Utilizar uma CA privada para emitir certificados para outros sistemas iSeries

Pode já estar a utilizar uma Autoridade de Certificação (CA) privada num sistema iSeries AS/400 na rede.  Agora, deseja expandir a utilização desta CA a outro sistema iSeries na rede.  Por exemplo, pretende que a CA privada atual emita um certificado de servidor ou cliente para uma aplicação noutro sistema iSeries para utilização para sessões de comunicações de SSL.  Por outro lado, pretende utilizar certificados da CA privada num sistema para assinar objetos armazenados noutro sistema iSeries.

Pode atingir este objetivo utilizando o Gestor de Certificados Digitais (DCM).  Pode executar algumas das tarefas no iSeries em que funciona a CA local e executar outras no iSeries secundário anfitrião das aplicações para as quais pretende emitir certificados.  Este sistema secundário chama-se sistema destino.  As tarefas que tem de executar no sistema destino dependem do nível de edição desse sistema.

Nota: Pode ter um problema se o sistema iSeries em que funciona a CA local utilizar um produto fornecedor de acesso criptográfico (5722-AC2 ou 5722-AC3) que forneça codificação mais forte do que o sistema destino. Quando exporta o certificado (com a respectiva chave privada), o sistema codifica o arquivo para proteger o respectivo conteúdo. Se o sistema utilizar um produto criptográfico mais forte do que o sistema destino, o sistema destino não conseguirá descodificar o arquivo durante o processo de importação. Por conseguinte, a importação poderá falhar ou o certificado poderá não ser utilizável para estabelecer sessões de SSL. Esta situação é verdadeira mesmo que utilize um tamanho de chave para o novo certificado que seja apropriado para utilização com o produto criptográfico no sistema destino.

Pode utilizar a CA privada para emitir certificados para outros sistemas que pode, em seguida, utilizar para assinar objetos ou para que as aplicações possam estabelecer sessões de SSL.  Quando utiliza a CA privada para criar um certificado para utilização noutro sistema iSeries, os arquivos criados pelo DCM contêm uma cópia do certificado da CA privada, bem como cópias de certificados de várias CAs de Internet públicas.

As tarefas que tem de executar no DCM variam ligeiramente consoante o tipo de certificado emitido pela CA privada, e o nível de edição e as condições do sistema destino.

Emitir certificados privados para utilização noutro sistema iSeries com a V5R1

Para utilizar a CA local para emitir certificados para utilização noutro sistema iSeries com a V5R1, execute estes passos no sistema anfitrião da CA local:

  1. Inicie uma sessão do DCM.
    Nota: Se tiver dúvidas sobre como preencher um formulário específico nesta tarefa orientada, seleccione o botão com o ponto de interrogação (?) no início da página para acessar à ajuda online.
  2. Na moldura de navegação, selecione Criar Certificado para ver uma lista de tipos de certificado que pode utilizar a CA local para criar.

    Não tem de abrir um arquivo de certificados para concluir esta tarefa.  Estas instruções pressupõem que não está a trabalhar num arquivo de certificados específico ou que está a trabalhar no arquivo de certificados da Autoridade de Certificação (CA) Local.  Tem de existir uma CA local neste sistema para poder executar estas tarefas.

