[ Страница назад | Страница вперед | Содержание | Индекс | Библиотека |
Юридическая информация |
Поиск ]
Руководство по управлению системой: Сети и средства связи
В AIX 4.3.3 и более поздних версиях, для управления цифровыми
сертификатами предназначено средство Администратор ключей IBM.
Администратор ключей IBM устанавливается при установке набора файлов
gskit.rte из дополнительного пакета установки.
В данный раздел содержит инструкции по выполнению следующих задач с помощью
Администратора ключей IBM:
- Создание базы данных ключей
- Добавление надежного базового цифрового сертификата
CA
- Настройка параметра надежности сертификата
- Удаление надежного базового цифрового сертификата
CA
- Создание и отправка запроса на цифровой
сертификат
- Добавление (получение) нового цифрового
сертификата
- Удаление цифрового сертификата
- Изменение пароля базы данных
- Создание туннелей IKE с помощью цифровых
сертификатов
Для установки цифровых сертификатов и настройки поддержки цифровых подписей
необходимо выполнить, по крайней мере, шаги 1, 2, 3, 4, 6 и 7. Затем
необходимо с помощью Web-администратора системы создать туннель IKE и связать
с ним стратегию, использующую метод идентификации на основе Подписи
RSA.
База данных ключей позволяет создавать между конечными системами VPN
соединения с помощью цифровых сертификатов. В VPN системы защиты IP
применяется формат базы данных ключей (*.kdb).
В администратор ключей IBM входят следующие цифровые сертификаты
сертификатных компаний:
- RSA Secure Server Certification Authority
- Thawte Personal Premium Certification Authority
- Thawte Personal Freemail Certification Authority
- Thawte Personal Basic Certification Authority
- Thawte Personal Server Certification Authority
- Thawte Server Certification Authority
- Verisign Class 1 Public Primary Certification Authority
- Verisign Class 2 Public Primary Certification Authority
- Verisign Class 3 Public Primary Certification Authority
- Verisign Class 4 Public Primary Certification Authority
С помощью этих цифровых сертификатов подписей клиенты могут подключаться к
серверам, предъявившим правильный сертификат, полученный от одной из этих
сертификатных компаний. Для подключения к серверу, предъявляющему
сертификат, полученный от одной из этих сертификатных компаний, достаточно
создать базу данных ключей.
Для работы с цифровых сертификатом подписи, который не входит в этот
список, необходимо отправить в сертификатную компанию запрос на получение
цифрового сертификата и добавить полученный сертификат в базу данных ключей
(см Добавление базового надежного цифрового сертификата
сертификатной компании).
Выполните следующие действия для создания базы данных ключей:
- Запустите средство Администратор ключей IBM с помощью следующей
команды:
certmgr
- Выберите опцию Создать из выпадающего меню База данных
ключей.
- Подтвердите значение по умолчанию Файл базы данных ключей CMS,
указанное в поле Тип базы данных ключей.
- Введите следующее имя файла в поле Имя файла :
ikekey.kdb
- Введите следующий каталог, в котором находится база данных, в поле
Расположение:
/etc/security
Внимание: Файл базы данных ключей должен носить имя
ikekey.kbd и находиться в каталоге
/etc/security, в противном случае функция защиты IP не будет
действовать.
- Нажмите кнопку OK. Появится меню Ввод пароля
.
- Введите пароль в поле Пароль и в поле Подтверждение
пароля.
- Для изменения срока истечения действия пароля введите нужное число дней в
поле Задать срок истечения? . По умолчанию в этом поле
указано значение 60 дней. Если нужно задать неограниченный срок
действия пароля, оставьте поле Задать срок истечения? пустым
.
- Для сохранения пароля в специальном файле в зашифрованном виде выберите
поле Сохранить пароль в файле? и введите yes.
Примечание: Для применения цифровых сертификатов с защитой IP
пароль необходимо сохранить в файле.
- Нажмите кнопку OK. Появится меню, предназначенное для
подтверждения создания базы данных ключей.
- Еще раз нажмите OK и вы вернетесь к меню Администратор
ключей IBM. Вы можете продолжить работу или завершить работу
администратора.
