners m Zertifikatswiderrufslisten die die Seriennummern aller widerru fenen Zertifikate enthalten m Informationen zu dem CA der die Zertifikate unterzeichnet ein schlie lich der Unternehmens und Zertifikatsregeln die dem Zertifikat zugeordnet sind IBM 4758 PCI Cryptographic Coprocessor Wenn ein CA ein Zertifikat ausstellt wird durch die Unterschrift des CA best tigt dass der Benutzer berechtigt ist auf die Services zuzugreifen f r die er registriert ist Der Unterschriftsschl ssel des CA muss gesch tzt werden um zu verhindern dass unbefugte Benutzer Zertifikate erhalten und auf sensible Ressourcen zugreifen k nnen hnliche Sicherheitsfaktoren gelten auch f r die von der RA generierten Schl sselpaare Tivoli PKI Einf hrung 15 Buniaynyuig Did HOAIL L Durch die Anwendung von Verschl sselungsverfahren k nnen Softwarel sungen einen hohen Grad an Sicherheit f r Unterschrifts schl ssel bieten Da die Schl ssel jedoch unverschl sselt vorliegen m ssen um die zugeh rige Unterschrift zu generieren sind diese damit dem Zugriff durch nicht berechtigte Benutzer aus
58. KI zum Erstellen und Verwenden E von Tivoli PKI zur Inte D ee ees von Tivoli PKI zur Interaktion mit dem IBM a eel von Tivoli PKI zur Tivoli PKI Einf hrung 33 Bunueld Did HOAIL E PKI in einer Umgebung mit mehreren Maschinen onen zur Ausf hrung von Tivoli a berlegungen zur Landessprachel zur Ausf hrung von Tivoli PKI mit den l nderspezifischen Angaben Ihres Unternehmens m bersicht zu den CDs die im Tivoli PKI Produktverteilerpakeil enthalten sind Pr fliste f r die Installationsplanung In der folgenden Pr fliste sind die Voraussetzungen aufgef hrt die zur erfolgreichen Ausf hrung der Tivoli PKI Installation erf llt wer den m ssen Pr fen Sie diese Voraussetzungen und markieren Sie diese mit einem Haken 1 nachdem Sie sie erf llt haben Voraussetzung Beschreibung Kommentare Erf llt Produktspezifische Tivoli PKI Weitere Einzelheiten Schulung erfahren Sie vom zust ndigen IBM oder Tivoli Ansprechpartner IBM 4758 PCI Cryptographic Coprocessor Weitere Einzelheiten erfahren Sie vom zust ndigen IBM oder Tivoli Ansprechpartner 34 Version 3 Release 7 1 Voraussetzung Beschreibung Kommentare Erf llt Le Softwarevorausset zungen f r den Server Eines der folgenden Betriebssysteme m IBM AIX 6000 AIX Version 4 3 3 Wartungsstufe 6 m Microsoft Windows NT Version 4 0 mit Service Pack 5 IBM DB2 Universal
59. KeyWorks zu installieren 1 Melden Sie sich als Benutzer mit Root Berechtigung an 2 Legen Sie die CD von Tivoli PKI f r AIX in das CD ROM Lauf werk Ihres Systems ein Geben Sie den folgenden Befehl ein um die CD anzuh ngen mount cdrom 3 Geben Sie den folgenden Befehl ein um in das entsprechende Verzeichnis zu wechseln Version 3 Release 7 1 cd cdrom kw Geben Sie den folgenden Befehl ein um KeyWorks zu installie ren smitty install_latest W hlen Sie f r die Option EINGABE Einheit Verzeichnis f r Software Punkt aus Dr cken Sie unter Neueste verf gbare Software installieren und aktualisieren die Eingabetaste Wenn Sie mit der Installation von Tivoli PKI fortfahren k nnen Sie diesen Arbeitsschritt berspringen Andernfalls m ssen Sie den folgenden Befehl eingeben um das CD ROM Laufwerk abzuh ngen umount cdrom Nach Abschluss dieser Arbeitsschritte sind die folgenden Dateien installiert sway adt sway_vr cst COMMITTED IBM KeyWorks 1 1 31 1 1 3 1 COMMITTED Domestic US customization Serversoftware installieren Gehen Sie wie folgt vor um die Serversoftware zu installieren 1 2 Melden Sie sich als Benutzer mit Root Berechtigung an Legen Sie die CD von Tivoli PKI fiir AIX in das CD ROM Laufwerk ein Geben Sie den folgenden Befehl ein um die CD anzuh ngen mount cdrom Geben Sie den folgenden Befehl ein um in das entsprechende Verzeichnis zu wechseln cd cdrom
60. M Trust Authority 1 0 COMMITTED IBM Trust Authority 1 0 COMMITTED IBM Trust Authority 1 0 COMMITTED IBM Trust Authority Config 1 0 COMMITTED IBM Trust Authority RA Desktop 1 0 COMMITTED IBM Trust User Guide 81 us1a jejsul XIV Join Did IIOAIL 7 82 Richtlinien f r die Installation auf mehreren Maschi nen Im vorliegenden Abschnitt werden die Richtlinien erl utert die bei der Installation von Tivoli PKI in einer Konfiguration mit mehreren Maschinen ber cksichtigt werden m ssen Hierbei werden die fol genden Konfigurationen erl utert Verwenden Sie die folgenden Installationsrichtlinien gem den Anforderungen Ihrer Tivoli PKI Maschinenkonfiguration Szenario 1 RA Server auf einer Maschine CA Pr f und Directory Server auf einer anderen Maschine F r den RA Server m ssen folgende Softwarekomponenten installiert bzw folgende Arbeitsschritte ausgef hrt werden AIX 4 3 3 0 AIX 4 3 3 0 Wartungsstufe 6 IBM DB2 Universal Database Version 6 1 Fix Pack 4 IBM Directory Client IBM Developer Kit f r AIX Java Technology Edition Version 1 2 2 PTF 8 IBM WebSphere Application Server Standard Edition Version 3 5 F hren Sie einen Upgrade von IBM WebSphere Application Ser ver Standard Edition auf Version 3 5 PTF 4 aus Inaktivieren Sie die Funktion f r automatisches Starten des IBM HTTP Server Starten Sie WebSphere Application Server Version 3 Release 7 1 m IBM Key Works m Tivoli PKI Datei
61. PKI unter AIX installieren m ssen Sie Plattenpartitionen f r diese Da tenbanken erstellen bevor Sie den Installationsprozess starten Der Abschnitt e gerg e e eme konfigurieren auf Seite 61 enth lt Einzelheiten hierzu ibmdb pkrfdb adtdb krbdb Dar ber hinaus erstellt Tivoli PKI die Datenbank Idapdb f r das Directory falls diese nicht bereits vorhanden ist Wenn Sie alle Serverkomponenten auf derselben Maschine installie ren erstellen die Konfigurationsprogramme die Datenbanken im Hin tergrund Wenn Sie die CA Pr f oder Directory Komponente auf fernen Maschinen installieren m ssen Sie w hrend der Konfigura tion bestimmte Schritte ausf hren um sicherzustellen dass die Exemplare f r die Datenbanken korrekt erstellt werden Erl uterun gen zu diesen fernen Konfigurationsprozeduren finden Sie im Hand buch Tivoli PKI Konfiguration Wenn Sie Tivoli PKI unter AIX installieren werden die Konfigurati ons CA Registrierungs und Pr fdatenbank sowie die Datenbank f r die Schl sselsicherung und wiederherstellung unter dem Exemp lar cfguser erstellt Wenn noch keine Datenbank f r das Directory erstellt wurde wird diese ebenfalls unter dem Exemplar mit dem Namen cfguser generiert Tivoli PKI Einf hrung 43 Bunueid Id HOAIL E Bei der Installation von Tivoli PKI unter Windows NT entspricht der Exemplarname f r die Tivoli PKI Datenbanken dem Benutzernamen unter dem Sie das Produkt i
62. SL aktivierten Web Server ausgestellt Die Schl ssel in einer verschl sselten Datei erm glichen dem Inhaber des Zertifikats das Verschl sseln Entschl sseln und Unterzeichnen von Daten Normalerweise werden diese Schl ssel im Web Browser gespeichert In bestimmten Anwendungen k nnen die Schl ssel auf Smart Cards oder anderen Speichermedien gespeichert werden Siehe auch Digitales Zertifikat Bytecode Maschinenunabh ngiger Code der mit dem Java Compiler generiert und mit dem Java Interpreter ausgef hrt wird CA Certificate Authority Zertifikatsaussteller CA Hierarchie Bei Tivoli PKI eine Sicherungsstruktur bei der ein CA auf der h chsten Ebene posi tioniert ist Anschlie end k nnen bis zu vier weitere Ebenen mit untergeordneten CAs definiert werden Wenn Benutzer oder Server bei einem Zertifikatsaussteller registriert werden wird ihnen ein von diesem Aussteller unterzeichnetes Zertifikat zugeordnet Au erdem bernehmen sie die Zertifizierungshierarchie der bergeord neten Ebenen CA Server Der Server f r die CA Komponente von Tivoli PKI CAST 64 Ein Block Cipher Algorithmus der mit einer Blockgr e von 64 Bit und einem 6 Bit Schl ssel arbeitet Er wurde von Carlisle Adams und Stafford Tavares entwi ckelt Tivoli PKI Einf hrung 129 Jesso 5 130 CA Zertifikat Ein Zertifikat das vom Web Browser eines Benutzers auf dessen Anforderung hin von einem nicht identifizierten CA akzeptiert wird Der Browser k
63. Sie Tivoli PKI entweder auf einer anderen Maschine installieren oder die KeyWorks Software und alle zugeh rigen Anwendungen entfernen bevor Sie das Installationsprogramm von Tivoli PKI starten m Wenn Sie Tivoli PKI in einer Konfiguration mit mehreren Maschinen installieren wollen m ssen Sie die Installations prozeduren auf den gew nschten Maschinen wiederholen bis alle Serverkomponenten installiert sind Weitere Informationen hierzu finden Sie im Abschnitt Richtlinien die Installation m Wenn Sie das RA Desktop Applet installieren wollen m ssen Sie zuerst ein Installationsimage installieren Anschlie end muss das Image verteilt oder ber das Netz zur Verf gung gestellt werden damit die Benutzer das Installationsprogramm ber eine lokale Windows Maschine ausf hren k nnen Instruktionen zum Installieren Konfigurieren und Deinstallieren dieser Programme finden Sie in der Ver ffentlichung Tivoli PKI RA Desktop m Wenn Sie das System nach der Installation der Softwarevoraus setzungen nicht erneut gestartet haben m ssen Sie jetzt einen Neustart durchf hren Stellen Sie sicher dass die Umgebungs variablen korrekt definiert sind bevor Sie Tivoli PKI installieren m Verwenden Sie PING oder ein anderes Netzkonnektivit ts Tool um zu berpr fen ob die Hostnamen und IP Adressen g ltig und auf dem DNS Server DNS Domain Name Services Ihres Netzes definiert sind KeyWorks installieren Gehen Sie wie folgt vor um IBM
64. TED SecureWay Directory Server ldap server com 3 1 1 5 COMMITTED SecureWay Directory Server ldap server rte 3 1 1 5 COMMITTED SecureWay Directory Server Idap client rte 3 1 1 5 COMMITTED SecureWay Directory Client ldap server admin 3 1 1 5 COMMITTED SecureWay Directory Server ldap server com 3 1 1 5 COMMITTED SecureWay Directory Server Java installieren Gehen Sie wie folgt vor um Java zu installieren 1 70 Legen Sie die CD von Tivoli PKI fiir AIX in das CD ROM Laufwerk Ihres Systems ein Geben Sie den folgenden Befehl ein um die CD anzuh ngen mount cdrom Geben Sie den folgenden Befehl ein um in das entsprechende Verzeichnis zu wechseln cd cdrom aix Java_1 2 2 ptf8 Geben Sie den folgenden Befehl ein smitty install W hlen Sie Software installieren und aktualisieren aus W hlen Sie Neueste verf gbare Software installieren und aktualisieren aus W hlen Sie f r die Option EINGABE Einheit Verzeichnis f r Software Punkt aus Dr cken Sie die Eingabetaste Version 3 Release 7 1 8 Driicken Sie die Eingabetaste 9 Dr cken Sie die Taste F10 10 Geben Sie die folgenden Befehle ein um den Tivoli PKI Daten tr ger abzuh ngen Wenn Sie diesen Befehl eingeben kann kein Prozess auf Teile der Verzeichnisbaumstruktur von cdrom zugreifen umount cdrom Nach Abschluss dieser Arbeitsschritte sind die folgenden Dateien installiert Java_dev2 adt debug 1 2 2 9 COMMI
65. TTED Java Application Development Java_dev2 adt includes 1 2 2 0 COMMITTED Java Application Development Java_dev2 adt src 1 2 2 9 COMMITTED Java Classes Source Code 1 2 2 9 1 2 2 9 COMMITTED Java Runtime Environment COMMITTED Java Runtime Environment Java_dev2 rte bin Java_dev2 rte lib WebSphere Application Server Datenbank erstellen Vor der Installation von WebSphere Application Server m ssen Sie die zugeh rige DB2 Datenbank erstellen Gehen Sie hierzu wie folgt vor 1 Melden Sie sich als Benutzer mit Root Berechtigung an Geben Sie den folgenden Befehl ein su db2instl 3 Starten Sie die DB2 Konsole mit dem folgenden Befehl db2 4 Erstellen und konfigurieren Sie die Datenbank f r WebSphere Application Server mit den folgenden Befehlen create database was_db update db cfg for was_db using applheapsz 256 Verlassen Sie die DB2 Konsole durch Eingabe von quit Stoppen Sie DB2 durch Eingabe von db2stop Starten Sie DB2 durch Eingabe von db2start Geben Sie den folgenden Befehl ein exit RD Tivoli PKI Einf hrung 71 us1a jjejsul XIV Join Did IIOAIL 7 Webserversoftware installieren 72 Tivoli PKI verwendet zur Unterst tzung seiner Web basierten Funkti onen IBM WebSphere Application Server und IBM HTTP Server Befolgen Sie beim Installieren der Software auf einer AIX Plattform die angegebene Prozedur um sicherzustellen dass die Web Server Programme f r den Einsatz mit Tivoli PKI korrekt instal
66. Tivoli PKI stellt das RA Desktop Applet zur Verf gung das die Ver arbeitung von Zertifikatsanforderungen und das Ausf hren von Akti onen f r ausgestellte Zertifikate durch berechtigte RA Administrato ren vereinfacht Tivoli PKI Einf hrung 123 SHUUIS 94813 Z 124 Der RA Desktop unterst tzt die folgenden typischen Administrator aufgaben m Registrierungsanforderungen bearbeiten deren Genehmigung ansteht m Den G ltigkeitszeitraum f r Zertifikate ndern deren G ltigkeit demn chst abl uft m F r Zertifikate feststellen ob diese erneuert werden K nnen m Zertifikate vor bergehend aussetzen m Zertifikate permanent widerrufen Im Tivoli PKI Registration Authority Desktop wird das RA Desktop Applet beschrieben Das Handbuch RA Desktop ist f r die Verwendung in einer Web Umgebung konzipiert und bietet Folgendes Taskorientierte Informationen wie z B Anweisungen zum Installieren von RA Desktop und zum Abrufen einer Gruppe von Zertifikaten deren G ltigkeitszeitraum demn chst abl uft oder zum Anzeigen des Protokolls der bisher f r ein Zertifikat ausge f hrten Aktionen Konzeptionelle Informationen wie z B eine Erl uterung zu Registrierungsdom nen oder zur G ltigkeitsdauer eines Zertifi kats Referenzinformationen wie z B ausf hrliche Beschreibungen zu den Werten die ein Registrator bei der Verwendung von RA Desktop angeben kann F r den Zugriff auf das RA Desktop stehen folgende M gl
67. Tivoli Public Key Infrastructure Einf hrung Version 3 Release 71 Tivoli Public Key Infrastructure Einf hrung Version 3 Release 71 Tivoli Public Key Infrastructure Einf hrung Copyright Notice Copyright 1999 2001 IBM Corp einschlie lich dieser Dokumentation und aller Software Alle Rechte vorbehalten Kann nur gem der Softwarelizenzvereinbarung von Tivoli Sys tems bzw IBM oder dem Anhang f r Tivoli Produkte der IBM Nutzungsbedingungen ver wendet werden Diese Ver ffentlichung darf ohne vorherige schriftliche Genehmigung der IBM Corp weder ganz noch in Ausz gen auf irgendeine Weise elektronisch mechanisch magnetisch optisch chemisch manuell u a vervielf ltigt bertragen aufgezeichnet auf einem Abrufsystem gespeichert oder in eine andere Computersprache bersetzt werden Die IBM Corp gestattet Ihnen in begrenztem Umfang eine Hardcopy oder eine Reproduktion einer maschinenlesbaren Dokumentation f r den eigenen Gebrauch zu erstellen unter der Voraussetzung dass jede dieser Reproduktionen mit dem Copyrightvermerk der IBM Corp versehen ist Weitere das Copyright betreffende Rechte werden nur nach vorheriger schriftli cher Genehmigung durch die IBM Corp gew hrt Die Ver ffentlichung dient nicht zu Produktionszwecken Die in diesem Dokument aufgef hrten Beispiele sollen lediglich zur Veranschaulichung und zu keinem anderen Zweck dienen Bemerkungen Die vorliegenden Informationen wurden f r Produkte und Ser
68. Web Server Software auf der selben Maschine installiert werden wie die Registrierungsstelle Auf dieses Weise wird eine sichere Grenze zwischen den gesch tzten Tivoli PKI Einf hrung 13 Buniaynyuig Did HOAIL L 14 Programmen und den Benutzern eingerichtet die auf diese Pro gramme zugreifen m chten Mit Hilfe der HTTP HTTPS und SSL Technologie kann der Web Server die Kommunikation zwischen den Clients und dem Server verschl sseln Er kann dar ber hinaus die Verbindungen authentifizieren um unberechtigten Zugriff oder unbe fugtes ndern von Daten zu verhindern Der Web Server verwendet verschiedene Anschl sse um unter schiedliche Anforderungstypen zu verarbeiten m Einen ffentlichen Anschluss f r Anforderungen f r die keine Verschl sselung oder Authentifizierung erforderlich ist m Einen gesicherten Anschluss f r Anforderungen f r die eine Ver schl sselung und eine Server Authentifizierung erforderlich sind m Einen gesicherten Anschluss f r Anforderungen f r die eine Ver schl sselung eine Server Authentifizierung und eine Client Au thentifizierung erforderlich ist In einem Tivoli PKI System verarbeitet der Web Server alle Anfor derungen die er von einem Web Browser erh lt Hierzu geh ren Anforderungen f r neue Zertifikate Anforderungen f r die Erneue rung oder den Widerruf vorhandener Zertifikate sowie Anforderun gen f r die Ausf hrung sicherer Applets Falls erforderlich f hrt der
69. Zertifikats aussteller Zertifikats aussteller X 509v3 Zertifikate Zertifikatswiderrufslisten CRLv2 Schl ssell ngen von bis zu 1024 Bit f r die Verschl sselung und Schl ssel f r den Schl sselaustausch Schl ssell ngen von bis zu 2048 Bit f r CA Unterschriftsschl ssel RSA Algorithmen f r die Verschl sselung und die Unterzeichnung MD5 und SHA 1 Hash Algorithmen PKIX CMP via TCP IP f r die Kommunikation mit der Registrierungsstelle IBM Directory LDAP Version 3 2 mit RFC 1779 Syntax Tivoli PKI Einf hrung 23 Buniaynyulg Did HOAIL L Coprocessor Sup port Program Komponente Standard IBM 4758 PCI m FIPS 140 Stufe 4 Anforderungen f r den Schutz gegen physische Cryptographic Besch digung Coprocessor m Unterst tzung f r branchen bliche Verschliisselungsstandards Hardware DES f r die Verschl sselung und Entschl sselung e RSA f r die Unterzeichnung und Unterschriftspr fung e PKCS 1 Blocktyp 00 e PKCS 1 Blocktyp 01 e PKCS 1 Blocktyp 02 e MD5 und SHA 1 Hash Algorithmen e X9 9 und X9 23 ANSI e ISO 9796 IBM CCA Dieses Unterstiitzungsprogramm stellt Services fiir den IBM 4758 PCI Cryptographic Cryptographic Coprocessor zur Verf gung einschlie lich der sicheren Generierung von RSA Schliisselpaaren mit Modulus L ngen bis zu 2048 Bit sowie folgenden Funktionen SET Secure Electronic Transaction DES fiir die Verschliisselung und Entschliisselung RSA f
70. aditionelles Chine sisch m Alle Texteingabefelder unterst tzen Unicode ber die UTF 8 Verschl sselung m Alle registrierten Namen DN unterst tzen Unicode ber die UTF 8 Verschl sselung Unter Tivoli PKI stehen alle Verzeichnispfade in den Konfigurations dateien ausschlie lich in Englisch zur Verf gung und m ssen im ASCII Format angegeben werden Aufgrund von Exportbestimmungen der US Regierung wird das Tivoli PKI Produkt in verschiedenen Verschl sselungsstufen Encryption Editions ausgeliefert Die f r US Kunden USA US Niederlassungen und Kanada verf gbare Verschl sselungsstufe ent h lt einen st rkeren Verschl sselungsalgorithmus als die international verf gbare Ausgabe Die Verschl sselungsalgorithmen sind im Produktcode vorab festgelegt und k nnen bei der Installation Konfi guration oder Verwendung des Produkts nicht ge ndert werden 54 Version 3 Release 7 1 Tivoli PKI Datentr gerpaket Die Software f r Tivoli PKI wird in einem Datentr gerpaket ausge liefert das die folgenden CDs enth lt m CD f r IBM WebSphere Application Server for AIX Standard Edition V3 5 Application Server und IBM HTTP Server Diese CD enth lt die Webserversoftware die f r Tivoli PKI erforderlich ist Dar ber hinaus enth lt sie WebSphere Applica tion Server und IBM HTTP Server m CD f r IBM WebSphere Application Server for AIX Standard Edition V3 5 IBM Directory Diese CD enth lt die f r Tivoli PKI erforder
71. ann dann dieses Zertifikat verwenden um f r die Kommunikation mit Servern die ber Zertifikate dieses CAs verf gen eine Authentifizierung durchzuf hren CCA IBM Common Cryptographic Architecture CDSA Common Data Security Architecture CGI Common Gateway Interface Client 1 Eine Funktionseinheit die gemeinsam benutzte Services von einem Server emp f ngt 2 Ein Computer oder Programm der das Services von einem anderen Com puter oder Programm anfordert Client Server Ein Modell fiir die verteilte Verarbeitung bei dem ein Programm an einem Standort eine Anforderung an ein Programm an einem anderen Standort sendet und auf eine Antwort wartet Das anfordernde Programm wird als Client das antwortende als Server bezeichnet Codeunterzeichnung Ein Verfahren zum Unterzeichnen ausf hrbarer Programme mit einer digitalen Unterschrift Die Codeunterzeichnung dient zur Verbesserung der Zuverl ssigkeit von Softwarekomponenten die ber das Internet verteilt werden Common Cryptographic Architecture CCA IBM Software die einen konsistenten Verschl sselungsansatz auf den wichtigsten IBM Computerplattformen bietet Sie unterst tzt Anwendungssoftware die in einer Vielzahl von Programmiersprachen geschrieben wurde Die Anwendungssoftware kann hierbei die CCA Services aufrufen um eine breite Palette kryptografischer Funktionen einschlie lich der DES und der RSA Verschl sselung auszuf hren Common Data Security Architecture
72. as Abrufen von Identit tsnachweisen f r die Verwendung ber das Internet Bei der Registrierung werden Zertifikate angefordert erneuert und widerru fen Registrierungsattribut Eine Registrierungsvariable die in einem Registrierungsformular enthalten ist Ihr Wert gibt die Informationen wider die w hrend der Registrierung erfasst werden Der Wert des Registrierungsattributs bleibt w hrend der gesamten G ltigkeitsdauer des Identit tsnachweises gleich Registrator Ein Benutzer der f r den Zugriff auf RA Desktop sowie zur Verwaltung und Anfor derung von Zertifikaten berechtigt ist Registrierungsstelle RA Die Software die zur Verwaltung digitaler Zertifikate verwendet wird und sicher stellt dass die Unternehmensregeln vom ersten Empfang einer Registrierungsan forderung bis zum Zertifikatswiderruf angewendet werden Registrierungsdatenbank Diese Datenbank enth lt Informationen zu Zertifikatsanforderungen und ausgestell ten Zertifikaten In der Datenbank werden Registrierungsdaten gespeichert und alle nderungen aufgezeichnet die w hrend der G ltigkeitsdauer an einem Zertifikat vorgenommen werden Die Datenbank kann durch RA Prozesse und Regel Exits oder durch den Registrator aktualisiert werden Registrierungsdom ne Eine Gruppe von Ressourcen Regeln und Konfigurationsoptionen die sich auf bestimmte Registrierungsprozesse f r Zertifikate beziehen Der Dom nenname stellt einen untergeordneten Wert zur URL Adresse dar
73. asierte Verwaltungsschnittstelle RA Desktop erm glicht berechtigten Registratoren das Genehmigen oder Zur ckweisen von Registrierungsanforderungen sowie das Verwalten von bereits ausgestellten Zertifikaten Version 3 Release 7 1 Ein Pr fsubsystem berechnet einen Nachrichtenauthentifizierung scode Message Authentication Code MAC f r jeden Protokoll eintrag Wenn Pr fdaten ge ndert oder gel scht werden nach dem sie in der Pr fdatenbank aufgezeichnet wurden kann mit Hilfe des MAC der unberechtigte Zugriff festgestellt werden Regel Exits und BPOs Unternehmensprozessobjekte erm gli chen Anwendungsentwicklern die Anpassung des Registrierungs prozesses Integrierte Unterst tzung f r eine kryptografische Maschine Um die Kommunikation zu authentifizieren sind die Haupt komponenten von Tivoli PKI werksseitig mit einem privaten Schl ssel unterzeichnet Sicherheitsobjekte wie beispielsweise Schl ssel und MACs sind verschl sselt und in gesch tzten Bereichen gespeichert die als Schl sselspeicher KeyStores bezeichnet werden Integrierte Unterst tzung f r das IBM Directory Im Directory sind Informationen zu g ltigen und widerrufenen Zertifikaten in einem mit LDAP kompatiblen Format gespeichert Integrierte Unterst tzung f r IBM WebSphere Application Server und IBM HTTP Server Der Web Server kooperiert mit dem RA Server bei der Verschl sselung von Nachrichten der Authen tifizierung von Anforderungen und der
74. assen folgendes m Verwendung einer DB2 Datenbank f r die Protokollierung ver schl sselter Registrierungs und Zertifikatsdaten H Unterst tzung f r manuelle und automatische Prozesse zur Registrierungsgenehmigung m Eine Gruppe von Registrierungsformularen auf Java Basis mit denen Benutzer Zertifikate ber die eigenen Web Browser anfor dern und abrufen k nnen Durch den Registrierungsprozess wird die Identit t des Clients und des Servers authentifiziert und die Zertifikate werden an genehmigte Entit ten bergeben wobei alle angeforderten Daten w hrend der gesamten Kommunikation Tivoli PKI Einf hrung Buniaynyuig Did HOAIL L zwischen Absender und Empf nger verschl sselt werden Der Registrierungsprozess umfasst Folgendes e Die bergabe von Zertifikaten ber SSL Secure Sockets Layer zur Verwendung bei Anwendungen auf die ber einen Web Browser oder einen Web Server zugegriffen wird e Die bergabe von Zertifikaten ber PKIX CMP Certificate Management Protocol zur Verwendung in PKIX Client An wendungen oder zum Speichern auf Smart Cards e Die bergabe von Zertifikaten die den IPSec Standard IPSec Internet Protocol Security unterst tzen zur Verwen dung bei sicheren VPN Anwendungen oder IPSec f higen Einheiten e Die bergabe von Zertifikaten die S MIME Secure Multi purpose Internet Mail Extensions unterst tzen zur Verwen dung bei sicheren E Mail Anwendungen e Die bergabe von B
