Utilizar um certificado privado para assinar objectos num sistema destino com a V5R1

Pode gerir os certificados utilizados para assinar objetos no arquivo de certificados *OBJECTSIGNING no Gestor de Certificados Digitais (DCM).  Se nunca utilizou o DCM no sistema destino para gerir certificados de assinatura de objetos, este arquivo de certificados não deve existir no sistema destino.  As tarefas que tem de executar para utilizar os arquivos de arquivo de certificados transferidos criados no sistema central da CA privada variam consoante a existência, ou não, do arquivo de certificados *OBJECTSIGNING.

O arquivo de certificados *OBJECTSIGNING não existe

As tarefas executadas para utilizar os arquivos de arquivo de certificados criados no sistema central da CA privada variam consoante já tenha utilizado, ou não, o DCM no sistema destino para gerir certificados de assinatura de objetos.

Se o arquivo de certificados *OBJECTSIGNING não existir no sistema destino com a V5R1 com os arquivos de arquivos de certificados transferidos, siga estes passos:

1. Certifique-se de que os arquivos de arquivos de certificados (dois arquivos: um com uma extensão .KDB e outro com uma extensão .RDB) criados no sistema anfitrião da CA privada estão no diretório: /QIBM/USERDATA/ICSS/CERT/SIGNING.
2. Se for necessário, mude o nome dos arquivos de certificado transferidos para SGNOBJ.KDB e SGNOBJ.RDB.  Ao mudar o nome destes arquivos, cria os componentes que compreendem o arquivo de certificados *OBJECTSIGNING para o sistema destino.  Os arquivos do arquivo de certificados já contêm cópias dos certificados para muitas CA de Internet públicas.  O DCM adicionou-os, bem como uma cópia do certificado de CA privada, aos arquivos de arquivo de certificados quando os criou.

   Atenção:

   Se o sistema destino já tiver um arquivo SGNOBJ.KDB e SGNOBJ.RDB, o arquivo de certificados *OBJECTSIGNING existe presentemente neste sistema destino.  Por conseguinte, não deve mudar o nome dos arquivos transferidos, conforme é sugerido. A substituição dos arquivos de assinatura de objetos predefinidos criará problemas ao utilizar o DCM, o arquivo de certificados transferido e o respectivo conteúdo. Pode obter os certificados destes ficheiros para o arquivo de certificados *OBJECTSIGNING existente de uma de duas maneiras: Pode exportar os certificados deste arquivo para um conjunto de arquivos simples a partir dos quais pode importar os certificados para o arquivo de certificados *OBJECTSIGNING existente. Também pode abrir os arquivos transferidos como Outro Arquivo de Certificados do Sistema e exportar os certificados diretamente para o arquivo de certificados *OBJECTSIGNING, conforme é descrito posteriormente neste material. Seja qual for o caso, tem de exportar os certificados para o arquivo de certificados *OBJECTSIGNING se quiser ser capaz de gerir as aplicações que os utilizam, conforme é descrito neste procedimento.

3. Inicie uma sessão do DCM.  Agora, tem de alterar a senha para o arquivo de certificados *OBJECTSIGNING.  Alterar a senha permite ao DCM armazenar a senha de modo a poder utilizar todas as funções de gestão de certificados do DCM no arquivo de certificados.
4. Na moldura de navegação, clique em Selecionar um Arquivo de Certificados e selecione *OBJECTSIGNING como o arquivo de certificados a abrir.
5. Quando a página Senha for apresentada, forneça a senha especificada para o arquivo de certificados quando o criou no sistema central e clique em Continuar.
6. Na moldura de navegação, selecione Gerir Arquivo de Certificados e selecione Alterar senha na lista de tarefas.  Preencha o formulário para alterar a senha para o arquivo de certificados.  Depois de alterar a senha, tem de reabrir o arquivo de certificados para poder trabalhar com os certificados nele contidos.  Em seguida, pode criar uma definição de aplicação para utilizar o certificado para assinar objetos.
7. Depois de reabrir o arquivo de certificados, selecione Gerir Aplicações na moldura de navegação para visualizar uma lista de tarefas.
8. Na lista de tarefas, selecione Adicionar aplicação para iniciar o processo de criação de uma definição de aplicação de assinatura de objetos para utilizar um certificado para assinar objetos.
9. Preencha o formulário para definir a aplicação de assinatura de objetos e clique em Adicionar.  Esta definição de aplicação não descreve uma aplicação real, mas sim o tipo de objetos que pretende assinar com um certificado específico.  Utilize a ajuda online para determinar como preencher o formulário.
10. Clique em OK para acusar a recepção da mensagem de confirmação da definição de aplicação e visualizar a lista de tarefas Gerir Aplicações.
11. Na lista de tarefas, selecione Atualizar atribuição de certificados e clique em OK para visualizar uma lista de IDs de aplicação de assinatura de objetos para os quais pode atribuir um certificado.
12. Selecione o ID da aplicação na lista e clique em Atualizar Atribuição de Certificados.
13. Selecione o certificado que a CA privada no sistema central criou e clique em Atribuir Novo Certificado.

