Certificados digitais para ligações VPN

A partir da V5R1, poderá utilizar certificados digitais como uma forma de estabelecer uma ligação a uma rede privada virtual (VPN) iSeries.  Ambos os pontos terminais de uma ligação VPN dinâmica têm de conseguir autenticar-se mutuamente antes de ativar a ligação.  A autenticação de pontos terminais é feita através do servidor Internet Key Exchange (IKE) em cada extremidade.  Após uma autenticação com sucesso, os servidores IKE podem negociar as metodologias de encriptação e os algoritmos que vão utilizar para proteger uma ligação VPN.

Anteriormente à V5R1, os servidores IKE só podiam autenticar-se através da utilização de uma chave pré-partilhada.  Utilizar uma chave pré-partilhada é menos seguro porque tem de se comunicar a chave manualmente ao administrador do outro ponto terminal do VPN. Consequentemente, existe uma possibilidade de a chave ser exposta a terceiros durante o processo de comunicação da chave.

Na V5R1 poderá evitar este risco utilizando os certificados digitais para autenticar os pontos terminais em vez de utilizar uma chave pré-partilhada.  O servidor IKE poderá autenticar o certificado do outro servidor para estabelecer uma ligação para negociar as metodologias e algoritmos de encriptação que os servidores utilizarão para proteger a ligação.

Pode utilizar o Gestor de Certificados Digitais (DCM) para gerir os certificados que o servidor IKE utiliza para estabelecer uma ligação VPN dinâmica.  Tem de primeiro decidir se deseja utilizar certificados públicos versus emitir certificados privados para o servidor IKE.

Algumas implementações de VPN requerem que o certificado contenha informações de nome de assunto alternativo tal como, por exemplo, um nome de domínio ou de endereço de correio eletrônico, para além das informações de nome único standard.  Quando utilizar a CA privada do utilitário de DCM para emitir um certificado, poderá especificar informações sobre o nome de sujeito alternativo para o certificado.  Especificar estas informações assegura que a ligação VPN do iSeries é compatível com outras implementações VPN que possam requerer autenticação.

Para saber mais sobre como gerir certificados para as ligações VPN, reveja os seguintes recursos:

• Se nunca utilizou o DCM para gerir certificados, os seguintes tópicos poderão ajudá-lo a começar:
  • Criar e utilizar uma CA privada descreve como utilizar o DCM para emitir certificados privados para as suas aplicações.
  • Gerir certificados a partir de uma CA de Internet pública descreve como utilizar o DCM para trabalhar com certificados provenientes de uma CA pública.
• Se presentemente utilizar o DCM para gerir certificados para outras aplicações, reveja estes recursos para aprender como especificar que uma aplicação deverá utilizar um certificado existente e quais os certificados que a aplicação poderá aceitar e autenticar:
  • Gerir a atribuição de certificados a uma aplicação que descreve como utilizar o DCM para atribuir um certificado existente a uma aplicação tal como, por exemplo, o servidor IKE.
  • Definir uma lista fidedigna de CA para uma aplicação descreve como especificar em que CAs deverá uma aplicação confiar quando aceitar certificados para autenticação de um cliente (ou VPN).