75. auf denen eine Server Komponente von Tivoli PKI installiert werden soll zuerst die Datenbanksoftware installieren Tivoli PKI Einf hrung 99 usaa jelsul IN SMOPUIM Jun Pid HOAIL S 10 100 Legen Sie die CD von Tivoli Public Key Infrastructure f r NT in das CD ROM Laufwerk ein W hlen Sie Start gt Ausf hren aus Klicken Sie auf Durchsuchen um zum CD ROM Laufwerk zu wechseln F hren Sie die Datei setup exe aus W hlen Sie im Fenster f r die Auswahl der Setup Sprache eine Sprache f r die aktuelle Installation aus und klicken Sie dann auf OK Lesen Sie die Informationen im Eingangsfenster und klicken Sie anschlie end auf Weiter Anmerkung Wurde auf der Maschine bereits DB2 in der kor rekten Version installiert ruft das Programm das Fenster Setup abgeschlossen auf Klicken Sie im Fenster auf Beenden um die Installation abzuschlie en Klicken Sie im Fenster Zielpfad w hlen auf Weiter wenn Sie den Standardinstallationspfad verwenden wollen W hlen Sie andernfalls das gew nschte Laufwerk und den gew nschten Zielordner aus in dem die Software installiert werden soll und klicken Sie anschlie end auf Weiter Im vorliegenden Fall kann der Standardpfad c Program Files IBM Trust Authority verwendet werden Geben Sie im Fenster zur Angabe des Datenbankadministrators einen Benutzernamen und ein Kennwort f r den Datenbank administrator ein Best tigen Sie das Kennwort indem Sie die
76. ava Applet Siehe Applet Gegensatz zu Java Anwendung Java Klasse Eine Einheit mit Java Programmcode Java Sprache Eine von Sun Microsystems entwickelte Programmiersprache die speziell f r die Verwendung in Applet und Agent Anwendungen konzipiert wurde Java Virtual Machine JVM Der Teil der Java Laufzeitumgebung der zum Interpretieren von Bytecodes einge setzt wird KeyStore Schl sselspeicher Eine DL zum Speichern von Identit tsnachweisen f r Tivoli PKI Komponenten z B Schl ssel und Zertifikate in einem verschl sselten Format Klartext Nicht verschl sselte Daten Synonym zu unverschl sselter Text Klasse Beim objektorientierten Entwurf bzw bei der objektorientierten Programmierung eine Gruppe von Objekten die ber eine gemeinsame Definition verf gen und aus diesem Grund mit denselben Merkmalen Verarbeitungsoperationen und Funktions weisen arbeiten Version 3 Release 7 1 Kryptographie Bei der Sicherung von Computern die Prinzipien Verfahren und Methoden zur Ver schl sselung von unverschl sseltem und zur Entschl sselung von verschl sseltem Text LDAP Lightweight Directory Access Protocol Lightweight Directory Access Protocol LDAP Ein Protokoll mit dem auf das Directory zugegriffen werden kann Liste der ausgestellten Zertifikate ICL Eine vollst ndige Liste der ausgestellten Zertifikate sowie deren aktueller Status Die Zertifikate sind anhand der Seriennummer und des Status indexiert Di
77. baumstruktur des CA im Directory zu aktualisieren Zu dieser Berechtigung geh rt die F higkeit Directory Eintr ge hinzuzuf gen zu l schen zu ndern zu lesen zu suchen und zu verglei chen Version 3 Release 7 1 m Jedes Tivoli PKI System definiert einen Directory Root DN Der Root DN ist eine konfigurierte Entit t die in der Directory Verzeichnisbaumstruktur nicht tats chlich vorhanden ist Als Root Administrator ist der Root DN berechtigt alle Knoten im Directory zu aktualisieren nicht nur die Knoten in der Unter verzeichnisbaumstruktur eines bestimmten CA Die Attribute im Root DN beschreiben die Protokolle und Steuerelemente die vom Directory unterst tzt werden Dadurch k nnen Clients wie beispielsweise Tivoli PKI grundlegende Informationen zum Server und zur Directory Verzeichnisbaum struktur abrufen Dar ber hinaus erm glicht es Tivoli PKI Bindevorg nge f r das Directory auszuf hren um nderungen vorzunehmen Mit dem IBM 4758 PCI Cryptographic Coprocessor arbeiten Dieses Produkt ist zwar optional es wird jedoch empfohlen den IBM 4758 PCI Cryptographic Coprocessor zu verwenden um die optimale Sicherheit f r CA und RA Unterschriftsschl ssel zu gew hrleisten Sch den auf Grund von Missbrauch durch System administratoren oder unbefugtes Eindringen in das System k nnen so auf ein Minimum reduziert werden Anmerkung Die Unterst tzung f r den IBM 4758 PCI Cryptogra phic Coprocessor steht nur
78. chiedene Zwecke Wenn Sie beispielsweise das Directory bereits installiert haben und mit anderen Anwendungen verwenden empfiehlt es sich m glicherweise diesen Server nicht f r die anderen Tivoli PKI Komponenten zu kon figurieren Nachfolgend sind die Konfigurationsm glichkeiten f r die Verteilung der Serverkomponenten zusammengefasst m Der Haupt Server von Tivoli PKI der CA und Pr f Server und der Directory Server auf einer Maschine m Der Haupt Server von Tivoli PKI der CA und Pr f Server und der Directory Server auf drei separaten Maschinen m Der Haupt Server von Tivoli PKI auf einer Maschine der CA und Pr f Server und der Directory Server auf einer zweiten Maschine Tivoli PKI Einf hrung 53 Bunueld d HOAIL E m Der Haupt Server von Tivoli PKI und der CA und Pr f Server auf einer Maschine der Directory Server auf einer zweiten Maschine m Der Haupt Server von Tivoli PKI und der Directory Server auf einer Maschine der CA und Pr f Server auf einer zweiten Maschine Hinweise zu l nder bergreifenden Umgebungen Die Tivoli PKI Komponenten unterst tzen den Einsatz in einer l nder bergreifenden Umgebung m Nachrichtendateien und grafische Benutzerschnittstellen GUIs wurden bersetzt und stellen Unterst tzung in den folgenden Landessprachen zur Verf gung Englisch Franz sisch Deutsch Italienisch Spanisch brasilianisches Portugiesisch Japanisch Koreanisch vereinfachtes Chinesisch und tr
79. chsatzanforderungen Kleine Produktions oder Testumgebung Ein Standort an dem Hunderte von Zertifikaten pro Tag aus gestellt werden Dabei kann es sich um ein System handeln das f r die Ausstellung von Zertifikaten an Mitarbeiter ber ein Intranet eingerichtet wird oder um ein System das zu Testzwecken oder zur Anwendungsentwicklung konfiguriert ist Mittlere Produktionsumgebung Ein Standort an dem Tausende von Zertifikaten pro Tag aus gestellt werden Dabei kann es sich um ein System handeln das von kleinen und mittleren Unternehmen eingerichtet wird um Zertifikate ber das Internet auszustellen Gro e Produktionsumgebung Ein Standort an dem Tausende von Zertifikaten pro Tag aus gestellt werden Dabei kann es sich um ein System handeln das von einem gro en Unternehmen f r die Ausstellung von Zertifikaten ber das Internet eingerichtet wird Es kann sich auch um ein System handeln das als unabh ngiger Dritter CA Services f r andere Unternehmen zur Verf gung stellt Die folgende Tabelle enth lt eine bersicht zu den Mindesthardware voraussetzungen in einer kleinen Produktionsumgebung Sie sollten die Konfiguration der physischen Maschinen an die erwarteten Verarbeitungsanforderungen anpassen Platt Maschinen Prozesso Plattenspeicherplatz Haupt form typ ren speicher AIX RS 6000 1 233 4 GB 256 MB MHz NT PC 1 Intel 2 GB 256 MB Pentium 300 MHz Version 3 Release 7 1 Vora
80. d ndern oder Profile erstellen die Zertifikate mit anderen Erweiterungen zur ckgeben Umfassende Informationen zum Erstellen und Anpassen von Zerti fikatserweiterungen und Zertifikatsprofilen finden Sie im Handbuch Tivoli PKI Anpassung Tivoli PKI Einf hrung 25 Buniaynyuig Did HOAIL L 26 Version 3 Release 7 1 Systemvoraussetzungen Die verwendete Betriebsumgebung muss die Software und Hard warevoraussetzungen erf llen die in den folgenden Abschnitten erl utert werden Die neuesten Informationen zu den Systemvoraus setzungen finden Sie in den Release Informationen zu Tivoli Public Key Infrastructure PKI Diese Datei kann Informationen enthalten die die entsprechenden Angaben in den Produktver ffentlichungen ersetzen Die aktuellste Version dieses Dokuments k nnen Sie ber die Web site von e e abrufen Softwarevoraussetzungen f r den Server Um die Arbeitsbelastung auf mehrere Prozessoren zu verteilen und die vorhandene Systemkonfiguration in Ihrem Unternehmen zu unter st tzen k nnen Sie die Tivoli PKI Server Programme auf mehreren Maschinen installieren Eine Erl uterung zu den unterschiedlichen M glichkeiten Tivoli PKI in der jeweiligen Umgebung zu installie ren finden Sie im Abschnitt e erve e i Beite 54 In der folgenden Tabelle sind die Betriebssystem und Softwarevor aussetzungen f r Tivoli PKI aufgef hrt Tivoli PKI Einf hrung 27 uabunzjassneioawajsAs Z 28
81. d f r die Zertifizierung m PKCS 1 beschreibt ein Verfahren zum Verschl sseln von Daten mit Hilfe des RSA Verschl sselungssystems auf der Basis ffentlicher Schl ssel Er dient zur Erstellung digitaler Unterschriften und Briefumschl ge m PKCS 7 definiert ein allgemeines Format f r verschl sselte Nachrichten m PKCS 10 definiert eine Standardsyntax f r Zertifizierungsanforderungen m PKCS 11 definiert eine Programmierschnittstelle f r Verschl sselungseinheiten z B Smart Cards die unabh ngig vom verwendeten technologischen Konzept ist m PKCS 12 definiert ein portierbares Format zum Speichern oder Transportieren der privaten Schl ssel Zertifikate und sonstiger geheimer Daten etc eines Benutzers Public Key Infrastructure PKI Ein Standard f r Sicherheitssoftware der auf der Verschl sselung mit Hilfe ffentli cher Schl ssel basiert Bei PKI handelt es sich um ein System digitaler Zertifikate Zertifikatsaussteller Registrierungsstellen Zertifikatverwaltungsservices und verteil ter Verzeichnisservices Er dient zum Pr fen der Identit t und Berechtigung aller Parteien die an Transaktionen beteiligt sind die ber das Internet ausgef hrt wer den Diese Transaktionen umfassen m glicherweise Operationen zu deren Ausf h rung eine Identit tspr fung erforderlich ist Sie dienen z B zur Best tigung des Ursprungs von Senderechtanforderungen E Mail Nachrichten oder Finanz transaktionen PKI stellt ffe
82. d IP Aliasnamen finden Sie in der Dokumentation zum verwendeten DNS Produkt Weitere Informationen erhalten Sie in der Dokumenta tion f r den IBM HTTP Server Sie k nnen beispielsweise auf die Informationen zur Benutzerunterst tzung zugreifen die ber die fol gende IBM Website f r IBM HTTP Server zur Verf gung steht http www ibm com software webservers httpservers library html Mit dem Directory arbeiten 46 Das Datentr gerpaket von Tivoli Public Key Infrastructure enth lt die f r die Installation des IBM Directory erforderliche Software Sie k nnen die mit Tivoli PKI zur Verf gung gestellte Software installie ren und speziell f r die Verwendung mit Tivoli PKI Konfigurieren oder Tivoli PKI mit einem bereits vorhandenen IBM Directory ver wenden Bei der Installation der Tivoli PKI Server Software aktuali sieren die Installationsprogramme das Directory mit Informationen die f r die Tivoli PKI Komponenten erforderlich sind Version 3 Release 7 1 W hren der Konfiguration werden von Tivoli PKI Eintr ge erstellt die das Programm f r Bindevorg nge im Directory und f r das Publizieren von Informationen ben tigt So erstellt das Konfigu rationsprogramm beispielsweise einen Eintrag f r den Tivoli PKI CA und ordnet ihm die entsprechenden Directory Zugriffsberechtigungen zu Wenn Sie alle Serverkomponenten auf derselben Maschine installie ren aktualisieren die Konfigurationsprogramme das Directory im Hintergrund W
83. d RA Server aus w hlen und das Konfigurationsprogramm feststellt dass mehr als eine Version von IBM WebSphere Application Ser ver oder IBM HTTP Server vorhanden ist werden Sie dazu aufgefordert die gew nschte Version auszuw hlen 9 Klicken Sie im Fenster Programmordner ausw hlen auf Wei ter wenn Sie ein Programmsymbol im Standardprogramm ordner Tivoli PKI erstellen m chten Geben Sie andernfalls den Namen des Ordners an der verwendet werden soll oder w hlen Sie den Namen aus Klicken Sie anschlie end auf Wei ter 10 Klicken Sie im Fenster Setup abgeschlossen auf Beenden um den Installationsprozess zu starten Das System kopiert die Dateien an die angeforderten Positionen und f hrt eine Reihe von Programmen aus um die Installation von Tivoli PKI abzu schlie en 11 F hren Sie nach der Installation der Software einen Neustart des Systems durch Bootwerte andern Verwenden Sie diese Prozedur nur wenn Sie einen der standard m igen Konfigurationswerte ndern wollen Hierbei handelt es sich um die Werte die bei der Ausf hrung des Konfigurations Applets oder nach der Konfiguration des Systems nicht ge ndert werden k n nen Sie m ssen alle Boot nderungen vornehmen bevor Sie das Tivoli PKI Konfigurationsprogramm f r den Installationsabschluss ausf hren Tivoli PKI f hrt im Rahmen des Installationsab schlussprozesses ein Boot Programm aus Als Eingabe f r dieses Boot Programm wird ein SQL Scri
84. den Die RA dient zur Ausf hrung der folgenden wichtigen Aufgaben m Best tigen der Identit t der anfordernden Entit t Version 3 Release 7 1 Mm berpr fen ob der Antragsteller ber die Berechtigung f r ein Zertifikat verf gt das die angeforderten Attribute und Berechti gungen enth lt m Genehmigen und Zur ckweisen von Anforderungen zur Erstel lung Erneuerung oder zum Widerrufen von Zertifikaten Mm berpr fen ob eine Entit t die auf eine gesicherte Anwendung oder Ressource zugreifen m chte ber den privaten Schl ssel verf gt der dem ffentlichen Schl ssel f r das verwendete Zerti fikat zugeordnet ist hnlich wie der Tivoli PKI CA kann die RA auch Verschl sselungs hardwareeinheiten wie z B den IBM 4758 PCI Cryptographic Coprocessor verwenden um ihre Unterschriftsschl ssel zus tzlich zu sch tzen Bei Tivoli PKI stellt die auf dem RA Server installierte Registrie rungsfunktion die Basis zur Verf gung auf der eine breite Palette von Registrierungsaktivit ten unterst tzt wird W hrend der Konfigu ration des Systems wird eine Registrierungsdom ne eingerichtet die die Gesch fts und Zertifikatsregeln sowie die Ressourcen in ber einstimmung mit den bevorzugten Registrierungs und Zertifizie rungsstrategien Ihres Unternehmens steuert Registrierung Die RA bietet Unterst tzung f r eine Vielzahl verschiedener Registrierungsprotokolle und Zertifikatstypen Die Registrierungs funktionen umf
85. der Basis von Schl sselpaaren bezeichnet Gegensatz zu Symmetrische Verschl sselung Asynchrone bertragung Ein bertragungsmodus bei dem Sender und Empf nger nicht gleichzeitig vorhan den sein m ssen Authentifizierung Der Vorgang bei dem die Identit t eines Teilnehmers an einer bertragung zuverl s sig berpr ft wird Base64 Verschl sselung Ein h ufig verwendetes Verfahren bei der bertragung von Bin rdaten mit MIME Basic Encoding Rules BER Die Regeln die in ISO 8825 f r die Verschl sselung von in ASN 1 beschriebenen Dateneinheiten angegeben sind Die Regeln geben das Verschl sselungsverfahren jedoch nicht die abstrakte Syntax an Benutzerauthentifizierung Der Prozess mit dem berpr ft wird ob der Absender einer Nachricht die berech tigte Person ist als die er sich ausgibt Der Prozess berpr ft au erdem ob ein Kommunikationsteilnehmer auch tats chlich mit dem erwarteten Endbenutzer oder System in Verbindung steht Version 3 Release 7 1 BER Basic Encoding Rules Berechtigung Die Erlaubnis auf eine Ressource zuzugreifen Bestreiten Etwas als unwahr zur ckweisen Dies ist z B dann der Fall wenn ein Benutzer abstreitet eine bestimmte Nachricht gesendet oder eine bestimmte Anforderung bergeben zu haben Browser Siehe Web Browser Browser Zertifikat Ein digitales Zertifikat das auch als Zertifikat der Client Seite bezeichnet wird Es wird von einem CA ber einen f r S
86. der Dateien kopieren durch die Ihre Registie rungsdom ne definiert wird und sie f r Ihre Unternehmensstrategie anpassen Erstellen Sie vor der nderung einer Datei unbedingt eine Sicherungskopie Sie k nnen die nachfolgend aufgef hrten Dateien der Registrierungs funktion kopieren oder aktualisieren W hrend der Konfiguration werden diese Dateien in dem Verzeichnispfad erstellt der f r Ihre Registrierungsdom ne definiert wurde Version 3 Release 7 1 m Die Konfigurationsdateien Dateityp cfg die im Unterverzeich nis etc installiert sind In diesen Dateien k nnen beispielsweise die Laufzeiteinstellungen f r den RA Server oder RA Desktop angepasst werden m Die Beispiele f r Benachrichtigungsschreiben Dateityp ltr die im Unterverzeichnis etc installiert sind Tivoli PKI stellt Beispieltext f r Benachrichtigungsschreiben zur Verf gung in denen Benutzer dar ber informiert werden wenn eine Anforde rung genehmigt oder widerrufen wurde Sie k nnen jedoch auch ein eigenes Schreiben verfassen H Die HTML Dateityp html Grafik Dateityp of und Java Server Pages Dateien Dateityp jsp die im Unterverzeichnis webpages installiert sind Sie K nnen beispielsweise den Text und die Grafiken ndern die in den Browser Registrierungs formularen angezeigt werden Au erdem k nnen Sie ein vorhan denes Zertifikatsprofil anpassen oder ein neues Profil definieren das den Zertifikatsregeln Ihres Unternehmens entspricht
87. der Unterschrift der jeweiligen Komponente authentifiziert werden Datenverschl sselung Alle in Schl sselspeichern KeyStores gespeicherten Informationen werden verschl sselt Dar ber hinaus verschl sselt DB2 einen Gro teil der Informationen die in den Tivoli PKI Datenbanken gespei chert werden Schl sselspeicher KeyStores Tivoli PKI stellt Unterst tzung f r Schl sselspeicher KeyStores zur Verf gung Hierbei handelt es sich um sichere Bereiche in denen private Schl ssel Zertifikate Nachrichtenauthentifizierungscodes MAC und andere sicherheitsrelevante Objekte gespeichert werden F r die CA und Pr fkomponenten sowie f r eine Reihe von Server Agenten die die Ausf hrung von Server Transaktionen unterst tzen sind verschiedene Schl sselspeicher vorhanden Die Informationen in den einzelnen Schl sselspeichern werden verschl sselt so dass der Zugriff ausschlie lich ber ein Kennwort m glich ist das f r den jeweiligen Schl sselspeicher definiert wird Dieses Sicherheitsmodell tr gt zur Gew hrleistung der System integrit t bei indem es Objekte sch tzt die im Schl sselspeicher gespeichert sind Dar ber hinaus stellt dieses Modell die Vertraulich keit dieser Objekte sicher indem es ausschlie lich gesicherten Systemkomponenten d h Systemkomponenten die werksseitig mit einem Schl ssel unterzeichnet wurden den Zugriff auf die Schl sselspeicher und die darin gespeicherten verschl sselten Dat
88. derlichen Parametern erm glicht Es bereitet dar ber hinaus den Web Server f r die Ausf hrung des Konfigurations App lets vor erstellt die Konfigurationsdatenbank und f llt die Datenbank mit den Standardkonfigurationsdaten Gehen Sie wie folgt vor um das Konfigurationsprogramm f r den Installationsabschluss auszuf hren 1 Melden Sie sich als Konfigurationsbenutzer von Tivoli PKI an Diesem ist der Benutzereintrag cfguser zugeordnet 2 Pr fen Sie ob auf dem Server ein Verzeichnis temp vorhanden ist und ob es mit Hilfe der Umgebungsvariablen TEMP definiert wurde 3 W hlen Sie Start gt Programme gt Tivoli Public Key Infra structure Konfiguration zum Installationsabschluss aus 4 Geben Sie exit ein um das Fenster zu schlie en CfgPostInstall fordert Sie zum Pr fen des Kennworts f r den Benutzereintrag cfguser und anschlie end zum Definieren und Best tigen des Kennworts f r das Steuerprogramm CP auf Das Kennwort f r cfguser steuert den Zugriff auf den Benutzereintrag cfguser und auf die CfgApplet Wizard Seite Das Steuerprogramm kennwort schr nkt den Zugriff auf das Steuerprogramm ein Es wird empfohlen f r das Steuerprogramm und den Benutzereintrag cfgu ser unterschiedliche Kennw rter zu definieren Bei dem von Ihnen erstellten Kennwort f r cfguser muss es sich um ein g ltiges Systemkennwort handeln dessen L nge maximal acht Zeichen betra gen darf
89. des AIX Servers den Sie momentan konfigurieren Tivoli PKI Einf hrung 63 us1a jjejsul XIV Join Did IIOAIL 7 3 Erstellen Sie die Datei etc resolv conf oder ndern Sie diese so dass sie lediglich die folgenden Zeilen enth lt domain company com nameserver 10 10 10 90 Die erste Zeile im vorherigen Beispiel enth lt den Dom nen namen des Servers den Sie momentan konfigurieren Die zweite Zeile enth lt die IP Adresse des DNS Namens Servers Systemimage erstellen Obwohl dies nicht zwingend erforderlich ist empfiehlt IBM die AIX Systemkonfiguration zu sichern bevor die Installation von Tivoli PKI fortgesetzt wird Mit Hilfe eines Sicherungs Images kann das System wiederhergestellt werden falls Probleme auftreten Geben Sie folgende Befehle als Root ein und w hlen Sie die gew nschten Optionen aus um ein System Image zu erstellen smitty mksysb smitty savevg Datenbanksoftware installieren 64 Tivoli PKI verwendet zum Verwalten von Daten IBM DB2 Universal Database Die Software von IBM DB2 Universal Database wird zusammen mit IBM WebSphere Application Server Standard Edition Version 3 5 0 bereitgestellt Die Software von IBM DB2 Universal Database die zusammen mit IBM WebSphere Application Server bereitgestellt wird dient nur zur Verwendung durch Tivoli PKI An wendungen Wenn Sie die Datenbanksoftware anpassen oder zusam men mit anderen Anwendungen als Tivoli PKI verwenden wollen m ssen Sie eine Liz
90. die zur Ausf hrung der Registrierungsfunktion eingesetzt wird Registrierungsfunktion Ein Tivoli PKI Anwendungsger st das spezielle Verfahren zur Registrierung von Entit ten z B Browser Router E Mail Einheiten und sichere Client Anwendun gen und zur Verwaltung von Zertifikaten w hrend ihrer G ltigkeitsdauer bereitstellt Registrierungsprozess Bei Tivoli PKI die Schritte die zur berpr fung eines Benutzers ausgef hrt werden Durch den Registrierungsprozess werden Benutzer sowie deren ffentliche Schl ssel zertifiziert um sie zur Teilnahme an den gew nschten Transaktionen zu berechtigen Version 3 Release 7 1 Er kann lokal oder Web gest tzt automatisch oder von einer tats chlich mit Perso nen besetzten Registrierungsstelle ausgef hrt werden Registrierungsvariable Siehe Registrierungsattribut RSA Ein auf ffentlichen Schl sseln basierender Verschl sselungsalgorithmus der nach seinen Erfindern Rivest Shamir und Adelman benannt wurde Er wird zur Ver schl sselung und f r digitale Unterschriften verwendet Schema Beim Directory die interne Struktur die zur Definition der Beziehungen zwischen den verschiedenen Objektarten verwendet wird Schl ssel Bei der Verschl sselung ein Wert der zum Ver und Entschl sseln von Informatio nen verwendet wird Schl sselpaar Zusammengeh rende Schl ssel die bei der asymmetrischen Verschl sselung einge setzt werden Ein Schl ssel wird zur Verschl sselung d
91. e CDSA 19 createconfig_start sql Datei 86 111 157 x pul CRL 10 D datavg Datentr gergruppe 61 Dateisysteme CD ROM 63 f r den AIX Server 61 pr fen 59 Dateisysteme unter AIX konfigurieren 61 Datenbanken CA Daten 10 Directory Daten 15 Installationsrichtlinien 64 Pr fdaten 12 Registrierungsdatum 5 reservierte Namen 43 Schl ssel sichern und wiederherstellen 17 Systemvoraussetzungen 28 bersicht 14 Datentr gergruppen unter AIX konfigurieren 61 DB2 CA Datenbank 10 Datenverschl sselung 22 db2admin Benutzer 99 Directory Datenbank 15 Installation 65 Pr fdatenbank 12 reservierte Namen 43 Systemvoraussetzungen 28 unter AIX installieren 64 65 unter Windows NT installieren 99 Vorteile 14 db2admin Benutzer 99 Definition von Plattenpartitionen unter AIX 61 Directory Administrator DN Eintrag 48 Schl sselspeicher KeyStore 22 Directory Schema 47 Directory Server CA DN 48 Directory Administrator registrierter Name 48 Konfiguration 46 158 Directory Server Forts Root DN 48 Schema 47 Softwarevoraussetzungen 28 bersicht 15 unter AIX installieren 67 79 unter Tivoli PKI verwenden 107 unter Windows NT installieren 105 109 Zugriffssteuerung 48 DN definiert 47 DNS 45 46 Domestic Encryption Edition 54 DOS Umgebung 116 E Einschr nkungen Serverkonfiguration 53 Erste Schritte Konfiguration 119 mit Anpassung 126 RA Verwaltung 123 Registrierung 125 Systemverwaltung 122 Tivoli PKI
92. e an der das Exemplar der CA Datenbank die CA Komponente physisch gespeichert ist dbfsibm 87 us1a jjejsul XIV Join Did IIOAIL 7 88 Feldname Beschreibung Standardwert DATABASE _PATHNAME Der vollst ndig quali fizierte Pfad f r die Adresse an der das Exemplar der Pr fdatenbank die Pr fsubsystemkompo nente physisch gespeichert ist dbfsadt DATABASE _PATHNAME Der vollst ndig quali fizierte Pfad f r die Adresse an der das Exemplar der Registrierungs datenbank die RA Komponente physisch gespeichert ist dbfspkrf APP_DN Der registrierte Name DN der Registrierungsstelle RA von Tivoli PKI Sie k nnen lediglich den allgemeinen Namen CN ndern C US O Ihr Unternehmen OU Tivoli PKI CN Tivoli PKI RA APP_CERT _LIFETIME Die in Monaten ange gebene Lebensdauer der RA Zertifikate eines Systems 36 Dieser Wert muss ein Mehrfaches von 12 sein APP_LDAP _DIR ADMIN_DN Der registrierte Name DN des Directory Administra tors Sie k nnen lediglich den allge meinen Namen CN ndern C US O Ihr Unternehmen OU Tivoli PKI CN DirAdmin Version 3 Release 7 1 Feldname Beschreibung Standardwert APP_COMM Der Kommunikations 29783 _PORT Port der zur Durch f hrung der Kommunikation zwi schen dem Ger st der Registrierungs funktion und der Registrierungsstelle von Tivoli PKI ver wendet wird
