Utilizar um certificado privado para sessões de SSL num sistema destino com a V4R4 ou V4R5

Pode gerir os certificados utilizados pelas aplicações para sessões de SSL do arquivo de certificados *SYSTEM no Gestor de Certificados Digitais (DCM).  Se nunca utilizou o DCM no sistema destino com a V4R4 ou V4R5 para gerir certificados para o SSL, este arquivo de certificados não deve existir no sistema destino.  As tarefas que tem de executar para utilizar os arquivos de arquivo de certificados transferidos criados no sistema central da CA privada variam consoante a existência, ou não, do arquivo de certificados *SYSTEM.

Os arquivos de arquivos de certificados transferidos contêm dois certificados: o certificado servidor ou cliente criado e o certificado de CA Local privado utilizado para o assinar.

O arquivo de certificados *SYSTEM não existe

Se o arquivo de certificados *SYSTEM não existir no sistema com a V4R4 ou V4R5 em que pretende utilizar os arquivos de arquivo de certificados transferidos, siga estes passos:

  1. Certifique-se de que os arquivos de arquivo de certificados (dois arquivos: um com uma extensão .KDB e outro com uma extensão .RDB) criados no sistema anfitrião da CA privada estão no diretório /QIBM/USERDATA/ICSS/CERT/SERVER.
  2. Mude o nome dos arquivos de certificado transferidos para DEFAULT.KDB e DEFAULT.RDB. Ao mudar o nome destes arquivos, cria os componentes que compreendem o arquivo de certificados *SYSTEM para o sistema destino.  Os arquivos do arquivo de certificados já contêm cópias dos certificados para muitas CA de Internet públicas.  O DCM adicionou-os, bem como uma cópia do certificado de CA Local privado, aos arquivos de arquivo de certificados quando os criou.
    Atenção: Se o sistema destino já tiver um arquivo DEFAULT.KDB e DEFAULT.RDB, o arquivo de certificados *SYSTEM existe presentemente neste sistema destino. Por conseguinte, não deve mudar o nome dos arquivos transferidos, conforme é sugerido. A substituição dos arquivos predefinidos criará problemas ao utilizar o DCM, o arquivo de certificados transferido e o respectivo conteúdo. Em vez disso, deve certificar-se de que têm nomes únicos e deve utilizar os arquivos de arquivo de certificados transferido como Outro arquivo de certificados.
  3. Inicie uma sessão do DCM.  Agora, tem de alterar a senha para o arquivo de certificados *SYSTEM.  Alterar a senha permite ao DCM armazenar a senha de modo a poder utilizar todas as funções de gestão de certificados do DCM no arquivo de certificados.
  4. Na moldura de navegação, certifique-se de que *SYSTEM é mostrado como arquivo de certificados na caixa de listagem pendente e selecione Certificados de sistema para ver uma lista das tarefas disponíveis.  É apresentada a janela Arquivo de Certificados e Senha.
  5. Nos campos apropriados, introduza *SYSTEM para o arquivo de certificados a abrir e a senha que utilizou quando criou os arquivos utilizando a CA privada no sistema central.  Agora, pode alterar a senha para o arquivo de certificados.
  6. Na lista de tarefas da moldura de navegação, selecione Alterar senha. Preencha o formulário para alterar a senha para o arquivo de certificados. Depois de alterar a senha, tem de reabrir o arquivo de certificados para poder trabalhar com os certificados nele.
  7. Depois de reabrir o arquivo de certificados *SYSTEM, selecione Trabalhar com aplicações seguras na lista de tarefas para ver uma página que lhe permite gerir os certificados associados a aplicações específicas.
  8. Na lista de aplicações, selecione a aplicação que deve utilizar o certificado privado transferido para sessões de SSL.
  9. Clique em Trabalhar com certificado do sistema e selecione o certificado emitido pela CA privada no sistema central.
  10. Clique em Atribuir novo certificado para que a aplicação especificada utilize o certificado selecionado.
    Nota: Algumas aplicações com suporte de SSL suportam a autenticação de clientes com base em certificados. Utilizar certificados para a autenticação de clientes assegura que a aplicação recebe um certificado válido antes de permitir o acesso aos recursos controlados pela aplicação. Uma aplicação com este suporte tem de ser definida para confiar numa CA para que a aplicação possa autenticar os certificados emitidos por uma CA específica. Utilize a tarefa Trabalhar com Autoridade de Certificação para assegurar que as aplicações que utilizam o certificado confiam na CA privada que o emitiu. Deste modo, assegura que a aplicação pode validar apenas os certificados das CAs especificadas como fidedignas. Se os utilizadores ou uma aplicação cliente apresentar um certificado de uma CA que não esteja especificada como fidedigna, a aplicação não o aceitará como base para autenticação válida.