Отправив запрос и получив базовый цифровой сертификат от сертификатной
компании, нужно добавить его в базу данных. Большинство базовый
цифровых сертификатов имеют формат *.arm, например:
cert.arm
Выполните следующие действия, чтобы добавить базовый цифровой сертификат
сертификатной компании в базу данных:
- Если средство Администратор ключей IBM не запущено, введите следующую
команду:
certmgr
- В главном меню выберите из выпадающего меню Файл базы данных
ключей опцию Открыть.
- Выделите файл базы данных ключей, в который необходимо добавить базовый
цифровой сертификат CA, и нажмите кнопку Открыть.
- Введите пароль и нажмите кнопку OK. Если пароль будет
принят, снова появится меню Администратор ключей IBM . В
строке заголовка теперь будет показано имя выбранного файла базы данных
ключей. Это означает, что файл открыт и готов к работе.
- Выберите из выпадающего меню Личные/базовые сертификаты опцию
Базовые сертификаты.
- Нажмите кнопку Добавить.
- Выберите тип данных в выпадающем меню Тип данных,
например:
Данные ASCII, зашифрованные Base64
- Введите имя файла и расположение базового цифрового сертификата CA, или
нажмите кнопку Обзор, чтобы выбрать имя и каталог.
- Нажмите кнопку OK.
- Введите метку для базового цифрового сертификата CA, например,
Verisign Test CA Root Certificate, и нажмите кнопку
OK. Снова появится меню Администратор ключей
IBM. В поле Базовые сертификаты будет показана метка
добавленного базового цифрового сертификата CA. Вы можете продолжить
работу или завершить работу администратора.
Для установленных сертификатов CA по умолчанию задается значение
надежный. Ниже описано изменение параметров
надежности.
- Если средство Администратор ключей IBM не запущено, введите следующую
команду:
certmgr
- В главном меню выберите из выпадающего меню Файл базы данных
ключей опцию Открыть.
- Выделите файл базы данных ключей, в котором необходимо изменить заданный
по умолчанию цифровой сертификат, и нажмите кнопку Открыть.
- Введите пароль и нажмите кнопку OK. Если пароль будет принят, снова
появится меню Администратор ключей IBM . В строке заголовка
теперь будет показано имя выбранного файла базы данных ключей. Это
означает, что файл открыт.
- Выберите из выпадающего меню Личные/базовые сертификаты опцию
Базовые сертификаты.
- Выделите сертификат, который необходимо изменить, и нажмите кнопку
Просмотреть/Изменить или дважды нажмите кнопку мыши на записи.
Появится меню Информация о ключах для данного сертификата.
- Для того чтобы назначить сертификат в качестве базового надежного
сертификата, включите опцию Назначить сертификат в качестве надежного
базового и нажмите кнопку OK. Если сертификат не
является надежным, отключите эту опцию и нажмите кнопку OK.
- Нажмите кнопку OK в меню Базовые сертификаты.
Снова появится меню Администратор ключей IBM. Вы можете
продолжить работу или завершить работу администратора.
Для того чтобы отключить поддержку одной из сертификатных компаний из
списка базовых цифровых сертификатов, необходимо удалить соответствующий
базовый цифровой сертификат сертификатной компании.
Примечание: Перед удалением базового цифрового сертификата CA
создайте резервную копию на случай, если понадобиться восстановить этот
сертификат в будущем.
Выполните следующие действия, чтобы удалить базовый цифровой сертификат
сертификатной компании из базы данных:
- Если средство Администратор ключей IBM не запущено, введите следующую
команду:
certmgr
- В главном меню выберите из выпадающего меню Файл базы данных
ключей опцию Открыть.
- Выделите файл базы данных ключей, из которого необходимо удалить базовый
цифровой сертификат CA, и нажмите кнопку Открыть.
- Введите пароль и нажмите кнопку OK. Если пароль будет
принят, снова появится меню Администратор ключей IBM . В
строке заголовка теперь будет показано имя выбранного файла базы данных
ключей. Это означает, что файл открыт и готов к работе.
