Руководство по управлению системой: Сети и средства связи

Работа с Администратором ключей IBM

В AIX 4.3.3 и более поздних версиях, для управления цифровыми сертификатами предназначено средство Администратор ключей IBM. Администратор ключей IBM устанавливается при установке набора файлов gskit.rte из дополнительного пакета установки.

В данный раздел содержит инструкции по выполнению следующих задач с помощью Администратора ключей IBM:

1. Создание базы данных ключей
2. Добавление надежного базового цифрового сертификата CA
3. Настройка параметра надежности сертификата
4. Удаление надежного базового цифрового сертификата CA
5. Создание и отправка запроса на цифровой сертификат
6. Добавление (получение) нового цифрового сертификата
7. Удаление цифрового сертификата
8. Изменение пароля базы данных
9. Создание туннелей IKE с помощью цифровых сертификатов

Для установки цифровых сертификатов и настройки поддержки цифровых подписей необходимо выполнить, по крайней мере, шаги 1, 2, 3, 4, 6 и 7. Затем необходимо с помощью Web-администратора системы создать туннель IKE и связать с ним стратегию, использующую метод идентификации на основе Подписи RSA.

Создание базы данных ключей

База данных ключей позволяет создавать между конечными системами VPN соединения с помощью цифровых сертификатов. В VPN системы защиты IP применяется формат базы данных ключей (*.kdb).

В администратор ключей IBM входят следующие цифровые сертификаты сертификатных компаний:

• RSA Secure Server Certification Authority
• Thawte Personal Premium Certification Authority
• Thawte Personal Freemail Certification Authority
• Thawte Personal Basic Certification Authority
• Thawte Personal Server Certification Authority
• Thawte Server Certification Authority
• Verisign Class 1 Public Primary Certification Authority
• Verisign Class 2 Public Primary Certification Authority
• Verisign Class 3 Public Primary Certification Authority
• Verisign Class 4 Public Primary Certification Authority

С помощью этих цифровых сертификатов подписей клиенты могут подключаться к серверам, предъявившим правильный сертификат, полученный от одной из этих сертификатных компаний. Для подключения к серверу, предъявляющему сертификат, полученный от одной из этих сертификатных компаний, достаточно создать базу данных ключей.

Для работы с цифровых сертификатом подписи, который не входит в этот список, необходимо отправить в сертификатную компанию запрос на получение цифрового сертификата и добавить полученный сертификат в базу данных ключей (см Добавление базового надежного цифрового сертификата сертификатной компании).

Выполните следующие действия для создания базы данных ключей:

1. Запустите средство Администратор ключей IBM с помощью следующей команды:

   certmgr
   

2. Выберите опцию Создать из выпадающего меню База данных ключей.
3. Подтвердите значение по умолчанию Файл базы данных ключей CMS, указанное в поле Тип базы данных ключей.
4. Введите следующее имя файла в поле Имя файла :

   ikekey.kdb
   

5. Введите следующий каталог, в котором находится база данных, в поле Расположение:

   /etc/security
   

   Внимание: Файл базы данных ключей должен носить имя ikekey.kbd и находиться в каталоге /etc/security, в противном случае функция защиты IP не будет действовать.

6. Нажмите кнопку OK. Появится меню Ввод пароля .
7. Введите пароль в поле Пароль и в поле Подтверждение пароля.
8. Для изменения срока истечения действия пароля введите нужное число дней в поле Задать срок истечения? . По умолчанию в этом поле указано значение 60 дней. Если нужно задать неограниченный срок действия пароля, оставьте поле Задать срок истечения? пустым .
9. Для сохранения пароля в специальном файле в зашифрованном виде выберите поле Сохранить пароль в файле? и введите yes.

   Примечание: Для применения цифровых сертификатов с защитой IP пароль необходимо сохранить в файле.

10. Нажмите кнопку OK. Появится меню, предназначенное для подтверждения создания базы данных ключей.
11. Еще раз нажмите OK и вы вернетесь к меню Администратор ключей IBM. Вы можете продолжить работу или завершить работу администратора.