Com estas tarefas concluídas, as aplicações no sistema destino com a V4R4 ou V4R5 podem utilizar o certificado emitido pela CA privada noutro iSeries.  No entanto, antes de poder começar a utilizar o SSL para estas aplicações, tem de configurar as aplicações para utilizar o SSL.

Antes de um utilizador poder acessar às aplicações selecionadas através de uma ligação de SSL, o utilizador tem de utilizar o DCM para instalar uma cópia do certificado de CA do sistema central.  O certificado de CA tem de ser copiado para um ficheiro no PC do utilizador ou descarregado para o browser do utilizador, dependendo dos requisitos da aplicação ativada por SSL.

O arquivo de certificados *SYSTEM existe -- Utilizar os arquivo como Outro Arquivo de Certificados do Sistema

Se o sistema destino com a V4R4 ou V4R5 já tiver um arquivo de certificados *SYSTEM, tem de decidir como trabalhar com os arquivos de certificado.  Os arquivos de certificados transferidos contêm dois certificados: o certificado servidor ou cliente criado e o certificado de CA Local privado utilizado para o assinar.  Pode optar por utilizar os arquivos de certificado transferidos como Outro arquivo de certificados do sistema.  Também pode optar por importar o certificado privado e o certificado de CA correspondente para o arquivo de certificados *SYSTEM existente.

Se optar por utilizar os arquivos transferidos como Outro arquivo de certificados do sistema, não pode utilizar o DCM para especificar as aplicações que devem utilizar o certificado para sessões de SSL.  No entanto, pode designar o certificado neste arquivo de certificados como certificado predefinido para o arquivo de certificados.  A opção Outro Arquivo de Certificados do Sistema permite-lhe gerir certificados para aplicações escritas por si ou por outros que utilizam a API SSL_Init para acessar programaticamente e utilizar um certificado para estabelecer uma sessão de SSL.  Esta API permite que uma aplicação utilize o certificado predefinido para um arquivo de certificados, em vez de um certificado específico.

Se o arquivo de certificados *SYSTEM existir no sistema com a V4R4 ou V4R5 em que pretende utilizar os arquivos de arquivo de certificados transferidos, siga estes passos:

  1. Inicie uma sessão do DCM. Agora, tem de alterar a senha para o arquivo de certificados transferido.  Alterar a senha permite ao DCM armazenar a senha de modo a poder utilizar todas as funções de gestão de certificados do DCM no arquivo de certificados.
  2. Na moldura de navegação, certifique-se de que OTHER é mostrado como arquivo de certificados na caixa de listagem pendente e selecione Certificados de sistema para ver uma lista das tarefas disponíveis.  É apresentada a janela Arquivo de Certificados e Senha.
  3. Nos campos apropriados, introduza o caminho completo e o nome do arquivo para o arquivo de certificados (extensão .KDB) transferido do sistema central da CA privada.  Introduza a senha que utilizou quando criou os arquivos utilizando a CA privada no sistema central.  Agora, pode alterar a senha para o arquivo de certificados.
  4. Na moldura de navegação, selecione Alterar senha na lista de tarefas do Certificado do Sistema.  Preencha o formulário para alterar a senha para o arquivo de certificados.
    Nota: Não se esqueça de selecionar a opção Início de sessão automático quando alterar a senha do arquivo. Utilizar esta opção assegura que o DCM armazena a nova senha de modo a poder utilizar todas as funções de gestão de certificados do DCM no novo arquivo.
    Depois de alterar a senha, tem de reabrir o arquivo de certificados para poder trabalhar com os certificados nele.  Em seguida, pode especificar que o certificado neste arquivo seja utilizado como certificado predefinido.
  5. Na moldura de navegação, selecione Trabalhar com certificados para visualizar uma página que lhe permite executar inúmeras tarefas de gestão de certificados.
  6. Na lista de certificados, selecione o certificado que pretende utilizar como certificado predefinido para o arquivo atual e clique em Predefinir.