  3. Selecione o tipo de certificado que pretende que a CA emita e clique em Continuar para iniciar a tarefa orientada e preencher uma série de formulários.  Opte por criar um certificado servidor ou cliente para outro AS/400 (para sessões de SSL) ou um certificado de assinatura de objetos para outro AS/400 (para utilização noutro sistema).
    Nota: Se estiver a criar um certificado de assinatura de objetos para utilização por outro sistema, esse sistema tem de estar a utilizar uma versão V5R1 ou posterior do OS/400 para utilizar o certificado. Uma vez que o sistema destino tem de ter a versão V5R1 ou posterior instalada, o DCM no sistema central não lhe pede para selecionar um formato de edição destino para o novo certificado de assinatura de objetos.
  4. Se estiver a criar um certificado servidor ou cliente, selecione o nível de edição do iSeries AS/400 para o qual está a criar este certificado.  Clique em Continuar para visualizar um formulário que lhe permite fornecer informações de identificação para o novo certificado.
    Nota: O nível de edição selecionado determina o formato utilizado pelo DCM para criar o novo certificado. A quantidade e o tipo de informações de identificação no formulário variam consoante o nível de edição selecionado. Isto assegura que os arquivos de certificado são compatíveis com o sistema iSeries que vai utilizar o certificado.
  5. Preencha o formulário e clique em Continuar para visualizar uma mensagem de confirmação.
    Nota: Se houver um arquivo de certificados *OBJECTSIGNING ou *SYSTEM existente no sistema destino, não se esqueça de especificar uma etiqueta de certificado única e um nome de arquivo único para o certificado. Especificar uma etiqueta e um nome de arquivo únicos para o certificado assegura que pode importar facilmente o certificado para o arquivo de certificados existente no sistema destino.
    Esta página de confirmação apresenta os nomes dos arquivos criados pelo DCM para transferência para o sistema destino.  O DCM cria estes arquivos com base no nível de edição do sistema destino especificado. O DCM coloca automaticamente uma cópia do certificado de CA privada nestes arquivos.
    Nota: Se escolher um certificado servidor ou cliente com uma edição destino V4R4 ou posterior (ou um certificado de assinatura de objetos), o DCM cria o novo certificado no seu próprio arquivo de certificados e gera dois arquivos para transferência: um arquivo de arquivo de certificados (extensão .KDB) e um arquivo de pedidos (extensão .RDB). Se escolher um certificado servidor ou cliente com uma edição destino V4R3, o DCM cria o novo certificado num arquivo de conjunto de chaves mistas e gera um arquivo isolado (extensão .KYR) para transferência.
  6. Utilize o protocolo File Transfer Protocol (FTP) ou outro método para transferir os arquivos para o sistema destino.

Emitir certificados privados para utilização num sistema iSeries com a V4R4 ou V4R5

Para utilizar a CA local para emitir certificados para utilização noutro sistema iSeries com a V5R1, execute estes passos no sistema anfitrião da CA local:

  1. Inicie uma sessão do DCM.
    Nota: Se tiver dúvidas sobre como preencher um formulário específico nesta tarefa orientada, selecione o botão com o ponto de interrogação (?) no início da página para acessar à ajuda online.
  2. Na moldura de navegação, selecione Criar Certificado para ver uma lista de tipos de certificado que pode utilizar a CA local para criar.

    Não tem de abrir um arquivo de certificados para concluir esta tarefa.  Estas instruções pressupõem que não está a trabalhar num arquivo de certificados específico ou que está a trabalhar no arquivo de certificados da Autoridade de Certificação (CA) Local.  Tem de existir uma CA local neste sistema para poder executar estas tarefas.