Добавление надежного базового цифрового сертификата CA

Отправив запрос и получив базовый цифровой сертификат от сертификатной компании, нужно добавить его в базу данных. Большинство базовый цифровых сертификатов имеют формат *.arm, например:

cert.arm

Выполните следующие действия, чтобы добавить базовый цифровой сертификат сертификатной компании в базу данных:

1. Если средство Администратор ключей IBM не запущено, введите следующую команду:

   certmgr
   

2. В главном меню выберите из выпадающего меню Файл базы данных ключей опцию Открыть.
3. Выделите файл базы данных ключей, в который необходимо добавить базовый цифровой сертификат CA, и нажмите кнопку Открыть.
4. Введите пароль и нажмите кнопку OK. Если пароль будет принят, снова появится меню Администратор ключей IBM . В строке заголовка теперь будет показано имя выбранного файла базы данных ключей. Это означает, что файл открыт и готов к работе.
5. Выберите из выпадающего меню Личные/базовые сертификаты опцию Базовые сертификаты.
6. Нажмите кнопку Добавить.
7. Выберите тип данных в выпадающем меню Тип данных, например:

   Данные ASCII, зашифрованные Base64
   

8. Введите имя файла и расположение базового цифрового сертификата CA, или нажмите кнопку Обзор, чтобы выбрать имя и каталог.
9. Нажмите кнопку OK.
10. Введите метку для базового цифрового сертификата CA, например, Verisign Test CA Root Certificate, и нажмите кнопку OK. Снова появится меню Администратор ключей IBM. В поле Базовые сертификаты будет показана метка добавленного базового цифрового сертификата CA. Вы можете продолжить работу или завершить работу администратора.

Настройка параметра надежности сертификата

Для установленных сертификатов CA по умолчанию задается значение надежный. Ниже описано изменение параметров надежности.

1. Если средство Администратор ключей IBM не запущено, введите следующую команду:

   certmgr
   

2. В главном меню выберите из выпадающего меню Файл базы данных ключей опцию Открыть.
3. Выделите файл базы данных ключей, в котором необходимо изменить заданный по умолчанию цифровой сертификат, и нажмите кнопку Открыть.
4. Введите пароль и нажмите кнопку OK. Если пароль будет принят, снова появится меню Администратор ключей IBM . В строке заголовка теперь будет показано имя выбранного файла базы данных ключей. Это означает, что файл открыт.
5. Выберите из выпадающего меню Личные/базовые сертификаты опцию Базовые сертификаты.
6. Выделите сертификат, который необходимо изменить, и нажмите кнопку Просмотреть/Изменить или дважды нажмите кнопку мыши на записи. Появится меню Информация о ключах для данного сертификата.
7. Для того чтобы назначить сертификат в качестве базового надежного сертификата, включите опцию Назначить сертификат в качестве надежного базового и нажмите кнопку OK. Если сертификат не является надежным, отключите эту опцию и нажмите кнопку OK.
8. Нажмите кнопку OK в меню Базовые сертификаты. Снова появится меню Администратор ключей IBM. Вы можете продолжить работу или завершить работу администратора.

Удаление надежного базового цифрового сертификата CA

Для того чтобы отключить поддержку одной из сертификатных компаний из списка базовых цифровых сертификатов, необходимо удалить соответствующий базовый цифровой сертификат сертификатной компании.

Примечание: Перед удалением базового цифрового сертификата CA создайте резервную копию на случай, если понадобиться восстановить этот сертификат в будущем.

Выполните следующие действия, чтобы удалить базовый цифровой сертификат сертификатной компании из базы данных:

1. Если средство Администратор ключей IBM не запущено, введите следующую команду:

   certmgr
   

2. В главном меню выберите из выпадающего меню Файл базы данных ключей опцию Открыть.
3. Выделите файл базы данных ключей, из которого необходимо удалить базовый цифровой сертификат CA, и нажмите кнопку Открыть.
4. Введите пароль и нажмите кнопку OK. Если пароль будет принят, снова появится меню Администратор ключей IBM . В строке заголовка теперь будет показано имя выбранного файла базы данных ключей. Это означает, что файл открыт и готов к работе.
5. Выберите из выпадающего меню Личные/базовые сертификаты опцию Базовые сертификаты.
6. Выделите сертификат, который необходимо удалить, и нажмите кнопку Удалить. Появится меню Подтверждение.
7. Нажмите кнопку Да. Снова появится меню Администратор ключей IBM. Из поля Базовые сертификаты пропадет метка удаленного базового цифрового сертификата CA. Вы можете продолжить работу или завершить работу администратора.