Agora que criou e configurou o Outro Arquivo de Certificados do Sistema, as aplicações que utilizam a API SSL_Init podem utilizar o certificado nelas existente para estabelecer sessões de SSL.

O arquivo de certificados *SYSTEM existe -- Importar os arquivos para um arquivo de certificados *SYSTEM existente

Antes de poder importar os certificados para *SYSTEM num sistema com a V4R4 ou V4R5, tem primeiro de exportar os certificados do arquivo de certificados criado num formato de arquivo diferente.  Em seguida, pode importar os certificados para o arquivo de certificados *SYSTEM a partir dos novos arquivos. Os arquivos de certificados transferidos contêm dois certificados: o certificado servidor ou cliente criado e o certificado de CA Local privado utilizado para o assinar.  Tem de importar o certificado servidor ou cliente criado e o certificado de CA Local privado para o arquivo de certificados *SYSTEM.

Nota: As funções de exportação disponíveis no DCM para a V4R4 não estão tão desenvolvidas como as da V5R1, pelo que poderá ter problemas se utilizar o sistema destino para exportar o certificado de CA Local privado. Por conseguinte, deve utilizar o sistema central com a V5R1 para exportar uma cópia adicional do certificado de CA privada para um arquivo em separado em vez de utilizar o sistema destino com a V4R4 ou V4R5 para o exportar. Depois de exportar o certificado de CA no sistema central com a V5R1, po de transferir manualmente o arquivo de exportação do certificado de CA Local para o sistema destino com a V4R4 ou V4R5 e seguir os passos descritos posteriormente neste procedimento para importar o certificado de CA Local para o arquivo de certificados *SYSTEM. Tem de importar o certificado de CA Local antes de importar o certificado privado criado com ele. Se importar primeiro o certificado privado, poderá encontrar um erro porque o certificado de CA não existe no arquivo de certificados.

Para exportar o certificado dos arquivos de arquivo de certificados, conclua estes passos no sistema destino com a V4R4 ou V4R5:

  1. Inicie uma sessão do DCM.
  2. Na moldura de navegação, certifique-se de que OTHER é mostrado como arquivo de certificados na caixa de listagem pendente e selecione Certificados de sistema para ver uma lista das tarefas disponíveis.  É apresentada a janela Arquivo de Certificados e Senha.
  3. Especifique o caminho completo e o nome dos arquivos de certificados transferidos, forneça a senha utilizada quando os criou no sistema central e clique em OK.
  4. Na moldura de navegação, selecione Trabalhar com certificados para visualizar uma lista de certificados.
  5. Selecione o certificado privado da lista e clique em Exportar para visualizar a página Exportar Certificado.
  6. Na lista de certificados, selecione o certificado privado que pretende exportar para um arquivo e clique em Exportar para visualizar a página Exportar Certificado.
  7. Preencha o formulário Exportar Certificado e clique no botão OK.  É apresentada uma mensagem no início da página indicando que o DCM exportou o certificado para o arquivo especificado.
    Nota: Certifique-se de que dá ao arquivo um nome único e extensão. Por exemplo, pode atribuir ao arquivo o nome meuarq.exp. Quando atribui o nome ao arquivo, não utilize uma destas extensões para o arquivo: .TXT, .KDB, .RDB ou .KYR. Selecione o nível de edição apropriado para o sistema destino que vai utilizar este certificado. Tanto a extensão utilizada como o nível de edição selecionado afetam o formato do certificado exportado.
  8. Preencha o formulário Exportar Certificado e clique em OK.  É apresentada uma mensagem no início da página indicando que o DCM exportou o certificado para o arquivo especificado.