  3. Selecione o tipo de certificado que pretende que a CA emita e clique em Continuar para iniciar a tarefa orientada e preencher uma série de formulários.
    Nota: Uma vez que está a criar este certificado para utilização num sistema iSeries com a V4R4 ou V4R5, tem de escolher certificado servidor ou cliente para outro AS/400. Os sistemas destino com um nível de edição anterior à V5R1 não podem utilizar certificados de assinatura de objetos.
  4. Selecione o nível de edição do iSeries AS/400 para o qual está a criar este certificado. Clique em Continuar para visualizar um formulário que lhe permite fornecer informações de identificação para o novo certificado.
    Nota: O nível de edição selecionado determina o formato utilizado pelo DCM para criar o novo certificado. A quantidade e o tipo de informações de identificação no formulário variam consoante o nível de edição seleccionado. Isto assegura que os arquivos de certificado são compatíveis com o sistema iSeries que vai utilizar o certificado.
  5. Preencha o formulário e clique em Continuar para visualizar uma mensagem de confirmação.  Esta página de confirmação apresenta os nomes dos arquivos criados pelo DCM para transferência para o sistema destino.  O DCM cria estes arquivos com base no nível de edição do sistema destino especificado.  O DCM coloca automaticamente uma cópia do certificado de CA privada nestes arquivos.
    Nota: Se escolher um certificado servidor ou cliente com uma edição destino V4R4 ou posterior (ou um certificado de assinatura de objetos), o DCM cria o novo certificado no seu próprio arquivo de certificados e gera dois arquivos para transferência: um arquivo de arquivo de certificados (extensão .KDB) e um arquivo de pedidos (extensão .RDB). Se escolher um certificado servidor ou cliente com uma edição destino V4R3, o DCM cria o novo certificado num arquivo de conjunto de chaves mistas e gera um arquivo isolado (extensão .KYR) para transferência.
    Nota: Se tenciona utilizar os certificados destes arquivos num arquivo de certificados *SYSTEM existente num sistema destino com a V4R4 ou V4R5, não pode importar o certificado de CA privada directamente dos arquivos .KDB e .RDB. Isto deve-se ao fato de o certificado de CA não estar num formato que a função de importação do DCM possa reconhecer e utilizar. Em vez disso, tem de utilizar o sistema central para exportar uma cópia do certificado de CA privada para um arquivo separado de modo a assegurar que o certificado de CA esteja num formato que funcione com a função de importação para edições anteriores.
  6. Na moldura de navegação, clique em Selecionar um Arquivo de Certificados e selecione *SYSTEM como o arquivo de certificados a abrir.
  7. Quando a página Senha for apresentada, forneça a senha especificada para o arquivo de certificados quando o criou no sistema central e clique em Continuar.
  8. Na moldura de navegação, selecione Gerir Aplicações para visualizar uma lista de tarefas.
  9. Na lista de tarefas, selecione Exportar certificado.
  10. Selecione Autoridade de Certificação (CA) como o tipo de certificado a exportar e clique em Continuar para visualizar uma lista de certificados de CA.
  11. Na lista de certificados, selecione o certificado de CA privada (por exemplo, LOCAL_CERTIFICATE_AUTHORITY). Clique em Exportar para visualizar um formulário que lhe permite escolher o destino para o certificado de CA.
  12. Selecione Arquivo e clique em Continuar.
  13. Especifique o caminho completo e o nome do arquivo a utilizar para o arquivo de exportação e clique em Continuar.  É apresentada uma página de confirmação para indicar que o DCM exportou o arquivo com êxito.
    Nota: Certifique-se de que dá ao arquivo um nome único e extensão. Por exemplo, pode atribuir ao arquivo o nome meuarqca.exp. Quando atribui o nome ao arquivo, não utilize uma destas extensões para o ficheiro: .TXT, .KDB, .RDB ou .KYR. A extensão utilizada afecta o formato do certificado de CA exportado.
  14. Utilize o protocolo File Transfer Protocol (FTP) binário ou outro método para transferir todos os arquivos para o sistema destino com a V4R4 ou V4R5.

Utilizar os arquivos transferidos no sistema destino

Depois de transferir os arquivos, utilize o DCM no sistema destino para trabalhar com os arquivos de certificado transferidos.  As tarefas do DCM executadas variam consoante o nível de edição do sistema destino e os arquivos de certificados existentes no sistema destino.  Além disso, o tipo de certificado criado no sistema central afeta as tarefas que tem de executar no sistema de destino.  Para obter mais informações sobre como utilizar o DCM no sistema destino para trabalhar com os arquivos de certificados transferidos, analise estes tópicos:

  • Utilizar um certificado privado para sessões de SSL num sistema destino com a V5R1.
  • Utilizar um certificado privado para a assinatura de objetos num sistema destino com a V5R1.
  • Utilizar um certificado privado para sessões de SSL num sistema destino com a V4R4 ou V4R5.
  • Utilizar um certificado privado para sessões de SSL num sistema destino com a V4R3.

Palavras-chave:

|

Crie um site gratuito Webnode