Tivoli PKI RA Desktop - FTP Directory Listing
Contents
1. Public Key Cryptography Standards PKCS Informelle hersteller bergreifende Standards die im Jahr 1991 von den RSA Laboratories in Zusammenarbeit mit Repr sentanten verschiedener Computerhersteller entwickelt wurden Diese Standards umfassen die RSA Ver schl sselung die Diffie Hellman Vereinbarung die kennwortbasierte Verschl sselung sowie die Syntax f r erwei terte Zertifikate verschl sselte Nachrichten Daten zu privaten Schl sseln und f r die Zertifizierung m PKCS 1 beschreibt ein Verfahren zum Verschl sseln von Daten mit Hilfe des RSA Verschl sselungssystems auf der Basis ffentlicher Schl ssel Er dient zur Erstellung digitaler Unterschriften und Briefumschl ge m PKCS 7 definiert ein allgemeines Format f r verschl sselte Nachrichten m PKCS 10 definiert eine Standardsyntax f r Zertifizierungsanforderungen m PKCS 11 definiert eine Programmierschnittstelle f r Verschl sselungseinheiten z B Smart Cards die unab h ngig vom verwendeten technologischen Konzept ist m PKCS 12 definiert ein portierbares Format zum Speichern oder Transportieren der privaten Schl ssel Zerti fikate und sonstiger geheimer Daten etc eines Benutzers Public Key Infrastructure PKI Ein Standard fiir Sicherheitssoftware der auf der Verschl sselung mit Hilfe ffentlicher Schl ssel basiert Bei PKI handelt es sich um ein System digitaler Zertifikate Zertifikatsaussteller Registrierungsstellen Zertifikat verwaltungsservices2. SG 40 m Wenn Sie unter Abfrageart die Option Anhand von Anforderungsstatus Name und Aktualisierungsdatum ausgew hlt haben k nnen Sie die Abfrage bei Bedarf mit Hilfe der folgenden Felder weiter differenzieren Verwenden Sie die Liste unter Anforderungsstatus zum Abrufen von Elementen mit allen Statusangaben oder nur zum Abrufen von Elementen mit einem bestimmten Sta tus W hlen Sie aus der Liste einen der folgenden Werte f r den aus Die Standardauswahl lautet Anstehend Alle Mit dieser Option werden alle Registrierungsanforderungen oder Schl ssel wiederherstellungsanforderungen unabh ngig vom Status abgerufen Empfangen Mit dieser Option werden neu empfangene Registrierungsanforderungen oder Schl sselwiederherstellungsanforderungen abgerufen Anstehend Mit dieser Option werden Anforderungen abgerufen die noch nicht geneh migt oder zur ckgewiesen wurden Bestimmte anstehende Anforderungen sind neu Hier m ssen Sie eine Entscheidung treffen Bei anderen m ssen Sie auf das Eintreffen weiterer Informationen warten bevor sie weiterbearbeitet werden k nnen Dies ist der Standardwert Genehmigt Mit dieser Option werden Anforderungen abgerufen die von einer RA oder einem Registrator genehmigt wurden Der Status der zugeh rigen Zertifikate kann variieren Nicht genehmigt Mit dieser Option werden Anforderungen abgerufen die von einer RA oder einem Registrator nicht genehmigt wurden Abgeschlossen Mit dieser Option
3. die weitere Informationen zur Anforderung enth lt Die Person verwendet die von Ihnen gesendeten Daten wenn sie f r die Anforderung ihres Zertifikats bereit ist Weitere Informationen zur Ausf hrung von Vorabregistrierungsaufgaben enth lt das Tivoli PKI Benutzerhandbuch Webbrowserunterst tzung Tivoli PKI erm glicht die Erstellung einer Reg Jerung Hierzu wird ber einen der folgenden Web Browser ein Registrierungsformular ausgef llt und bergeben m Microsoft Internet Explorer ab Release 5 0 m Netscape Navigator oder Netscape Communicator nur Version 4 7x Sie k nnen mit einem der folgenden Browser auf RA Desktop zugreifen m Microsoft Internet Explorer ab Release 5 0 m Netscape Navigator oder Netscape Communicator nur Version 4 7x Registrierung 30 Bei der Registrierung handelt es sich um einen Prozess zur Gew hrung eines digitalen Zerti fikats f r eine Person oder eine andere Entit t Bei Tivoli PKI werden vor der Registrierung die Informationen die mit der bergeben wurden durch ein Pro gramm oder einen Registrator ausgewertet Anschlie end und unabh ngig davon ob die Anforderung genehmigt wird erstellt die Registrierungsstelle RA von Tivoli PKI einen Datensatz f r die Anforderung Dieser wird in der ee espeichert Wird durch die zust ndige Stelle das Zertifikat genehmigt wird dieses vom Zertifikatsausstelicd CA von Tivoli PKI ausgestellt Unternehmensregel Wenn die Aufgaben des Reg
4. weise zwei Anforderungsprofile aufgelistet Hierbei ist eines den f r die Anforderung und das andere den Basisattributen zuge ordnet Das bedeutet dass das Anforderungsprofil zu einem bestimmten Zeitpunkt von einem Registrator berschrieben wurde Das Profil in den Attributen f r die Anforderung wurde zusammen mit anderen Attributen der Registrierungsanforderung tempor r inaktiviert Das Profil in den Basisattributen ist das ren Anforderungsstatus Der der Registrierungsanforderung Dieser Status wird im Aktionsprotokoll Version 3 Release 7 1 angezeigt Der Abschnitt g g g h lt eine Beschreibung der verschiedenen Statuswerte Anforderungsvariablen Werte die der Anforderer w hrend des Registrierungsprozesses angegeben hat Sicherungsstatus Status der Schl sselsicherungsanforderung Wiederherstellungsstatus Status der Schl sselwiederherstellungsanforderung Zertifikatserweiterungen Erweiterungen werden zu Zertifikaten als Paare aus Namen und zugeh rigen Werten name value hinzugef gt und k nnen zu den Attributen geh ren die f r ein Zertifikat ange zeigt werden Die folgenden Zertifikatserweiterungen k nnen f r Zertifikate von Personen verwendet werden die mit einer gesicherten Anwendung arbeiten m chten m Basiseinschr nkungen Schl sselverwendung Namenseinschr nkungen Verwendungszeitraum f r private Schl ssel Alternativer Betreffname Gelieferte Zertifikatstypen Ein Tivoli PKI System stellt
5. bergeben Gehen Sie auf beiden Registerkarten wie folgt vor um ein Zertifikat zu widerrufen 1 Klicken Sie unter F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F hren Sie eine Aktion f r das angezeigte Element aus auf Widerrufen aus 2 W hlen Sie unter Begr ndung eine 3 Klicken Sie auf Aktion bergeben Nach der Ausf hrung dieser Aktion werden die Verarbeitungsattributd des Datensatzes aktua lisiert Das Attribut f r die Widerrufbegr ndung wird auf den von Ihnen angegebenen Wert gesetzt Zugeh rige Abschnitte Wiederaufnehmen eines Zertifikats In einem der folgenden F lle kann es erforderlich sein ein Zertifikat in der ERI wieder auf zunehmen m Bereinigung der CRL von Zertifikaten die nicht mehr g ltig sind m Reaktivierung eines Zertifikats das zuvor ausgesetzt wurde Anmerkung Wenn der G ltigkeitszeitraum des Zertifikates in der Zwischenzeit abge laufen ist kann es nicht mehr reaktiviert werden Da keine Mitteilung ber die Reaktivierung eines Zertifikats versendet wird muss eine ent sprechende Mitteilung per E Mail oder auf einem anderen Korrespondenzweg gesendet wer den Sie k nnen ein Zertifikat aus der CRL auf der Registerkarte Ergebnisse oder auf der Regis terkarte Detaild wieder aufnehmen Wenn Sie die Registerkarte Ergebnisse verwenden k n nen Sie Inehrerel Zertifikate ausw hlen die reaktiviert werden sollen Version 3 Release 7 1 Gehen Sie auf beiden R
6. bertragungsnetze und services koordinieren Bei der Ver ffentlichung von Informationen zur Datenfern bertra gungstechnologie sowie den entsprechenden Regelwerken und Standards nimmt sie eine f hrende Position ein Interne Struktur Siehe Schema Internet Ein weltweiter Verbund von Netzen die die elektronische Verbindung zwischen Computern und die Kommunika tion zwischen den Computern ber Softwareeinrichtungen wie elektronische Post E Mail oder Web Browser erm glichen So sind beispielsweise die meisten Universit ten in ein Netz eingebunden das seinerseits eine Ver bindung zu anderen hnlichen Netzen hat die zusammen das Internet bilden Tivoli PKI RA Desktop 63 Jesso 5 64 Internet Engineering Task Force IETF Eine Gruppe die sich schwerpunktm ig mit dem Entwickeln und Definieren von Protokollen f r das Internet befasst Sie repr sentiert eine internationale Gruppe von Netzdesignern bedienern herstellern und forschern Die Aufgabe der IETF ist die Entwicklung der Internet Architektur sowie die Gew hrleistung der reibungslosen Verwendung des Internets Intranet Ein Netz innerhalb eines Unternehmens das sich im Allgemeinen hinter Firewalls befindet Es basiert auf dem Internet und setzt eine hnliche Technologie ein Vom technischen Standpunkt aus ist ein Intranet eine Erweite rung des Internets Zu den in beiden Netzen benutzten Komponenten geh ren z B HTML und HTTP IPSec Ein von der IETF entwickelter I
7. hrt werden Der SET Standard kann beispielsweise zur Verarbeitung von Kreditkartentransaktionen genutzt werden Abstract Syntax Notation One ASN 1 Eine ITU Notation die zum Definieren der Syntax von Informationsdaten benutzt wird Sie definiert eine Reihe einfacher Datentypen und gibt eine Notation f r die Identifizierung dieser Typen und die Angabe von Werten f r diese Typen an Diese Notationen k nnen verwendet werden wenn es erforderlich ist die abstrakte Syntax von Informationen zu definieren ohne damit die Art der Verschl sselung dieser Informationen f r die bertragung zu beeintr chtigen ACL Access Control List Zugriffssteuerungsliste Aktionsprotokoll Die Aufzeichnung aller Ereignisse die w hrend der gesamten G ltigkeitsdauer eines Identit tsnachweises aufge treten sind American National Standard Code for Information Interchange ASCII Der Standardcode der f r den Austausch von Informationen zwischen Datenverarbeitungssystemen DFV Syste men und zugeh riger Hardware verwendet wird ASCH verwendet einen codierten Zeichensatz der aus Zeichen von 7 Bit L nge bzw 8 Bit bei Parit tspr fung besteht Der Zeichensatz besteht hierbei aus Steuerzeichen und Schriftzeichen American National Standards Institute ANSI Eine Organisation die die Verfahrensweisen definiert mit deren Hilfe akkreditierte Organisationen freiwillig ein gehaltene Industriestandards in den Vereinigten Staaten festlegen und verwalten Ihr
8. ltigkeits der Anforderung und des zugeh rigen Zertifikats aufgetreten sind Datensatzattribute Die Attribute eines Datensatzes in der Registrierungsdatenbank sind Variablen die zur Beschreibung der Re e erungl dienen Bei ausgef hrten Anforderungen beschreiben die Variablen au erdenn das genehmigte Z Andere Attribute definieren Verarbeitungsvariablen die Ihr Unternehmen bei der Implementierung der unterst tzen Einige der Attribute und der zugeh rigen Werte k nnen vom Registrator ber RA Desktop angezeigt werden Zertifizierung Als Zertifizierung bezeichnet man die Erstellung eines digitalen Zertifikates f r eine Entit t oder eine Person Unter Tivoli PKI wird die Zertifizierung nur nach der Auswertung und Genehmigung ei e erungj ausgef hrt Nach der Registrierung werden vom Zertifikatsaussteller CA die angeforderten Zertifikate ausgestellt Bei Tivoli PKI stimmt der Lertifikatstyp des ausgestellten Zertifikats mit den RT des jeweiligen Unternehmens tiberein Zertifikatsaussteller Unter Tivoli PKI ist der CA als Server Programm implementiert das f r die Ausstellung digitaler Zertifikate in Ubereinstimmung mit den eines Unternehmens verantwortlich ist Tivoli PKI unterstiitzt die gegenseitige Zertifizierung bei der CAs die gegenseitig abgesi chert sind vereinbarungsgem die Zertifikate des jeweiligen Partner CAs als akzeptieren Tivoli PKI unterst tzt au erdem eine bestimmte CA Hierarchie CAs iden tif
9. Authority gt RA Desktop Konfiguration aus W hlen Sie im Fenster Browser ausw hlen den Browser aus der f r den Zugriff auf RA Desktop verwendet werden soll Geben Sie im Fenster Host ausw hlen die Webadresse f r den RA Server ein auf dem RA Desktop installiert ist Sie m ssen den Namen des sicheren Hosts die Anschluss nummer sowie den Namen der Registrierungsdom ne die Sie verwalten sollen angeben der Dom nenname darf keine Leerzeichen enthalten Beispiel https NewRAServer 1443 NewDomainName Klicken Sie im Fenster Programmordner ausw hlen auf Weiter ohne nderungen vor zunehmen berpr fen Sie im Fenster Kopiervorgang starten die nderungen und klicken Sie anschlie end auf Weiter Klicken Sie im Fenster Setup abgeschlossen auf Beenden um den Rekonfigurations prozess abzuschlie en Tivoli PKI RA Desktop 11 asiamsuayabio ANZ UBUOIEWOJU E Zugreifen auf RA Desktop Vor dem Starten von RA Desktop m ssen Sie immer die folgenden Arbeitsschritte ausf hren 1 Wenn sich Ihr Registratorzertifikat auf dem Netscape Browser befindet m ssen alle momentan ausgef hrten Netscape Sitzungen geschlossen werden 2 W hlen Sie unter Windows die Optionen Start gt Programme gt IBM SecureWay Trust Authority gt RA Desktop aus Wenn Sie die Webadresse von RA Desktop anfordern wird von Ihrem Webbrowser und dem zugeh rigen Server eine gesicherte Sitzung mit Client Authentifizi
10. Der Teil der Java Laufzeitumgebung der zum Interpretieren von Bytecodes eingesetzt wird KeyStore Schl sselspeicher Eine DL zum Speichern von Identit tsnachweisen f r Tivoli PKI Komponenten z B Schl ssel und Zertifikate in einem verschl sselten Format Klartext Nicht verschl sselte Daten Synonym zu unverschl sselter Text Version 3 Release 7 1 Klasse Beim objektorientierten Entwurf bzw bei der objektorientierten Programmierung eine Gruppe von Objekten die ber eine gemeinsame Definition verf gen und aus diesem Grund mit denselben Merkmalen Verarbeitungs operationen und Funktionsweisen arbeiten Kryptographie Bei der Sicherung von Computern die Prinzipien Verfahren und Methoden zur Verschl sselung von unverschl s seltem und zur Entschl sselung von verschl sseltem Text LDAP Lightweight Directory Access Protocol Lightweight Directory Access Protocol LDAP Ein Protokoll mit dem auf das Directory zugegriffen werden kann Liste der ausgestellten Zertifikate ICL Eine vollst ndige Liste der ausgestellten Zertifikate sowie deren aktueller Status Die Zertifikate sind anhand der Seriennummer und des Status indexiert Diese Liste wird vom CA verwaltet und in der CA Datenbank gespei chert MAC Message Authentication Code Nachrichtenauthentifizierungscode MD4 Eine Nachrichtenauszugs Hash Funktion auf 128 Bit Basis die von Ron Rivest entwickelt wurde Ihre Geschwin digkeit bersteigt die von MD2 um ein M
11. Diffie und Martin Hellman benannt wurde Digitales Zertifikat Ein elektronischer Identit tsnachweis der von einer zuverl ssigen Stelle f r eine Person oder Entit t ausgestellt wird Jedes Zertifikat ist mit dem privaten Schl ssel des CAs unterzeichnet Es b rgt f r die Identit t einer Per son eines Unternehmens oder einer Organisation Abh ngig vom Aufgabenbereich des CAs kann das Zertifikat die Berechtigung seines Eigners best tigen e Busi ness Transaktionen ber das Internet auszuf hren In gewisser Weise hat ein digitales Zertifikat eine hnliche Funktion wie ein F hrerschein oder ein Meisterbrief Es best tigt dass der Inhaber des entsprechenden privaten Schl ssels berechtigt ist bestimmte e Business Aktivit ten auszuf hren Ein Zertifikat enth lt Informationen ber die Entit t die von ihm zertifiziert wird gibt an ob es sich um eine Person eine Maschine oder ein Computerprogramm handelt und enth lt als Teil dieser Informationen den zertifi zierten ffentlichen Schl ssel dieser Entit t Digitale Unterschrift Eine codierte Nachricht die an Dokumente oder Daten angef gt wird und die Identit t des Absenders nachweist Eine digitale Unterschrift gew hrleistet ein h heres Ma an Sicherheit als eine physische Unterschrift da es sich hierbei nicht lediglich um einen verschl sselten Namen oder eine Reihe einfacher Identifikationscodes handelt Eine digitale Unterschrift enth lt eine verschl sselte Zusamme
12. Registerkarte 17 Ergebnisse Registerkarte 15 44 Hilfe f r 52 Registerkarte Details 46 Version 3 Release 7 1 Registerkarten RA Desktop Forts wechseln 19 Registerkartenhilfe 52 Registrator Aktionen 45 Aktionsprotokoll 18 47 Auswirkung auf Registrierungsdatenbank 32 automatisierte Aufgaben 3 30 Berechtigungen f r Dom ne 27 45 Kommentar zu Aktion 23 mehrere Registratoren 36 registrieren 7 Registrierungsstatus pr fen 9 Rolle 3 Servlet zur Unterst tzung von Aufgaben 36 Zertifikat f r Zugriff auf RA Desktop 7 Registrierter Name 33 Registrierung 30 Aktionen 45 Anforderung 3 Aufgaben Registrator 3 automatisiert 3 30 Regeln 31 Unternehmensregeln anwenden 30 Web Browser Unterst tzung 30 Registrierungs Web Seite CA Zertifikat f r Verwendung 7 34 Verwendung 29 Zugriff 6 Registrierungsanforderung Aktionsprotokoll 47 Anforderungsstatus pr fen 9 anstehend 13 auswerten 30 automatische Auswertung 30 Datenbanksatz 32 Felder zum Abrufen 39 Registrierungsformular 29 Status 51 Verarbeitung durch RA 3 20 von Registrator 7 Vorabregistrierung 29 Web Browser Unterst tzung 30 Registrierungsanforderung Giiltigkeitsdauer 32 Registrierungsattribute 47 Registrierungsdatenbank 3 31 Registrierungsdom ne 7 10 31 36 Registrierungss tze 32 Abfrage begrenzen 15 abfragen 12 Attribute 32 Felder zum Abrufen 39 f r Aktionen ausw hlen 20 S tze pro Seite definieren 15 Verarbeitung durch RA 3 vordefinierte Abfrage 43 Re
13. Sie eine Verbindung zum Kundenregistrierungsformular hergestellt und die ses bergeben haben k nnen Sie auf eine Reihe von Kundenunterst tzungsservices auf dem Web zugreifen Kunden in Deutschland sterreich oder der Schweiz k nnen eine der folgenden Telefon nummern anrufen m Deutschland 01805 00 1242 m sterreich 01 1706 6000 m Schweiz 0800 555454 Ihre Meinung zu Tivoli Produkten und der Tivoli Dokumentation interessiert uns Gerne neh men wir Verbesserungsvorschl ge Ihrerseits entgegen Falls Sie Kommentare oder Anregun gen zur vorliegenden Dokumentation haben senden Sie uns bitten eine E Mail an folgende Adresse pubs tivoli com Webinformationen Kunden von Tivoli und IBM Tivoli finden Onlineinformationen zu allen Tivoli Sicherheits produkten und Tivoli PKI Um wichtige Informationen ber kurzfristigen Produktaktualisierungen oder Service informationen zu Tivoli PKI abzurufen beginnen Sie auf folgender Website Tivoli PKI RA Desktop xi xii Version 3 Release 7 1 Informationen zu Tivoli PKI Mit Tivoli Public Key Infrastructure Tivoli PKI sind Anwendungen in der Lage Benutzer zu huthentifizierenl und eine gesicherte Kommunikation zu gew hrleisten Das Leistungs spektrum umfasst Folgendes m Ausstellung Ver ffentlichung und Verwaltung digitaler in bereinstimmung mit den jeweiligen und ee DECH eines Unternehmens m Unterst tzung f r die Verschl sselungsstandards Public Key Infrastructur
14. Verwendung eines privaten Schl ssels zum Generieren einer Unterschrift bezeichnet Unter Pr fen versteht man die Verwendung des entsprechenden ffentlichen Schl ssels zur Verifizierung dieser Unterschrift Unverschl sselter Text Nicht verschl sselte Daten Synonym zu Klartext URL Uniform Resource Locator URL Adresse URL Adresse Ein Schema f r die Adressierung von Ressourcen im Internet Die URL Adresse gibt das verwendete Protokoll sowie den Host Namen und die IP Adresse an Au erdem enth lt er Angaben zur Anschlussnummer zum Pfad sowie weitere Ressourcendetails die erforderlich sind um ber eine bestimmte Maschine auf eine Ressource zuzugreifen UTF 8 Ein Umsetzungsformat Es erm glicht Informationsverarbeitungssystemen die nur die Verarbeitung von 8 Bit Zeichens tzen unterst tzen die Umsetzung von 16 Bit Unicode in ein 8 Bit quivalent und umgekehrt ohne dass hierbei Informationen verloren gehen Verkettungspr fung Die G ltigkeitspr fung aller CA Unterschriften in der Trust Hierarchie ber die ein bestimmtes Zertifikat ausge stellt wurde Wenn z B das Unterschriftszertifikat eines CA ber einen anderen CA ausgestellt wurde werden bei der G ltigkeitspr fung des vom Benutzer vorgelegten Zertifikats beide Unterschriften gepr ft Verschl sseln Das Umordnen von Informationen so dass nur Personen die ber den richtigen Entschl sselungscode verf gen die urspr nglichen Informationen durch Entschl ssel
15. Zeichens tzen erm glicht Diese Spezifikationen unterst tzen auch den Austausch von Multimedia E Mail zwi schen unterschiedlichen Computersystemen die Internet Mail Standards verwenden So k nnen E Mail Nachrich ten beispielsweise andere Zeichens tze als den US ASCII Satz sowie erweiterten Text Bilder oder Tondaten ent halten Tivoli PKI RA Desktop 65 Jesso 5 66 Nachrichtenauszug Eine irreversible Funktion bei der auf der Basis einer Nachricht beliebiger L nge eine Datenmenge mit fester L nge generiert wird Bei MD5 handelt es sich z B um einen Nachrichtenauszugsalgorithmus Nachrichtenauthentifizierungscode MAC Ein geheimer Schl ssel der von Sender und Empf nger gemeinsam benutzt wird Der Sender authentifiziert sich und der Empf nger pr ft die hierbei zur Verf gung gestellten Daten Bei Tivoli PKI werden MAC Schl ssel f r CA und Pr fkomponenten in den KeyStores gespeichert National Security Agency NSA Die offizielle Sicherheitsbeh rde der US Regierung NIST National Institute of Standards and Technology fr her NBS National Bureau of Standards Aufgabe dieses Insti tuts ist die Unterst tzung offener Standards und der Interoperabilit t in den verschiedenen Bereichen der Computerbranche NLS National Language Support Unterst tzung in der Landessprache NSA National Security Agency Objekt Beim objektorientierten Design oder bei der objektorientierten Programmierung eine abstrakte Entit t die
16. Zertifikats sso ecidae carretada cee eee eee 26 Publizieren eines Zertifikats 2 20000 cee nenn 27 Pr fen der Berechtigungen f r die Dom ne 27 Beenden von RA D sktop aiid oo 2 2 4242 ee ende ae 27 Deinstallieren von RA Desktop 28 Kapitel 4 Erl uterungen 20 0 e cece cece eee eee eee nun ann nn un 29 RESISTTIETUNG zu u wile ee ee ee 29 Vorabregistierung dg hoe ed nes eee ewe baked ede baden 29 Webbrowserunterstiitzung 30 Reetstrienng ee PA be EEE Hoss cred Son nn EES ERS SE EE ESSE OE ESE a SE Oe eS 30 Unternehmensresel x 2 paua as EE SE Ue alan lee ae nee en ag Se a eee 30 Resistrierunssstellen 2 2 2 cand awed cava eee eu denen een Relat ner nein 31 Registrierungsdatenbanken 2 eee eee ee 31 Registrierungsdom nen 31 Registrierungss tze e saure ha ea eS RoHS EN HORNY Sane Hoa Ta ae ea 32 Datens tzattribute 24400000 Feb eee eee be bee ORES ee SD Hea Eee een 32 Zer ZEON een Loe ae A a nee 32 Zertlifika tsaussteller 2 eds cain ewe ha arena Solaul ws Soe Goa ew GIEN 32 Zertifikatswiderrufslisten CRL 32 Verzeichnisse Directory eslns sie e bean ee en ee ee 33 Version 3 Release 7 1 Registrierte Namen 0 0 EIERE Ce ET Re EE na ee RE REE eee 33 Zeni KATE seagi ee a a Barts ea Bats Baw aha een Simca arina 33 Browserzertifik te isch e dee sues nn Ped eee toda ehe tere ade 33 CA Zertilikate ua pene EINEN ee Re Ee EE bene oe Ee EERE Oe ee MINTE en 34 Server oder Einheitenzertif
17. auf SGML Standard Generalized Markup Language Hypertext Transaction Protocol HTTP Ein Client Server Protokoll f r das Internet mit dem Hypertext Dateien im Web bertragen werden ICL Issued Certificate List Liste der ausgestellten Zertifikate Identit tsnachweis Vertrauliche Informationen die verwendet werden um beim Austausch von Daten w hrend der Authentifizierung die eigene Identit t zu belegen In Network Computing Umgebungen ist die am h ufigsten verwendete Form des Identit tsnachweises ein Zertifikat das von einem CA erstellt und unterzeichnet wurde IniEditor Bei Tivoli PKI ein Tool mit dem Konfigurationsdateien editiert werden k nnen Integrit t Ein System sch tzt seine Datenintegrit t wenn es die nderung dieser Daten durch nicht berechtigte Personen verhindert Im Gegensatz hierzu versteht man unter dem Schutz der Vertraulichkeit von Daten wenn verhindert wird dass diese unberechtigten Personen zug nglich gemacht werden Integrit tspr fung Die Pr fung der Protokolleintr ge die f r Transaktionen mit externen Komponenten aufgezeichnet wurden International Standards Organization ISO Eine internationale Organisation die Standards f r eine breite Palette von Industriebereichen z B auch f r Computernetzprotokolle entwickelt und ver ffentlicht International Telecommunication Union ITU Eine internationale Organisation in der Verwaltungs und private Industriebereiche globale Datenfern
18. ausf hren m Gehen Sie wie folgt vor um eine Aktion auszuf hren w hrend mehrere Datens tze angezeigt werden 1 W hlen Sie einen oder mehrere Datens tze aus 2 Geben Sie bei Bedarf unter Definition des G ltigkeitszeitraums einen f r das aktive Zertifikat an 3 Geben Sie bei Bedarf unter W hlen Sie das Anforderungsprofil aus ein lnderes Anforderungsprofil f r eine Anforderung an die momentan genehmigt wird Der Abschnitt L Gelieferte Ze k e eite 49 enth lt eine Beschreibung der Merkmale der Zertifikate die den einzelnen Anforderungsprofilen zugeordnet sind 4 ffnen Sie die Liste unter F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F hren Sie eine Aktion f r das angezeigte Element aus und w hlen Sie die gew nschte Aktion aus Die einzigen Aktionen die f r Sie zur Verf gung stehen sind die Berechtigungen f r das Arbeiten mit Datens tzen 5 Wenn Sie als Aktion Widerrufen ausw hlen m ssen Sie auch eine entsprechende Begr ndung angeben ffnen Sie die Liste unter Begr ndung f r den Widerruf Version 3 Release 7 1 der verschiedenen Besrindungen 6 Geben Sie bei Bedarf unter Geben Sie einen Kommentar zur ausgef hrten Aktion ein einen zur Dokumentierung Ihrer Aktion ein 7 Klicken Sie auf Aktion bergeben um die Aktion f r die ausgew hlten Datens tze zu bergeben m Gehen Sie wie folgt vor um vor der Ausf hrung einer Aktion weitere Details eines Datensatzes anzuz
19. digitalen privaten Schl ssels um zu verhindern dass der Unterzeichner eines Dokuments dessen Unterzeichnung leugnet Unicode Ein 16 Bit Zeichensatz der in ISO 10646 definiert ist Der Unicodestandard f r die Verschl sselung von Zeichen ist ein internationaler Zeichencode f r die Informationsverarbeitung Er umfasst die grundlegenden weltweit ver wendeten Prozeduren und bildet die Basis f r die Internationalisierung und Lokalisierung von Software Der gesamte Quellcode in der Java Programmierungsumgebung wird in Unicode geschrieben Version 3 Release 7 1 Unternehmensprozessobjekte Eine Codegruppe die zur Ausf hrung einer bestimmten Registrierungsoperation z B zum Pr fen des Registrierungsstatus oder zur Best tigung des Sendens eines ffentlichen Schl ssels verwendet wird Unternehmensprozessschablone Eine Gruppe von Unternehmensprozessobjekten die in einer bestimmten Reihenfolge ausgef hrt werden Unterst tzung in der Landessprache NLS Unterst tzung f r unterschiedliche l nderspezifische Angaben in einem Produkt Hierzu geh ren die Sprache die W hrung das Datums und Zeitformat und die Darstellung von Zahlen Unterzeichnen Die Verwendung eines digitalen privaten Schl ssels zum Generieren einer Unterschrift Diese Unterschrift dient dazu zu beweisen dass ein bestimmter Benutzer f r die von ihm unterzeichnete Nachricht verantwortlich ist und diese akzeptiert Unterzeichnen Pr fen Als Unterzeichnen wird die