93. e 31 Client Voraussetzungen 2 eee 32 Kapitel 3 Tivoli PKI Planung 33 Priifliste f r die Installationsplanung 34 DY Sten SIC NET tee Eege ie ye altaya eae ae ws dE E 40 Firewall Techniken verwenden 41 Mit Tivoli PKI Datenbanken arbeiten 42 IP Aliasnamen f r den Webserver konfigurieren 2222222000 44 Mit dem Directory arbeiten 2 2 ee 46 Directory Schema EEN ENEE oe ee ne 47 Directory Zugriffssteuerung eee 48 Mit dem IBM 4758 PCI Cryptographic Coprocessor arbeiten 49 CA oder RA Schl ssel in der Hardware speichern 50 Integration mit dem Policy Director 2 eee ee 51 Unterst tzte Serverkonfigurationen 2 ee 53 Hinweise zu l nder bergreifenden Umgebungen 54 Tivoli PKI Datentr gerpaket 55 Version 3 Release 7 1 Kapitel 4 Tivoli PKI unter AIX installieren AP Konfisurieren E een einen ala ee D teien pr fen ENEE ELE EENS er na ew eas Ba Ausreichende Paging Bereiche pr fen 04 Fix Version auf AIX anwenden AIX Datentr gergruppen und Dateisysteme konfigurieren CD ROM Dateisystem erstellen Anzahl der AIX Systembenutzer ndem Hostnamensaufl sung sicherstellen 0000000 Systemimage erstellen Datenbanksoftware installieren 2 0 ee DB2 installieren u sash aan seb e aR awed ea ae aad IBM Directory installieren 2 2 0 ee eee Directo
94. e Application Server Fenster auf Wei ter Die Warnung zum Stoppen des IBM HTTP Server k nnen Sie ignorieren Klicken Sie im Fenster f r die Auswahl des Zielverzeichnisses auf Weiter wenn Sie den Standardinstallationspfad verwenden wollen W hlen Sie andernfalls das gew nschte Laufwerk und den gew nschten Zielordner aus in dem die Software installiert werden soll und klicken Sie anschlie end auf Weiter Im Fenster f r die Auswahl der Anwendungsserverkomponenten k nnen Sie die Auswahl der Dokumentation und der Beispiele zur cknehmen Alle anderen Komponenten sind jedoch erforder lich Klicken Sie auf Weiter um die Verarbeitung fortzusetzen Stellen Sie im Fenster f r die Auswahl von JDK Java Develop ment Kit oder der Laufzeitumgebung Runtime Environment sicher dass Java Development Kit 1 1 6 ausgew hlt ist und klicken Sie anschlie end auf Weiter W hlen Sie im Fenster f r die Auswahl der Anwendungsserver Plug ins IBM HTTP Server Version 1 3 3 x aus und klicken Sie anschlie end auf Weiter Klicken Sie im Fenster Programmordner ausw hlen auf Wei ter um den Standardprogrammordner zu akzeptieren Geben Sie andernfalls den gew nschten Ordnernamen ein und klicken Sie dann auf Weiter Stellen Sie im Fenster f r die Konfiguration des IBM HTTP Server sicher dass der korrekte Pfad f r die Adresse angezeigt Version 3 Release 7 1 wird unter der das Verzeichnis conf des installierten IBM HTTP Serv
95. e Version 6 1 Fix Pack 4 IBM Directory Server Version 3 1 1 5 IBM Developer Kit f r AIX Java Technology Edition Version 1 2 2 PTF 8 m IBM Key Works m Tivoli PKI Dateien tpki srvr core tpki srvr ic Bootwerte ndern Verwenden Sie diese Prozedur nur wenn Sie einen der standard m igen Konfigurationswerte ndern wollen Hierbei handelt es sich um die Werte die bei der Ausf hrung des Konfigurations Applets oder nach der Konfiguration des Systems nicht ge ndert werden k n nen Sie m ssen alle Boot nderungen vornehmen bevor Sie das Tivoli PKI Konfigurationsprogramm f r den Installationsabschluss ausf hren Wenn die Bootwerte nicht ge ndert werden sollen k nnen Sie mit Abschnitt e SCO AU UCI Tivoli PKI f hrt im Rahmen des Installationsabschlussprozesses ein Boot Programm aus Als Eingabe f r dieses Boot Programm wird ein SQL Script mit dem Namen createconfig_start sql verwendet das Standardwerte in die Konfigurationsdatenbank l dt und in der Datenbanktabelle ConfigDataTbl Definitionen f r Datenbank tabellen erstellt Diese Tabelle enth lt die Daten f r die System konfiguration aller Tivoli PKI Komponenten Verschiedene Werte in diesem SQL Script k nnen nach dem Starten des Konfigurations prozesses nicht mehr ge ndert werden Anmerkung In kritischen Situationen in denen ein Standardwert zu Problemen in der Betriebsumgebung f hren w rde k nnen Sie vor der Konfiguration auch die Schablo n
96. e f r diesen Benutzereintrag erstellt haben best tigen Sie das Kennwort und klicken Sie anschlie end auf Weiter 11 Im Fenster Setup abgeschlossen k nnen Sie nun ausw hlen ob Sie das System sofort oder zu einem sp teren Zeitpunkt erneut booten wollen W hlen Sie die Option f r ein sp teres Booten Nein aus und klicken Sie anschlie end auf Beenden Anmerkung Nach der Installation des IBM HTTP Server m ssen Sie f r den Server Dienst den manuellen Modus defi nieren damit der Server nicht als Dienst gestartet wird Gehen Sie hierzu wie folgt vor 1 W hlen Sie Start gt Einstellungen gt Systemsteue rung aus 2 Klicken Sie Dienste doppelt an und w hlen Sie anschlie end den Dienst IBM HTTP Server aus a Klicken Sie auf Beenden wenn die Verarbei tung bereits gestartet wurde b Klicken Sie auf Starten und definieren Sie f r die Option Startart die Einstellung Manuell c Klicken Sie auf OK d Klicken Sie auf Schlie en und verlassen Sie die Systemsteuerung Tivoli PKI Einf hrung 103 usaa jelsul IN SMOPUIM Jun Pid HOAIL S 104 WebSphere Application Server installieren Gehen Sie wie folgt vor um WebSphere Application Server zu installieren 1 Legen Sie die CD von Tivoli Public Key Infrastructure f r AIX und NT in das CD ROM Laufwerk ein Wechseln Sie in das Verzeichnis WinNT WebSphereAS 2031 und f hren Sie das Programm was2031 exe aus Klicken Sie im WebSpher
97. ein CD ROM Dateisystem als cdrom anh ngen Bei Bedarf k nnen Sie mit dem folgenden Befehl eine Definition f r dieses Dateisystem erstellen crfs v cdrfs d dev cd0 m cdrom p ro A no Alternativ hierzu k nnen Sie f r die Erstellung des Dateisystems auch SMIT verwenden smitty crcdrfs Anzahl der AlX Systembenutzer ndern Geben Sie den folgenden Befehl ein um die Anzahl der AIX Systembenutzer zu ndern Sie m ssen anschlie end einen Neustart f r das System durchf hren damit dieser Befehl wirksam wird chlicense u 100 Hostnamensaufl sung sicherstellen Gehen Sie wie folgt vor um AIX so zu konfigurieren dass Ihr loka ler Server Hostnamen korrekt aufl sen kann 1 Erstellen Sie im Verzeichnis etc eine Datei mit dem Namen netsvc conf die nur die folgende Zeile enth lt und beachten Sie hierbei dass in dieser Anweisung keine Leerzeichen enthal ten sind hosts 1local bind4 Sie k nnen diese Datei mit einem Texteditor wie z B vi oder durch Eingabe des folgenden Befehls erstellen echo hosts local bind4 gt netsvc conf 2 Editieren Sie die Datei etc hosts und pr fen Sie hierbei ob in der Datei auf den Server verwiesen wird den Sie momentan kon figurieren Beispiel 127 0 0 1 loopback localhost 192 40 168 20 taserver company com taserver Die zweite Zeile im vorherigen Beispiel enth lt die IP Adresse den vollst ndig qualifizierten Hostnamen sowie den Hostkurzna men
98. eine gegenseitige Zertifizierung durchf hren und vereinbaren dass die vom jeweiligen Partner CA unterzeichneten Zertifi kate als Authentizit tsbeleg akzeptiert werden Die gegensei tige Zertifizierung erm glicht Entit ten in der Verwaltungs dom ne eines CAs die sichere Kommunikation mit den Entit ten in der Verwaltungsdom ne eines anderen CAs e Ein Tivoli PKI CA kann als Root CA andere CA Zertifikate unterzeichnen Dar ber hinaus unterst tzt er Anforderungen von anderen CAs die dessen CA Zertifikat unterzeichnen m chten Dadurch kann der CA in eine Sicherheitshierarchie integriert werden Er akzeptiert Zertifikate die von einem Tivoli PKI Einf hrung 11 Buniaynyuig Did HOAIL L beliebigen in der Hierarchie ber ihm stehenden CA unter zeichnet wurden als Authentizit tsnachweis Solche Sicherheitsmodelle empfehlen sich beispielsweise bei der Unterteilung von geographischen Bereichen oder Organisations einheiten in bestimmte Verwaltungsdom nen Auf diese Weise k nnen au erdem verschiedene Zertifikatsregeln f r unterschied liche Unternehmensbereiche angewandt werden m Wenn Sie in Ihrem Unternehmen Zertifikate f r Zwecke ben ti gen die nicht bereits durch die Tivoli PKI Zertifikatsprofile unterst tzt werden kann der CA Zertifikate mit kundendefi nierten Erweiterungen generieren und auf ihre G ltigkeit hin berpr fen Das Handbuch Tivoli PKI Anpassung enth lt Informationen zur Definition neuer Zertifi
99. en Anschlie end werden die Anforderungen zur Generierung des ben tigten Zertifikats an den CA gesendet und danach werden die Benutzerdaten und das Zertifikat an das Directory gesendet Die Funktion f r die Massenzertifikatsausstellung kann als Einzelprozess ausgefiihrt oder in separate Prozesse aufgeteilt werden Welches Ver fahren hierbei ausgew hlt wird h ngt vom Unternehmensmodell des jeweiligen Kunden ab Detaillierte Informationen zu dieser Funktion finden Sie im Handbuch Tivoli PKI Systemverwaltung Architektur 18 Die folgenden Abschnitte enthalten Informationen zum Architektur gertist von Tivoli PKI sowie zu den unterstiitzten Protokollen Public Key Infrastructure PKI PKI Public Key Infrastructure stellt Anwendungen ein Geriist fiir die Durchf hrung der folgenden Sicherheitsaktivit ten zur Verf gung m Authentifizierung aller Teilnehmer an elektronischen Transaktio nen m Erteilen von Zugriffsberechtigungen f r sensible Systeme und Repositories Mm berpr fen der Autoren aller Nachrichten mit Hilfe der digitalen Unterschrift m Verschliisseln des Inhalts der gesamten Kommunikation Version 3 Release 7 1 Der PKIX Standard wurde auf der Basis von PKI entwickelt um die Interoperabilit t von e business Anwendungen zu unterst tzen Der Hauptvorteil dieses Standards liegt darin dass er Unternehmen erm glicht gesicherte elektronische Transaktionen unabh ngig von der verwendeten Betriebsumgebung oder
100. en banken gespeichert sind Die zugeh rigen Dateiinformationen wie z B Dateiberechtigungen etc werden ebenfalls gesichert Verwen den Sie zum Sichern von DB2 Datenbanken die entsprechenden DB2 Dienstprogramme Das Backup Dienstprogramm akzeptiert einen Parameter der das Verzeichnis angibt in das Backup Daten geschrieben werden sollen Dieses Backup Verzeichnis ist das Stammverzeichnis das zum Spei chern aller Datendateien eingesetzt wird Um Namensunvertr glich keiten innerhalb des Backup Verzeichnisses zu verhindern speichert das Backup Dienstprogramm Dateien mit derselben Verzeichnis struktur die auch auf dem gesicherten System definiert wurde Tivoli PKI Einf hrung 117 usaa jelsul IN SMOPUIM Jun Pid HOAIL S 118 Das folgende Beispiel illustriert die Programmsyntax ta backup d backup_directory Hierbei steht d backup_directory f r das Verzeichnis das f r die Datensicherung verwendet werden soll Der Standardpfad lautet usr Ipp iau backup Gehen Sie wie folgt vor um das Dienstprogramm ta backup im Offlinemodus auszuf hren 1 Melden Sie sich mit dem Benutzereintrag cfguser an 2 Erstellen Sie optional das Verzeichnis in dem die Konfigurationsdaten von Tivoli PKI gesichert werden sollen Beispiel mkdir c Program Files IBM Trust Authority my_tabackup 3 Wechseln Sie in das Verzeichnis bm von Tivoli PKI Der Standardpfad lautet c Program Files IBM Trust Authority bin
101. en gew hrt W hrend der Konfiguration werden zwei Kennw rter definiert Hierbei handelt es sich um das cfguser und das Steuerprogramm kennwort Diese Kennw rter k nnen identisch sein oder voneinander abweichen Nach der Konfiguration muss f r jeden Schl sselspeicher ein eindeutiges Kennwort definiert werden Informationen zum Durchf hren dieser nderungen mit dem Dienstprogramm f r die Kennwort nderung Change Password finden Sie im Handbuch Tivoli PKI Systemverwaltung Version 3 Release 7 1 Unterst tzte Standards Tivoli Public Key Infrastructure unterst tzt die folgenden Standards f r die Verschl sselung mit ffentlichen Schl sseln Komponente Registrierungs stelle Standard Secure Sockets Layer SSL Version 2 und Version 3 mit Client Authentifizierung PKCS 10 Format f r Browser und Server Zertifikate mit einer Base64 codierten PKCS 7 Antwort PKIX CMP Zertifikatsformat mit einer PKIX CMP Antwort IPSec Zertifikatsformat S MIME Zertifikatsformat Browser Zertifikate f r e Microsoft Internet Explorer Versionen 4 x und 5 x Netscape Navigator und Netscape Communicator Version 6 x Server Zertifikate fiir Netscape Enterprise Server e Microsoft Internet Information Server Smart Card Zertifikate PKCS 11 Schnittstelle fiir Netscape Navi gator und Netscape Communicator Version 6 x LDAP Standard fiir die Kommunikation mit dem Directory PKIX CMP via TCP IP fiir die Kommunikation mit dem
102. en tpki srvr core tpki srvr ic tpki srvr icg tpki srvr ra F r den CA Pr f und Directory Server m ssen folgende Software komponenten installiert werden m AIX 4 3 3 0 AIX 4 3 3 0 Wartungsstufe 6 IBM DB2 Universal Database Version 6 1 Fix Pack 4 IBM Directory Server Version 3 1 1 5 IBM Developer Kit f r AIX Java Technology Edition Version 1 2 2 PTF 8 IBM Key Works Tivoli PKI Dateien tpki srvr core tpki srvr ic tpki srvr ca Szenario 2 RA und Directory Server auf einer Maschine CA und Pr fserver auf einer anderen Maschine F r den RA und Directory Server m ssen folgende Software komponenten installiert bzw folgende Arbeitsschritte ausgef hrt wer den AIX 4 3 3 0 AIX 4 3 3 0 Wartungsstufe 6 IBM DB2 Universal Database Version 6 1 Fix Pack 4 IBM Directory Server Version 3 1 1 5 IBM Developer Kit f r AIX Java Technology Edition Version 1 2 2 PTF 8 F hren Sie einen Upgrade von IBM WebSphere Application Ser ver Standard Edition auf Version 3 5 PTF 4 aus m Inaktivieren Sie die Funktion f r automatisches Starten des IBM HTTP Server m Starten Sie WebSphere Application Server IBM Key Works m Tivoli PKI Dateien tpki srvr core tpki srvr ic tpki srvr icg tpki srvr ra F r den CA und Pr fserver m ssen folgende Softwarekomponenten installiert werden Tivoli PKI Einf hrung IBM WebSphere Application Server Standard Edition Version 3 5 83 us1a jjejsul XIV Join Did IIOAIL 7
103. en Sie auf Ja um die Readme Datei anzuzeigen wenn Sie vom System dazu aufgefordert werden Schlie en Sie dann das Fenster Im Fenster Setup abgeschlossen k nnen Sie nun ausw hlen ob Sie das System sofort oder zu einem sp teren Zeitpunkt erneut booten wollen W hlen Sie die Option f r das sofortige Booten Ja aus und klicken Sie anschlie end auf Beenden Anmerkung In einer Konfiguration mit mehreren Maschinen m s sen Sie auf jedem Tivoli PKI Server die Directory Client Software installieren bevor Sie das Konfigura tions Applet f r Tivoli PKI ausf hren Zum Instal Version 3 Release 7 1 lieren dieser Software m ssen Sie die Directory Cli ent Option von der Directory Server CD auf allen Maschinen au er der Einheit installieren auf der soe ben die Directory Server Software installiert wurde Die Namen der wichtigen Dateien die auf allen Maschinen installiert werden m ssen lauten Idap dll und Idaploc1 dll Directory unter Tivoli PKI verwenden Vor der Installation oder Konfiguration der Tivoli PKI Server Kom ponenten m ssen Sie verstehen wie Tivoli PKI mit dem Directory zusammenarbeitet Informationen zu den Directory Schemavorausset zungen und zur Konfiguration des Directories f r den Einsatz unter Tivoli PKI finden Sie im Handbuch Tivoli PKI Konfiguration Systemeinstellungen best tigen Vor der Installation von Tivoli PKI sollten Sie mit der folgenden Prozedur sicherstellen dass die u
104. en und verschl sseln Kann Die Vertrauensw rdigkeit der einzelnen Parteien h ngt von der Aner kennung des CAs ab der die verwendeten Zertifikate ausgestellt hat Um die Integrit t eines Zertifikats sicherzustellen wird dieses vom CA digital unterzeichnet Durch Versuche ein Zertifikat zu ndern wird die Unterschrift ung ltig und das Zertifikat unbrauchbar Der Tivoli PKI CA stellt mit Hilfe der folgenden Methoden eine sichere Transaktionsumgebung zur Verf gung m Sicherstellen der Eindeutigkeit eines Zertifikats Der CA gene riert eine Seriennummer f r alle neuen sowie alle erneuerten Zertifikate Diese Seriennummer ist eine eindeutige Kennung die nicht als Teil des registrierten Namens Distinguished Name DN im Zertifikat gespeichert wird m Protokollieren der ausgestellten Zertifikate Der CA verwaltet eine Liste der ausgestellten Zertifikate ICL Mit der ICL wird eine ber Seriennummern indexierte sichere Kopie jedes Zerti fikats in einer DB2 Datenbank gespeichert m Protokollieren widerrufener Zertifikate Der CA erstellt und aktu alisiert Zertifikatswiderrufslisten CRLs Der CA und die RA tauschen Nachrichten aus sobald ein Zertifikat widerrufen wird so kann die RA das Directory bei der n chsten regelm igen Aktualisierung entsprechend aktualisieren Alle Zertifikats widerrufslisten werden vom CA digital unterzeichnet um deren Integrit t zu berpr fen m Gew hrleisten eines Schutzes gegen die Manipu
105. en wird wurde WebSphere Application Server gestartet Anmerkung Die Ausf hrung dieses Schrittes kann mehrere Minuten dauern 5 Dr cken Sie die Tastenkombination Strg C um den Befehl tail zu beenden IBM 4758 PCI Cryptographic Coprocessor installieren Sie m ssen entscheiden ob Sie die Einheit IBM 4758 zum Schutz von CA und RA Unterschriftsschl sseln verwenden m chten Wenn dies der Fall ist m ssen Sie die Hardware der Einheit IBM 4758 sowie das zugeh rige Unterst tzungsprogramm f r die Verschl sse lung auf dem Server installieren auf dem der Zertifikatsaussteller oder die Registrierungsstelle installiert werden soll Befinden sich CA und RA auf der selben Maschine kann der IBM 4758 PCI Cryp tographic Coprocessor gemeinsam verwendet werden Informationen zum Installieren und Konfigurieren des IBM 4758 PCI nn a finden Sie in der Tivoli PKI installieren Vor dem Installieren von Tivoli PKI sollten Sie unbedingt die neu este Version der Release Informationen f r das Produkt lesen Die aktuellste Version dieses Dokuments k nnen Sie ber die Website von Tivoli PKI abrufen Verwenden Sie die folgenden Richtlinien um die Produkt komponenten von Tivoli PKI zu installieren m Installieren Sie alle Serverprogramme auf der selben Plattform im vorliegenden Fall also unter AIX Tivoli PKI Einf hrung 77 us1a jjejsul XIV Join Did IIOAIL 7 m Wurde zuvor IBM KeyWorks Version 1 1 1 installiert m ssen
106. enachrichtigungsschreiben in denen der Antragsteller ber die Genehmigung bzw die Ablehnung einer Anforderung informiert wird Eine Gruppe von Zertifikatsprofilen die das Abrufen des gew nschten Zertifikatstyps f r den Benutzer vereinfachen In den Profilen sind der geplante Verwendungszweck und der G ltigkeitszeitraum des Zertifikats definiert Auf der Basis der Informationen in der Schablone kann die RA ein Zertifikat im korrekten Format mit dem erforderlichen Zertifikatsinhalt zur Verf gung stellen Informationen zu den Zertifikatstypen und Zertifikatser weiterungen die von der RA unterst tzt werden finden Sie_in den Abs e e Standa 2 eite 3 und Unterst tzung f r die Vorabregistrierung einen Prozess der es einem Benutzer normalerweise einem Administrator erm g licht ein PKIX kompatibles Zertifikat f r einen anderen Benut zer anzufordern Unterst tzung f r Regel Exits und BPOs Unternehmensprozess objekte Mit diesen Komponenten k nnen Unternehmen w h Version 3 Release 7 1 rend des Registrierungsprozesses eigene Programme aufrufen Die RA enth lt einen Beispielregel Exit der die automatische Genehmigungsverarbeitung ausf hrt Informationen zum Entwickeln und Anpassen von Unter nehmensprozessobjekten BPOs an Ihre individuellen Unter nehmensanforderungen finden Sie im IBM Redbook Working with Business Process Objects for Tivoli SecureWay PKI IBM Form SG24 6043 00 Vollst ndige Informatio
107. endateien von Tivoli PKI ndern Wenn Sie weitere Informationen hierzu ben tigen wenden Sie sich bitte an den zust ndigen IBM Ansprechpartner Wenn Sie einen Boot Wert ndern wollen m ssen Sie die Datei cre ateconfig_start sql editieren Diese Datei wird standardm ig im Verzeichnis usr lpp iau bin gespeichert Version 3 Release 7 1 Verwenden Sie die folgende Tabelle als Richtlinie f r die Durchf h rung von nderungen m Wenn Sie den Wert von DATABASE PATHNAME ndern wol len m ssen Sie den vollst ndigen Pfad f r die neue Adresse angeben Beispiel local dbfsibm m Die registrierten Namen DNs f r die Tivoli PKI Registrie rungsstelle den Directory Administrator und das Pr fsubsystem sind f r den Benutzer transparent Wenn Sie diese ndern wol len m ssen Sie darauf achten dass nur das Attribut f r den all gemeinen Namen CN ge ndert wird Der DN Basiswert f r den Zertifikatsaussteller CA den Sie w hrend der Konfiguration angegeben haben wird auch f r den von Ihnen ausgew hlten all gemeinen Namen CN angewendet Beschreibung Standardwert WS_RO_KEYSIZE Schl sselgr e f r den Schl sselring des Web Servers Die Optionen 0 3 die in der KeySize Aufz h lung definiert sind sind wie folgt zuge ordnet m 0 512 m 1 768 m 2 1024 m 3 2048 Tivoli PKI Einf hrung DATABASE _PATHNAME Der vollst ndig quali fizierte Pfad f r die Adress
108. endeten Prozeduren und bildet die Basis f r die Internationalisierung und Lokalisierung von Software Der gesamte Quellencode in der Java Programmierungsumgebung wird in Unicode geschrieben Unternehmensprozessobjekte Eine Codegruppe die zur Ausf hrung einer bestimmten Registrierungsoperation z B zum Pr fen des Registrierungsstatus oder zur Best tigung des Sendens eines ffentlichen Schl ssels verwendet wird Unternehmensprozessschablone Eine Gruppe von Unternehmensprozessobjekten die in einer bestimmten Reihen folge ausgef hrt werden Unterst tzung in der Landessprache NLS Unterst tzung f r unterschiedliche l nderspezifische Angaben in einem Produkt Hierzu geh ren die Sprache die W hrung das Datums und Zeitformat und die Dar stellung von Zahlen Unterzeichnen Die Verwendung eines digitalen privaten Schl ssels zum Generieren einer Unter schrift Diese Unterschrift dient dazu zu beweisen dass ein bestimmter Benutzer f r die von ihm unterzeichnete Nachricht verantwortlich ist und diese akzeptiert Unterzeichnen Pr fen Als Unterzeichnen wird die Verwendung eines privaten Schl ssels zum Generieren einer Unterschrift bezeichnet Unter Pr fen versteht man die Verwendung des ent sprechenden ffentlichen Schl ssels zur Verifizierung dieser Unterschrift Unverschl sselter Text Nicht verschl sselte Daten Synonym zu Klartext URL Uniform Resource Locator URL Adresse Tivoli PKI Einf hrung 151
109. enn Sie das Directory auf einer fernen Maschine installieren m ssen Sie w hrend der Konfiguration bestimmte Schritte ausf hren um sicherzustellen dass es korrekt konfiguriert wird Das Handbuch Tivoli PKI Konfiguration enth lt Erl uterungen zu dieser Prozedur Directory Schema Jeder Eintrag im Directory stellt ein einzelnes Objekt dar wie bei spielsweise eine Person Firma oder Einheit das durch einen eindeu tigen registrierten Namen Distinguished Name DN identifiziert wird Das Directory Schema definiert die Regeln f r registrierte Namen wie beispielsweise deren Deklaration sowie die Art der Informationen die sie enthalten k nnen oder m ssen Der registrierte Name enth lt eine Gruppe von Attributen durch die das Objekt eindeutig identifiziert werden kann und mit denen die dem Objekt zugeordneten Berechtigungen definiert werden k nnen Attribute k nnen z B die Position eines Objekts das Unternehmen dem das Objekt zugeordnet ist oder den Namen des Objekts ange ben Um Sie bei der Definition der f r Tivoli PKI erforderlichen Directo ry Eintr ge zu unterst tzen stellt das Konfigurations Applet eine grafische Benutzerschnittstelle GUI bereit Der DN Editor erm g licht es Ihnen DN Attribute anzugeben ohne die Anforderungen des Directory Schemas im Einzelnen zu ber cksichtigen Tivoli PKI Einf hrung 47 Bunueid d HOAIL E 48 Directory Zugriffssteuerung Alle Directory Eintr ge sind logisch in ei
110. enz f r eine Vollversion von IBM DB2 Enter prise Edition Version 6 1 Kaufen Die folgenden Abschnitte enthalten eine Beschreibung der Prozedu ren f r die Installation der Datenbanksoftware Wenn Sie Tivoli PKI in einer Konfiguration mit mehreren Maschinen installieren wollen m ssen Sie auf allen Maschinen auf denen eine Serverkomponente von Tivoli PKI installiert werden soll zuerst die Datenbanksoftware installieren Beachten Sie hierbei die folgenden Richtlinien Version 3 Release 7 1 m W hrend der Konfiguration erstellt Tivoli PKI automatisch die Datenbanken die f r die Server Programme erforderlich sind Auch die Directory Datenbank wird von Tivoli PKI erstellt falls sie nicht bereits vorhanden ist m Vor der Installation von Tivoli PKI muss sichergestellt werden dass die erforderliche Version der Datenbanksoftware auf allen Maschinen installiert ist auf denen eine Tivoli PKI Server Kom ponente installiert werden soll Stellen Sie dar ber hinaus sicher dass das Datenbanksystem eigenst ndig korrekt ausgef hrt wird bevor Sie Tivoli PKI installieren DB2 installieren F hren Sie die nachfolgend beschriebene Prozedur aus um die Datenbank Basissoftware zu installieren 1 Melden Sie sich als Benutzer mit Root Berechtigung an 2 Legen Sie die CD von IBM WebSphere Application Server f r AIX in das CD ROM Laufwerk ein Geben Sie den folgenden Befehl ein um die CD anzuh ngen mount cdrom 3 Geben Sie den folge
111. er Austausch von verschl ssel ten Daten konzipiert ist Im Directory werden bestimmte Elemente gespeichert die f r die PKI Struktur PKI Public Key Infrastructure unbedingt erforderlich sind Hierzu geh ren die folgenden Elemente ffentliche Schl ssel Zertifikate und Zertifikatswiderrufslisten CRLs Die Daten im Directory sind hierarchisch in einer Baumstruktur organisiert wobei die oberste Ebene der Baumstruktur das Root Verzeichnis ist H ufig stehen Organi sationen einer h heren Ebene f r einzelne L nder Regierungen oder Unternehmen Benutzer oder Einheiten werden im Allgemeinen als Bl tter einer solchen Baum struktur dargestellt Diese Benutzer Organisationen Standorte L nder und Einheiten haben jeweils ihren eigenen Eintrag Jeder Eintrag besteht aus Attributen denen ver schiedene Typen zugewiesen sind Diese enthalten Informationen zu den Objekten f r die der jeweilige Eintrag steht Jeder Eintrag im Directory ist mit einem zugeordneten registrierten Namen DN Distinguished Name verbunden Dieser ist eindeutig wenn der Eintrag ein Attribut umfasst das f r das tats chliche Objekt als eindeutig bekannt ist Im folgenden DN Beispiel wurde als Land C Country US als Unternehmen O Organization IBM als Unternehmenseinheit OU Organization Unit Trust und als allgemeiner Name CN Common Name der Wert CAl angegeben C US 0 IBM OU Trust CN CAl Directory Server In Tivoli PKI das IBM Directory