Quando concluir estas tarefas, já dispõe de tudo o que é necessário para começar a assinar objetos para assegurar a sua integridade.

Quando distribui objetos assinados, os que recebem os objetos têm de utilizar a versão V5R1 do DCM para verificar a assinatura nos objetos para assegurar que os dados não são alterados e para verificar a identidade do emissor.  Para validar a assinatura, o receptor tem de ter uma cópia do certificado de verificação da assinatura.  Deverá fornecer uma cópia deste certificado como parte do pacote de objetos assinados.

O receptor também deverá possuir uma cópia do certificado da CA que emitiu o certificado utilizado para assinar o objeto. Se tiver assinado os objetos com um certificado de uma CA de Internet muito conhecida, a versão do DCM do receptor já deverá ter uma cópia do certificado da CA necessário.  No entanto, deverá fornecer uma cópia do certificado de CA, num pacote em separado, juntamente com os objetos assinados, se necessário.  Por exemplo, deverá fornecer uma cópia do certificado de CA se tiver assinado os objetos com um certificado de uma CA privada.  Por motivos de segurança, deverá fornecer o certificado de CA num pacote separado ou disponibilizar publicamente o certificado de CA a pedido de quem dele precise.

O arquivo de certificados *OBJECTSIGNING já existe

Pode utilizar os certificados nos arquivos de arquivos de certificados transferidos de um arquivo de certificados *OBJECTSIGNING existente num sistema com a V5R1.  Para isso, tem de importar os certificados dos arquivos de arquivo de certificados para o arquivo de certificados *OBJECTSIGNING existente.  No entanto, não é possível importar os certificados diretamente dos arquivos .KDB e .RDB porque não estão num formato que a função de importação do DCM possa reconhecer e utilizar.  Pode obter os certificados para o arquivo de certificados *OBJECTSIGNING existente abrindo os arquivos transferidos como Outro Arquivo de Certificados do Sistema no sistema destino com a V5R1.  Em seguida, pode exportar os certificados diretamente para o arquivo de certificados *OBJECTSIGNING.  Tem de exportar uma cópia do próprio certificado privado e do certificado de CA privada dos arquivos transferidos.

Para exportar os certificados dos arquivos de arquivo de certificados e diretamente para o arquivo de certificados *OBJECTSIGNING, conclua estes passos no sistema destino com a V5R1:

1. Inicie uma sessão do DCM.
2. Na moldura de navegação do DCM, clique em Selecionar um Arquivo de Certificados e especifique Outro Arquivo de Certificados do Sistema como o arquivo de certificados a abrir.
3. Forneça o caminho completo e o nome do arquivo para os arquivos de arquivo de certificados e a senha utilizada quando os criou, e clique em Continuar.
4. Após a atualização da moldura de navegação, selecione Gerir Certificados na moldura de navegação para visualizar uma lista de tarefas e selecione Exportar certificado.
5. Selecione Autoridade de Certificação como o tipo de certificado a exportar e clique em Continuar.

   Nota:

   O discurso para esta tarefa pressupõe que, quando trabalha com Outro Arquivo de Certificados do Sistema, está a trabalhar com certificados servidor ou cliente. Isto deve-se ao fato de este tipo de arquivo de certificados se destinar a ser utilizado como arquivo de certificados secundário para o arquivo de certificados *SYSTEM. No entanto, utilizar a tarefa de exportação neste arquivo de certificados é a forma mais fácil de obter os certificados dos arquivos transferidos para o arquivo de certificados *OBJECTSIGNING existente.

6. Selecione o certificado de CA local a exportar e clique em Exportar.

   Nota:

   Deve exportar o certificado de CA para o arquivo de certificados antes de exportar o certificado de assinatura de objetos para o arquivo de certificados. Se exportar primeiro o certificado de assinatura de objetos, poderá encontrar um erro porque o certificado de CA não existe no arquivo de certificados.

7. Selecione Arquivo de certificados como destino para o certificado exportado e clique em Continuar.
8. Introduza *OBJECTSIGNING como arquivo de certificados destino e introduza a senha para o arquivo de certificados, e clique em Continuar.
9. Já pode exportar o certificado de assinatura de objetos para o arquivo de certificados *OBJECTSIGNING.  Repita os passos para exportar um certificado.  Tem de selecionar servidor ou cliente como tipo de certificado a exportar e selecionar o certificado de assinatura de objetos privado para exportar para o arquivo de certificados *OBJECTSIGNING.