20. entwickelt DES wurde seit seiner Ver ffentli chung umfassend untersucht und stellt ein allgemein bekanntes und h ufig verwendetes Verschl sselungssystem zur Verf gung Bei DES handelt es sich um ein symmetrisches Verschl sselungssystem Um es f r die Daten bertragung einzu setzen m ssen sowohl der Sender als auch der Empf nger den selben geheimen Schl ssel kennen Dieser Schl ssel wird zum Ver und Entschl sseln der Nachricht verwendet DES kann au erdem zur Durchf hrung von Verschl sselungsoperationen f r einzelne Benutzer eingesetzt werden z B zum Speichern von verschl sselten Dateien auf einer Festplatte DES arbeitet mit einer Blockgr e von 64 Bit und verwendet f r die Verschl sse lung einen 56 Bit Schl ssel Urspr nglich wurde dieser Standard f r die Hardwareimplementierung entwickelt DES wird von NIST alle f nf Jahre erneut als offizieller Verschl sselungsstandard der US Regierung zertifiziert Datenspeicherbibliothek DL DEK DER DES Ein Modul das den Zugriff auf permanente Datenspeicher mit Zertifikaten CRLs Schl sseln Regeln und ande ren sicherheitsrelevanten Objekten erm glicht Document Encryption Key Dokumentverschl sselungsschl ssel Distinguished Encoding Rules Data Encryption Standard Diffie Hellman Ein Verfahren zur Datenverschl sselung das auf der Verwendung eines gemeinsamen Schl ssels auf einem nicht gesicherten Medium basiert und nach seinen Erfindern Whitfield
21. geh ren Hersteller Verbrau cher und allgemeine Interessenvertretungen an Anforderungs ID Ein aus 24 bis 32 Zeichen bestehender ASCII Wert der zur eindeutigen Identifikation einer Zertifikatsan forderung gegen ber der RA dient Dieser Wert kann bei der Transaktion f r die Zertifikatsanforderung verwen det werden um den Status der Anforderung oder des zugeh rigen Zertifikats abzurufen ANSI American National Standards Institute Applet Ein in der Programmiersprache Java geschriebenes Computerprogramm das innerhalb eines Java kompatiblen Webbrowsers ausgef hrt werden kann Wird auch als Java Applet bezeichnet Art Siehe Objektart ASCII American National Standard Code for Information Interchange Tivoli PKI RA Desktop 57 Jesso 5 58 ASN 1 Abstract Syntax Notation One Asymmetrische Verschliisselung Ein Verschliisselungsverfahren das zur Ver und Entschliisselung unterschiedliche asymmetrische Schliissel ver wendet Jedem Benutzer wird hierbei ein Schliisselpaar zugeordnet das einen allgemeinen f r alle zug nglichen Schl ssel und einen privaten Schl ssel umfasst der nur dem jeweiligen Benutzer bekannt ist Eine gesicherte Transaktion kann ausgef hrt werden wenn der ffentliche Schl ssel sowie der zugeh rige private Schl ssel ber einstimmen In diesem Fall kann die Transaktion entschl sselt werden Dieses Verfahren wird auch als Verschl s selung auf der Basis von Schl sselpaaren bezeichnet Gegensatz zu
22. hat das Zertifikat auf den Web Browser heruntergeladen Ausgestellt Die Registrierungsanforderung wurde genehmigt und das Zertifikat wurde ausge stellt Nicht ausgestellt Das Zertifikat wurde noch nicht ausgestellt Dieser Status gibt nicht an ob fiir die Anforderung eine Aktion durchgef hrt wurde Erneuert Das einem bestimmten Datensatz zugeordnete Zertifikat wurde erneuert Hierdurch werden ein neuer Datensatz und ein neues Zertifikat generiert Tivoli PKI RA Desktop 51 U9UONEULIOJUIZUS 9J9H e Widerrufen Das einem bestimmten Datensatz zugeordnete Zertifikat wurde widerrufen und als ung ltig definiert Hilfe f r Registerkarten Unter RA Desktop stehen die folgenden Hilfekomponenten auf allen Registerkarten zur Ver f gung Statusbereich In diesem Bereich unten auf der Registerkarte wird Folgendes angezeigt Hilfe f r Feld Wenn sich der Mauszeiger auf einem bestimmten Feld befindet wird der zugeh rige Hilfetext angezeigt Tivoli PKI Nachrichten Diese Nachrichten werden in einem Textfenster mit Bl tterfunktion angezeigt und sind mit einem Symbol gekennzeichnet das sie als Warnungen oder Fehlernachrichten ausweist Statusbalken Dieser Balken zeigt den Fortschritt aller angeforderten Verarbeitungs operationen an Hilfeknopf Sie k nnen auf diesen Knopf klicken um Hilfetexte f r die momentan verwendete Registerkarte anzuzeigen Anmerkung Die angezeigte Hilfe enth lt au erdem das Inhaltsverzeichnis f
23. in diesem Kapitel enthalten Definitionen und Beschreibungen zu den Kon zepten die sich auf die Registrierung Zertifizierung und Verwaltung unter RA Desktop beziehen Registrierung Bei der Registrierung wird ein Antrag f r ein Zertifikat gestellt Tivoli PKI bietet mehrere Registrierungsverfahren Welche dieser Verfahren in Ihrem Unternehmen verf gbar sind h ngt von den ab die definiert wurden Benutzer k nnen hierbei einen der folgenden Arbeitsschritte ausf hren m Ausf llen und bergeben eines Tivoli PKI Registrierungsformulars ber den eingesetz ten Web Browser In Standardinstallationen von Tivoli PKI befinden sich die Regis trierungsformulare auf einer Web Seite mit dem Namen Identit tsnachweis Verwal tung An Ihrem Standort wird diese Seite m glicherweise unter einem anderen Namen aufgerufen m Durchf hren einer informellen Warabresistrierung und anschlie end Angeben der entspre chenden Vorabregistrierungswerte in Tivoli PKI Hierzu wird eine Tivoli PKI Client Anwendung verwendet die auf der jeweiligen Workstation installiert ist Als RA Registrator m ssen Sie eine Registrierung f r ein Zertifikat durchf hren mit dem Sie auf RA Desktop zugreifen k nnen Sie k nnen dann zu einem sp teren Zeitpunkt die Web Seite f r die Registrierung verwenden um eine Vorabregistrierung f r andere Benutzer durchzuf hren Die Daten der Registrierungsformulare werden in Datenbanks tzen gespeichert die ber RA Desk
24. r das Handbuch RA Desktop Sie k nnen alle Abschnitte in diesem Buch anzeigen Klicken Sie hierzu auf den entsprechenden Eintrag im Inhaltsverzeichnis Zugeh rige Abschnitte JVM f r Internet Explorer Vor der Installation von RA Desktop f r die Verwendung mit Internet Explored m ssen Sie das folgende Release von JVM Java Virtual Machine auf Ihrem System installieren m Release 5 00 ab Build 3167 F hren Sie einen der folgenden Arbeitsschritte aus um festzustellen welche Version von MS JVM auf Ihrem System installiert ist m ffnen Sie die Java Konsole ber den Internet Explorer m ffnen Sie eine DOS Befehlszeile und geben Sie dort Folgendes ein jview Die angezeigte Versionsnummer sollte 5 00 3167 oder sp ter sein Wenn Sie JVM erweitern m ssen k nnen Sie das ben tigte Release von der Microsoft Tech nologies f r Java Webseite herunterladen 52 Version 3 Release 7 1 Tastaturalternativen zur Bedienung mit der Maus Verwenden Sie die folgende Tabelle wenn Sie RA Desktop ohne Maus bedienen m chten Cursor Eingabeposition Taste Tastenkombination Allgemein Erneute Initialisierung der Sitzung nach einer Taste F5 Zeitlimit berschreitung Verlassen von RA Desktop Strg x Abrufen von Hilfe f r die momentan angezeigte Taste F1 Registerkarte Arbeiten auf einer Registerkarte Springen von den meisten Feldern auf die Registerkartenbezeichnung Ausw hlen einer anderen Register
25. r das angezeigte Element aus auf eine der folgenden Optio nen m Anforderung als erneuerbar definieren Anforderung als nicht erneuerbar definieren 2 Klicken Sie auf Aktion bergeben Aussetzen eines Zertifikats Sie k nnen ein Zertifikat auf der Registerkarte Ergehnissd oder auf der Registerkarte aussetzen Wenn Sie die Registerkarte Ergebnisse verwenden k nnen Sie Zertifikate ausw hlen die ausgesetzt werden sollen Gehen Sie auf beiden Registerkarten wie folgt vor 1 Klicken Sie unter F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F hren Sie eine Aktion f r das angezeigte Element aus auf Ze kat aussetzen Anmerkung Sie k nnen das Zertifikat zu einem sp teren Zeitpunkt wieder aufnehmen Nach Ablauf seiner Karenzzeit kann das betreffende Zertifikat jedoch nicht wieder aufgenommen werden 2 Klicken Sie auf Aktion bergeben Zugeh rige Abschnitte Tivoli PKI RA Desktop 25 asiamsuayabio ANZ UBUOIEWIOJU E Widerrufen eines Zertifikats Sie k nnen ein Zertifikat auf der Registerkarte Ergebnisse oder auf der Registerkarte widerrufen Wenn Sie die Registerkarte Ergebnisse verwenden k nnen Sie Zertifikate f r den Widerruf ausw hlen Vor dem Widerrufen eines Zertifikats m ssen Sie anhand der Registerkarte Details den G ltigkeitszeitraum f r das Zertifikat berpr fen Vergewissern Sie sich dass das Zertifikat momentan g ltig ist bevor Sie die Anforderung f r den Widerruf
26. verschiedene Zertifikatstypen f r die unterst tzten Zertifikats kategorien und protokolle bereit Diese unterscheiden sich z B in den definierten G ltigkeitszeitr umen Der Name des Zertifikats gibt Aufschluss dar ber wie lange dieses g ltig ist und informiert ber die Prim rverwendung des Schl ssels Beschreibungen zu den verschiedenen Merkmalen enth lt das Glossar Gegenseitiges CA Zertifikat Dieses Zertifikat erm glicht einem CA der ber dieses verf gt die Sicherung seiner Zertifikate durch den ausstellenden CA Das Zertifikat stellt eine digitale Unterschrift bereit und unterst tzt die Unbestreitbarkeit 1 und 2 Jahre Datenverschliisselung Dieses Zertifikat erm glicht dem Eigner die Verschl sselung von Daten Das Zertifi kat dient nicht zu anderen Zwecken 1 und 2 Jahre E Mail Schutz Dieses Zertifikat erm glicht dem Eigner die Verwendung des S MIME Protokolls S MIME Secure Multi Purpose Internet Mail Exchange Dieses Protokoll dient zum Schutz von E Mails und anderen MIME Objekten Es unterst tzt die Authentifi zierung des Absenders die Integrit t von Nachrichten die Unbestreitbarkeit des Absenders sowie die Vertraulichkeit und wird normalerweise f r Endbenutzer ver wendet 1 und 2 Jahre IPSec Dieses Zertifikat hilft bei der Gew hrleistung der Integrit t und Vertraulichkeit von Daten die in IP Paketen ber das Internet versendet werden Ein IPSec Zertifikat ist eher f r Daten als f r Benutzer g
27. von RA Desktop Anforderungen ein Fehler aufgetreten ist Vorname Das erste Element im vollst ndigen Namen eines Antragstellers Obwohl hier norma lerweise der Vorname des Antragstellers angegeben wird kann der Wert auch den zweiten Vornamen oder dessen Initiale umfassen Ausf hrungsstatus Der Status der Anforderungsverarbeitung Dieser Status wird im Aktionsprotokoll angezeigt Der Abschnitt atus d g ngsa h lt eine Beschreibung der verschiedenen Statuswerte Nachname Der Nach oder Familienname des Antragstellers Vorhergehende Anforderungs ID Eine verschl sselte Zeichenfolge die f r die ID steht die f r eine vorherige Registrierungsanforderung generiert wurde wenn das Zertifikat erneuert wurde Registrierungsdom ne die gesicherte Ressourcen f r den Eigner eines Zertifika tes bereitstellt Anforderungs ID Eine verschl sselte Zeichenfolge die f r die ID steht die f r eine Registrierungsan forderung generiert wurde Anforderungsprofilname Mit dieser Option wird die Verarbeitung der Registrierungsanforderung gesteuert Dieses Profil enth lt eine Schablone f r das Zertifikat Die Werte in diesem Profil alle anderen nderungen die vorgenommen wurden wenn sie in Widerspruch zum Profil stehen Der Abschnitt enth lt eine Beschreibung der Merkmale der Zertifikate die den einzelnen Anforderungsprofilen zugeordnet sind Anmerkung Wenn Sie die Attribute eines Datensatzes anzeigen werden m glicher
28. von Schl sseln oder zu Registrierungsanforderungen abgerufen werden k nnen Die Registerkarte verf gt ber folgende Elemente m Felde zum Vorbereiten der Abfrage m Einen Knopf Abfrage bergeben zum Ausf hren der Abfrage m Hilfe f r Ihre Aufgabe Einen Statusbereich unten auf der Registerkarte Hier werden w hrend der Verarbei tung feldspezifische Hilfetexte Tivoli PKI Nachrichten und ein Statusbalken ange zeigt Einen Knopf Hilfe f r die Registerkarte Wenn die Ergebnisse der Abfrage vorliegen zeigt RA Desktop automatisch die Registerkarte an Abfragefelder Verwenden Sie alle Felder die zur Vorbereitung Ihrer Abfrage erforderlich sind Bestimmte Felder sind nicht verf gbar wenn sie sich mit anderen von Ihnen ausgew hlten Feldern gegenseitig ausschlie en m Klicken Sie unter Abfrageart auf eine der folgenden Optionen Anhand von Anforderungsstatus Name und Aktualisierungsdatum wenn Sie Datens tze von Registrierungsanforderungen und Zertifikaten auf der Basis ihres Sta tus abrufen m chten e Anhand von Erneuerbarkeit und Ablaufdatum wenn Sie Datens tze von Zertifi katen abrufen m chten f r die Informationen zur Erneuerbarkeit und zum Ablauf datum ben tigt werden e Anhand von Wiederherstellungsstatus Name und Aktualisierungsdatum wenn Sie Datens tze von Anforderungen zur Wiederherstellung von Zertifikatsschl sseln abrufen m chten Tivoli PKI RA Desktop 39 U9UONEULIOJUIZUS 9J9H
29. werden Anforderungen abgerufen die von einer RA oder einem Registrator entweder genehmigt oder nicht genehmigt wurden Bei genehmigten Anforderungen mit diesem Status wurde das Zertifikat an den Benutzer tibergeben Verwenden Sie die folgenden Felder ausschlie lich zum Abrufen von Datens tzen f r Anforderungen oder Zertifikate die einem bestimmten Namen zugeordnet sind Geben Sie unter Nachname den Nach oder Familiennamen ein Sie k nnen auch nur die ersten Buchstaben eines Namens eingeben um alle Namen abzurufen die mit dieser Buchstabenfolge beginnen Beispiel Wenn Sie die Buchstabenfolge Smi eingeben werden alle Datens tze mit den Namen Smith Smithers Smiley sowie andere Nachnamen abgerufen die mit der Buchstabenfolge Smi beginnen Geben Sie unter Vorname den Vornamen ein Sie k nnen auch nur die ersten Buchstaben eines Namens eingeben um alle Namen abzurufen die mit dieser Buchstabenfolge beginnen Beispiel Wenn Sie die Buchstabenfolge Joh einge ben werden alle Datens tze mit den Vornamen Johanna John Johan sowie andere Vornamen abgerufen die mit der Buchstabenfolge Joh beginnen Verwenden Sie die Option Datumsbereiche f r die letzte Aktualisierung wenn Sie nur die Elemente abrufen m chten deren letzte Aktualisierung in einem bestimmten Zeitraum durchgef hrt wurde Geben Sie einen Datumsbereich an Version 3 Release 7 1 Einen Standardwert f r das Datum gibt e
30. wird die Sicherungsdatei dem Benutzer zum Herunterladen zur Verf gung gestellt Genehmi gungen zum Wiederherstellen von Schl sseln werden ber RA Desktop verwaltet Publizieren von Zertifikaten Bei Tivoli PKI werden Zertifikate nach dem Ausstellen automatisch publiziert Schl gt diese Publizierung fehl kann der Registrator die betreffenden Zertifikate mit Hilfe von RA Desk top erneut f r das Verzeichnis Directory publizieren Verwaltung 36 Bevor Sie Ihre Aufgaben als Registrator ausf hren k nnen m ssen Sie ein Zertifikall f r den Web Browser anfordern und erhalten den Sie f r die Verwendung von RA Desktop einset zen m chten Nach dem Empfang des m ssen Sie dieses immer dann vorlegen wenn Sie auf RA Desktop zugreifen m chten Um Operationen mit SE oder Anforderungen auszuf hren oder diese ber RA Desktop anzuzeigen m ssen Sie au erdem ber die ben tigten Dateiberechtigungen verf gen Die Abschnitte in diesem Kapitel enthalten Informationen zur Verwendung und Verwaltung von Zertifikaten Zugriffssteuerung Eine me ACL Access Control List dient zur Authentifizierung und interner Tivoli PKI Benutzer Einheiten und Softwarekomponenten Beispiel Das RA Desktop Unterst tzungs Servlet verwendet die ACL zur Authentifizierung und Berechtigung von Registratoren bevor ihnen der Zugriff auf RA Desktop gew hrt wird Authentifizierung und Berechtigung Durch die Authentifizierung wird die Identit t eines B
31. A Desktop 12 Zugriff auf RA Desktop 5 Zugriffssteuerungsliste 36 Zusammenfassung verwendete Konventionen xi Zweck des Zertifikats 49 Version 3 Release 7 1
32. Aktionen die f r eine Anforderung oder eine ausgef hrte Anforderung durchgef hrt wurden Status der Registrierungsanforderungen Alle Statusangaben stellen Ereignisse im Aktionsprotokolll dar Folgende Anforderungsstatusarten stehen zur Verf gung Genehmigt Die Registrierungsanforderung wurde genehmigt Abgeschlossen Eine RA oder ein Registrator hat die Registrierungsanforderung entweder genehmigt oder nicht genehmigt Fiir genehmigte Anforderungen wurde ein entsprechendes Zer tifikat an den Benutzer bergeben Anmerkung Dies ist der endgiiltige Anforderungsstatus fiir eine Registrierungsan forderung Der Ausfiihrungsstatus einer abgeschlossenen Anforderung verweist auf nachfolgende Aktionen und Ereignisse die sich auf die Anforderung auswirken Beispiel Wird ein Zertifikat erneuert oder widerrufen wird dies im Ausfiihrungsstatus angegeben Der Anfor derungsstatus bleibt jedoch weiterhin Abgeschlossen Anstehend Die Registrierungsanforderung wurde m glicherweise bereits gepr ft die Genehmi gung oder Zur ckweisung steht jedoch weiterhin aus Empfangen Die Registrierungsanforderung wurde empfangen Nicht genehmigt Die Registrierungsanforderung wurde zur ckgewiesen Es wurde kein Zertifikat aus gestellt Folgende Ausf hrungsstatusarten stehen zur Verf gung bergeben Das Zertifikat wurde an die Web Seite bergeben auf der es vom Benutzer akzep tiert werden kann bergabe best tigt Der Benutzer
33. Aktualisierungs datum enth lt die Tabelle die folgenden Spalten Name Der Name der einer Anforderung oder einem Zertifikat zugeordnet wurde Dieser Name wird im Format nachname vorname angezeigt Ausf hrungsstatus Der aktuelle Status der Anforderungsverarbeitung z B bergeben Sicherungsstatus Der aktuelle Status der Schl sselsicherungsanforderung Wiederherstellungsstatus Der aktuelle Status der Schl sselwiederherstellungsanforderung Zuletzt aktualisiert Das Datum das dem Anforderungs oder Zertifikatsstatus zugeordnet ist Empfangsdatum Das Datum zu dem die Registrierungsanforderung empfangen wurde Gehen Sie wie folgt vor um die Abfrageergebnisse anzuzeigen 1 Suchen Sie die ben tigten Datens tze Hierzu k nnen Sie einen der folgenden Arbeits schritte ausf hren m Bl ttern Sie in der Tabelle f hren Sie eine KGr enanpassungl der Spalten durch oder Sie die Zeilen der Tabelle m Bl ttern Sie von Seitd zu Seite um mehr Ergebnisdaten anzuzeigen 2 Wenn Sie die gew nschten Datens tze gefunden haben k nnen Sie bei Bedarf die fol genden Aktionen ausf hren m W hler Sie einen oder mehrere Datens tze aus und behandelnl Sie diese als Gruppe m W hlen Sie einen bestimmten Datensatz f r die Hetaillierterd Anzeige aus Anmerkung Wenn der ben tigte Datensatz nicht abgerufen werden konnte rufen Sie die Registerkarte Abfrage erneut auf m Wenn die Abfrage nicht korrekt war f hren Sie die er
34. DN Distinguished Name ist Bestandteil des Directory Eintrags f r ein digitales Zertifikal Er dient zur eindeutigen Identifizierung der Position des Eintrags in der hierarchischen Struktur des Directory Zertifikate Bei einem Zertifikat handelt es sich um einen digitalen Identit tsnachweis der von einem unterschrieben wird der f r die Identit t des Zertifikatseigners b rgt Der Eigner kann das Zertifikat bei der Kommunikation mit anderen Benutzern oder zur Anforderung des Zugriffs auf eine gesicherte Anwendung als verwenden Unter Tivoli PKI m ssen auch Server Anwendungen und Einheiten z B Drucker oder Smart Cards ber Zertifikate verf gen um sie gegen ber Benutzern und untereinander zu authentifizieren Tivoli PKI unterst tzt X 509v3 Zertifikate der folgenden Kategorien Kerver Zertifikatd Einheitenzertifikate Zertifikate fiir den Zugriff auf PK1xl kompatible Anwendungen Zertifikate zur gegense e erung fiir CAs sen Tivoli PKI unterst tzt au erdem die folgenden Protokolle a Ent m PSed m Fr CMH Eine Standardinstallation von Tivoli PKI bietet eine Vielzahl von Zertifikatstyperl die auf diesen Kategorien und Protokollen basieren Antragsteller f r die Registrierung k nnen Zer tifikate anfordern die auf ihre individuellen Vorgaben zugeschnitten sind Im Abschnitt werden die einzelnen Zertifikatstypen beschrieben Browserzertifikate Bei einem Browser Zertifikat handelt es sich um einen digit
35. Datei RADInst exe zu suchen und klicken Sie anschlie end auf OK um das Programm aus zuf hren 6 Lesen Sie die Informationen im Eingangsfenster und klicken Sie anschlie end auf Wei ter 7 Klicken Sie im Fenster Zielpfad w hlen auf Weiter wenn Sie die Software im Standardpfad c Program Files IBM Trust Authority RA Desktop installieren m chten Klicken Sie andernfalls auf Durchsuchen um einen anderen Zielordner auszuw hlen bzw einzugeben Klicken Sie anschlie end auf Weiter 8 W hlen Sie im Fenster Browser ausw hlen den Browser aus der als Standardbrowser f r den Zugriff auf RA Desktop verwendet werden soll Anmerkung Dieses Fenster wird nur dann angezeigt wenn sowohl ein Microsoft als auch ein Netscape Browser installiert ist und beide den erforderlichen Releasestand aufweisen Version 3 Release 7 1 10 11 12 Geben Sie im Fenster Host ausw hlen die Webadresse f r den Server ein auf dem die Registrierungsstelle RA installiert ist Die URL muss im nachfolgend aufgef hrten Format eingegeben werden Dabei gilt hostname port stellt den virtuellen Host Na men und die Nummer des sicheren Anschlusses auf dem Server dar auf dem die Registrierungsstelle installiert wurde RegistrationDomainName ist der Name der f r die Registrierungsdom ne Ihres Unternehmens konfiguriert wurde https hostname port RegistrationDomainName Beispiel https MyRAserver 1443 MyDomain Klicken Sie im Fe
36. Gr enanpassung vornehmen um ihre Breite zu ndern Sie k nnen in den Ergebnisdaten bl ttern wenn eine Tabellenseite die L nge der Anzeige berschreitet e Wenn die Ergebnisdaten auf mehreren Seiten angezeigt werden k nnen Sie auf N chste Seite und Vorhergehende Seite klicken um alle Daten zu sehen Anmerkung Bei der Anforderung der n chsten oder vorhergehenden Seite kann es eventuell zu Verz gerungen kommen Die Seiten werden bei Bedarf vom Server abgerufen Lokal steht immer nur die aktuelle Seite zur Verf gung Felder zum Definieren des eines Zertifikates falls erforderlich Ein Feld in dem bei Bedarf ein anderes Anforderungsprofil f r eine Anforderung ange geben werden kann die momentan genehmigt wird Version 3 Release 7 1 m Eine Auswahlliste mit den Aktionen die fiir die Verarbeitung von einem oder mehreren ausgew hlten Elementen zur Verf gung stehen Wenn als Aktion Widerrufen ausge w hlt wurde wird au erdem eine Auswahlliste f r die des Widerrufs angezeigt m Ein Feld f r Kommentare in dem ein Kommentar zu der ausgef hrten Aktion eingege ben werden kann m Einen Knopf Details anzeigen zur detaillierteren Anzeige eines Datensatzes Wenn Sie auf diesen Knopf klicken zeigt RA Desktop die Registerkarte Details an m Einen Knopf Aktion bergeben zum Ausf hren der ausgew hlten Aktion m Hilfe f r Ihre Aufgabe e Einen Statusbereich unten auf der Registerkarte Hier werden w hrend
37. Java Servlet Maschine die unabh ngig vom Webserver und dem verwendeten Betriebssystem arbeitet World Wide Web WWW Der Teil des Internets in dem ein Netz von Verbindungen zwischen Computern aufgebaut wird auf denen Hyper mediamaterial gespeichert ist Dieses Material stellt neben Informationen auch Verbindungen Hyperlinks zu anderem Material im World Wide Web und Internet zur Verf gung Der Zugriff auf WWW Ressourcen erfolgt ber einen Web Browser X 500 Ein Standard f r die Implementierung eines multifunktionalen verteilten und vervielf ltigten Verzeichnisservices durch die Verbindung von Computersystemen Dieser Standard wurde gemeinsam definiert von der bisher als CCITT bekannten International Telecommunications Union ITU sowie der International Organization for Stan dardization und der International Electro Chemical Commission ISO IEC X 509 Version 3 Zertifikat Das X 509v3 Zertifikat verf gt ber erweiterte Datenstrukturen f r die Speicherung und das Abrufen von Infor mationen zu Zertifikatsantr gen zur Zertifikatsverteilung und zu Zertifikatswiderrufen sowie zu Sicherheitsregeln und digitalen Unterschriften X 509v3 Prozesse dienen zum Erstellen von CRLs mit Zeitmarken f r alle Zertifikate Bei jeder Verwendung eines Zertifikats erm glichen die X 509v3 Funktionen der Anwendung die G ltigkeit des Zertifikats zu berpr fen Die Anwendung kann au erdem feststellen ob sich das Zertifikat auf der Zertifikatswiderrufs
38. Konfigurationsparametern f r verschiedene Datenbanken Extranet Ein Netz das auf dem Internet basiert und eine hnliche Technologie einsetzt Unternehmen beginnen momentan mit dem Einsatz des Web Publishings elektronischen Handels und der Nachrichten bertragung sowie der Ver wendung von Groupware f r verschiedene Gruppen von Kunden Partnern und internen Mitarbeitern File Transfer Protocol FTP Ein Client Server Protokoll im Internet das zum bertragen von Dateien zwischen Computern benutzt wird Firewall Ein Gateway zwischen Netzen der den Informationsfluss zwischen diesen einschr nkt Normalerweise dienen Firewalls dem Schutz interner Netze gegen die nicht berechtigte Verwendung durch externe Personen FTP File Transfer Protocol Gateway Eine Funktionseinheit mit deren Hilfe nicht kompatible Netze oder Anwendungen Daten austauschen k nnen Gegenseitige Zertifizierung Ein Trust Modell bei dem ein CA f r einen anderen CA ein Zertifikat ausstellt das den ffentlichen Schl ssel enth lt der dem entsprechenden privaten Unterschriftsschl ssel zugeordnet ist Ein gegenseitig zertifiziertes Zerti fikat erm glicht Client Systemen oder Endentit ten in einer Verwaltungsdom ne die sichere Kommunikation mit Client Systemen oder Endentit ten in einer anderen Dom ne Gesicherte Computerbasis TCB Die Software und Hardwareelemente die zur Umsetzung der Computersicherheitsregeln eines Unternehmens verwendet werden Alle Eleme