112. er andere zur Entschl sse lung verwendet Schl sselpaar aus ffentlichem und privatem Schl ssel Ein Schl sselpaar aus ffentlichem und privatem Schl ssel stellt ein grundlegendes Element der Verschl sselung auf der Basis von Schl sselpaaren dar Diese Form der Verschl sselung wurde im Jahr 1976 von Whitfield Diffie und Martin Hellman eingef hrt um Probleme bei der Schl sselverwaltung zu l sen Nach diesem Kon zept erh lt jeder Benutzer ein Schl sselpaar bei dem einer als ffentlicher und einer als privater Schl ssel bezeichnet wird Der ffentliche Schl ssel ist hierbei allge mein bekannt der private Schl ssel wird hingegen geheim gehalten Sender und Empf nger m ssen geheime Daten nicht gemeinsam benutzen Alle Kommunikationsoperationen werden lediglich auf der Basis ffentlicher Schl ssel ausgef hrt Die privaten Schl ssel werden niemals bertragen oder gemeinsam ver wendet Auf diese Weise ist es nicht mehr notwendig sich auf die Sicherheit eines bertragungskanals gegen ber Manipulationen zu verlassen Die einzige Anforde rung ist dass ffentliche Schl ssel den entsprechenden Benutzern in einer gesicher ten authentifizierten Weise z B in einem gesicherten Verzeichnis zugeordnet werden Jeder Benutzer kann nun mit Hilfe dieser ffentlichen Daten eine vertrauli che Nachricht senden Diese Nachricht kann nur mit einem privaten Schl ssel ent schl sselt werden auf den allein der gew nschte Empf nger
113. er definiert ist und klicken Sie anschlie end auf OK 10 Klicken Sie im Fenster f r den Installationsabschluss auf die Option f r Beenden 11 Wenn die Readme Datei angezeigt wird lesen Sie die darin ent haltenen Informationen 12 Im Fenster f r den Neustart von Windows k nnen Sie nun aus w hlen ob Sie das System sofort oder zu einem sp teren Zeit punkt erneut booten wollen W hlen Sie die Option f r das sofortige Booten Ja aus und klicken Sie anschlie end auf OK IP Aliasnamen definieren Im Abschnitt e e ebserve gurieren a finden Sie Informationen dazu wie Tivoli PKI Ports auf dem Webserver konfiguriert um gesicherte und nicht gesicherte Transaktionen zu verarbeiten Wenn Sie mit einer anderen Konfigu ration arbeiten wollen m ssen Sie zum Definieren dieser Ports IP Aliasnamen verwenden IBM Directory installieren Tivoli PKI verwendet das IBM Directory um Informationen zu Zer tifikaten die von der Registrierungsfunktion ausgestellt wurden zu speichern und zu verwalten Verwenden Sie die in den folgenden Abschnitten beschriebenen Prozeduren um die Directory Software zu installieren und zu konfigurieren Sie k nnen diese Software auf einer fernen Maschine oder auf der Maschine installieren auf der auch eine Tivoli PKI Server Komponente installiert werden soll Directory Software installieren Gehen Sie wie folgt vor um die Directory Software zu installieren 1 Legen Sie die CD von IBM Direc
114. erhin unterst tzt m HSM Speicherung f r RA Schliissel Diese Funktion erlaubt das Speichern von RA Schl sseln in einer HSM Komponente HSM Hardware Security Module und bietet ein erweitertes Sicherheitsspektrum f r RA Unterschriftsschl ssel nderungen in der Dokumentation des aktuellen Releases werden am Rand mit einer Anderungsmarkierung gekennzeichnet Anmerkung Tivoli PKI 3 7 1 wird nur unter AIX unterst tzt Im aktuellen Release wurde keine Windows NT Unterst t zung implementiert Tivoli PKI Einf hrung xV In diesem Handbuch verwendete Konventionen Im vorliegenden Handbuch werden verschiedene Schriftbilder zur Darstellung spezieller Termini und Komponenten verwendet Diese Konventionen haben folgende Bedeutung Konvention Bedeutung Befehle Schl sselw rter Optionen und sonstige Informa Fettdruck tionen die exakt so verwendet werden m ssen wie darge stellt werden in Fettdruck hervorgehoben Variablen die von Ihnen angegeben werden m ssen sowie neue Termini werden in Kursivdruck dargestellt W rter und Textsegmente die hervorgehoben werden sol len erscheinen ebenfalls in Kursivdruck Kursivdruck Monospace Codebeispiele Ausgabedaten und Systemnachrichten wer Schrift den in Monospace Schrift dargestellt Kontaktaufnahme zur Kundenunterst tzung Xvi Wenn bei der Verwendung von Tivoli Produkten Schwierigkeiten auftreten k nnen Sie unter der Adresse NWY omi
115. erruf von digitalen Zertifikaten Diese Unterst tzungs funktion bietet auch einen h heren Sicherheitsstandard und die M g lichkeit zur bertragung umfangreicherer Nachrichten Tivoli PKI Einf hrung 19 Buniaynyuig Did HOAIL L LDAP Protokoll 20 Das IBM Directory unterst tzt LDAP Lightweight Directory Access Protocol um Anwendungen den Zugriff auf seine zentralen Server dienste zu erm glichen LDAP ist ein Protokoll das auf dem X 500 Standard basiert Es wird ber TCP IP ausgef hrt und steuert den Verzeichniszugriff durch die Verwendung von registrierten Namen DNs und Kennw rtern Da LDAP SSL Verbindungen unterst tzt k nnen ber dieses Protokoll auch Nachrichten verschl sselt und Clients und Server gegenseitig authentifiziert werden Bei Tivoli PKI verwendet der RA Server LDAP f r die Kommunika tion mit dem Directroy Server Die RA publiziert Zertifikate Zerti fikatswiderrufslisten sowie andere Informationen zu registrierten Entit ten und Zertifizierungsregeln in regelm igen Abst nden im Directory Im aktuellen Release von Tivoli PKI wird die Kompatibilit t mit den Objektklassen und Schemata von LDAP Version 3 unterst tzt Bereits vorhandene Tivoli PKI Anwendungen die mit Schemata von PKIX LDAP Version 2 arbeiten k nnen vorhandene Schemata und Objektklassen weiterhin nutzen Objektspeicher Jede Tivoli PKI Komponente verf gt ber einen Objektspeicher Beim Objektspeicher handelt es sich um ei
116. ervers ist jedoch abh ngig von der Sicherheit der zu grundeliegenden Betriebsumgebung Dieser Abschnitt enth lt Vorschl ge zur Sicherung der physischen Umgebung des Systems um die M glichkeit unbefugten Zugriffs auf ein Minimum zu reduzieren bevor Sie mit der Installation der Tivoli PKI Software beginnen Im Folgenden sind einige Faktoren aufgef hrt die bei der Sicherung des Systems ber cksichtigt werden sollten Isolierter Bereich Richten Sie den Server in einem isolierten Raum ein der ausschlie lich CA Aktivit ten dient Wenn m glich sollte der Raum ber verst rkte W nde eine einzige Massivholz oder stahlt r und eine stabile Decke ohne herausnehmbare Elemente verf gen Dar ber hinaus sollte der Raum ber einen doppelten Boden zum Schutz gegen Entladungen im Falle eines Feuers verf gen Verwalteter Bereich Der Raum sollte ber eine unterbrechungsfreie Stromversor gung UPS verf gen die von den Computern der Beleuch tung den Bewegungsmeldern sowie den Heizungs und K hlungssystemen verwendet wird berwachen Sie die Temperatursteuerung um sicherzustellen dass die Bel ftung ausreicht um die von den Ger ten erzeugte W rme auszu gleichen Zugangskontrolle Der Zugang zum Serverbereich kann auf unterschiedliche Weise kontrolliert werden beispielsweise durch Ausweise oder durch T rschl sser f r die Zugangscodes ber eine Tas tatur eingegeben werden m ssen Um die Manipulation durch eine einzel
117. eschreibung Kommentare Erf llt Le Voraussetzungen f r den Setup Wizard m Intel Pentium Pro zessor mit mindes tens 64 MB Arbeitsspeicher m Ein Computer bildschirm der Auf l sungen von 1024 x 768 oder h her mit 65536 Farben unterst tzt Eines der folgenden Betriebssysteme m Microsoft Windows 95 m Microsoft Windows 98 m Microsoft Windows NT Ein Webbrowser der Applets auf der Basis von JDK 1 1 unterst tzt z B die nachfolgend aufgef hrten Webbrowser m Netscape Navigator oder Netscape Communicator Ver sion 4 7x nur f r Windows Plattfor men m Microsoft Internet Explorer ab Version 5 0 Sie miissen die offizi elle von Netscape oder Microsoft vertriebene Version des Browsers installieren Bei Versio nen anderer Lieferanten werden Informationen m glicherweise nicht korrekt angezeigt vor allem dann wenn nicht die englische Version des Applets ausgef hrt wird Tivoli PKI Einf hrung 37 Bunueid d IONIL E Voraussetzung Beschreibung Kommentare Erf llt Voraussetzungen f r RA Desktop Intel Pentium Pro zessor mit mindes tens 64 MB Arbeitsspeicher m Ein Computer bildschirm der Auf l sungen von 1024 x 768 oder h her mit 65536 Farben unterst tzt Eines der folgenden Betriebssysteme m Microsoft Windows 95 m Microsoft Windows 98 m Microsoft Windows NT Einer der folgenden Sie m ssen die offi
118. ese Liste wird vom CA verwaltet und in der CA Datenbank gespeichert MAC Message Authentication Code Nachrichtenauthentifizierungscode MD4 Eine Nachrichtenauszugs Hash Funktion auf 128 Bit Basis die von Ron Rivest ent wickelt wurde Ihre Geschwindigkeit tibersteigt die von MD2 um ein Mehrfaches MD5 Eine unidirektionale Nachrichtenauszugs Hash Funktion die von Ron Rivest entwi ckelt wurde Sie stellt eine verbesserte Version von MD4 dar MDS verarbeitet Ein gabetext in 512 Bit Bl cken die in 16 32 Bit Unterbl cke aufgeteilt werden Die Ausgabe des Algorithmus ist eine Gruppe von vier 32 Bit Bl cken die verkettet werden und so einen 128 Bit Hash Wert bilden Diese Funktion wird ebenfalls zusammen mit MD2 in dem PEM Protokollen verwendet MD2 Eine Nachrichtenauszugs Hash Funktion auf 128 Bit Basis die von Ron Rivest ent wickelt wurde Sie wird zusammen mit MD5 in den PEM Protokollen verwendet Modulus In dem auf ffentlichen Schl sseln basierenden RSA Verschl sselungssystem das Produkt n aus zwei hohen Primzahlen p und q Die optimale Gr e f r einen RSA Modulus h ngt von den individuellen Sicherheitsanforderungen ab Je gr er der Modulus desto h her die Sicherheit Die momentan von den RSA Laboratories empfohlenen Schl sselgr en h ngen vom geplanten Einsatz des Schl ssels ab Hierbei werden 768 Bit f r Schl ssel zum pers nlichen Gebrauch 1024 Bit f r den Tivoli PKI Einf hrung 139 Jesso 5 140 Unter
119. f derselben Maschine wie Tivoli PKI oder auf einer fernen Maschine installiert werden Version 3 Release 7 1 Produkt Anmerkungen m IBM 4758 PCI Cryptographic m Optional und lediglich fiir AIX Coprocessor Systeme verf gbar Dieses Pro m IBM 4758 CCA Support Pro dukt muss ber die blichen gram Version 2 2 1 0 IBM Vertriebskan le bestellt werden m Vor der Installation von Tivoli PKI m ssen der IBM 4758 PCI Cryptographic Coprocessor und das zugeh rige Unterst tzungs programm auf dem Server installiert werden auf dem der Zertifikatsaussteller und die Registrierungsstelle installiert werden sollen m F r die Verschl sselungskarte der Einheit IBM 4758 ist ein PCI Bus auf dem RS 6000 Sys tem erforderlich Hardwarevoraussetzungen f r den Server Die Maschinenkonfiguration die Sie f r Tivoli PKI verwenden ist abh ngig von der erwarteten Gesch ftsaktivit t und davon ob Tivoli PKI unter AIX oder Windows NT verwendet werden soll m Wenn Sie Tivoli PKI auf einem AIX System ausf hren m chten m ssen Sie das Produkt auf einer IBM RISC System 6000 Ma schine RS 6000 installieren m Wenn Sie Tivoli PKI auf einem Windows NT System ausf hren wollen empfiehlt IBM das Produkt auf einem IBM Netfinity Server zu installieren Tivoli PKI Einf hrung 29 uabunzjassneioawajsAs Z 30 Verwenden Sie die folgenden Definitionen als Richtlinie f r die Berechnung der Kapazit ts und Dur
120. f r das Verzeichnis das f r die Datensicherung verwendet werden soll Der Standardpfad lautet usr lpp iau backup F hren Sie die folgenden Arbeitsschritte aus um das Dienst programm ta backup im Offline Modus auszuf hren 1 2 Melden Sie sich als Benutzer mit Root Berechtigung an Erstellen Sie optional das Backup Verzeichnis fiir die Tivoli PKI Konfigurationsdaten Beispiel mkdir usr 1pp iau my_tabackup Wechseln Sie in das Verzeichnis bin von Tivoli PKI Der Standardpfad lautet usr Ipp iau bin Geben Sie den folgenden Befehl ein um zu definieren wo die Daten gesichert werden sollen ta backup d usr 1pp iau my_tabackup Geben Sie nach einer entsprechenden Systemanfrage das Kenn wort des Steuerprogramms an Tivoli PKI Einf hrung 93 uds91 2 SUl XIV Join Yd IIOAIL 7 94 Version 3 Release 7 1 Tivoli PKI unter Windows NT installieren Das vorliegende Kapitel enth lt Prozeduren zum Installieren von Tivoli Public Key Infrastructure PKI sowie der f r den Betrieb erforderlichen Produkte auf einer Windows NT Plattform Anmerkung Tivoli PKI Version 3 7 1 bietet keine Unterst tzung f r Windows NT Diese Informationen wurden nur zu Referenzzwecken aufgef hrt Vor dem Installieren der Tivoli PKI Software sollten Sie unbedingt die neueste Version der Release Informationen f r das Produkt lesen Die aktuellste Version dieses Dokuments k nnen Sie ber die Web
121. fikatstypen Tivoli PKI Einf hrung 121 SHUUIS 94813 Z Systemverwaltung Tivoli Public Key Infrastructure stellt eine Reihe von Tools zur Ver f gung die Sie bei der Systemverwaltung unterst tzen Er umfasst folgendes 122 Ein Dienstprogramm zum Starten und Stoppen der Server Kom ponenten in einem sicheren durch Kennw rter gesch tzten Modus Ein Dienstprogramm zur Definition von gesicherten Kennw r tern f r die gesicherten Komponentenprogramme Ein Dienstprogramm mit dem Benutzern mit Verwaltungsauf gaben die Berechtigung zur Verwendung des RA Desktop erteilt werden Kann Ein Dienstprogramm das dem Tivoli PKI CA die gegenseitige Zertifizierung mit einem anderen CA bzw das Einrichten einer CA Hierarchie erm glicht Ein Dienstprogramm zur Integrit tspr fung f r die Pr fdaten bank und f r archivierte Pr fs tze Ein Dienstprogramm f r die Archivierung und Unterzeichnung der Pr fdatenbank Ein Dienstprogramm das zum Ausf hren einer Rolloverope ration f r den Root CA Schl ssel von einem nicht besch digten Schl sselpaar zum n chsten CA Schl sselpaar dient Eine Gruppe von Dienstprogrammen die zur Bereitstellung eines sicheren Verfahrens f r authentifizierte Benutzer dient mit des sen Hilfe diese mehrere digitale Zertifikate ber einen einzigen Tivoli PKI Aufruf anfordern k nnen Das Handbuch Tivoli PKI Systemverwaltung enth lt eine Beschrei bung dieser Dienstprogramme und Richtlinien
122. folgenden Hauptmerkmale m Finen zuverl ssigen Zertifikatsaussteller CA der die gesamte G ltigkeitsdauer einer digitalen Zertifizierung verwaltet Um die Authentizit t eines Zertifikats zu belegen unterzeichnet der CA jedes ausgestellte Zertifikat digital Dar ber hinaus werden vom CA auch Zertifikatswiderrufslisten CRLs unterzeichnet um zu best tigen dass ein Zertifikat nicht l nger g ltig ist Um sei nen Unterschriftsschl ssel zus tzlich zu sch tzen k nnen Sie Verschl sselungshardware wie z B den IBM 4758 PCI Crypto graphic Coprocessor verwenden m Eine Registrierungsstelle RA f hrt die administrativen Aufga ben zur Benutzerregistrierung aus Sie stellt sicher dass nur sol che Zertifikate ausgestellt werden die Ihre Gesch ftsaktivit ten unterst tzen und dass diese Zertifikate ausschlie lich an berech tigte Benutzer ausgegeben werden Diese Verwaltungsaufgaben k nnen mit Hilfe eines automatisierten Prozesses oder durch Mitarbeiter anhand eines entsprechenden Entscheidungsprozesses ausgef hrt werden hnlich wie der CA kann die RA auch Ver schl sselungshardwareeinheiten wie z B den IBM 4758 PCI Cryptographic Coprocessor verwenden um ihren Unterschrifts schl ssel zus tzlich zu sch tzen m Eine webbasierte Registrierungsschnittstelle erleichtert das Abru fen von Zertifikaten f r Browser Server VPNs Virtual Private Networks Smart Cards und die gesicherte bertragung von E Mails m Die webb
123. ge Server auf einer einzelnen Maschine auszuf hren Anmerkung Wenn Sie nicht beabsichtigen die Standardkonfi gurationswerte f r Web Server Ports zu verwenden m ssen Sie die IP Aliasnamen konfigurieren bevor Sie das Konfigurations Applet von Tivoli PKI ausf h ren Die Konfigurationsprogramme verwenden diese Werte bei der Erstellung des CA Zertifikats f r Ihr System Tivoli PKI Einf hrung 45 Bunueld d HOAIL E IP Aliasnamen werden in TCP IP DNS Domain Name Services Dom nennamenservices definiert Gehen Sie unter Tivoli PKI fol genderma en vor um zwei Aliasnamen zu konfigurieren m Konfigurieren Sie DNS und geben Sie den Host Namen und die IP Adresse der Maschine an Verwenden Sie diesen Eintrag f r den ffentlichen Server der Nicht SSL Anforderungen am Anschluss 80 empf ngt m F gen Sie einen virtuellen Host Aliasnamen und eine IP Alias adresse hinzu Verwenden Sie diesen Eintrag f r den sicheren Web Server der SSL Anforderungen ohne Client Authentifizie rung am Anschluss 443 empf ngt m F gen Sie einen zweiten Host Aliasnamen und eine zweite IP Aliasadresse hinzu Verwenden Sie diesen Eintrag f r den siche ren Web Server der SSL Anforderungen mit Client Authentifi zierung am Anschluss 443 empf ngt Bitte beachten Sie dass diese Host Aliasnamen und IP Aliasadressen eindeutig und derselben physischen Maschine zugeordnet sein m s sen Informationen zur Konfiguration virtueller Host Namen un
124. genehmigten Computernetzstandards OSI Open Systems Interconnect PC Karte Eine mit einer Smart Card vergleichbare Einheit die auch als PCMCIA Karte bezeichnet wird Sie ist etwas gr er als eine Smart Card und verf gt im Allgemei nen ber eine h here Kapazit t 4758 PCI Cryptographic Coprocessor Eine programmierbare manipulationssensitive PCI Bus Verschliisselungskarte die die Ausf hrung von DES und RSA Verschliisselungsoperationen mit hoher Geschwindigkeit erm glicht Die Verschliisselungsprozesse werden in einem gesi cherten und abgegrenzten Bereich auf der Karte ausgefiihrt Die Karte entspricht den strengen Anforderungen des FIPS PUB 140 1 Level 4 Standards In dem gesicherten und abgegrenzten Bereich kann Software ausgefiihrt werden Der SET Standard kann z B zur Verarbeitung von Kreditkartentransaktionen genutzt werden Tivoli PKI Einf hrung 141 Jesso 5 142 PEM Privacy Enhanced Mail PKCS Public Key Cryptography Standards PKCS 1 Siehe Public Key Cryptography Standards PKCS 7 Siehe Public Key Cryptography Standards PKCS 10 Siehe Public Key Cryptography Standards PKCS 11 Siehe Public Key Cryptography Standards PKCS 12 Siehe Public Key Cryptography Standards PKI Public Key Infrastructure PKIX PKI auf X 509v3 Basis PKIX Certificate Management Protocol PKIX CMP Ein Protokoll das Verbindungen mit PKIX kompatiblen Anwendungen erm glicht PKIX CMP verwendet als prim res Tra
125. gesetzt Beim IBM 4758 PCI Cryptographic Coprocessor handelt es sich um eine spezielle Hardwareeinheit die in einem Tivoli PKI System dazu verwendet werden kann CA und RA Schl ssel zu sch tzen Er imp lementiert umfassende RSA und DES gest tzte Verschl sselungs funktionen innerhalb eines geschlossenen manipulationssicheren Hochsicherheitsprozessors der in die Hardware integriert ist Der Koprozessor gew hrleistet den Datenschutz durch die Anwendung von Verschl sselungsverfahren und bietet dar ber hinaus Funktionen f r die Schl sselverwaltung und Unterst tzung f r angepasste Anwendungen Er unterst tzt au erdem die MD5 und SHA 1 Hash Algorithmen Diese Funktionen gew hrleisten dass der IBM 4758 PCI Cryptographic Coprocessor den brancheninternen Anforderungen f r Standards und Anwendungen entspricht die ber HSM Funktio nen HSM Hardware Security Module verf gen m ssen Bei einer Tivoli PKI Installation bei der alle Komponenten auf einer einzigen Maschine implementiert sind k nnen f r CA und RA jeweils eigene 4758 Koprozessorkarten benutzt oder es kann eine Karte gemeinsam verwendet werden Sie k nnen bei der Ausf hrung des Setup Wizard angeben wie die Karte konfiguriert werden soll Anmerkung Die Unterst tzung f r den IBM 4758 PCI Cryptogra phic Coprocessor steht nur in der AIX Version von Tivoli PKI zur Verf gung Das Handbuch Tivoli PKI Systemverwaltung und die Produkt dokumentation enthalten zu
126. herstellungsanforderung k n nen diese Informationen wieder bereitgestellt werden F r den Sicherungsprozess muss der Benutzer eine PKCS 12 Datei erstellen Diese Datei enth lt das Zertifikat sowie den privaten Schl ssel des Benutzers Der Benutzer gibt ber einen unterst tzten Browser eine Sicherungsanforderung aus und verwendet hierbei die PKCS 12 Datei als Eingabe Die Datenbank f r die Schl ssel wiederherstellung krbdb wird daraufhin aktualisiert und enth lt nun die Zugriffsinformationen Bei der Wiederherstellung von Schl sseln wird hnlich vorgegangen Sie geben eine Wiederherstellungsan Tivoli PKI Einf hrung 17 Bunsynjuly Did HOAIL L forderung aus und definieren hierbei das Kennwort f r die PKCS 12 Datei die gesichert wurde Nach der Genehmigung der Anforde rung durch den RA Administrator k nnen Sie diese Datei herunter laden Funktion f r die Massenzertifikatsausstellung Tivoli PKI bietet eine Funktion f r die Massenzertifikatsausstellung mit der der Kunde eine gro e Anzahl von Endentit tszertifikaten in einem einzigen automatisierten Arbeitsgang registrieren erstellen und an LDAP Lightweight Directory Access Protocol bertragen kann F r diese Funktion ist eine korrekt formatierte Eingabedatei erforderlich in der Zertifikatsinformationen einschlie lich der Anga ben zum ffentlichen Schl ssel gespeichert sind W hrend des Pro zesses wird die Eingabe in die Registrierungsdatenbank eingeles
127. hmen ver l sst wird sein Zertifikat in der CRL eingetragen X 509 Zertifikat Ein weit verbreiteter Zertifikatsstandard der entwickelt wurde um die sichere Ver waltung und Verteilung von digital unterzeichneten Zertifikaten ber sichere Inter net Netze zu unterst tzen Das X 509 Zertifikat definiert Datenstrukturen die Proze duren f r die Verteilung ffentlicher Schl ssel unterst tzen die von zuverl ssigen Stellen digital unterzeichnet sind Zertifikatsaussteller CA Die Software die zur Einhaltung der Sicherheitsregeln eines Unternehmens und zur Vergabe gesicherter elektronischer Identit ten in Form von Zertifikaten dient Der CA verarbeitet die Anforderungen von RAs zum Ausstellen Erneuern und Widerru fen von Zertifikaten Er kooperiert mit der RA um Zertifikate und CRLs im Direc tory zu publizieren Siehe auch Digitales Zertifikat Version 3 Release 7 1 Zertifikatserweiterung Eine Zusatzfunktion des X 509v3 Zertifikatformats die zur Einbindung zus tzlicher Felder in das Zertifikat dient Es stehen Standard und benutzerdefinierte Erweite rungen zur Verf gung Die Standarderweiterungen dienen verschiedenen Zwecken und umfassen Schl ssel und Regelinformationen Betreff und Ausstellerattribute sowie Einschr nkungen die f r den Zertifizierungspfad gelten Zertifikatsprofil Eine Gruppe von Kenndaten die den gew nschten Zertifikatstyp definieren z B SSL oder IPSec Zertifikate Das Profil vereinfacht die
128. hti gen Wert f r Ihr System export DISPLAY yourhost 0 0 4 Installieren Sie WebSphere und gehen Sie hierzu wie folgt vor a Tivoli PKI Einf hrung Geben Sie den folgenden Befehl ein um in das entsprechende Verzeichnis zu wechseln cd cdrom aix Geben Sie folgenden Befehl ein um das Script install sh auszuf hren install sh Klicken Sie im Eingangsfenster auf Weiter W hlen Sie im Fenster mit den Installationsoptionen die Option f r die Angepasste Installation aus und klicken Sie anschlie end auf Weiter W hlen Sie im ersten Fenster zur Auswahl der Anwendungs serverkomponenten die Option f r Alle Komponenten aus und klicken Sie anschlie end auf Weiter W hlen Sie im zweiten Fenster zur Auswahl der Anwendungsserverkomponenten die Option f r die IBM HTTP Server Plug ins aus und klicken Sie dann auf Weiter W hlen Sie im Fenster mit den Datenbankoptionen in der Drop down Liste f r den Datenbanktyp die Option f r DB2 aus und geben Sie in den folgenden Feldern die u a Werte an Datenbankname was_db DB Benutzerverzeichnis home db2instl Benutzer ID f r Datenbank db2instl Datenbankkennwort yourpassword Kennwort best tigen yourpassword Hierbei steht yourpassword f r das Kennwort von db2instl das bei der Ausf hrung von db2setup eingegeben wurde 73 us1a jjejsul XIV Join Did IIOAIL 7 h Geben Sie im Fenster mit den Sicherheitsinformationen das Root Kennwort f r das Sy
129. i PKI zu beginnen Informationen zum Ausf hren des Setup Wizard finden Sie im Handbuch Tivoli PKI Konfiguration 1 Melden Sie sich mit Root Berechtigung an und geben Sie anschlie end die folgenden Befehle ein um eine Sicherungskopie des System Images zu erstellen smitty mksysb smitty savevg 2 Erstellen Sie zur Unterst tzung bei der sp teren Fehlerbehebung eine Liste der gesamten Software die auf den einzelnen Servern installiert ist Melden Sie sich mit Root Berechtigung an und geben Sie anschlie end den folgenden Befehl ein 1sIpp al gt tmp sys_software txt 3 Wenn Sie nicht beabsichtigen die Standardkonfigurationswerte fiir Web Server Ports zu verwenden miissen Sie die IP Alias namen konfigurieren bevor Sie den Setup Wizard ausf hren Die Konfigurationsprogramme verwenden diese Werte bei der Erstel lung des CA Zertifikats f r Ihr System Informationen dazu wie Tivoli PKI Ports auf dem Web Server konfiguriert und verwen det um gesicherte und nicht gesicherte Transaktionen zu verar Tivoli PKI Einf hrung 91 us1a jjejsul XIV Join Did IIOAIL 7 92 4 Entscheiden Sie welche registrierten Namen DN f r den Tivoli PKI CA und die zugeh rigen Agenten den Directory Administra tor und den Directory Root verwendet werden sollen Diese registrierten Namen DNs m ssen eindeutig sein Pr fen Sie die Richtlinien im Handbuch Tivoli PKI Konfigura tion um sicherzustellen dass die registrierten Namen DNs f
