Trust Authority: Systemverwaltung - FTP Directory Listing
Contents
1. UT N 0T7T71 CIO Up qeSur rp m f rdsi q z orlod AW Aoryoqs nruvosqv wr poue NLO any UT N LLOFEL CIO q ur agedurg rp any r rdsr q J N UT N CLO LESSELL OFS TT stsequiowuu y me JVI ny AIO OVWpasegpiomsseg uN TCC 6 LT 6PSEll OPS CI YEYEDT Z 606 X ANF AIO 0 PITFHAI 60SX uN LLOLUZSUT6rFSCIL 078 1 u se1 ssn U5S 1 SOMd ANF AIO Seqhay Z syd uN T0TV T 16 8 9 991812401 2 2 14 SOMd MF AIO mSequ o zisoyd UN 12 6PSell OPS Z 524 40 AIO eyep soyd apoossuNJaIZYYUIYNeUS LPLIyR N UPN TISSSTIEL useH I VHS ny GIO eys sewy URN ITTETTEL I VHS 195 CIO Teys SuNyassnypsia uN S LL6FSCIL0F9 L VSA 11 VHS ANF AIO uond DpuySNuMNAAL eus UPON TT TeTde1T 0781 Sunr ssnu sr A VS l J AIO zuond4rouqes uN T 0F00L 0r8 L VHS Hw ysa Uy AIO TEUS YHM PSP PI UN TT OT00T078 CT vsa ny alo mesp Pp uN UPS PEL ANF AIO L uN 8792 puers pung my IS UT N LYST HO INF AIO 1 uN EFST u ureN u ur ur 8 e y AIO ND UT N IPS 1Yr uur suonesrueS O Inj GIO uN OLFGT u urmq us un Inj GIO O UN 9yvc pu inf AIO 1501 1 juonem3yuoy yoru reqr pug soyur lqorq uongein3ijuoyprepuejs Jewsd M Sunqr ry s g J9j gt ureIeg 4944 S VH Trust Authority Systemverwaltung 88 uN uoydAnugySAYHMTI yS2. IUWEN uN Aorroq NT W 1 s rp 151 uarepunyas Jap sureN 7zaureN Adtjog SI Ieqsnjiaa 142 ryoq my uN Tuy xeput 3soure oy dyjy Sunstamuy rp s un ss rpy Tin 1Sd D nur u 8nuprsy ni q uasunpreypsjuq T q pun u s f alapue rp rp Suniepyiassunuyes qy UIN Sunsepr s3unuv iqy Japo s s Jayostystin aula Japo st AurH 1 u snsumn urq IXILONONFTOSN uN ZI q upao nz Z YON 7ZOHONT ITOI uN Pup1oadnz AO PIM T DON a0HON TAoTIOg nou q y S yi uN u wy urUN zur sep su urq uq yun s p ureN Jaq 310142104 uU9ZaI IoA GIO pu up ids1u aula nruv sqy qro u smur WN AoyogAy MJH Jesey uereurtid s p aureN Jaq oure NAdTIOg uN g 4S1 9394 rp qo ue 1412 yepury uN 4 uosnun urt unn 1915 s qo ue 3012 Teonr 4 roq SI Sunpu Au A ssn uos uN H Jap rp qo ue 1412 p rnb y Sesn A y PALM 4ZSISJun Sunpu Ad A ssn uos uN L Jap Sunsaylamig rp qo ue 1412 p moddns Sesn A y uuey uagasue sr Supydum s p y ssnrq s u ur us 3 e usp VA z po PMUJ uN L yu r pur proyuy Jap qo ue 1412 a geymadgAay us3e ur sey s ur uN Post q nepsyr y nm e8igeurprepurys aq y q urr yr
3. ast WIUYpsqy CIO wr Senurg I pu yp dszu urg snurygLIogfe siJtruossz jun s p uonr ur i 18 V3IS aula nruq sqy qTOo UN sinu v ureuy S yi u p Inj UapIaM JeaLepjap A UT S UapueYIOA CIO epuaypesdsyua IO aula nruv sqy qo ut smu snuruyro3resiyiny sr yun u p my orod1i O31 nss ureuroq mor surewoq Jpid ner ddr rsn XIV MA N urpuro i moy sureuroqi Jay d Arroqny u r epu lec V2 uN ISNIL WI SOPA WEIBO LN SAAOPUTM Mg 4uoymy 182 my s myosqy 4d u r jepu leq V2 uN aroygpalqges my uuo sureutayeq ouleN f ro six lqo SNWUALIOSIY s p yemsny nz pun r zuy INZ Wap 5 UOA pip Shur no3Tesiyq sa yun uN uoydAugysyuMi eys 1 HW VSX uonr n ci TVHSUAVS I jepuaMIIA SNWUFLIOSIY s p Jyemsny nz pun r zuy INZ Wap s po INI PIIM shuru1uro3 es1Juru5ssJ unq uN Teys ypm esp pI 1 fur WSq s p uonruy q 9 s31v 31S21y gt urur sy SnWU4LIoSTesdunJsssn yasIo uN esp pI VSq s p uontug q vsd s8rv uq r uru sv uN uoydAmugesi SNWUMIOIZTY VSA s p uonrun qi VSY snusuyuoSrey ssnrq s uN esp pt VSC s p uonruy q VSA uonem3yuoy yoru reqs pue sorur lqorq uonem3 rnuoyprepues 8 8 r ure
4. Client Zeitmarke Die Uhrzeit an der das Priifereignis von einer Trust Authority Komponente gesendet wurde Zeitmarke Die Uhrzeit an der das Priifereignis in die Datenbank oder in eine Datei geschrieben wurde Zusatzinformationen Zus tzliche Informationen die f r die Operation relevant sind Diese Informationen werden von einem Prtif Client angegeben Kapitel 5 Referenzinformationen 109 Prufereignisse 110 erlautert die Trust Authority Pr fereignisse und gibt an ob ein Ereignis verbindlich oder wahlfrei ist Tabelle 19 Pr fereignisse Ereignis Beschreibung Verbindlich oder wahlfrei Schl sselverwaltung KeyGeneration Gibt an da ein Chiffrierschl ssel generiert verbindlich wurde Keylmport Gibt an da ein Chiffrierschl ssel in Trust vvahlfrei Authority importiert wurde KeyExport Gibt an da ein Chiffrierschl ssel aus Trust wahlfrei Authority exportiert wurde KeyStorage Gibt an da ein Chiffrierschl ssel wahlfrei gespeichert wurde Keykollover Gibt an da ein Chiffrierschl ssel durch wahlfrei einen neuen Schl ssel ersetzt wurde Dieser Schl ssel wird f r den gleichen Zweck eingesetzt wie der alte Schl ssel KeyCompromise Gibt an da ein Chiffrierschl ssel nicht verbindlich mehr sicher ist CAKeyDistribution Gibt an da der ffentliche Schl ssel des verbindlich CA in das Directory
5. Kapitel 5 Referenzinformationen 115 116 Tabelle der berechtigten Aufgabenbereiche Diese Tabelle enth lt Informationen zu den Aufgabenbereichen berechtigter Entit ten Diese Tabelle ist schreibgeschtitzt und wird bei Installation und Konfiguration geladen Tabelle 25 Felder in der Tabelle berechtigter Aufgabenbereiche Feld Beschreibung Datentyp auth_role_id Die eindeutige interne smallint Kennung des berechtigten Aufgabenbereichs auth_role_desc Die NLS Zeichenfolge die varchar den berechtigten Aufgaben bereich beschreibt Tabelle der Arten betroffener Entitaten Diese Tabelle enth lt Informationen zu verschiedenen Arten betroffener Entit ten Eine betroffene Entit t wird von der Operation beeinflu t f r die ein Pr fereignis erzeugt wird Diese Tabelle ist schreibgesch tzt und wird bei Installation und Konfiguration geladen Tabelle 26 Felder in der Tabelle der Arten betroffener Entit ten Feld Beschreibung Datentyp afctd_entity_id Die eindeutige interne smallint Kennung der betroffenen Entit t afctd_entity_desc Die NLS Zeichenfolge die varchar die betroffene Entit t beschreibt Tabelle der Komponentenarten Diese Tabelle enth lt Informationen zu den verschiedenen Komponentenarten des Pr f Clients Diese Tabelle ist schreibgesch tzt und wird bei Installation und Konfi guration geladen Tabelle 27 Felder in der Tabelle der Komponentenarten
6. CARemac zur Verf gung mit dem ein neuer ICL Schutzschl ssel zur Berechnung eines neuen MAC Wertes generiert wird Um den ICL Schutzschl ssel zu ndern gehen Sie folgenderma en vor 1 Wechseln Sie zu der Maschine auf der der CA Server installiert ist 2 Stoppen zie das Trust Authority System mit Hilfe der unter Server eite T beschriebenen Prozedur 3 F hren Sie das Tool f r den ICL Schutzschl ssel aus indem Sie in der Trust Authority Befehlszeile den Befehl CARemac der den entsprechenden Trust Authority Installationspfad enth lt eingeben Beispiel Unter AIX wenn Sie den Standardinstallationspfad von Trust Authority verwenden CARemac in usr 1pp iau bin Unter Windows NT wenn Sie den Standardinstallationspfad von Trust Aut hority verwenden CARemac in c Program Files IBM Trust Authority bin Das Tool fordert Sie zur Eingabe des Kennworts f r das Trust Authority Steuerprogramm auf 4 Geben Sie das Kennwort f r das Trust Authority Steuerprogramm ein 5 Starten Sie das Trust t Authorit System mit Hilfe der unter Server a a eite 7 beschriebenen Prozedur Integrit t der CA Server Datenbank pr fen Trust Authority stellt das Tool CAlntegrityCheck zur Verf gung mit dessen Hilfe Mi br uche der CA Server Datenbank ermittelt werden k nnen Unter normalen Umst nden f hrt der CA Schutzpr fungen nur f r den Teilsatz der ICL Eintr ge aus auf den zu einem bestimmten Zeitpunkt
7. varchar integrity Dieses Feld dient der Aufrechter haltung der Integrit t des Daten satzes varchar f r Bitdaten Tabelle f r Ereignisbewertung Diese Tabelle enth lt Informationen zur Bewertung von Ereignissen Diese Tabelle ist schreibgesch tzt und wird bei Installation und Konfiguration geladen Tabelle 21 Felder in der Tabelle f r die Ereignisbewertung National Language Support f r die Bewertung Feld Beschreibung Datentyp severity_id Die eindeutige interne smallint Kennung der Ereignis bewertung severity_desc Die NLS Zeichenfolge NLS varchar Tabelle zur Ereignissteuerung Diese Tabelle enth lt Informationen zu allen Ereignissen die ein Pr f Client an den Pr f Server weiterleiten kann Diese Tabelle ist schreibgesch tzt und wird bei Installation und Konfiguration geladen Tabelle 22 Felder in der Tabelle f r die Ereignissteuerung Feld Beschreibung Datentyp event_id Die eindeutige Ereigniskennung smallint event_desc event_key Eine sichtbare Beschreibung des Ereignisses Dieses Feld kann zur Anzeige von Informationen verwendet werden Eine kurze eindeutige Zeichenfolge die das Ereignis kennzeichnet und beschreibt Dieses Feld wird von den Java Ressourcenpaketen verwendet varchar varchar 114 Trust Authority Systemverwaltung Tabelle 22 Felder in der Tabelle f r die Ereignissteuerung
8. 8 YEYETHT Z 606 X ANF CIO IPEIHAIII 605X UN L TOT ZI TL 6rsell OPS C L VDSEH SSD M S ANF CIO 8 2182 4 UN 1012 TL 6PrSell OVS UOSENEYETH Z Ny AIO mSequ zisoyd UN TZ VUeTGd 1T078 CT 28 524 YI AIO vyep zsoyd 8 uN CUSS T9 T I VHS Ay CIO Tus UN IETETLEL I VHS 195 CIO Teys Sunyassnypypsia UN CTT 6PSell OTS C L VSA 11 VHS ANF CIO 4 4 1 8 UN TTTeTselU 07871 Sunr ssnu sr A VS l ny GIO zuond4rouqes UN 8 L L VHS HU ysa Uy AIO TEUS YHM PSP PI UN TT OT00V0T8 CT vsa alo mesp Pp UN CLV PHL 17 AIO L uN 8792 puers pung my alo 16 uN LVGT HO INF CIO UT N EFST u ureN u ur ur 8 e my AIO ND uN ITV SZ u uru u lur In GIO no UT N 0192 u urq us yuf sn AIO O uN 9 pue inj AIO u yu ur yg uoa S nr rzn pi v nn pur mz snwstueyseurprepurys sGIO uonemn3rnuoy yoru reqr pug sorur lqorq uoner3ruoprepueis gew Jay Sunqr ru s q r y urereq jajepsuonesnByuoy 49449S VO PL 79 Kapitel 5 Referenzinformationen Uagesue 11221104 rp VD ue VA pO VA ue HUJ uN L 0 rD epuseproyuy qo ue z rqeur dg uu res YPI pIo 151 WIUYpsqy CIO wr 3enurm I pu yp dszu urg snuryMLIogfe uN uondADpuqyS NuNAAL eus SIyETV ST yUT u lsi sap uontuu
9. Anmerkung VVenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der eingebettete Leerzeichen enth lt m ssen Sie den Pfad in dop pelte Anf hrungszeichen setzen Kapitel 5 Referenzinformationen 107 Syntax Format 1 AuditIntegrityCheck c ConfigFilePath d Format 2 AuditIntegrityCheck c ConfigFilePath a ArchiveFileNamel ArchiveFileName2 ArchiveFileName3 Format 3 AuditIntegrityCheck c ConfigFilePath A ArchiveFileDirectory Parameter c ConfigFilePath Der absolute Pfad der Konfigurationsdatei des Pr f Servers Der Standardpfad f r AIX lautet usr lpp iau etc TrustAuthority AuditServer ini Der Standardpfad f r Windows NT lautet c Program Files IBM Trust Authority etc TrustA uthority AuditServer ini Anmerkung Dieser Parameter ist wahlfrei Wenn Sie keinen Wert angeben wird die Standardkonfigurationsdatei des Pr f Servers angege ben a ArchiveFileNamel ArchiveFileName2 ArchiveFileName3 Das Pfadnamenpr fix der Archivdateien deren Integrit t gepr ft werden soll Das Prafix steht fiir eine Gruppe von Dateien die dem Archiv zugeordnet sind Der Befehl a local archive archive1 1067 verarbeitet beispielsweise mehrere Dateien mit dem Pfadnamenpr fix local archive archive1 1067 wie folgt local archive archivel 1067_audit_log ixf local archive archivel 1067_audit_log sig A ArchiveFileDirectory Der Pfadname des Verzeichnisses das die Archivdateien e
10. CA Server Der Server f r die CA Komponente von Trust Authority CA Zertifikat Ein Zertifikat das vom Web Browser eines Benutzers auf dessen Anforderung hin von einem nicht identifizierten CA akzeptiert wird Der Browser kann dann dieses Zertifikat verwenden um ftir die Kommunikation mit Servern die tiber Zertifikate dieses CAs verfiigen eine Authentifizierung durchzufiihren 130 Trust Authority Systemverwaltung CAST 64 Ein Block Cipher Algorithmus der mit einer Blockgr fse von 64 Bit und einem 6 Bit Schltissel arbei tet Er wurde von Carlisle Adams und Stafford Tavares entwickelt CCA Common Cryptographic Architecture CDSA Common Data Security Architecture CGI Common Gateway Interface Client 1 Eine Funktionseinheit die gemeinsam benutzte Services von einem Server empfangt 2 Ein Computer oder Programm der das Services von einem anderen Computer oder Programm anfordert Client Server Ein Modell fiir die verteilte Verarbei tung bei dem ein Programm an einem Standort eine Anforderung an ein Programm an einem anderen Standort sendet und auf eine Antwort wartet Das anfordernde Programm wird als Client das antwor tende als Server bezeichnet Codeunterzeichnung Ein Verfahren zum Unterzeich nen ausftihrbarer Programme mit einer digitalen Unter schrift Die Codeunterzeichnung dient zur Verbesse rung der Zuverl ssigkeit von Softwarekomponenten die ber das Internet verteilt werden Common Cryptogr
11. Feld Beschreibung Datentyp first_sn Die Seriennummer des ersten Protokolleintrag in audit_log integer next_sn Die Seriennummer des n chsten Protokolleintrags in audit_log integer audit_int Dieses Feld dient der Auf rechterhaltung der Integrit t der Tabelle audit_log varchar f r Bitdaten archive_int Dieses Feld dient der Auf rechterhaltung der Integrit t der Tabelle archive_ctl varchar f r Bitdaten events_int Dieses Feld dient der Auf rechterhaltung der Integrit t der Tabelle events_ctl varchar f r Bitdaten auth_ent_int Dieses Feld dient der Auf rechterhaltung der Integrit t der Tabelle auth_entities varchar f r Bitdaten auth_role_int Dieses Feld dient der Auf rechterhaltung der Integrit t der Tabelle auth_roles varchar f r Bitdaten 118 Trust Authority Systemverwaltung Tabelle 29 Felder in der Systemtabelle Forts Feld Beschreibung Datentyp sources_int Dieses Feld dient der Auf rechterhaltung der Integritat der Quellentabelle varchar f r Bitdaten afctd_ent_type_int Dieses Feld dient der Auf rechterhaltung der Integritat der Tabelle afctd_entities varchar f r Bitdaten keys_int Dieses Feld dient der Auf rechterhaltung der Integritat der Schliisseltabelle varchar ftir Bitdaten event_sevs_int Dieses Feld dient der Auf rechterhaltung der Integritat der Ta
