Criar e utilizar uma CA privada

Após rever cuidadosamente as suas necessidades e políticas de segurança, decidiu trabalhar com uma Autoridade de Certificação (CA) para emitir certificados privados para as suas aplicações.  Pode utilizar o Gestor de Certificados Digitais (DCM) para criar e utilizar a sua própria CA.  O DCM fornece-lhe um caminho de tarefa orientada que o guia através do processo de criação de uma CA e da sua utilização para emitir certificados para as suas aplicações.  O caminho da tarefa orientada assegura que tem tudo aquilo de que necessita para começar a utilizar certificados digitais para configurar aplicações para utilizar o SSL, e assinar objetos e verificar assinaturas de objetos.

Nota: Para utilizar certificados com o HTTP Web Server for iSeries, deverá criar e configurar a sua instância do servidor da Web antes de trabalhar com o DCM. Quando configura uma instância do servidor da Web para utilizar o SSL, é criado um ID de aplicação para a instância do servidor. Tem de tomar nota deste ID de aplicação de modo a poder utilizar o DCM para especificar que certificado deverá ser utilizado por esta aplicação para o SSL.

Não termine e reinicie a instância do servidor enquanto não utilizar o DCM para atribuir um certificado à instância do servidor. Se terminar e reiniciar a instância *ADMIN do servidor da Web antes de lhe atribuir um certificado, o servidor não será iniciado e não lhe será possível utilizar o DCM para atribuir um certificado à instância do servidor.

Para utilizar o DCM para criar e trabalhar com uma CA local, siga estes passos:

  1. Inicie uma sessão do DCM.
  2. Na moldura de navegação do DCM, selecione Criar uma Autoridade de Certificação (CA) para visualizar uma série de formulários.  Estes formulários orientam-no através do processo de criação de uma CA e conclusão de outras tarefas necessárias para começar a utilizar certificados digitais para SSL, assinatura de objetos e verificação de assinaturas.
    Nota: Se tiver dúvidas sobre como preencher um formulário específico nesta tarefa orientada, selecione o botão com o ponto de interrogação (?) no início da página para acessar à ajuda online.
  3. Preencha todos os formulários para esta tarefa orientada.  Ao utilizar estes formulários para executar todas as tarefas necessárias para configurar uma Autoridade de Certificação (CA) de trabalho:
    1. É selecionada a forma de armazenar a chave privada para o certificado da CA. (Este passo só é incluído se tiver um coprocessador IBM 4758-023 PCI Cryptographic Coprocessor instalado no iSeries AS/400.  Se o sistema não tiver um coprocessador criptográfico, o DCM armazena automaticamente o certificado e a respectiva chave privada no arquivo de certificados da Autoridade de Certificação (CA) Local.)
    2. São fornecidas informações de identificação para a CA.
    3. O certificado da CA é instalado no PC ou no browser para que o software possa reconhecer o CA e validar certificados emitidos pela CA.
    4. São selecionados os dados de política para a CA.
    5. É utilizada a nova CA para emitir um certificado servidor ou cliente que as aplicações podem utilizar para ligações de SSL. (Se o iSeries tiver um coprocessador IBM 4758-023 PCI Cryptographic Coprocessor instalado, esta subtarefa permite-lhe selecionar o modo de arquivo da chave privada para o certificado servidor ou cliente.  Se o sistema não tiver um coprocessador, o DCM coloca automaticamente o certificado e a respectiva chave privada no arquivo de certificados *SYSTEM.  O DCM cria o arquivo de certificados *SYSTEM como parte desta subtarefa.)
    6. São selecionadas as aplicações que utilizam o certificado servidor ou cliente para ligações de SSL.
      Nota: Se tiver utilizado o DCM anteriormente para criar o arquivo de certificados *SYSTEM para gerir certificados para o SSL de uma CA de Internet pública, não execute este passo nem o passo anterior.
    7. É utilizada a nova CA para emitir um certificado de assinatura de objetos que as aplicações podem utilizar para assinar objetos digitalmente. Esta subtarefa cria o arquivo de certificados *OBJECTSIGNING; é o arquivo de certificados utilizado para gerir certificados de assinatura de objetos.
    8. São selecionadas as aplicações que podem utilizar o certificado de assinatura de objetos para colocar assinaturas digitais em objetos.
      Nota: Se tiver utilizado o DCM anteriormente para criar o arquivo de certificados *OBJECTSIGNING para gerir certificados de assinatura de objetos de uma CA de Internet pública, não execute este passo nem o passo anterior.
    9. São selecionadas as aplicações que devem confiar na sua CA.

Quando terminar a tarefa orientada, terá tudo aquilo de que necessita para começar a configurar as aplicações para utilizar o SSL para comunicações seguras.

Depois de configurar as aplicações, os utilizadores que acessem às aplicações através de uma ligação de SSL têm de utilizar o DCM para instalar uma cópia do certificado de CA local.  Cada utilizador tem de ter uma cópia do certificado para que o software cliente do utilizador possa utilizá-lo para autenticar a identidade do servidor como parte do processo de negociação de SSL.  Os utilizadores podem utilizar o DCM para copiar o certificado de CA para um arquivo ou transferir o certificado para o browser. O modo como os utilizadores armazenam o certificado de CA depende do software cliente utilizado para estabelecer uma ligação de SSL com uma aplicação.

Além disso, pode utilizar esta CA local para emitir certificados para aplicações noutros sistemas iSeries na rede.