- Выберите из выпадающего меню Личные/базовые сертификаты опцию
Базовые сертификаты.
- Выделите сертификат, который необходимо удалить, и нажмите кнопку
Удалить. Появится меню Подтверждение.
- Нажмите кнопку Да. Снова появится меню
Администратор ключей IBM. Из поля Базовые
сертификаты пропадет метка удаленного базового цифрового сертификата
CA. Вы можете продолжить работу или завершить работу
администратора.
Для получения цифрового сертификата создайте запрос с помощью
Администратора ключей IBM и оправьте его в сертификатную компанию. Файл
запроса создается в формате PKCS#10. Сертификатная компания
идентифицирует вас и отправляет вам цифровой сертификат.
Выполните следующие действия для создания и отправки запроса на цифровой
сертификат:
- Если средство Администратор ключей IBM не запущено, введите следующую
команду:
certmgr
- В главном меню выберите из выпадающего меню Файл базы данных
ключей опцию Открыть.
- Выделите файл базы данных ключей
/etc/security/ikekey.kdb, в котором необходимо создать
запрос, и нажмите кнопку Открыть.
- Введите пароль и нажмите кнопку OK. Если пароль будет
принят, снова появится меню Администратор ключей IBM. В
строке заголовка теперь будет показано имя выбранного файла базы данных
ключей. Это означает, что файл открыт и готов к работе.
- Выберите из выпадающего меню Личные/базовые сертификаты (в AIX
версии 4) вариант Запросы на личные сертификаты или выберите опцию
Создать --> Новый запрос на сертификат (в
SWsym.Version500;).
- Нажмите кнопку Создать.
- В появившемся меню введите Метку ключа для собственного
сертификата, например:
keytest
- Введите Общее имя (по умолчанию применяется имя хоста) и
название Организации, а затем выберите Страну.
Введите значения в оставшиеся поля, или примите значения, заданные по
умолчанию.
- Задайте определение Альтернативного имени. С
Альтернативным именем связаны три поля, заполнять которые
необязательно: адрес электронной почты, IP-адрес и имя DNS. Для
того, чтобы задать IP-адрес туннеля, введите в соответствующем поле IP-адрес,
настроенный для туннеля IKE. Если ИД туннеля имеет вид user@FQDN,
заполните поле адреса электронной почты. Если ИД туннеля имеет вид
FQDN, введите полное имя домена в поле имени DNS, например
имя_хоста.имя_компании.com.
- В нижней части меню введите имя файла, например:
certreq.arm
- Нажмите кнопку OK. Появится меню, предназначенное для
подтверждения создания запроса на получение цифрового сертификата.
- Нажмите кнопку OK. Снова появится меню
Администратор ключей IBM. В поле Запросы на получение
личных сертификатов будет показана метка ключа для созданного запроса на
цифровой сертификат (PKCS#10).
- Отправьте созданный файл в сертификатную компанию для получения цифрового
сертификата.
- Вы можете продолжить работу или завершить работу администратора.
Получив цифровой сертификат от сертификатной компании, необходимо добавить
его в базу данных ключей, в которой был создан запрос.
Выполните следующие действия, чтобы добавить (получить) цифровой
сертификат:
- Если средство Администратор ключей IBM не запущено, введите следующую
команду:
certmgr
- В главном меню выберите из выпадающего меню Файл базы данных
ключей опцию Открыть.
- Выделите базу данных ключей, в которой был создан запрос на получение
цифрового сертификата, и нажмите кнопку Открыть.
- Введите пароль и нажмите кнопку OK. Если пароль будет
принят, снова появится меню Администратор ключей IBM. В
строке заголовка теперь будет показано имя выбранного файла базы данных
ключей. Это означает, что файл открыт и готов к работе.
- Выберите из выпадающего меню Личные/базовые сертификаты вариант
Запросы на личные сертификаты.
- Нажмите кнопку Получить (чтобы добавить полученный цифровой
сертификат в базу данных).
- Выберите тип данных для нового цифрового сертификата из выпадающего меню
Тип данных. По умолчанию применяется тип Данные ASCII,
зашифрованные Base64a.