12. RA Ereignisse 72 RA Server 33 Anschlu des Directory ndern 41 Datenbankverschl sselung aktivie ren 37 106 Host Name des Directory ndern 41 Konfigurationsdatei 87 Protokolle 39 Sendeaufrufintervall ndern 38 Status 39 berwachten Anschlu ndern 38 verwalten 33 Wiederholungsintervall ndern 39 Regeleinschr nkungen Erweiterung 65 Regelzuordnung Erweiterung 65 Registratoren hinzuf gen 34 Registrierter Name DN 69 Registrierungsdom nen 70 RFC 2459 65 RSA 61 Schl ssel MAC 69 Verschl sselung 69 Schl sselkennung des Ausstellers Erwei terung 65 Schl sselkennung des Zertifikatsgegen stands Erweiterung 65 Schl sseltabelle 114 Schl sselverwaltungsereignisse 72 Schl sselverwendung Erweiterung 65 Schutz Regel ICL 23 Schl ssel ICL 24 Schutzregel ICL 23 Sendeaufrufintervall 21 38 Sendeintervall 41 Server CA Server 19 Directory 41 75 HTIP 17 74 IBM WebSphere Application Ser ver 74 Komponenten starten 7 Komponenten stoppen 7 Pr fung 42 RA 33 Web 74 WebSphere Application 16 Sicherheit Trust Authority 63 Sicherheitsrelevante Ereignisse 72 Sicherung 12 AIX 12 Trust Authority Datenbanken 12 Windows NT 12 Sichten Pr fdatenbank 43 Smart Cards 71 SQL Befehl 35 Standarderweiterungen 65 Standards ASN 1 76 CCITT 76 ISO 76 ITU 65 76 RFC 2459 65 X 509v3 65 X 680 76 Starten von Server Komponenten 7 Status CA Server 32 DB2 Datenbanken 57 Direct
13. chen Siehe auch Digitales Zertifikat Zertifikatserweiterung Eine Zusatzfunktion des X 509v3 Zertifikatformats die zur Einbindung zus tzli cher Felder in das Zertifikat dient Es stehen Standard und benutzerdefinierte Erweiterungen zur Verf gung Die Standarderweiterungen dienen verschiedenen Zwecken und umfassen Schl ssel und Regel informationen Betreff und Ausstellerattribute sowie Einschr nkungen die f r den Zertifizierungspfad gel ten Zertifikatsprofil Eine Gruppe von Kenndaten die den gew nschten Zertifikatstyp definieren z B SSL oder IPSec Zertifikate Das Profil vereinfacht die Zerti fikatsspezifikation und registrierung Der Aussteller kann die Namen der Profile ndern und Kenndaten des gew nschten Zertifikats angeben Hierzu z hlen z B der G ltigkeitszeitraum die Verwendung von Schl s seln DN Einschr nkungen usw Zertifikatsregel Eine benannte Gruppe mit Regeln die angibt ob ein Zertifikat f r eine bestimmte Klasse von Anwendungen mit gemeinsamen Sicherheitsan forderungen anwendbar ist Eine Zertifikatsregel kann z B angeben ob ein bestimmter Zertifizierungstyp dem Benutzer die Ausf hrung von Transaktionen f r Waren innerhalb eines bestimmten Preisbereichs erm g licht Zertifikatswiderrufsliste CRL Eine digital unter zeichnete mit Zeitmarken versehene Liste der Zertifi kate die vom Zertifikatsaussteller CA widerrufen wurden Die Zertifikate in dieser Liste sollten als n
14. 3 Directory Administrator 4 Audit Administrator 5 4758 CA Profile Enter Option 3 W hlen Sie die Option f r das zu ndernde Kennwort aus indem Sie im Feld Option eingeben die entsprechende Zahl eingeben 4 Geben Sie nach Aufforderung das aktuelle Kennwort f r die ausgew hlte Option ein und best tigen Sie es Anmerkungen a Bei der erstmaligen Nutzung dieses Tools m ssen Sie als aktuelles Kenn wort das Kennwort eingeben das bei der Konfiguration des Systems defi niert wurde Geben Sie bei Kennw rtern f r das Steuerprogramm und f r Pr fadministratoren das Kennwort des Trust Authority Servers als aktuelles Kennwort ein Geben Sie f r das Kennwort des Directory Administrators das bei der Konfiguration als aktuelles Kennwort definierte Kennwort ein Geben Sie f r das 4758 CA Profil das Kennwort IBMCA001 an Trust Authority Systemverwaltung b Wenn Sie Trust Authority auf einem AIX Server installiert haben und das Kennwort des Konfigurationsbenutzers cfguser vor dem Konfigurieren des Systems nicht ge ndert wurde lautet das Standardkennwort Secure99 5 Geben Sie nach Aufforderung das aktuelle Kennwort f r die ausgevvahlte Option ein und best tigen Sie es Das Kennwort darf maximal acht Zeichen lang sein das 4758 CA Profilkennwort mu exakt acht Zeichen lang sein Das Dienstprogramm zeigt bei erfolgreicher nderung eine entsprechende Nachricht an Nach dem erfolgreichen Abschlu der Verarbeitung ruft d
15. Av s ouv yil u S rJdoA sep ue umz u uonepunoyuy ef wg qo prim yn da3 wap ur esau JEAISJUN SOI u1spue plomsseg asueyD ururer801d suatq Ayuoyny 16 Wap pw m smo ensrurupy ef 66 mo s AIOPAIA MOMUUON Ipmaymy unupyatiq NO QHuoumy uN ISNIL NO WwuwysurguN AyUI O SN I SIOPe4STUNUPY AIOPaHAq s p NA T ureNumvy TOAIS IVAT u p my ef yod aureuysoy r urumN inyy suy pun sweN 4soH uN I UISAISS IVAT Tyezuy SI9AISSUMN 14 01 u 3unn A u r nu nou r nq USAISINYOL uN SI T q y ns3un s A ALWEN uud qq rc gureqyumurixeyy U PT AM 8 u ur INF STMV apo STAD Jury uuam uN H 3 roA s yy q UP qo ue 341 reJOLYPIBISTNIMOIIV U OS u pI m Jopuamasue Jap ur yeYYHAIT 2 sep Inj mu Japo aye uasunyuempsute uN su ureN qo ue 1412 ATUQAAOLSurersuojeueyyAjddy uonemn3rnuoy weu reqi pue ur S aM r urereq 190 jarepsuojjesnbyuoy 49449S VH GL 4 95 Kapitel 5 Referenzinformationen H ruD p vO m NA Wep pun ss rpV TMn Mu uoyemsyuoy 0 81 8oUTE o1 xPId vD AyIOYNY ISMIL YOT NO AYIOYNY ISNILYOA NO vswYourayuy ef Nd vo T q pum s ri TU196 OH960 ST196
16. CA Regeln und weiterer Informationen zu registrierten Servern und Benutzern Mit dieser Kompo nente kann nach einem Zertifikat f r einen ffentlichen Schl ssel einer bestimmten Person oder eines Servers gesucht werden Hierzu wird das Directory nach dem eindeutigen registrierten Namen DN der Person oder des Servers oder nach anderen relevanten Informationsquellen durchsucht Dieser Server unterst tzt LDAP Standards LDAP Lightweight Directory Access Protocol und basiert auf DB2 UDB Er wird als eigenst ndiger D mon ausgef hrt und verwendet ein Client Server Modell um Trust Authority den Zugriff auf den Server zu erm glichen Der Server nutzt eine Schnittstelle auf Web Basis um das Directory einzurichten zu verwalten und die enthaltenen Daten anzuzeigen Als Directory kann ein vorhandener Server oder ein speziell f r Trust Authority instal lierter und konfigurierter Server dienen N here Informationen hierzu finden Sie im Abschnitt Using the SecureWay Directory With Trust Authority auf der folgenden Web Site von IBM SecureWay Trust Authority http www tivoli com support Kapitel 4 Erl uterungen 75 Objektkennungen 76 Eine Objektkennung OID Object Identifier ist ein Wert der sich von allen ahnli chen Werten unterscheidet und der einem Objekt zugeordnet ist Jede gemafs ASN 1 definierte OID bildet einen Knoten einer Baumstruktur ahnlich wie bei DIT Eine Objektkennungsbaumstruktur ist eine Baumstruktur deren
17. Die Parameter C und B schlie en sich gegensei tig aus S filename Gibt den Namen der Datei an die die Antwort f r PKCS 7 enthalt r preregistrationpath Der Pfadname der vom ausstellenden System erzeugten Vorabregistrierungsda tei P 1835 Die administrative Anschlu Nummer des CA 1835 p inhibitPolMap Der Wert des Erweiterungsfelds inhibitPolicyMapping Ist diese Option nicht vorhanden lautet der Standardwert 1 W password Das bei der Erzeugung der Vorabregistrierungsdatei eingegebene Kennwort Dienstprogramm Add RA User Mit dem Dienstprogramm Add RA User k nnen Sie der angegebenen Trust Authority Registrierungsdom ne einen administrativen RA Benutzer oder einen Registrator hinzuf gen Anmerkung Wenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der eingebettete Leerzeichen enth lt m ssen Sie den Pfad in dop pelte Anf hrungszeichen setzen Syntax add rauser domain configuration file domain name ID access profilel Parameter domain configuration file Der absolute Pfad zur Dom nenkonfigurationsdatei domain cfg Diese Datei enthalt einen Abschnitt f r fede im System konfigurierte Registrierungsdo mane Auf diese Weise k nnen Sie das virtuelle Stammverzeichnis der angege benen Registrierungsdom ne lokalisieren domain_name Der Name der Registrierungsdom ne die der hinzugef gte Registrator verwal ten soll ID Entweder die vom Browser zum Zeitpunkt d
18. Feld Beschreibung Datentyp component_type_id Die eindeutige interne smallint Kennung der Komponenten art component_desc Die NLS Zeichenfolge die varchar die Komponentenart beschreibt Trust Authority Systemverwaltung Pr fprotokolltabelle Diese Tabelle enth lt die Protokolleintrage Tabelle 28 Felder in der Pr fprotokolltabelle Feld serial_num Beschreibung Die eindeutige Serien nummer des Protokoll eintrags Datentyp smallint src_date_time Die Zeitmarke die angibt wann das Ereignis von der Quelle Pr f Client erzeugt wurde Zeitmarke cr_date_time Die Zeitmarke die angibt wann der Protokolleintrag vom Pr f Server erzeugt wurde Zeitmarke event_id source_id Die interne Ereigniskennung Dies ist ein fremder Schliissel der auf die Tabelle event_ctl verweist Die interne Kennung der Quelle die dieses Ereignis erzeugt hat Dies ist ein fremder Schl ssel der auf die Quellentabelle verweist smallint smallint component_type_id Die interne Kennung der Komponentenart der Quelle die dieses Ereignis erzeugt hat Dies ist ein fremder Schliissel der auf die Tabelle component_types verweist smallint auth_entity_id Die interne Kennung der Entitat die dieses Ereignis berechtigt hat Dies ist ein fremder Schliissel der auf die Tabelle auth_entities verweist smallint auth_role_id Die interne Kennung des Aufga
19. Gateway Eine Funktionseinheit mit deren Hilfe nicht kompatible Netze oder Anwendungen Daten austau schen k nnen Gegenseitige Zertifizierung Ein Trust Modell bei dem ein CA f r einen anderen CA ein Zertifikat aus stellt das den ffentlichen Schl ssel enth lt der dem entsprechenden privaten Unterschriftsschl ssel zugeordnet ist Ein gegenseitig zertifiziertes Zertifikat erm glicht Client Systemen oder Endentit ten in einer Verwaltungsdom ne die sichere Kommunikation mit Client Systemen oder Endentit ten in einer anderen Dom ne Gesicherte Computerbasis TCB Die Software und Hardwareelemente die zur Umsetzung der Computer sicherheitsregeln eines Unternehmens verwendet wer den Alle Elemente oder Teilelemente die zur Imple mentierung der Sicherheitsregeln eingesetzt werden k nnen sind sicherheitsrelevant und Bestandteil der TCB Bei der TCB handelt es sich um ein Objekt das durch die Sicherheitsperipherie begrenzt wird Die Mechanismen die zur praktischen Umsetzung der Sicherheitsregeln eingesetzt werden d rfen nicht umgangen werden k nnen und m ssen verhindern da Programme Zugriff auf Systemprivilegien erlangen k nnen f r die sie nicht berechtigt sind H H chster CA Der CA der innerhalb der PKI CA Hierarchie die h chste Position einnimmt HTML Hypertext Markup Language HTTP Hypertext Transaction Protocol HTTP Server Ein Server der die VVeb gest tzte Kom munikation mit Browsern und
20. H INZ ef q nsr A u 3Strssue nz Jap yezuy Iq s rn r vuo Soya pne Sunpurqs Ayuequ e i uN f3urs Inz snuru uo3 v s qq uon uuo qp pne UIN quequ lepJ nid Jap sueN 1A UIN sre dur x jnid zgGd sep urteN qA 167 S IA XT SoTeye ner ddr asn xTy MA TIA SAADAI 3oreres A oygny uN ISNIL WIT SO Wer8org 9 LN SAOPUTM nq eureutayeq 1q Soyeyeoq pne PU AH A T SSDTM ST LET yn q uz q r d umz pum uN A SAA T epynaq do s yi AA z rpsranpne Sunmuq PIIM u q uruos1 qn s s rp qo z po 33ny Suc oyoloidsruS r rq sep ef nn ue u leGq qo 3qr8ue rp Suni1 pj1e A pu dde 3oyqu A Sopsyuaaouts s8o net ddj isn XTV m a So sju A ursN VSSOTN A4rnoqiny u ssruSr rq ef ISNIL WIT SAT weIZorg 2 LN SMOpUIM MA Sunuupt zJnv mz peq uupu U So Ju A yToxoyordstustarq uonem3lyuoy yoru reqs pue sorur lqorq Wamprepurys Sunqr sy s q r urereq sHoj Isjepsuone ndyuoy JOAIOS NMd 91 99 Kapitel 5 Referenzinformationen ia pu sner s3og ner ddf asn XTV MA 119 puusner NSSo NN Ayoyny ef ISNIL WIT NS II weIZorg 2 LN SAOpurAA MA T yeps rq q Jap sweN A T r
21. Kapitel 3 Informationen zur Vorgehensweise 61 62 Trust Authority Systemverwaltung Kapitel 4 Erlauterungen Dieses Kapitel enthalt Erlauterungen zur effizienten Verwaltung des Trust Authority Systems Die Abschnitte umfassen allgemeine Sicherheitsaspekte von Trust Authority sowie Informationen zu den Trust Authority CAs Zertifikatsaus steller RAs Registrierungsstellen und zum Priifsubsystem Trust Authority Sicherheit Das IBM Trust Authority Sicherheits und Sicherungsmodell verf gt ber folgende Merkmale Trust Authority verwendet Code Unterzeichnungen um die Software abzusi chern die Operationen auf Schl sselbasis durchf hrt Trust Authority verwendet KeyStores zur Speicherung von und f r den Zugriff auf Identit tsnachweise f r Komponenten wie beispielsweise Schl ssel und Zertifikate In den Komponenten KeyStores gespeicherte Identit tsnachweise werden mit Hilfe eines Chiffrierschl ssels verschl sselt der von einem eingege benen Kennwort abgeleitet wird Zum Zwecke der Authentifizierung wird auch die Kommunikation zwischen Komponenten unterzeichnet Hierzu z hlen beispielsweise PKIX Nachrichten zwischen der RA und dem CA F r AIX Systeme bietet Trust Authority Schutz von Unterschriftsschl sseln auf der Grundlage der Hardwareeinheit IBM 4758 Zugriffssteuerungslisten Zugriffssteuerungslisten ACL Access Control Lists bieten einen Mechanismus zur Einschr nkung der Nutzung ein
22. Starten Sie das Trust Authority System Kapitel 3 Informationen zur Vorgehensvveise 21 CRL Einstellungen andern Eine Zertifikatswiderrufsliste CRL ist eine digital unterzeichnete mit Zeitmarken versehene Liste der Zertifikate die vom Zertifikatsaussteller CA widerrufen wurden In der Konfigurationsdatei des CA Servers k nnen folgende Werte gean dert werden um die Art der CRL Verwaltung zu beeinflussen Die Zeit zwischen den geplanten CRL Erstellungen Die G ltigkeitsdauer einer CRL Zeit zwischen CRL Erstellungen ndern Gehen Sie wie folgt vor um die Regeln f r Zertifikate und die gegenseitige Zertifi zierung bez glich der Intervalle zwischen geplanten Ver ffentlichungen einer CRL zu ndern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter 3 Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei jonah ca ini Informationen zum Starten und Verwenden von IniEditor finden Sie bei verwenden auf Seite 9 Windows NT finden Sie im Abschnitt Zu den Dateipositio 4 W hlen Sie den Abschnitt CertPolicy aus zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter TimeBetweenCRLs aus 5 ndern Sie im angezeigten Editierfeld die Zeit zwischen den Erstellungen neuer CRLs Der Wert wird als Intervall in Minuten m Stunden h oder Tage
