Compreender os certificados digitais

Antes de começar a utilizar certificados digitais para melhorar a política de segurança do sistema e da rede, deve compreender o que são e que benefícios de segurança representam.

Um certificado digital é uma credencial digital que valida a identidade do proprietário do certificado, à semelhança de um passaporte.  Uma entidade fidedigna, denominada Autoridade de Certificação (CA) emite certificados digitais para utilizadores e aplicações servidor ou cliente.  A confiança na CA é a base de confiança no certificado como credencial válida.

Cada CA tem uma política para determinar as informações de identificação requeridas pela CA para emitir um certificado.  Algumas Autoridades de Certificação da Internet públicas podem requerer pouca informação como, por exemplo, um nome e um endereço de correio eletrônico.  Outras CAs públicas podem requerer mais informações e um comprovativo mais rigoroso dessas informações de identificação antes de emitir um certificado.  Por exemplo, as CAs que suportam normas Public Key Infrastructure Exchange (PKIX) podem requerer que o solicitador verifique as informações de identificação através de uma Autoridade de Registo (RA) antes de emitir o certificado.  Por conseguinte, se quer aceitar e utilizar certificados como credenciais, deverá analisar os requisitos de identificação para uma CA para determinar se os respectivos requisitos se adequam às suas necessidades.

Nome distinto

Nome distinto (DN) é um termo que descreve as informações de identificação do proprietário do certificado e faz parte do próprio certificado. Dependendo da política de identificação da CA que emite um certificado, o DN pode incluir várias informações.  Pode utilizar o Gestor de Certificados Digitais (DCM) para trabalhar com uma Autoridade de Certificação privada e emitir certificados privados.  Além disso, pode utilizar o DCM para gerar as informações de DN e o par de chaves para certificados emitidos por uma CA de Internet pública para a sua organização.  As informações de DN que pode fornecer para qualquer tipo de certificado incluem:

  • Nome comum do proprietário do certificado
  • Organização
  • Unidade organizacional
  • Cidade
  • Estado
  • País

Quando utiliza o DCM para emitir certificados privados, pode fornecer informações de DN adicionais, incluindo:

  • Endereço de IP na Versão 4
  • Nome completo do domínio
  • Endereço de correio eletrônico

Estas informações adicionais são úteis se quer utilizar o certificado para configurar uma ligação de rede privada virtual (VPN).

Par de chaves pública-privada

Cada certificado digital tem um par de chaves criptográficas associadas. (Os certificados de verificação de assinaturas constituem uma excepção a esta regra e só têm uma chave pública associada.)  Este par de chaves é constituído por uma chave privada e uma chave pública.  A chave pública faz parte do próprio certificado, enquanto que o proprietário do certificado armazena a chave privada num arquivo seguro.  O proprietário do certificado pode utilizar estas chaves para tirar partido das funções de segurança fornecidas pelas chaves através da criptografia.  Por exemplo, o proprietário do certificado pode utilizar estas chaves para "assinar" e codificar dados como, por exemplo, mensagens, documentos e código, trocados entre utilizadores e servidores.  Essas assinaturas digitais asseguram a confiabilidade da origem de um objeto e protegem a integridade e privacidade do objeto.

Utilizando certificados digitais e browsers que suportam SSL (como o Netscape Navigator e o Microsoft Internet Explorer), o seu servidor e clientes podem comunicar de modo seguro utilizando o Secure Sockets Layer (SSL). O software do browser e muitos outros pacotes de software cliente fornecem suporte para utilizar certificados digitais em vez de nomes de utilizador e senhas para uma autenticação e autorização mais seguras para os recursos.

Tipos de certificados digitais

Existem várias classificações de certificados digitais.  Estas classificações descrevem a utilização do certificado:

  • Certificados da Autoridade de Certificação (CA). Um certificado da Autoridade de Certificação é uma credencial digital que valida a identidade da Autoridade de Certificação (CA) proprietária do certificado.  O certificado da Autoridade de Certificação contém informações de identificação sobre a Autoridade de Certificação, bem como a respectiva chave pública.  É possível outros utilizarem a chave pública do certificado da CA para verificar a autenticidade dos certificados emitidos e assinados pela CA.  Um certificado da Autoridade de Certificação pode ser assinado por outra CA, como, por exemplo a VeriSign, ou ter assinatura própria, caso seja uma entidade independente.  Uma CA criada pelo utilizador no Gestor de Certificados Digitais é uma entidade independente.
  • Certificados servidor ou cliente. Um certificado servidor ou cliente é uma credencial digital que identifica a aplicação servidor ou cliente que utiliza o certificado para comunicações seguras.  Os certificados servidor ou cliente contêm informações de identificação sobre a organização proprietária da aplicação como, por exemplo, o nome distinto do sistema.  O certificado também contém a chave pública do sistema. Um servidor tem de ter um certificado digital para utilizar o Secure Sockets Layer (SSL) para comunicações seguras. As aplicações que suportam certificados digitais podem examinar o certificado de um servidor para verificar a identidade do servidor quando o cliente acesse ao servidor.  Em seguida, a aplicação pode utilizar a autenticação do certificado como base para iniciar uma sessão codificada de SSL entre o cliente e o servidor.
  • Certificados de assinatura de objetos. Um certificado de assinatura de objetos é um certificado utilizado para "assinar" digitalmente um objeto de modo a assegurar a integridade do próprio objeto e a origem ou propriedade do objeto. Quando utiliza a chave privada de um certificado de assinatura de objetos para assinar um objeto, o receptor do objeto tem de ter acesso a uma cópia do certificado de verificação de assinaturas correspondente para autenticar devidamente a assinatura do objeto.
  • Certificados de verificação de assinaturas. Um certificado de verificação de assinaturas é uma cópia de um certificado de assinatura de objetos sem a chave privada desse certificado.  Utilize a chave pública do certificado de verificação de assinaturas para autenticar a assinatura digital criada com um certificado de assinatura de objetos num objeto.
  • Certificados de utilizador. Um certificado de utilizador é uma credencial digital que valida a identidade do cliente ou utilizador proprietário do certificado.  Já existem muitas aplicações que fornecem suporte para utilizar certificados para autenticar utilizadores para recursos, em vez de nomes de utilizador e senhas.  O Gestor de Certificados Digitais (DCM) associa automaticamente os certificados do utilizador emitidos pela CA privada ao perfil do utilizador de iSeries do utilizador.  Também pode utilizar o DCM para associar certificados de utilizador emitidos por outras Autoridades de Certificação ao perfil do utilizador de sistema do utilizador.

Quando utiliza o Gestor de Certificados Digitais (DCM) para gerir os certificados, o DCM organiza-os de acordo com estas classificações e coloca-os, e às respectivas chaves privadas, num arquivo de certificados.

Nota: Se tiver um coprocessador IBM 4758 PCI Cryptographic Coprocessor instalado no servidor iSeries, pode escolher outras opções de armazenamento de chaves privadas para os certificados (com excepção dos certificados de assinatura de objetos). Pode optar por armazenar a chave privada no próprio coprocessador. Também pode utilizar o coprocessador para codificar a chave privada e armazená-la num arquivo de chaves especial, em vez de num arquivo de certificados. No entanto, os certificados de utilizador e as respectivas chaves são armazenadas no sistema do utilizador, no software do browser ou num arquivo, para utilização por outros pacotes de software cliente.

Para obter mais informações sobre outros conceitos importantes para compreender os certificados digitais e o respectivo funcionamento, analise estes tópicos:

  • Autoridade de Certificação (CA)
    Leia estas informações para saber mais sobre CAs, as entidades que emitem os certificados digitais.

     

  • Localizações de CRL
    Leia estas informações para saber o que é uma Lista de Revogação de Certificados (CRL) e como é utilizada no processo de validação e autenticação de certificados.

     

  • Arquivos de certificados
    Leia estas informações para saber o que é um arquivo de certificados e como utilizar o Gestor de Certificados Digitais (DCM) para trabalhar com eles e com os certificados neles contidos.

     

  • Criptografia
    Leia estas informações para saber o que é a criptografia e como é que os certificados digitais utilizam funções criptográficas para fornecer segurança.

     

  • Secure Sockets Layer (SSL)
    Leia estas informações para obter uma breve descrição do SSL.

     

.

Criptografia

A criptografia é a ciência de manter os dados protegidos.  A criptografia permite-lhe armazenar informações ou comunicar com outras entidades e, ao mesmo tempo, impedir que entidades não envolvidas compreendam as informações armazenadas ou a comunicação.  A codificação transforma o texto...

.

Chave pública

Uma chave pública é uma de um par de chaves assimétrico e está normalmente associada ao certificado digital do proprietário.  Consequentemente, uma chave pública está disponível para utilização por qualquer pessoa.  Uma chave pública consiste numa cadeia de dados e num padrão...

.

Arquivos de certificados

Um arquivo de certificados é um arquivo de base de dados de chaves especial utilizado pelo Gestor de Certificados Digitais (DCM) para armazenar certificados digitais e as respectivas chaves privadas associadas.  O DCM permite-lhe criar e gerir vários tipos de arquivos de certificados.  Os...

.

Localizações de Lista de Revogação de Certificados (CRL)

Uma Lista de Revogação de Certificados (CRL) é um arquivo que lista todos os certificados inválidos ou revogados de uma Autoridade de Certificação (CA) específica.  As CAs atualizam periodicamente as suas CRLs e disponibilizam-nas para outros as publicarem nos diretórios do protocolo...