39. PS Standard IPS Internet Protocol Security IPSec ist ein Protokoll der Vermittlungsschicht das entwickelt wurde um Services f r die Gew hrleistung der Sicherheit bei der Verschl s selung zur Verf gung zu stellen die kombinierte Funktionen zur Authentifizierung Sicherung der Integrit t Zugriffssteuerung und Wahrung der Vertraulichkeit flexibel unterst tzen Aufgrund seiner leistungsf higen Funkti onen bei der Authentifizierung wurde dieser Standard von vielen Lieferanten von VPN Produkten als Protokoll zum Aufbau sicherer Punkt zu Punkt Verbindungen im Internet bernommen ISO International Standards Organization ITU International Telecommunication Union Java Von Sun Microsystems Incorporated entwickelte plattformunabh ngige Computertechnologien die f r den Netz betrieb optimiert sind Die Java Umgebung besteht aus dem Java Betriebssystem Java OS den virtuellen Maschinen f r verschiedene Plattformen der objektorientierten Java Programmiersprache und einer Reihe von Klassenbibliotheken Java Anwendung Ein eigenst ndiges Programm das in der Java Sprache geschrieben wurde Es wird au erhalb eines Web Brow sers ausgef hrt Java Applet Siehe Applet Gegensatz zu Java Anwendung Java Klasse Eine Einheit des Java Programmcodes Java Sprache Eine von Sun Microsystems entwickelte Programmiersprache die speziell f r die Verwendung in Applet und Agent Anwendungen konzipiert wurde Java Virtual Machine JVM
40. RA Desktop ya s sqn Z Bei RA Desktop handelt es sich um ein sicheres Applet Zu seiner Verwendung m ssen Sie ber die Berechtigung zur Ausf hrung bestimmter Aufgaben verf gen und sich durch des korrekten digitalen Zertifikats mead Zugeh rige Abschnitte Version 3 Release 7 1 Informationen zur Vorgehensweise Die Abschnitte in diesem Kapitel enthalten Anweisungen zur Ausf hrung der folgenden Auf gaben eines Registrators m Vorbereiten des Browsers und Installieren von RA Desktop m Abrufen des Browser Zertifikats und der Berechtigung als Registrator m Abfragen der Registrierungsdatenbank zum Arbeiten mit Anforderungen und Zertifikaten Registrierung als Registrator Bevor Sie auf RA Desktop zugreifen k nnen um Zertifikate und Zertifikatsanforderungen zu verwalten m ssen Sie eine Registrierung als berechtigter Tivoli PKI Registrator durchf h ren Dieser Prozess umfasst mehrere Schritte von denen einige durch einen Systemadmi nistrator ausgef hrt werden m ssen Dieser Abschnitt beschreibt die vorbereitenden Aufgaben die vor der Verwendung von RA Desktop ausgef hrt werden m ssen Schritt 1 __ Schritt 2 Schritt 3 __ Schritt 4 __ Schritt 5 __ Schritt 6 Schritt 7 Tivoli PKI RA Desktop Ein Benutzer normalerweise ein Systemadministrator muss die Prozeduren im Handbuch Systemverwaltung ausf hren um den ersten Registrator zum System hinzuzuf gen f r die Ausf hrung
41. Registrierungsanforderungen und Zertifikate aufgezeichnet wurden werden in einer verschliisselten gespeichert Die Auswertung von Registrierungsanforderungen und die Verwaltung dieser Datens tze sind Verwaltungsaufgaben In manchen Unternehmen ist Tivoli PKI so konfiguriert dass Teile dieser Aufgaben automatisch ausgef hrt und die Registrierungsdaten durch ein Programm ausgewertet werden In anderen F llen werden die bei der Registrierung notwendigen Ent scheidungen von einem Registrator getroffen Bei Tivoli PKI Registration Authority Desktop RA Desktop handelt es sich um eine grafi sche Benutzerschnittstelle GUI zur Bearbeitung von Registrierungsanforderungen und zur Verwaltung der hierbei generierten Es dient zur Unterst tzung des Registrators bei folgenden Aufgaben m Auswerten der anstehenden Registrierungsanforderungen um diese zu genehmigen oder zur ckzuweisen m Vorbereiten der Abfragen zum Abrufen von Datens tzen f r Zertifikate eines bestimmten Typs oder f r einen bestimmten Benutzer m Pr fen der Details eines Datensatzes m Definieren des G ltigkeitszeitraums eines Zertifikates m Ausf hren von Aktionen zum ndern des Statud eines Zertifikates oder einer Registrierungsanforderung m Kommentieren eines Datensatzes zur Erl uterung des Grundes f r eine ausgef hrte Aktion m Genehmigung von Wiederherstellungsanforderungen f r private Zertifikatsschl ssel aus gesicherten PKCS 12 Dateien Tivoli PKI
42. Server Software muss ein Systemadministrator RA Desktop ausw hlen um das Installationsabbild f r das Applet zu installieren Anschlie end muss der Administrator das Abbild verteilen oder im Netz zur Verf gung stellen so dass das Installationsprogramm von den einzelnen Workstations aus ausgef hrt werden kann Anmerkung Wenn Sie das RA Desktop Applet auf derselben Maschine installieren auf der zuvor der Setup Wizard ausgef hrt wurde kann der Setup Wizard auf dieser Maschine nicht erneut ausgef hrt werden Wenn Sie Tivoli PKI in einer Test umgebung verwenden empfiehlt es sich den Setup Wizard und RA Desktop auf verschiedenen Maschinen zu installieren Auf diese Weise k nnen Sie den Konfigurationsprozess so lange wiederholen bis das System in den Produk tionsmodus gesetzt werden kann F hren Sie die folgende Prozedur aus um das RA Desktop Installationsprogramm RADInst exe auszuf hren 1 Stellen Sie sicher dass die verwendete Workstation die im Abschnitt Aktivieren eined Browsers auf Seite d aufgef hrten Anforderungen erf llt 2 Fordern Sie bei Ihrem Systemadministrator die Webadresse f r die Registrierungs an die Sie verwalten werden 3 Gehen Sie den Anweisungen Ihres Unternehmens entsprechend vor um das RA Desk top Installationsabbild zu kopieren herunterzuladen bzw darauf zuzugreifen 4 Beenden Sie alle aktiven Programme 5 W hlen Sie Start gt Ausf hren aus klicken Sie auf Durchsuchen um nach der
43. Symmetrische Verschl sselung Asynchrone bertragung Ein bertragungsmodus bei dem Sender und Empf nger nicht gleichzeitig vorhanden sein m ssen Authentifizierung Der Vorgang bei dem die Identit t eines Teilnehmers an einer bertragung zuverl ssig berpr ft wird Base64 Verschl sselung Ein h ufig verwendetes Verfahren bei der bertragung von Bin rdaten mit MIME Basic Encoding Rules BER Die Regeln die in ISO 8825 f r die Verschl sselung von in ASN 1 beschriebenen Dateneinheiten angegeben sind Die Regeln geben das Verschl sselungsverfahren jedoch nicht die abstrakte Syntax an Benutzerauthentifizierung Der Prozess mit dem berpr ft wird ob der Absender einer Nachricht die berechtigte Person ist als die er sich ausgibt Der Prozess berpr ft au erdem ob ein Kommunikationsteilnehmer auch tats chlich mit dem erwarteten Endbenutzer oder System in Verbindung steht BER Basic Encoding Rules Berechtigung Die Erlaubnis auf eine Ressource zuzugreifen Bestreiten Etwas als unwahr zur ckweisen Dies ist z B dann der Fall wenn ein Benutzer abstreitet eine bestimmte Nach richt gesendet oder eine bestimmte Anforderung bergeben zu haben Browser Siehe Web Browser Browser Zertifikat Ein digitales Zertifikat das auch als Zertifikat der Client Seite bezeichnet wird Es wird von einem CA ber einen f r SSL aktivierten Web Server ausgestellt Die Schl ssel in einer verschl sselten Datei erm glichen de
44. Tivoli Tivoli Public Key Infrastructure RA Desktop Version 3 Release 71 SH12 2977 02 Tivoli Tivoli Public Key Infrastructure RA Desktop Version 3 Release 71 SH12 2977 02 Tivoli Public Key Infrastructure RA Desktop Copyrightvermerke Copyright 1999 2001 IBM Corp einschlie lich dieser Dokumentation und aller Software Alle Rechte vorbehalten Kann nur gem der Softwarelizenzvereinbarung von Tivoli Systems bzw IBM oder dem Anhang f r Tivoli Produkte der IBM Nutzungsbedingungen verwendet werden Diese Ver ffentlichung darf ohne vorherige schriftliche Genehmi gung der IBM Corp weder ganz noch in Ausz gen auf irgendeine Weise elektronisch mechanisch magnetisch optisch chemisch manuell u a vervielf ltigt bertragen aufgezeichnet auf einem Abrufsystem gespeichert oder in eine andere Computersprache bersetzt werden Die IBM Corp gestattet Ihnen in begrenztem Umfang eine Hardcopy oder eine Reproduktion einer maschinenlesbaren Dokumentation f r den eigenen Gebrauch zu erstellen unter der Vor aussetzung dass jede dieser Reproduktionen mit dem Copyrightvermerk der IBM Corp versehen ist Weitere das Copy right betreffende Rechte werden nur nach vorheriger schriftlicher Genehmigung durch die IBM Corp gew hrt Die Ver ffentlichung dient nicht zu Produktionszwecken Die in diesem Dokument aufgef hrten Beispiele sollen ledig lich zur Veranschaulichung und zu keinem anderen Zweck dienen Marken AIX DB2 DB2 U
45. WebServer MyDomain index jsp Ein Tivoli PKI System enth lt eine Standard Java Server Seite Java Server Page JSP index jsp Diese Seite wird unter der Webadresse f r die Registrierungsdom ne angezeigt Sie bietet die folgenden Registrierungsservices m Zuk nftige Benutzer verwenden diese Web Seite um ein Zertifikat anzufordern und um eigene Browser Zertifikard zu erneuern oder zu widerrufen Tivoli PKI RA Desktop 31 us un4ayneug E Zur Unterst tzung dieser Benutzer m ssen Sie die Web Seite aufrufen und ein eigenes Zertifikat f r den Zugriff auf RA Desktop abrufen Anschlie end k nnen Sie mit diesem Zertifikat eine Vorabregistrierung f r andere Benutzer durchf hren Sie greifen auf RA Desktop zu um mit Registrierungsanforderungen und Zertifikaten zu arbeiten die einer bestimmten Registrierungsdom ne zugeordnet sind Registrierungss tze Jede Anforderung f r ein Zertifikat ist ein Formular f r die Registrierung das an die Registrierungsstelle RA von Tivoli PKI bergeben wird F r jede Registrierungsan forderung wird ein Datensatz in der EE angelegt Aktualisierungen an diesem Datensatz geben alle Aktionen wider die f r die Anforderung ausgef hrt wurden Dies gilt auch f r eine Zur ckweisung der Anforderung Wenn ein Zertifikat erstellt wird werden in diesem Datensatz auch Ereignisse aufgezeichnet die sich auf dieses Zertifikat beziehen Der Registrierungssatz enth lt also alle Ereignisse die w hrend der G
46. alen Identit tsnachweis der normalerweise von Ihrem Web Browsel in einer verschl sselten Datei gespeichert wird Bestimmte Anwendungen erlauben die Speicherung der Schl ssel auf einer Smart Card oder einem anderen Speichermedium In einem Tivoli PKI System k nnen Sie ein Browser Zerti Tivoli PKI RA Desktop 33 us un4ayneug E fikat direkt ber_Ihren Web Browser anfordern Sp ter k nnen Sie bei Bedarf auf die Web Seite f r die zur ckkehren und das Zertifikat erneuern oder widerrufen CA Zertifikate Alle Browser Server Einheiten oder Anwendungen die ber ein Zertifikat zur Vorlage beim Tivoli PKI Server verf gen m ssen au erdem ein kompatibles CA Zertifikat besitzen Die ses Zertifikat wird zur Authentifizierung der Kommunikation zwischen Servern ben tigt die ber vom Tivoli PKI CA ausgestellte Zertifikate verf gen Sie m ssen in Ihrem Browser ein Tivoli PKI CA Zertifikat haben um die gesicherten Registrierungsservices von Tivoli PKI einsetzen zu k nnen Dieses CA Zertifikat kann beim ersten Besuch der Registrierungs Web Seiten von Tivoli PKI abgerufen werden Anschlie Bend k nnen Sie bei jeder Anforderung eines Zertifikates bei den Registrierungsservices auch das zugeh rige kompatible CA Zertifikat herunterladen Beispiel Wenn Sie ein SSL Browser Zertifikatl mit einem G ltigkeitszeitraum von 2 Jahren anfordern k nnen Sie ein CA Zertifikat empfangen das mit diesem Zertifikat kompatibel ist Anmerkung Fr
47. amsuayabio ANZ UBUOIEWOJU E m Der Abschnitt Zertifikatsanforderungsinformationen enth lt Textfenster in denen Daten zum gew nschten Zertifikat angegeben werden m ssen Wenn Sie in den wahlfreien Feldern des Abschnitts keine Werte eingeben werden die von Tivoli PKI bereitgestellten Standardwerte verwendet die sich nach dem angeforderten Zerti fikatstyp richten Hierbei sind die folgenden Felder besonders zu beachten Zertifikatstyp W hlen Sie den Browser Zertifikatstypl aus dessen Vorlage Ihr Unternehmen f r den Zugriff auf RA Desktop anfordert Unter k cite Ad werden die verschiedenen Zertifikatstypen beschrieben Das CA Zertifikat auf dem Browser installieren Klicken Sie auf diesen Knopf um ein abzurufen das mit dem Zertifikatstyp kompatibel ist Wenn Sie auf diesen Knopf klicken wird das CA Zertifikat sofort heruntergeladen Dieses Zertifikat erm glicht dem Browser die Authentifizierung der Kommunika tion mit der Registrierungsfunktion wenn Sie RA Desktop verwenden Wenn Sie aus einem bestimmten Grund bereits ber ein identisches CA Zertifikat verf gen wird kein weiteres Zertifikat desselben Typs ben tigt E Mail Adresse Um das Feld E Mail Benachrichtigung auszuw hlen m ssen Sie Ihre E Mail Adresse angeben E Mail Benachrichtigung W hlen Sie dieses Feld aus um eine E Mail mit dem Ergebnis Ihrer Anforde rung zu erhalten Anmerkung Wenn der RA Server in Ihrem Unternehmen auf einer Windows NT Pla
48. an den Pr f Server sendet stellt er eine Verbindung zu diesem her Nach der Herstellung der Verbindung ver wendet der Client die Client Bibliothek des Pr fsubsystems um Ereignisse an den Pr f Server zu bertragen Pr fprotokoll Daten in Form eines logischen Pfades die eine Folge von Ereignissen verbinden Mit dem Pr fprotokoll k nnen Transaktionen oder der bisherige Verlauf einer bestimmten Aktivit t verfolgt werden Pr fprotokoll Bei Tivoli PKI eine Tabelle in einer Datenbank in der f r jedes Pr fereignis ein Datensatz gespeichert wird Pr f Server Ein Tivoli PKI Server der zum Empfangen von Pr fereignissen von Pr f Clients und zum Aufzeichnen dieser Ereignis in einem Pr fprotokoll dient Pr fzeichenfolge Eine Zeichenfolge die von einem Server oder einer Anwendung gesendet wird und zum Anfordern der Benutzer berechtigung dient Der Benutzer der zur Authentifizierung aufgefordert wird unterzeichnet die Pr fzeichenfolge mit einem privaten Schl ssel Der ffentliche Schl ssel des Benutzers sowie die unterzeichnete Pr fzeichenfolge werden zur ck an den Server oder die Anwendung gesendet der bzw die die Authentifizierung anforderte Der Server versucht anschlie end die unterzeichnete Pr fzeichenfolge mit Hilfe des ffentlichen Schl ssels des Benutzers zu entschl sseln Wenn die entschl sselte Pr fzeichenfolge mit der urspr nglich gesendeten Pr fzei chenfolge bereinstimmt gilt der Benutzer als authentifiziert
49. ausgef hrt sind Gehen Sie beispielsweise wie folgt vor wenn Sie f r ein Zertifikat den Zertifikatstyp von einem 1 Jahres Zertifikat in ein 2 Jahres Zertifikat ndern und gleichzeitig den G ltigkeitszeitraum f r das Zertifikat auf 18 Monate begrenzen m chten 1 W hlen Sie die Zertifikatsanforderung aus und ndern Sie den Zertifikatstyp in ein 2 Jahres Zertifikat 2 W hlen Sie Als anstehend behalten aus und klicken Sie anschlie end auf Aktion bergeben 3 W hlen Sie die Zertifikatsanforderung erneut aus und ndern Sie das Start und End datum so dass der G ltigkeitszeitraum auf 18 Monate begrenzt ist 4 W hlen Sie Genehmigen aus und klicken Sie anschlie end auf Aktion bergeben Angeben des Anforderungsprofils Auf der an Ergebnissd bzw Detaild k nnen Sie angeben dass ein anderes fiir die Zertifikatserstellung verwendet werden soll wenn Sie eine Registrierungsanforderung genehmigen W hlen Sie unter W hlen Sie das Anforderungsprofil aus eine der folgenden Optionen aus m W hlen Sie in der Liste das gew nschte Anforderungsprofil aus Alle Profile in der Listd k nnen angegeben werden Der Abschnitt LGelieferte Ze e eite 49 ent h lt eine Beschreibung der Zertifikate die den einzelnen Bd a i zugeord net sind m W hlen Sie Aktuellen Standardwert verwenden aus Dies ist der Standardwert Mit dieser Einstellung k nnen Sie auch dann weiterarbeiten wenn das aktuelle Profil nicht zu den Pro
50. bedingt aufbewahrt werden Sie dient sp ter zu Ihrer Identifikation wenn Sie den der Anforderung und Ihr Zertifikat empfangen m chten nachdem es ausgestellt ist F hren Sie einen der auf der Web Seite beschriebenen Arbeitsschritte aus m Setzen Sie auf dieser Web Seite ein Lesezeichen so dass Sie diese Anzeige erneut aufrufen und Ihr Zertifikat berpr fen K nnen Dies ist die einfachste M glichkeit den Status zu einem sp teren Zeitpunkt zu berpr fen m Noperen Sie die Anforderungs ID um diese ggf angeben zu k nnen Als zus tzliche Sicherheitsma nahme empfiehlt es sich die Anforderungs ID in jedem Fall zu notie ren unabh ngig davon ob Sie f r die Statusseite ein Lesezeichen gesetzt haben m Wenn Sie bei der Registrierung im entsprechenden Feld angegeben haben dass Sie eine E Mail Benachrichtigung w nschen erhalten Sie die Anforderungs ID per E Mail Pr fen des Registrierungsstatus Um den Status Ihrer Registrierungsanforderung zu pr fen m ssen Sie entweder auf die Web Seite zur ckkehren auf der Sie w hrend der Registrierung ein Lesezeichen gesetzt haben oder die folgenden Arbeitsschritte ausf hren 1 F hren Sie einen auf die Registrierungs Web Seite aus 2 W hlen Sie unter Registrierungstyp den Typ der angeforderten Registrierung aus 3 4 W hlen Sie unter Aktion die Option Registrierungsstatus berpr fen aus Klicken Sie auf OK Die Anzeige enth lt Felder in denen Sie eine Authentifizier
51. bei der das gesamte Datenpaket Header und Datenkomponente verschl sselt und gekapselt ist Vorabregistrierung Bei Tivoli PKI ein Prozess mit dem ein bestimmter Benutzer normalerweise ein Administrator andere Benutzer registrieren kann Wenn die Anforderung genehmigt wird stellt die RA Informationen zur Verf gung mit denen der Benutzer sp ter mit Hilfe der Client Anwendung von Tivoli PKI ein Zertifikat erhalten kann VPN Virtual Private Network Web Browser Auf einem PC ausgef hrte Client Software mit der ein Benutzer im World Wide Web navigieren oder lokale HTML Seiten anzeigen kann Der Web Browser ist ein Abfrage Tool das universellen Zugriff auf die umfangrei chen Hypermedia Datensammlungen erm glicht die im Web und im Internet zur Verf gung gestellt werden Manche Browser k nnen Text und Grafik anzeigen w hrend andere Browser auf die Textanzeige beschr nkt sind Die meisten Browser unterst tzen die Hauptformen der Internet Kommunikation z B die Ausf hrung von FTP Transaktionen Web Server Ein Server Programm das auf Anforderungen von Browser Programmen nach Informationsressourcen antwortet Siehe auch Server WebSphere Application Server Ein IBM Produkt das Benutzer bei der Entwicklung und Verwaltung von Websites mit einem hohen Leistungs umfang unterst tzt Es erleichtert den bergang vom einfachen Web Publishing zu komplexen e business Anwen dungen im Web Der WebSphere Application Server besteht aus einer
52. ben Sie bei Bedarf ohne die Auswahl unter Abfrageart zu ndern zus tzliche f r die abzurufenden Datens tze an Beispiel Ihr Manager bittet Sie die Registrierungsanforderung einer bestimmten Person vor anderen anstehenden Anforde rungen zu bearbeiten In diesem Fall k nnen Sie in der Abfrage den Namen der gew nschten Person angeben Abrufen von anstehenden Schl sselwiederherstellungsanforderungen Auf der Registerkarte Abfrage k nnen Sie eine anstehende Anforderung f r Schl ssel wiederherstellung abrufen 1 W hlen Sie unter Abfrageart die Option Anhand von Wiederherstellungsstatus Name und Aktualisierungsdatum aus 2 W hlen Sie unter Schl sselwiederherstellungsstatus die Option Anstehend aus Tivoli PKI RA Desktop 13 asiamsuayabio ANZ UBUOIEWOJU E 14 3 Klicken Sie auf Abfrage bergeben Zugeh rige Abschnitte Abrufen von ablaufenden Zertifikaten Auf der Registerkarte Abfragel k nnen Sie eine Abfrage zum Abrufen von Datens tzen erneuerbarer Zertifikate vorbereiten deren G ltigkeit innerhalb eines bestimmten Zeitraums abl uft Gehen Sie hierzu wie folgt vor 1 W hlen Sie unter Abfrageart die Option Anhand von Erneuerbarkeit und Ablauf datum aus ffnen Sie die Liste unter Erneuerbarkeit und klicken Sie auf Erneuerbar Differenzieren Sie die Abfrage so dass nur die Datens tze von Zertifikaten abgerufen werden deren G ltigkeit w hrend des gew nschten Zeitraums ausl uft F hre
53. bereiten Durch die Kombination einer beliebigen Anzahl der verf gbaren Felder k nnen Sie anschlie Bend Ihre Abfrage weiter differenzieren Der Abschnitt efelde eite h lt eine Beschreibung der Felder m Wenn Sie den Cursor ber ein bestimmtes Feld bewegen werden unten auf der Registerkarte f r dieses Feld angezeigt m Sie k nnen die Abfrage ausf hren ohne eigene Werte anzugeben In diesem Fall werden die Datens tze aller anstehenden Anforderungen abgerufen ohne dass hierbei die anderen Merkmale ber cksichtigt werden 2 ndern Sie bei Bedarf den f r die Anzahl der abzurufenden Datens tze 3 ndern Sie bei Bedarf die Anzahl der Datens tze die auf einer Seite werden wenn Sie die Ergebnisse auf der Registerkarte Ergebnisse aufrufen 4 Nach der Vorbereitung der Abfrage klicken Sie auf Abfrage bergeben W hrend Sie auf die Abfrageergebnisse warten wird ein Statushalkenl angezeigt der Sie ber den Fortschritt der Abfrageverarbeitung informiert Wenn die Ergebnisse Ihrer Abfrage vorliegen wird die Registerkarte Ergebnisse automatisch angezeigt 5 Die Registerkarte Ergehnissd enth lt die Datens tze f r die weitere Bearbeitung Zugeh rige Abschnitte Abrufen von anstehenden Zertifikatsanforderungen F hren Sie auf der Registerkarte Abfrage einen der folgenden Arbeitsschritte aus m F hren Sie eine Abfrage aus ohne eigene Werte anzugeben Diese Operation entspricht der Angabe des Status Anstehend m Ge
54. der Verarbei tung feldspezifische Hilfetexte Tivoli PKI Nachrichten und ein Statusbalken ange zeigt Einen Knopf Hilfe f r die Registerkarte Wenn Sie auf die Registerkarte Abfrage klicken wird diese erneut aufgerufen sodass Sie die Abfrage differenzieren oder eine weitere Abfrage vorbereiten k nnen Verwaltungsaktionen Die einzigen Aktionen die f r Sie zur Verf gung stehen sind die Berechtigungen f r das Arbeiten mit Datens tzen Die folgenden Optionen werden angezeigt Genehmigen Mit dieser Option wird die Anforderung genehmigt damit dem Antragsteller das angeforderte Zertifikat ausgestellt werden kann Als anstehend behalten Mit dieser Option wird die Entscheidung verz gert Verwenden Sie diese Option wenn Sie zur Bearbeitung des Antrags noch externe Informationen ben tigen oder lediglich einen Kommentar an den Datensatz anf gen m chten Zur ckweisen Mit dieser Option wird die Anforderung abgewiesen Zertifikat widerrufen Mit dieser Option wird die G ltigkeit eines Zertifikates beendet Zertifikat aussetzen Mit dieser Option wird die G ltigkeit eines Zertifikats vor bergehend ausgesetzt Zertifikat wieder aufnehmen Mit dieser Option wird ein ausgesetztes Zertifikat reaktiviert Anforderung als Erneuerbar definieren Mit dieser Option wird der Status eines nicht erneuerbaren Zertifikates in erneuer bar ge ndert Anforderung als Nicht erneuerbar definieren Mit dieser Option
55. e Informationen und SEET zur Sege der Desen eines Registrators D enth lt Beschreibungen zu den Konzepten die sich auf die Registrierung Zertifizierung und Verwaltung unter RA Desktop beziehen efere g eite 39 enth lt Feldbeschreibungen g ltige Feldwerte und die nn von Atribui die in RA Desktop angezeigt werden m Glossar auf Seite 57 definiert die Termini und Abk rzungen die in diesem Handbuch verwendet werden und die m glicherweise neu oder unbekannt sind sowie Termini die von Bedeutung sein k nnten Version 3 Release 7 1 In diesem Handbuch verwendete Konventionen In diesem Handbuch werden f r bestimmte Termini und Aktionen verschiedene Konventio nen hinsichtlich des Schriftbilds verwendet Die Schriftbilder haben folgende Bedeutung Schriftbild Bedeutung Befehle Schl sselw rter Markierungen und andere Informationen die im Ve genauen Wortlaut verwendet werden m ssen werden fett gedruckt Variablen die angegeben werden m ssen sowie neue Termini werden kursiv Kursivdruck gedruckt Hervorgehobene W rter und Ausdr cke werden ebenfalls kursiv gedruckt Codebeispiele Ausgabe und Systemnachrichten werden in einer Monospace Schrift Monospace Schrift gedruckt Kontaktaufnahme zur Kundenunterst tzung Tivoli PKI Wenn mit irgendeinem Tivoli Produkt Probleme auftreten k nnen Sie ber omi die Homepage der Tivoli Unterst tzung Tivoli Support auf rufen Nachdem
56. e f r X 509 Ver sion 3 PKIX und Common Data Security Architecture CDSA zur Realisierung der Interoperabilit t zwischen verschiedenen Lieferanten und Herstellern m Digitale Unterzeichnung und gesicherte Protokolle zur Authentifizierung aller an einer Transaktion beteiligten Parteien m Optimale Flexibilit t durch browser basierte Registrierungsfunktionen Unterst tzung zur Gew hrleistung der Vertraulichkeit durch verschl sselte Kommunika tion und gesicherte Speicherung der Registrierungsinformationen Ein Tivoli PKI System kann auf Serverplattformen unter IBM AIX 6000 und Microsoft Win dows NT ausgef hrt werden Es umfasst die folgenden Hauptmerkmale m Ein zuverl ssiger Zertifikatsausstelled CA verwaltet die Giiltigkeitsdauer digitaler Zerti fikate Um die Authentizit t eines Zertifikats zu belegen unterzeichnet der CA jedes aus gestellte Zertifikat digital Au erdem unterzeichnet der CA CRLs um zu best tigen dass ein bestimmtes Zertifikat nicht mehr g ltig ist Um sei nen Signierschl ssel zus tzlich zu sch tzen k nnen Sie Verschl sselungshardware wird auch als Hardwaresicherheitsmodul HSM bezeichnet verwenden z B den IBM Secu reWay 4758 PCI Cryptographic Coprocessor m Eine Registrierungsstelle RA f hrt die Verwaltungsaufgaben aus die bei der Benutzer registrierung notwendig sind Die RA stellt sicher dass nur solche Zertifikate ausgestellt werden die Ihre Unternehmensaktivit ten unter
57. e jenanpassungl vornehmen um ihre Breite zu ndern m Felder zum Definieren des eines Zertifikates falls erforderlich m Ein Feld in dem bei Bedarf ein anderes Anforderungsprofil f r eine Anforderung ange geben werden kann die momentan genehmigt wird m Eine Auswahlliste mit den Aktionen die zur Verf gung stehen Wenn als Aktion Wiederrufen ausgew hlt wurde wird au erdem eine Auswahlliste f r die des Widerrufs angezeigt m Ein Feld f r Kommentare in dem ein Kommentar zu der ausgef hrten Aktion eingege ben werden kann m Einen Knopf Details aktualisieren zum Aktualisieren der Anzeige m Einen Knopf Aktion bergeben zum Ausf hren der ausgew hlten Aktion Oo fiir Ihre Aufgabe Einen Statusbereich unten auf der Registerkarte Hier werden w hrend der Verarbei tung feldspezifische Hilfetexte Tivoli PKI Nachrichten und ein Statusbalken ange zeigt Einen Knopf Hilfe f r die Registerkarte Wenn Sie auf die Registerkarte Ahfragel klicken wird diese erneut aufgerufen sodass Sie die Abfrage differenzieren oder eine weitere Abfrage vorbereiten k nnen Wenn Sie auf die Registerkarte Ergebnisse klicken wird diese erneut aufgerufen sodass Sie die Bearbeitung der Abfrageergebnisse fortsetzen k nnen Aktionsprotokoll Ereignisse Die Tabelle mit Abfrageergebnissen auf_der Registerkarte Ergebnissd und die Aktions protokolltabelle auf der Registerkarte verf gen ber hnliche Spalten Die Spalte f r den A