23. hrend der Verbindung k nnen ferne Benutzer den Tunnel verwenden um sichere verschl sselte und gekapselte Informationen mit Ser vern im privaten Netz eines Unternehmens auszutau schen U Unbestreitbarkeit Die Verwendung eines digitalen privaten Schl ssels um zu verhindern da der Unter zeichner eines Dokuments dessen Unterzeichnung leugnet Unicode Ein 16 Bit Zeichensatz der in ISO 10646 definiert ist Der Unicodestandard f r die Verschl sse lung von Zeichen ist ein internationaler Zeichencode f r die Informationsverarbeitung Er umfa t die grund legenden weltweit verwendeten Prozeduren und bildet die Basis f r die Internationalisierung und Lokalisie rung von Software Der gesamte Quellencode in der Java Programmierungsumgebung wird in Unicode geschrieben Unternehmensproze objekte Eine Codegruppe die zur Ausf hrung einer bestimmten Registrierungsopera tion z B zum Pr fen des Registrierungsstatus oder zur Best tigung des Sendens eines ffentlichen Schl s sels verwendet wird Unternehmensproze schablone Eine Gruppe von Unternehmensproze objekten die in einer bestimmten Reihenfolge ausgef hrt werden Unterst tzung in der Landessprache NLS Unter st tzung f r unterschiedliche l nderspezifische Anga ben in einem Produkt Hierzu geh ren die Sprache die W hrung das Datums und Zeitformat und die Dar stellung von Zahlen Unterzeichnen Die Verwendung eines digitalen priva ten S
24. p qo ue 3412 gszr sn uN 004089560200 14 1 11 2774 88 32 Wal H qur m AIND dIND8SZP Ty SAL AqEHoyinyasnun ner dd usn XIV ang TSYESNAnnovqnyasniy N Arroqny pre pews ff nirA UIN 4SNIL WINSA weISOIg D LN SAOopurAA MA rp mny aureursyeq pun puJd Jaynjosqy 1tqu yor TOSTU pe md uN NIdOS Inj WoMuuUsyssuejuy Mdosfentuf uN V68ELIOV 1000 044 8 TALI ZF6EI 08I6C54Z q ynu pi anbrun eqo pm5 uN HGOVV H VMOLS 115244 ST V T dS uajapuamiaa s p HV T POV ym ISA MOIS IYNAINZ s1 urered S P H M Jop uu A U3II D1OJ3 IST Iuypsqy s s lqi DSA uN SA 101S y 19 J pu Ad A UEJUSWON 1o1ls ymo 31045433 ef SOL TTeArsjurpn ynespuag P Od vO q p UT N MUN 490H 44 os Jap ne urq sEy uteN 1SOH 1SOH IDL pam ef 0691 ypemmsqn vO woa Jnluosuy qOL 104421 hrodsuecuL va Anoumnv sng NO Aqoyny UT N 6 11 AyI O SN I VO v s rp J VA s p NA VN xpid asn XIV ma u y ulorqtg UT N NXD N LN SAODUIAA 104 XDid Sunsayoteds mz STJAOLWeA juonem3yuoy yoru reqr pug soyur lqorq uongein3ijuoyprepuejs Jeusd ya Sunqr ry s g suoJ jajepsuoyeinByuoy 19A19S VO HL 84 Trust Authority Systemverwaltung uapuljaq uut ls s u qf s Wap ne YSIS UU M D ETA Ppusmasue f d rs
25. q T3IVS1s ules UspueYIOA GIO epuseypaidsjua aula YTUYISqY AIO WI gnu usuTeUTasay u p l Inj UapIaM CIO ut aruq sqy qTo WI nw snwuy1oS esyrryssispun v p l m AotOg Wap Ayoynyysnyy ner ddi rsn xIv m a ALIOYMYISNAIL 240 Grovinyi u r yeci V UIN 4SNIL WII SOTLI wrerso1g 9 LN SAAOPULM MA Anoumny 3sniL N z myosay yyed uatayepuayeq VD Hu Sunpusmia URN ro1 1o qOeo mz uuo urure1st eq ouleN l ro si lqol PU AAT A snwuy4LIoZ y s p yemsny mz pun Sr zuy mz wap Japo QD Jap UOA PIIM SnurygLiosfesyuyssistuNn uN uond4z uqVSMUMMT eus T VHS Yur VS s p VHSUNMVSA PpuaMmIaA snuvuyuo3 y sap yemsny nz pun Sr zuv mz Wap Japo 1112 Jap UOA pip SnurygLrosfesyuuyssistun UT N TEu5 U M eSP PI T VHS Tur VSQ s p uonruyaq 9 Is Ty rg rn urur4sy1 snunurno3yesSuny ssnru sr A uN esp pI VSq s p vsd s Ty uz rn turur sy1 snuuuynoSrey ssnyq s uN uondAruyesi VSA uonrun q VSy duonem3ruoy yoru Ieqiapue soyur lqorq uongein3ijuoyprepuejs Jewsd Hay Sunqr ry s g sog 19A19S VO HL 1 Trust Authority Systemverwaltung 80 u pi A uagasasue nruq sqv qo WI AIO epueyperdsyus ur gnu
26. tzt In diesem Fall ist der CA nicht Bestandteil einer CA Hierarchie Trust Authority unterst tzt eine hierarchische Zertifizierung nur zwischen CAs die das PKIX CMP Protokoll sowie die Protokolle PKCS 7 und PKCS 10 einhalten Zertifikatserweiterungen X 509v3 Zertifikatservveiterungen bieten Methoden zur Zuordnung weiterer Attri bute zu Benutzern oder ffentlichen Schl sseln und zur Verwaltung der CA Hierarchie Das X 509v3 Format erm glicht Benutzergemeinschaften au erdem private oder allgemeine Erweiterungen zu definieren die spezifische Informationen f r diese Gemeinschaft enthalten Jede Erweiterung eines Zertifikats kann als kritisch oder unkritisch gekennzeichnet werden Ein System das Zertifikate im X 509v3 Format nutzt mu ein Zertifikat zur ckweisen wenn dieses eine kritische Erweiterung enth lt die dem System nicht bekannt ist Eine unbekannte unkritische Erweiterung kann jedoch ignoriert werden Es gibt drei Arten von Zertifikatserweiterungen Standarderweiterungen Allgemeine Erweiterungen Private Erweiterungen 64 Trust Authority Systemverwaltung Standarderweiterungen Eine Zertifikatsstandarderweiterung ist eine Erweiterung deren Bedeutung und Syntax im ITU Standard RFC 2459 definiert ist Bis auf eine sind alle diese Erweite rungen auch in X 509v3 definiert Einige von ihnen sind nur innerhalb von CA Zertifikaten definiert Trust Authority erm glicht das Hinzuf gen der meisten Standarder
27. 0 SQL authorization ID Local database alias TrustAuthority_instance adtdb Kehren Sie zum Root zurtick Wechseln Sie durch Eingabe des Befehls su zum Benutzereintrag mit Admi nistratorberechtigung des Directory Datenbankadministrators Angenommen die Standard Directory Datenbank wurde mit dem Produkt installiert Geben Sie den Befehl db2 connect to Idapdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 5 2 0 SQL authorization ID Local database alias TrustAuthority_instance Tdapdb Kehren Sie zum Root zur ck Unter Windows NT 1 2 3 Melden Sie sich bei Windows NT als Systemadministrator an Starten Sie ein DB2 Befehlsfenster Geben Sie den folgenden Befehl ein set DB2INSTANCE TrustAuthority_instance Hierbei steht TrustAuthority_instance f r die ID des Benutzers der Trust Authority installiert hat Geben Sie f r die Standard Konfigurationsdatenbank den Befehl db2 connect to cfgdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 5 2 0 SQL authorization ID TrustAuthority_instance Local database alias cfgdb Geben Sie ftir die Standard CA Datenbank den Befehl db2 connect to ibmdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 5 2 0 SQL authorization ID TrustAuthority_instance Local database alias ibmdb Geben Sie f
28. Adresse comment tcvm vnet ibm com Name Adresse Firma oder Organisation Rufnummer E Mail Adresse Antwort SH12 2979 01 IBM Deutschland Informationssysteme GmbH SW NLS Center 70548 Stuttgart SH12 2979 01 Programmnummer 5648 D09 Printed in Denmark SH12 2979 01
29. Befehl kill stoppen Nachfolgend sind Beispiele f r die Verwendung dieser Befehle sovvie Beispiele f r Ausgabedaten aufgef hrt ps ef grep irgAutoCA root 18886 1 Oct 24 76 34 usr Ipp iau bin irgAutoCa usr 1pp iau etc TrustAuthority irgAutoCA ini cfguser 23316 32400 2 11 58 20 pts 4 0 00 grep irgAutoCA kill 18886 ps ef grep irgrasvr root 23526 1 12 Oct 24 207 46 usr 1pp 1au bin irgrasvr c usr pp iau pkrf etc domain cfg d YourDomain cfguser 26016 12488 3 11 57 16 pts 0 0 00 grep irgrasvr kill 23526 Durch das Stoppen von Trust Authority werden die Web Server Programme unter AIX normalerweise automatisch gestoppt Ist dies nicht der Fall k nnen Sie den Befehl verwenden um die Proze ID des f r die jeweilige Dom ne zu stoppenden Exemplars festzustellen und dieses Exemplar anschlie end mit dem Befehl kill stoppen Beispiel ps ef grep OutOfProc grep YourDomain kill Proze ID Durch das Starten und Stoppen von Trust Authority wird auch der Directory Server automatisch gestartet bzw gestoppt Wenn das Directory nicht automa tisch gestartet bzw gestoppt werden soll m ssen Sie den Abschnitt AutoStopN der Datei TrustAuthControl cfg editieren um den Eintrag f r die Directory Komponente zu entfernen Richtlinien zur Verwendung unter Windows NT Die Richtlinien zum Starten und Stoppen des Systems unter Windows NT sehen folgenderma en aus Durch das Stoppen von T
30. Datenbank tabellen die zur Speicherung von Pr fereignissen verwendet werden Das Pr f protokoll enth lt pro Pr fereignis einen Protokolleintrag Sie k nnen folgende Konfigurationsparameter ndern Die Anzahl der zul ssigen Versuche zur Herstellung einer Verbindung mit der Pr fprotokolldatenbank Die Anzahl der zul ssigen Versuche zur Aktualisierung der Pr fprotokolldaten bank Den zul ssigen Zeitlimit berschreitungswert in Sekunden zur Aktualisierung des Pr fprotokolls Gehen Sie wie folgt vor um die Einstellungen f r das Protokollieren von Pr f ereignissen zu ndern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter 3 Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei AuditS erver ini Informationen zum Starten und Verwenden von niFditor finden Sie 50 Trust Authority Systemverwaltung Windows NT finden Sie im Abschnitt n zu den Dateipositionen 4 Wahlen Sie den Abschnitt Audit aus und zeigen Sie die zugeh rigen Unterab schnitte an Weitere Schritte Gehen Sie wie folgt vor um die Anzahl der zul ssigen Versuche zur Herstel lung einer Verbindung mit der Pr fprotokolldatenbank zu ndern a W hlen Sie den Parameter audit log connect retries aus b ndern Sie im angezeigten Editierfeld den Wert des Parameters Sie m ssen einen Integer Wert e
31. Dom nenkonfigurationsdatei Anmerkung VVenn Sie als Parameter eines Befehls einen Verzeichnis pfad angeben der eingebettete Leerzeichen enthalt m ssen Sie den Pfad in doppelte Anf hrungszeichen setzen YourDomain ist die Standard Registrierungsdom ne Trust Authority Systemverwaltung aBcXyZ ist entweder ein Beispiel einer Anforderungs ID oder einer Identit tsnachweis UUID RAUser ist das wahlfreie Zugriffsprofil Nach der Ausf hrung des Befehls wird eine Erfolgs oder Fehlernachricht angezeigt Verschl sselung f r die RA Datenbank aktivieren Standardm ig werden Informationen in der Registrierungsfunktion Datenbank nicht verschl sselt Nach der Konfiguration des Trust Authority Systems k nnen Sie die Datenbankverschl sselung durch Ausf hren des Programms iauEnable RADBSec aktivieren Wenn Sie iauEnableRADBSec ausf hren untersucht das Programm die Datei raconfig cfg um festzustellen ob die Datenbankverschl sse lung bereits eingeschaltet ist Falls nicht wird die Verschl sselung vom Programm jauEnableRADBSec aktiviert Ist die Aktivierung bereits erfolgt gibt das Pro gramm eine Nachricht aus und wird beendet Das Programm iauEnableRADBSec aktualisiert die RADATABASE und afservice RADB Eintrage in der Datei racon fig cfg mit den generierten Chiffrierschl sseln Anschlie end werden die Werte f r diese Eintr ge verschl sselt und Base 64 codiert Anmerk
32. G ltigkeitspr fung des vom Benutzer vorgelegten Zertifikats beide Unter schriften gepriift Glossar 139 Verschliisseln Das Umordnen von Informationen so da nur Personen die ber den richtigen Entschl sse lungscode verf gen die urspr nglichen Informationen durch Entschl sselung abrufen k nnen Verschl sselt Die Eigenschaft von Daten die nach einem bestimmten System umgesetzt wurden um deren Bedeutung unkenntlich zu machen Verschl sselung Entschl sselung Die Verwendung des ffentlichen Schl ssels des gew nschten Empf n gers zum Verschl sseln von Daten f r diese Person Der Empf nger verwendet anschlie end den privaten Schl ssel seines Schl sselpaares um die Daten zu entschl sseln Vertrauensdom ne Eine Gruppe von Entit ten deren Zertifikate vom gleichen CA zertifiziert wurden Vertraulichkeit Die Wahrung der Geheimhaltung bestimmter Informationen gegen ber nicht berechtigten Personen Vertraulichkeit Der Schutz von Daten gegen den Zugriff nicht berechtigter Personen Virtual Private Network VPN Ein privates Daten netz das ferne Verbindungen nicht ber Telefon leitungen sondern ber das Internet herstellt Da der Zugriff der Benutzer auf die Netzressourcen eines Unternehmens nicht ber eine Telefongesellschaft sondern ber einen Internet Service Provider ISP erfolgt k nnen diese durch den Einsatz von VPN deutliche Einsparungen bei Fernzugriffen erzielen Ein VPN erh ht a
33. Je gr er der Modulus desto h her die Sicherheit Die momentan von den RSA Laboratories empfohlenen Schl sselgr en h ngen vom geplanten Einsatz des Schl ssels ab Hierbei werden 768 Bit f r Schl ssel zum pers nlichen Gebrauch 1024 Bit f r den Unternehmensbereich und 2048 Bit f r extrem wertvolle Schl ssel wie z B CA Schl sselpaare angegeben Ein 768 Bit Schl ssel wird voraussichtlich bis mindestens zum Jahr 2004 sicher sein Multipurpose Internet Mail Extensions MIME Eine frei verf gbare Gruppe von Spezifikationen die den Austausch von Text in Sprachen mit unterschiedlichen Zeichens tzen erm glicht Diese Spezifikationen unter st tzen auch den Austausch von Multimedia E Mail zwischen unterschiedlichen Computersystemen die Internet Mail Standards verwenden So k nnen E Mail Nachrichten beispielsweise andere Zeichens tze als den US ASCII Satz sowie erweiterten Text Bilder oder Ton daten enthalten N Nachrichtenauszug Eine irreversible Funktion bei der auf der Basis einer Nachricht beliebiger L nge eine Datenmenge mit fester L nge generiert wird Bei MD5 handelt es sich z B um einen Nachrichtenauszugs algorithmus Nachrichtenauthentifizierungscode MAC Ein gehei mer Schl ssel der von Sender und Empf nger gemein sam benutzt wird Der Sender authentifiziert sich und der Empf nger pr ft die hierbei zur Verf gung gestell ten Daten Bei Trust Authority werden MAC Schl ssel f r CA und Pr f