130. iben keine Erhaltungsinstallation Installation mit Erhal ten durch Anmerkung Installieren Sie zu diesem Zeitpunkt keine Fix Versionen Dieser Arbeitsschritt wird in einer sp teren Phase des Installationsprozesses ausgef hrt 2 Stellen Sie sicher dass f r die l nderspezifischen Angaben der Maschine die Sprache definiert ist in der Sie die Tivoli PKI Anwendungen ausf hren m chten 3 Tivoli PKI unterst tzt AIX TCB Trusted Computing Base gesicherte Computerbasis Wenn Sie diese Funktion verwenden m chten die die Sicherheit des verwendeten Betriebssystems weiter erh ht w hlen Sie diese Option aus um sie bei der Instal lation von AIX zu aktivieren Version 3 Release 7 1 4 Bei der TCP IP Konfiguration m ssen Sie den Kurznamen des Systems als Hostnamen angeben Geben Sie z B hostname an Stelle von hostname mycompany com ein Gehen Sie nach der AIX Installation wie folgt vor um die korrekte Angabe des Namens zu pr fen a b Dateien pr Geben Sie smitty ein W hlen Sie die Option f r Netzkommunikation und An wendungen aus W hlen Sie die Option f r TCP IP aus W hlen Sie die Option Mindestkonfiguration amp System start aus W hlen Sie in der Liste der verf gbaren Netzschnittstellen den gew nschten Eintrag aus Verwenden Sie z B en Stan dard Ethernet Network Interface Pr fen Sie ob der f r HOSTNAME angegebene Wert das korrekte Format aufweist fen Nach der
131. ichkeiten zur Verf gung Klicken Sie nach dem Starten des RA Desktop auf einen beliebi gen Knopf Hilfe und anschlie end auf das Buchsymbol w hrend Sie die Online Hilfe anzeigen ber die Website von Tivoli Public Key Infrastructure unter fol gender Adresse http www tivoli com support Version 3 Release 7 1 Registrierung und Zertifizierung Tivoli PKI Einf hrung Verwenden Sie die mit der Registrierungsanwendung zur Verf gung stehenden Browser Registrierungsformulare um auf einfache Weise eine Registrierung f r Browser Server und Einheitenzertifikate durchzuf hren Wenn Ihre Anforderung genehmigt wird wird das Zertifikat automatisch heruntergeladen Dar ber hinaus k nnen Sie die Browser Formulare verwenden um eine Vorabregistrierung f r Zertifikate durchzuf hren die mit einer PKIX Anwendung verwen det werden k nnen Wenn die Vorabregistrierungsanforderung geneh migt wird erhalten Sie Informationen mit denen Sie das Zertifikat zu einem geeigneten Zeitpunkt abrufen k nnen Das Tivoli PKI Benutzerhandbuch enth lt eine Beschreibung der Browserregistrierungsformulare und enth lt Folgendes m Taskorientierte Informationen wie z B Anweisungen zum Regis trieren f r ein Browserzertifikat oder zum Verl ngern von Zerti fikaten deren G ltigkeitszeitraum demn chst abl uft m Konzeptionelle Informationen wie z B eine Erl uterung zur Vorabregistrierung oder zu Serverzertifikaten Um auf das Be
132. ie Auswahl f r die Kompo nenten zur ck die Sie nicht installieren m chten und klicken Sie auf Weiter Komponente Beschreibung Tivoli PKI und Installation der Tivoli PKI Hauptprogramme und RA Server der RA Server Software einschlie lich aller Dateien die f r die Registrierungsfunktion erfor derlich sind CA und Pr f Server Installation der CA und Pr fsubsystemprogramme Directory Server Installation der Software die die Tivoli PKI Kom ponenten ben tigen um mit dem Directory zu interagieren RA Desktop Installation eines Installations Images f r das RA Desktop Applet von Tivoli PKI Anmerkungen Zu diesem Zeitpunkt stellt das Konfigurationsprogramm fest ob die f r die ausgew hlten Komponenten erforderli che Software installiert ist und die korrekte Version auf weist Wenn ein erforderliches Programm nicht verf gbar ist wird das Konfigurationsprogramm beendet Installieren Sie die erforderliche Software und starten Sie die Installa tionsprozedur erneut Zur Vorbereitung der Datenbankkonfiguration berpr ft das Konfigurationsprogramm auch den Benutzernamen mit dem Sie sich angemeldet haben Wenn der Benutzername l nger als acht Zeichen ist wird das Konfigurationsprogramm beendet Melden Sie sich mit einem Benutzernamen an der maximal acht Zeichen lang ist und starten Sie die Installationsprozedur erneut Version 3 Release 7 1 m Wenn Sie die Option f r Tivoli PKI un
133. ie Unterst tzung offener Standards und der Interoperabilit t in den verschiedenen Bereichen der Computerbranche National Language Support Unterst tzung in der Landessprache National Security Agency Beim objektorientierten Design oder bei der objektorientierten Programmierung eine abstrakte Entit t die zur Abgrenzung bestimmter Daten und der zugeh rigen Opera tionen dient Siehe auch Klasse Version 3 Release 7 1 Objektart Die Art von Objekt die im Directory gespeichert werden kann Beispiele sind eine Firma ein Konferenzraum eine Einheit eine Person ein Programm oder ein Pro zess Objekt ID OID Ein von einer Verwaltungsfunktion zugeordneter Datenwert der den in ASN 1 defi nierten Typ aufweist ODBC Open Database Connectivity ffentlicher Schl ssel In einem Paar aus einem ffentlichen und einem privaten Schl ssel steht dieser Schl ssel anderen Benutzern zur Verf gung Er erm glicht diesen Benutzern die Weiterleitung einer Transaktion an den Eigner des Schl ssels sowie die Pr fung einer digitalen Unterschrift Mit einem ffentlichen Schl ssel verschl sselte Daten k nnen nur mit dem entsprechenden privaten Schl ssel entschl sselt werden Gegen satz zu Privater Schl ssel Siehe auch Schl sselpaar aus ffentlichem und privatem Schl ssel Open Database Connectivity ODBC Ein Standard f r den Zugriff auf unterschiedliche Datenbanksysteme Open Systems Interconnect OSI Der Name der von ISO
134. ie einen Windows NT Benutzereintrag der als Eintrag f r den Tivoli PKI Konfigurationsbenutzer eingesetzt werden kann Die Konfigurationsprogramme verwenden diesen Benut zernamen und das zugeh rige Kennwort um die erforderlichen Datenbanken zu erstellen und das System zu konfigurieren Ver wenden Sie die Verwaltungs Tools von Windows NT um diesen Benutzereintrag wie folgt zu definieren 1 F hren Sie in der Programmgruppe der Verwaltungs Tools das Programm Benutzer Manager aus 2 F gen Sie den Benutzereintrag cfguser hinzu und kopieren Sie hierzu den Benutzereintrag f r den Administrator indem Sie diesen hervorheben und anschlie end die Taste F8 dr cken Der Benutzer muss ber Administratorberechtigungen f r Windows NT verf gen 3 Geben Sie ein Kennwort f r cfguser ein und best tigen Sie dieses indem Sie es erneut eingeben 4 Nehmen Sie die Auswahl von Benutzer muss Kennwort bei n chster Anmeldung ndern zur ck 5 Klicken Sie auf OK Das Kennwort das diesem Benutzernamen zugeordnet ist muss genau 8 Zeichen lang sein Um die Sicherheitsvorkeh rungen zu optimieren sollte eine Zeichenfolge angegeben werden die kein tats chliches Wort darstellt Das Kennwort Version 3 Release 7 1 sollte dar ber hinaus eine Mischung aus Gro und Klein buchstaben und mindestens eine Zahl enthalten e Diesen Benutzernamen und das zugeh rige Kennwort m ssen Sie bei der Installation und Konfiguration des Syste
135. ieren Sie k nnen diese Software auf einer fernen Maschine oder auf der Maschine installieren auf der auch eine Tivoli PKI Server Komponente installiert werden soll Directory Software installieren F hren Sie mit Root Berechtigung die folgenden Arbeitsschritte aus Tivoli PKI Einf hrung 67 us1a jejsul XIV Join Did IIOAIL 7 68 1 Legen Sie die CD f r Directory Server Version 3 1 1 5 in das CD ROM Laufwerk Ihres Systems ein Geben Sie den folgen den Befehl ein um die CD anzuh ngen mount cdrom Geben Sie den folgenden Befehl ein um in das entsprechende Verzeichnis zu wechseln cd cdrom usr sys inst images Version 3 Release 7 1 Geben Sie den folgenden Befehl ein smitty install W hlen Sie Software installieren und aktualisieren aus 5 W hlen Sie Neueste verf gbare Software installieren und 10 11 aktualisieren aus W hlen Sie f r die Option EINGABE Einheit Verzeichnis f r Software Punkt aus Dr cken Sie unter Neueste verf gbare Software installieren und aktualisieren die Taste F4 um eine Liste der f r die Installation verf gbaren Dateien anzuzeigen Dr cken Sie die Taste F7 um die Datei Idap client f r die Installation auszuw hlen Dr cken Sie nach der Installation dieser Datei unter Neueste verf gbare Software installieren und aktualisieren die Taste F4 um eine Liste der f r die Installation verf gbaren Dateien anzuzeigen Dr cken Sie die Taste F7 u
136. ifikate an gesicherte Personen und Einheiten ausstellen und steuern ob ein Zertifikat erneuert oder widerrufen werden soll Richtlinien f r die Tivoli PKI Planung beispielsweise f r die Integration von Tivoli PKI Komponenten mit anderen an Ihrem Standort installierten Produkten Prozeduren zum Installieren des Produkts auf einer IBM AIX Plattform oder unter Microsoft Windows NT Verweise auf andere Dokumente die Sie bei der Verwendung der Tivoli PKI Benutzerschnittstellen und der Verwaltungs Tools unterst tzen Anmerkung Das aktuelle Release des Produkts wird nur auf AIX Zielgruppe Plattformen unterst tzt Alle Informationen zur Ver wendung unter Microsoft Windows k nnen aus diesem Grund ignoriert werden Das vorliegende Handbuch ist f r eine breit gef cherte Zielgruppe konzipiert Marketing Managern bietet das vorliegende Handbuch Informati onen zur Integration von Tivoli PKI in die e business Strategie Ihres Unternehmens Sicherheitsmanagern bietet das vorliegende Handbuch Informati onen zur Integration von Tivoli PKI in die Netzsicherheits strategie Ihres Unternehmens Tivoli PKI Einf hrung xi m Bei den Informationen fiir Systemadministratoren wird im vorlie genden Handbuch davon ausgegangen dass Sie mit der Installa tion und Konfiguration von Produkten in einer Netzumgebung vertraut sind Sie sollten tiber Erfahrung in folgenden Bereichen verfiigen e Hardwareinstallation und ko
137. ignismasken 12 Integrit tspr fung 13 MACs 13 Schl sselspeicher KeyStore 22 bersicht 12 unter AIX installieren 79 unter Windows NT installieren 109 R RA Desktop Dokumentation 123 Hilfe 124 installieren 78 108 Registratoren hinzuf gen 7 Systemvoraussetzungen 32 bersicht 7 123 verwenden 123 Zugriff 124 Regel Exits Anpassung 9 Definition 6 Registratoren 7 Registrierte Namen DN definiert 47 Tivoli PKI Einf hrung Registrierung Anpassung 8 Benachrichtigungsschreiben 6 Browser Formulare 5 Regel Exits 6 Systemvoraussetzungen 32 bersicht 5 Vorabregistrierung 6 Zertifikatstypen 6 Registrierungsdatenbank 5 Registrierungsdom ne Anpassung 8 Beschreibung 5 Definition 4 Registrierungsfunktion Anpassung 8 Beschreibung 5 Registrierungsstelle RA Anpassung 8 Client Authentifizierung 44 RA Desktop 7 Regel Exits 6 Registrierung 5 bersicht 4 unter AIX installieren 79 unter Windows NT installieren 109 Web Server Integration 13 Zertifikatsprofile 6 Release Informationen 27 Reservierte Datenbanknamen 43 Root CA 11 Root DN Eintrag 48 rootvg Datentr gergruppe 61 RS 6000 29 RS 6000 Server 29 S S MIME Zertifikate 6 Schemaunterst tzung 20 Schl sselspeicher KeyStores 22 Schl sselwiederherstellung 17 Selbstunterzeichnetes CA Zertifikat 11 Seriennummern 10 161 xapuj Server Konfigurationen 53 Server Voraussetzungen erforderliche Hardware 29 erforderliche Software 27 f r AIX 30 f r Windows NT 3
138. iir die Unterzeichnung und Unterschriftspriifung MD5 und SHA 1 Hash Algorithmen Zertifikate gemaB X 509 Version 3 Tivoli PKI Zertifikate unterstiitzen die meisten Felder und Erweite rungen die im Standard X 509 Version 3 X 509v3 definiert sind Durch diese Unterst tzung k nnen die Zertifikate f r die meisten Verschl sselungsoperationen verwendet werden wie beispielsweise SSL IPSec VPN und S MIME Tivoli PKI Zertifikate k nnen die folgenden Erweiterungstypen ent halten Standarderweiterungen 24 Die Standard X 509v3 Zertifikatserweiterungen z B Schl sselverwendung Verwendungszeitraum privater Schl s sel Alternativname des Zertifikatsgegenstands Basis einschr nkungen und Namenseinschr nkungen Version 3 Release 7 1 Allgemeine Erweiterungen Erweiterungen die ausschlie lich bei Tivoli PKI vorhanden sind wie beispielsweise die Host Identit tszuordnung Diese Erweiterung ordnet den Zertifikatsgegenstand einer entspre chenden Identit t auf einem Host System zu Private Erweiterungen Erweiterungen die eine Anwendung dazu verwenden kann einen Online Pr fservice zu identifizieren der den ausstel lenden CA unterst tzt Zur Unterst tzung der Registrierungsregeln des jeweiligen Unter nehmens bietet Tivoli PKI auch die M glichkeit die Zertifikatser weiterungen anzupassen und zu definieren So k nnen Sie beispiels weise die Erweiterungen die in den Standardzertifikatsprofilen ange geben sin
139. in der AIX Version von Tivoli PKI zur Verf gung Der IBM 4758 PCI Cryptographic Coprocessor verwendet die Anwendungsprogrammierschnittstelle API der Common Cryptogra phic Architecture CCA von IBM um leistungsf hige Verschl sse lungsservices zur Verf gung zu stellen Die gesamte Verschl sse lungsverarbeitung findet innerhalb der sicheren Begrenzung der phy sischen Verschl sselungskarte statt Tivoli PKI Einf hrung 49 Bunueid d HOAIL E 50 W hrend der Installation generiert das IBM 4758 Konfigurations programm einen Hauptschl ssel und speichert diesen in der Hard ware In einem Tivoli PKI System kann der Koprozessor diesen Hauptschl ssel und einen RSA Algorithmus verwenden um den CA oder RA Unterschriftsschl ssel dreifach zu verschl sseln Dieser Schritt bietet eine weitere Sicherheitsebene gegen Versuche die CA oder RA Unterschrift zu manipulieren oder zu entschl sseln Zus tzlich zur Verschl sselungsfunktion bietet der IBM 4758 PCI Cryptographic Coprocessor die M glichkeit unberechtigten Zugriff auf die Hardware oder den Hauptschl ssel Unregelm igkeiten bei der Spannung und Temperatur sowie zu hohe Strahlung festzustellen Wird eine solche Unregelm igkeit festgestellt werden die Schl s sel die f r den Zugriff auf die im Modul gesicherten Daten erforder lich sind zerst rt Anmerkung Informationen zum Installieren Konfigurieren und Klonen des IBM 4758 PCI Cryptographic Coprocessor finden
140. in ein lokal angeschlossenes CD ROM Laufwerk ein W hlen Sie Start gt Ausf hren aus und klicken Sie anschlie Bend auf Durchsuchen um zum CD ROM Laufwerk zu wech seln F hren Sie dann die Datei setup exe aus Beispiel drive WinNT TrustAuthority setup Wenn Sie das Konfigurationsprogramm auf einer Maschine aus f hren die mit mehr als 256 MB Hauptspeicherplatz ausger stet ist m ssen Sie die Option z hinzuf gen um die Speicher pr fung zu inaktivieren Beispiel drive WinNT TrustAuthority setup z W hlen Sie im Fenster f r die Auswahl der Setup Sprache eine Sprache f r die aktuelle Installation aus und klicken Sie dann auf OK Der Standardwert ist English Lesen Sie die Informationen im Eingangsfenster und klicken Sie anschlie end auf Weiter Wenn Sie anstelle der zum Lieferumfang von Tivoli PKI geh renden Version eine eigenst ndige Version von IBM DB2 instal liert haben wird das Fenster Zielpfad w hlen aufgerufen Kli cken Sie auf Weiter wenn Sie die Software im Standardpfad c Program Files IBM Tivoli PKI installieren wollen Klicken Sie andernfalls auf Durchsuchen um einen anderen Zielordner auszuw hlen oder einzugeben und klicken Sie anschlie end auf Weiter 109 usaa jelsul IN SMOPUIM Jun Pid HOAIL S 110 8 Verwenden Sie im Fenster Komponenten w hlen die folgende Tabelle als Richtlinie Markieren Sie die Komponenten die Sie installieren m chten nehmen Sie d
141. iness Machines Corp oder von Tivoli Systems Inc Das Programm Tivoli PKI im folgenden als Programm bezeichnet enth lt Komponenten von IBM WebSphere Application Server und IBM HTTP Web Server IBM Server Diese d rfen nur zusammen mit dem Programm installiert und entsprechend der f r das Programm geltenden Lizenzvereinbarungen in Kombination mit diesem verwendet werden Die IBM Server m ssen auf derselben Maschine wie das Programm installiert sein Sie sind nicht berechtigt sie unabh ngig vom Programm zu installieren und zu verwenden Das Programm Tivoli PKI im folgenden als Programm bezeichnet enth lt Komponenten von DB2 Universal Database Diese Komponenten d rfen nur zusammen mit dem Programm installiert und entsprechend der f r das Programm geltenden Lizenzvereinbarungen in Kom bination mit diesem verwendet werden um Daten zu speichern und zu verwalten die vom Programm verwendet oder generiert werden F r andere Datenverwaltungsoperationen ist der Einsatz nicht gestattet Diese Lizenz gilt z B nicht f r eingehende Verbindungen zur Daten bank die von anderen Anwendungen aus f r Abfragen und Berichtserstellungsoperationen hergestellt werden Sie sind lediglich zur Installation und Verwendung dieser Komponenten auf der gleichen Maschine berechtigt auf der auch das Programm installiert und verwendet wird Das Programm enth lt Komponenten des IBM WebSphere Application Server und des IBM HTTP Web Server IBM Server
142. ingabetaste W hlen Sie als Identifikations berpr fungsart den Wert Cli ent aus W hlen Sie OK aus W hlen Sie OK aus Geben Sie f r die Authentifizierung Werte f r Kennwort und Pr fkennwort des Benutzernamens db2fencl ein W hlen Sie OK aus W hlen Sie OK aus W hlen Sie OK aus Anmerkung Ignorieren Sie die Warnung W hlen Sie Weiter aus W hlen Sie OK aus Die DB2 Installation wird nun gestartet Version 3 Release 7 1 26 21 28 29 30 31 32 33 34 W hlen Sie OK aus W hlen Sie OK aus um die Verarbeitung zu beenden oder das Protokoll anzuzeigen W hlen Sie Schlie en aus W hlen Sie OK aus W hlen Sie OK aus Diese Phase der Installation ist nun abgeschlossen Geben Sie den folgenden Befehl ein um den Tivoli PKI Daten tr ger abzuh ngen umount cdrom Geben Sie den folgenden Befehl ein um in das entsprechende Verzeichnis zu wechseln cd usr 1pp db2_06_01 cfg Geben Sie den folgenden Befehl ein um die Umgebungs variablen zu definieren db21n Setzen Sie die Installation fort und lesen Sie hierzu die Infor mationen im Abschnitt e IBM Directory installieren Tivoli PKI verwendet das IBM Directory um Informationen zu Zer tifikaten die von der Registrierungsfunktion ausgestellt wurden zu speichern und zu verwalten Verwenden Sie die in den folgenden Abschnitten beschriebenen Prozeduren um die Directory Software zu installieren und zu konfigur
143. inieren und den Zugriff auf verschiedene Prozesse ber die IP Adressenzuordnung steuern Um die Sicherheit f r diese Programme sicherzustellen m ssen diese Server hinter der Firewall konfiguriert werden Wenden Sie dieselben Vorsichtsma nahmen an die Sie auch f r den Hauptserver imple mentiert haben Mit Tivoli PKI Datenbanken arbeiten 42 Tivoli PKI verwendet zum Verwalten von Daten IBM DB2 Universal Database Die im Paket mit den Tivoli PKI Datentr gern enthaltene DB2 Version wird ausschlie lich f r die Verwendung durch Tivoli PKI Anwendungen zur Verf gung gestellt Wenn Sie die Datenbank software anpassen oder zusammen mit anderen Anwendungen als Tivoli PKI verwenden wollen m ssen Sie eine Lizenz f r eine Voll version von IBM DB2 Enterprise Edition kaufen Wenn Sie Tivoli PKI in einer Konfiguration mit mehreren Maschinen installieren wollen m ssen Sie auf allen Maschinen auf denen eine Version 3 Release 7 1 Serverkomponente von Tivoli PKI installiert werden soll zuerst die Tivoli PKI Datenbanksoftware installieren Im Rahmen der Ausf hrung eines Konfigurationsprogramms f r den Installationsabschluss erstellt Tivoli PKI die Datenbank cfgdb f r Konfigurationsdaten und f llt sie mit Standardkonfigurationswerten W hrend der Konfiguration erstellt Tivoli PKI die folgenden Daten banken f r CA Registrierungs und Pr fdaten sowie f r Daten zur Schl sselsicherung und wiederherstellung Wenn Sie Tivoli
144. ivoli PKI Produktbeschreibung 0 000000000 0000005 1 KOMPONEHLEN ae een See 3 Tivoli PKI Server eae ee ace a aie tira na ana ERA na EN 4 Repistrierungsstelle 2 0 0000 0000 ce meen ee ee Re OEE ON aS 4 Zertifikatsaussteller e 10 Pr fsubsystem r 2 4 8202 Se RES Soy eh ee adn 12 Webserver caked ce Kv Eee doe ee Rete doe ee Ee ee be ew EE EE ORE HS 13 Datenbanksystem 2 2 gie risma a ae a eee eee 14 Directory Server 2 0 eee eee 15 IBM 4758 PCI Cryptographic Coprocessor 15 Funktion zur Schliisselsicherung und wiederherstellung 17 Funktion f r die Massenzertifikatsausstellung 18 Architektur 2 040 ELE 80 se bee ects ee bee hee ed cede Eh eee be ES 18 Public Key Infrastructure DkKI eoi ee 18 PKIX CMP Protokoll 19 LDAP Pr t k ll 24 24 cac4c8 eee pus A ea a 20 Objektspeicher 4 au eer EE oa teat ae dae ase bb ane A 20 Tivoli PKI Einf hrung Drust Modell 21 Codeunterzeichnung siyi ecsrieei eee eee 21 Nachrichtenunterzeichnung 21 Datenverschl sselung 22 Schl sselspeicher KeyStores 2 22222000 eeeeeeeen een 22 Unterst tzte Standards cee ses ee et ee cnut RR na 23 Zertifikate gem X 509 Version 3 2 22 0 0000 24 Kapitel 2 Gvstemvoraussetzungden 27 Softwarevoraussetzungen f r den Server 27 Hardwarevoraussetzungen f r den Server 29 Voraussetzungen fiir den Setup Wizard 2 0 cee e
145. jekte die gew nschte Zertifizierungshierarchie auch unterst tzen F llen Sie das Tivoli PKI Konfigurationsdatenformular aus das im Handbuch Tivoli PKI Konfiguration enthalten ist um sich mit den Informationen vertraut zu machen die Sie f r die Konfigura tion des Systems bereithalten m ssen Verwenden Sie dieses For mular um Informationen zum jeweiligen System aufzuzeichnen wie beispielsweise die Server Host Namen und die bevorzugten registrierten Namen DN Version 3 Release 7 1 6 Zur Unterst tzung der Konfiguration sollten Sie die folgenden Arbeitsschritte ausf hren um auf der Maschine auf der der Setup Wizard ausgef hrt werden soll eine umfangreiche MS DOS Umgebung mit Schiebeleisten zu definieren In einer nor malen Umgebung verf gt das DOS Fenster nicht ber Schiebe leisten und enth lt nur 24 Zeilen an Daten a Melden Sie sich als Konfigurationsbenutzer von Tivoli PKI an Diesem ist normalerweise der Benutzereintrag cfguser zugeordnet b W hlen Sie Start gt Einstellungen gt Systemsteuerung aus c Klicken Sie doppelt auf der Konsole von MS DOS d W hlen Sie die Indexzunge Layout aus e Definieren Sie im Abschnitt Fensterpuffergr e f r H he mindestens den Wert 1000 der Maximalwert betr gt 9999 und klicken Sie dann auf OK Backup Dienstprogramm ausf hren Das Backup Dienstprogramm von Tivoli PKI ta backup ist ein Tool zum Sichern von Konfigurationsdaten die in keiner der DB2 Dat
146. katsprofile sowie zur Definition von Zertifikatserweiterungen Ausf hrlichere Informationen zum Tivoli PKI CA finden Sie im Handbuch Tivoli PKI Systemverwaltung Dieses Buch enth lt Richtli nien zum Anpassen der Laufzeitoptionen f r den CA Server sowie Prozeduren zum Herstellen von gegenseitig zertifizierten und hierar chisch strukturierten CA Trust Modellen Pr fsubsystem In Tivoli PKI stellt das Pr fsubsystem Unterst tzung f r die Proto kollierung sicherheitsrelevanter Aktionen zur Verf gung Der Pr f Server f hrt die folgenden Aktionen im Rahmen der Pr fungs aktivit t aus m Empfangen von Pr fereignissen von Pr f Clients wie z B von der Registrierungsstelle und dem Zertifikatsaussteller m Aufzeichnen von Ereignissen in einem Pr fprotokoll das norma lerweise in einer DB2 Datenbank gespeichert wird Das Proto koll kann wahlweise auch als Datendatei gespeichert werden Das Protokoll enth lt f r jedes Pr fereignis einen Protokoll eintrag m Erm glichen der Verwendung einer Maske mit der Pr f Clients bestimmte Pr fereignisse abschirmen k nnen Zwar werden Version 3 Release 7 1 einige Ereignisse stets protokolliert f r andere kann jedoch mit Hilfe einer Maske die Aufzeichnung verhindert werden Dadurch k nnen Sie die Gr e der Pr fprotokolle steuern und sicherstel len dass nur die Ereignisse protokolliert werden die relevant sind m Berechnen eines Nachrichtenauthentifizierungscodes MAC
147. konfiguration ordnet Tivoli PKI Ports auf dem Web Server zu die zur Verarbeitung der verschiedenen Anforderungsarten dienen Auf diese Weise k nnen Sie das System so verwenden wie es installiert wurde ohne spezielle Anpassungen an Ihrer Netz konfiguration vorzunehmen Version 3 Release 7 1 Die folgende Tabelle enth lt eine bersicht zu dieser Architektur und den f r die Ports verwendeten Standardwerten Server Client Authentifi Authentifi Anschluss Protokoll SSL zierung zierung nummer HTTP Nein Nein Nein 80 HTTPS Ja Ja Nein 443 HTTPS Ja Ja Ja 1443 In vielen gesicherten Systemen k nnen nur die Ports 80 und 443 ber die Firewall ge ffnet sein und nur der Port 443 kann f r die Herstellung von SSL Verbindungen genutzt werden Wenn dies auch auf Ihr Unternehmen zutrifft m ssen Sie den Webserver so konfigu rieren dass die unterschiedlichen Anforderungstypen ber denselben Port verarbeitet werden k nnen Das System kann beispielsweise so konfiguriert werden dass die beiden sicheren Server am Port 443 Anforderungen empfangen Um f r eine einzelne Maschine mehrere Zugriffspunkte ber densel ben Port bereitzustellen m ssen Namen f r virtuelle Hosts definiert und diese Namen IP Adressen zugeordnet werden bei denen es sich um Aliasnamen der tats chlichen IP Adresse der Maschine handelt Dieses Konzept das als IP Aliasnamenumsetzung bezeichnet wird erm glicht es mehrere unabh ngi