Neste momento, já deverá ter utilizado o DCM no sistema central original para exportar uma cópia adicional do certificado de CA Local e transferi-lo manualmente para o sistema destino.  Também já deverá ter utilizado o DCM no sistema destino para exportar o certificado servidor ou cliente privado para um arquivo.  Agora, está pronto para importar estes certificados para o arquivo de certificados *SYSTEM. Tem de importar o certificado de CA Local antes de importar o certificado privado criado com ele.  Se importar primeiro o certificado privado, poderá encontrar um erro porque o certificado de CA não existe no arquivo de certificados.

Para importar os certificados destes arquivos de exportação e especificar que as aplicações com suporte de SSL os utilizem, conclua estes passos no sistema destino com a V4R4 ou V4R5:

  1. Inicie uma sessão do DCM.
  2. Na moldura de navegação, certifique-se de que *SYSTEM é mostrado como arquivo de certificados na caixa de listagem pendente e selecione Certificados de sistema para ver uma lista das tarefas disponíveis.   É apresentada a janela Arquivo de Certificados e Senha.
  3. Especifique *SYSTEM como o arquivo de certificados a abrir, forneça a senha e clique em Continuar.
  4. Agora, tem de importar o certificado de CA Local do arquivo de exportação criado no sistema central com a V5R1. Na moldura de navegação, selecione Receber um certificado de CA para ver um formulário.
  5. Preencha o formulário e clique em OK para visualizar a página Receber Certificado Com Êxito.  Quando está a trabalhar no arquivo de certificados *SYSTEM, esta página apresenta uma lista de aplicações que pode definir para confiar no certificado de CA importado.
    Nota: Algumas aplicações com suporte de SSL suportam a autenticação de clientes com base em certificados. Utilizar certificados para a autenticação de clientes assegura que a aplicação recebe um certificado válido antes de permitir o acesso aos recursos controlados pela aplicação. Uma aplicação com este suporte tem de ser definida para confiar numa CA para que a aplicação possa autenticar os certificados emitidos por uma CA específica. Deste modo, assegura que a aplicação pode validar apenas os certificados das CAs especificadas como fidedignas. Se os utilizadores ou uma aplicação cliente apresentar um certificado de uma CA que não esteja especificada como fidedigna, a aplicação não o aceitará como base para autenticação válida.
  6. Selecione as aplicações que devem confiar no certificado de CA e clique em OK. É apresentada a página Estado das Aplicações Protegidas para confirmar se as aplicações selecionadas estão definidas para confiar no novo certificado.
  7. Agora, pode importar o certificado privado.  Na moldura de navegação, selecione Trabalhar com certificados para visualizar uma lista de certificados.
  8. Clique em Importar para visualizar a página Importar Certificado.
  9. Preencha o formulário Importar Certificado e clique em OK para regressar à página Trabalhar com Certificados.  Certifique-se de que fornece o nome do arquivo que contém o certificado servidor ou cliente exportado.  É apresentada uma mensagem no início da página a indicar que o DCM adicionou o certificado ao arquivo de certificados atual.  O certificado que importou deve aparecer igualmente na lista de certificados.
  10. Agora, tem de especificar as aplicações que devem utilizar o certificado privado importado para o SSL. Na moldura de navegação, selecione Trabalhar com aplicações seguras para visualizar uma página que lhe permite gerir os certificados associados a aplicações específicas.
  11. Selecione uma aplicação da lista e clique em Trabalhar com certificados do sistema para visualizar uma lista de certificados que pode especificar para utilização pela aplicação selecionada para estabelecer sessões de SSL.
  12. Selecione um certificado da lista e clique em Atribuir Novo Certificado para atribuir o certificado selecionado à aplicação especificada. É apresentada uma mensagem no início da página para indicar a selecção do certificado.

Com estas tarefas concluídas, as aplicações no sistema destino com a V4R4 ou V4R5 podem utilizar o certificado emitido pela CA privada noutro iSeries.  No entanto, antes de poder começar a utilizar o SSL para estas aplicações, tem de configurar as aplicações para utilizar o SSL.

Antes de um utilizador poder acessar às aplicações selecionadas através de uma ligação de SSL, o utilizador tem de utilizar o DCM para instalar uma cópia do certificado de CA do sistema central.  O certificado de CA tem de ser copiado para um arquivo no PC do utilizador ou descarregado para o browser do utilizador, dependendo dos requisitos da aplicação activada por SSL.

Palavras-chave:

Crie um site gratuito Webnode