34. ND Guoymy uN ISNIL NO v vr ur un AUI O SN I FAU Jap ureN s r nnsiS y aureNAW FOTU 61 8 s ur 121104 14 rp uuey ANON H M n uj piojue SJEJYI Z IYI S UI unu rp uuey ITAS H M Jap 618 u 3trq r q s ur PUJ rp uuey ANY H M uuey UISPIOJUE seyg s ur PMII PIM uN ANV 1eluq lu r O ut qo ue 1412 sjsanbayayorayy qq duonemn3rnuoy weu eqiapue sorur lqosq uonermn3ruosprepue3s 8 8 190 jarepsuojjesnbyuoy 1 GL 4 93 Kapitel 5 Referenzinformationen puls Z ssenz uaqesuesumnjyeq u ny ninz uN d u qo ue 3412 S PNJ DMM Of y puts Srsse nz uN g yeyund z u pne 3qe qo ue 1412 puls rsseynz u qeSuesum1eGq uN 4 ua8yyunynz U STAD qo ue 3412 puls Sisse nz uN Hd STAD u yner 3qe qo ue 3412 sTyOpandxgmorry U HOS u pI m J pu Ad A sassazoidjnig s p uN L TPL se STAV pun STAD qo ue 1410 STM ST Konon TU SNL 293 urewoq mor surewog j
35. Pr fadministrator 5 Steuerprogramm 5 Klonen des IBM SecureWay 4758 PCI Cryptographic Coprocessor 12 Kommunikation gesicherte 1 Komponenten Trust Authority CA Server 20 IBM HTTP Server 17 IBM SecureWay 4758 PCI Cryptogra phic Coprocessor 61 IBM SecureVVay Directory 59 Pr f Server 42 RA Server 33 Starten des Servers 7 Stoppen des Servers 7 VVebSphere Application Server 16 Konfigurationsdatei 10 77 Konfigurationsdateien andern 9 AuditClient ini 101 AuditServer ini 97 CA Server 78 jonahca ini 78 jonahra ini 87 Priif Client 101 Pr f Server 97 RA Server 87 L LDAP Lightweight Directory Access Protocol 59 MAC Schl ssel 69 N Nachrichten PKIX 63 Nachrichtenauthentifizierungscode MAC 64 Name des Zertifikatsgegenstands Erwei terung 65 Namenseinschrankungen Erweite rung 31 65 Nutzungsbericht 13 144 Trust Authority Systemverwaltung Nutzungszeitraum f r privaten Schliissel Ervveiterung 65 O Objektkennungen OID 76 P PKIX Nachrichten 63 Private Erweiterungen 67 Protokolle CA Server 32 DB2 59 Directory Server 61 Ereignis 50 Fehler 52 HTTP Server 19 Pr f Server 56 Pr fsubsystem 52 Pr fung 49 50 RA Server 39 Trace 51 VVebSphere Application Server 16 Pr fadministratorkennvvort 5 Pr fen der Protokolle des HTTP Ser vers 19 Pr fereignis 110 Ereignisse f r Pr fadministrato ren 72 Masken 72 RA 72 Sehl sselvervvaltung 72 sicherheitsrelevant 72 ve
36. Pr fereignisse sind S tze die die Bedeutung einer sicherheits relevanten Task angeben Der Pr f Server empf ngt Pr fereignisse von autorisier ten Clients und schreibt diese Ereignisse in ein integrit tsgesch tztes Pr fprotokoll Trust Authority Pr fereignisse werden in folgende Kategorien unterteilt Schl sselverwaltungsereignisse Ereignisse im Zusammenhang mit der sicheren Verwaltung von Schl sseln um Benutzern Schl ssel am gew nschten Ort und zur gew nschten Zeit bereitstellen zu k nnen Zertifikatsverwaltungsereignisse Ereignisse die sich aus der Verwaltung digitaler Zertifikate und aus der Pflege von Informationen zu Zertifikaten und CRLs im Directory ergeben Sicherheitsrelevante Ereignisse Ereignisse die sich aus der Ausf hrung sicherheitsrelevanter Tasks ergeben Hierzu z hlen beispielsweise Integrit tspr fungen Authentifizierungen und Zertifikatspr fungen Ereignisse f r Pr fadministratoren Diese Ereignisse ergeben sich aus Aktionen die mit den Aufgaben von Pr fad ministratoren zusammenh ngen Die Aufgaben eines Pr fadministrators umfas sen die Implementierung der Sicherheitsregeln Ihres Unternehmens RA Ereignisse Ereignisse die sich aus den Aktionen einer RA ergeben N here Informationen zu Pr fereignissen finden Sie im Abschnitt Felder f 72 Trust Authority Systemverwaltung Masken fur Prufereignisse In Trust Authority bieten Masken f r Pr fereignisse Unt
37. Program Files IBM Trust Authority etc TrustAuthority AuditServer ini a c Program Files IBM Trust Authority arc archivel_meine datei 2 Wenn das System Sie zur Eingabe eines Kennworts KeyStore PIN auffor dert geben Sie das Kennwort des Pr fadministrators ein Dieser Befehl pr ft alle Dateien mit dem Pfadpr fix Program Files IBM Trust Authority arc archivel_my file und den Erweiterungen ixf 54 Trust Authority Systemverwaltung und sig Die Erweiterung ixf kennzeichnet Dateien im von DB2 generierten Exportformat Die Erweiterung sig kennzeichnet eine vom Prtifsubsystem generierte Unterschriftsdatei Die exportierten Dateien werden also unter zeichnet und die Unterschrift wird in der Datei mit der Erweiterung sig gespeichert Gehen Sie wie folgt vor um alle Archivierungsdateien in einem bestimmten Verzeichnis zu pr fen in diesem Fall c Program Files IBM Trust Authority arc 1 Geben Sie an der DOS Eingabeaufforderung in diesem Fall c folgenden Befehl ein AuditIntegrityCheck c c Program Files IBM Trust Authority etc TrustAuthority AuditServer ini A c Program Files IBM Trust Authority arc 2 Wenn das System Sie zur Eingabe eines Kennworts KeyStore PIN auffor dert geben Sie das Kennwort des Pr fadministrators ein Dieser Befehl pr ft im angegebenen Verzeichnis alle Dateien einschlie lich der Dateien mit den Erweiterungen ixf und sig Informationen zur Befehlssyntax und Parameterbeschreibung
38. Sie im Abschnitt Ist die Antwort des gepr ften Anschlusses erfolgreich wird folgende Nach richt angezeigt Port Port on Server is bound Hierbei steht Port f r den gepr ften Anschlu und Server f r den Namen des entsprechenden Servers e Unter Windows NT 1 2 Melden Sie sich bei Windows NT als Systemadministrator an Starten Sie den Task Manager durch Dr cken der Tastenkombination Strg Alt und Entf W hlen Sie die Registerkarte Prozesse aus Suchen Sie nach zwei Exemplaren des Prozesses Apache exe Sind diese zwei Prozesse vorhanden fahren Sie mit Schritt H fort Sind diese beiden Prozesse nicht vorhanden lesen Sie bitte im Abschnitt Wechseln Sie an Dieses Verzeichnis hat folgenden Standardpfad c Program Files IBM Trust Authority bin Pr fen Sie die Anschl sse indem Sie f r jeden Anschlu folgenden Befehl eingeben checkSrvPortStatus p Port s Server r1 ul Hierbei steht Port f r die Nummer des zu pr fenden Anschlusses und Server fiir den Namen des zugeordneten HTTP Servers Eine Ubersicht der standardm igen HTTP Server und_Anschlufs Konfigurationen von Trust Authority finden Sie im Abschnitt Tabelle 13 auf Seite 7A Ist die Antwort des gepr ften Anschlusses erfolgreich wird folgende Nach richt angezeigt Port Port on Server is bound Hierbei steht Port f r den gepr ften Anschlu und Server f r den Namen des entsprechenden Servers Trust A
39. Stamm den ITU Empfehlungen X 680 entspricht Die Scheitelpunkte entsprechen Administra torberechtigungen f r die Zuordnung von B gen Segmenten die zwei Scheitel punkte verbinden von diesem Scheitelpunkt ein Punkt der sich am Ende eines Bogens oder am Schnittpunkt von B gen befinden kann Jeder Bogen in der Baumstruktur ist durch eine Objektkennungskomponente ein numerischer Wert gekennzeichnet Jedes zu unterzeichnende Objekt ist genau einem Scheitelpunkt in der Regel ein Blatt des Baums zugeordnet Kein anderes Objekt der gleichen oder einer anderen Art wird diesem Scheitelpunkt zugeordnet Aus diesem Grund wird ein Objekt eindeutig durch die Reihenfolge der numerischen Werte Objektkennungskomponenten der B gen vom Stamm bis zum Scheitelpunkt des Objekts unterzeichnet Direkt unterhalb des Stamms werden derzeit drei Werte definiert Sie lauten 0 1 und 2 0 wird CCITT Empfehlungen zugewiesen 1 wird ISO Empfehlungen zugewiesen 2 wird beiden Unternehmen gemeinsam zugewiesen So fallen beispielsweise alle OIDs die f r den Directory Standard definiert sind unter die gemeinsame CCITT ISO Kategorie 2 und werden der Objektkennungs komponente 5 zugeordnet Aus diesem Grund beginnen alle OIDs f r Directory Standardobjekte mit dem Pr fix 2 5 Trust Authority Systemverwaltung Kapitel 5 Referenzinformationen Dieses Kapitel enth lt Referenzinformationen zu folgenden Themen Konfigurationsdateien Inf
40. anderen Programmen im Netz steuert Hypertext Textsegmente die einzelne oder mehrere Worter umfassen oder Bilder enthalten auf die der Leser mit der Maus klicken kann um ein anderes Dokument aufzurufen und anzuzeigen Diese Textseg mente werden als Hyperlinks bezeichnet Ruft der Leser diese anderen Dokumente auf stellt er zu diesen eine Hyperlink Verbindung her Hypertext Markup Language HTML Eine Formatie rungssprache fiir das Codieren von Web Seiten HTML basiert auf SGML Standard Generalized Markup Lan guage Hypertext Transaction Protocol HTTP Ein Client Server Protokoll fiir das Internet mit dem Hypertext Dateien im Web bertragen werden ICL Issued Certificate List Liste der ausgestellten Zertifikate Identit tsnachweis Vertrauliche Informationen die verwendet werden um beim Austausch von Daten w hrend der Authentifizierung die eigene Identit t zu belegen In Network Computing Umgebungen ist die am h ufigsten verwendete Form des Identit tsnach weises ein Zertifikat das von einem CA erstellt und unterzeichnet wurde IniEditor Bei Trust Authority ein Tool mit dem Konfi gurationsdateien editiert werden k nnen Integrit t Ein System sch tzt seine Datenintegritat wenn es die nderung dieser Daten durch nicht berechtigte Personen verhindert Im Gegensatz hierzu versteht man unter dem Schutz der Vertraulichkeit von Daten wenn verhindert wird da diese unberechtigten Personen zug ngli
41. anzeigen Sie k nnen sich die Protokolleintr ge in der DB2 Priifdatenbank mit Hilfe von zwei Trust Authority Sichten anzeigen lassen Diese Datenbanksichten zeigen alle derzeit in der Datenbank gespeicherten Protokolleintr ge an Die Protokolleintr ge werden in der Datenbanktabelle audit_log gespeichert Bei den meisten Spalten dieser Tabelle handelt es sich um kurze Integer Codes die auf andere Tabellen verweisen Diese anderen Tabellen enthalten die vollst ndige Beschreibung oder die Namen der Felder des Protokolleintrags Diese Felder entsprechen in der Datenbank den Spalten einer Tabelle Informationen zu Feldnamen und Beschrei bungen aller Tabellen im Pr fdatenbankschema finden Sie im Abschnitt Folgende Sichten sind verf gbar viewar Dies ist die grundlegende Sicht die den Zugriff auf alle Textbeschreibungen ungek rzt erm glicht viewar_t Diese Sicht entspricht der Sicht viewar die Textspalten werden jedoch nach 40 Zeichen abgeschnitten Anmerkung Wenn Sie die Datenbank viewar_t unter Windows NT ber die Schnittstelle der DB2 Steuerzentrale abfragen wird aufgrund des Abschneidens beim Ausw hlen der Option f r den Beispielinhalt eine leere Ausgabe angezeigt Die in diesem Abschnitt dokumen tierte Prozedur bietet eine M glichkeit dieses Problem zu umge hen Die Sichten verf gen ber die im Abschnitt Tabelle 8 auf Seite 44 erl uterten Spaltennamen Kapitel 3 Informationen zur Vorgehens
42. den gleichen Regeln wie die Option d sofern er keine IP Adresse enth lt In die sem Fall wird er als exakte bereinstimmung behandelt n directoryName N directoryName Der Directory Name Der kleingeschriebene Parameter n f gt das angege bene Directory der Liste zul ssiger Unterverzeichnisstrukturen hinzu Der gro geschriebene Parameter N entspricht dem kleingeschriebenen Parameter Das angegebene Directory wird jedoch der Liste unzul ssiger Unterverzeichnis strukturen hinzugef gt Diese Namen m ssen im LDAP Standardformat angegeben werden Namen die dem Ende der angegebenen RDNs Relative Distinguished Names entspre chen gelten als exakte bereinstimmung auch wenn andere RDNs vorhanden sind Anmerkung Wenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der eingebettete Leerzeichen enth lt m ssen Sie den Pfad in doppelte Anf hrungszeichen setzen 104 Trust Authority Systemverwaltung h Gibt an da die Zertifikatsanforderung das hierarchische Sicherungsmodell verwendet m Gibt an da die Erweiterung f r Namenseinschr nkungen Name Constraints aus dem Zertifikat ausgeschlossen wird C filename Gibt den Namen der Datei an in die die bin rcodierte Anforderung PKCS 10 geschrieben wird Die Parameter C und B schliefsen sich gegenseitig aus B filename Gibt den Namen der Datei an in die die Base 64 bin rcodierte Anforderung PKCS 10 geschrieben wird
43. eine interaktive DB2 Befehlszeilensitzung Anmerkung Wenn Sie Windows NT ausf hren hat eine vvahrend des Installa tionsabschlusses definierte Variable der Zeichenumsetztabelle m glicherweise dazu gef hrt da in den char und varchar Spalten im DB2 Befehlsfenster unleserliche Zeichen angezeigt werden Um dies zu beheben geben Sie vor der Eingabe von DB2 SQL Anvveisungen die folgenden Befehle ein set DB2CODEPAGE db2 terminate Starten Sie die DB2 Sitzung anschlie end erneut 3 Geben Sie an der DB2 Befehlszeile den folgenden Befehl ein um eine Verbin dung zur Pr fdatenbank herzustellen connect to Name_Ihrer_Pr fdatenbank Geben Sie beispielsweise f r die Datenbank namens adtdb folgenden Befehl ein connect to adtdb 4 Fragen Sie die Datenbank wie nachfolgend beschrieben mit Hilfe einer Trust Authority Sicht ab Geben Sie f r eine Abfrage mit der Sicht viewvar folgenden Befehl ein select from viewvar Geben Sie f r eine Abfrage mit der Sicht viewvar_t folgenden Befehl ein select from viewvar_t Das System zeigt f r alle Eintr ge der Pr fdatenbank die im Abschnitt belle 8 auf Seite 44 beschriebenen Spalten an 5 Verwenden Sie zum Filtern der Sicht f r die Protokolleintr ge die SQL Klausel where Geben Sie beispielsweise folgenden Befehl ein um Eintr ge auf einen bestimmten Datumsbereich zu beschr nken select from viewar where sourcetime between 1999 07 01 08 00 00 and 1999 07 02 0