148. l XIV Join Did IIOAIL 7 1 Geben Sie den folgenden Befehl ein um in das Verzeichnis etc zu wechseln cd etc Editieren Sie die Datei inittab und l schen Sie hierbei den Ein trag f r ihshttpd Speichern Sie die Datei inittab nach dem L schen des Eintrags Stoppen Sie den IBM HTTP Server Dienst der von WebSphere m glicherweise bereits gestartet wurde Gehen Sie hierzu wie folgt vor a Geben Sie den folgenden Befehl ein um die eventuell aktiven Prozesse aufzulisten ps ef grep http b Lokalisieren Sie den Prozess usr HTTPServer bin httpd c Suchen Sie die ID des Elternprozesses zweites Feld von links d Stoppen Sie den Elternprozess mit dem Befehl kill Beispiel kill pid Hierbei steht pid f r die ID des Elternprozesses WebSphere Application Server starten Vor der Installation von Tivoli PKI m ssen Sie WebSphere Applica tion Server starten Gehen Sie hierzu wie folgt vor 76 1 Geben Sie den folgenden Befehl ein um in das entsprechende Verzeichnis zu wechseln cd usr WebSphere AppServer bin Geben Sie den folgenden Befehl ein startupServer sh amp Geben Sie den folgenden Befehl ein um in das entsprechende Verzeichnis zu wechseln cd usr WebSphere AppServer logs Geben Sie den folgenden Befehl ein und berwachen Sie die Tracedatei Version 3 Release 7 1 tail f tracefile Wenn die Nachricht A WebSphere Administration Server open for e business ausgegeb
149. lation von Daten Der CA generiert f r alle in die Datenbank geschriebenen S tze einen Nachrichtenauthentifizierungscode MAC Mit Hilfe des MAC kann festgestellt werden wenn Daten in der Datenbank Version 3 Release 7 1 ge ndert oder gel scht wurden Auf diese Weise wird die Datenbankintegrit t sichergestellt Sch tzen der CA Unterschrift Der CA kann mit dem IBM 4758 PCI Cryptographic Coprocessor integriert werden Der IBM 4758 PCI Cryptographic Coprocessor verwendet einen fest gespeicherten Chiffrierschl ssel um den Unterschriftsschl ssel des CA zu verschl sseln und damit zu sch tzen Unterst tzen der Aktualisierung Rollover des CA Schl ssel paares und des zugeh rigen Zertifikats zur Verhinderung des Ablaufens Unterst tzen der Funktionen zur berpr fung und Daten wiederherstellung Der CA generiert f r zahlreiche berpr fbare Ereignisse Pr fs tze Der Pr fserver speichert diese S tze in einer DB2 Datenbank Wenn in Ihrem Unternehmen diskrete Anwendungen verwendet werden f r die ein einzelner CA ausreicht unterst tzt Tivoli PKI selbstunterzeichnete CA Zertifikate In diesem Szenario ist der CA f r die gesamte Zertifizierung innerhalb seiner Verwal tungsdom ne verantwortlich Wenn in Ihrem Unternehmen verzahnte oder hierarchische Berechtigungsketten vorliegen k nnen sie den CA so konfigu rieren dass er mit anderen CAs zusammenarbeitet Ein Tivoli PKI CA kann zusammen mit einem anderen CA
150. lediglich um einen verschl sselten Namen oder eine Reihe einfacher Identifikationscodes handelt Eine digitale Unter schrift enth lt eine verschl sselte Zusammenfassung der unterzeichneten Nachricht Durch das Anf gen einer digitalen Unterschrift an eine Nachricht l sst sich der Absender also zweifelsfrei feststellen Die Unterschrift kann nur mit Hilfe des Schl ssels des Absenders erstellt werden Au erdem erm glicht sie die Absicherung des Inhalts der unterzeichneten Nachricht da die verschl sselte Nachrichten zusammenfassung mit dem Nachrichteninhalt bereinstimmen muss Andernfalls wird die Unterschrift nicht als g ltig identifiziert Eine digitale Unterschrift kann also nicht von einer Nachricht kopiert und f r eine andere Nachricht verwendet wer den da sonst die Zusammenfassung Hash Code nicht bereinstimmen w rde Alle nderungen an der unterzeichneten Nachricht f hren automatisch zum Verlust der G ltigkeit der Unterschrift Digitale Zertifizierung Siehe Zertifizierung Version 3 Release 7 1 Digital Signature Algorithm DSA Ein auf ffentlichen Schl sseln basierender Algorithmus der zum Standard f r digi tale Unterschriften Digital Signature Standard DSS geh rt Er kann nur f r digi tale Unterschriften jedoch nicht f r die Verschl sselung verwendet werden Directory Eine hierarchische Struktur die als globales Repository f r Informationen zur Datenkommunikation wie beispielsweise E Mail od
151. liche Datenbank und Directory Software m CD 1 f r Tivoli Public Key Infrastructure f r AIX V 3 7 1 Diese CD enth lt die f r Tivoli PKI erforderliche Datenbank software und folgende Komponenten e Die Tivoli PKI RA den Zertifikatsaussteller und den Pr f Server die Directory Software sowie Programme f r die Installation Konfiguration und Verwaltung des Produkts e Installations Image f r das Applet Tivoli PKI RA Desktop Plattformspezifische CDs stehen fiir das Betriebssystem AIX zur Verfiigung m CD 2 fiir Tivoli Public Key Infrastructure fiir AIX V 3 7 1 Diese CD enth lt die f r Tivoli PKI erforderliche Software und verschiedene Programmkorrekturen m Tivoli Public Key Infrastructure Einf hrung m Release Informationen f r Tivoli Public Key Infrastructure Tivoli PKI Einf hrung 55 Bunueid Id IONIL E 56 Version 3 Release 7 1 Tivoli PKI unter AIX installieren Das vorliegende Kapitel enth lt Prozeduren zum Installieren von Tivoli Public Key Infrastructure PKI sowie der f r den Betrieb erforderlichen Produkte auf einer AIX Plattform Vor dem Installieren der Tivoli PKI Software sollten Sie unbedingt die neueste Version der Release Informationen f r das Produkt lesen Die aktuellste Version der Release Informationen k nnen Sie ber die Website von JJ e e abrufen http www tivoli com support Installieren Sie die Software f r Tivoli PKI in der folgenden Reihen folge 1 Betriebssys
152. liert sind Sie m ssen die Software auf der Maschine installieren auf der auch die RA Komponente installiert werden soll Obwohl WebSphere ber eine Verwaltungsschnittstelle zum Verwal ten von Servlets verf gt ist es weder m glich noch erforderlich Tivoli PKI Servlets mit dieser Schnittstelle zu verwalten Nach der Installation von Tivoli PKI aktualisiert ein Installationsab schlussprogramm den Web Server mit den f r Tivoli PKI erforderli chen Informationen Wenn Sie den Web Server starten verwendet dieser die Konfigurationsdatei die Tivoli PKI zu diesem Zweck erstellt hat Anmerkung Lesen Sie unbedingt die Informationen dazu wie Tivoli PKI Ports auf dem Web Server See die Duf Seite 44 enthalten sind Wenn Sie die Ports auf Ihrem System anders konfigurieren wollen m ssen Sie dies vor der Konfiguration von Tivoli PKI tun WebSphere Application Server installieren 1 Melden Sie sich als Benutzer mit Root Berechtigung an 2 Legen Sie die CD von WebSphere Application Server f r AIX in das CD ROM Laufwerk ein Geben Sie den folgenden Befehl ein um die CD anzuh ngen mount cdrom 3 Bei einer fernen Installation m ssen Sie WebSphere in einer gra fischen X11 Umgebung installieren Geben Sie den folgenden Befehl ein um die korrekte Umgebungsvariable DISPLAY zu Version 3 Release 7 1 exportieren die durch das WebSphere Installationsprogramm ge ffnet werden muss Hierbei steht yourhost 0 0 f r den ric
153. m die folgenden Dateien f r die Installation auszuw hlen m Idap server m Idap html en_US Anmerkung Sie m ssen die korrekten Sprachdateien f r Ihre Installation ausw hlen Geben Sie die folgenden Befehle ein um den Directory Daten tr ger abzuh ngen Wenn Sie diese Befehle eingeben kann kein Prozess auf Teile der Verzeichnisbaumstruktur von cdrom zugreifen umount cdrom Anmerkung In einer Konfiguration mit mehreren Maschinen m s sen Sie auf jedem Tivoli PKI Server die Directory Client Software installieren bevor Sie das Konfigura tions Applet f r Tivoli PKI ausf hren Zum Installie ren dieser Software m ssen Sie die Option Idap cli ent von der CD f r den Directory Server auf allen Tivoli PKI Einf hrung 69 us1a jjejsul XIV Join Did IIOAIL 7 Maschinen au er auf der Einheit installieren auf der soeben die Directory Server Software installiert wurde Der Name der wichtigen Datei die auf allen Maschinen installiert werden muss lautet libldap a Nach Abschluss dieser Arbeitsschritte sind die folgenden Dateien installiert Idap client adt 3 1 1 5 COMMITTED SecureWay Directory Client SDK Idap client rte 3 1 1 5 COMMITTED SecureWay Directory Client Idap html en_US config 3 1 1 0 COMMITTED SecureWay Directory ldap html en HU man 3 1 1 0 COMMITTED SecureWay Directory Man Pages Idap msg en_US 3 1 1 0 COMMITTED SecureWay Directory Messages Idap server admin 3 1 1 5 COMMIT
154. me Environment Java rte classes 1 1 8 0 COMMITTED Java Runtime Environment Java rte lib 1 1 8 0 COMMITTED Java Runtime Environment Wenn nicht alle diese Dateien installiert sind m ssen Sie die fehlen den Dateien nachinstallieren bevor Sie die Installation fortsetzen Ausreichende Paging Bereiche pr fen Als Paging Bereich m ssen mindestens 768 MB zur Verf gung ste hen F hren Sie die folgenden Arbeitsschritte aus um zu pr fen ob ein ausreichender Paging Bereich vorhanden ist 1 NAF DR Geben Sie smitty ein W hlen Sie die Option f r Systemspeicherverwaltung physi scher und logischer Speicher aus W hlen Sie die Option f r den Logical Volume Manager aus W hlen Sie die Option f r den Paging Bereich aus W hlen Sie die Option f r Paging Bereiche auflisten aus Gehen Sie wie folgt vor wenn als Gesamtgr e nicht mindestens 768 MB angegeben wird a Dr cken Sie die Taste F3 oder Abbrechen b W hlen Sie die Option f r Merkmale eines Paging Bereichs ndern anzeigen aus c W hlen Sie den Namen des Paging Bereichs aus dessen Gr e erh ht werden soll Version 3 Release 7 1 d F gen Sie die Anzahl der zus tzlichen logischen Partitionen hinzu die erforderlich sind um den Paging Bereich auf 768 MB zu vergr ern Fix Version auf AIX anwenden Nach der Pr fung der Dateien f r AIX m ssen Sie die Fix Version ML 4330 06 installieren Fordern Sie die Programmkorrektur AIX Fix
155. ms ange ben m glicherweise ist er auch f r die Ausf hrung bestimm ter Systemverwaltungs Tools in Tivoli PKI erforderlich e Wenn Sie Tivoli PKI in einer Konfiguration mit mehreren Maschinen installieren wollen m ssen Sie den selben Benutzernamen sowie das zugeh rige Kennwort auf allen Maschinen erstellen Sie sollten vor der Fortsetzung der Tivoli PKI Installation Ihr Win dows NT System sichern Mit Hilfe eines Sicherungs Images kann das System wiederhergestellt werden falls Probleme auftreten Sie k nnen das Sicherungsprogramm verwenden das ber die Verwal tungs Tools von Windows NT zur Verf gung steht um ein System Image zu erstellen Alternativ dazu k nnen Sie auch ein anderes mit Windows kompatibles Sicherungsprogramm verwenden Datenbanksoftware installieren Tivoli PKI verwendet zum Verwalten von Daten IBM DB2 Univer sal Database Die Software die zum Lieferumfang von Tivoli PKI geh rt darf nur zusammen mit Tivoli PKI Anwendungen eingesetzt werden Wenn Sie die Datenbanksoftware anpassen oder zusammen mit anderen Anwendungen als Tivoli PKI verwenden wollen m ssen Sie eine Lizenz f r eine Vollversion von IBM DB2 Enterprise Edi tion Version 5 2 kaufen und anschlie end das Fix Pack 10 anwen den F hren Sie die nachfolgend beschriebene Prozedur aus um die Datenbanksoftware zu installieren Wenn Sie Tivoli PKI in einer Konfiguration mit mehreren Maschinen installieren wollen m ssen Sie auf allen Maschinen
156. mular 92 116 Konfigurationsprogramm Server Software 109 Konventionen xvi Kundenunterst tzung xvi L Liste der ausgestellten Zertifikate ICL 10 MACs f r CA S tze 10 f r Pr fs tze 13 in Schl sselspeichern KeyStores 22 Maschinentypen f r AIX empfohlen 30 f r Windows NT empfohlen 30 Masken f r Pr fereignisse 12 160 Massenausstellung von Zertifikaten Beschreibung 18 Migration Backup Dienstprogramm unter AIX 92 Backup Dienstprogramm unter Windows NT 117 N Nachrichtenunterzeichnung 21 Name TCP IP Host angeben 59 Netfinity Server 29 Netzsicherheit 40 O Objektspeicher 20 Offentlicher Web Server 44 P Physische Sicherheit 40 PKCS 12 Datei wiederherstellen 17 PKI Definition 18 PKIX Definition 19 PKIX CMP Zertifikate 6 Planungspr fliste Installation 34 Plattenpartitionen dbfsadt 62 dbfsibm 62 dbfskrb 62 dbfspkrf 62 f r den AIX Server 61 Plattenspeicherplatz f r AIX empfohlen 30 f r Windows NT empfohlen 30 Gr e Richtlinien 29 61 Policy Director 51 Private Erweiterungen 25 Version 3 Release 7 1 Produktpaket 55 Protokolle HTTP 44 HTTPS 44 LDAP 20 PKIX CMP 19 SSL 44 unter Tivoli PKI unterst tzt 23 Prozessoren f r AIX empfohlen 30 f r Windows NT empfohlen 30 Pr fen des Hostnamens 59 Pr fliste Installationsplanung 34 Pr flisten Installationsabschluss unter AIX 91 Installationsabschluss unter Windows NT 116 Pr fsubsystem archivieren 13 Datenbank 12 Ere
157. n Upgrade auf die vorl ufige Programmkorrektur PTF 4 durchzuf h ren 1 Legen Sie die CD von Tivoli PKI f r AIX in das CD ROM Lauf werk Ihres Systems ein Geben Sie den folgenden Befehl ein um die CD anzuh ngen mount cdrom 2 Geben Sie den folgenden Befehl ein um in das entsprechende Verzeichnis zu wechseln cd cdrom aix WebSphere Standard ptf4 3 Kopieren Sie alle WebSphere PTF4 Dateien von der CD in ein Verzeichnis auf Ihrem System auf das Sie ber Root Schreib berechtigung verf gen 4 Geben Sie den folgenden Befehl ein um das Script install sh auszuf hren install sh 5 Geben Sie das WebSphere Stammverzeichnis an wenn Sie vom System hierzu aufgefordert werden Standardm ig wird als Stammverzeichnis usr WebSphere AppServer verwendet 6 Geben Sie auf die entsprechende Systemanfrage hin die Antwort Ja auf die Frage ein ob Sie IHS WebServer PTF installieren wollen 7 Geben Sie den Stammverzeichnispfad f r das WebServer Doku ment an wenn Sie vom System hierzu aufgefordert werden Standardm ig wird das Verzeichnis ust HTTPServer htdocs en_US verwendet Best tigen Sie die Auswahl durch Eingabe von Ja Funktion f r automatisches Starten des IBM HTTP Server inaktivieren Zum Inaktivieren der Funktion f r das automatische Starten des IBM HTTP Server Dienstes m ssen Sie mit Root Berechtigung die folgen den Arbeitsschritte ausf hren Tivoli PKI Einf hrung 75 us1a jjejsu
158. n Staaten festlegen und verwalten Ihr geh ren Hersteller Verbraucher und allgemeine Interessenvertretungen an Anforderungs ID Ein aus 24 bis 32 Zeichen bestehender ASCII Wert der zur eindeutigen Identifika tion einer Zertifikatsanforderung gegen ber der RA dient Dieser Wert kann bei der Transaktion f r die Zertifikatsanforderung verwendet werden um den Status der Anforderung oder des zugeh rigen Zertifikats abzurufen ANSI American National Standards Institute Tivoli PKI Einf hrung 127 Jesso 5 128 Applet Art ASCH ASN 1 Ein in der Programmiersprache Java geschriebenes Computerprogramm das inner halb eines Java kompatiblen Webbrowsers ausgefiihrt werden kann Wird auch als Java Applet bezeichnet Siehe Objektart American National Standard Code for Information Interchange Abstract Syntax Notation One Asymmetrische Verschliisselung Ein Verschliisselungsverfahren das zur Ver und Entschliisselung unterschiedliche asymmetrische Schliissel verwendet Jedem Benutzer wird hierbei ein Schliisselpaar zugeordnet das einen allgemeinen f r alle zug nglichen Schl ssel und einen priva ten Schl ssel umfasst der nur dem jeweiligen Benutzer bekannt ist Eine gesicherte Transaktion kann ausgef hrt werden wenn der ffentliche Schl ssel sowie der zuge h rige private Schl ssel bereinstimmen In diesem Fall kann die Transaktion ent schl sselt werden Dieses Verfahren wird auch als Verschl sselung auf
159. n all gemeinen Namen CN ge ndert wird Der DN Basiswert f r den Zertifikatsaussteller CA den Sie w hrend der Konfiguration angegeben haben wird auch f r den von Ihnen ausgew hlten all gemeinen Namen CN angewendet Feldname Beschreibung Standardwert WS_RO_KEYSIZE Schl sselgr e f r den Schl sselring des Web Servers Die Optionen 0 3 die in der KeySize Aufz h lung definiert sind sind wie folgt zuge oO ordnet m 0 512 m 1 768 m 2 1024 m 3 2048 Version 3 Release 7 1 Feldname Beschreibung Standardwert APP_DN Der registrierte C US O Ihr Name DN der Unternehmen OU Registrierungsstelle RA von Tivoli PKI Sie k nnen lediglich den allgemeinen Namen CN ndern Tivoli PKI CN Tivoli PKI RA APP_CERT_LIFETIME Die in Monaten ange gebene Lebensdauer eines Nicht CA Zerti fikats z B eines Benutzer Server oder RA Zertifikats im System Der ange gebene Wert muss auch in den Dateien jonahca ini tpl und jonahra ini tpl defi niert werden 36 APP_LDAP _DIRADMIN _DN Der registrierte Name DN des Directory Administrators Sie konnen lediglich den allgemeinen Namen CN ndern C US O Ihr Unternehmen OU Tivoli PKI CN DirAdmin APP_COMM_PORT Tivoli PKI Einf hrung Der Kommunikations Port der zur Durch f hrung der Kommunikation zwi schen dem Geriist der Registrierungsfunktion und der Registrie
160. n anderes Dokument aufzurufen und anzuzeigen Diese Textsegmente werden als Hyperlinks bezeichnet Ruft der Leser diese anderen Dokumente auf stellt er zu diesen eine Hyperlink Verbindung her Hypertext Markup Language HTML Eine Formatierungssprache f r das Codieren von Web Seiten HTML basiert auf SGML Standard Generalized Markup Language Hypertext Transaction Protocol HTTP Ein Client Server Protokoll f r das Internet mit dem Hypertext Dateien im Web bertragen werden ICL Issued Certificate List Liste der ausgestellten Zertifikate Identit tsnachweis Vertrauliche Informationen die verwendet werden um beim Austausch von Daten w hrend der Authentifizierung die eigene Identit t zu belegen In Network Compu ting Umgebungen ist die am h ufigsten verwendete Form des Identit tsnachweises ein Zertifikat das von einem CA erstellt und unterzeichnet wurde IniEditor Bei Tivoli PKI ein Tool mit dem Konfigurationsdateien editiert werden k nnen Integrit t Ein System sch tzt seine Datenintegrit t wenn es die nderung dieser Daten durch nicht berechtigte Personen verhindert Im Gegensatz hierzu versteht man unter dem Schutz der Vertraulichkeit von Daten wenn verhindert wird dass diese unberechtig ten Personen zug nglich gemacht werden Integrit tspr fung Die Pr fung der Protokolleintr ge die f r Transaktionen mit externen Komponenten aufgezeichnet wurden 136 Version 3 Release 7 1 International Standard
161. n auf einer Platteneinheit angelegtes Repository f r permanente Objekte Es dient zum Spei chern von momentan ausgef hrten Transaktionen sowie Status informationen zu diesen Transaktionen Bei den Objekten kann es sich um aktive Steuerobjekte z B Zertifikate Anforderungen und CRLs oder um Ersatzobjekte handeln Als Ersatzobjekt bezeichnet man einen Bereich in dem Statusinformationen zu dem zugeh rigen Objekt gespeichert werden Da Objekte im Objektspeicher im ASN 1 Format gespeichert werden ist das Abrufen und Speichern relativ aufwendig Der Objektspeicher speichert nderungen an den Objekten im Cache und aktualisiert den Plattenspeicher erst dann wenn sich der Objektstatus ndert oder das Objekt durch eine Benutzerschnittstelle ge ndert wird Version 3 Release 7 1 Um den Aufwand durch die ASN 1 Syntaxanalyse so gering wie m glich zu halten verwendet Tivoli PKI f r den Objektspeicher eine bergeordnete Objekt Cache Schicht ber die die im Objektspeicher gespeicherten Objekte im Durchschreibmodus bergeben werden k nnen Hierdurch wird die Syntaxanalyse eines Objekts nur dann erforderlich wenn zum ersten Mal nach dem Serverneustart auf die ses verwiesen wird Die Objekt Cache Schicht bietet einen zus tzlichen Speicherbereich f r Objekte der keinen Plattenspeicherplatz belegt Tivoli PKI ver wendet diesen Bereich zum Speichern tempor rer sicherheits relevanter Daten wie z B des Kennworts durch das ein Vorab
162. nden Befehl ein um in das Verzeichnis Db2 auf der CD zu wechseln cd cdrom Db2 4 Geben Sie folgenden Befehl ein um das Script f r die Datenbankinstallation auszuf hren db2setup W hrend der Installation pr ft das Datenbankinstallations Script ob bereits eine vorherige Version von DB2 auf dem System installiert ist und ob auf der gew nschten Maschine gen gend Plattenspeicherplatz zur Verf gung steht Steht auf der Maschine nicht ausreichend Speicherplatz zur Verf gung wird der freie Speicherplatz f r das Dateisystem usr auf 400 MB erh ht 5 W hlen Sie DB2 UDB Enterprise Edition aus 6 W hlen Sie DB2 Produktnachrichten aus Tivoli PKI Einf hrung 65 uds91 2 SUl XIV Join Yd IIOAIL 7 66 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 W hlen Sie die gew nschte Sprache aus und klicken Sie anschlie end auf OK W hlen Sie DB2 Produktbibliothek aus W hlen Sie die gew nschte Sprache aus und klicken Sie anschlie end auf OK W hlen Sie OK aus W hlen Sie unter DB2 Services erstellen die Option DB2 Ex emplar erstellen aus Dr cken Sie die Eingabetaste Geben Sie als Benutzername die Zeichenfolge db2inst1 und als Benutzerverzeichnis das Verzeichnis home db2instl an bernehmen Sie f r alle anderen Werte die Standardein stellungen Geben Sie Werte f r das Kennwort und das Pr fkennwort ein W hlen Sie Merkmale aus Dr cken Sie die E
163. ne Angaben zur Eignung dieser Software f r bestimmte Zwecke Sie wird ohne Modifikationen und ohne Gew hrleistung bereitge stellt Dieses Programm enth lt STL Software STL Standard Template Library von Silicon Graphics Computer Systems Inc Copyright c 1996 1999 Die Berechtigung zum Verwenden Kopieren ndern Verteilen und Verkaufen dieser Software sowie der zugeh rigen Dokumentation f r die gew nschten Zwecke wird hier mit geb hrenfrei erteilt Voraussetzung hierf r ist allerdings da der o a Copyright vermerk auf allen Kopien erscheint und da sowohl dieser Copyrightvermerk als auch dieser Berechtigungshinweis in der zugeh rigen Dokumentation aufgef hrt werden Sili con Graphics macht keine Angaben zur Eignung dieser Software f r bestimmte Zwecke Sie wird ohne Modifikationen und ohne Gew hrleistung bereitgestellt Andere Namen von Unternehmen Produkten oder Dienstleistungen k nnen Marken oder Dienstleistungsmarken anderer Unternehmen sein Version 3 Release 7 1 Inhaltsverzeichnis NOUWOR 22er ee xi Ziels Upper ar ae EE dE EN xi Referenzinformationen 22 0 0 eee ees xii Inhalt des Handbuch xiv Neuerungen im aktuellen Release XV In diesem Handbuch verwendete Konventionen e xvi Kontaktaufnahme zur Kundenunterst tzung ssssssa saaana xvi Webinformationen zu Tivoli PKI 2222 eeneeene en xvii Kapitel 1 Tivoli PKI Einf hrung sssnssssnnnsssnn 1 T
164. ne Person zu verhindern sollten Kontrollen eingerichtet werden bei denen von mindestens zwei vertrau Version 3 Release 7 1 ensw rdigen Mitarbeitern die entsprechenden Identit tsnach weise vorgelegt werden m ssen Dar ber hinaus sollten Sie den Raum berwachen um zu protokollieren wann jemand den Sicherheitsbereich betritt und um wen es sich handelt Maximale Sicherheit kann durch die Installation von Bewegungsmeldern innerhalb des Raumes und vor der T r erreicht werden Kommunikationskontrolle Am Tivoli PKI Server sollten keine freien aktiven An schl sse zur Verf gung stehen Konfigurieren Sie das System so dass es nur an den Anschl ssen auf Anforderungen war tet die explizit aktiven Tivoli PKI Anwendungen zugeordnet sind Firewall Techniken verwenden IBM empfiehlt dringend die Installation einer Firewall wie beispiels weise IBM Firewall um das Tivoli PKI System gegen unbefugten Zugriff ber einen anderen Teil des Netzes zu sch tzen Eine Fire wall bietet die folgenden M glichkeiten f r den Schutz des Systems m Steuerung der Anwendungen die via Internet auf das interne Netz zugreifen k nnen m Steuerung der Adressen im internen Netz auf die eine berech tigte Anwendung zugreifen Kann m Verhinderung des Zugriffs interner Anwendungen auf das externe Netz Internet m Authentifizierung der Identit t der Quellen f r alle eingehenden Anforderungen und Genehmigung bzw Verweigerung des Zugriffs auf
165. ne hierarchische Struktur integriert Diese Struktur wird als Directory Informationsbaum struktur Directory Information Tree DIT bezeichnet Diese Verzeichnisbaumstruktur verf gt ber eine Root Ebene und eine beliebige Anzahl von weiteren untergeordneten Knoten Jeder Kno ten entspricht einem Directory Eintrag der durch ein DN Attribut identifiziert wird Das Directory erm glicht die Definition von Zugriffssteuerungsbe rechtigungen f r einzelne Eintr ge oder f r Eintr ge und ihre gesam ten Unterverzeichnisstrukturen Bei der Konfiguration von Tivoli PKI werden automatisch die entsprechenden Berechtigungen f r die ein zelnen DN Eintr ge von Tivoli PKI angewendet Hierbei gilt folgen des m Der CA muss auf alle Eintr ge zugreifen k nnen die sich in der Directory Hierarchie auf seinem DN Eingangspunkt oder darun ter befinden Bei Objekten auf der CA Basisebene bzw unter halb der CA Basisebene handelt es sich um Objekte die der Verwaltungsdom ne des CA zugeordnet sind Diese stellen die Entit ten dar die berechtigt sind ffentliche Schl ssel und Zerti fikate zu erhalten die vom CA zertifiziert wurden m Da der Tivoli PKI CA keine direkten Bindevorg nge f r das Directory ausf hrt verwendet er einen Agenten der als Directo ry Administrator bezeichnet wird Der Directory Administrator f hrt Anforderungen zwischen dem CA der RA und dem Direc tory aus Er ist berechtigt alle Eintr ge in der Unterverzeichnis