58. edingt erforderlich sind Hierzu geh ren die folgenden Elemente ffentliche Schl ssel Zertifikate und Zertifikatswiderrufslisten CRLs Die Daten im Directory sind hierarchisch in einer Baumstruktur organisiert wobei die oberste Ebene der Baum struktur das Root Verzeichnis ist H ufig stehen Organisationen einer h heren Ebene f r einzelne L nder Regie rungen oder Unternehmen Benutzer oder Einheiten werden im Allgemeinen als Bl tter einer solchen Baum struktur dargestellt Diese Benutzer Organisationen Standorte L nder und Einheiten haben jeweils ihren eigenen Eintrag Jeder Eintrag besteht aus Attributen denen verschiedene Typen zugewiesen sind Diese enthalten Infor mationen zu den Objekten f r die der jeweilige Eintrag steht Jeder Eintrag im Directory ist mit einem zugeordneten registrierten Namen DN Distinguished Name verbun den Dieser ist eindeutig wenn der Eintrag ein Attribut umfasst das f r das tats chliche Objekt als eindeutig bekannt ist Im folgenden DN Beispiel wurde als Land C Country US als Unternehmen O Organization IBM als Unternehmenseinheit OU Organizational Unit Trust und als allgemeiner Name CN Common Name der Wert CAl angegeben C US 0 IBM OU Trust CN CAl Directory Server In Tivoli PKI das IBM SecureWay Directory Dieses Directory unterst tzt die LDAP Standards und verwendet DB2 als Basissystem Distinguished Encoding Rules DER Durch DER werden bestimmte Einschr nkungen f
59. eeignet und wird h ufig einem Router zugeordnet Tivoli PKI RA Desktop 49 U9UONEULIOJUIZUS 9J9H e 50 1 und 2 Jahre Nur Schl sselcodierung Dieses Zertifikat erm glicht dem Eigner die Verschl sselung von Schl sseln Das Zertifikat dient nicht zu anderen Zwecken 1 und 2 Jahre Unbestreitbarkeit Dieses Zertifikat erm glicht die Nachrichtenverschl sselung und das digitale Unter zeichnen Hierdurch wird verhindert dass der Absender die Ursprungsadresse oder die bergabe einer Nachricht bestreiten kann 1 und 2 Jahre Nur Unterschrift Dieses Zertifikat erm glicht dem Eigner die digitale Unterzeichnung einer Datei Das Zertifikat dient nicht zu anderen Zwecken 1 und 2 Jahre Web Client Authentifizierung Dieses Zertifikat erm glicht einem Web Browser die Teilnahme an einer client au thentifizierten SSL Sitzung Mit ihm kann der Benutzer des Browsers auf eine bestimmte gesicherte Web Site zugreifen Das Zertifikat stellt eine digitale Unter schrift bereit und unterst tzt die Unbestreitbarkeit und die Verschl sselung von Schl sseln Es wird normalerweise f r Endbenutzer verwendet 1 und 2 Jahre Web Server Authentifizierung Dieses Zertifikat erm glicht einem Server die Teilnahme an einer server authentifi zierten SSL Sitzung Das Zertifikat stellt eine digitale Unterschrift bereit und unter st tzt die Verschl sselung von Schl sseln oder Personen die eine Worabresistrierung f r andere Personen durchf hre
60. efinierte Abfragen Die einzige vordefinierte Abfrage ist die Standardabfrage mit der alle anstehenden Anforde rungen abgerufen werden Tivoli PKI RA Desktop 43 U9UONEULIOJUIZUS 9J9H e Anzahl der abzurufenden Datens tze Optionen Auf der Registerkarte Abfragel stehen die folgenden Optionen zum Definieren der Anzahl der abzurufenden Datens tze zur Verf gung 50 100 150 250 Standardwert Unbegrenzt zum Abrufen aller Datens tze die mit den Abfragekriterien bereinstim men Diese Optionen haben Auswirkungen auf die Anzahl der Datens tze in den Abfrage ergebnissen auf der Registerkarte Ersebnised Satze pro Seite Optionen Auf der Registerkarte Abfragel stehen die folgenden Optionen zum Definieren der S tze pro Seite zur Verf gung 10 15 Standardwert 20 25 Alle numerischen Werte die anstelle des angezeigten Standardwertes eingegeben werden Diese Optionen_haben Auswirkungen auf die Anzeige der Abfrageergebnisse auf der Registerkarte Registerkarte Ergebnisse Auf der Registerkarte Ergebnisse werden die Ergebnisse der Ausf hrung einer Abfrage angezeigt Die Registerkarte verf gt ber folgende Elemente 44 Eine Tabelle mit den Ergebnissen der Abfrage Jede Zeile enth lt hierbei den Datensatz eines Elementes das mit den Abfrage kriterien bereinstimmt e Sie k nnen die Zeilen auf der Basis der Werte in einer bestimmten Zeile kortieren Sie k nnen f r die Spalten eine K
61. egisterkarten wie folgt vor 1 Klicken Sie unter F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F hren Sie eine Aktion f r das angezeigte Element aus auf Ze kat wieder aufneh 2 Klicken Sie auf Aktion bergeben Zugeh rige Abschnitte Publizieren eines Zertifikats Sie k nnen ein Zertifikat auf der Registerkarte Ergebnissd oder auf der Registerkarte f r das Verzeichnis publizieren Wenn Sie die Registerkarte Ergebnisse verwenden k nnen Sie Imehrerd Zertifikate publizieren Gehen Sie auf beiden Registerkarten wie folgt vor 1 Klicken Sie unter F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F hren Sie eine Aktion f r das angezeigte Element aus auf Zertifikat publizieren Anmerkung Diese Aktion ist f r F lle gedacht in denen die normale automatische Publi zierung beim Ausstellen des Zertifikats fehlschl gt Pr fen der Berechtigungen f r die Dom ne F hren Sie auf der Registerkarte Ergehnisse bzw auf der Registerkarte Detaild folgende Schritte aus 1 Klicken Sie auf F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F h ren Sie eine Aktion f r das angezeigte Element aus 2 Pr fen Sie die Liste der Aktionen Diese Liste gibt die Aktionen an die Sie gem Ihren Berechtigungen beim Arbeiten mit Datens tzen f r Zertifikate und Registrierungsanforderungen in Ihrer Registrierungsdom ne ausf hren d rfen Wenn Sie lediglich ber die Berechtigung verf
62. ehrfaches MD5 Eine unidirektionale Nachrichtenauszugs Hash Funktion die von Ron Rivest entwickelt wurde Sie stellt eine ver besserte Version von MD4 dar MD5 verarbeitet Eingabetext in 512 Bit Bl cken die in 16 32 Bit Unterbl cke aufgeteilt werden Die Ausgabe des Algorithmus ist eine Gruppe von vier 32 Bit Bl cken die verkettet werden und so einen 128 Bit Hash Wert bilden Diese Funktion wird ebenfalls zusammen mit MD2 in dem PEM Proto kollen verwendet MD2 Eine Nachrichtenauszugs Hash Funktion auf 128 Bit Basis die von Ron Rivest entwickelt wurde Sie wird zusammen mit MD5 in den PEM Protokollen verwendet Modulus In dem auf ffentlichen Schl sseln basierenden RSA Verschl sselungssystem das Produkt n aus zwei hohen Primzahlen p und q Die optimale Gr e f r einen RSA Modulus h ngt von den individuellen Sicherheitsan forderungen ab Je gr er der Modulus desto h her die Sicherheit Die momentan von den RSA Laboratories empfohlenen Schl sselgr en h ngen vom geplanten Einsatz des Schl ssels ab Hierbei werden 768 Bit f r Schl ssel zum pers nlichen Gebrauch 1024 Bit f r den Unternehmensbereich und 2048 Bit f r extrem wertvolle Schl ssel wie z B CA Schl sselpaare angegeben Ein 768 Bit Schl ssel wird voraussichtlich bis mindestens zum Jahr 2004 sicher sein Multipurpose Internet Mail Extensions MIME Eine frei verf gbare Gruppe von Spezifikationen die den Austausch von Text in Sprachen mit unterschiedlichen
63. eifen w hrend Sie die Onlinehilfefunktion f r den Assistenten anzei gen Tivoli PKI RA Desktop ix RA Desktop Dieses Handbuch enth lt Informationen zur Verwendung von RA Desktop f r die Verwaltung von Zertifikaten w hrend ihres G ltigkeitszeitraums Sie k nnen auf die HTML Version dieses Handbuchs zugreifen w hrend Sie die Onlinehilfefunktion f r den Desktop anzeigen Benutzerhandbuch Dieses Handbuch enth lt Informationen zum Abrufen und Verwalten von Zertifika ten Es stellt Prozeduren zum Verwenden der Browserregistrierungsformulare von Tivoli PKI f r die Anforderung Erneuerung und den Widerruf von Zertifikaten bereit Au erdem enth lt es eine Erl uterung zur Vorabregistrierung bei PKIX kom patiblen Zertifikaten Anpassung Dieses Buch enth lt Informationen dazu wie Sie die Tivoli PKI Registrierungs funktion f r die Unterst tzung der Registrierungs und Zertifizierungsziele Ihrer Unternehmensregeln anpassen k nnen So erhalten Sie beispielsweise Anweisungen zur Anpassung von HTML und Java Serverseiten Benachrichtigungsschreiben Zertifikatsprofilen und Regel Exits Inhalt des Handbuchs Dieses Handbuch enth lt folgende Informationen 2 2 liefert eine kurze Beschreibung der Funktio nen und des Leistungsspektrums von Tivoli PKI D beschreibt den Aufgabenbereich des Administrators bzw Regis trators sowie einige typische Tasks die mit Hilfe von RA Desktop ausgef hrt werden enth lt Task orientiert
64. eigen 1 W hlen Sie die Zeile aus in der sich der Datensatz befindet 2 Klicken Sie auf den Knopf Details anzeigen Zugeh rige Abschnitte Ausf hren von Aktionen f r einzelne Datens tze Auf der Registerkarte Details k nnen Sie weitere nderungen f r den angezeigten Datensatz vornehmen bevor eine Aktion angegeben wird 1 W hlen Sie unter Anzeigen den Eygl der Details aus die angezeigt werden sollen Wenn Sie die Verarbeitungsattribute eines Elementes anzeigen k nnen einige der Werte in der Tabelle ge ndert werden ndern Sie die Attributwerte entsprechend Ihren individuellen Anforderungen Der Abschnitt ka 2 e 47 enth lt eine Beschreibung der verschiedenen Attribute Geben Sie bei Bedarf unter Definition des G ltigkeitszeitraums einen f r das aktive Zertifikat an Geben Sie bei Bedarf unter W hlen Sie das Anforderungsprofil aud ein hndered Anforderungsprofil f r eine Anforderung an die momentan genehmigt wird Der Abschnitt eferte Ze k e eite 49 enth lt eine Beschreibung der Merk male der Zertifikate die den einzelnen en zugeordnet sind ffnen Sie die Liste unter Aktion f r das angezeigte Element ausf hren und w hlen Sie die gew nschte aus Die einzigen Aktionen die f r Sie zur Verf gung stehen sind die Berechtigungen f r das Arbeiten mit Datens tzen Anmerkung Wenn Sie als Aktion Widerrufen ausw hlen m ssen Sie auch die nae Ga e 46 J enth tt eine Beschreibung zu den
65. einzige Anforderung ist dass ffentliche Schl s sel den entsprechenden Benutzern in einer gesicherten authentifizierten Weise z B in einem gesicherten Ver zeichnis zugeordnet werden Jeder Benutzer kann nun mit Hilfe dieser ffentlichen Daten eine vertrauliche Nachricht senden Diese Nachricht kann nur mit einem privaten Schl ssel entschl sselt werden auf den allein der gew nschte Empf nger zugreifen kann Dar ber hinaus kann die Verschl sselung auf der Basis von Schl ssel paaren nicht nur zur Gew hrleistung der Vertraulichkeit Verschl sselung sondern auch f r die Authentifizierung digitale Unterschriften eingesetzt werden Secure Electronic Transaction SET Ein Branchenstandard f r die Durchf hrung sicherer Kredit oder Kundenkartenzahlungen ber nicht gesicherte Netze Der Standard formuliert Definitionen f r die Authentifizierung von Kartenhaltern H ndlern sowie der Banken durch die die Karten ausgestellt werden da er die Ausstellung von Zertifikaten anfordert Secure Sockets Layer SSL Ein IETF Standard bertragungsprotokoll mit integrierten Sicherheitsservices die f r den Endbenutzer m glichst transparent sind Es stellt einen digitalen sicheren Kommunikationskanal zur Verf gung Ein SSL f higer Server empf ngt SSL Verbindungsanforderungen im Allgemeinen an einem anderen Anschluss Port als normale HTTP Anforderungen SSL erstellt eine Sitzung in der die Austauschsignale zum Herstellen der Kommunikation
66. en 0 eee eee ee 15 Anzeigen von Ergebnissen auf mehreren Seiten 2 2 2 ee eee 17 Anzeigen von Details eines Elements 17 Anzeigen der Attribute von Elementen 17 Anzeigen von Aktionsprotokollen 18 Wechseln zwischen Registerkarten 0 0 eee ee 19 Tivoli PKI RA Desktop vi Anpassen der Gr e von Tabellenspalten eee 19 Sortieren von Tabellenzeilen nach bestimmten Spnalten 00 20 0000000 20 Ausw hlen von Datens tzen in Tabellen 20 Ausf hren von Aktiofien 4 05008 cs 204050 ee See Oe EE ES RE ORE EO ESE SHE CREE Oe eS 20 Ausf hren von Aktionen f r mehrere Datens tze 1 ee 20 Ausf hren von Aktionen f r einzelne Datens tze 1 ee 21 ndern eines Attributwerts eisernen here 22 ndern eines G ltigkeitszeitraums ononon onunu onrera 22 Angeben des Anforder ngsprofils ssecsrsisicstsesisis eens 23 Hinzuf gen eines Kommentar 23 Genehmigen einer Anfordering s soras iaee eee eens 24 Genehmigen einer Schliisselwiederherstellungsanforderung 0 0 0 narun 24 Behalten einer Anforderung im Status anstehend 0 0 0 0 0 00 eee 24 Zur ckweisen einer Anforderung 0a ek bee Qa ANER REE De a ae 24 Zur ckweisen einer Schl sselwiederherstellungsanforderung n n nnnannann nnana 25 ndern der Hrmeuerbarkelt cic cas edad ar dE RE EEN er a ren 25 Aussetzen eines Zertifikats wu ENEE NEEN Ee a a ne 25 Widerrufen eines Zertifikats 26 Wiederaufnehmen eines
67. en zugeordnet sind Geben Sie unter Nachname den Nach oder Familiennamen ein Sie k nnen auch nur die ersten Buchstaben eines Namens eingeben um alle Namen abzurufen die mit dieser Buchstabenfolge beginnen Beispiel Wenn Sie die Buchstabenfolge Smi eingeben werden alle Datens tze mit den Namen Smith Smithers Smiley sowie andere Nachnamen abgerufen die mit der Buchstabenfolge Smi beginnen Geben Sie unter Vorname den Vornamen ein Sie k nnen auch nur die ersten Buchstaben eines Namens eingeben um alle Namen abzurufen die mit dieser Buchstabenfolge beginnen Beispiel Wenn Sie die Buchstabenfolge Joh einge ben werden alle Datens tze mit den Vornamen Johanna John Johan sowie andere Vornamen abgerufen die mit der Buchstabenfolge Joh beginnen e Verwenden Sie die Option Datumsbereiche f r die letzte Aktualisierung wenn Sie nur die Elemente abrufen m chten deren letzte Aktualisierung in einem bestimmten Zeitraum durchgef hrt wurde Geben Sie einen Datumsbereich an Einen Standardwert f r das Datum gibt es nicht Wenn in keinem der Felder ein Datum angegeben wird werden alle Datens tze abgerufen die mit den restlichen Abfragekriterien bereinstimmen Um ein Datum anzugeben klicken Sie auf den Kalender um diesen zu ffnen und anschlie end auf das gew nschte Datum Wenn Sie das Datum eingeben verwenden Sie beim Ausf llen des Textfensters dasselbe Format das a
68. enutzers berpr ft durch die entspre chende Berechtigung wird es hingegen f r einen Benutzer m glich bestimmte Operationen auszuf hren Tivoli PKI erm glicht Ihrem Unternehmen beide Nachweise zwingend anzufor dern bevor einem bestimmten Benutzer der Zugriff auf gesicherte Anwendungen gew hrt wird Andererseits kann f r durch diesen Sicherungsmechanismus gew hr leistet werden dass die benutzten Anwendungen auch tats chlich sicher sind Parallele Verwaltung Tivoli PKI stellt eine einzige Registrierung d zur Verf gung es k nnen jedoch meh rere Registratoren parallel in dieser Dom ne arbeiten Das Design des RA Deskop SER und die RA verhindern dass ein Datensatz aktualisiert werden kann solange ein anderer Benutzer auf diesen zugreift Allerdings ist es m glich dass mehrere Administratoren gleich zeitig einen bestimmten Datensatz anzeigen Servlet zur Unterst tzung von RA Desktop Das RA Desktop Unterst tzungs Servlet ist eine Tivoli PKI Anwendung die die Services von RA Desktop f r Registratoren zur Verf gung stellt Das Servlet gibt Informationen zur ck wenn ein Registrator eine Abfrage ausf hrt und aktualisiert dar ber hinaus Daten s tze deren nderung ein Registrator genehmigt hat Version 3 Release 7 1 Anforderungsprofile Tivoli PKI stellt eine Standardgruppe mit Anforderungsprofilen zur Verf gung die von Ihrem Unternehmen zur Vereinfachung der und verwendet wer den k nnen Ein Anforderungsp
69. erung initiali siert Bevor der Server den Inhalt dieser Webadresse zur ckgeben kann m ssen Sie sich als g ltiger Registrator huthentifizieren Der Browser fordert Sie zur Vorlage eines Zerti fikates auf Die Darstellung dieser Aufforderung kann abh ngig vom verwendeten Brow ser variieren 3 Legen Sie Ihr Registratorzertifikat vor Anmerkung Wenn Sie mit dem Internet Explorer arbeiten bergibt der Browser auto matisch das letzte Zertifikat das beim Server w hrend der Browser Sit zung vorgelegt wurde Sie werden nicht zur Eingabe einer Best tigung aufgefordert Wenn Sie ein anderes Zertifikat vorlegen m chten m ssen Sie den Browser beenden und anschlie end erneut starten Der Web Browser l dt das RA Desktop Applet herunter und initialisiert es m W hrend des Herunterladens des Applets werden m glicherweise unten in der Brow ser Anzeige verschiedene Nachrichten angezeigt Das System kann z B eine Nach richt ausgeben um anzuzeigen dass der Browser Java initialisiert m W hrend der Initialisierung wird ein Statusbalken angezeigt der den Fortschritt des Prozesses darstellt Wenn bei der Initialisierung ein Fehler auftritt wird der Status balken angehalten und eine generische Warnung angezeigt Nach dem Abschluss der Initialisierung wird RA Desktop angezeigt Sie k nnen es nun sofort einsetzen und mit der Verwaltung von Registrierungsanforderungen und Zertifikaten e e el beginnen die Ihrem Zertifikat zugeordnet i
70. erung eines Zertifikates starten Sie einen G ltigkeitszeitraum der den gesam ten Verarbeitungszeitraum dieses Identit tsnachweises umfasst Dieser G ltigkeitszeitraum endet wenn das Zertifikat widerrufen oder sein Ablaufdatum erreicht wird Als RA Administrator k nnen Sie Zertifikate auch aussetzen und reaktivieren Wird ein Zertifikat erneuert wird in der Reg ankl ein neuer Datensatz erstellt Version 3 Release 7 1 Aussetzen und Wiederaufnehmen von Zertifikaten Unter bestimmten Umst nden wird m glicherweise die Aussetzung eines Zertifikats angefor dert Dies kann beispielsweise dann der Fall sein wenn der Eigner eines Zertifikats vermu tet dass die Sicherheit seines Zertifikats Kompromittiert ist Ebenso kann im Anschluss an eine entsprechende Untersuchung angefordert werden das ausgesetzte Zertifikat zu reaktivie ren Diese Aufgaben werden ber RA Desktop ausgef hrt Will ein Benutzer dass sein Zerti fikat ausgesetzt wird kann er eine entsprechende Anforderung ausgeben Soll das betreffende Zertifikat reaktiviert werden muss die Reaktivierung per E Mail oder auf anderem Kommu nikationsweg angefordert werden Mitteilungen an den Benutzer der die Anforderung stellt sind auf dieselbe Weise zu handhaben Jedes Zertifikat verf gt ber eine Karenzzeit die vom Zertifikatstyp abh ngt und im Zertifikatsprofil definiert ist Als RA Administrator K nnen Sie die Standardkarenzzeit ndern Der Wert Null steht f r une
71. erungen f r Identit ts nachweise und zur Verwaltung dieser Nachweise w hrend ihrer G ltigkeitsdauer zur Verf gung stellt RA Server Der Server f r die RA Komponente von Tivoli PKI RC2 Eine variable Schl sselgr en Block Cipher die von Ron Rivest f r RSA Data Security entwickelt wurde RC steht f r Ron s Code oder Rivest s Cipher Sie arbeitet schneller als DES und l st diese Block Cipher ab Durch die Verwendung geeigneter Schl sselgr en kann sie in Bezug auf eine ausgedehnte Schl sselsuche flexibler als DES gestaltet werden Sie verf gt ber eine Blockgr e von 64 Bit und arbeitet auf Softwareebene zwei bis dreimal schneller als DES RC2 kann in denselben Modi eingesetzt werden wie DES Durch eine Vereinbarung zwischen SPA Software Publishers Association und der US Regierung nimmt RC2 einen speziellen Status ein Hierdurch ist das Genehmigungsverfahren f r den Export einfacher und schneller als dies bei anderen Verschl sselungsprodukten der Fall ist Um die Voraussetzungen f r eine rasche Export genehmigung zu erf llen muss ein Produkt mit einigen Ausnahmen die RC2 Schl sselgr e auf 40 Bit beschr n ken Eine zus tzliche Zeichenfolge kann verwendet werden um Nichtberechtigte abzuwehren die versuchen eine umfangreiche Tabelle m glicher Verschl sselungsvarianten vorauszuberechnen Regel Exit In einer Registrierungsfunktion ein auf Unternehmensebene definiertes Programm das von der Registrierungsan wendu
72. es sind beim IBM Ansprechpartner erh ltlich Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht da nur Programme Produkte oder Dienstleistungen von IBM verwendet werden k nnen Anstelle der IBM Pro dukte Programme oder Dienstleistungen k nnen auch andere ihnen quivalente Produkte Programme oder Dienstleis tungen verwendet werden solange diese keine gewerblichen Schutzrechte der IBM verletzen Die Verantwortung f r den Betrieb der Produkte Programme und Dienstleistungen in Verbindung mit Fremdprodukten liegt beim Kunden soweit solche Verbindungen nicht ausdr cklich von IBM best tigt sind F r in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder Patentanmeldungen geben Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbunden Lizenzanforderungen sind schriftlich an IBM Europe Director of Licensing 92066 Paris La Defense Cedex France zu richten Anfragen an obige Adresse m ssen auf englisch formuliert werden Tivoli PKI RA Desktop Version 3 Release 7 1 Inhaltsverzeichnis Wiele TEE ix P amp C Ea 0 0 0 cm ANE dE d RUE LE dE NR d RUE EN ix Referenzinform tionen u u er en er ix Inhalt des Handbuchs 242 2 252 2 vide OR 60 eet ee Phe ES thew yia x In diesem Handbuch verwendete Konventionen xi Kontaktaufnahme zur Kundenunterstutzung xi Tivol PKI Webintormationens 2 us 252488 GS ae WE ew coe al xi Kap
73. es Attributs Attributwert Der Wert des Attributs Dieser Kann sich w hrend der G ltigkeitsdauer einer Anforderung oder eines Zertifikats ndern 5 Bl ttern Sie in der Tabelle f hren Sie eine Gr enanpassungl der Spalten durch oder kord Sie bei Bedarf die Zeilen der Tabelle Zugeh rige Abschnitte Anzeigen von Aktionsprotokollen F hren Sie auf der Registerkarte Ergebnisse die folgenden Schritte aus 1 W hlen Sie aus der Tabelle der Abfrageergebnisse den gew nschten Datensatz aus 2 Klicken Sie auf Details anzeigen um eine detailliertere Anzeige des ausgew hlten Datensatzes auf der Registerkarte Details aufzurufen 3 W hlen Sie auf der Registerkarte Detaild unter Anzeigen die Option Aktionsprotokoll aus 4 Pr fen Sie die Tabelle Sie enth lt Details zu allen Ereignissen die innerhalb der G ltig keitsdauer des ausgew hlten Elements auftreten Jede Zeile im Aktionsprotokolll beschreibt eine Aktion die f r das Element ausgef hrt wurde Die aufgezeichneten Daten umfassen das Datum des Ereignisses die verantwortli che Person oder Einheit und alle zugeh rigen Kommentare Die Tabelle verf gt ber die folgenden Spalten Datum Das Datum der Aktion die in derselben Zeile angezeigt wird Von Der kegistrierte Namel des Registrators der die Aktion ausgef hrt hat oder der Name des entsprechenden RA Programms Anforderungsstatus D der Registrierungsanforderung z B Genehmigt Der Abschnitt en
74. esktop 28 Details Registerkarte 46 Directory Zugriff 33 Dom ne Registrierung 31 E E Mail Benachrichtigung 7 Einheitenzertifikat 34 Entfernen von RA Desktop 28 Ergebnisse Registerkarte 44 S tze pro Seite 15 Seiten anzeigen 17 Erl uterungen Abschnitte 29 Erneuerbarkeit 25 35 F Felder RA Desktop auf der Registerkarte Ergebnisse 45 auf Registerkarte Abfrage 39 auf Registerkarte Details 46 Hilfe f r 52 Feldhilfe 52 Gegenseitige Zertifizierung 32 Gr nde f r Widerruf 46 G ltigkeitszeitraum 22 37 49 H Hilfe f r RA Desktop 39 Identifikationspr fungsantwort 7 9 Informationen zur Vorgehensweise Abschnitte 5 Inhalt des Handbuchs ix Installieren von RA Desktop 10 78 Internet Explorer Release 52 Standardzertifikat 12 K Kalender 14 Karenzzeit Zertifikat 35 Konventionen xi Kundenunterstiitzung xi L LDAP Protokoll 33 Manipulierte Schl ssel 46 Mehrere Registratoren 36 P PKCS 10 Zertifikatsanforderung 34 PKIX kompatible Anwendungen 33 Profil Anforderung 23 37 Protokoll Directory Zugriff 33 Protokolle 33 Publizieren von Zertifikaten 27 36 R RA Desktop beenden 27 Berechtigung 10 deinstallieren 28 installieren 10 Registrierung f r Zugriff 7 rekonfigurieren 11 Servlet zur Unterst tzung 36 Zugriff 12 Zugriff vorbereiten 5 Reaktivieren von Zertifikaten 46 Referenzabschnitte 39 Registerkarten RA Desktop Abfrage Registerkarte 12 39 allgemeine Merkmale 52 Details
75. etails aufrufen Die Abfrage ergebnisse bleiben auf der Registerkarte Ergebnisse erhalten bis Sie eine weitere Abfrage ausf hren m Wenn Sie zur Registerkarte Details wechseln nachdem Sie einen Datensatz auf der Registerkarte Ergebnisse ausgew hlt haben enth lt die Registerkarte Details diesen Datensatz Die Registerkarte enth lt keine Informationen wenn auf der Registerkarte Ergebnisse kein Datensatz oder mehr als ein Datensatz ausgew hlt wurde Nach der bergabe einer Aktion auf der Registerkarte Details werden die Informationen auf der Seite dieser Registerkarte gel scht Anmerkung Wenn Sie eine Sitzung starten werden in den Feldern von RA Desktop nur die Standardwerte angezeigt Anpassen der Gr e von Tabellenspalten Gehen Sie wie folgt vor um die Gr e einer Tabellenspalte anzupassen 1 Platzieren Sie den Cursor auf dem Rand der Spalte deren Gr e angepasst werden soll 2 Klicken Sie mit der Maus und ziehen Sie diese nach links oder rechts um die Spalten breite zu ndern 3 Lassen Sie die Maustaste wieder los wenn die Spalte die gew nschte Breite aufweist Tivoli PKI RA Desktop 19 Bs amsusya on ANZ USOUONEWIOJUL E Sortieren von Tabellenzeilen nach bestimmten Spalten Gehen Sie wie folgt vor um Tabellenzeilen nach einer bestimmten Spalte zu sortieren m Klicken Sie auf die Spalten berschrift m Klicken Sie noch einmal wenn Sie die Sortierrichtung ndern m chten Ausw hlen von Datens tzen