44. eines bestimmten Zugriffs auf einen Trust Authority KeyStore fehlgeschlagen ist verbindlich Aktionen des Sicherheitsbeauftragten SOAdd Gibt an da dem System ein Pr fadministrator hinzugef gt wurde verbindlich SODelete Gibt an da ein Pr fadministrator vom System entfernt wurde verbindlich AudEventMaskChange Gibt an da die Maske ge ndert wurde die die Gruppe von Pr fereignissen definiert die ein Client an den Server senden kann verbindlich CACrossCertRequest Gibt an da ein Zertifikat eines gegenseitig zertifizierten CA angefordert wurde verbindlich CAHierarchicalCertReq Gibt an da ein Zertifikat eines hierarchisch zertifizierten CA angefordert wurde verbindlich Kapitel 5 Referenzinformationen 111 Tabelle 19 Pr fereignisse Forts Ereignis SubmitRevocationRequest RequestSetRenewable Beschreibung Gibt an da ein Registrator RA Administrator eine Widerrufsanforderung bergeben hat Gibt an da ein Registrator angefordert hat ein Zertifikat mit dem Status erneuerbar zu definieren Verbindlich oder wahlfrei vvahlfrei verbindlich RequestSetNonRenevvable Gibt an da ein Registrator angefordert hat ein Zertifikat mit dem Status nicht erneuer bar zu definieren verbindlich RequestPend Gibt an da ein Registrator angefordert hat eine Identit tsnachweisanforderung in de
45. gerade zugegriffen wird Mit anderen Worten Der CA pr ft lediglich diejenigen Eintr ge die bei Erstellung der CRL ausgew hlt sind demnach also den Status revoked widerrufen haben Daher werden die meisten der ICL Eintr ge w hrend des normalen Trust Authority CA Betriebs nicht auf ihre Integrit t hin gepr ft Wenn Sie die Integrit t der gesamten CA Datenbank pr fen wollen m ssen Sie das Tool zur CA Integrit tspr fung verwenden Dieses ausf hrbare Programm liest alle Eintr ge in der ICL und f hrt f r sie entsprechende Integrit tspr fungen durch Das Programm ndert zwar nicht den Schutzschl ssel doch ist es dennoch erforderlich den CA w hrend der Ausf hrung des Programms herunterzufahren Um die Integrit t der CA Server Datenbank zu pr fen gehen Sie folgenderma en vor 1 Wechseln Sie zu der Maschine auf der der CA Server installiert ist 2 Stoppen Sie das Trust Authority System mit Hilfe der unter Server 2 a eite T beschriebenen Prozedur 3 F hren Sie das Tool zur Pr fung der Integrit t der CA Datenbank aus indem Sie in der Trust Authority Befehlszeile folgenden Befehl eingeben der den entsprechenden Trust Authority Installationspfad enth lt Beispiel 24 Trust Authority Systemverwaltung Unter AIX wenn Sie den Standardinstallationspfad von Trust Authority verwenden CAIntegrityCheck in usr 1pp 1au bin Unter Windows NT wenn Sie den Standardinstallationspfad von Trust Aut h
46. geschrieben wurde Zertifikatsverwaltung CertGeneration Gibt an da ein Zertifikat generiert wurde verbindlich CertRevocation Gibt an da ein Zertifikat widerrufen verbindlich wurde CertRenewal Gibt an da ein Zertifikat erneuert wurde verbindlich CertSuspension Gibt an da ein Zertifikat tempor r verbindlich ausgesetzt wurde CertResumption Gibt an da ein zuvor ausgesetztes verbindlich Zertifikat aktiviert wurde CRLQuery Gibt an da die Zertifikatswiderrufsliste wahlfrei CRL gelesen wurde CRLUpdate Gibt an da die Zertifikatswiderrufsliste verbindlich CRL aktualisiert wurde SubmitCertRequest Gibt an da eine Zertifikatsanforderung wahlfrei bergeben wurde Enrollment Gibt an da eine RA eine Registrierung bei verbindlich einem CA angefordert hat Unenrollment Gibt an da eine RA das Aufheben einer verbindlich Registrierung bei einem CA angefordert hat CertDeletion Gibt an da der CA ein Zertifikat aus der wahlfrei Zertifikatsdatenbank gel scht hat Sicherheitsrelevant SuccessfulAuthWithPassword Gibt an da ein Authentifizierungsversuch verbindlich mit Hilfe eines Kennworts erfolgreich war Trust Authority Systemverwaltung Tabelle 19 Pr fereignisse Forts Ereignis UnsuccessAuthWithPassword SuccessfulAuthWithCert Beschreibung Gibt an da ein Authentifizierungsversuch mit Hilfe eines Kennworts fehlgeschlagen ist Gibt an da ein Authentifizierungsversuch mit
47. l t sich der Absender also zweifelsfrei feststellen Die Unterschrift kann nur mit Hilfe des Schl ssels des Absenders erstellt werden Au erdem erm glicht sie die Absicherung des Inhalts der unterzeichneten Nachricht da die verschl sselte Nachrichtenzusammenfassung mit dem Nachrichten inhalt bereinstimmen mu Andernfalls wird die Unterschrift nicht als g ltig identifiziert Eine digitale Unterschrift kann also nicht von einer Nachricht kopiert und f r eine andere Nachricht verwendet wer den da sonst die Zusammenfassung Hash Code nicht bereinstimmen w rde Alle nderungen an der unter zeichneten Nachricht f hren automatisch zum Verlust der G ltigkeit der Unterschrift Digitale Zertifizierung Siehe Zertifizierung Digitales Zertifikat Ein elektronischer Identit tsnach weis der von einer zuverl ssigen Stelle f r eine Person oder Entit t ausgestellt wird Jedes Zertifikat ist mit dem privaten Schl ssel des CAs unterzeichnet Es b rgt f r die Identit t einer Person eines Unternehmens oder einer Organisation Abh ngig vom Aufgabenbereich des CAs kann das Zertifikat die Berechtigung seines Inhabers best tigen e Business Transaktionen ber das Internet auszuf h ren In gewisser Weise hat ein digitales Zertifikat eine hnliche Funktion wie ein F hrerschein oder ein Meisterbrief Es best tigt da der Inhaber des entspre chenden privaten Schl ssels berechtigt ist bestimmte e Business Aktivit ten a
48. lung verwendet werden kann Siehe auch Symmetrische Verschltisselung 7 TCP IP Transmission Control Protocol Internet Proto col TP Trust Policy Sicherungsregel Transaktions ID Eine Kennung die die RA als Ant wort auf eine Anforderung ftir eine Vorabregistrierung zur Verf gung stellt Mit dieser ID kann ein Benutzer der die Client Anwendung von Trust Authority aus f hrt ein vorab genehmigtes Zertifikat erhalten Transmission Control Protocol Internet Protocol TCP IP Eine Gruppe von bertragungsprotokollen die Peer zu Peer Konnektivit tsfunktionen f r lokale Netze LANs und Weitverkehrsnetze WANs unter st tzen Triple DES Ein symmetrischer Algorithmus bei dem der unverschl sselte Text dreimal verschl sselt wird Obwohl f r diese Mehrfachverschl sselung zahlreiche Methoden existieren stellt die Triple DES Verschl sselung die auf drei verschiedenen Schl sseln basiert das sicherste dieser Verfahren dar Trust Authority Eine integrierte IBM SecureWay Sicherheitsl sung die die Ausstellung Erneuerung und den Widerruf digitaler Zertifikate unterst tzt Diese Zertifikate k nnen f r eine breite Palette von Internet Anwendungen eingesetzt werden und bieten eine M glichkeit zur Authentifizierung von Benutzern und zur Gew hrleistung einer gesicherten Kommunikation Tunnel In der VPN Technologie eine virtuelle Punkt zu Punkt Verbindung die auf Anfrage ber das Inter net hergestellt wird W
49. onspfad den Namen der Vorabregistrierungsdatei und das Systemkennwort von Trust Authority verwendet Beispiel Ein Exemplar eines solchen Befehls k nnte folgenderma en aussehen CaCertRq m h r c Program Files IBM Trust Authority ccprereg reg P 1835 W Secure99 Kapitel 3 Informationen zur Vorgehensweise 31 CA Server Protokolle prufen Die Protokolle des CA Servers zeichnen alle Transaktionen mit dem CA Server auf Sie k nnen die Protokolle des CA Servers an den nachfolgend beschriebenen Posi tionen pr fen Tabelle 6 Protokolle des CA Servers ATX Standardpfad VVindovvs NT Standardpfad Beschreibung usr lpp iau etc TrustAuthority c Program Files IBM Trust Fur Protokolldateinamen gilt der Authority etc TrustAuthority Stamm caSS log F r jede neue Protokolldatei wird die Erweiterung xnnnnnn inkrementell erh ht CA Server Status pr fen Je nach Umgebung k nnen Sie den Status des CA Servers mit folgenden Prozedu ren pr fen Unter AIX 1 Melden Sie sich bei AIX als Root an 2 Pr fen Sie die Prozefstabellen und suchen Sie nach folgender Zeichenfolge irgAutoCa Finden Sie diesen Proze fahren Sie mit Schritt B fort Finden Sie diesen Proze nicht lesen Sie bitte im Abschnitt nach 3 Wechseln Sie in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standardpfad usr 1pp 1au bin 4 Pr fen Sie ob Anschlu 1835 erfolgreich antwortet indem Sie folgenden Befehl einge
50. pu yp dszu urg snuru1o3e UT N uond4rouqVSYUTMT eus SYLIYISISNU N v s s p uonrurj q 3 V3IS AdT O 119985017 ef PZ roneps aystyN5 TWO PT TAD u jue d 3 uayosimz p zpIepues STYQuUsemMyog T st z4oroq ny uN Tuy xeput 3soure oy dyy Sunstamuy rp s un ss rpy Tin SdO uonemSuuoy yoru reqs pue sour qoid uongein3ijuoyprepuejs Feusd II Sunqr ry s g suoJ 19 409 HL 1 82 Trust Authority Systemverwaltung Aznovmyasnir ner ddi rsn xIv m a Ayoynyysng V qrroyyny uate eq UIN JSNIL WII SOTLI urerSoirdN 3 LN SMOpuIM m 8 nz pejd syyunds8unqieyie u pu 3en uN PHIeNIESIATID N nzur sep ur s p ureN oweNISIGTYO ef 0 pyunds3unrr yn A ord 0 sr j rques8un ssnTuosi A s p uN STATOIEFO00 2098 OPIT ZAZ 09T208Pp z pnu pi nbrun 4reqoro AIND 210 uN I Val prepurs Aq Vo Aoumyv snieN UT N snry n o v vurq ur un TUJ O SN D PRHA s p NA oure NAW pz z neps y3nn9 T2 uonemu Tao u 3unuq
51. rung f r einen CA erfolgt Achten Sie beim Ausf llen des Registrierungsformulars darauf einen regi strierten Namen DN einzugeben der mit dem des anfordernden CA ber einstimmt b Pr fen Sie den Status der Registrierungsanforderung c Befolgen Sie die Anvveisung am Ende des Abschnitts um die Vorabregistrie rungsdatei zu speichern 2 Ubertragen Sie die Vorabregistrierungsdatei auf die Maschine auf der sich der anfordernde CA der Hierarchie befindet 3 Melden Sie sich bei Trust Authority als der Benutzer an der das System auf der Maschine installiert hat auf der sich der anfordernde CA befindet 4 F hren Sie den Befehl CaCertRq aus und zwar unter AIX ber die Befehlszeile und unter Windows NT ber die DOS Eingabeaufforderung Stellen Sie bei Ausf hrung des Befehls CaCertRq sicher da Sie den absoluten Pfad und den Namen der Vorabregistrierungsdatei eingeben Informationen zur Befehlssyntax und Parameterbeschreibungen finden Sie im Abschnitt Anmerkung Wenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der eingebettete Leerzeichen enth lt m ssen Sie den Pfad in doppelte Anf hrungszeichen setzen F r den Befehl CaCertRq beispielsweise w rden Sie den Parameter r vorabregi strierungspfad mit eingebetteten Leerzeichen folgenderma en angeben CaCertRq d companyA com h r c Program Files IBM Trust Auhority ccprereg reg P 1835 W Secure99 IP Adre maske angeben Sie k nne
52. service default count Die Anzahl der Standardservices service default x name Der Name eines Standardservices Trace Stufen Es existieren folgende Trace Stufen All Protokollierung von Fehler Warnungs Informations und Trace Nachrichten Error Protokollierung von Fehlernachrichten Warning Protokollierung von Fehlernachrichten und Warnungen Eventinfo Protokollierung von Fehler und Trace Nachrichten None Keine Protokollierung von Nachrichten Kapitel 5 Referenzinformationen 97 WN Juov sju s us T yepsuonern3ruoysruer r rq z ruo u A pursari uonem3uuoystuSr 1q uN upne SSITAIISPIEPULIG ureN A uN Sor S TAZ SpTEpUU3 Jaq UTEU T MLJ p IAS S TAT S umN z prepueIg sz req ny A yezuy li SadlAJasynig uT N WS Hpne saciAsas uoulsep NUZUIS S BIr uqr wo q S r qe r qf ureuu sseTi orodp z TAT S uN WS H pne sooras uowe p JULZUIS SZITULgTUIOH S MAI SMA J sap sureuuassepy 13q UIPUSSET Z TAT S uN SadTAIasJnig sap IWLN PA IAS uN AdTTO FAIBATAQ BOTS BOT soros uowep NUSUIS S B
53. stabe steht f r die Aufnahme in die Liste zul ssiger Unterverzeichnisstrukturen Ein grofgeschriebener Buchstabe steht f r die Aufnahme in die Liste nicht zul ssi ger Unterverzeichnisstrukturen In der Regel werden nicht zul ssige Unter verzeichnisstrukturen nur f r einen Adre typ angegeben f r den auch eine Liste zul ssiger Unterverzeichnisstrukturen existiert Die nachfolgenden Abschnitte erl utern anhand von Beispielen die Schritte die zum Erhalt eines CA Zertifikats mit Hilfe der gegenseitigen Zertifizierung erforder lich sind Erforderliche Schritte f r die gegenseitige Zertifizierung Befolgen Sie die nachfolgend beschriebenen Anweisungen um ein CA Zertifikat mit Hilfe der gegenseitigen Zertifizierung anzufordern 1 F hren Sie im Namen des anfordernden CA folgende Schritte gemaf den Anweisungen zur web gest tzten Registrierung im Benutzerhandbuch aus a F hren Sie eine Vorabregistrierung aus und geben Sie an da die Anforde rung f r einen CA erfolgt Achten Sie beim Ausf llen des Registrierungsformulars darauf einen regi strierten Namen DN einzugeben der mit dem des anfordernden CA ber einstimmt b Pr fen Sie den Status der Registrierungsanforderung c Befolgen Sie die Anweisung am Ende des Abschnitts um die Vorabregistrie rungsdatei zu speichern Kapitel 3 Informationen zur Vorgehensweise 25 26 2 Ubertragen Sie die Vorabregistrierungsdatei auf die Maschine auf der sich der anfordernde CA befin
54. wenn Sie versuchen Probleme in den Schichten des RA Servers f r die Zertifikatsverarbeitung zu diagnostizieren Das Ausgabe volumen ist etwa zehnmal h her als bei Debug Stufe 25 DebugLevel 201 Umfangreiche Ablaufverfolgung Tracing kritischer interner Funktionen die sehr h ufig verwendet werden Verwenden Sie diese Stufe nur dann wenn Sie versuchen Probleme wie abnormale Beendigungen des RA Servers zu diagnostizieren Das Ausgabe volumen ist etwa hundertmal h her als bei Debug Stufe 25 Anmerkung Aufgrund des hohen Protokollvolumens auf Stufe 100 sollten Sie diese Einstellung nicht in einer Produktionsumgebung verwenden sofern keine besonderen Umst nde vorliegen Auf dieser oder einer h heren Debug Stufe besteht die M glichkeit da der freie Speicher platz im Dateisystem aufgebraucht wird was zu zahlreichen St run gen im gesamten System f hren kann Kapitel 5 Referenzinformationen 121 Um die Fehlerbehebung mit aktivierter Nachrichtenerstellung auf Debug Stufe auszuf hren gehen Sie folgendermafsen vor bei dieser Prozedur wird als Beispiel die Debug Stufe 100 verwendet 1 Stoppen Sie das Trust Authority System 2 ndern Sie die Datei irgAutoCa ini folgenderma en Unter AIX Geben Sie f r den Debug Parameter in usr 1pp iau etc TrustAuthority irgAutoCa ini einen Wert zwischen 50 und 100 an e Unter Windows NT Geben Sie f r den Debug Parameter in C Program Files IBM Trust Authority etc Trust