- Введите имя файла и расположение цифрового сертификата, или нажмите кнопку
Обзор, чтобы выбрать имя и каталог.
- Нажмите кнопку OK.
- Введите метку описания для нового цифрового сертификата, например:
Сертификат узла VPN
- Нажмите кнопку OK. Снова появится меню
Администратор ключей IBM. В поле Личные
сертификаты будет показана метка добавленного цифрового
сертификата.
Если процедура прошла успешно, вы можете продолжить работу или завершить
работу администратора.
Если при получении сертификата произошла ошибка, убедитесь, что файл
сертификата начинается с текста -----BEGIN
CERTIFICATE----- и заканчивается текстом
-----END CERTIFICATE-----.
Например:
-----BEGIN CERTIFICATE-----
ajdkfjaldfwwwwwwwwwwadafdw
kajf;kdsajkflasasfkjafdaff
akdjf;ldasjkf;safdfdasfdas
kaj;fdljk98dafdas43adfadfa
-----END CERTIFICATE-----
Если текст сертификата не совпадает с приведенным выше, добавьте
соответствующие строки в начало и конец сертификата.
Если вам больше не нужен один из цифровых сертификатов, удалите его из базы
данных, выполнив следующие действия.
Примечание: Перед удалением цифрового сертификата создайте
резервную копию на случай, если понадобиться восстановить этот сертификат в
будущем.
- Если средство Администратор ключей IBM не запущено, введите следующую
команду:
certmgr
- В главном меню выберите из выпадающего меню Файл базы данных
ключей опцию Открыть.
- Выделите файл базы данных ключей, из которого необходимо удалить цифровой
сертификат, и нажмите кнопку Открыть.
- Введите пароль и нажмите кнопку OK. Если пароль будет
принят, снова появится меню Администратор ключей IBM. В
строке заголовка теперь будет показано имя выбранного файла базы данных
ключей. Это означает, что файл открыт и готов к работе.
- Выберите из выпадающего меню Личные/базовые сертификаты вариант
Запросы на личные сертификаты.
- Выделите цифровой сертификат, который необходимо удалить, и нажмите кнопку
Удалить. Появится меню Подтверждение.
- Нажмите кнопку Да. Снова появится меню
Администратор ключей IBM. Из поля Личные
сертификаты пропадет метка удаленного цифрового сертификата.
Вы можете продолжить работу или завершить работу администратора.
Выполните следующие действия, чтобы изменить пароль базы данных
ключей:
- Если средство Администратор ключей IBM не запущено, введите следующую
команду:
certmgr
- В главном меню выберите из выпадающего меню Файл базы данных
ключей опцию Изменить пароль.
- Введите новый пароль в поле Пароль и в поле Подтверждение
пароля.
- Для изменения срока истечения действия пароля введите нужное число дней в
поле Задать срок истечения? . По умолчанию в этом поле
указано значение 60 дней. Если нужно задать неограниченный срок
действия пароля, оставьте поле Задать срок истечения? пустым
.
- Для сохранения пароля в специальном файле в зашифрованном виде выберите
поле Сохранить пароль в файле? и введите yes.
Примечание: Для применения цифровых сертификатов с защитой IP
пароль необходимо сохранить в файле.
- Нажмите кнопку OK. В строке состояния будет показано
сообщение об успешной обработке запроса.
- Еще раз нажмите OK и вы вернетесь к меню Администратор
ключей IBM. Вы можете продолжить работу или завершить работу
администратора.
Для создания туннелей IKE, применяющих цифровые сертификаты следует
использовать Web-администратор системы и средство Администратор ключей
IBM.
Для поддержки цифровых сертификатов необходимо при определении стратегий
стратегий управления ключами туннелей IKE необходимо настроить преобразование,
применяющее режим подписи. В Режиме подписи идентификация
осуществляется с помощью алгоритма подписи RSA. Выбрать метод
идентификации подписи RSA или подписи RSA с проверкой CRL для Защиты IP
позволяет Окно Web-администратора системы "Добавить/изменить
преобразование".