76. ff und Ausstellerattribute sowie Einschr nkungen die f r den Zertifizierungspfad gelten Zertifikatsprofil Eine Gruppe von Kenndaten die den gew nschten Zertifikatstyp definieren z B SSL oder IPSec Zertifikate Das Profil vereinfacht die Zertifikatsspezifikation und registrierung Der Aussteller kann die Namen der Profile ndern und Kenndaten des gew nschten Zertifikats angeben Hierzu z hlen z B der G ltigkeitszeitraum die Ver wendung von Schl sseln DN Einschr nkungen usw Zertifikatsregel Eine benannte Gruppe mit Regeln die angibt ob ein Zertifikat f r eine bestimmte Klasse von Anwendungen mit gemeinsamen Sicherheitsanforderungen anwendbar ist Eine Zertifikatsregel kann z B angeben ob ein bestimm ter Zertifizierungstyp dem Benutzer die Ausf hrung von Transaktionen f r Waren innerhalb eines bestimmten Preisbereichs erm glicht Zertifikatswiderrufsliste CRL Eine digital unterzeichnete mit Zeitmarken versehene Liste der Zertifikate die vom Zertifikatsaussteller CA widerrufen wurden Die Zertifikate in dieser Liste sollten als nicht akzeptierbar behandelt werden Siehe auch Digitales Zertifikat Zertifizierung Der Prozess bei dem eine zuverl ssige an der Kommunikation nicht beteiligte Stelle der Zertifikatsaussteller CA einen elektronischen Identit tsnachweis ausstellt der f r die Identit t einer Person eines Unternehmens oder einer Organisation b rgt Ziel Eine benannte oder ausgew hlte Date
77. filen geh rt zu deren Angabe Sie berechtigt sind Das von Ihnen angegebene Profil wird zur Verarbeitung der Anforderung und zum Erstellen des Zertifikates nach der bergabe der Aktion verwendet Hinzuf gen eines Kommentars Auf der Registerkarte Ergebnissd bzw Detaild k nnen Sie Kommentare zur Erl uterung der ausgef hrten Aktion hinzuf gen 1 W hlen Sie unter F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F hren Sie eine Aktion f r das angezeigte Element aus eine Aktion aus 2 Geben Sie unter Geben Sie einen Kommentar zur ausgef hrten Aktion ein einen Kommentar im Textfenster ein Sie k nnen maximal 512 Zeichen eingeben 3 Klicken Sie auf Aktion bergeben um den Kommentar bei der Aktualisierung des Datensatzes einzubinden Der Kommentar wird zum Datensatz hinzugef gt wenn Sie die Aktion bergeben Tivoli PKI RA Desktop 23 asiamsuayabio ANZ UBUOIEWIOJU E Genehmigen einer Anforderung Sie k nnen eine Anforderung auf der Registerkarte Ergebnisse oder der Registerkarte genehmigen m Wenn Sie die Registerkarte Ergebnisse verwenden k nnen Sie Inehrerd Datens tze zur Genehmigung ausw hlen m Wenn Sie die Registerkarte Details verwenden k nnen Sie die Werte bestimmter Attri bute lindern bevor Sie die angezeigte Anforderung genehmigen Gehen Sie auf beiden Registerkarten wie folgt vor 1 Klicken Sie unter F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F hren S
78. forderlichen nde rungen durch und wiederholen Sie die Operation Version 3 Release 7 1 m Wenn die Abfrage korrekt war definieren Sie die Anzahl der abzurufen den Datens tze so dass eine h here Anzahl von Datens tzen abgerufen wird und wiederholen anschlie end die Operation Zugeh rige Abschnitte Anzeigen von Ergebnissen auf mehreren Seiten Auf der Registerkarte Ergebnissd k nnen die Ergebnisse Ihrer Abfrage mehrere Seiten in Anspruch nehmen Die Anzahl der Seiten h ngt von der Anzahl der Datens tze die mit Ihren Abfragekriterien bereinstimmen sowie von der f r die Anzeige definierten Seiten gr e ab Der Statudbereich enth lt Informationen zur Anzahl der verf gbaren Seiten und zur aktuellen Position innerhalb dieser Seitenfolge m Klicken Sie auf N chste Seite um die n chste Seite innerhalb der Seitengruppe aufzuru fen m Klicken Sie auf Vorhergehende Seite um die vorangegangene Seite innerhalb der Seitengruppe aufzurufen m Wenn Sie um mehrere Seiten zur ckbl ttern m chten ist es m glicherweise schneller zur Registerkarte Abfrage zur ckzukehren und die Abfrage dort erneut zu bergeben In diesem Fall wird auf der Registerkarte Ergebnisse die erste Seite der Abfrageergebnisse erneut angezeigt Anzeigen von Details eines Elements F hren Sie auf der Registerkarte Ergehnisse die folgenden Schritte aus 1 W hlen Sie in der Tabelle der Abfrageergebnisse die Zeile eines Datensatzes aus den Abfra
79. geergebnissen aus 2 Klicken Sie auf Details anzeigen Daraufhin wird automatisch die Registerkarte Details aufgerufen um die Details des aus gew hlten Datensatzes anzuzeigen 3 W hlen Sie auf der Registerkarte Detaild unter Anzeigen die Detailart aus die angezeigt werden soll Anmerkung Sie k nnen die Details eines Datensatzes auch anzeigen indem Sie auf der Registerkarte Ergebnisse doppelt auf diesen Datensatz klicken oder indem Sie den Datensatz und anschlie end die Registerkarte Details ausw hlen Zugeh rige Abschnitte Anzeigen der Attribute von Elementen F hren Sie auf der Registerkarte Ergebnisse die folgenden Schritte aus 1 W hlen Sie aus der Tabelle der Abfrageergebnisse den gew nschten Datensatz aus 2 Klicken Sie auf Details anzeigen um eine detailliertere Anzeige des ausgew hlten Datensatzes auf der Registerkarte Details aufzurufen Tivoli PKI RA Desktop 17 asiamsuayabio ANZ UBUOIEWIOJU E 18 3 W hlen Sie auf der Registerkarte Detaild unter Anzeigen den lyg der Attribute aus die angezeigt werden sollen Der Abschnitt De e eite 50 enth lt eine Beschreibung zur Gruppierung der verf gbaren Attribute Der Standardwert lautet Basis attribute 4 Pr fen Sie die Tabelle Jede Zeile der Tabelle enth lt ein Aus der Anforderung bzw des Zertifikats Der Abschnitt eite 47 enth lt eine Beschreibung der ee Die Tabelle verf gt ber die folgenden Spalten Attributname Der Name d
80. gen die Datens tze anzu zeigen wird als einziger Wert in der Liste die Option Keine Aktion verf gbar angezeigt Beenden von RA Desktop Gehen Sie wie folgt vor um RA Desktop von einer der Registerkarten aus zu verlassen m Klicken Sie auf Beenden Sie kehren damit zu der Web Seite zur ck ber die Sie auf RA Desktop zugegriffen haben es sei denn in Ihrem Unternehmen wurde ein anderer Pfad definiert m Schlie en Sie den Desktop so wie ein herk mmliches Browser Fenster Klicken Sie hierzu auf eines der kleinen Symbole in der Titelleiste Hierdurch wird der Browser geschlossen Tivoli PKI RA Desktop 27 asioamsudyeb10 A ANZ UBUOHCWIOJU E 28 Deinstallieren von RA Desktop F hren Sie die folgende Prozedur aus wenn Sie das RA Desktop Applet von der Worksta tion entfernen m chten 1 W hlen Sie Start gt Einstellungen gt Systemsteuerung aus 2 Klicken Sie doppelt auf Software 3 W hlen Sie den Programmordner IBM SecureWay Trust Authority RA Desktop aus und klicken Sie auf Hinzuf gen Entfernen 4 Wenn Sie dazu aufgefordert werden das L schen des Programms zu best tigen klicken Sie auf Ja 5 Wird eine Nachricht angezeigt in der mitgeteilt wird dass bestimmte Ordner nicht gel scht wurden klicken Sie auf Details Sie m ssen alle im Fenster Details aufgef hr ten Ordner manuell l schen um RA Desktop vollst ndig vom System zu entfernen Version 3 Release 7 1 Erl uterungen Die Abschnitte
81. gistrierungsstelle 31 Rekonfigurieren von RA Desktop 11 R ckmeldungen bei Verarbeitung 15 Tivoli PKI RA Desktop S S tze pro Seite Registerkarte Ergebnisse 15 43 44 Schl ssel manipuliert 46 Schl ssel Sicherung 35 Schl ssel Wiederherstellung 35 Schl sselwiederherstellung 13 Seitengr e f r Ergebnisse definieren 15 Optionen 44 Server Zertifikat 34 Servlet zur Unterst tzung von RA Desktop 36 Sichere Anwendungen 3 Sicherung Schl ssel 35 Spalten berschriften Aktionsprotokolltabelle 18 Attributtabelle 17 Tabelle f r Abfrageergebnisse 15 Spaltenwerte Aktionsprotokolltabelle 46 47 Attributtabelle 46 47 Tabelle f r Abfrageergebnisse 44 Starten von RA Desktop 12 Status aktuell 39 51 anzeigen 17 Werte 51 Statusbalken 52 Statusbereich 52 T Tabelle Abfrageergebnisse 15 44 Aktionsprotokoll 18 47 Attribute 17 47 Datens tze ausw hlen 20 durchbl ttern 17 Spaltengr e anpassen 19 Zeilen sortieren 20 Tabellens tze ausw hlen 20 Tastatur Alternativen zur Bedienung mit der Maus 53 Tivoli Kundenunterst tzung xi Sicherheitsverwaltung Webinformationen xi Tivoli PKI Webinformationen xi Typ des Zertifikats 49 U bersicht Registratorrolle 3 Tivoli PKI 1 Unternehmensprozessvariablen 22 Unterst tzung f r Tivoli Kunden xi 79 xapuj URL Adresse Registrierungs Web Seite 6 Registrierungsdom ne 31 URLs Tivoli PKI Bibliotheksseite ix Tivoli PKI Homepage ix V Verarbeitu
82. here Releases von Netscape konnten ein Site Zertifikat akzeptieren das von einem Tivoli PKI Server vorgelegt wurde Dieses Zertifikat war sowohl f r die server authentifizierte als auch f r die client authentifizierte Kommuni kation mit diesem Server akzeptabel Beim neuesten Netscape Release wird jedoch ein CA Zertifikat f r client authentifizierte Sitzungen ben tigt Server oder Einheitenzertifikate Wenn dies zu Ihren Aufgabengebieten geh rt k nnen Sie Zertifikate f r Server oder Einhei ten anfordern Verwenden Sie hierzu das Resistrierunskformular das ber Ihren Web Brow ser zur Verf gung steht Der Server bzw die Einheit f r den bzw die Sie ein Zertifikat anfordern muss das PKCS 10 Anforderungsformat verwenden Zertifikatserweiterungen Zertifikatserweiterungen sind optionale Elemente die im Format eines X 509v3 Zertifikats definiert sind Durch die Erweiterungen ist es m glich zus tzliche Felder in das Zertifikat aufzunehmen Tivoli PKI stellt eine mit Zertifikatserweiterungen zur Verf gung mit deren Hilfe Sie die Zertifikate die von Ihrem Unternehmen ausgestellt werden anpassen k nnen Diese zus tzlichen Felder werden als Unternehmensprozessvariablen bezeichnet Wenn Sie einen Datensatz in RA Desktop anzeigen k nnen Sie diese Felder sehen wenn die Verarbeitungs ausgegeben werden In bestimmten F llen k nnen Sie die zugeh rigen Werte aktualisieren G ltigkeitsdauer von Zertifikaten Bei der Anford
83. ht dem Eigner das Empfangen einer privaten Transaktion oder eine digitale Unter schrift Die mit einem privaten Schl ssel unterzeichneten Daten k nnen nur mit dem entsprechenden ffentlichen Schl ssel gepr ft werden Gegensatz zu ffentlicher Schl ssel Siehe auch Schl sselpaar aus ffentlichem und privatem Schl ssel Protokoll Eine vereinbarte Konvention f r die Kommunikation zwischen Computern Protokollierungssubsystem Bei Tivoli PKI ein Subsystem das die Unterst tzungsfunktionen zum Protokollieren von sicherheitsrelevanten Aktionen bereitstellt Es entspricht den Empfehlungen die im X9 57 Standard unter Public Key Cryptography for the Financial Services Industry definiert wurden Proxy Server Eine Einheit die zwischen einem Computer der eine Zugriffsanforderung absetzt Computer A und einem Com puter auf den zugegriffen werden soll Computer B implementiert ist Wenn ein Endbenutzer eine Anforderung f r eine Ressource ber Computer A absetzt wird diese an den Proxy Server geleitet Dieser sendet die Anforde Tivoli PKI RA Desktop 67 Jesso 5 68 rung an Computer B erh lt von diesem die Antwort und leitet diese an den Endbenutzer weiter Mit Hilfe eines Proxy Servers kann ber einen Computer der sich innerhalb einer Firewall befindet auf das World Wide Web zugegriffen werden Pr f Client Jeder Client im System der Pr fereignisse an den Tivoli PKI Pr f Server sendet Bevor ein Pr f Client ein Ereig nis
84. ie eine Aktion f r das angezeigte Element aus auf Genehmigen 2 Klicken Sie auf Aktion bergeben Genehmigen einer Schl sselwiederherstellungsanforderung Sie k nnen eine Schl sselwiederherstellungsanforderung auf der Registerkarte Ergebnissd oder der Registerkarte Detaild genehmigen Wenn Sie die Registerkarte Ergebnisse verwen den k nnen Sie Inehrerel Datens tze f r die Genehmigung ausw hlen Gehen Sie auf beiden Registerkarten wie folgt vor 1 Klicken Sie unter F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F hren Sie eine Aktion f r das angezeigte Element aus auf Schl sselwiederher stellung genehmigen 2 Klicken Sie auf Aktion bergeben Behalten einer Anforderung im Status anstehend Sie k nnen eine Anforderung auf der Registerkarte Ergehnisse oder auf der Registerkarte als anstehend behalten Wenn Sie die Registerkarte Ergebnisse verwenden k nnen Sie Datens tze ausw hlen die als anstehend behalten werden sollen Gehen Sie auf beiden Registerkarten wie folgt vor 1 Klicken Sie unter F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F hren Sie eine Aktion f r das angezeigte Element aus auf Als anstehend behal ten 2 Klicken Sie auf Aktion bergeben Zur ckweisen einer Anforderung Sie k nnen eine Anforderung auf der Registerkarte Ergebnisse oder auf der Registerkarte zur ckweisen Wenn Sie die Registerkarte Ergebnisse verwenden k nnen Sie Da
85. iften verwendet Schema Beim Directory die interne Struktur die zur Definition der Beziehungen zwischen den verschiedenen Objektarten verwendet wird Schl ssel Bei der Verschl sselung ein Wert der zum Ver und Entschl sseln von Informationen verwendet wird Schl sselpaar Zusammengeh rende Schl ssel die bei der asymmetrischen Verschl sselung eingesetzt werden Ein Schl ssel wird zur Verschl sselung der andere zur Entschl sselung verwendet Schl sselpaar aus ffentlichem und privatem Schl ssel Ein Schl sselpaar aus ffentlichem und privatem Schl ssel stellt ein grundlegendes Element der Verschl sselung auf der Basis von Schl sselpaaren dar Diese Form der Verschl sselung wurde im Jahr 1976 von Whitfield Diffie und Martin Hellman eingef hrt um Probleme bei der Schl sselverwaltung zu l sen Nach diesem Konzept erh lt jeder Benutzer ein Schl sselpaar bei dem einer als ffentlicher und einer als privater Schl ssel bezeichnet wird Der ffentliche Schl ssel ist hierbei allgemein bekannt der private Schl ssel wird hingegen geheim gehalten Sender und Empf nger m ssen geheime Daten nicht gemeinsam benutzen Alle Kommunikationsoperationen wer den lediglich auf der Basis ffentlicher Schl ssel ausgef hrt Die privaten Schl ssel werden niemals bertragen oder gemeinsam verwendet Auf diese Weise ist es nicht mehr notwendig sich auf die Sicherheit eines bertragungskanals gegen ber Manipulationen zu verlassen Die
86. ikat wei terhin ben tigt wird Bei der Registrierung m ssen alle Informationen in derselben Weise erneut bereitgestellt werden wie bei einer Erstregistrierung Bestimmte Benutzer k nnen eigene Erneuerungsanforderungen bergeben m Benutzer mit erneuerbaren Browser Zertifikaten k nnen die Erneuerung auf der Regis trierungs Web Seite anfordern m Benutzer mit erneuerbaren Zertifikaten f r den Zugriff auf PKIX kompatible Anwendun gen k nnen die Erneuerung mit Hilfe der Client Anwendung von Tivoli PKI anfordern Sicherung und Wiederherstellung von Zertifikatsschl sseln Endbenutzer k nnen das Erstellen und Wiederherstellen einer Sicherungsdatei anfordern die Informationen zu ihrem Zertifikat und privaten Schl ssel enth lt Dies ist dann n tzlich wenn der Schl sselinhaber seinen Schl ssel vergisst oder dieser verloren geht Die Sicherungsdatei wird entweder ber einen Browser oder ber die Client Anwendung im PKCS 12 Format erstellt und in der Systemdatenbank krbdb f r die Wiederherstellung von Schl sseln gespeichert Tivoli PKI RA Desktop 35 uoa un4ayneug E Der Registrator hat die M glichkeit diese Anforderungen ber RA Desktop zu pr fen und die Wiederherstellung der Sicherungsdatei gegebenenfalls zu autorisieren Aus der Datenbank krbdb kann der Registrator das entschliisselte Kennwort die fortlaufende Nummer des Zer tifikats und die Informationen zum Aussteller anzeigen Wird die Anforderung genehmigt
87. ikate 34 Fertitikatserweiterungen una ga ieee he ROE ee eR ee eat eg eee eee sd 34 G ltigkeitsdauer von Zertifikaten 2 eee eens 34 Aussetzen und Wiederaufnehmen von Zertifikaten 2 2 eee 35 Ermenetbatkett saarnasi risi mi reine a nenne 35 Sicherung und Wiederherstellung von Zertifikatsschl sseln 2222222222 na 35 Publizieren von Zertifikaten i ccd eo iw ade een dan 36 Ke TEE 36 ZUSTIHSSteUETUNd ace date are anerkennen 36 Authentifizierung und Berechtigung 2 0 een een 36 Parallele Verwaltung 2 44 2 440220 042008040 Loe SOG eee des teen de tab end 36 Servlet zur Unterst tzung von RA Desktop 36 Anforderungspro ile EE Ce eee eses Hose su se sr ea ne ne en 37 Kapitel 5 HReierenzintormatonen un 39 Registerkarte D S A une ned ie ne ee re rec 39 ET EE 39 Vordefinierte Abfragen ee bee eee eee eee ee ne m ren 43 Anzahl der abzurufenden Datens tze Optionen 44 S tze pro Seite Optionen een ee E ae 44 Registerkarte Preebuisse nee ee ene teen a a Ea E 44 Verwaltungsaktionen a Heer en Bottle Tay dh ya wd are a shod owl Gia ee 45 Gr nde f r das Widerrufen eines Zertifikats 2 0 ee ene 46 Registerk rte Details RR ck in eG Oi wea dee eda ae aa haha 46 Aktionsprotokoll Ereignisse 2 ene ETE E REG 47 Attribute von Anforderungen und Zertifikaten 2 0 eee ee 47 Zertifikatserweiterungen 2 esien ingie a GRR eee eee 49 Gelieterte Zertifikatstype
88. in Tabellen Sie k nnen einen oder mehrere Datens tze ausw hlen Gehen Sie hierzu wie folgt vor m Um einen einzelnen Datensatz auszuw hlen klicken Sie auf die zugeh rige Zeile m Um mehrere benachbarte Datens tze auszuw hlen klicken Sie auf den ersten Datensatz der gew nschten Gruppe Halten Sie die Umschalttaste gedr ckt und klicken Sie dann bei weiterhin gedr ckter Umschalttaste auf den letzten Datensatz der Gruppe m Wenn Sie mehrere Datens tze ausw hlen m chten die nicht direkt aufeinander folgen halten Sie die Steuerungstaste gedr ckt w hrend Sie alle gew nschten Datens tze anklicken m Wenn Sie die Auswahl eines Datensatzes zur cknehmen m chten klicken Sie ihn erneut an Ausf hren von Aktionen 20 Sie k nnen eine Aktion f r eine Registrierungsanforderung ausf hren oder den Datensatz eines Zertifikats aktualisieren Sowohl die Registerkarte Ergchnissd als auch die Register karte Details enthalten Felder f r die Auswahl der gew nschten Aktion Die m glichen Akti onen sind von den eigenen Berechtigungen in der Registrierungsdom ne abh ngig in der Sie als Registrator definiert sind Ausf hren von Aktionen f r mehrere Datens tze Auf der Registerkarte Ergebnissd stellt jede Zeile in der Tabelle einen Datensatz in den Abfrageergebnissen dar Sie k nnen Aktionen f r einen oder mehrere der Datens tze einer Tabelle ausf hren oder einen Datensatz genauer pr fen bevor Sie die gew nschte Aktion
89. ine M glichkeit zur Authentifizierung von Benutzern und zur Gew hrleistung einer gesicher ten Kommunikation TP Trust Policy Sicherungsregel Transaktions ID Eine Kennung die die RA als Antwort auf eine Anforderung f r eine Vorabregistrierung zur Verf gung stellt Mit dieser ID kann ein Benutzer der die Client Anwendung von Tivoli PKI ausf hrt ein vorab genehmigtes Zertifi kat erhalten Transmission Control Protocol Internet Protocol TCP IP Eine Gruppe von bertragungsprotokollen die Peer zu Peer Konnektivit tsfunktionen f r lokale Netze LANs und Weitverkehrsnetze WANs unterst tzen Triple DES Ein symmetrischer Algorithmus bei dem der unverschl sselte Text dreimal verschl sselt wird Obwohl f r diese Mehrfachverschl sselung zahlreiche Methoden existieren stellt die Triple DES Verschl sselung die auf drei ver schiedenen Schl sseln basiert das sicherste dieser Verfahren dar Trust Kette Eine Gruppe von Zertifikaten die aus der gesicherten Hierarchie besteht die sich vom Benutzerzertifikat bis hin zur Root bzw dem selbst unterzeichnenden Zertifikat erstreckt Tunnel In der VPN Technologie eine virtuelle Punkt zu Punkt Verbindung die auf Anfrage ber das Internet hergestellt wird W hrend der Verbindung k nnen ferne Benutzer den Tunnel verwenden um sichere verschl sselte und gekapselte Informationen mit Servern im privaten Netz eines Unternehmens auszutauschen Unbestreitbarkeit Die Verwendung eines
90. installiert und k nnen ber die Benutzer schnittstelle aufgerufen werden Hierbei ist zu beachten dass am Produkt selbst seit der Erstellung der Ver ffentlichungen m glicherweise nderungen vorgenommen wurden Die neuesten Produktinformationen sowie Informationen f r den Zugriff auf Ver ffentlichungen in den von Ihnen gew nschten Sprachen und Formaten enthalten die Release Informationen Die neueste Version der Release Informationen steht auf der Website zur Verf gung http www tivoli com support Die Tivoli PKI Bibliothek umfasst die folgenden Dokumentationen Einf hrung Dieses Handbuch bietet einen berblick ber das Produkt Es enth lt eine Aufstel lung der Produktvoraussetzungen Erl uterungen zu den Installationsverfahren und Informationen ber den Zugriff auf die Online Hilfefunktion f r alle Produktkom ponenten Es liegt in gedruckter Form vor und wird zusammen mit dem Produkt aus geliefert Systemverwaltung Dieses Handbuch enth lt Basisinformationen zur Verwaltung eines Tivoli PKI Sys tems Au erdem werden in diesem Handbuch die Prozeduren zum Starten und Stop pen der Server ndern der Kennw rter Verwalten der Serverkomponenten Durch f hren von Pr fungen sowie zum Ausf hren von Datenintegrit tspr fungen erl utert Konfiguration Dieses Handbuch enth lt Informationen zur Verwendung des Setup Wizards zum Konfigurieren eines Tivoli PKI Systems Sie K nnen auf die HTML Version dieses Handbuchs zugr
91. istrators durch ein entsprechendes Programm erg nzt werden werden die Unternehmensregeln des jeweiligen Unternehmens von diesem Programm f r einen Teil der on angewendet Die auswertbaren Informationen sind weniger komplex als die Informationen die von Ihnen ausgewertet werden k nnen Die Werte sind normalerweise pr zise und geben z B die Anzahl der Jahre an die eine Person bereits an einem bestimmten Wohnort lebt Tivoli PKI erm glicht Ihrem Unternehmen die Bereitstellung von Regelinformationen f r ein solches Programm Diese bilden dann die Basis f r die Auswertungen Version 3 Release 7 1 Registrierungsstellen Unter Tivoli PKI ist die Registrierungsstelle RA als Server Anwendung implementiert Sie dient zur Ausf hrung folgender die bei der Registrierung von Benut zern ausgef hrt werden m ssen m Best tigung der Identit t des Benutzers m Pr fung der Berechtigung der anfordernden Person f r ein Zertifikat mit den gew nsch ten heil und Berechtigungen m Genehmigung oder Zur ckweisung von Anforderungen zur Erstellung oder zum Wider ruf von Zertifikaten m Aussetzung oder Reaktivierung von Zertifikaten m Pr fung ob Personen die versuchen auf eine gesicherte Anwendung zuzugreifen ber den passenden privaten Schl ssel verf gen der dem ffentlichen Schl ssel eines Zertifi kats zugeordnet ist Bei der Verwendung von RA Desktop initialisieren oder steuern Sie bestimmte Aktionen der RA von Tivoli PKI Reg
92. istrierungsdatenbanken In einer Registrierungsdatenbank von Tivoli PKI werden Registrierungss tze gespeichert Bei der Registrierungsdatenbank handelt es sich um eine relationale Datenbank die mit Hilfe von IBM DB2 Universal Database erstellt wird Die Datens tze werden von Tivoli PKI ver schl sselt ber RA Desktop kann ein entsprechend berechtigter Registrator jedoch die Mehrheit der Registrierungsinformationen lesen Registrierungsdom nen Jedes Tivoli PKI System verf gt ber eine bestimmte Registrierungsdom ne Diese Dom ne definiert die Unternehmen nl und Zertifikatsregeln sowie die Ressourcen die f r die Registrierung und die Zertifizierung in Ihrem Unternehmen festgelegt sind Benutzer die auf eine Ressource zugreifen m chten m ssen innerhalb der Dom ne f r die gew nschte Res source sein Wenn die RA Server Software installiert ist umfasst diese die grundlegenden Komponenten auf deren Basis ein Unternehmen eine Registrierungsfunktion installieren kann Sie Kann alle Sprachen oder Regeln verwenden die von der RA unterst tzt werden Die Webadresse f r den Zugriff auf die Registrierungsseiten Ihres Unternehmens besteht aus dem Dom nen namen der Sprache und dem Installationspfad Lauter beispielsweise der Name Ihres ffentlichen Webservers MyPublicWebServer und der Dom nenname MyDomain k nnen Sie ber die folgende Webadresse auf die Registrierungsfunktion zugreifen http MyPublic
93. itel 1 Informationen zu Tivoli PR 1 Kapitel 2 bersicht nennen 3 Kapitel 3 Informationen zur Vorgehensweise susnssssnrnnnsnnnnne 5 Registrierung als Resistrator e EIERE RT een a en eee de 5 Aktivieren eines Browser craro rico ENEE EN EEN eee do e ee ED be NEE hen 6 Zugreifen auf die Webseite f r die Registrierung 0 0 00 eee eee eee 6 Anfordern eines Browserzertifikats oo 0 2 2 0 0 aiena E a a e E e 7 Pr fen des Registrierungsstatus ies mesa smee i e E a OA E e AEE E a O E E aE 9 Abrufen von Berechtigungen EEN ENEE tatan Tuu NETEN RECESS 10 Installieren von Ko Desktop u 0g orang cian ee ea 10 Rekonfigurieren von RA Desktop 11 Z greifen aut RA Desktop u tac caw dec 222202 ca ei ee 12 Arbeiten mit Abfragen ei ee nerne ened ee Ee rinnen ee nn 12 berec ben einer Abi aoe Ae se een 12 Abrufen von anstehenden Zertifikatsanforderungen 222222200 cece eee eee eee 13 Abrufen von anstehenden Schl sselwiederherstellungsanforderungen 13 Abrufen von ablaufenden Zertifikaten 222220 eee eee 14 Ausw hlen eines Datums aus dem Kalender 14 Definieren eines Grenzwerts f r die Anzahl von abzurufenden Datens tzen 15 Definieren der Anzahl von S tzen pro Seite 15 Abrufen von R ckmeldungen w hrend der Verarbeitung 2 2 0 0 0 0 eee ee eee 15 Arbeiten mit Ergebnissen EELER ee ee ee ee ae ee en ne 15 Anzeigen von Abfrageergebniss
94. izieren andere CAs dann als zuverl ssig wenn sie sich innerhalb der Hierarchie ber ihnen befinden In diesem Fall akzeptieren sie die Zertifikate dieser CAs als Authentifizierungsbe leg Zertifikatswiderrufslisten CRL Die Registrierungsstelle von Tivoli PKI ver ffentlicht in regelm igen Zeitabst nden eine Zertifikatswiderrufsliste CRL Certificate Revocation List Diese CRLs enthalten eine Liste der Zertifikate deren G ltigkeitszeitraum abgelaufen ist Werden diese Zertifikate vorgelegt k nnen die zugeh rigen Eigner nicht buthentifizier werden 32 Version 3 Release 7 1 Alle CAs RAs und Anwendungen k nnen auf diese Liste zugreifen um festzustellen ob ein bestimmtes Zertifikat widerrufen wurde Auf diese Weise kann die Registrierungsstelle von Tivoli PKI beim Zugriff auf die gesicherten Anwendungen Ihres Unternehmens die Sicher heit aller verf gbaren Ressourcen gew hrleisten Verzeichnisse Directory Das Verzeichnis das von Tivoli PKI zum Speichern von Zertifikaten verwendet wird ist das IBM Directory Dieses Verzeichnis wurde in Ihrem Unternehmen m glicherweise f r die ausschlie liche Verwendung unter Tivoli PKI konfiguriert Alternativ hierzu kann es sich auch um ein Verzeichnis handeln das zuvor installiert und f r andere Anwendungen einge setzt wurde Als Protokoll f r den Zugriff auf das Directory wird von Tivoli PKI das Lishtweisht Direct LDAP verwendet Registrierte Namen Der kegistrierte Namd