55. wie der CA Server Zur Verwaltung des Pr fsubsystems m ssen Sie in der Regel die nachfolgend beschriebenen Tasks ausf hren Verwenden der beiden Trust Authority Datenbanksichten zum Anzeigen von Protokolleintr gen in der Pr fdatenbank Verwenden der DB2 UDB Tools zur Suche nach Protokolleintr gen oder zum Generieren von Pr fberichten e Verwenden des Editors IniEditor um folgende nderungen an der Konfigurati onsdatei AuditClient ini vorzunehmen ndern des Anschlusses f r den Pr f Server ndern der Sendeart f r Ereignisse vom Pr f Client e Verwenden des Editors IniEditor um folgende nderungen an der Konfigurati onsdatei AuditServer ini vorzunehmen ndern des Anschlusses der vom Pr f Server berwacht wird ndern der Anzahl von Wiederholungen mit denen der Pr f Client versucht eine Verbindung mit dem Pr f Server herzustellen ndern der Zeit zwischen Verbindungsversuchen ndern der Protokolleinstellungen f r Ereignis Pr f Trace und Fehler protokolle e Verwenden des Dienstprogramms Audit Archive and Sign zur Archivierung und Unterzeichnung von Pr fprotokolldateien e Verwenden des Dienstprogramms Audit Integrity Check zur Pr fung der Datenbankintegrit t des Pr f Servers und zur Archivierung von Dateien e Pr fen des Status des Pr f Servers Pr fen der Protokolle des Pr f Servers 42 Trust Authority Systemverwaltung Protokolleintrage
56. wurden fiir Produkte und Services entwickelt die auf dem deutschen Markt angeboten werden M glichervveise bietet IBM die in dieser Dokumentation beschriebenen Produkte Services oder Funktionen in ande ren L ndern nicht an Informationen ber die gegenw rtig im jeweiligen Land verf gbaren Produkte und Services sind beim IBM Ansprechpartner erh ltlich Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht da nur Programme Produkte oder Dienstleistungen von IBM verwendet werden k nnen Anstelle der IBM Produkte Programme oder Dienstleistungen k nnen auch andere ihnen quivalente Produkte Programme oder Dienstleistungen ver wendet werden solange diese keine gewerblichen Schutzrechte der IBM verletzen Die Verantwortung f r den Betrieb der Produkte Programme und Dienstleistungen in Verbindung mit Fremdprodukten liegt beim Kunden soweit solche Verbindun gen nicht ausdr cklich von IBM best tigt sind F r in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder Patentanmeldungen geben Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbunden Lizenzanforderungen sind schrift lich an IBM Europe Director of Licensing 92066 Paris La Defense Cedex France zu richten Anfragen an obige Adresse m ssen auf englisch formuliert werden Trotz sorgf ltiger Bearbeitung k nnen technische Ungenauigkeiten oder Druckfeh ler in dieser Ver ffentlichung nicht ausgeschlo
57. zu stoppen Befolgen Sie die Online Anweisungen zur Eingabe des Kennworts f r das Steuerprogramm Beachten Sie da Sie sich als Trust Authority Konfigurationsbenutzer cfguser anmelden m ssen um das System zu starten Um das System zu stoppen k nnen Sie sich als root oder als cfgu ser anmelden cd usr 1pp 1au bin Start_TA sh oder Stop_TA sh Wenn Sie Trust Authority auf einer Windows NT Plattform installiert haben k nnen Sie das entsprechende Symbol im Windows NT Programmen ausw h len Sie k nnen beispielsweise folgendes ausw hlen Start gt Programme gt IBM SecureWay Trust Authority gt Trust Authority startenStart gt Programme gt IBM SecureWay Trust Authority gt Trust Authority stoppen Kapitel 3 Informationen zur Vorgehensweise 7 8 Wenn Sie unter Windows NT die Befehlseingabe verwenden m chten geben Sie die folgenden Befehle in einer DOS Befehlszeile ein um die Server Komponenten zu starten bzw zu stoppen Befolgen Sie die Online Anweisungen zur Eingabe des Kennworts fiir das Steuerprogramm Start_TA bat oder Stop_TA bat Richtlinien zur Verwendung unter AIX Die Richtlinien zum Starten und Stop pen des Systems unter AIX sehen folgenderma en aus Wenn der CA und der RA Server durch die Ausf hrung des Steuerprogramms unter AIX nicht gestoppt werden k nnen m ssen Sie den Befehl ps verwen den um die aktiven httpd Prozesse aufzulisten und diese anschliefsend mit dem
58. 04962 u ss rpy ninl M N qpyrid Nsa 101 ANF YUequsyeq OWEN POUUOTISAHTPAPOPI uN gan sIa 9IqUY DAdO s p HY 1120 uN JOPUAMIIA APIN yq sues3uniye T A z ff nbiy qoqurupyau r n uN JIN uoA NA NATurupYy duonem3ruoy yoru reqs pue soyur lqorq uongein3ijuoyprepuejs Jewsd M Sunqr ry s g suojJ jarepsuojjesnByuoy 49449S VH GL Trust Authority Systemverwaltung 96 Pruf Server Konfigurationsdatei Die Konfigurationsdatei des Pr f Servers AuditServer ini definiert die Konfigurati onsvariablen des Pr f Servers Diese Variablen konfigurieren die grundlegenden Funktionsmerkmale des Servers und definieren das Protokollieren von Debug und Fehlernachrichten Die Variablen legen au erdem fest welche Ereignisse protokol liert vverden Die nachiolgendemn Abschnitte enthalten zus tzliche Informationen zu den Eintr gen in Generische Parameter von Servicesteuerroutinen Bewertungsstufen f r Ereignisse Trace Stufen Generische Parameter von Servicesteuerroutinen Folgende Parameter f r Servicesteuerroutinen k nnen f r jeden Service verwendet werden service count Die Anzahl verf gbarer Services service x name Der Name eines Services service x classname Der Klassenname eines Services service x dpolicy Der Klassenname einer Ubergaberegel
59. 22 Datenbankintegrit t pr fen 24 Konfigurationsdatei 78 Protokolle 32 Sendeaufrufintervall ndern 21 Status 32 berwachter Anschlu 20 verwalten 19 CAlntegrityCheck Dienstprogramm 24 CARemac Dienstprogramm 24 CCITT 76 Change Password Dienstprogramm 5 Chiffrierschl ssel 69 CRL Erstellungsintervall 22 CRL G ltigkeitsdauer 22 CRL Zertifikatswiderrufsliste 67 Einstellungen ndern 22 Erstellungsintervall 22 G ltigkeitsdauer 22 CRL Verteilungspunkte Erweiterung 65 D Dateien Konfiguration 77 Daten Pr fdatenbank 113 Datenbankdaten Pr fung 113 DB2 Datenbanken 73 Protokolle 59 Status 57 verwalten 57 den ersten Registrator hinzuf gen 34 DES 61 Dienstprogramme Activity Report Aktivit tsbericht 14 Audit Archive and Sign 52 107 Audit Integrity Check 53 Audit Integrity Check Dienst programm 107 CA Certification 25 28 103 105 CAlntegrityCheck 24 CARemac 24 Change Password 5 Enable RA Database Encryption 106 IniEditor 9 RA User 35 Trust Authority Control 7 Usage Report Nutzungsbericht 13 Digitale Zertifikate 68 Digitale Zertifizierung 1 Directory 59 Directory Administratorkennwort 5 Directory Attribute des Zertifikatsgegen stands Erweiterung 65 Directory Server Eintr ge 28 31 Informationen 75 Protokolle 61 RA Einstellungen ndern 41 Server 41 Status 60 verwalten 59 DNS Adressen 26 30 Dom nen Registrierung 70 E E Mail Adressen 27 30 Ereignisprotokoll 50 Ereignisse Pr
60. 3 objektorientierten Java Programmiersprache und einer Reihe von Klassenbibliotheken Java Virtual Machine JVM Der Teil der Java Laufzeitumgebung der zum Interpretieren von Byteco des eingesetzt wird Java Anwendung Ein eigenstandiges Programm das in der Programmiersprache Java geschrieben ist Es wird au erhalb eines Web Browsers ausgef hrt Java Applet Siehe Applet Gegensatz zu Java Anwendung Java Klasse Eine Einheit mit Java Programmcode Java Sprache Eine von Sun Microsystems entwickelte Programmiersprache die speziell f r die Verwendung in Applet und Agent Anwendungen konzipiert wurde K KeyStore Schl sselspeicher Eine DL zum Speichern von Identit tsnachweisen f r Trust Authority Komponenten z B Schl ssel und Zertifikate in einem verschl sselten Format Klartext Nicht verschl sselte Daten Synonym zu unverschl sselter Text Klasse Beim objektorientierten Entwurf bzw bei der objektorientierten Programmierung eine Gruppe von Objekten die ber eine gemeinsame Definition verf gen und aus diesem Grund mit denselben Merkmalen Verarbeitungsoperationen und Funktionsweisen arbei ten Kryptographie Bei der Sicherung von Computern die Prinzipien Verfahren und Methoden zur Verschl sse lung von unverschl sseltem und zur Entschl sselung von verschl sseltem Text L LDAP Lightweight Directory Access Protocol Lightweight Directory Access Protocol LDAP Ein Protokoll mit
61. 3uny ssnyq ss A ur 1ojensrururpy WULF u ss p pun WOUTD UdYySIMZ uN rp my qo ue 1412 A ryoquond4m uq WN 91 y urereds3und rumdo SUOISSISKEN 124195340 w gt Y USMOHUILIOUSMIIA USAISINNOL URN GI T q J ns38un1 a A yeurxey v uud qqu src gureq yumurixeyy uapiaM JaT ajssny u ur my STAY 4 po STAD ur y URN d UU9M 33 roA s fq q UP go ue 1412 JOL Pes TADMO Yy purs Srsse nz uaqesuesuinyeq URN g u Snyuninz u qo ue 1412 SOPIHNIIJIINMAMOIV purs Srsse nz uN d Juamefodge qo ue 1412 s yp yn yp ridxq Moly puls rsseynz u qeSuesumieGq uN H u njunynz WU STAD qo ue 3412 pus UT N d S ssepnz STAD pu yey Sqe qo ue 1412 s RIOp 1tdxqAO V u l os S ss zo1djnid uN L S P TEL spe STAY pun STAD 40 ue 1412 sTaD sn nnzg zT sn Sungjajsurg r q seq ny u INN 8 02 pun FZOL ZIE purs n 8 UT N ST SSHTU S GZ7 S P AA zun3u r yissz nnzgszy sn Sun lsurq pam u uoJjduu 124 zeq ny A INN ZMU re ylgsZz7 uN PPHU uoop l rp NIV LAM uondO rq Mu any asyey uondo rp vO s p qo ue 3412 UILIOYSSLF yoru reqs p
62. 53 Total inactive users 6 Total revoked certificates 3 Zertifikatsaktivitat Uberwachen Mit Hilfe des Trust Authority Dienstprogramms Activity Report k nnen Sie Aktivit tsberichte erstellen um die Anzahl der Zertifikate zu berwachen die an einem bestimmten Tag oder innerhalb einer bestimmten Woche genehmigt zurtick gewiesen oder widerrufen wurden Der Aktivit tsbericht Activity Report ist in zwei Teile untergliedert Teil 1 Im ersten Teil werden die Registratoren RA Administratoren des jeweiligen Systems aufgef hrt und die Zertifikatsaktivit ten der einzelnen Registratoren Administratoren aufgezeigt Teil 2 Im zweiten Teil des Berichts wird die Gesamtzahl der Zertifikate aufgef hrt die vvahrend des angeforderten Zeitraums genehmigt zur ckgevviesen oder wider rufen wurden Dabei spielt es keine Rolle ob diese Aktionen manuell durch einen Registrator oder automatisch ber Regel Exits ausgef hrt wurden Vorgehensweise anhand von Programmsymbolen unter Windows NT Wenn Sie Trust Authority auf einer Windows NT Plattform ausfiihren und das Ausw hlen von Programmsymbolen gegen ber der Befehlseingabe in einem DOS Befehlsfenster bevorzugen k nnen Sie anhand der folgenden Prozedur einen Aktivitatsbericht Activity Report erstellen Der Abschnitt enthalt ein Beispiel einer Berichts ausgabe 1 Melden Sie sich als Trust Authority Konfigurationsbenutzer an der Maschine an auf der die Trust Author
63. 8 00 00 N here Informationen zur SQL Anweisung select finden Sie im Handbuch IBM DB2 Universal Database SQL Reference Version 5 2 Nahere Informationen zum Befehl db2 finden Sie im Handbuch IBM DB2 Universal Database Command Reference Version 5 2 Kapitel 3 Informationen zur Vorgehensweise 45 46 Protokolleintrage suchen Anweisungen zum Suchen nach Protokolleintr gen finden Sie im Handbuch IBM DB2 Universal Database SQL Reference Version 5 2 Pruf Server AnschluB im Pruf Client andern Der Pr f Server Anschlu ist der Anschlu der vom Pr f Server auf neue Verbin dungen vom Priif Client hin tiberwacht wird F r eine effiziente Kommunikation zwischen Pr f Client und Pr f Server muf der Pr f Client ber den korrekten Anschlu des Pr f Servers verf gen Gehen Sie wie folgt vor um die Werte f r den Anschlu des Pr f Servers in der Konfigurationsdatei des Pr f Clients zu andern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter 3 Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei AuditC 00 pm lient ini Informationen zum starten und Verwenden von IniEditor finden Sie bei Bedarf i im Abschnitt En zu den Datei ee unter AIX und Windows NT finden Sie im Abschnitt ikele L ant Seite 1d W hlen Sie den Abschnitt Connection Verbindung aus zeigen Sie die zugeh rig
64. AT uqr uwo s r qe r qf Jap ureuu sseTi 1q A rodp T TAT S T N amas Zo TIS SOT sans uoweLp zu BwsAs BIr uqr wo SIITAISST ONOIOLT s p sureuuassepy 1q ureusse2 31AJ s uN Soy SIITAIOST OJOJOLT IWLN VA UIPU T XTAT S IOIAIIG JOYOIOI uN 2 Jareqsnjiaa yezuy Iq 111102 unnozr n s TAT sne u puny s uos 1u 3 ururer3orq seq 105 uapIam 8 uayonsiaAssunpulg T AAZ ef g u v sruz rp uapunyas ue yezuy q ey prurso d o e J YDOS IBAIIS ef ure q nsr AsSunpulq s p yezuy s r r ruraoyd oe PIIM ppemioqu ef 2221 WOA Jap nyq suy 1 G 81e 10 da00e uN 10 d d y Poss s10 d v e u owe p nugws s BIr uqr wo SSETM rod y Jap ureN 1A aweussep104dasse siqosuy rT AT uone ndyyuoy weu reqi pue so ur qord ompiepurys Sunqr ru5s q 1 urered lajepsuoneinbByuoy JenIEeS INIg 9 Trust Authority Systemverwaltung 98 L Sunyn dsye isayug uN nn Jap U T TATDIRUI I9PO V T TATDIV Ayr3 yur 3oyarpne s p S nd rsireniyy mz MOMSSUnMSIySSIIgNNWNOZ ef S09 rssermz 191 mo uny Bop ppne slloxoloidyniq sap Sunsatstpenyyy nz ef q nsr A u 3Strssue nz Jap yezuy Iq s r r yepdn Sora pne TOPPI q yuequayeq mz Joule Sun 1s
65. Authority irgAutoCa ini einen Wert zwischen 50 und 100 an 3 Aktivieren Sie folgenderma en die Umgebungsvariable f r die Debug Stufe DebugLevel Unter AIX Geben Sie den folgenden Befehl in die Befehlszeile der Maschine ein auf der sich der RA Server befindet export DebugLevel e Unter Windows NT a Rufen Sie die Systemeigenschaften auf indem Sie mit der rechten Maus taste auf das Symbol Arbeitsplatz im Windows NT Explorer klicken und Eigenschaften ausvvahlen Klicken Sie auf die Registerkarte Umgebung Geben Sie DebugLevel in das Feld Variable und 100 in das Feld Wert ein Klicken Sie auf Setzen und anschlie end auf bernehmen o o Klicken Sie auf OK um das Fenster mit den Systemeigenschaften zu schlie en 4 Starten Sie das Trust Authority System 5 Pr fen Sie den Status aller Komponenten um den korrekten Betrieb zu gew hr leisten 6 Reproduzieren Sie das Problem und pr fen Sie die Protokolle aller Komponen ten um den Fehler zu lokalisieren Es werden Protokolldateien mit dem Dateinamen irgrasvr log nnnn erstellt wobei nnnn eine nach dem Zufallsprinzip generierte Zahl ist Unter AIX ist die Standardposition der Protokolldateien usr lpp iau etc TrustAuthority caSS log xxxxx Unter Windows NT ist die Standardposition c Program Files IBM Trust Authority etc TrustA uthority caSS log xxxxx 122 Trust Authority Systemverwaltung Bemerkungen Die vorliegenden Informationen