По крайней мере в одной конечной системе туннеля должна быть определена
стратегия, применяющая преобразование в режиме подписи. Режим подписи
позволяет настроить с помощью Web-администратора системы другие
преобразования.
Защита IP поддерживает следующие типы туннелей управления ключами IKE (поле
Тип хоста на вкладке Идентификация):
- IP-адрес
- Полное имя домена (FQDN)
- пользователь@FQDN
- Отличительное имя X.500
- Идентификатор ключа
Для выбора типа хоста предназначена вкладка Свойства туннеля
управления ключами - Идентификация Web-администратора
системы. Если вы выберите IP-адрес, FQDN или
пользователь@FQDN, необходимо задать значения в Web-администраторе
системы и передать эти значения в сертификатную компанию. Эта
информация включается в личный цифровой сертификат в качестве альтернативного
имени.
Например, если вы выберите из выпадающего списка на вкладке
Идентификация Web-администратора системы тип Отличительное имя
X.500 и введете Идентификатор хоста
/C=US/O=IBM/OU=SERV/CN=name.austin.ibm.com,
то при создании запроса на цифровой сертификат с помощью Администратора ключей
IBM следует ввести следующие значения:
- Общее имя:
name.austin.ibm.com
- Организация: IBM
- Организационное подразделение: SERV
- Страна : US
Введенное отличительное имя X.500 должно быть настроена
системным администратором/администратором LDAP. Значение
организационной единицы указывать необязательно. Сертификатная компания
включит эту информацию в выданный цифровой сертификат.
Или например, если вы выберите из выпадающего списка тип хоста
IP-адрес и введете идентификатор хоста
10.10.10.1, в запросе на цифровой сертификат
необходимо указать следующие значения:
- Общее имя:
name.austin.ibm.com
- Организация: IBM
- Организационное подразделение: SERV
- Страна : US
- Поле Альтернативный IP-адрес:
10.10.10.1
После создания запроса на сертификат сертификатная компания включит эти
данные в выданный личный цифровой сертификат.
Запрос на получение личного цифрового сертификата от сертификатной компании
должен содержать следующую информацию:
Подробные инструкции по созданию запроса на цифровой сертификат с помощью
средства Администратор ключей IBM приведены в разделе Создание и отправка запроса на цифровой
сертификат.
Перед активацией туннеля IKE необходимо добавить личный цифровой
сертификат, полученный от сертификатной компании в базу данных Администратора
ключей IBM, файл ikekey.kdb. Дополнительная
информация приведена в разделе Добавление (получение)
нового цифрового сертификата.
Защита IP поддерживает следующие типы личный цифровых сертификатов:
- Отличительное имя
- Отличительное имя должно быть указано в следующем формате:
/C=US/O=IBM/OU=SERV/CN=name.austin.ibm.com
Администратор ключей IBM позволяет ввести только одно значение
OU.
- Отличительное имя и альтернативное имя в виде IP-адреса
- Отличительное и альтернативное имена могут быть указаны в виде IP-адреса,
например:
/C=US/O=IBM/OU=SERV/CN=name.austin.ibm.com
and 10.10.10.1
- Отличительное имя и альтернативное имя в виде FQDN
- Отличительное и альтернативное имена могут быть указаны в виде полного
имени домена, например:
/C=US/O=IBM/OU=SERV/CN=name.austin.ibm.com
and bell.austin.ibm.com.
- Отличительное имя и альтернативное имя в виде
пользователь@FQDN
- Отличительное и альтернативное имена могут быть указаны в виде адреса
пользователя (ИД_пользователя@полное_имя_домена),
например:
/C=US/O=IBM/OU=SERV/CN=name.austin.ibm.com
and name@austin.ibm.com.
- Отличительное имя и несколько альтернативных имен
- Отличительное имя может быть связано с несколькими альтернативными
именами, например:
/C=US/O=IBM/OU=SERV/CN=name.austin.ibm.com
and bell.austin.ibm.com,
10.10.10.1, and
user@name.austin.ibm.com.
[ Страница назад | Страница вперед | Содержание | Индекс |
Библиотека |
Юридическая информация |
Поиск ]