95. k als auch dieser Berechtigungshinweis in der zugeh rigen Dokumentation aufgef hrt werden Hewlett Packard Company macht keine Angaben zur Eignung dieser Software f r bestimmte Zwecke Sie wird ohne Modifikationen und ohne Gew hrleistung bereitgestellt Dieses Programm enth lt STL Software STL Standard Template Library von Silicon Graphics Computer Systems Inc Copyright c 1996 1999 m Die Berechtigung zum Verwenden Kopieren ndern Verteilen und Verkaufen dieser Software sowie der zugeh ri gen Dokumentation f r die gew nschten Zwecke wird hiermit geb hrenfrei erteilt Voraussetzung hierf r ist aller dings da der o a Copyrightvermerk auf allen Kopien erscheint und da sowohl dieser Copyrightvermerk als auch dieser Berechtigungshinweis in der zugeh rigen Dokumentation aufgef hrt werden Silicon Graphics macht keine Angaben zur Eignung dieser Software f r bestimmte Zwecke Sie wird ohne Modifikationen und ohne Gew hrleistung bereitgestellt Andere Namen von Unternehmen Produkten oder Dienstleistungen k nnen Marken oder Dienstleistungsmarken anderer Unternehmen sein Bemerkungen Die vorliegenden Informationen wurden f r Produkte und Services entwickelt die auf dem deutschen Markt angeboten werden M glicherweise bietet IBM die in dieser Dokumentation beschriebenen Produkte Services oder Funktionen in anderen L ndern nicht an Informationen ber die gegenw rtig im jeweiligen Land verf gbaren Produkte und Servic
96. karten bezeichnung und Anzeigen dieser Registerkarte Strg Aufw rtspfeiltaste Rechtspfeiltaste zur Auswahl der n chsten Registerkarte Linkspfeiltaste zur Auswahl der vorhergehenden Registerkarte Bl ttern in einer Registerkarte Taste zur Abw rtsverschiebung des Bildes zum Abwi rtsbl ttern Taste zur Aufw rtsverschiebung des Bildes zum Aufw rtsbl ttern Arbeiten in Feldern Springen von den meisten Feldern auf das n chste Feld Tabulatortaste Springen von den meisten Feldern auf das vor hergehende Feld Umschalt und Tabulatortaste Springen von einer Tabelle oder einem Text bereich auf das n chste Feld Strg Tabulatortaste Springen von einer Tabelle oder einem Text bereich auf das vorhergehende Feld Strg Umschalttaste Tabulatortaste Tivoli PKI RA Desktop 53 U9UONEULIOJUIZUS 9J9H e 54 Cursor Eingabeposition Taste Tastenkombination Arbeiten in einer Tabelle Sortieren von Zeilen nach Spaltenwerten Alt n wobei n f r den Index der Spalte in der Anzeige steht Beispiel Um eine Tabelle nach der zweiten Spalte zu sortieren dr cken Sie die Tastenkombination Alt 2 Anpassen der Spaltengr e Ohne Maus nicht m glich Springen von Zeile zu Zeile und dabei Zeilen ausw hlen Abwi rtspfeiltaste zum Springen in die n chste Zeile Aufw rtspfeiltaste zum Springen in die vorhergehende Zeile Ausw hlen eines Zeile
97. lassen eines Feldes Abwartspfeiltaste zum Springen nach unten Aufw rtspfeiltaste zum Springen nach oben Tabulatortaste Version 3 Release 7 1 Cursor Eingabeposition Taste Tastenkombination Definieren eines Datums Versetzen des Cursors im Datumsfeld Rechtspfeiltaste zum Versetzen des Cursors nach rechts Linkspfeiltaste zum Versetzen des Cursors nach links ffnen des Kalenders ber das Datumsfeld Aufw rts oder Abw rtspfeiltaste ndern der Jahresangabe im Kalender Strg Taste zur Abw rtsverschiebung des Bildes zum Einstellen des n chsten Jahres Strg Taste zur Aufw rts verschiebung des Bildes zum Einstel len des vorhergehenden Jahres ndern der Monatsangabe im Kalender Taste zur Abw rtsverschiebung des Bildes zum Einstellen des n chsten Monats Taste zur Aufw rts verschiebung des Bildes zum Einstel len des vorhergehenden Monats ndern der Datumsangabe im Kalender auf den Anfang oder das Ende eines Monats Taste f r Pos zum Einstellen des Monatsanfangs Endetaste zum Einstel len des Monatsendes ndern der Wochenangabe im Kalender Abw rtspfeiltaste zum Einstellen der n chsten Aufw rtspfeiltaste zum Ein stellen der vorhergehenden Woche ndern der Tagesangabe im Kalender Springen auf das aktuelle Datum im Kalender Mit der Rechtspfeiltaste kann um einen Tag nach rechts mit der Linkspfeil taste um einen Tag nach links ges
98. liste CRL befindet CRLs unter X 509v3 k nnen f r einen bestimmte G ltigkeitszeitraum erstellt werden Sie k nnen auch Version 3 Release 7 1 auf anderen Kriterien basieren die zur Aufhebung der G ltigkeit eines Zertifikats f hren Wenn z B ein Mitar beiter ein Unternehmen verl sst wird sein Zertifikat in der CRL eingetragen X 509 Zertifikat Ein weit verbreiteter Zertifikatsstandard der entwickelt wurde um die sichere Verwaltung und Verteilung von digital unterzeichneten Zertifikaten ber sichere Internet Netze zu unterst tzen Das X 509 Zertifikat definiert Datenstrukturen die Prozeduren f r die Verteilung ffentlicher Schl ssel unterst tzen die von zuverl ssigen Stel len digital unterzeichnet sind Zertifikatsaussteller CA Die Software die zur Einhaltung der Sicherheitsregeln eines Unternehmens und zur Vergabe gesicherter elektro nischer Identit ten in Form von Zertifikaten dient Der CA verarbeitet die Anforderungen von RAs zum Ausstel len Erneuern und Widerrufen von Zertifikaten Er kooperiert mit der RA um Zertifikate und CRLs im Directory zu ver ffentlichen Siehe auch Digitales Zertifikat Zertifikatserweiterung Eine Zusatzfunktion des X 509v3 Zertifikatformats die zur Einbindung zus tzlicher Felder in das Zertifikat dient Es stehen Standard und benutzerdefinierte Erweiterungen zur Verf gung Die Standarderweiterungen dienen ver schiedenen Zwecken und umfassen Schl ssel und Regelinformationen Betre
99. llungsanforderungen unabh ngig vom Status abgerufen Empfangen Mit dieser Option werden neu empfangene Registrierungsanforderungen oder Schl sselwiederherstellungsanforderungen abgerufen Anstehend Mit dieser Option werden Anforderungen abgerufen die noch nicht geneh migt oder zur ckgewiesen wurden Bestimmte anstehende Anforderungen sind neu Hier m ssen Sie eine Entscheidung treffen Bei anderen m ssen Sie auf das Eintreffen weiterer Informationen warten bevor sie weiterbearbeitet werden k nnen Dies ist der Standardwert Genehmigt Mit dieser Option werden Anforderungen abgerufen die von einer RA oder einem Registrator genehmigt wurden Der Status der zugeh rigen Zertifikate kann variieren Nicht genehmigt Mit dieser Option werden Anforderungen abgerufen die von einer RA oder einem Registrator nicht genehmigt wurden Abgeschlossen Mit dieser Option werden Anforderungen abgerufen die von einer RA oder einem Registrator entweder genehmigt oder nicht genehmigt wurden Bei genehmigten Anforderungen mit diesem Status wurde das Zertifikat an den Benutzer tibergeben U9UONEULIOJUIZUS 9J9H e Nicht versucht Mit dieser Option werden Registrierungsanforderungen abgerufen f r die ent weder keine Schl sselsicherungs oder keine Schl sselwiederherstellungsan forderung versucht wurde e Verwenden Sie die folgenden Felder ausschlie lich zum Abrufen von Datens tzen f r Anforderungen oder Zertifikate die einem bestimmten Nam
100. m Eigner des Zertifikats das Verschl sseln Entschl sseln und Unterzeichnen von Daten Normalerweise werden diese Schl ssel im Web Browser gespeichert In bestimmten Anwendungen k nnen die Schl ssel auf Smart Cards oder anderen Speichermedien gespeichert werden Siehe auch Digitales Zertifikat Bytecode Maschinenunabh ngiger Code der mit dem Java Compiler generiert und mit dem Java Interpreter ausgef hrt wird CA Certificate Authority Zertifikatsaussteller CA Hierarchie Bei Tivoli PKI eine Sicherungsstruktur bei der ein CA auf der h chsten Ebene positioniert ist Anschlie end k n nen bis zu vier weitere Ebenen mit untergeordneten CAs definiert werden Wenn Benutzer oder Server bei einem Version 3 Release 7 1 Zertifikatsaussteller registriert werden wird ihnen ein von diesem Aussteller unterzeichnetes Zertifikat zugeord net Au erdem bernehmen sie die Zertifizierungshierarchie der bergeordneten Ebenen CA Server Der Server f r die CA Komponente von Tivoli PKI CAST 64 Ein Block Cipher Algorithmus der mit einer Blockgr e von 64 Bit und einem 6 Bit Schl ssel arbeitet Er wurde von Carlisle Adams und Stafford Tavares entwickelt CA Zertifikat Ein Zertifikat das vom Web Browser eines Benutzers auf dessen Anforderung hin von einem nicht identifizierten CA akzeptiert wird Der Browser kann dann dieses Zertifikat verwenden um f r die Kommunikation mit Servern die ber Zertifikate dieses CAs verf gen eine Authe
101. n Auf der Registerkarte k nnen mehrere abgerufene Datens tze angezeigt werden Die Anzahl der Datens tze pro Seite h ngt von dem Wert ab der bei der bergabe der Abfrage ausge w hlt wurde Anzeigen von Abfrageergebnissen Auf der Registerkarte Ergebnissd k nnen Sie nach der Ausf hrung einer Abfrage die Ergeb nisse anzeigen Jede Zeile der Tabelle unter Abfrageergebnisse enth lt einen Datensatz der mit den defi nierten Abfragekriterien bereinstimmt F r die Abfragearten Anhand von Anforderungs status Name und Aktualisierungsdatum und Anhand von Erneuerbarkeit und Ablauf datum enth lt die Tabelle die folgenden Spalten Name Der Name der einer Anforderung oder einem Zertifikat zugeordnet wurde Dieser Name wird im Format nachname vorname angezeigt Tivoli PKI RA Desktop 15 Bs amsusya on ANZ UOUONEWIOJUL E 16 Anforderungsstatus Der aktuelle Statud der Re gistrierungsanforderung z B Genehmigt Der Abschnitt e e e e enth lt eine Beschreibung der d Reo o verschiedenen Statuswerte Ausf hrungsstatus Der aktuelle Status der Anforderungsverarbeitung z B bergeben Sicherungsstatus Der aktuelle Status der Schl sselsicherungsanforderung Zuletzt aktualisiert Das Datum das dem Anforderungs oder Zertifikatsstatus zugeordnet ist Empfangsdatum Das Datum zu dem die Registrierungsanforderung empfangen wurde F r die Abfrageart Anhand von Wiederherstellungsstatus Name und
102. n k nnen einen geeigneten Zertifikatstyp anfordern Wenn Sie ein Anforderungsprofil zuordnen enth lt dieses eine Schablone f r einen der verf gbaren Zertifikatstypen Anmerkung Die angezeigte Liste stimmt eventuell nicht genau mit der hier dargestellten Liste berein Ihr Unternehmen hat m glicherweise die Namen oder sogar die angebotenen Elemente ge ndert Au erdem ist die Darstellung der Liste von den Berechtigungen abh ngig ber die Sie innerhalb der Registrierungs dom ne verf gen Detailgruppen Auf der Registerkarte Details k nnen Sie das Feld Anzeigen verwenden um die gew nschte Attributgruppe auszuw hlen ber RA Desktop k nnen jedoch nicht alle Details angezeigt werden Manche Attribute sind in mehreren Gruppen enthalten Sie k nnen die folgenden Details anzeigen Basisattribute Attribute die einem Datenbanksatz standardm ig zugeordnet sind Anforderungsattribute Attribute die zur Beschreibung des Registrierungsprozesses dienen Verarbeitungsattribute Attribute die zur Beschreibung der Verarbeitungsschritte dienen die den Unter nehmensregeln Ihres Unternehmens entsprechen Diese Attribute umfassen auch das Attribut f r die Widerrufbegr ndung Attribute f r Schl sselsicherungsanforderungen Attribute die mit Schl sselsicherungsanforderungen in Zusammenhang stehen Das Kennwort der gesicherten PKCS 12 Datei wird aufgef hrt Version 3 Release 7 1 Aktionsprotokoll Eine Tabelle mit allen
103. n G ltigkeitsdauer des Identit tsnachweises gleich Registrierungsdatenbank Diese Datenbank enth lt Informationen zu Zertifikatsanforderungen und ausgestellten Zertifikaten In der Daten bank werden Registrierungsdaten gespeichert und alle nderungen aufgezeichnet die w hrend der G ltigkeits dauer an einem Zertifikat vorgenommen werden Die Datenbank kann durch RA Prozesse und Regel Exits oder durch den Registrator aktualisiert werden Tivoli PKI RA Desktop 69 Jesso 5 70 Registrierungsdom ne Eine Gruppe von Ressourcen Regeln und Konfigurationsoptionen die sich auf bestimmte Registrierungsprozesse f r Zertifikate beziehen Der Dom nenname stellt einen untergeordneten Wert zur URL Adresse dar die zur Aus f hrung der Registrierungsfunktion eingesetzt wird Registrierungsprozess Bei Tivoli PKI die Schritte die zur berpr fung eines Benutzers ausgef hrt werden Durch den Registrierungs prozess werden Benutzer sowie deren ffentliche Schl ssel zertifiziert um sie zur Teilnahme an den gew nschten Transaktionen zu berechtigen Er kann lokal oder Web gest tzt automatisch oder von einer tats chlich mit Perso nen besetzten Registrierungsstelle ausgef hrt werden Registrierungsvariable Siehe Registrierungsattribut RSA Ein auf ffentlichen Schl sseln basierender Verschl sselungsalgorithmus der nach seinen Erfindern Rivest Sha mir und Adelman benannt wurde Er wird zur Verschl sselung und f r digitale Unterschr
104. n Schl ssel unterzeichnet Sicherheitsobjekte z B Schl ssel und MACs werden verschl sselt und in gesch tzten Bereichen so genannten KeyStores oder Schl sselspeichern gespeichert Integrierte Unterst tzung f r IBM Directory Das Directory speichert Informationen zu g ltigen und widerrufenen Zertifikaten in einem LDAP kompatiblen Format Integrierte Unterst tzung f r IBM WebSphere Application Server und IBM HTTP Ser ver Der Webserver arbeitet mit dem RA Server um Nachrichten zu verschl sseln Anforderungen zu authentifizieren und Zertifikate an den gew nschten Empf nger zu bertragen Integrierte Unterst tzung f r IBM DB2 Universal Database Version 3 Release 7 1 bersicht Wenn ein Unternehmen mit sicheren Anwendungen arbeitet die durch Tivoli PKI gesch tzt werden k nnen nur Benutzer mit den richtigen Identit tsnachweisen auf diese Anwendungen zugreifen Ein Benutzer der einen solchen Identit tsnachweis z B ein digitales Zertifikat ben tigt kann es anfordern indem er der f r die Ausstellung zust ndigen Stelle die entspre chenden Informationen zur Verf gung stellt Die Daten in der Teer den die Basis auf der ber die Genehmigung oder Zur ckweisung der Anforderung entschie den wird Wenn eine Registrierungsanforderung genehmigt wird verarbeitet die Resistrie RA von Tivoli PKI die Anforderung und der Zertifikatsausstelled CA von Tivoli PKI stellt das Zertifikat aus Die Datens tze die f r die
105. n Sie unter Bereich der Ablaufdaten folgende Arbeitsschritte aus m Geben Sie das fr heste Ablaufdatum ein oder w hlen Sie den gew nschten Wert unter Von aus m Geben Sie das sp teste Ablaufdatum ein oder w hlen Sie dieses unter Bis aus Zugeh rige Abschnitte Ausw hlen eines Datums aus dem Kalender Gehen Sie wie folgt vor um ein Datum aus dem Kalender auszuw hlen anstatt den gew nschten Wert in ein Datumsfeld einzugeben 1 Klicken Sie auf das kleine Kalendersymbol neben dem Textfenster des Felds Daraufhin wird der Kalender ge ffnet und zeigt den aktuellen Monat oder die Monatsan gabe des Datums im Feld an Klicken Sie im Kalender auf das gew nschte Jahr wenn Sie hier einen anderen Wert ausw hlen m chten Daraufhin wird eine Liste der Jahre angezeigt die ausgew hlt wer den k nnen Wenn Sie einen Monat ausw hlen m chten klicken Sie auf einen der Pfeile neben dem Namen des aktuellen Monats Der Linkspfeil dient zur Anzeige von Monatsangaben vor dem aktuellen der Rechtspfeil zur Anzeige von Monatsangaben nach dem aktuellen Monat Wenn Sie einen Tag ausw hlen m chten klicken Sie auf den gew nschten Tag innerhalb des Monats Der Kalender wird anschlie end geschlossen und zeigt nun im Feld das ausgew hlte Datum an Version 3 Release 7 1 Definieren eines Grenzwerts f r die Anzahl von abzurufenden Daten s tzen Auf der Registerkarte Abfragel k nnen Sie die Anzahl der Datens tze begre
106. n diesem Standard ver wendet wird Er generiert einen 160 Bit Hash Code Sicherheitsdom ne Eine Gruppe z B Unternehmen Arbeitsgruppe Projektteam deren Zertifikate vom gleichen CA zertifiziert wurden Benutzer die ber ein von einem CA unterzeichnetes Zertifikat verf gen k nnen der Identit t eines anderen Benutzers vertrauen der ein Zertifikat besitzt das vom selben CA unterzeichnet worden ist Sicherungsmodell Eine Organisationskonvention die regelt wie Zertifikatsaussteller CAs andere Zertifikatsaussteller zertifizieren k nnen Sicherung und Wiederherstellung von Schl sseln Diese Funktion von Tivoli PKI erm glicht das Sichern und Wiederherstellen der Endentit tszertifikate sowie ihrer entsprechenden von Tivoli PKI zertifizierten ffentlichen und privaten Schl ssel Die Zertifikate und Schl ssel werden in einer PKCS 12 Datei gespeichert Diese Datei wird durch ein Kennwort gesch tzt Das Kennwort wird zum Zeitpunkt der Sicherung der Zertifikate und Schl ssel festgelegt Simple Mail Transfer Protocol SMTP Ein Protokoll mit dem elektronische Post ber das Internet bertragen wird Site Zertifikat Dieser Zertifikatstyp ist mit einem CA Zertifikat vergleichbar gilt jedoch nur f r eine bestimmte Website Siehe auch CA Zertifikat Smart Card Eine Hardwarekomponente normalerweise in der Gr e einer Kreditkarte auf der die digitalen Schl ssel eines Benutzers gespeichert werden k nnen Eine Smart Card kann ke
107. n sies eee ea eee eee cau ee eee AN RR RRO Ree ee 49 Detail suppetl ices 2 kiad Pade ee a ea 50 Status der Registrierungsanforderungen 0 0 0 cece eee 31 Hilfe f r Registerkarten u ee ee ee eee oe ee Pe ee ee ee EERO OSE Se OEE eR ROE Oe HE ES 52 JVM tur Internet Beeler occ inte wed ee each a 52 Tastaturalternativen zur Bedienung mit der Maus 53 Hehlerbeheb ns 2 4 20 2 20 42 2420 1 1 2 Super 56 Tivoli PKI RA Desktop vii viii Version 3 Release 7 1 Vorwort Dieses Handbuch enth lt Informationen dar ber wie die Registrierungsaktivit ten f r Tivoli PKI Zertifikate mit Hilfe von Registration Authority RA Desktop verwaltet werden Dieses Release des Produkts unterst tzt lediglich AIX Plattformen Alle Materialien die sich mit Microsoft Windows befassen sollten ignoriert werden Zielgruppe Dieses Handbuch stellt Administratoren Task orientierte Informationen zur Verwaltung von Tivoli PKI Zertifikaten w hrend ihrer G ltigkeitsdauer zur Verf gung Benutzer dieses Handbuchs sollten ber praktische Erfahrung in der Ausf hrung von Datenbankabfragen und der T tigkeit eines Registrators verf gen und sich mit webbasierten Anwendungen auskennen Referenzinformationen Die Tivoli PKI Produktdokumentation steht im PDF Portable Document Format sowie im HTML Format auf der Tivoli Website zur Verf gung HTML Versionen bestimmter Ver f fentlichungen werden zusammen mit dem Produkt
108. nbereichs Tastenkombination Umschalttaste Auf w rtspfeiltaste oder Umschalttaste Abw rtspfeiltaste zum Ausw hlen der Zeilen eines Bereichs Ausw hlen nicht aufeinander folgender Zeilen Springen von Zelle zu Zelle innerhalb einer Zeile Ohne Maus nicht m glich Mit der Tabulatortaste kann eine Zelle nach rechts gesprungen werden mit der Tastenkombination Umschalttaste Tabulatortaste eine Zelle nach links Editieren der aktuellen Zelle falls diese Opera tion zul ssig ist Mit der Taste F2 kann eine Zelle zum Editieren ge ffnet werden Mit der Eingabetaste werden die nderungen ans System bergeben und die Zelle wird verlassen Mit der Abbruchtaste Esc kann die Zelle verlassen werden ohne dass die nderungen an das Sys tem bergeben werden Arbeiten mit den Elementen einer Liste ffnen einer Liste Aufw rts oder Abwartspfeiltaste Springen durch eine Liste der Eintr ge Abwi rtspfeiltaste zum Springen nach unten Aufw rtspfeiltaste zum Springen nach oben Ausw hlen eines Elements aus der Liste und Schlie en der Liste Eingabetaste Schlie en der Liste ohne ndern der Auswahl Abbruchtaste Esc Verlassen und Springen zum n chsten Feld Tabulatortaste Arbeiten mit einer Gruppe von Radiokn pfen Gruppen werd en als ein Feld interpretiert Springen von einem Radioknopf zum anderen und Ausw hlen des gew nschten Radioknopfes Ver
109. ndlich und bedeutet dass das Zertifikat jederzeit wieder aufgenommen werden kann sofern es noch nicht abgelaufen ist Nach Ablauf der Karenzzeit kann ein Zertifikat nicht mehr reaktiviert werden Uber den Parameter max_times_suspended in der Datei certificate_profiles cfg kann ange geben werden wie oft ein Zertifikat ausgesetzt werden darf Der Standardwert f r diesen Parameter ist Null d h es gibt keine Begrenzung Wird der Standardwert ge ndert gilt Folgendes Wurde ein bestimmtes Zertifikat zuvor schon einmal ausgesetzt kann ber RA Desktop angezeigt werden wie oft das betreffende Zertifikat bereits ausgesetzt wurde Nach Erreichen des Grenzwerts wird das Zertifikat widerrufen Die maximal zul ssige Anzahl der Aussetzungen kann ebenfalls angezeigt werden Das Handbuch Tivoli PKI Anpassung enth lt weitere Informationen dar ber wie Zertifikatsprofile ge ndert werden Erneuerbarkeit Die Erneuerbarkeit eines Zertifikats stellt eines der Merkmale dar die von Ihnen ber RA Desktop ge ndert werden k nnen m Wird ein Zertifikat als erneuerbar definiert kann der Eigner ein neues Zertifikat beantra gen solange das alte noch g ltig ist Besitzt ein Benutzer ein erneuerbares Zertifikat vereinfacht sich hierdurch der oe SE und der erforderliche Aufwand m Wird ein Zertifikat als nicht erneuerbar definiert muss sein Eigner das Ablaufdatum abwarten und anschlie end eine neue Registrierung beantragen wenn das Zertif
110. nen bei computerbasierten Sicherheitsanwendungen Diese Architektur wurde von Intel entworfen und dient dazu Computerplattformen f r Anwendungen sicherer zu gestalten Common Gateway Interface CGI Ein Standardverfahren zum Ubertragen von Informationen zwischen Web Seiten und Web Servern CRL Certificate Revocation List Zertifikatswiderrufsliste CRL Ver ffentlichungsintervall Dieses Intervall wird in der CA Konfigurationsdatei definiert und gibt das Zeitintervall zwischen zwei Ver ffent lichungen der Zertifikatswiderrufsliste im Directory an Tivoli PKI RA Desktop 59 Jesso 5 60 D mon Ein Programm das Tasks im Hintergrund ausf hrt Es wird implizit aufgerufen wenn eine Bedingung auftritt die die Hilfe des D mons erforderlich macht Es ist nicht erforderlich dass der Benutzer ber die Ausf hrung des D mons unterrichtet wird da der D mon normalerweise vom System automatisch gestartet wird Ein D mon kann ber eine unbegrenzte Zeit hinweg ausgef hrt oder vom System in bestimmten Zeitintervallen erneut gene riert werden Der Terminus englisch demon stammt aus der Mythologie Sp ter wurde er aber als Akronym f r den Ausdruck Disk And Execution MONitor Platten und Ausf hrungs berwachungsprogramm erkl rt Data Encryption Standard DES Eine Verschl sselungs Block Cipher die 1977 von der US Regierung als offizieller Standard definiert und ber nommen wurde Dieser Standard wurde urspr nglich von IBM
111. ner Begr ndung angefordert Der urspr ngliche Verwendungszweck ist nicht mehr g ltig Der Zertifikatseigner ben tigt das Zertifikat nicht mehr f r seine urspr ngliche Ver wendung Benutzer hat die Zugeh rigkeit ge ndert Der Benutzer verf gt nicht mehr ber die Zugeh rigkeit f r die das Zertifikat ange fordert wurde Der Benutzerschl ssel war besch digt Der private Schl ssel des Benutzers wurde besch digt Registerkarte Details 46 Auf der Registerkarte Details k nnen Sie die Details eines Datensatzes anzeigen der aus der Liste der Datens tze ausgew hlt wurde die mit den Abfragekriterien bereinstimmen Die Registerkarte verf gt ber folgende Elemente m Eine Liste zum Ausw hlen des anzuzeigenden Detailtyps Die Liste umfasst das Aktions des Elements und verschiedene Gruppen mit Attributen die zu dem Element geh ren Der Abschnitt De eite SO enth lt eine Beschreibung zu diesen Gruppen m Eine Tabelle in der der ausgew hlte Detailtyp angezeigt wird e Wenn Sie die Attribute anzeigen enth lt jede Zeile ein Attribut sowie den zugeh ri gen Wert Bei der Genehmigung der Registrierungsanforderung k nnen Sie bestimmte Werte Version 3 Release 7 1 Wenn Sie das Aktionsprotokoll anzeigen steht jede Zeile f r eine Aktion die f r das Element ausgef hrt wurde e Sie k nnen die Zeilen auf der Basis der Werte in einer bestimmten Zeile kortierenl e Sie k nnen f r die Spalten ein
112. nes Browser ZertifikatJ Dieses Zertifikat wird zur Ausf hrung von RA Desktop ben tigt Anmerkung Als Registrator m ssen Sie m glicherweise auch Server oder andere Einheiten registrieren oder f r bestimmte Benutzer eine Vorabregistrierung durchf hren Weitere Informationen zur Ausf hrung dieser Aufgaben enth lt das Tivoli PKI Benutzerhandbuch Abh ngig von der Anpassung der Registrierungsfunktion in Ihrem Unternehmen k nnen die Prozeduren die zum Abrufen eines g ltigen Zertifikats ausgef hrt werden m ssen variieren Die folgenden Erl uterungen geben einen allgemeinen berblick zu den grundlegenden Arbeitsschritten Wenn Sie Informationen zu den unternehmensspezifischen Prozeduren in Ihrer Systemumgebung ben tigen wenden Sie sich bitte an den zust ndigen System administrator Gehen Sie wie folgt vor um ein Browser Zertifikat abzurufen 1 F hren Sie mit Ihrem Browser einen Zusrifil auf die Registrierungs Web Seite aus 2 F hren Sie unter Zertifikatsregistrierung folgende Schritte aus a W hlen Sie Registrierungstyp Browser Zertifikat aus b W hlen Sie Aktion gt Registrieren aus c Klicken Sie auf OK Daraufhin wird das angeforderte Registrierungsformular ange zeigt 3 Befolgen Sie die Anweisungen auf der Web Seite zum Ausf llen der Felder Es gibt zwei Abschnitte Im Abschnitt Registrierungsinformationen befinden sich Textfenster in die Sie per s nliche Daten eintragen Tivoli PKI RA Desktop asi
113. nfassung der unterzeichneten Nachricht Durch das Anf gen einer digitalen Unterschrift an eine Nachricht l sst sich der Absender also zweifelsfrei feststellen Die Unterschrift kann nur mit Hilfe des Schl ssels des Absenders erstellt werden Au erdem erm glicht sie die Absi cherung des Inhalts der unterzeichneten Nachricht da die verschl sselte Nachrichtenzusammenfassung mit dem Nachrichteninhalt bereinstimmen muss Andernfalls wird die Unterschrift nicht als g ltig identifiziert Eine digi Version 3 Release 7 1 tale Unterschrift kann also nicht von einer Nachricht kopiert und f r eine andere Nachricht verwendet werden da sonst die Zusammenfassung Hash Code nicht bereinstimmen w rde Alle nderungen an der unterzeichneten Nachricht f hren automatisch zum Verlust der G ltigkeit der Unterschrift Digitale Zertifizierung Siehe Zertifizierung Digital Signature Algorithm DSA Ein auf ffentlichen Schl sseln basierender Algorithmus der zum Standard f r digitale Unterschriften Digital Signature Standard DSS geh rt Er kann nur f r digitale Unterschriften jedoch nicht f r die Verschl sselung verwendet werden Directory Eine hierarchische Struktur die als globales Repository f r Informationen zur Datenkommunikation wie bei spielsweise E Mail oder Austausch von verschl sselten Daten konzipiert ist Im Directory werden bestimmte Ele mente gespeichert die f r die PKI Struktur PKI Public Key Infrastructure unb