166. nehmensbereich und 2048 Bit f r extrem wertvolle Schl ssel wie z B CA Schl sselpaare angegeben Ein 768 Bit Schl ssel wird voraussichtlich bis min destens zum Jahr 2004 sicher sein Multipurpose Internet Mail Extensions MIME Eine frei verf gbare Gruppe von Spezifikationen die den Austausch von Text in Sprachen mit unterschiedlichen Zeichens tzen erm glicht Diese Spezifikationen unterst tzen auch den Austausch von Multimedia E Mail zwischen unterschiedlichen Computersystemen die Internet Mail Standards verwenden So k nnen E Mail Nachrichten beispielsweise andere Zeichens tze als den US ASCII Satz sowie erweiterten Text Bilder oder Tondaten enthalten Nachrichtenauszug Eine irreversible Funktion bei der auf der Basis einer Nachricht beliebiger L nge eine Datenmenge mit fester L nge generiert wird Bei MD5 handelt es sich z B um einen Nachrichtenauszugsalgorithmus Nachrichtenauthentifizierungscode MAC Ein geheimer Schl ssel der von Sender und Empf nger gemeinsam benutzt wird Der Sender authentifiziert sich und der Empf nger pr ft die hierbei zur Verf gung gestellten Daten Bei Tivoli PKI werden MAC Schl ssel f r CA und Pr fkompo nenten in den KeyStores gespeichert National Security Agency NSA NIST NLS NSA Objekt Die offizielle Sicherheitsbeh rde der US Regierung National Institute of Standards and Technology fr her NBS National Bureau of Standards Aufgabe dieses Instituts ist d
167. nen zum Ausf hren des Setup Wizard und zur Konfiguration des Tivoli PKI Systems finden Sie im Handbuch Tivoli PKI Konfiguration Client Voraussetzungen 32 Informationen dazu ob Ihre Workstation die Anforderungen zum Einsatz eines Browsers f r die Anforderung und Verwaltung von Zertifikaten erf llt finden Sie im Tivoli PKI Benutzerhandbuch Informationen dazu ob Ihre Workstation die Anforderungen zur Aus f hrung von Tivoli PKI RA Desktop erf llt finden Sie im Handbuch Tivoli PKI RA Desktop Version 3 Release 7 1 Tivoli PKI Planung Das vorliegende Kapitel enth lt Informationen zur interaktiven Kom munikation von Tivoli Public Key Infrastructure mit den Program men die f r den Betrieb des Systems erforderlich sind Vor der Installation der verschiedenen Softwareprodukte oder nm au tion des Systems sollten Sie die Pr fliste im Abschnitt eite 34 durcharbeiten een Sie sich SESCH haben dass alle in dieser Pr fliste aufgef hrten Voraussetzungen erf llt sind sollten Sie die restlichen Abschnitte dieses Kapitels lesen Es enth lt auch Richtlinien zur Vorbereitung der Betriebsumgebung f r den Einsatz von Tivoli PKI und behandelt die folgenden Themen m Vorgehensweise zum physischen Kichern des Systems und zum Schutz des Systems gegen unbefugten elektronischen Zugriff m Vorgehensweise zum Kon asnamen fiir den Web Server zum Unterst tzen der Firewall Anforderungen Ihres Unternehmens a nn von Tivoli P
168. nen zur Verwendung eines Webbrowsers f r die Zertifikatsregistrierung finden Sie im Tivoli PKI Benutzer handbuch Dieses Buch enth lt dar ber hinaus eine Beschreibung der Zertifikatstypen die mit der Standardinstallation von Tivoli PKI zur Verf gung stehen Verwaltung Mit dem Applet RA Desktop k nnen berechtigte Administratoren Registratoren Zertifikatsantr ge berpr fen Anforderungen geneh migen oder zur ckweisen Zertifikate erneuern und permanent oder tempor r widerrufen Das Applet unterst tzt die folgenden Aufgaben m Anstehende Registrierungsanforderungen abrufen m Die Registrierungsdatenbank abfragen um Datenbanks tze abzu rufen die bestimmten Kriterien entsprechen und um die entspre chenden Aktionen f r diese S tze auszuf hren m Detaillierte Informationen zu einem Zertifikat oder einer Zertifikatsanforderung berpr fen wie beispielsweise das Proto koll f r alle Aktionen die seit der ersten bergabe einer Anfor derung ausgef hrt wurden m Den G ltigkeitszeitraum f r ein Zertifikat definieren m Einen Datenbanksatz mit Anmerkungen versehen um eine Aktion zu begr nden Der RA Desktop ist ein sicheres Applet Ein Benutzer kann lediglich als berechtigter Registrator darauf zugreifen Tivoli PKI stellt ein Tool zur Verf gung durch das dieser Prozess vereinfacht wird Es Tivoli PKI Einf hrung Buniaynyuig Did HOAIL L kann eine beliebige Anzahl von Registratoren hinzugef gt werden
169. nfiguration Internet Ubertragungsprotokolle vor allem TCP IP und SSL Secure Sockets Layer e Verwaltung von Web Servern e PKI Technologie PKI Public Key Infrastructure ein schlie lich Directory Schemata X 509 Version 3 Standard und Lightweight Directory Access Protocol LDAP e Relationale Datenbanksysteme und hier insbesondere IBM DB2 Universal Database Referenzinformationen Die Tivoli PKI Produktdokumentation ist im PDF und HTML For mat auf der Tivoli Website verf gbar HTML Versionen f r einige Ver ffentlichungen werden zusammen mit dem Produkt installiert Auf diese kann ber die Benutzerschnittstellen zugegriffen werden Bitte beachten Sie dass seit der Ver ffentlichung dieser Dokumenta tionen m glicherweise nderungen am Produkt vorgenommen wur den Die neuesten Produktinformationen sowie Informationen zum Zugriff auf eine Ver ffentlichung in der gew nschten Sprache und im gewiinschten Format finden Sie in den Release Informationen Die neueste Version der Release Informationen ist auf der Website von unter folgender Adresse verfiig bar http www tivoli com support Zur Tivoli PKI Bibliothek geh ren die folgenden Dokumentationen Einf hrung Dieses Buch enth lt eine bersicht ber das Produkt Es lis tet die Produktvoraussetzungen auf enth lt die Installations xii Version 3 Release 7 1 Tivoli PKI Einf hrung prozeduren und bietet I
170. nformationen zum Zugriff auf die Online Hilfe die f r die einzelnen Produktkomponenten zur Verf gung steht Dieses Buch wird in gedruckter Form zusammen mit dem Produkt ausgeliefert Systemverwaltung Dieses Buch enth lt allgemeine Informationen zur Verwal tung des Tivoli PKI Systems Es umfasst Prozeduren f r das Starten und Stoppen der Server f r das ndern von Kenn w rtern das Verwalten der Server Komponenten die Durch f hrung von Pr foperationen sowie das berpr fen der Datenintegrit t Konfiguration Dieses Buch enth lt Informationen zur Verwendung des Setup Wizard f r die Konfiguration eines Tivoli PKI Sys tems Sie k nnen auf die HTML Version dieses Handbuchs zugreifen w hrend Sie die Online Hilfe f r den Setup Wizard anzeigen Registration Authority Desktop Dieses Buch enth lt Informationen zur Verwendung des RA Desktop f r die Verwaltung von Zertifikaten w hrend der gesamten G ltigkeitsdauer Sie k nnen auf die HTML Ver sion dieses Handbuchs zugreifen w hrend Sie die Online Hilfe f r den Desktop anzeigen Benutzerhandbuch Dieses Buch enth lt Informationen zum Abrufen und Verwal ten von Zertifikaten Es umfasst Prozeduren f r die Verwen dung der Browser Registrierungsformulare von Tivoli PKI f r das Anfordern Erneuern und Widerrufen von Zertifika ten Dar ber hinaus wird in diesem Buch beschrieben wie eine Vorabregistrierung f r PKIX kompatible Zertifikate durchgef hrt wird
171. nsportverfahren TCP IP es ist jedoch eine Abstraktionsebene oberhalb der Sockets Schicht vorhanden Dies erm glicht die Unterst tzung f r zus tzliche Daten bertragungsoperationen mit Sendeaufrufen Pol ling PKIX CMP PKIX Certificate Management Protocol PKIX Empfangseinheit Der ffentliche HTTP Server der von einer bestimmten Registrierungsdom ne ver wendet wird um Anforderungen der Client Anwendung von Tivoli PKI zu empfan gen Privacy Enhanced Mail PEM Der vom Internet Architect Board IAB genehmigte Internet Standard f r die ver besserte Wahrung der Vertraulichkeit der die sichere bertragung elektronischer Post E Mail ber das Internet erm glicht Die PEM Protokolle regeln Verschl sse lung Authentifizierung Nachrichtenintegrit t und Schl sselverwaltung Version 3 Release 7 1 Privater Schl ssel In einem Paar aus einem ffentlichen und einem privaten Schl ssel steht dieser Schl ssel nur f r seinen Eigner zur Verf gung Er erm glicht dem Eigner das Emp fangen einer privaten Transaktion oder eine digitale Unterschrift Die mit einem pri vaten Schl ssel unterzeichneten Daten k nnen nur mit dem entsprechenden ffentli chen Schl ssel gepr ft werden Gegensatz zu ffentlicher Schl ssel Siehe auch Schl sselpaar aus ffentlichem und privatem Schl ssel Protokoll Eine vereinbarte Konvention f r die Kommunikation zwischen Computern Protokollierungssubsystem Bei Tivoli PKI ein Subsystem das
172. nstallieren Der empfohlene Wert lautet cfguser in Ihrer Installation wurde jedoch m glicherweise ein anderer Wert gew hlt Wenn noch keine Datenbank f r das Direc tory erstellt wurde wird diese unter dem Exemplar mit dem Namen IdapInst generiert Zur Unterst tzung von Sicherungs und Wiederherstellungsope rationen erm glicht Tivoli PKI die Erstellung von Pr fprotokollen f r Registrierungs und Zertifizierungsereignisse Das Handbuch Tivoli PKI Systemverwaltung enth lt Richtlinien zur Archivierung der Pr fprotokolle sowie zum Sichern und Zur ckschreiben des Systems Zus tzliche Informationen zum Sichern und Zur ckschreiben der Datenbanken erhalten Sie beim zust ndigen DB2 Datenbank administrator IP Aliasnamen fur den Webserver konfigurieren 44 Das Datentr gerpaket von Tivoli Public Key Infrastructure ent halt die fiir Tivoli PKI erforderliche Web Server Software IBM WebSphere Application Server IBM HTTP Server sowie Sun Java Development Kit JDK Nach der Installation dieser Software k n nen Sie bestimmte Ports fiir die Verarbeitung ffentlicher und gesi cherter Anforderungen konfigurieren In einem Tivoli PKI System muss der Webserver die folgenden Anforderungstypen unterst tzen m Nicht SSL Anforderungen SSL Secure Sockets Layer oder ffentliche Anforderungen m Sichere SSL Anforderungen ohne Client Authentifizierung m Sichere SSL Anforderungen mit Client Authentifizierung In der Standard
173. ntliche Chiffrierschl ssel und Benutzerzertifikate f r die Authentifizie rung durch eine berechtigte Einzelperson oder ein berechtigtes Unternehmen zur Verf gung Er stellt Online Verzeichnisse bereit die die ffentlichen Chiffrierschl s Version 3 Release 7 1 sel und Zertifikate enthalten die zur berpr fung der digitalen Zertifikate Identi t tsnachweise sowie der digitalen Unterschriften verwendet werden PKI stellt au erdem Funktionen zur schnellen und effizienten Antwort auf Pr fabfra gen und Anforderungen f r ffentliche Chiffrierschl ssel bereit Der Standard dient dar ber hinaus zur Identifizierung potenzieller Sicherheitsl cken im System und zur Verwaltung von Ressourcen zur Bearbeitung von Sicherheitsverletzungen PKI bietet au erdem einen digitalen Zeitmarkenservice f r wichtige Unternehmenstrans aktionen RA Registration Authority Registrierungsstelle RA Desktop Ein Java Applet das den RAs eine Grafikschnittstelle f r die Verarbeitung von Anforderungen f r Identit tsnachweise und zur Verwaltung dieser Nachweise w h rend ihrer G ltigkeitsdauer zur Verf gung stellt RA Server Der Server f r die RA Komponente von Tivoli PKI RC2 Eine variable Schl sselgr en Block Cipher die von Ron Rivest f r RSA Data Security entwickelt wurde RC steht f r Ron s Code oder Rivest s Cipher Sie arbei tet schneller als DES und l st diese Block Cipher ab Durch die Verwendung geeig neter Schl sselgr
174. nutzerhandbuch zuzugreifen m ssen Sie die Website el unter folgender Adresse aufru http www tivoli com support 125 SHUUIS 94813 Z Anpassung Tivoli PKI bietet Ihnen flexible M glichkeiten zum Implementieren von Registrierungsprozessen in Ihrem Unternehmen Sie k nnen mit diesem Produkt z B die folgenden Aktivit ten steuern m Die Darstellung der Browserregistrierungsformulare sowie die hierbei verwendete Sprache m Zertifizierungsregeln m Inhalt von Benachrichtigungsbriefen die an Benutzer gesendet werden die sich f r Zertifikate registrieren lassen m Regel Exits zur Steuerung verschiedener automatischer Verarbeitungsoperationen Das Handbuch Tivoli PKI Anpassung enth lt eine Beschreibung der verschiedenen M glichkeiten die bei der Anpassung der Registrierungsfunktion zur Verf gung stehen und umfasst Folgendes m Taskorientierte Informationen wie z B Anweisungen zum Hin zuf gen eines Registrierungsfeldes oder zum Andern eines Zertifikatsprofils m Konzeptionelle Informationen wie z B eine Erl uterung zur Vorabregistrierung zu Unternehmensregeln oder zur Zugriffs steuerung m Referenzinformationen wie beispielsweise eine detaillierte Beschreibung der Zertifikatstypen und der Konfigurationsdatei der Registrierungsfunktion site von Livoli Public Key Infrastructure unter folgender Adresse aufrufen http www tivoli com support 126 Version 3 Release 7 1 Glossar In diesem Glossa
175. nzelnen Steuerungspunkt f r Web Umgebungen zur Verf gung Wenn ein Benutzer versucht auf eine sichere Site zuzugreifen kann der Policy Director eine separate Anmeldung f r jeden Web Benutzer anfordern die Identit t des Benutzers authentifizieren und die Berechtigung des Benutzers f r den Zugriff auf einen gesch tzten Bereich berpr fen Der Policy Director kann so konfiguriert werden dass er als Teil dieses Pr fungsvorgangs Tivoli PKI Zertifikate auswertet So k nnen Sie den Policy Director beispielsweise so konfigurieren dass er lediglich die Zertifikate akzeptiert die von einem zuverl ssigen CA unter zeichnet wurden d h von einem CA der dem Policy Director bekannt ist Indem Sie dem Policy Director ein Tivoli PKI CA Zerti fikat zur Verf gung stellen k nnen Sie problemlos eine Sperre zwi schen nicht berechtigten Benutzern und den Ressourcen einrichten die gesch tzt werden m ssen Informationen zur Verwendung der Tivoli PKI Zertifikate in einer Policy Director Umgebung finden Sie im IBM Redbook Tivoli Secu reWay Policy Director Centrally Managing e business Security IBM Form SG24 6008 00 Tivoli PKI kann durch den Einsatz von BPOs Unternehmens prozessobjekten so angepasst werden dass eine weitere Integration mit dem Policy Director erzielt werden kann Es ist z B m glich ein BPO zu schreiben mit dem nach der Genehmigung einer Zertifikatsanforderung eine Policy Director Benutzer ID erstellt wer den kann A
176. on mit Client Systemen oder Endentit ten in einer anderen Dom ne Gesicherte Computerbasis TCB Die Software und Hardwareelemente die zur Umsetzung der Computersicherheits regeln eines Unternehmens verwendet werden Alle Elemente oder Teilelemente die zur Implementierung der Sicherheitsregeln eingesetzt werden k nnen sind sicherheitsrelevant und Bestandteil der TCB Bei der TCB handelt es sich um ein Objekt das durch die Sicherheitsperipherie begrenzt wird Die Mechanismen die zur praktischen Umsetzung der Sicherheitsregeln eingesetzt werden d rfen nicht umgangen werden k nnen und m ssen verhindern dass Programme Zugriff auf Systemprivilegien erlangen k nnen f r die sie nicht berechtigt sind Hierarchie Die Organisation von Zertifikatsausstellern CAs innerhalb einer Trust Kette Diese beginnt mit einem selbst unterzeichnenden CA oder bergeordneten Root CA der sich an der h chsten Position befindet und endet mit dem CA der Zertifikate f r Endbenutzer ausstellt H chster CA Der CA der innerhalb der PKI CA Hierarchie die h chste Position einnimmt HTML Hypertext Markup Language Tivoli PKI Einf hrung 135 Jesso 5 HTTP Hypertext Transaction Protocol HTTP Server Ein Server der die Web gest tzte Kommunikation mit Browsern und anderen Pro grammen im Netz steuert Hypertext Textsegmente die einzelne oder mehrere W rter umfassen oder Bilder enthalten auf die der Leser mit der Maus klicken kann um ei
177. ows Runtime Wl Wl Wl Wl Wl Wl Wl Wl Wl Wl P P PP PPP PPP PPP PPP PPP PPP HHH Ww w w w w w w w Lu w lo w w w w w w w w w w w w ww Www ww w w w w in Ww w amp amp Ww w w w w w w w w w w w EE ECKER 59 us1a jjejsul XIV Join Did IIOAIL 7 60 X11 apps util 4 3 3 0 COMMITTED AlXwindows Utility Xl1 apps xterm 4 3 3 0 COMMITTED AlXwindows xterm Application X11 base common 4 3 3 0 COMMITTED AIXwindows Runtime Common X11 base lib 4 3 3 0 COMMITTED Al windows Runtime Libraries X11 base rte 4 3 3 0 COMMITTED Al windows Runtime Environment X11 base smt 4 3 3 0 COMMITTED AlXwindows Runtime Shared X11 compat 1ib X11R5 4 3 3 0 COMMITTED AlXwindows X11R5 Compatibility X11 fnt coreX 4 3 0 0 COMMITTED AlXwindows X Consortium Fonts X11 fnt defaultFonts 4 3 2 0 COMMITTED AlXwindows Default Fonts X11 fnt isol 4 3 3 0 COMMITTED AlXwindows Latin 1 Fonts Xll motif lib 4 3 3 0 COMMITTED AlXwindows Motif Libraries X11 moti f mwm 4 3 3 0 COMMITTED Al windows Motif Window ifor_Is base cli 4 3 3 0 COMMITTED License Use Management Runtime ifor_ls client base 4 3 3 0 COMMITTED License Use Management Client ifor_ls client gui 4 3 3 0 COMMITTED License Use Management Client ifor_ls msg en_US base cli ifor_ls base cli 4 3 3 0 COMMITTED License Use Management Runtime ifor_ls client base 4 3 3 0 COMMITTED License Use Management Client x1C cpp 4 3 0 1 COMMITTED C for AIX Preprocessor Java rte bin 1 1 8 0 COMMITTED Java Runti
178. pt mit dem Namen createconfig _Start sql verwendet das Standardwerte in die Konfigurations datenbank l dt und in der Datenbanktabelle ConfigDataTbl Defini tionen f r Datenbanktabellen erstellt Diese Tabelle enth lt die Daten f r die Systemkonfiguration aller Tivoli PKI Komponenten Ver schiedene Werte in diesem SQL Script K nnen nach dem Starten des Konfigurationsprozesses nicht mehr ge ndert werden Tivoli PKI Einf hrung 111 usaa jelsul IN SMOPUIM Jun Pid HOAIL S 112 Anmerkung In kritischen Situationen in denen ein Standardwert zu Problemen in der Betriebsumgebung f hren w rde k nnen Sie vor der Konfiguration auch die Schablo nendateien von Tivoli PKI ndern Wenn Sie weitere Informationen hierzu ben tigen wenden Sie sich bitte an den zust ndigen IBM Ansprechpartner Wenn Sie einen Boot Wert ndern wollen m ssen Sie die Datei cre ateconfig_start sql editieren Diese Datei wird standardm ig im Verzeichnis c Program Files IBM Trust Authority bin gespeichert Verwenden Sie die folgende Tabelle als Richtlinie f r die Durchf h rung von nderungen m Bei Windows NT k nnen die Werte f r DATABASE PATH NAME nicht ge ndert werden m Die registrierten Namen DNs f r die Tivoli PKI Registrie rungsstelle den Directory Administrator und das Pr fsubsystem sind f r den Benutzer transparent Wenn Sie diese ndern wol len m ssen Sie darauf achten dass nur das Attribut f r de
179. r ein anderer Hardwarefehler auftritt geht der CA bzw RA Unterschriftsschl ssel verloren m Wenn der CA oder RA Schl ssel verloren geht oder besch digt wird m ssen Sie den CA bzw die RA schlie en und mit einem neuen Schl ssel erneut starten W hrend der CA oder die RA nicht verf gbar sind k nnen Benutzer deren Zertifikate vom CA bzw von der RA unterzeichnet wurden diese nicht verwenden da sie nicht gepr ft werden k nnen m Da die Zertifikate die mit dem urspr nglichen Schl ssel des CA oder der RA unterzeichnet wurden nicht mehr g ltig sind m s sen nach dem erneuten Einrichten des CA oder der RA neue Zer tifikate ausgestellt werden die mit dem neuen CA bzw RA Schl ssel unterzeichnet sind Weitere Informationen zum IBM 4758 PCI Cryptographic Coproces sor finden Sie im Handbuch Tivoli PKI Systemverwaltung Integration mit dem Policy Director Der Tivoli Policy Director bietet umfassende Endpunkt zu Endpunkt Sicherheitsfunktionen f r Ressourcen die in Intranets und Extranets ber gr ere Entfernungen hinweg verteilt sind Er enth lt umfas sende Unterst tzung f r die Authentifizierung Berechtigung Daten sicherheit und Ressourcenverwaltung Durch die Integration des Policy Director in Tivoli PKI k nnen Sie eine sichere durch Zertifi kate gesch tzte Umgebung f r Ihre e business Aktivit ten erstellen Tivoli PKI Einf hrung 51 Bunueid d HOAIL E 52 Der Policy Director stellt einen ei
180. r werden alle Termini und Abk rzungen definiert die in diesem Handbuch verwendet werden und die m glicherweise neu oder unbekannt und von Bedeutung sind Abstract Syntax Notation One ASN 1 Eine ITU Notation die zum Definieren der Syntax von Informationsdaten benutzt wird Sie definiert eine Reihe einfacher Datentypen und gibt eine Notation f r die Identifizierung dieser Typen und die Angabe von Werten f r diese Typen an Diese Notationen k nnen verwendet werden wenn es erforderlich ist die abstrakte Syntax von Informationen zu definieren ohne damit die Art der Verschl sselung dieser Informationen f r die bertragung zu beeintr chtigen ACL Access Control List Zugriffssteuerungsliste Aktionsprotokoll Die Aufzeichnung aller Ereignisse die w hrend der gesamten G ltigkeitsdauer eines Identit tsnachweises aufgetreten sind American National Standard Code for Information Interchange ASCH Der Standardcode der f r den Austausch von Informationen zwischen Datenverarbeitungssystemen DFV Systemen und zugeh riger Hardware verwendet wird ASCH verwendet einen codierten Zeichensatz der aus Zeichen von 7 Bit L nge bzw 8 Bit bei Parit tspr fung besteht Der Zeichensatz besteht hierbei aus Steuerzeichen und Schriftzeichen American National Standards Institute ANSI Eine Organisation die die Verfahrensweisen definiert mit deren Hilfe akkreditierte Organisationen freiwillig eingehaltene Industriestandards in den Vereinigte
181. registrierungssatz gesch tzt wird Der Objekt Cache kann auch zum Sperren von Datensatzobjekten verwendet werden um den gleichzei tigen Zugriff durch mehrere Threads zu verhindern Trust Modell Die Sicherheit in einem Tivoli PKI System wird durch die Code und Nachrichtenunterzeichnung die Datenverschl sselung sowie das sichere Speichern von Schl sseln und Kennw rtern gew hrleistet Codeunterzeichnung Der Hauptcode von Tivoli PKI wird bei der Herstellung unterzeich net Wenn der Code werksseitig mit einem privaten Schl ssel unter zeichnet wird wird er als statisches gesch tztes Objekt definiert Er kann nicht ge ndert oder ersetzt werden ohne dass dies festgestellt werden kann Andere Codeobjekte k nnen den entsprechenden ffentlichen Schl ssel und die interne Pr fbibliothek verwenden um die Kommunikation zu authentifizieren bevor ein Datenaustausch stattfindet Nachrichtenunterzeichnung Um noch weiter reichende Authentifizierungsservices zur Verf gung zu stellen werden durch den Konfigurationsprozess Unterschrifts schl ssel f r den RA CA und Pr fserver generiert Hierdurch kann sichergestellt werden dass alle Kommunikationsoperationen zwi schen den einzelnen Komponenten nur mit einer entsprechenden Unterschrift ausgef hrt werden k nnen So k nnen beispielsweise Tivoli PKI Einf hrung 21 Buniaynyuig Did HOAIL L alle Nachrichten die zwischen der RA und dem CA ausgetauscht werden auf der Basis
182. rungen SSL erstellt eine Sitzung in der die Austauschsignale zum Herstellen der Kommunikation zwi schen zwei Modems nur einmal gesendet werden m ssen Anschlie end wird die Kommunikation verschl sselt und die Nachrichtenintegrit t wird solange berpr ft bis die SSL Sitzung abgelaufen ist 1 In einem Netz eine Datenstation die anderen Stationen Funktionen zur Verf gung stellt wie beispielsweise ein Datei Server 2 In TCP IP ein System in einem Netz das die Anforderungen eines Systems an einem anderen Standort verarbeitet Dieses Konzept wird als Client Server Modell bezeichnet Server Zertifikat Servlet SET Ein digitales Zertifikat das von einem CA ausgegeben wird und es einem Web Ser ver erm glicht SSL gest tzte Transaktionen auszuf hren Wenn ein Browser ber das SSL Protokoll eine Verbindung zum Server herstellt sendet der Server seinen ffentlichen Schl ssel an den Browser Hierdurch kann die Identit t des Servers authentifiziert werden und es k nnen verschl sselte Daten an den Server gesendet werden Siehe auch CA Zertifikat Digitales Zertifikat und Browserzertifikat Ein Server Programm das zus tzliche Funktionen f r Server zur Verf gung stellt die Java unterst tzen Secure Electronic Transaction Version 3 Release 7 1 SGML Standard Generalized Markup Language SHA 1 Secure Hash Algorithm Ein von NIST und NSA entwickelter Algorithmus der beim DSS Digital Signature Standard verwende
183. ry Software installieren 222222 auare Javas nstallieren EE WebSphere Application Server Datenbank erstellen Webserversoftware installieren 2 0 ee nn WebSphere Application Server installieren Upgrade f r WebSphere Application Server ausf hren Funktion f r automatisches Starten des IBM HTTP Server inaktivieren WebSphere Application Server starten IBM 4758 PCI Cryptographic Coprocessor installieren Tivoli PKI installieren erc 0 eee KeyWorks installieren 2 222222 ee eee Serversoftware installieren 2 2 2222 eee eee Richtlinien f r die Installation auf mehreren Maschinen Bootwerte ndern 2 eek 000 0 nen nn Konfigurationsprogramm f r den Installationsabschluss ausf hren Tivoli PKI Einf hrung 90 vii Pr fliste f r den Installationsabschluss 2222 c cn 91 Backup Dienstprogramm ausf hren 1 2 ee 92 Kapitel 5 Tivoli PKI unter Windows NT installieren 95 Windows NT konfigurieren 0 0 00 0000s 96 Datenbanksoftware installieren 2 eee 99 Webserversoftware installieren 2 2 eee 101 JDK installieren ssc 4 34 6 doh Gsee edt bees ken 101 IBM HTTP Server mstalleren oocicsesiocicusciassecaesi 102 WebSphere Application Server installieren 0 104 IP Aliasnamen definieren es 2 0 0 0 aao a aa eee eee 105 IBM Directory installieren 2 0 0