66. BM folgendes e Nutzen Sie unter AIX die systeminternen Sicherungsdienstprogramme mksysb und savevg oder ADSM ein weiteres IBM Produkt Die korrekten Prozeduren f r die Sicherungsdienstprogramme mksysb und savevg entnehmen Sie bitte Ihrer AIX Dokumentation Verwenden Sie ADSM nur gemeinsam mit mksysb Nutzen Sie unter Windows NT ein Produkt das in der Lage ist ein Systemab bild zu erstellen mit dem Sie das gesamte System wiederherstellen k nnen Vervvenden Sie ADSM nur gemeinsam mit mit dem fevveiligen Systemabbild Dienstprogramm Befolgen Sie die VViederherstellungsanvveisungen des fevveiligen Dienstprogramms IBM 4758 PCI Cryptographic Coprocessor klonen Zum Sichern des IBM SecureVVay 4758 PCI Cryptographic Coprocessor m ssen Sie den Hauptschl ssel der Maschine auf der das Trust Authority System installiert ist auf einer anderen Maschine klonen Informationen zu den daf r erforderlichen Prozeduren erhalten Sie auf der Seite f r die Bibliothek der Web Site von IBM SecureWay Trust Authority unter folgender Adresse http www ibm com software security trust library 12 Trust Authority Systemverwaltung Anzahl von Benutzern und Zertifikaten berwachen Im Rahmen der Lizenzvereinbarung mit IBM m ssen Sie die Anzahl der Trust Authority Benutzer berwachen Um Sie bei dieser Aufgabe zu unterst tzen stellt Trust Authority ein Tool zur Erstellung von Nutzungsberichten Usage Report zur Verf gu
67. CL 63 Vervvalten CA Server 19 DB2 UDB 57 Directory Server 59 HTTP Server 17 IBM SecureVVay 4758 PCI Cryptogra phic Coprocessor 61 Pr fsubsystem 42 RA Server 33 Trust Authority 5 VVebSphere Application Server 16 W Web Server 74 WebSphere Application Server 16 Widerrufsliste CRL f r Zertifikate 1 Wiederherstellen 12 AIX 12 Trust Authority Datenbanken 12 Windows NT 12 Wiederholungen 47 Wiederholungsintervall 39 Windows NT sichern 12 wiederherstellen 12 X X 509v3 65 X 680 76 Z Zertifikat Aktivit t berwachen 14 ausstellen 1 Index 145 146 Trust Authority Systemverwaltung Antwort IBM SecureWay Trust Authority Systemverwaltung Version 3 Release 1 2 IBM Form SH12 2979 01 Anregungen zur Verbesserung und Erg nzung dieser Ver ffentlichung nehmen wir gerne entgegen Bitte informie ren Sie uns ber Fehler ungenaue Darstellungen oder andere M ngel Zur Klarung technischer Fragen sowie zu Lieferm glichkeiten und Preisen wenden Sie sich bitte entweder an Thre IBM Gesch ftsstelle Ihren IBM Gesch ftspartner oder Ihren Handler Unsere Telefonauskunft HALLO IBM Telefonnr 01803 31 32 33 steht Ihnen ebenfalls zur Kl rung allgemei ner Fragen zur Verf gung Kommentare Danke f r Ihre Bem hungen Sie k nnen ihre Kommentare betr dieser Ver ffentlichung wie folgt senden Als Brief an die Postanschrift auf der R ckseite dieses Formulars Als E Mail an die folgende
68. Forts Feld Beschreibung Datentyp event_severity_id Die Bewertungs ID des Ereignisses Dies ist der fremde Sehl ssel der auf die Tabelle event_severities verweist smallint Quellentabelle Diese Tabelle enth lt eine Liste aller Pr f Clients Ein Pr f Client ist eine Trust Authority Komponente die Pr fereignisse erzeugt Tabelle 23 Felder in der Quellentabelle Feld Beschreibung Datentyp source_id Die eindeutige Kennung des Pr f Clients smallint Quelle Integritat Die Kennung des Priif Clients die zur Anzeige genutzt werden kann In der Regel handelt es sich hierbei um den DN des Pr f Clients Dieses Feld dient der Auf rechterhaltung Integritat des Eintrags Tabelle der berechtigten Entitaten Diese Tabelle enth lt eine Liste aller berechtigten Entitaten Eine berechtigte Entit t berechtigt die Operation f r die ein Pr fereignis erzeugt wurde Tabelle 24 Felder in der Tabelle berechtigter Entit ten varchar varchar f r Bitdaten Feld Beschreibung Datentyp auth_entity_id Die eindeutige interne smallint Kennung der berechtigten Entit t auth_entity_desc Die Kennung der varchar berechtigten Entit t die zur Anzeige genutzt werden kann In der Regel handelt es sich hierbei um den DN der berechtigten Entit t Integrit t Dieses Feld dient der Integrit t des Datensatzes varchar f r Bitdaten
69. Hilfe eines Zertifikats erfolgreich vvar Verbindlich oder wahlfrei verbindlich verbindlich UnsuccessfulAuthWithCert Gibt an da ein Authentifizierungsversuch mit Hilfe eines Zertifikats fehlgeschlagen ist verbindlich SuccessfulCertValidation Gibt an da die gesamte Zertifizierungskette bis hin zum Zertifikat des Stamm CA gepr ft wurde verbindlich UnsuccessfulCertValidation Gibt an da die gesamte Zertifizierungskette bis hin zum Zertifikat des Stamm CA nicht best tigt wurde verbindlich PasswordChange Gibt an da ein Kennwort erfolgreich ge ndert wurde verbindlich ACLUpdate SuccessfullntegrityCheck Gibt an da ein Benutzer oder eine Entit t der Zugriffssteuerungsliste ACL hinzugef gt oder aus der Liste gel scht wurde Gibt an da ein Versuch die Integrit t eines durch eine Transaktion mit einer Nicht Trust Authority Komponente entstandenen Protokolleintrag zu testen erfolgreich war verbindlich verbindlich UnsuccessfullntegrityCheck Gibt an da ein Versuch die Integrit t eines durch eine Transaktion mit einer Nicht Trust Authority Komponente entstandenen Protokolleintrags zu testen fehlgeschlagen ist verbindlich SuccessfulAcquirePrivilege Gibt an da die Anforderung eines bestimmten Zugriffs auf einen Trust Authority KeyStore erfolgreich war verbindlich UnsuccessfulAcquirePrivilege Gibt an da die Anforderung
70. IETF ist die Entwicklung der Internet Architektur sowie die Gew hrleistung der reibungslo sen Verwendung des Internets Intranet Ein Netz innerhalb eines Unternehmens das sich im allgemeinen hinter Firewalls befindet Es basiert auf dem Internet und setzt eine hnliche Technologie ein Vom technischen Standpunkt aus ist ein Intranet eine Erweiterung des Internets Zu den in beiden Net zen benutzten Komponenten geh ren z B HTML und HTTP IPSec Ein von der IETF entwickelter IPS Standard IPS Internet Protocol Security IPSec ist ein Protokoll der Vermittlungsschicht das entwickelt wurde um Services f r die Gew hrleistung der Sicherheit bei der Verschl sselung zur Verf gung zu stellen die kombi nierte Funktionen zur Authentifizierung Sicherung der Integrit t Zugriffssteuerung und Wahrung der Vertrau lichkeit flexibel unterst tzen Aufgrund seiner lei stungsf higen Funktionen bei der Authentifizierung wurde dieser Standard von vielen Lieferanten von VPN Produkten als Protokoll zum Aufbau sicherer Punkt zu Punkt Verbindungen im Internet bernom men ISO International Standards Organization ITU International Telecommunication Union J Java Von Sun Microsystems Incorporated entwickelte plattformunabh ngige Computertechnologien die f r den Netzbetrieb optimiert sind Die Java Umgebung besteht aus dem Java Betriebssystem Java OS den virtuellen Maschinen f r verschiedene Plattformen der Glossar 13
71. Konfigurationsdatei jonah ca ini Informationen zum Starten und Verwenden von IniEditor finden Sie bei 1177 l N zu den Dateipositio Wahlen Sie den Abschnitt ICL aus zeigen Sie die zugeh rigen Unterabschnitte an und w hlen Sie anschlie end den Parameter IclProtectionPolicy aus Andern Sie im angezeigten Editierfeld den Wert der ICL Schutzregel in einen Wert der den Bed rfnissen Ihres Unternehmens gerecht wird Folgende Werte sind zul ssig e Ignore Das System ignoriert die Abweichung und zeigt keine Nachrichten an Anmerkung Dieser Wert wirkt sich auf den Betrieb des Tools f r die CA Integrit tspr fung aus siehe Wenn Sie Ignore 25 kann das Tool zur CA Integrit tspr fung keinen Mi brauch ermitteln selbst wenn ein solcher existiert ContinueWithMessage Das System zeigt eine Warnung an setzt die Trans aktion jedoch fort TerminateTransaction Das System zeigt eine Fehlernachricht an und been det die Transaktion Speichern Sie die Datei und beenden Sie das Programm Starten Sie das Trust Authority System Kapitel 3 Informationen zur Vorgehensweise 23 ICL Schutzschl ssel andern Der ICL Schutzschltissel wird niemals Benutzern oder Administratoren preisgege ben Um jedoch einem Mifsbrauch oder einer unbeabsichtigten Dateninkonsistenz vorzubeugen empfiehlt es sich den ICL Schutzschl ssel in regelm igen Abst n den zu ndern Trust Authority stellt das Befehlszeilen Iool
72. List ist eine voll st ndige Liste der Zertifikate einschlie lich deren Status die von einem CA aus gestellt wurden Die Zertifikate sind nach Seriennummer und Status indexiert Die ICL wird vom CA verwaltet und in der CA Datenbank gespeichert Diese Liste dient zur Ermittlung der Zertifikate die in einer Zertifikatwiderrufsliste CRL Certificate Revocation List ver ffentlicht werden sollten Die Trust Authority ICL verf gt ber folgende Merkmale e ODBC Implementierung Open Database Connectivity in Trust Authority ber DB2 Wahlfreie Verwendung von MACs in Datenbankeintr gen zur Gew hrleistung der Integritat nur ODBC Verschleierung von Chiffrier und MAC Schl ssel zur Laufzeit Unterst tzung mehrerer Verbindungen pro Thread mit einem standardm igen Maximalwert e Zugriff auf die Pr fprotokollfunktion Unterzeichnen und G ltigkeitspr fung f r Unterschriften Unterzeichnen bedeutet eine Unterschrift mit Hilfe eines privaten digitalen Schl s sels zu erstellen Eine G ltigkeitspr fung beinhaltet die Verwendung des entspre chenden ffentlichen Schl ssels zur Best tigung der Unterschrift Trust Authority verwendet zur Unterzeichnung und f r G ltigkeitspr fungen eine Verschl sselungsmaschine auf PKIX Basis Dieses Produkt erm glicht es Anwen dungen Informationen zu ver und entschl sseln Mit diesem Produkt k nnen Kapitel 4 Erl uterungen 69 Anwendungen eine digitale Unterschrift prii
73. Me 20 63 HTTP Server vervvalten ok o ob v LZ Trust Authority Sicherheit 63 Status des HTTP Server pr fen 5755 Zugriffssteuerungslisten 63 HTTP Server Protokolle pr fen 19 Zertifikatsaussteller 63 CA Server verwalten 20 CA Hierarchien 64 Vom CA Server berwachten Anschlu ndern 21 Zertifikatservveiterungen 64 CA Sendeaufrufintervall ndern 21 Zertifikatvviderrufslisten 67 CRL Einstellungen ndern 22 Gegenseitige Zertifizierung 68 ICL Schutzregel nden 23 Zertifizierung ee s un et 568 ICL Schutzschl ssel ndern 24 Digitale Zertifikate on d we sb S Be eo Gk 08 Integritat der CA Server Datenbank pr fen 24 Registrierte Namen o 9 OD CA Zertifikat mit Hilfe gegenseitiger Zertifizie Liste der ausgestellten Zertifikate CRD 57 rung anfordern 25 Unterzeichnen und G ltigkeitspr fung f r Unter CA Zertifikat mit Hilfe des Hierarchiemodells sehriften os lt lt lt x 2 we x 900 96009 anfordern wy a u ee n s 28 Registrierungsstellen RA 70 CA Server Protokolle pr fen dom db 6 amp woe Registratoren 55 CA Server Status pr fen 5 Registrierungsdom nen 70 Aktivierung der CRL Yetellungapunkie 5 4 OS IBM 77777 4758 PCI Cryptographic Cop
74. N Distinguished Name ver bunden Dieser ist eindeutig wenn der Eintrag ein Attribut umfa t das f r das tats chliche Objekt als eindeutig bekannt ist Im folgenden DN Beispiel wurde als Land C Country US als Unternehmen O Organization IBM als Unternehmenseinheit OU Organization Unit Trust und als allgemeiner Name CN Common Name der Wert CA1 angegeben C US 0 1BM OU Trust CN CA1 Directory Server Unter Trust Authority das IBM SecureWay Directory Dieses Directory unterstiitzt die LDAP Standards und verwendet DB2 als Basissystem Distinguished Encoding Rules DER Durch DER werden bestimmte Einschr nkungen f r BER definiert Mit DER kann genau ein bestimmter Verschl sselungs typ aus den verf gbaren und auf der Basis der Ver schl sselungsregeln als zul ssig definierten Typen ausgew hlt werden Hierdurch werden alle Senderop tionen eliminiert DL Data Storage Library Datenspeicherbibliothek DN Distinguished Name Registrierter Name Dokumentverschl sselungsschl ssel DEK Norma lerweise ein symmetrischer Ver Entschl sselungsschl ssel z B DES Dom ne Siehe Sicherheitsdom ne und Registrierungs dom ne DSA Digital Signature Algorithm E e Business Das Durchf hren gesch ftlicher Transak tionen ber Netze und Computer z B der Kauf und Verkauf von Waren und Dienstleistungen sowie der Transfer von Zahlungsmitteln mit Hilfe der digitalen Kommunikation e Commerce Unte
75. Profil enth lt die Anforderungsarten Aktionen etc die die zugeordneten Registratoren ausf hren k nnen Dienstprogramm Enable RA Database Encryption Standardm ig werden Informationen in der Datenbank der Registrierungsfunk tion nicht verschl sselt Nach der Konfiguration k nnen Sie die Datenbankver schl sselung durch Ausf hren des Programms Enable RA Database Encryption iauEnableRADBSec aktivieren Syntax jauEnableRADBSec d domain_name r install_directory i Parameter d domain_name Der Name Ihrer Registrierungsdom ne Dieser Wert mu mit dem Wert ber einstimmen der im Setup Wizard f r den Registrierungsdom nennamen ange geben wurde r install_directory Der vollstandige Pfad unter dem Trust Authority installiert ist i install_directory Ein wahlfreier Parameter tiber den das System angewiesen wird Debug Nachrichten derzeit nur in Englisch anzuzeigen 106 Trust Authority Systemverwaltung Dienstprogramm Audit Archive and Sign Mit dem Dienstprogramm Audit Archive and Sign k nnen Sie Pr fprotokolldateien archivieren und unterzeichnen Anmerkung Wenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der eingebettete Leerzeichen enthalt m ssen Sie den Pfad in dop pelte Anf hrungszeichen setzen Syntax AuditArchiveAndSign c ConfigFile Pfad n ArchiveFileName Parameter c ConfigFilePath Der absolute Pfad der Konfigurationsdatei des Pr f Servers Der S