114. nforderungsstatus beschreibt RA Aktionen f r die Registrierungsanforderung Die Spalte f r den Ausf hrungsstatus beschreibt den Verarbeitungsstatus der Anforderung m Auf der Registerkarte Ergebnisse wird in der Tabelle mit Abfrageergebnissen der aktu elle Status f r alle in den Abfrageergebnissen enthaltenen Elemente angezeigt m Auf der Registerkarte Details werden in den Spalten der Aktionsprotokolltabelle alle vorhergehenden Statusangaben sowie der aktuelle Status des angezeigten Elementes auf gef hrt Attribute von Anforderungen und Zertifikaten Die folgenden Attribute sind als Anforderungsattribute klassifiziert Bei bestimmten Attri buten k nnen die zugeh rigen Werte ge ndert werden Ablaufdatum des Identit tsnachweises Das Datum an dem die G ltigkeit des Zertifikats abl uft Status Erneuerbar des Identit tsnachweises Gibt an ob das Zertifikat erneuert werden kann Tivoli PKI RA Desktop 47 U9UONEULIOJUIZUS 9J9H e Allgemeine eindeutige Identit tsnachweis ID Die allgemeine eindeutige Identit tsnachweis ID UUID Universal Unique Identi fier ist ein Prim rschl ssel der generiert wird um einen Index f r den Datenbank eintrag bereitzustellen Fehlercode Ein interner Code zur Kennzeichnung der Art des aufgetretenen Fehlers Dieses Feld und das Feld Fehlerursache beschreiben den gleichen Fehler Fehlerursache Der Prozess oder ein anderes Element von Tivoli PKI in dem w hrend der Verarbei tung
115. ng aufgerufen wird Die Regeln eines Regel Exits implementieren die Unternehmens und Sicherheits benutzervorgaben eines Unternehmens f r den Registrierungsprozess Registrierter Name DN Der eindeutige Name eines im Directory gespeicherten Dateneintrags Der DN dient zur eindeutigen Identifizie rung der Position eines Eintrags in der hierarchischen Struktur des Directory Registrator Ein Benutzer der f r den Zugriff auf RA Desktop sowie zur Verwaltung und Anforderung von Zertifikaten berechtigt ist Registrierung Bei Tivoli PKI das Abrufen von Identit tsnachweisen f r die Verwendung ber das Internet Bei der Registrierung werden Zertifikate angefordert erneuert und widerrufen Registrierungsstelle RA Die Software die zur Verwaltung digitaler Zertifikate verwendet wird und sicherstellt dass die Unternehmens regeln vom ersten Empfang einer Registrierungsanforderung bis zum Zertifikatswiderruf angewendet werden Registrierungsfunktion Ein Tivoli PKI Anwendungsger st das spezielle Verfahren zur Registrierung von Entit ten z B Browser Rou ter E Mail Einheiten und sichere Client Anwendungen und zur Verwaltung von Zertifikaten w hrend ihrer G l tigkeitsdauer bereitstellt Registrierungsattribut Eine Registrierungsvariable die in einem Registrierungsformular enthalten ist Ihr Wert gibt die Informationen wider die w hrend der Registrierung erfasst werden Der Wert des Registrierungsattributs bleibt w hrend der gesamte
116. ngsattribute 47 Ver ffentlichungen beschrieben ix Tivoli Sicherheitsprodukte xi Vorabregistrierung 29 Szenario f r Aufgaben 29 Vorbereitung f r die Verwendung von RA Desktop 5 Vorwort ix W Web Browser 6 Szenario fiir Vorabregistrierung 29 unterstiitzte 30 URL Adresse 6 Vorbereitung 5 6 Web Browser Unterst tzung 29 30 Web Seite Registrierung CA Zertifikat f r Verwendung 7 34 Verwendung 29 Zugriff 6 Website f r Sicherheitsverwaltungsinformationen xi Tivoli Kundenunterstiitzung xi Tivoli Public Key Infrastructure xi Tivoli Sicherheitsprodukte xi Widerrufgr nde 46 Wiederaufnehmen von Zertifikaten 35 46 Wiederherstellung von Schl sseln 13 X X 509v3 Zertifikatserweiterungen 34 Z Zertifikat 33 ablaufend 14 Aktionsprotokoll 18 47 Anforderung 3 anstehende Anforderung 13 aussetzen 25 Datenbanksatz 31 80 Zertifikat Forts Details 46 Erneuerbarkeit 25 34 35 f r Browser anfordern 7 G ltigkeitszeitraum 22 Kategorien 33 kontinuierliche Verwaltung 36 publizieren 27 36 registrierter Name 33 Status 51 Typen 49 vorlegen 12 wieder aufnehmen 26 zur Ausf hrung von RA Desktop 7 zur Verwendung der Registrierungsservices 7 34 Zertifikat G ltigkeitsdauer 32 34 Zertifikatsattribute 17 47 Zertifikatsaussteller 32 Zertifikatserweiterungen 34 49 Zertifikatstyp 49 Zertifikatswiderrufsliste 32 Zertifizierung 32 gegenseitige Zertifizierung 32 Hierarchie 32 Zielgruppe ix Zugreifen auf R
117. niversal Database IBM RS 6000 SecureWay Tivoli and WebSphere sind in gewissen L ndern ein getragene Marken der International Business Machines Corp oder von Tivoli Systems Inc Das Programm Tivoli PKI im folgenden als Programm bezeichnet enth lt Komponenten von IBM WebSphere Application Server und IBM HTTP Web Server IBM Server Diese d rfen nur zusammen mit dem Programm installiert und entsprechend der f r das Programm geltenden Lizenzvereinbarungen in Kombination mit diesem verwen det werden Die IBM Server m ssen auf derselben Maschine wie das Programm installiert sein Sie sind nicht berech tigt sie unabh ngig vom Programm zu installieren und zu verwenden Das Programm Tivoli PKI im folgenden als Programm bezeichnet enth lt Komponenten von DB2 Universal Database Diese Komponenten d rfen nur zusammen mit dem Programm installiert und entsprechend der f r das Pro gramm geltenden Lizenzvereinbarungen in Kombination mit diesem verwendet werden um Daten zu speichern und zu verwalten die vom Programm verwendet oder generiert werden F r andere Datenverwaltungsoperationen ist der Ein satz nicht gestattet Diese Lizenz gilt z B nicht f r eingehende Verbindungen zur Datenbank die von anderen Anwen dungen aus f r Abfragen und Berichtserstellungsoperationen hergestellt werden Sie sind lediglich zur Installation und Verwendung dieser Komponenten auf der gleichen Maschine berechtigt auf der auch das Programm installie
118. nnwortgesch tzt werden S MIME Ein Standard der das Unterzeichnen und Verschl sseln von elektronischer Post E Mail unterst tzt die ber das Internet bertragen wird Siehe MIME SMTP Simple Mail Transfer Protocol SSL Secure Sockets Layer Standard Generalized Markup Language SGML Ein Standard zur Beschreibung von Formatierungssprachen HTML basiert auf SGML Tivoli PKI RA Desktop 71 Jesso 5 72 Symmetrischer Schl ssel Ein Schl ssel der sowohl f r die Verschl sselung als auch f r die Entschl sselung verwendet werden kann Siehe auch Symmetrische Verschl sselung Symmetrische Verschl sselung Eine Form der Verschl sselung bei der sowohl f r die Ver als auch f r die Entschl sselung derselbe Schl ssel verwendet wird Die Sicherheit dieses Verfahren basiert auf dem Schl ssel Wird dieser ffentlich bekannt gege ben k nnen die mit ihm bearbeiteten Nachrichten von jedem Benutzer ver und entschl sselt werden Der Inhalt der bertragenen Daten kann nur dann geheim gehalten werden wenn der Schl ssel nur den jeweils berechtigten Personen bekannt ist Gegensatz zu Asymmetrische Verschl sselung TCP IP Transmission Control Protocol Internet Protocol Tivoli PKI Eine integrierte IBM SecureWay Sicherheitsl sung die die Ausstellung die Erneuerung und den Widerruf digita ler Zertifikate unterst tzt Diese Zertifikate k nnen f r eine breite Palette von Internet Anwendungen eingesetzt werden und bieten e
119. nquelle Zugriffssteuerungsliste ACL Ein Verfahren mit dem die Verwendung einer bestimmten Ressource auf berechtigte Benutzer beschr nkt werden kann Tivoli PKI RA Desktop 75 Jesso 5 76 Version 3 Release 7 1 Index A Abfrage ablaufende Zertifikate 14 anhand von Anforderungsstatus 40 anhand von Schl sselwiederherstellungsstatus 41 anstehende Anforderungen 13 Felder 39 nach Erneuerbarkeit 42 R ckmeldungen bei Verarbeitung 15 Servlet zur Unterst tzung 36 berarbeiten 15 bergeben 12 vorbereiten 12 vordefiniert 43 Abfrage Registerkarte 39 Abfrageergebnisse ablaufende Zertifikate 14 Aktionen ausf hren f r 20 21 24 25 26 Aktionsprotokoll anzeigen 18 als Liste anzeigen 15 44 anstehende Anforderungen 13 Anzahl der abzurufenden Datens tze definieren 15 43 anzeigen 15 Attribute anzeigen 17 Datens tze ausw hlen 20 Details anzeigen 17 durchbl ttern 17 S tze pro Seite begrenzen 15 Schl sselwiederherstellung 13 Ablaufdatum von Zertifikaten 14 22 Aktion des Registrators Anforderung genehmigen 24 Anforderung im Status anstehend behalten 24 Anforderung zur ckweisen 24 Anforderungsprofil definieren 23 Attribute ndern 17 Erneuerbarkeit ndern 25 G ltigkeitszeitraum ndern 22 Kommentar hinzuf gen 23 R ckmeldungen abrufen 15 Schl sselwiederherstellungsanforderung genehmigen 24 Schl sselwiederherstellungsanforderung zur ckweisen 25 Zertifikat widerrufen 26 Zertifikate publizieren 27 zul s
120. nster Programmordner ausw hlen auf Weiter wenn Sie den Stan dardprogrammordner IBM SecureWay Trust Authority verwenden m chten Geben Sie andernfalls den Namen des zu verwendenden Ordners ein bzw w hlen Sie diesen aus und klicken Sie anschlie end auf Weiter berpr fen Sie im Fenster Kopiervorgang starten die Einstellungen die Sie f r diese Installation von RA Desktop angegeben haben Klicken Sie auf Weiter um die Einstel lungen zu best tigen Die Dateien werden vom Programm in den angegebenen Pfad kopiert F hren Sie im Fenster Setup abgeschlossen folgende Schritte aus m W hlen Sie das Markierungsfeld zum Anzeigen der Readme Datei aus wenn Sie die Tivoli PKI Readme Datei lesen m chten Die Readme Datei wird im ausgew hl ten Browser angezeigt nachdem Sie auf Beenden geklickt haben m Klicken Sie auf Beenden um den Installationsprozess abzuschlie en Nach Abschluss der Installation befinden sich RA Desktop und RA Desktop Konfiguration im Men Start unter Programme gt IBM SecureWay Trust Authority Rekonfigurieren von RA Desktop Nach der Installation von RA Desktop k nnen Sie den Standardbrowser ndern der f r den Zugriff auf das Applet verwendet werden soll Dar ber hinaus kann die Webadresse des RA Servers ge ndert werden auf dem sich das Applet befindet F hren Sie die folgende Prozedur aus um diese nderungen vorzunehmen 1 W hlen Sie Start gt Programme gt IBM SecureWay Trust
121. nte oder Teilelemente die zur Implementierung der Sicherheitsregeln eingesetzt werden k nnen sind sicherheitsrelevant und Bestandteil der TCB Bei der TCB handelt es sich um ein Objekt das durch die Sicherheitsperipherie begrenzt wird Die Mechanismen die zur praktischen Umsetzung der Sicherheitsregeln eingesetzt werden d rfen nicht umgangen werden k nnen und m ssen verhindern dass Pro gramme Zugriff auf Systemprivilegien erlangen k nnen f r die sie nicht berechtigt sind Hierarchie Die Organisation der Zertifizierungsstellen CA in einer Trust Kette Die Kette beginnt mit dem selbst unter zeichnenden CA bzw der Root der Roots am Anfang und endet mit dem CA der Zertifikate f r Endbenutzer ausstellt H chster CA Der CA der innerhalb der PKI CA Hierarchie die h chste Position einnimmt Version 3 Release 7 1 HTML Hypertext Markup Language HTTP Hypertext Transaction Protocol HTTP Server Ein Server der die Web gest tzte Kommunikation mit Browsern und anderen Programmen im Netz steuert Hypertext Textsegmente die einzelne oder mehrere W rter umfassen oder Bilder enthalten auf die der Leser mit der Maus klicken kann um ein anderes Dokument aufzurufen und anzuzeigen Diese Textsegmente werden als Hyperlinks bezeichnet Ruft der Leser diese anderen Dokumente auf stellt er zu diesen eine Hyperlink Verbindung her Hypertext Markup Language HTML Eine Formatierungssprache f r das Codieren von Web Seiten HTML basiert
122. ntifizierung durchzuf hren CCA Common Cryptographic Architecture von IBM CDSA Common Data Security Architecture CGI Common Gateway Interface Client 1 Eine Funktionseinheit die gemeinsam benutzte Services von einem Server empf ngt 2 Ein Computer oder Programm der das Services von einem anderen Computer oder Programm anfordert Client Server Ein Modell f r die verteilte Verarbeitung bei dem ein Programm an einem Standort eine Anforderung an ein Pro gramm an einem anderen Standort sendet und auf eine Antwort wartet Das anfordernde Programm wird als Cli ent das antwortende als Server bezeichnet Codeunterzeichnung Ein Verfahren zum Unterzeichnen ausf hrbarer Programme mit einer digitalen Unterschrift Die Codeunter zeichnung dient zur Verbesserung der Zuverl ssigkeit von Softwarekomponenten die ber das Internet verteilt werden Common Cryptographic Architecture CCA IBM Software die einen konsistenten Verschl sselungsansatz auf den wichtigsten IBM Computerplattformen bie tet Sie unterst tzt Anwendungssoftware die in einer Vielzahl von Programmiersprachen geschrieben wurde Die Anwendungssoftware kann hierbei die CCA Services aufrufen um eine breite Palette kryptografischer Funktionen einschlie lich der DES und der RSA Verschl sselung auszuf hren Common Data Security Architecture CDSA Eine Initiative zum Definieren eines umfassenden Ansatzes f r Sicherheitsservices und Sicherheitsverwaltungso peratio
123. nzen die abgeru fen werden sollen Dies gilt auch dann wenn eine gr ere Anzahl von Datens tzen den Abfragekriterien entspricht Der definierte Grenzwert wird nur f r die von Ihnen vorbereitete Abfrage angewendet 1 ffnen Sie die Liste unter Anzahl der abzurufenden Datens tze und w hlen Sie den gew nschten aus Der Standardwert lautet 150 Durch diesen Grenzwert wird der Umfang der Abfrageergebnisse beeinflusst 2 Geben Sie die restlichen Werte f r Ihre Abfrage an Definieren der Anzahl von S tzen pro Seite Auf der Registerkarte Abfrage k nnen Sie die Anzahl der Datens tze begrenzen die auf einer Seite der Registerkarte Ergebnisse angezeigt werden sollen Der definierte Grenzwert wird nur f r die von Ihnen vorbereitete Abfrage angewendet 1 F hren Sie unter S tze pro Seite einen der folgenden Arbeitsschritte aus m ffnen Sie die Liste und w hlen Sie den gew nschten Grenzweri aus Mm Uberschreiben Sie den angezeigten Standardwert mit einer numerischen Angabe Dieser Wert steuert die Anzeige Ihrer Abfrage 2 Geben Sie die restlichen Werte f r Ihre Abfrage an Abrufen von R ckmeldungen w hrend der Verarbeitung Nachdem Sie auf einen Befehlsknopf einer beliebigen Registerkarte geklickt haben wird im unten auf der Anzeige der Fortschritt der von Ihnen angeforderten Verarbeitungsoperation angezeigt Arbeiten mit Ergebnissen W hlen Sie die Registerkarte Ergebnissel aus um die Ergebnisse Ihrer Abfrage anzuzeige
124. ography Standards PKCS 1 Siehe Public Key Cryptography Standards PKCS 7 Siehe Public Key Cryptography Standards PKCS 10 Siehe Public Key Cryptography Standards PKCS 11 Siehe Public Key Cryptography Standards PKCS 12 Siehe Public Key Cryptography Standards PKI Public Key Infrastructure PKIX PKI auf X 509v3 Basis PKIX Certificate Management Protocol PKIX CMP Ein Protokoll das Verbindungen mit PKIX kompatiblen Anwendungen erm glicht PKIX CMP verwendet als pri m res Transportverfahren TCP IP es ist jedoch eine Abstraktionsebene oberhalb der Sockets Schicht vorhanden Hierdurch k nnen zus tzliche Daten bertragungsoperationen mit Sendeaufrufen Polling unterst tzt werden PKIX CMP PKIX Certificate Management Protocol PKIX Empfangseinheit Der ffentliche HTTP Server der von einer bestimmten Registrierungsdom ne verwendet wird um Anforderun gen der Client Anwendung von Tivoli PKI zu empfangen Privacy Enhanced Mail PEM Der vom Internet Architect Board IAB genehmigte Internet Standard f r die verbesserte Wahrung der Vertrau lichkeit der die sichere bertragung elektronischer Post E Mail ber das Internet erm glicht Die PEM Proto kolle regeln Verschl sselung Authentifizierung Nachrichtenintegrit t und Schl sselverwaltung Privater Schl ssel In einem Paar aus einem ffentlichen und einem privaten Schl ssel steht dieser Schl ssel nur f r seinen Eigner zur Verf gung Er erm glic
125. plet Anforderungen finden Sie in den Release Informationen Die Release Informationen stehen auf der Website zur Verf gung http www tivoli com support Zugreifen auf die Webseite f r die Registrierung Gehen Sie wie folgt vor um auf die Web Seite f r die zuzugreifen 1 Rufen Sie die in Ihrem Unternehmen verwendete Webadresse f r den Zugriff auf die Webseite f r die Registrierung ab Die Webadresse weist das folgende Format auf http MyWebServer port MyDomain index jsp Dabei stellt MyWebServer port den Host Namen und den Anschluss des Servers dar auf dem die Tivoli PKI Registrierungsstelle installiert ist MyDomain gibt den konfigurierten Namen der Registrie el auf dem aktuellen Tivoli PKI System an Beispiel Version 3 Release 7 1 http MyWebServer 80 MyDomain index jsp 2 rl wurde 3 Textfenster bei Adresse ein m Geben Sie im Internet Explorer die Webadresse im Textfenster bei Adresse ein 4 die Registrierung angezeigt Bei einer ite Identit tsnachweis Verwaltung 5 s zum ersten mal verwenden klicken Sie en Server in Ihrem Browser installie Dieses Zertifikat erm glicht dem verwendeten Browser die Authentifizierung der Kom munikation mit den Registrierungsservices Wenn Sie diese Services das n chste Mal ver wenden m ssen Sie diesen Schritt nicht mehr ausf hren Anfordern eines Browserzertifikats Dieser Abschnitt beschreibt die Verwendung der Tivoli PKI Seite f r die zum Anfordern ei
126. prun gen werden Strg Pos1 Ausw hlen des hervorgehobenen Datums Eingabetaste Schlie en des Kalenders ohne Auswahl eines Datums Abbruchtaste Esc Arbeiten mit Befehlskn pfen Springen auf einen Befehlsknopf Tabulatortaste Ausf hren des gew nschten Befehls Leertaste oder Eingabetaste Tivoli PKI RA Desktop 55 U9UONEULIOJUIZUS 9J9H e Fehlerbehebung Dieser Abschnitt enth lt Richtlinien zur Verwendung sowie Empfehlungen zur Fehler behebung f r die Ausf hrung von RA Desktop 56 m Wenn Sie Microsoft Internet Explorer verwenden treten m glicherweise folgende Fehler im Zusammenhang mit der Benutzerschnittstelle auf Wenn Sie eine Fehlernachricht erhalten die sich auf SSL bezieht w hlen Sie Extras gt Internetoptionen aus W hlen Sie im Fenster Internetoptionen die Registerkarte Erweitert aus und klicken Sie auf den Knopf Standard wiederherstellen Dadurch wird SSL 3 0 erneut aktiviert Klicken Sie auf OK und schlie en Sie alle noch ge ff neten Internet Explorer Fenster Starten Sie RA Desktop erneut Die Ergebnistabelle enth lt keine Eintr ge obwohl eine Abfrage eine bestimmte Anzahl von Eintr gen zur ckgegeben hat Dieser Fehler ist auf eine Verz gerung beim Ausf llen des Applets zur ckzuf hren Sie k nnen den Fehler beheben indem Sie auf den Knopf Aktualisieren des verwen deten Browsers klicken um das Applet erneut zu starten Die Elemen
127. r BER definiert Mit DER kann genau ein bestimmter Verschl sselungstyp aus den verf gbaren und auf der Basis der Verschl sselungsregeln als zul ssig definierten Typen ausgew hlt werden Hierdurch werden alle Senderoptionen eliminiert DL Data Storage Library Datenspeicherbibliothek DN Distinguished Name Registrierter Name Dokumentverschl sselungsschl ssel DEK Normalerweise ein symmetrischer Ver Entschl sselungsschl ssel z B DES Dom ne Siehe Sicherheitsdom ne und Registrierungsdom ne DSA Digital Signature Algorithm e Business Das Durchf hren gesch ftlicher Transaktionen ber Netze und Computer z B der Kauf und Verkauf von Waren und Dienstleistungen sowie der Transfer von Zahlungsmitteln mit Hilfe der digitalen Kommunikation Tivoli PKI RA Desktop 61 Jesso 5 e Commerce Unternehmens bergreifende Transaktionen wie beispielsweise der Kauf und Verkauf von Waren und Dienstleis tungen zwischen Unternehmen und ihren Kunden Lieferanten Subunternehmen und anderen ber das Internet E Commerce stellt einen Kernbestandteil des e Business dar Endentit t Der Gegenstand eines Zertifikats bei dem es sich nicht um einen CA handelt Entschl sseln Den Verschl sselungsprozess r ckg ngig machen Exemplar Bei DB2 bezeichnet man als Exemplar eine logische Datenbankverwaltungsumgebung zum Speichern von Daten und zum Ausf hren von Anwendungen Es erm glicht die Definition einer allgemeinen Gruppe von
128. rofil steuert die Attribute und die Verarbeitung von Regis trierungsanforderungen Jedes Anforderungsprofil umfasst eine Kchablond f r ein Zertifikat Es gibt verschiedene Anforderungsprofile f r die Zertifikatskategorien Als Name des Anforderungsprofils eines Elements wird eines der Attribute verwendet Falls erforderlich k nnen Sie bei der Genehmigung der Registrierungsanforderung ein anderes Anforderungsprofil angeben M glicherweise wird ein bestimmter Anforderungsprofilname bei den Attributen f r Anfor derungen und ein anderer bei den Basisattributen aufgelistet Das bedeutet dass ein Registra tor oder ein RA Prozess zu einem bestimmten Zeitpunkt das Anforderungsprofil berschrie ben hat Das Profil in den Attributen f r die Anforderung wurde zusammen mit anderen Attributen der Registrierungsanforderung tempor r inaktiviert Das Profil in den Basis attributen ist das aktuelle Anforderungsprofil Tivoli PKI RA Desktop us un4ayneug E 38 Version 3 Release 7 1 Referenzinformationen Die Abschnitte in diesem Kapitel enthalten Feldbeschreibungen g ltige Feldwerte und die Bedeutung von Attributen die in RA Desktop angezeigt werden Die Abschnitte sind so organisiert dass Ihnen die Informationen in RA Desktop dort zur Verf gung stehen wo sie ben tigt werden Registerkarte Abfrage Auf der Registerkarte Abfrage k nnen Sie eine Abfrage vorbereiten mit der Informationen zu Zertifikaten zur Wiederherstellung
129. rt und ver wendet wird Das Programm enth lt Komponenten des IBM WebSphere Application Server und des IBM HTTP Web Server IBM Server Sie sind nicht berechtigt die IBM Server zu anderen Zwecken als in Verbindung mit der lizenzgerechten Ver wendung des Programms zu benutzen Die IBM Server m ssen auf derselben Maschine wie das Programm installiert sein Sie sind nicht berechtigt sie unabh ngig vom Programm zu installieren und zu verwenden Java und alle auf Java basierenden Marken und Logos sind in gewissen L ndern Marken der Sun Microsystems Inc Microsoft Windows Windows NT und das Windows Logo sind in gewissen L ndern Marken der Microsoft Corporation UNIX ist eine eingetragene Marke und wird ausschlie lich von der X Open Company Limited lizenziert Pentium ist in gewissen L ndern eine Marke der Intel Corporation G E N U INE SEE Dieses Programm enth lt Sicherheitssoftware von RSA Data Security Inc Copyright 1994 RSA Data Security Inc Alle Rechte vorbehalten Dieses Programm enth lt STL Software STL Standard Template Library von Hewlett Packard Company Copyright c 1994 m Die Berechtigung zum Verwenden Kopieren ndern Verteilen und Verkaufen dieser Software sowie der zugeh ri gen Dokumentation f r die gew nschten Zwecke wird hiermit geb hrenfrei erteilt Voraussetzung hierf r ist aller dings da der o a Copyrightvermerk auf allen Kopien erscheint und da sowohl dieser Copyrightvermer
130. s nicht Wenn in keinem der Felder ein Datum angegeben wird werden alle Datens tze abgerufen die mit den restlichen Abfragekriterien bereinstimmen Um ein Datum anzugeben klicken Sie auf den Kalended um diesen zu ffnen und anschlie end auf das gew nschte Datum Wenn Sie das Datum eingeben verwenden Sie beim Ausf llen des Textfensters dasselbe Format das auch im Kalender benutzt wird Von Das fr heste Datum innerhalb des Bereichs Wenn Sie hier keinen Wert angeben werden mit der Abfrage alle Datens tze abgerufen die an dem oder vor dem Datum aktualisiert wurden das im Feld Bis angegeben wird Bis Das neueste Datum innerhalb des Bereichs Wenn Sie in diesem Feld keinen Wert angeben werden mit der Abfrage alle Datens tze abgerufen die an dem oder nach dem Datum aktualisiert wurden das im Feld Von angegeben wird m Wenn Sie unter Abfrageart die Option Anhand von Wiederherstellungsstatus Name und Aktualisierungsdatum ausgew hlt haben k nnen Sie die Abfrage bei Bedarf mit Hilfe der folgenden Felder weiter differenzieren Tivoli PKI RA Desktop Verwenden Sie die Liste unter Schl sselwiederherstellungsstatus zum Abrufen von Elementen mit allen Statusangaben oder nur zum Abrufen von Elementen mit einem bestimmten Status W hlen Sie aus der Liste einen der folgenden Werte f r den aus Die Standardauswahl lautet Alle Alle Mit dieser Option werden alle Registrierungsanforderungen oder Schl ssel wiederherste
131. sig f r Dom ne 27 45 Aktionsprotokoll anzeigen 18 Ereignisse 47 Spalten in Tabelle 46 Aktivieren ausgesetzter Zertifikate 26 Anforderungs ID 7 9 Anforderungsattribute 47 Anforderungsprofil 23 37 Tivoli PKI RA Desktop Anstehende Anforderung f r Schl sselwiederherstellung abru fen 13 Anzahl der abzurufenden Datens tze definieren 15 Optionen 44 Attribute Datenbanksatz 32 Attribute Zertifikat und Anforderung ndern 17 anzeigen 17 f r Anforderung oder Zertifikat 47 Unternehmensprozessvariablen 22 Werte ndern 22 Zertifikatserweiterungen 49 Aussetzen von Zertifikaten 25 35 Aussetzen von Zertifikats 46 Authentifizierung 36 B Beenden von RA Desktop 27 Berechtigung f r Registrator 10 Berechtigungen 45 f r Aktion in Dom ne 20 27 f r Dom ne abrufen 10 f r Dom ne pr fen 27 Bibliothek Tivoli PKI Website ix Browser 6 Szenario f r Vorabregistrierung 29 unterst tzte 30 URL Adresse 6 Vorbereitung 5 6 Browser Unterst tzung 30 Browser Zertifikat 7 12 33 C CA Hierarchie 32 CA Zertifikat 7 34 CRL Zertifikat wieder aufnehmen 26 D Dateiberechtigungen Registrator 10 20 21 Datenbanks tze Abfrage begrenzen 15 abfragen 12 Attribute 32 Felder zum Abrufen 39 77 x pul Datenbanks tze Forts f r Aktionen ausw hlen 20 S tze pro Seite definieren 15 Verarbeitung durch RA 3 vordefinierte Abfrage 43 Datens tze ausw hlen 20 Datumsangabe angeben 14 DB2 31 Deinstallieren von RA D