Создание и отправка запроса на цифровой сертификат

Для получения цифрового сертификата создайте запрос с помощью Администратора ключей IBM и оправьте его в сертификатную компанию. Файл запроса создается в формате PKCS#10. Сертификатная компания идентифицирует вас и отправляет вам цифровой сертификат.

Выполните следующие действия для создания и отправки запроса на цифровой сертификат:

1. Если средство Администратор ключей IBM не запущено, введите следующую команду:

   certmgr
   

2. В главном меню выберите из выпадающего меню Файл базы данных ключей опцию Открыть.
3. Выделите файл базы данных ключей /etc/security/ikekey.kdb, в котором необходимо создать запрос, и нажмите кнопку Открыть.
4. Введите пароль и нажмите кнопку OK. Если пароль будет принят, снова появится меню Администратор ключей IBM. В строке заголовка теперь будет показано имя выбранного файла базы данных ключей. Это означает, что файл открыт и готов к работе.
5. Выберите из выпадающего меню Личные/базовые сертификаты (в AIX версии 4) вариант Запросы на личные сертификаты или выберите опцию Создать --> Новый запрос на сертификат (в SWsym.Version500;).
6. Нажмите кнопку Создать.
7. В появившемся меню введите Метку ключа для собственного сертификата, например:

   keytest
   

8. Введите Общее имя (по умолчанию применяется имя хоста) и название Организации, а затем выберите Страну. Введите значения в оставшиеся поля, или примите значения, заданные по умолчанию.
9. Задайте определение Альтернативного имени. С Альтернативным именем связаны три поля, заполнять которые необязательно: адрес электронной почты, IP-адрес и имя DNS. Для того, чтобы задать IP-адрес туннеля, введите в соответствующем поле IP-адрес, настроенный для туннеля IKE. Если ИД туннеля имеет вид user@FQDN, заполните поле адреса электронной почты. Если ИД туннеля имеет вид FQDN, введите полное имя домена в поле имени DNS, например имя_хоста.имя_компании.com.
10. В нижней части меню введите имя файла, например:

    certreq.arm
    

11. Нажмите кнопку OK. Появится меню, предназначенное для подтверждения создания запроса на получение цифрового сертификата.
12. Нажмите кнопку OK. Снова появится меню Администратор ключей IBM. В поле Запросы на получение личных сертификатов будет показана метка ключа для созданного запроса на цифровой сертификат (PKCS#10).
13. Отправьте созданный файл в сертификатную компанию для получения цифрового сертификата.
14. Вы можете продолжить работу или завершить работу администратора.

Добавление (получение) нового цифрового сертификата

Получив цифровой сертификат от сертификатной компании, необходимо добавить его в базу данных ключей, в которой был создан запрос.

Выполните следующие действия, чтобы добавить (получить) цифровой сертификат:

1. Если средство Администратор ключей IBM не запущено, введите следующую команду:

   certmgr
   

2. В главном меню выберите из выпадающего меню Файл базы данных ключей опцию Открыть.
3. Выделите базу данных ключей, в которой был создан запрос на получение цифрового сертификата, и нажмите кнопку Открыть.
4. Введите пароль и нажмите кнопку OK. Если пароль будет принят, снова появится меню Администратор ключей IBM. В строке заголовка теперь будет показано имя выбранного файла базы данных ключей. Это означает, что файл открыт и готов к работе.
5. Выберите из выпадающего меню Личные/базовые сертификаты вариант Запросы на личные сертификаты.
6. Нажмите кнопку Получить (чтобы добавить полученный цифровой сертификат в базу данных).
7. Выберите тип данных для нового цифрового сертификата из выпадающего меню Тип данных. По умолчанию применяется тип Данные ASCII, зашифрованные Base64a.
8. Введите имя файла и расположение цифрового сертификата, или нажмите кнопку Обзор, чтобы выбрать имя и каталог.
9. Нажмите кнопку OK.
10. Введите метку описания для нового цифрового сертификата, например:

    Сертификат узла VPN
    

11. Нажмите кнопку OK. Снова появится меню Администратор ключей IBM. В поле Личные сертификаты будет показана метка добавленного цифрового сертификата.