184. s tzliche Informationen zum IBM 4758 PCI Cryptographic Coprocessor Version 3 Release 7 1 fr Empfehlung Der IBM 4758 PCI Cryptographic Coprocessor ist zwar keine erforderliche Komponente es wird jedoch von IBM empfohlen ihn auf demselben Server zu installieren auf dem auch der Zertifikatsaussteller installiert werden soll Wenn Sie f r den Schutz der CA Schl ssel die Softwareverschl sselung verwen den k nnen Sie die Hardwareunterst tzung nicht zu einem sp teren Zeitpunkt installieren ohne die Tivoli PKI Software ebenfalls erneut zu installieren Funktion zur Schl sselsicherung und wiederherstel lung Tivoli PKI stellt eine Funktion bereit mit der Anforderungen zum Sichern und Wiederherstellen von Schl sseln verarbeitet werden k n nen Mit dieser Funktion k nnen Endentit tszertifikate sowie entspre chende von Tivoli PKI zertifizierte private Schl ssel gesichert und wiederhergestellt werden Diese Funktion erm glicht die Wiederherstellung verlorener verges sener oder aus anderen Gr nden nicht mehr verf gbarer Zertifikate und privater Schl ssel Beispiel Ein Mitarbeiter ist f r die routine m ige Erstellung von Sicherungskopien f r Zertifikate und private Schl ssel verantwortlich und scheidet unvorhergesehener Weise aus dem Unternehmen aus Hierbei vers umt er alle privaten Schl ssel zur ckzugeben die f r den Zugriff auf die Zertifikate erforderlich sind Durch die Ausgabe einer Wieder
185. s Organization ISO Eine internationale Organisation die sich mit der Entwicklung und Ver ffentlichung von Standards befasst International Telecommunication Union ITU Eine internationale Organisation in der Verwaltungs und private Industriebereiche globale Datenfern bertragungsnetze und services koordinieren Bei der Ver ffentli chung von Informationen zur Datenfern bertragungstechnologie sowie den entspre chenden Regelwerken und Standards nimmt sie eine f hrende Position ein Interne Struktur Siehe Schema Internet Ein weltweiter Verbund von Netzen die die elektronische Verbindung zwischen Computern und die Kommunikation zwischen den Computern ber Softwareein richtungen wie elektronische Post E Mail oder Web Browser erm glichen So sind beispielsweise die meisten Universit ten in ein Netz eingebunden das seinerseits eine Verbindung zu anderen hnlichen Netzen hat die zusammen das Internet bil den Internet Engineering Task Force IETF Eine Gruppe die sich schwerpunktm ig mit dem Entwickeln und Definieren von Protokollen f r das Internet befasst Sie repr sentiert eine internationale Gruppe von Netzdesignern bedienern herstellern und forschern Die Aufgabe der IETF ist die Entwicklung der Internet Architektur sowie die Gew hrleistung der reibungslosen Verwendung des Internets Intranet Ein Netz innerhalb eines Unternehmens das sich im Allgemeinen hinter Firewalls befindet Es basiert auf dem Internet
186. schl sselung das auf der Verwendung eines gemeinsa men Schl ssels auf einem nicht gesicherten Medium basiert und nach seinen Erfin dern Whitfield Diffie und Martin Hellman benannt wurde Digitales Zertifikat Ein elektronischer Identit tsnachweis der von einer zuverl ssigen Stelle f r eine Person oder Entit t ausgestellt wird Jedes Zertifikat ist mit dem privaten Schl ssel des CAs unterzeichnet Es b rgt f r die Identit t einer Person eines Unternehmens oder einer Organisation Abh ngig vom Aufgabenbereich des CAs kann das Zertifikat die Berechtigung sei nes Inhabers best tigen e Business Transaktionen ber das Internet auszuf hren In gewisser Weise hat ein digitales Zertifikat eine hnliche Funktion wie ein F hrer schein oder ein Meisterbrief Es best tigt dass der Inhaber des entsprechenden pri vaten Schl ssels berechtigt ist bestimmte e Business Aktivit ten auszuf hren Ein Zertifikat enth lt Informationen ber die Entit t die von ihm zertifiziert wird gibt an ob es sich um eine Person eine Maschine oder ein Computerprogramm handelt und enth lt als Teil dieser Informationen den zertifizierten ffentlichen Schl ssel dieser Entit t Digitale Unterschrift Eine codierte Nachricht die an Dokumente oder Daten angef gt wird und die Iden tit t des Absenders nachweist Eine digitale Unterschrift gew hrleistet ein h heres Ma an Sicherheit als eine phy sische Unterschrift da es sich hierbei nicht
187. site von abrufen Anmerkung Bei den wichtigsten Prozeduren in diesem Kapitel wird davon ausgegangen dass Sie Tivoli PKI zum ersten Mal installieren Vor der Installation von Tivoli PKI sollten Sie unbedingt eine Sicherungskopie Ihrer Datendateien erstellen Informationen zur Erstellung von Sicherungskopien f r Ihre Datendateien finden Sie im Abschnitt g F hren Sie nach dem Backup ber die Befehlszeile das Programm CfgUnInstall aus und setzen Sie anschlie end die Installation von Tivoli PKI fort R Die o KUD nsinroeramm a D D AU Tivoli PKI Einf hrung 95 usaa jelsul IN SMOPUIM Jun Pid HOAIL S Installieren Sie die Software f r Tivoli PKI in der folgenden Reihen folge 1 Betriebssystem Microsoft Windows NT Version 4 0 mit Service Pack 5 2 Tivoli PKI Datenbank Software IBM DB2 Universal Database f r Tivoli PKI Sun Java Development Kit JDK ab Version 1 1 6 4 IBM HTTP Server IHS Version 1 3 3 1 einschlie lich Global Services Kit GSK 5 IBM WebSphere Application Server Version 2 0 3 1 6 IBM Directory Server Version 3 1 1 7 Tivoli PKI Serversoftware einschlie lich der zentralen Server TC Konfiguration mit mehreren Maschinen programme und Installations Images f r die Client Anwendung und RA Desktop Wenn nicht die gesamte Server Software auf einer Maschine installiert werden soll m ssen Sie die folgenden Prozeduren zur Installation von Windows NT und der Datenbanksoftware
188. stem ein best tigen Sie dieses und klicken Sie anschlie end auf Weiter 1 Klicken Sie im Fenster zur Auswahl des Zielverzeichnisses auf Weiter j Klicken Sie im Fenster mit den ausgew hlten Installations optionen auf Weiter k Klicken Sie im n chsten Fenster auf OK um mit der Installa tion des Produktes zu beginnen Anmerkung Die Ausf hrung dieses Schrittes kann mehrere Minuten dauern l Klicken Sie im Fenster f r den Installationsabschluss auf die Option f r Beenden 5 Geben Sie die folgenden Befehle ein um den WebSphere Daten tr ger abzuh ngen Wenn Sie diesen Befehl eingeben kann kein Prozess auf Teile der Verzeichnisbaumstruktur von cdrom zugreifen cd umount cdrom Nach Abschluss dieser Arbeitsschritte sind die folgenden Dateien installiert IBMWebAS IBMWebAS IBMWebAS base IBMWebAS IBMWebAS IBMWebAS IBMWebAS 74 base base base base base base IBMApache ITJ Info WASicon admin samples server tivoli ww WW WE w D Om mo OO om CO COOC CH CH COOC COMMITTED COMMITTED COMMITTED COMMITTED COMMITTED COMMITTED COMMITTED IBMWebAS IBMWebAS IBMWebAS base IBMWebAS IBMWebAS IBMWebAS IBMWebAS base base base base base base IBMApache ITJ Info WASicon admin samples server tivoli Version 3 Release 7 1 Upgrade f r WebSphere Application Server ausf hren Gehen Sie wie folgt vor um f r WebSphere Application Server eine
189. t der Taste F7 k nnen Sie die zu installierenden Dateien ausw hlen Dateiname Komponente Beschreibung tpki srvr ra RA Server Installation der RA Serversoftware einschlie lich aller Dateien die f r die Registrierungsfunktion erforderlich sind Version 3 Release 7 1 Dateiname Komponente Beschreibung tpki srvr ca CA und Installation der CA und Pr fserver Pr fsubsystemprogramme tpki srvr core Tivoli PKI Installation der wichtigsten Tivoli PKI Bibliotheken tpki srvr ic Installations Installation der Installations Tools von Tools Tivoli PKI tpki srvr icg Grafische Installation der grafischen Benutzer Installationsbenutzerschnittstelle GUI schnittstelle von Tivoli PKI GUTI f r die Installation RADInst exe RA Desktop Installation eines Installations Images fiir das RA Desktop Applet von Tivoli PKI nur Windows NT 11 Nach Beendigung dieser Arbeitsschritte ist die Tivoli PKI Instal lation abgeschlossen Geben Sie die folgenden Befehle ein um das CD ROM Laufwerk abzuh ngen cd umount cdrom Nach Abschluss dieser Arbeitsschritte sind die folgenden Dateien installiert tpki srvr ca tpki srvr core tpki srvr ic tpki srvr icg tpki srvr ra tpki doc cfg tpki doc rad tpki doc usr Tivoli PKI Einf hrung w N w N Www w d d d 1 0 COMMITTED IBM Trust Authority 1 0 COMMITTED IBM Trust Authority Core Files 1 0 COMMITTED IB
190. t Definitionen der in diesem Hand buch verwendeten Termini und Abk rzungen die m glicher weise neu oder unbekannt und von Bedeutung sind Version 3 Release 7 1 Neuerungen im aktuellen Release Tivoli PKI 3 7 1 umfasst die folgenden neuen Einrichtungen und Funktionen m Massenzertifikatsausstellung BCI Diese Funktion dient zur Bereitstellung eines sicheren Verfahrens f r authentifizierte Benutzer mit dessen Hilfe diese mehrere digitale Zertifikate ber einen einzigen Tivoli PKI Aufruf anfordern k nnen Certificate Management Protocol CMP Version 2 Durch diesen Upgrade auf CMP Version 2 wird fiir Tivoli PKI eine ver besserte Zuverl ssigkeit bei CMP Statustransaktionen sowie ein h heres Sicherheitsniveau erzielt als dies unter der zuvor in Tivoli PKI implementierten CMP Version 1 m glich war Rollover von Root CA Schl sseln Diese Funktion erm glicht dem Zertifikatsaussteller CA die Umstellung von einem nicht besch digten CA Schl sselpaar auf das n chste CA Schl ssel paar Diese Operation wird auch als Aktualisierung des CA Schl ssels bezeichnet Kompatibilit t zu LDAP Version 3 Diese Funktion dient zur Gew hrleistung der Schemakompatibilit t mit LDAP Light weight Directory Access Protocol Version 3 Sie bietet insbeson dere die M glichkeit mit Hilfe des in RFC 2256 definierten Directory Schemas Attribute unter LDAP zu publizieren Die auf PKIX LDAP Version 2 basierenden Schemata werden weit
191. t wird Der Standard wird als Secure Hash Standard bezeichnet SHA ist der Algorithmus der von diesem Standard verwendet wird Er generiert einen 160 Bit Hash Code Sicherheitsdom ne Eine Gruppe z B Unternehmen Arbeitsgruppe Projektteam deren Zertifikate vom gleichen CA zertifiziert wurden Benutzer die ber ein von einem CA unter zeichnetes Zertifikat verf gen k nnen der Identit t eines anderen Benutzers ver trauen der ein Zertifikat besitzt das vom selben CA unterzeichnet worden ist Sicherungsmodell Eine Organisationskonvention die regelt wie Zertifikatsaussteller CAs andere Zertifikatsaussteller zertifizieren k nnen Simple Mail Transfer Protocol SMTP Ein Protokoll mit dem elektronische Post ber das Internet bertragen wird Site Zertifikat Dieser Zertifikatstyp ist mit einem CA Zertifikat vergleichbar gilt jedoch nur f r eine bestimmte Website Siehe auch CA Zertifikat Smart Card Eine Hardwarekomponente normalerweise in der Gr e einer Kreditkarte auf der die digitalen Schl ssel eines Benutzers gespeichert werden k nnen Eine Smart Card kann kennwortgesch tzt werden S MIME Ein Standard der das Unterzeichnen und Verschl sseln von elektronischer Post E Mail unterst tzt die ber das Internet bertragen wird Siehe MIME SMTP Simple Mail Transfer Protocol SSL Secure Sockets Layer Standard Generalized Markup Language SGML Ein Standard zur Beschreibung von Formatierungssprachen
192. tallations prozeduren auf den gew nschten Maschinen wiederholen bis alle Server Komponenten installiert sind Wenn Sie das RA Desktop Applet installieren wollen m ssen Sie zuerst ein Installationsimage installieren Anschlie end muss das Image verteilt oder ber das Netz zur Verf gung gestellt werden damit die Benutzer das Installationsprogramm ber eine lokale Windows Maschine ausf hren k nnen Instruktionen zum Installieren Konfigurieren und Deinstallieren dieser Programme finden Sie in der Ver ffentlichung Tivoli PKI RA Desktop Wenn Sie das System nach der Installation der Softwarevoraus setzungen nicht erneut gestartet haben m ssen Sie jetzt einen Neustart durchf hren Stellen Sie sicher dass die Umgebungs variablen korrekt definiert sind bevor Sie Tivoli PKI installieren Verwenden Sie PING oder ein anderes Netzkonnektivit ts Tool um zu berpr fen ob die Host Namen und IP Adressen g ltig und auf dem DNS Server Ihres Netzes definiert sind Version 3 Release 7 1 Serversoftware installieren Gehen Sie wie folgt vor um die Serversoftware zu installieren 1 Tivoli PKI Einf hrung Melden Sie sich bei Windows NT mit dem Benutzernamen und dem Kennwort an die Sie f r diesen Zweck definiert haben normalerweise cfguser Falls erforderlich lesen Sie die Infor mationen im Abschnitt ere e Beenden Sie alle aktiven Programme Legen Sie die CD von Tivoli Public Key Infrastructure f r AIX und NT
193. tei htt pd conf erstellt die das Starten des Webservers mit den f r Tivoli PKI erforderlichen Parametern erm glicht Es bereitet dar ber hinaus den Web Server f r die Ausf hrung des Konfigurations Applets vor erstellt einen Benutzereintrag f r die Tivoli PKI Konfiguration cfg user sowie die Konfigurationsdatenbank und f llt die Datenbank mit den Standardkonfigurationsdaten Gehen Sie wie folgt vor um das Konfigurationsprogramm f r den Installationsabschluss auszuf hren 1 Melden Sie sich als Root an und geben Sie hierzu den folgenden Befehl ein su root 2 Geben Sie den folgenden Befehl ein um in das entsprechende Verzeichnis zu wechseln cd usr Ipp iau bin 3 Geben Sie den folgenden Befehl ein CfgPostInstall i Version 3 Release 7 1 4 Definieren Sie wenn Sie vom System hierzu aufgefordert wer den das Kennwort f r den Benutzereintrag cfguser und best ti gen Sie dieses 5 Definieren Sie wenn Sie vom System hierzu aufgefordert wer den das Kennwort f r das Steuerprogramm und best tigen Sie dieses 6 W hlen Sie als Name f r das DB2 Exemplar db2inst1 aus Geben Sie den Wert 1 ein der dem Namen db2inst1 zugeordnet ist Anmerkung Die Ausf hrung dieses Schrittes kann mehrere Minu ten dauern Pr fliste f r den Installationsabschluss Verwenden Sie die folgenden Pr fliste um sicherzustellen dass alle Voraussetzungen erf llt sind um mit der Konfiguration von Tivol
194. tem AIX Version 4 3 3 2 Wartungsstufe 6 des Betriebssystems AIX mit anschlie endem Warmstart der Maschine IBM DB2 Universal Database Version 6 1 Fix Pack 4 4 IBM Directory Server Version 3 1 1 5 IBM Developer Kit f r AIX Java Technology Edition Version 1 2 2 PTF 8 6 IBM WebSphere Application Server Standard Edition Version Ee 7 F hren Sie ein Upgrade f r IBM WebSphere Application Server Standard Edition Version 3 5 PTF 4 durch Tivoli PKI Einf hrung 57 us1a jjejsul XIV Join Did IIOAIL 7 8 ktivieren Sie die IBM HTTP Server 9 Starten Sie WebSphere Application Server 10 IBM KeyWorks Version 1 1 3 1 11 Tivoli PKI Serversoftware AIX konfigurieren 58 Gehen Sie anhand der folgenden Richtlinien vor wenn Sie die AIX Software auf der Maschine bzw den Maschinen installieren auf der denen die Tivoli PKI Software installiert werden soll Wenn Sie AIX bereits installiert haben k nnen Sie diese Richtlinien als Pr fliste verwenden um sicherzustellen dass alle Dateien installiert wurden die f r die Tivoli PKI Komponenten erforderlich sind Wenn Sie Tivoli PKI in einer Konfiguration mit mehreren Maschinen installieren wollen m ssen Sie auf allen Maschinen auf denen eine Server Komponente von Tivoli PKI installiert werden soll zuerst AIX installieren Gehen Sie wie folgt vor um den Installationsprozess zu starten 1 F hren Sie eine Neuinstallation Neu installieren und ber schre
195. tory Server in das CD ROM Laufwerk Ihres Systems ein und f hren Sie das Programm setup exe aus Tivoli PKI Einf hrung 105 u 4 e SU IN SMOPUIM 49 UN Did HOAIL e 106 10 W hlen Sie im Fenster zur Auswahl der Sprache f r die Installation die Installationssprache aus und klicken Sie anschlie end auf Weiter Klicken Sie im Eingangsfenster auf Weiter W hlen Sie im Fenster Komponenten w hlen die Option SecureWay Directory und Client SDK installieren aus und klicken Sie anschlie end auf Weiter Klicken Sie im Fenster Zielpfad w hlen auf Weiter wenn Sie den Standardinstallationspfad verwenden wollen W hlen Sie andernfalls einen anderen Zielpfad aus und klicken Sie anschlie end auf Weiter Wenn Sie eine Nachricht erhalten in der Sie dar ber informiert werden dass es sich bei der Installationspartition nicht um eine NTFS Partition handelt klicken Sie auf OK um die Verarbeitung fortzusetzen Klicken Sie im Fenster Auswahl des Ordners auf Weiter um den Standardprogrammordner zu akzeptieren Geben Sie andern falls den gew nschten Ordnernamen ein und klicken Sie dann auf Weiter L schen Sie im Fenster Konfigurieren die Auswahl aller Markierungsfelder und klicken Sie anschlie end auf Weiter berpr fen Sie im Fenster Kopieren der Dateien f r Secure Way Directory und Client SDK starten die ausgew hlten Optio nen und klicken Sie anschlie end auf Weiter Klick
196. uf diese Weise wird eine Bindung zwischen dem Zertifi kat und dem ePerson Objekt von Policy Director erstellt das in LDAP generiert wurde Die Bereitstellung eines BPOs mit dieser Funktionalit t hat den zus tzlichen Vorteil dass ein webbasierter Registrierungsmechanismus f r Policy Director zur Verf gung gestellt wird Informationen zum Entwickeln und Anpassen von Unternehmens prozessobjekten BPOs an Ihre individuellen Unternehmensan forderungen finden Sie im IBM Redbook Working with Business Process Objects for Tivoli SecureWay PKI IBM Form SG24 6043 00 Version 3 Release 7 1 Unterst tzte Serverkonfigurationen Sie k nne alle Tivoli PKI Server Komponenten auf einer einzigen Maschine installieren oder die Verarbeitung auf mehrere Maschinen verteilen Hierbei m ssen allerdings die folgenden Einschr nkungen ber cksichtigt werden m Der Webserver WebSphere und der Hauptserver von Tivoli PKI der den RA Server sowie die Datenbanken mit den Konfigurati ons und Registrierungsdaten umfasst m ssen auf der selben Maschine ausgef hrt werden m Der CA und der Pr fserver sowie die zugeh rigen Datenbanken m ssen ebenfalls auf einer Maschine installiert werden m Der Directory Server und die zugeh rige Datenbank m ssen sich auf der selben Maschine befinden Die Konfiguration des Servernetzes ist abh ngig vom erwarteten Arbeitsaufkommen in Ihrem Unternehmen sowie von der Verwen dung einer bestimmten Maschine f r vers
197. und setzt eine hnliche Technologie ein Vom technischen Standpunkt aus ist ein Intranet eine Erweiterung des Internets Zu den in beiden Netzen benutzten Komponenten geh ren z B HTML und HTTP IPSec Ein von der IETF entwickelter IPS Standard IPS Internet Protocol Security IPSec ist ein Protokoll der Vermittlungsschicht das entwickelt wurde um Services f r die Gew hrleistung der Sicherheit bei der Verschl sselung zur Verf gung zu stel len die kombinierte Funktionen zur Authentifizierung Sicherung der Integrit t Zugriffssteuerung und Wahrung der Vertraulichkeit flexibel unterst tzen Aufgrund seiner leistungsf higen Funktionen bei der Authentifizierung wurde dieser Standard von vielen Lieferanten von VPN Produkten als Protokoll zum Aufbau sicherer Punkt zu Punkt Verbindungen im Internet bernommen ISO International Standards Organization Tivoli PKI Einf hrung 137 Jesso 5 138 ITU International Telecommunication Union Java Von Sun Microsystems Incorporated entwickelte plattformunabh ngige Computer technologien die f r den Netzbetrieb optimiert sind Die Java Umgebung besteht aus dem Java Betriebssystem Java OS den virtuellen Maschinen f r verschiedene Plattformen der objektorientierten Java Programmiersprache und einer Reihe von Klassenbibliotheken Java Anwendung Ein eigenst ndiges Programm das in der Programmiersprache Java geschrieben ist Es wird au erhalb eines Web Browsers ausgef hrt J
198. usr sys inst images Geben Sie den folgenden Befehl ein smitty W hlen Sie Softwareinstallation und Wartung aus W hlen Sie Software installieren und aktualisieren aus Tivoli PKI Einf hrung 79 us1a jjejsul XIV Join Did IIOAIL 7 10 W hlen Sie Neueste verf gbare Software installieren und aktualisieren aus W hlen Sie f r die Option EINGABE Einheit Verzeichnis f r Software Punkt aus Dr cken Sie unter SOFTWARE die installiert werden soll die Taste F4 um eine Liste der Dateien anzuzeigen die f r die Installation zur Verf gung stehen Verwenden Sie die folgende Tabelle als Richtlinie und w hlen Sie die Komponente oder Komponenten aus die Sie auf dieser Maschine installieren m chten dr cken Sie anschlie end die Eingabetaste Die Datei o doc enth lt HTML Hilfedateien und die Tivoli PKI Dokumentation f r die folgenden Bereiche m Tivoli PKI Konfiguration m Tivoli PKI Registration Authority Desktop Die Datei ta srvr enth lt Folgendes m Unterst tzung f r IBM 4758 PCI Cryptographic Coproces sor Zertifikatsaussteller CA Certificate Authority Kerndateien Grafische Benutzerschnittstelle GUI f r die Installation Installations Tools Registrierungsstelle RA Registration Authority Anmerkung Die Option f r die Unterst tzung des IBM 4758 PCI Cryptographic Coprocessor darf nicht ausge w hlt werden wenn auf der verwendeten Maschine diese Einheit nicht installiert ist Mi
199. ussetzungen f r den Setup Wizard IBM empfiehlt f r die Ausf hrung des Konfigurations Applets von Tivoli PKI Setup Wizard die folgende Workstation Konfiguration m Folgende physische Maschinenkonfiguration Intel Pentium Prozessor mit mindestens 64 MB Arbeitsspei cher Ein Computerbildschirm der Aufl sungen von 1024 x 768 oder h her mit 65536 Farben unterst tzt m Eines der folgenden Betriebssysteme e Microsoft Windows 95 e Microsoft Windows 98 e Microsoft Windows NT m Ein Webbrowser der Applets auf der Basis von JDK 1 1 unter st tzt z B die nachfolgend aufgef hrten Webbrowser Netscape Navigator oder Netscape Communicator nur Ver sion 4 7x Anmerkung Netscape Navigator oder Netscape Communi cator Version 6 wird f r das Konfigurations Applet oder RA Desktop nicht unterst tzt Netscape Navigator oder Netscape Communi cator Version 6 wird nur bei der Ausf hrung von Zertifikatsoperationen wie z B dem Registrieren Erneuern und Widerrufen sowie bei der Sicherung und Wiederherstellung unter st tzt e Microsoft Internet Explorer ab Version 5 0 Sie m ssen die offizielle von Netscape oder Microsoft vertrie bene Version des Browsers installieren Bei Versionen anderer Lieferanten werden Informationen m glicherweise nicht korrekt angezeigt vor allem dann wenn nicht die englische Version des Applets ausgef hrt wird Tivoli PKI Einf hrung 31 uabunzjassneioawajsAs Z Umfassende Informatio
200. vices entwickelt die auf dem deutschen Markt angeboten werden M glicherweise bietet IBM die in dieser Dokumentation beschriebenen Produkte Services oder Funktionen in anderen L ndern nicht an Informatio nen ber die gegenw rtig im jeweiligen Land verf gbaren Produkte und Services sind beim IBM Ansprechpartner erh ltlich Hinweise auf IBM Lizenzprogramme oder andere IBM Pro dukte bedeuten nicht da nur Programme Produkte oder Dienstleistungen von IBM verwen det werden k nnen Anstelle der IBM Produkte Programme oder Dienstleistungen k nnen auch andere ihnen quivalente Produkte Programme oder Dienstleistungen verwendet wer den solange diese keine gewerblichen Schutzrechte der IBM verletzen Die Verantwortung f r den Betrieb der Produkte Programme und Dienstleistungen in Verbindung mit Fremd produkten liegt beim Kunden soweit solche Verbindungen nicht ausdr cklich von IBM best tigt sind F r in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder Patentanmeldungen geben Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbunden Lizenzanforderungen sind schriftlich an IBM Europe Director of Licensing 92066 Paris La Defense Cedex France zu richten Anfragen an obige Adresse m ssen auf englisch formuliert werden Marken AIX DB2 DB2 Universal Database IBM RS 6000 SecureWay Tivoli and WebSphere sind in gewissen L ndern eingetragene Marken der International Bus
201. zi Webbrowser elle von Netscape oder m Netscape Navigator oder Netscape Communicator nur Release 4 7x m Microsoft Internet Explorer ab Release 5 0 Microsoft bereitgestellte Version des Browsers installieren F r den Internet Explo rer m ssen Sie ber Java Virtual Machine JVM Release 5 00 ab Build 3167 verf gen 38 Version 3 Release 7 1 Voraussetzung Beschreibung Kommentare Erf llt Le Client Voraussetzungen a Intel Pentium Pro zessor mit mindes tens 64 MB Arbeitsspeicher Dariiber hinaus ist Fol gendes erforderlich m Ein Computer bildschirm der Auf l sungen von 1024 x 768 oder h her mit 65536 Farben unterst tzt Eines der folgenden Betriebssysteme m Microsoft Windows 95 m Microsoft Windows 98 m Microsoft Windows NT Ein Webbrowser wie z B die folgenden Pro dukte m Netscape Navigator oder Netscape Communicator ab Version 4 7 f r Windows Plattfor men m Microsoft Internet Explorer ab Version 5 0 Sie miissen die offizi elle von Netscape oder Microsoft bereitgestellte Version des Browsers installieren Tivoli PKI Einf hrung 39 Bunueid d IONIL E System sichern 40 Tivoli PKI verwendet die Verschl sselung digitale Unterschriften und digitale Zertifikate um Transaktionen zu sch tzen und Ihre Res sourcen gegen unberechtigten Zugriff zu sichern Die Sicherheit des Tivoli PKI S
Download Pdf Manuals
Related Search