132. ss sichergestellt werden dass die verwendete Maschine die nachfolgend aufgef hrten Anforderungen f r die Ausf hrung von RA Desktop erf llt m Intel Pentium Prozessor mit mindestens 64 MB RAM Computerbildschirm der VGA Aufl sung oder h here Aufl sungen unterst tzt m Betriebssystem Microsoft Windows 95 98 oder NT Gehen Sie wie folgt vor um einen Web Browser f r RA Desktop zu aktivieren 1 Installieren Sie einen der unterst tzten Web Browser m Netscape Navigator oder Netscape Communicator nur Release 4 7 x m Microsoft Internet Explorer ab Release 5 0 Als Voraussetzung f r Internet Explorer m ssen Sie JVM Java Virtual Machine ap Release 5 00 Build 3167 installieren Im Abschnitt wird beschrieben wie Sie das aktuelle JVM Release feststellen Er bei Bedarf eine Erweiterung vornehmen k nnen Anmerkung Sie m ssen die offizielle Version des Produkts installieren die ber Netscape oder Microsoft bezogen werden kann Mit Versionen anderer Anbieter k nnen m glicherweise bestimmte Informationen nicht korrekt angezeigt werden Dies gilt besonders dann wenn das Applet in einer anderen Sprache als Englisch ausgef hrt wird 2 Nehmen Sie die erforderlichen nderungen bei Ihrem Web Browser vor m ffnen Sie hierzu in Netscape das Men Einstellungen um Java zu aktivieren m ffnen Sie hierzu im Internet Explorer das Men Optionen um Java zu aktivieren Anmerkung Die neuesten Informationen zu den RA Desktop Ap
133. st Anmerkung Wenn Sie ber Netscape auf RA Desktop zugreifen und das System ber eine l ngere Zeit hinweg keine Operationen ausf hrt werden Sie von Netscape erneut zur Angabe Ihres Zertifikats aufgefordert Durch diese zus tzliche Sicherheitsfunktion wird Ihr Unternehmen gesch tzt wenn Sie durch einen Notfall Ihren Arbeitsplatz verlassen m ssen ohne RA Desktop zuvor abzumel den Arbeiten mit Abfragen W hlen Sie die Registerkarte Abfrage aus um eine Abfrage vorzubereiten Sie k nnen diese Abfrage sehr spezifisch gestalten oder eine Gruppe mit Datens tzen abrufen die ber gemeinsame Merkmale verf gen Sie k nnen dar ber hinaus die Anzahl der abzurufenden Datens tze begrenzen und angeben wie viele auf einer Seite angezeigt werden sollen bergeben einer Abfrage Auf der Registerkarte Abfrage k nnen Sie eine Abfrage vorbereiten zum Abrufen von Registrierungsanforderungen bzw von Anforderungen f r Schl sselwiederherstellungen 12 Version 3 Release 7 1 sowie zum Abrufen von Zertifikatsdatens tzen mit denen gearbeitet werden soll Sie k nnen die Abfrage auf der Basis des aktuellen Anforderungs oder Zertifikatsstatus oder auf den Erneuerungs oder Ablaufmerkmalen der Anforderungen bzw Zertifikate aufbauen Innerhalb dieser beiden Kategorien kann die Abfrage durch die Verwendung der anderen verf gbaren Felder weiter differenziert werden 1 Verwenden Sie die Felded auf der Registerkarte um die Abfrage vorzu
134. st tzen und dass diese Zertifikate nur an berechtigte Benutzer ausgegeben werden Die k nnen ber automa tisierte Prozesse oder auf der Basis menschlicher Entscheidungen ausgef hrt werden hnlich wie der CA k nnen Sie zum Schutz des Signierschl ssels auch IBM SecureWay 4758 PCI Cryptographic Coprocessor verwenden m Eine Web Schnittstelle f r die vereinfacht das Abrufen von Zertifikaten f r Browser Server und andere Einheiten und Zwecke z B VPN Einheiten VPN Virtual Private Network Smart Cards und die sichere bertragung von E Mails Tivoli PKI RA Desktop Dd IOALL NZ u uonewoyzu LU Eine Web Verwaltungsschnittstelle das RA Desktop erm glicht berechtigten Registrato ren das Genehmigen oder Zur ckweisen von Registrierungsanforderungen sowie das Ver walten von Zertifikaten nach deren Ausstellung Ein Pr fsubsystem berechnet einen Nachrichtenauthentifizierungscode Message Authen tication Code MAC f r jeden Protokolleintrag Wenn Pr fdaten nach ihrer Aufzeich nung in der Pr fdatenbank ge ndert oder gel scht werden k nnen Sie mit Hilfe des MAC diese Manipulation feststellen Regel Exits und Gesch ftsprozessobjekte Business Process Objects BPO erm glichen Anwendungsentwicklern die Anpassung der Registrierungsprozesse Integrierte Unterst tzung f r eine Verschl sselungsmaschine Zur Authentifizierung der Kommunikation werden die Tivoli PKI Hauptkomponenten mit einem werkseitig gene rierten private
135. te im kombinierten Fenster k nnen nicht mit der Maus ausgew hlt wer den Dieser Fehler tritt auf wenn sich ein Dialogfenster au erhalb des Applet Bereichs befindet Er betrifft die Listen und Detailteilanzeige wenn Sie eines der kombinier ten Fenster ausw hlen ohne im Fenster vorw rts zu bl ttern Dadurch wird das kom binierte Fenster unterhalb der unteren Begrenzung des Applets angezeigt Sie k nnen diesen Fehler umgehen indem Sie das kombinierte Fenster ber die Tas tatur ausw hlen Verwenden Sie den Aufw rts bzw Abw rtspfeil und dr cken Sie anschlie end die Eingabetaste oder die Leertaste Alternativ dazu k nnen Sie auch im Fenster bl ttern um das kombinierte Fenster h her und weiter zur Applet Mitte hin zu positionieren Version 3 Release 7 1 Glossar In diesem Glossar werden alle Termini und Abk rzungen definiert die in diesem Handbuch verwendet werden und die m glicherweise neu oder unbekannt und von Bedeutung sind Numerische Eintr ge 4758 PCI Cryptographic Coprocessor Eine programmierbare manipulationssensitive PCI Bus Verschl sselungskarte die die Ausf hrung von DES und RSA Verschl sselungsoperationen mit hoher Geschwindigkeit erm glicht Die Verschl sselungsprozesse werden in einem gesicherten und abgegrenzten Bereich auf der Karte ausgef hrt Die Karte entspricht den strengen Anforderungen des FIPS PUB 140 1 Level 4 Standards In dem gesicherten und abgegrenzten Bereich kann Soft ware ausgef
136. tens tze f r die Zur ckweisung ausw hlen Gehen Sie auf beiden Registerkarten wie folgt vor 1 Klicken Sie unter F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F hren Sie eine Aktion f r das angezeigte Element aus auf Zur ckweisen 2 Klicken Sie auf Aktion bergeben Version 3 Release 7 1 Zur ckweisen einer Schl sselwiederherstellungsanforderung ndern Sie k nnen eine Schl sselwiederherstellungsanforderung auf der Registerkarte oder der Registerkarte Detaild zur ckweisen Wenn Sie die Registerkarte Ergebnisse ver wenden k nnen Sie Inehrere Datens tze f r die Zur ckweisung ausw hlen Gehen Sie auf beiden Registerkarten wie folgt vor 1 Klicken Sie unter F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F hren Sie eine Aktion f r das angezeigte Element aus auf Schl sselwiederher stellung zur ckweisen 2 Klicken Sie auf Aktion bergeben der Erneuerbarkeit Sie k nnen die Erneuerbarkeitl eines Zertifikats auf der Registerkarte Ergebnisse oder auf der Registerkarte Details ndern Sie k nnen ein erneuerbares Zertifikat als nicht erneuerbar definieren und umgekehrt Wenn Sie die Registerkarte Ergebnisse verwenden k nnen Sie Datens tze ausw hlen und die Erneuerharkeil f r die gesamte Gruppe ndern Gehen Sie auf beiden Registerkarten wie folgt vor 1 Klicken Sie unter F hren Sie eine Aktion f r die ausgew hlten Elemente aus bzw F hren Sie eine Aktion f
137. th lt eine Beschreibung der n Statuswerte Ausf hrungsstatus Der Status der Anforderungsverarbeitung z B bergeben Version 3 Release 7 1 Kommentar Der Kommentar der vom Registrator bei der Ausf hrung der Aktion angegeben wurde 5 Bl ttern Sie in der Tabelle f hren Sie eine der Spalten durch oder kord Sie bei Bedarf die Zeilen der Tabelle Zugeh rige Abschnitte Wechseln zwischen Registerkarten In bestimmten F llen wechseln Sie automatisch von einer Registerkarte zur anderen Bei spiel m Wenn Sie von der Foe Abfragd aus eine Abfrage ausf hren wechseln Sie zur Registerkarte sobald die Abfrageergebnisse in RA Desktop vorliegen m Wenn Sie Details zu einem Datensatz anfordern wechseln Sie zur Registerkarte Detaild m Wenn Sie eine Aktion auf der Registerkarte Details abschlie en wechseln Sie erneut zu den Abfrageergebnissen auf der Registerkarte Ergebnisse Wenn Sie in anderen Situationen zu einer anderen Registerkarte wechseln m chten klicken Sie einfach auf die gew nschte Registerkarte Anschlie end f hrt das System folgende Ope rationen aus m Wenn Sie nach der Anzeige der Abfrageergebnisse zur Registerkarte Abfrage zur ckkeh ren wird die Abfrage weiterhin angezeigt m Wenn Sie Details zu einem falschen Datensatz anfordern k nnen Sie die Abfrage ergebnisse auf der Registerkarte Ergebnisse erneut aufrufen Dort k nnen Sie dann einen anderen Datensatz ausw hlen und f r diesen D
138. top angezeigt werden k nnen Vorabregistrierung Tivoli PKI erm glicht einem Programm oder Administrator die Vorabregistrierung zuk nfti ger Benutzer Im folgenden wird ein Szenario dargestellt in dem beschrieben wird wie Sie f r andere Per sonen eine Vorabregistrierung f r ein Zertifikat ausf hren k nnen m Sie m ssen Informationen ber die Person einholen f r die eine Vorabregistrierung aus gef hrt werden soll Sie k nnen diese direkt von der betroffenen Person oder aus Daten best nden des Unternehmens z B aus entsprechenden Datenbanken abfragen m Sie greifen ber Ihren Web Browsei auf die Registrierungsseite zu Dort finden Sie ein spezielles Registrierungsformular f r Vorabregistrierungen Tivoli PKI RA Desktop 29 uoa un4ayneug E m Sie f llen dieses Formular aus und geben hierbei Informationen zur Beschreibung der Person und zum gew nschten Zertifikatstyp an Anschlie end bergeben Sie das Formu lar m Sie pr fen den Status der Anforderung Wenn der Antrag f r die Vorabregistrierung genehmigt ist erhalten Sie eine Transakti ons ID ein Kennwort und die Webadresse der RA die die Genehmigung der Anforde rung durchgef hrt hat m Sie leiten diese Informationen per Telefon E Mail oder pers nlich an die Person wei ter f r die die Vorabregistrierung ausgef hrt wurde Optional k nnen Sie zur leichteren Verst ndlichkeit auch eine Vorabregistrierungsdatei an die registrierte Person versenden
139. ttform installiert ist muss die Konfigurationsdatei raconfig cfg der Registrierungsfunktion m glicherweise so aktualisiert werden dass sie einen Verweis auf einen SMTP Host enth lt um diese Funktion zu aktivieren Einzelheiten hierzu finden Sie im Handbuch Tivoli PKI Anpassung Identifikationspr fungsantwort Vergessen Sie nicht die angegebene Identifikationspr fungsantwort bei der die Gro Kleinschreibung beachtet werden muss Sie ben tigen diese sp ter um den Status der Registrierungsanforderung zu pr fen Dom nenname Wahlweise kann der Host Name der Maschine angegeben werden auf der das Zertifikat installiert werden soll der Host Name Ihrer Maschine Normalerweise muss in diesem Feld keine Angabe gemacht werden es sei denn die Verwen dung des Felds wurde explizit angefordert Zus tzliche Unterst tzung zu diesen Feldern finden Sie im Abschnitt mit Referenz informationen im Tivoli PKI Benutzerhandbuch Klicken Sie auf Registrierungsanforderung bergeben Nach dem Empfang des Registrierungsformulars durch Tivoli PKI werden diese Informa tionen vom Programm gepr ft Version 3 Release 7 1 5 m Wenn das Formular Fehler enth lt werden diese angezeigt F hren Sie die erforder lichen nderungen durch und klicken Sie anschlie end auf Registrierungsan forderung erneut bergeben m Wenn das Formular keine Fehler enth lt wird auf einer weiteren Web Seite Ihre Anforderungs ID angezeigt Diese sollte un
140. u ffnen und anschlie end auf das gew nschte Datum Wenn Sie das Datum eingeben verwenden Sie beim Ausf llen des Textfensters dasselbe Format das auch im Kalender benutzt wird Von Bis Das fr heste Ablaufdatum Wenn Sie hier keinen Wert angeben werden mit der Abfrage alle Datens tze abgerufen die an dem oder vor dem Datum auslaufen das im Feld Bis ange geben wird Das neueste Ablaufdatum Wenn Sie hier keinen Wert angeben werden mit der Abfrage alle Datens tze abgerufen die an dem oder nach dem Datum auslaufen das im Feld Von angegeben wird m Verwenden Sie eines oder beide der folgenden Felder um die Verarbeitung und Anzeige Ihrer Abfrage zu steuern Anzahl der abzurufenden Datens tze Die maximale Anzahl von abzurufenden Datens tzen unabh ngig von der Anzahl der Datens tze die tats chlich mit den Abfragekriterien bereinstimmen W hlen Sie einen der folgenden Werte aus 50 100 150 250 Standardwert Unbegrenzt zum Abrufen aller Datens tze die mit den Abfragekriterien bereinstimmen S tze pro Seite Die Anzahl der Datens tze die auf den einzelnen Seiten der Registerkarte angezeigt werden sollen Sie k nnen in diesen Seiten bl ttern um die ben tigten Datens tze in den Ergebnisdaten Ihrer Abfrage zu suchen W hlen Sie entweder einen der folgenden Werte aus oder berschreiben Sie den ange zeigten Standardwert mit einer numerischen Angabe 10 15 Standardwert 20 25 Vord
141. uch im Kalender benutzt wird Von Das fr heste Datum innerhalb des Bereichs Wenn Sie hier keinen Wert angeben werden mit der Abfrage alle Datens tze abgerufen die an dem oder vor dem Datum aktualisiert wurden das im Feld Bis angegeben wird Bis Das neueste Datum innerhalb des Bereichs Wenn Sie in diesem Feld keinen Wert angeben werden mit der Abfrage alle Datens tze abgerufen die an dem oder nach dem Datum aktualisiert wurden das im Feld Von angegeben wird m Wenn Sie unter Abfrageart die Option Anhand von Erneuerbarkeit und Ablauf datum ausgew hlt haben k nnen Sie die Abfrage bei Bedarf mit Hilfe der folgenden Felder weiter differenzieren Verwenden Sie die Liste unter Erneuerbarkeit um eine Abfrage auf dem Kriterium der Erneuerbarkeit eines Zertifikates zu basieren W hlen Sie aus der Liste einen der folgenden Werte aus Erneuerbar Das Zertifikat kann erneuert werden wenn es noch nicht ausgelaufen ist Version 3 Release 7 1 Nicht erneuerbar Das Zertifikat kann nicht erneuert werden Verwenden Sie die Option Bereich der Ablaufdaten um nur solche Elemente abzu rufen die w hrend eines bestimmten Zeitraums ablaufen Geben Sie einen Datums bereich an Einen Standardwert gibt es nicht Wenn in keinem der Felder ein Datum angegeben wird werden alle Datens tze abgerufen die mit den restlichen Abfragekriterien bereinstimmen Um ein Datum anzugeben klicken Sie auf den Kalender um diesen z
142. und verteilter Verzeichnisservices Er dient zum Pr fen der Identit t und Berechtigung aller Parteien die an Transaktionen beteiligt sind die ber das Internet ausgef hrt werden Diese Transaktionen umfas sen m glicherweise Operationen zu deren Ausf hrung eine Identit tspr fung erforderlich ist Sie dienen z B zur Best tigung des Ursprungs von Senderechtanforderungen E Mail Nachrichten oder Finanztransaktionen PKI erreicht dieses Ziel dadurch dass ffentliche Chiffrierschl ssel und Benutzerzertifikate f r die Authentifizie rung durch eine berechtigte Einzelperson oder ein berechtigtes Unternehmen verf gbar gemacht werden Er stellt Onlineverzeichnisse bereit die die ffentlichen Chiffrierschl ssel und Zertifikate enthalten die zur berpr fung der digitalen Zertifikate Identit tsnachweise sowie der digitalen Unterschriften verwendet werden PKI stellt au erdem Funktionen zur schnellen und effizienten Antwort auf Pr fabfragen und Anforderungen f r ffentliche Chiffrierschl ssel bereit Der Standard dient dar ber hinaus zur Identifizierung potenzieller Sicherheitsl cken im System und zur Verwaltung von Ressourcen zur Bearbeitung von Sicherheitsverletzungen PKI bietet au erdem einen digitalen Zeitmarkenservice f r wichtige Unternehmenstransaktionen Version 3 Release 7 1 RA Registration Authority Registrierungsstelle RA Desktop Ein Java Applet das den RAs eine grafische Oberfl che f r die Verarbeitung von Anford
143. ung durchf hren m ssen bevor Sie Informationen zu Ihrer Anforderung abrufen k nnen Gehen Sie wie folgt vor um in den Feldern Informationen anzugeben m Geben Sie unter Anforderungs ID die Anforderungs ID ein die nach der bergabe des Registrierungsformulars angezeigt wurde m Geben Sie unter Identit tspr fungsantwort denselben Wert ein wie auf dem Registrierungsformular Klicken Sie auf Registrierungsstatus berpr fen Daraufhin wird eine Nachricht mit dem aktuellen Status Ihrer Anforderung angezeigt m Wenn Ihre Anforderung weiterhin ansteht k nnen Sie den Status zu einem sp teren Zeitpunkt nochmals pr fen m Wurde Ihr Browser Zertifikat bereits ausgestellt wird es heruntergeladen wenn Sie auf Registrierungsstatus berpr fen klicken Sie k nnen das Zertifikat nun anzeigen Befolgen Sie hierzu die auf der Web Seite aufge f hrten Anweisungen Tivoli PKI RA Desktop asiamsuayabio ANZ UBUOIEWIOJU E Abrufen von Berechtigungen Bevor Sie den zust ndigen Systemadministrator bitten Sie f r RA Desktop zu berechtigen sollten Sie folgende Arbeitsschritte ausf hren m Fordern Sie ein Browser Zertifikat an und geben Sie hierbei die Re ein die Sie verwalten werden m Laden Sie das Browser Zertifikat sowie das kompatible CA Zertifikat auf Ihren Web Browser herunter Installieren von RA Desktop Die Installation von RA Desktop ist ein Prozess der aus zwei Teilen besteht Bei der Instal lation der
144. ung abrufen k nnen Verschl sselt Die Eigenschaft von Daten die nach einem bestimmten System umgesetzt wurden um deren Bedeutung unkennt lich zu machen Verschl sselung Entschl sselung Die Verwendung des ffentlichen Schl ssels des gew nschten Empf ngers zum Verschl sseln von Daten f r diese Person Der Empf nger verwendet anschlie end den privaten Schl ssel seines Schl sselpaares um die Daten zu entschl sseln Vertrauensdom ne Eine Gruppe von Entit ten deren Zertifikate vom gleichen CA zertifiziert wurden Vertraulichkeit Der Schutz von Daten gegen den Zugriff nicht berechtigter Personen Tivoli PKI RA Desktop 73 Jesso 5 74 Vertraulichkeit Die Wahrung der Geheimhaltung bestimmter Informationen gegen ber nicht berechtigten Personen Virtual Private Network VPN Ein privates Datennetz das ferne Verbindungen nicht ber Telefonleitungen sondern ber das Internet herstellt Da der Zugriff der Benutzer auf die Netzressourcen eines Unternehmens nicht ber eine Telefongesellschaft son dern ber einen Internet Service Provider ISP erfolgt k nnen diese durch den Einsatz von VPN deutliche Ein sparungen bei Fernzugriffen erzielen Ein VPN erh ht auch die Sicherheit beim Datenaustausch Bei der her k mmlichen Firewall Technologie kann zwar der Inhalt der Nachricht verschl sselt werden nicht jedoch die Quellen und Zieladressen Bei der VPN Technologie k nnen die Benutzer eine Tunnelverbindung herstellen
145. von RA Desktop Zuereifen auf die Tivoli PKI Web Seite fiir die Registrierung um die erforder liche Zertifizierung abzurufen Anfordern eines ICA Zertifikats und anschlieBend eines Browser Zertifikatd f r den verwendeten Web Browser Richtlinien zum Typ des Browser Zertifikats das Sie f r die Installation ausw hlen m ssen sowie zum Namen der Regis trierungsdom ne f r deren Verwaltung Sie berechtigt werden erhalten Sie beim jeweiligen Unternehmen und Sicherstellen dass das Zertifikat installiert wurde Nach der Ausstellung des Zertifikats m ssen Sie die zur Ausf h rung von Registratoraufgaben anfordern Senden Sie eine Anforderung an den ersten berechtigten Registrator und stellen Sie diesem Benutzer die Anforde rungs ID zur Verf gung die Sie nach der bergabe Ihrer Zertifikatsanforde rung erhalten haben Der erste Registrator muss die im Handbuch Systemverwaltung beschriebenen Prozeduren ausf hren um Sie als neuen Registrator zu berechtigen asiamsuayabio ANZ UBUOIEWIOJU E Schritt 8 Installieren von RA Desktop nachdem Sie die Best tigung erhalten haben dass Sie als Registrator registriert wurden Wenn Sie den w hrend der Installation definierten Standardbrowser zu einem sp teren Zeitpunkt ndern m chten oder wenn eine nderung der Webadresse f r den RA Server erforderlich ist k nnen Sie eine nina durchf hren Aktivieren eines Browsers Vor dem Aktivieren eines Browsers mu
146. w nschten Datumsbereich an Um ein Datum anzugeben klicken Sie auf den um diesen zu ffnen und anschlie end auf das gew nschte Datum Wenn Sie das Datum eingeben verwenden Sie beim Ausf llen des Textfensters dasselbe Format das auch im Kalender benutzt wird m Geben Sie unter Anfangsdatum das Datum an an dem die G ltigkeit des Zertifikats beginnen soll m Geben Sie unter Enddatum das Datum an an dem die G ltigkeit des Zertifikats ablau fen soll Der von Ihnen angegebene G ltigkeitszeitraum wird an die RA weitergeleitet wenn Sie die Aktion bergeben Richtlinien f r die Verwendung Der G ltigkeitszeitraum f r ein Zertifikat kann so ge ndert werden dass er innerhalb der Begrenzung des definierten liegt Wenn ein Benutzer beispielsweise ein Zertifikat mit einem G ltigkeitszeitraum von einem Jahr anfordert K nnen Sie diesen Zeit raum auf weniger als ein Jahr verk rzen Soll der G ltigkeitszeitraum dagegen ber die durch das Profil definierte Begrenzung hinaus erweitert werden m ssen Sie eine der folgen den Aktionen ausf hren m Weisen Sie das Zertifikat zur ck und fordern Sie den Benutzer auf eine Anforderung zu bergeben in der ein l ngerer G ltigkeitszeitraum beispielsweise 2 Jahre f r das Zerti fikat angegeben ist Version 3 Release 7 1 m ndern Sie das Anforderungsprofil und bergeben Sie die nderung Dabei m ssen Sie die Aktion Als anstehend behalten ausw hlen bis alle nderungen
147. wird der Status eines erneuerbaren Zertifikates in nicht erneuer bar ge ndert Zertifikat publizieren Mit dieser Option wird ein Zertifikat fiir das Verzeichnis Directory publiziert Tivoli PKI RA Desktop 45 U9UONEULIOJUIZUS 9J9H e Schl sselwiederherstellung genehmigen Mit dieser Option wird eine Schl sselwiederherstellungsanforderung genehmigt damit dem Antragsteller die wiederhergestellte PKCS 12 Datei zur Verf gung gestellt werden kann Schl sselwiederherstellung zur ckweisen Mit dieser Option wird eine Schl sselwiederherstellungsanforderung abgewiesen Keine Aktion verf gbar Diese Option gibt an dass Sie lediglich ber die Berechtigung zum Anzeigen der Datens tze in der Registrierungsdom ne verf gen Gr nde f r das Widerrufen eines Zertifikats Wenn Sie ein Zertifikat widerrufen m ssen Sie eine entsprechende Begr ndung ausw hlen Im folgenden sind die zul ssigen Begr ndungen aufgef hrt die f r den Widerruf eines Zerti fikats ausgew hlt werden K nnen Wenn Sie die Details eines Datensatzes anzeigen und seine Verarbeitungsattribute pr fen kann im Attribut f r die Widerrufbegr ndung einer der folgenden Werte definiert sein Der CA Schl ssel war besch digt Der Schl ssel des Zertifikatsausstellers wurde besch digt Das Zertifikat wurde ersetzt Der Benutzer verf gt ber ein neues Zertifikat und ben tigt dieses nicht mehr Kein Begr ndung Der Benutzer hat den Widerruf ohne Angabe ei
148. zul ssigen een Geben Sie bei Bedarf unter Geben Sie einen Kommentar zur ausgef hrten Aktion ein einen zur Dokumentierung Ihrer Aktion ein Klicken Sie auf Aktion bergeben um die Aktion zu bergeben Tivoli PKI RA Desktop 21 asiamsuayabio ANZ UBUOICWIOJU E 22 ndern ndern Zugeh rige Abschnitte eines Attributwerts Auf der Registerkarte Details k nnen Sie bei der Genehmigung einer Registrierungsan forderung oder der Ausf hrung einer Aktion f r eine Ausf hrungsanforderung die Werte bestimmter Attribute ndern Gehen Sie hierzu wie folgt vor 1 W hlen Sie unter Anzeigen die Option Verarbeitungsattribute aus 2 Bl ttern Sie bis zu dem Attribut das aktualisiert werden soll Die Werte die aktualisiert werden k nnen verf gen entweder ber ein Textfenster zur Eingabe eines neuen Wertes oder ein Listenfenster zur Auswahl anderer Werte Der Abschnitt e erunge e e eite enth lt eine Beschreibung der verschiedenen Attribute 3 Geben Sie den gew nschten Wert ein oder w hlen Sie ihn aus der Liste aus Anmerkung Die Werte im Anforderungsprofil k nnen die von Ihnen definierten Werte berschreiben eines G ltigkeitszeitraums Auf der Registerkarte Ergebnissd bzw Detaild k nnen Sie den G ltigkeitszeitraum f r das Zertifikat ndern wenn Sie eine Registrierungsanforderung genehmigen oder eine ausge f hrte Anforderung bearbeiten Geben Sie unter Definition des G ltigkeitszeitraums den ge
149. zur Abgrenzung bestimmter Daten und der zugeh rigen Operationen dient Siehe auch Klasse Objektart Die Art von Objekt die im Directory gespeichert werden kann Beispiele sind eine Firma ein Konferenzraum eine Einheit eine Person ein Programm oder ein Prozess Objekt ID OID Ein von einer Verwaltungsfunktion zugeordneter Datenwert der den in ASN 1 definierten Typ aufweist ODBC Open Database Connectivity ffentlicher Schl ssel In einem Paar aus einem ffentlichen und einem privaten Schl ssel steht dieser Schl ssel anderen Benutzern zur Verf gung Er erm glicht diesen Benutzern die Weiterleitung einer Transaktion an den Eigner des Schl ssels sowie die Pr fung einer digitalen Unterschrift Mit einem ffentlichen Schl ssel verschl sselte Daten k nnen nur mit dem entsprechenden privaten Schl ssel entschl sselt werden Gegensatz zu Privater Schl ssel Siehe auch Schl sselpaar aus ffentlichem und privatem Schl ssel Open Database Connectivity ODBC Ein Standard f r den Zugriff auf unterschiedliche Datenbanksysteme Open Systems Interconnect OSI Der Name der von ISO genehmigten Computernetzstandards OSI Open Systems Interconnect PC Karte Eine mit einer Smart Card vergleichbare Einheit die auch als PCMCIA Karte bezeichnet wird Sie ist etwas gr Der als eine Smart Card und verf gt im Allgemeinen ber eine h here Kapazit t Version 3 Release 7 1 PEM Privacy Enhanced Mail PKCS Public Key Crypt
150. zwischen zwei Modems nur einmal gesendet werden m ssen Anschlie end wird die Kom munikation verschl sselt und die Nachrichtenintegrit t wird solange berpr ft bis die SSL Sitzung abgelaufen ist Version 3 Release 7 1 Server 1 In einem Netz eine Datenstation die anderen Stationen Funktionen zur Verf gung stellt wie beispielsweise ein Datei Server 2 In TCP IP ein System in einem Netz das die Anforderungen eines Systems an einem ande ren Standort verarbeitet Dieses Konzept wird als Client Server Modell bezeichnet Server Zertifikat Ein digitales Zertifikat das von einem CA ausgegeben wird und es einem Web Server erm glicht SSL gest tzte Transaktionen auszuf hren Wenn ein Browser ber das SSL Protokoll eine Verbindung zum Server herstellt sen det der Server seinen ffentlichen Schl ssel an den Browser Hierdurch kann die Identit t des Servers authentifi ziert werden und es k nnen verschl sselte Daten an den Server gesendet werden Siehe auch CA Zertifikat Digi tales Zertifikat und Browser Zertifikat Servlet Ein Server Programm das zus tzliche Funktionen f r Server zur Verf gung stellt die Java unterst tzen SET Secure Electronic Transaction SGML Standard Generalized Markup Language SHA 1 Secure Hash Algorithm Ein von NIST und NSA entwickelter Algorithmus der beim DSS Digital Signature Standard verwendet wird Der Standard wird als Secure Hash Standard bezeichnet SHA ist der Algorithmus der vo
Download Pdf Manuals
Related Search