    Если процедура прошла успешно, вы можете продолжить работу или завершить работу администратора.

    Если при получении сертификата произошла ошибка, убедитесь, что файл сертификата начинается с текста -----BEGIN CERTIFICATE----- и заканчивается текстом -----END CERTIFICATE-----.

    Например:

    -----BEGIN CERTIFICATE-----
    ajdkfjaldfwwwwwwwwwwadafdw
    kajf;kdsajkflasasfkjafdaff
    akdjf;ldasjkf;safdfdasfdas
    kaj;fdljk98dafdas43adfadfa
    -----END CERTIFICATE-----
    

    Если текст сертификата не совпадает с приведенным выше, добавьте соответствующие строки в начало и конец сертификата.

Удаление цифрового сертификата

Если вам больше не нужен один из цифровых сертификатов, удалите его из базы данных, выполнив следующие действия.

Примечание: Перед удалением цифрового сертификата создайте резервную копию на случай, если понадобиться восстановить этот сертификат в будущем.

1. Если средство Администратор ключей IBM не запущено, введите следующую команду:

   certmgr
   

2. В главном меню выберите из выпадающего меню Файл базы данных ключей опцию Открыть.
3. Выделите файл базы данных ключей, из которого необходимо удалить цифровой сертификат, и нажмите кнопку Открыть.
4. Введите пароль и нажмите кнопку OK. Если пароль будет принят, снова появится меню Администратор ключей IBM. В строке заголовка теперь будет показано имя выбранного файла базы данных ключей. Это означает, что файл открыт и готов к работе.
5. Выберите из выпадающего меню Личные/базовые сертификаты вариант Запросы на личные сертификаты.
6. Выделите цифровой сертификат, который необходимо удалить, и нажмите кнопку Удалить. Появится меню Подтверждение.
7. Нажмите кнопку Да. Снова появится меню Администратор ключей IBM. Из поля Личные сертификаты пропадет метка удаленного цифрового сертификата.

   Вы можете продолжить работу или завершить работу администратора.

Изменение пароля базы данных

Выполните следующие действия, чтобы изменить пароль базы данных ключей:

1. Если средство Администратор ключей IBM не запущено, введите следующую команду:

   certmgr
   

2. В главном меню выберите из выпадающего меню Файл базы данных ключей опцию Изменить пароль.
3. Введите новый пароль в поле Пароль и в поле Подтверждение пароля.
4. Для изменения срока истечения действия пароля введите нужное число дней в поле Задать срок истечения? . По умолчанию в этом поле указано значение 60 дней. Если нужно задать неограниченный срок действия пароля, оставьте поле Задать срок истечения? пустым .
5. Для сохранения пароля в специальном файле в зашифрованном виде выберите поле Сохранить пароль в файле? и введите yes.

   Примечание: Для применения цифровых сертификатов с защитой IP пароль необходимо сохранить в файле.

6. Нажмите кнопку OK. В строке состояния будет показано сообщение об успешной обработке запроса.
7. Еще раз нажмите OK и вы вернетесь к меню Администратор ключей IBM. Вы можете продолжить работу или завершить работу администратора.

Создание туннелей IKE с помощью цифровых сертификатов

Для создания туннелей IKE, применяющих цифровые сертификаты следует использовать Web-администратор системы и средство Администратор ключей IBM.

Для поддержки цифровых сертификатов необходимо при определении стратегий стратегий управления ключами туннелей IKE необходимо настроить преобразование, применяющее режим подписи. В Режиме подписи идентификация осуществляется с помощью алгоритма подписи RSA. Выбрать метод идентификации подписи RSA или подписи RSA с проверкой CRL для Защиты IP позволяет Окно Web-администратора системы "Добавить/изменить преобразование".

По крайней мере в одной конечной системе туннеля должна быть определена стратегия, применяющая преобразование в режиме подписи. Режим подписи позволяет настроить с помощью Web-администратора системы другие преобразования.

Защита IP поддерживает следующие типы туннелей управления ключами IKE (поле Тип хоста на вкладке Идентификация):

• IP-адрес
• Полное имя домена (FQDN)
• пользователь@FQDN
• Отличительное имя X.500
• Идентификатор ключа

Для выбора типа хоста предназначена вкладка Свойства туннеля управления ключами - Идентификация Web-администратора системы. Если вы выберите IP-адрес, FQDN или пользователь@FQDN, необходимо задать значения в Web-администраторе системы и передать эти значения в сертификатную компанию. Эта информация включается в личный цифровой сертификат в качестве альтернативного имени.

Например, если вы выберите из выпадающего списка на вкладке Идентификация Web-администратора системы тип Отличительное имя X.500 и введете Идентификатор хоста /C=US/O=IBM/OU=SERV/CN=name.austin.ibm.com, то при создании запроса на цифровой сертификат с помощью Администратора ключей IBM следует ввести следующие значения:

• Общее имя: name.austin.ibm.com
• Организация: IBM
• Организационное подразделение: SERV
• Страна : US

Введенное отличительное имя X.500 должно быть настроена системным администратором/администратором LDAP. Значение организационной единицы указывать необязательно. Сертификатная компания включит эту информацию в выданный цифровой сертификат.

Или например, если вы выберите из выпадающего списка тип хоста IP-адрес и введете идентификатор хоста 10.10.10.1, в запросе на цифровой сертификат необходимо указать следующие значения:

• Общее имя: name.austin.ibm.com
• Организация: IBM
• Организационное подразделение: SERV
• Страна : US
• Поле Альтернативный IP-адрес: 10.10.10.1

После создания запроса на сертификат сертификатная компания включит эти данные в выданный личный цифровой сертификат.

Запрос на получение личного цифрового сертификата от сертификатной компании должен содержать следующую информацию:

• Тип запрашиваемого сертификата - X.509.
• Формат подписи - MD5 с шифрованием RSA.
• Указано ли альтернативное имя. Типы альтернативных имен:
  • IP-адрес
  • Полное имя домена (FQDN)
  • пользователь@FQDN

  Информация об альтернативном имени заносится в файл запроса на сертификат.

• Планируемое использование ключа (необходимо выбрать бит цифровой подписи).
• Файл запроса на получение цифрового сертификата Администратора ключей IBM (в формате PKCS#10).

Подробные инструкции по созданию запроса на цифровой сертификат с помощью средства Администратор ключей IBM приведены в разделе Создание и отправка запроса на цифровой сертификат.

Перед активацией туннеля IKE необходимо добавить личный цифровой сертификат, полученный от сертификатной компании в базу данных Администратора ключей IBM, файл ikekey.kdb. Дополнительная информация приведена в разделе Добавление (получение) нового цифрового сертификата.

Защита IP поддерживает следующие типы личный цифровых сертификатов:

Отличительное имя

Отличительное имя должно быть указано в следующем формате:

/C=US/O=IBM/OU=SERV/CN=name.austin.ibm.com

Администратор ключей IBM позволяет ввести только одно значение OU.

Отличительное имя и альтернативное имя в виде IP-адреса

Отличительное и альтернативное имена могут быть указаны в виде IP-адреса, например:

/C=US/O=IBM/OU=SERV/CN=name.austin.ibm.com and 10.10.10.1

Отличительное имя и альтернативное имя в виде FQDN

Отличительное и альтернативное имена могут быть указаны в виде полного имени домена, например:

/C=US/O=IBM/OU=SERV/CN=name.austin.ibm.com and bell.austin.ibm.com.

Отличительное имя и альтернативное имя в виде пользователь@FQDN

Отличительное и альтернативное имена могут быть указаны в виде адреса пользователя (ИД_пользователя@полное_имя_домена), например:

/C=US/O=IBM/OU=SERV/CN=name.austin.ibm.com and name@austin.ibm.com.

Отличительное имя и несколько альтернативных имен

Отличительное имя может быть связано с несколькими альтернативными именами, например:

/C=US/O=IBM/OU=SERV/CN=name.austin.ibm.com and bell.austin.ibm.com, 10.10.10.1, and user@name.austin.ibm.com.