76. Prozesse aus Suchen Sie nach dem Proze irgrasvr exe Finden Sie diesen Proze fahren Sie mit Schritt B fort Finden Sie diesen Proze nicht lesen Sie bitte im Abschnitt nach Wechseln Sie an der MS DOS Eingabeaufforderung in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standardpfad c Program Files IBM Trust Authority bin Stellen Sie sicher da Anschlu 29783 erfolgreich antwortet und geben Sie hierzu folgenden Befehl ein ServerControl i c k CA n Server p 29783 1 Protokolldatei Hierbei steht Serverf r den Namen des RA Servers der dem Anschlu 29783 zugeordnet ist und Protokolldatei f r den Namen der Datei in der die Ergeb nisse des Befehls ServerControl aufgezeichnet werden sollen Ist die Antwort des gepr ften Anschlusses erfolgreich wird folgende Nach richt angezeigt Es wurde festgestellt da der RA Service auf dem Server am Anschlu 29783 ausgef hrt wird Hierbei steht Server f r den Server der dem Anschlu 29783 zugeordnet ist Trust Authority Systemverwaltung RA Einstellungen fur die Kommunikation mit dem Directory andern Der RA Server kommuniziert mit dem IBM SecureWay Directory Server um den Registrierungsproze zu verwalten In der Konfigurationsdatei des RA Servers k nnen folgende Werte ge ndert werden um die Kommunikation zwischen RA und Directory zu beeinflussen Host Name und Anschlu des Directory Servers e Sendeintervall RA Einstellungen f
77. Sie die Registerkarte Prozesse aus 4 Suchen Sie nach dem Proze java exe Finden Sie diesen Proze fahren Sie mit Schritt H fort Finden Sie diesen Proze nicht lesen Sie bitte im Abschnitt nach 5 Wechseln Sie an der MS DOS Eingabeaufforderung in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standardpfad c Program Files IBM Trust Authority bin 6 Pr fen Sie ob der Anschlu in diesem Fall Anschlu 59998 erfolgreich antwortet indem Sie folgenden Befehl eingeben ServerControl i c k AUDIT n Server p 59998 1 Protokolldatei Hierbei steht Serverf r den Namen des Pr f Servers der dem Anschlu 59998 zugeordnet ist und Protokolldatei f r den Namen der Datei in der die Ergebnisse des Befehls ServerControl aufgezeichnet werden sollen Ist die Antwort des gepr ften Anschlusses erfolgreich wird folgende Nach richt angezeigt Der Pr f Server wird momentan ausgef hrt Hierbei steht Server f r den Server der dem Trust Authority Standardanschlu 59998 zugeordnet ist Pr f Server Protokolle pr fen Die Protokolle des Pr f Servers zeichnen alle Transaktionen mit dem Pr f Server auf Sie k nnen die Protokolle des Pr f Servers an den nachfolgend beschriebenen Positionen pr fen Tabelle 9 Protokolle des Pr f Servers AIX Standardpfad Windows NT Standardpfad Beschreibung usr lpp iau logs smevents log c Program Files IBM Trust Das Ereignisprotokoll des Pr f Authority lo
78. Sie erm glicht eine sichere Abgrenzung zwischen gesch tzten Programmen und den Benutzern die auf diese Programme zugreifen wollen Mit Hilfe der HTTP und HTTPS Hypertext Transfer Protocols sowie der SSL Technologie Secure Sockets Layer kann das Web Server Produkt die Kommu nikation zwischen Client und Server verschl sseln Dar ber hinaus k nnen Client Authentifizierungen durchgef hrt vverden um unbefugten Zugriff oder Datenma nipulationen zu verhindern IBM VVebSphere Application Server Der IBM WebSphere Application Server WAS ist ein Server f r Java Anvvendungen der die Vervvaltung und Nutzung von VVeb Anvvendungen verein fachen soll WAS mu auf einem Host Web Server installiert sein der HTTP Anforderungen von Browsern verarbeitet und die Antworten ber das HTTP Protokoll im HTML Format zur ckgibt Bei der Installation von WebSphere wird die Konfiguration des entsprechenden Host Web Servers so ver ndert da bestimmte Anforderungen zur Verarbeitung an WebSphere und nicht an den Web Server weitergeleitet werden WAS nutzt eine Java Entwicklungs und Laufzeitumgebung auf der Host Maschine Diese Java Umgebung erm glicht WebSphere die Ausf hrung von Java Programmen die von der Trust Authority Registrierungsfunktion verwendet werden IBM HTTP Server Der Trust Authority Server basiert auf einem Modell mit drei Servern und drei Anschl ssen um die Client Anforderungen zu verarbeiten Ihr Unternehmen hat sich m g
79. Zertifi zierungsanforderungen 136 Trust Authority Systemverwaltung e PKCS 11 definiert eine Programmierschnittstelle f r Verschl sselungseinheiten z B Smart Cards die unabh ngig vom verwendeten technologischen Kon zept ist e PKCS 12 definiert ein portierbares Format zum Speichern oder Transportieren der privaten Schl ssel Zertifikate und sonstiger geheimer Daten etc eines Benutzers Public Key Infrastructure PKI Ein Standard f r Sicherheitssoftware der auf der Verschliisselung mit Hilfe ffentlicher Schl ssel basiert Bei PKI handelt es sich um ein System digitaler Zertifikate Zertifikatsaus steller Registrierungsstellen Zertifikatverwaltungsser vices und verteilter Verzeichnisservices Er dient zum Pr fen der Identit t und Berechtigung aller Parteien die an Transaktionen beteiligt sind die ber das Inter net ausgef hrt werden Diese Transaktionen umfassen m glicherweise Operationen zu deren Ausf hrung eine Identit tspr fung erforderlich ist Sie dienen z B zur Best tigung des Ursprungs von Senderechtan forderungen E Mail Nachrichten oder Finanztransak tionen PKI erreicht dieses Ziel dadurch da ffentliche Chif frierschl ssel und Benutzerzertifikate f r die Authenti fizierung durch eine berechtigte Einzelperson oder ein berechtigtes Unternehmen verf gbar gemacht werden Er stellt Online Verzeichnisse bereit die die ffentlichen Chiffrierschl ssel und Zertifikate enthalten die
80. Zwecken als in Verbindung mit der lizenzgerechten Verwendung des Programms zu benutzen Die IBM Server mtissen auf derselben Maschine wie das Programm installiert sein Sie sind nicht berechtigt sie unabh ngig vom Pro gramm zu installieren und zu verwenden Java und alle auf Java basierenden Marken und Logos sind in gewissen Landern Marken der Sun Microsystems Inc Microsoft Windows Windows NT und das Windows Logo sind in gewissen Lan dern Marken der Microsoft Corporation UNIX ist eine eingetragene Marke und wird ausschlie lich von der X Open Com pany Limited lizenziert Pentium ist in gewissen Landern eine Marke der Intel Corporation CG E N UINE aE Dieses Programm enth lt Sicherheitssoftvvare von RSA Data Security Inc Copyright 1994 RSA Data Security Inc Alle Rechte vorbehalten Dieses Programm enth lt STL Software STL Standard Template Library von Hewlett Packard Company Copyright c 1994 Die Berechtigung zum Verwenden Kopieren ndern Verteilen und Verkaufen dieser Software sowie der zugeh rigen Dokumentation f r die gew nschten Zwecke wird hiermit geb hrenfrei erteilt Voraussetzung hierf r ist allerdings da der o a Copyrightvermerk auf allen Kopien erscheint und da sowohl dieser Copyrightvermerk als auch dieser Berechtigungshinweis in der zugeh ri gen Dokumentation aufgef hrt werden Hewlett Packard Company macht keine Angaben zur Eignung dieser Software f r bestimmte Zwecke Sie
81. aar aus ffentlichem und privatem Schl ssel stellt ein grundlegendes Element der Ver schl sselung auf der Basis von Schl sselpaaren dar Diese Form der Verschl sselung wurde im Jahr 1976 von Whitfield Diffie und Martin Hellman eingef hrt um Probleme bei der Schl sselverwaltung zu l sen Nach diesem Konzept erh lt jeder Benutzer ein Schl sselpaar bei dem einer als ffentlicher und einer als privater Schl ssel bezeichnet wird Der ffentliche Schl ssel ist hierbei allgemein bekannt der private Schl ssel wird hingegen geheimgehalten Sender und Glossar 137 Empf nger m ssen geheime Daten nicht gemeinsam benutzen Alle Kommunikationsoperationen werden lediglich auf der Basis ffentlicher Schl ssel ausgef hrt Die privaten Schl ssel werden niemals bertragen oder gemeinsam verwendet Auf diese Weise ist es nicht mehr notwendig sich auf die Sicherheit eines bertra gungskanals gegen ber Manipulationen zu verlassen Die einzige Anforderung ist da ffentliche Schl ssel den entsprechenden Benutzern in einer gesicherten authentifizierten Weise z B in einem gesicherten Verzeichnis zugeordnet werden Jeder Benutzer kann nun mit Hilfe dieser ffentlichen Daten eine vertrauli che Nachricht senden Diese Nachricht kann nur mit einem privaten Schl ssel entschl sselt werden auf den allein der gew nschte Empf nger zugreifen kann Dar ber hinaus kann die Verschl sselung auf der Basis von Schl sselpaaren nich
82. aphic Architecture CCA IBM Software die einen konsistenten Verschl sselungsansatz auf den wichtigsten IBM Computerplattformen bietet Sie unterst tzt Anwendungssoftware die in einer Viel zahl von Programmiersprachen geschrieben wurde Die Anwendungssoftware kann hierbei die CCA Services aufrufen um eine breite Palette kryptografischer Funk tionen einschlie lich der DES und der RSA Verschl sselung auszuf hren Common Data Security Architecture CDSA Eine Initiative zum Definieren eines umfassenden Ansatzes f r Sicherheitsservices und Sicherheitsverwaltungsope rationen bei computerbasierten Sicherheitsan wendungen Diese Architektur wurde von Intel entwor fen und dient dazu Computerplattformen f r Anwendungen sicherer zu gestalten Common Gateway Interface CGI Ein Standard verfahren zum bertragen von Informationen zwischen Web Seiten und Web Servern CRL Certificate Revocation List Zertifikatswiderrufs liste CRL Ver ffentlichungsintervall Dieses Intervall wird in der CA Konfigurationsdatei definiert und gibt das Zeitintervall zwischen zwei Ver ffentlichungen der Zertifikatswiderrufsliste im Directory an D D mon Ein Programm das Tasks im Hintergrund ausf hrt Es wird implizit aufgerufen wenn eine Bedin gung auftritt die die Hilfe des Damons erforderlich macht Es ist nicht erforderlich daf der Benutzer ber die Ausf hrung des Damons unterrichtet wird da der Damon normalerweise vom Sy
83. art Cards Auf diese Weise kann die RA Nachrichten und der CA CRLs und Zertifikate unterzeichnen ohne da ihre privaten Schl ssel die Smart Cards verlassen Trust Authority implementiert die PKCS 11 Schnittstelle f r Smart Card Speichereinheiten Kapitel 4 Erl uterungen 71 Pr fung Das Trust Authority Pr fsubsystem bietet Unterst tzung f r die Protokollierung sicherheitsrelevanter Aktionen auf der Grundlage der Empfehlungen des Standards X9 57 f r den Finanzsektor Auf diese Weise k nnen Sie Pr fprotokolle vervvalten und archivieren und Integrit tspr fungen von Protokolleintr gen durchf hren Das Pr fsubsystem besteht aus einer Client Bibliothek und einem Pr f Server Der Pr f Server empf ngt Pr fereignisse von autorisierten Clients und schreibt diese Ereignisse in ein integrit tsgesch tztes Pr fprotokoll Alle Protokolleintr ge wer den in einer DB2 Datenbank gespeichert Pr fereignisse werden au erdem in einer Datei gespeichert Abfrage und Berichterstellungs Tools werden von DB2 UDB bereitgestellt Protokolleintr ge Protokolleintr ge werden in Form eines Pr fprotokolls in einer DB2 Datenbank gespeichert Das Pr fprotokoll enth lt pro Pr fereignis einen Protokolleintrag Die Pr fdatenbank hilft bei der Manipulationserkennung wie im Standard f r den Finanzsektor X9 57 vorgeschrieben Jeder Protokolleintrag ist durch eine Serien nummer eindeutig gekennzeichnet Pr fereignisse Trust Authority
84. as Dienstprogramm das Hauptmen erneut auf Vorgehensweise anhand von Programmsymbolen unter Windows Wenn Sie Trust Authority auf einer Windows NT Plattform ausf hren und das Ausw hlen von Programmsymbolen gegen ber der Befehlseingabe in einem DOS Befehlsfenster bevorzugen k nnen Sie anhand der folgenden Prozedur das Dienst programm Change Password ausf hren 1 W hlen Sie nacheinander Start gt Programme IBM SecureWay Trust Authority gt Change Passwords Tool aus Das Men Trust Authority Kennw rter ndern wird angezeigt 2 F hren Sie die Schritte aus beginnend mit B auf Seite d unter Server Komponenten starten und stoppen IBM Trust Authority verwendet einen sicheren automatischen Startmechanismus der als Trust Authority Steuerprogramm bezeichnet wird um alle Komponenten einer Maschine zu starten oder zu stoppen Die Trust Authority Steuerung im Falle ferner Maschinen eine pro Maschine verf gt ber einen eigenen Chiffrier schliissel mit dem Komponentenkennvv rter bei Bedarf ver oder entschliisselt werden Wenn Sie Trust Authority Server Komponenten auf fernen Maschinen installiert haben finden Sie im Abschnitt 1500 weitere Informationen Server Komponenten lokal starten und stoppen Um alle Komponenten einer Maschine zu starten oder zu stoppen k nnen Sie eine der folgenden Methoden verwenden Geben Sie die folgenden Befehle unter AIX ein um die Server Komponenten zu starten oder
85. aziert den angegebenen RDN in der Liste der zul ssigen Unterverzeichnisstrukturen CaCertRq n C US O companyA OU departmentB r tmp ccprereg reg P 1835 W Secure99 CA Zertifikat mit Hilfe des Hierarchiemodells anfordern Sie k nnen ein CA Zertifikat mit Hilfe des Hierarchiemodells von einem anderen CA anfordern Sie k nnen dies beispielsweise tun wenn Trust Authority an mehre ren Orten installiert ist und Sie eine zuverl ssige CA Hierarchie etablieren wollen CAs betrachten die CAs als zuverl ssig die in der Hierarchie ber ihnen stehen und akzeptieren deren Zertifikate als Identit tsnachweis Anmerkung Trust Authority unterst tzt eine hierarchische Zertifizierung nur zwischen CAs die das PKIX Zertifikatsverwaltungsprotokoll Certifi cate Management Protocol CMP sowie die Protokolle PKCS 7 und PKCS 10 einhalten Nutzen Sie das Trust Authority Befehlszeilendienstprogramm CA Certification um eine CA Hierarchie zu definieren Wenn Sie dieses Tool starten m ssen Sie minde stens eine Option f r die Standardzertifikatserweiterung f r Namens einschr nkungen definieren Detaillierte Beschreibungen der Zertifikatserweiterun gen finden Sie im Abschnitt 2 Ein klein geschriebener Buchstabe steht f r die Aufnahme in die Taste zulassiger Unter verzeichnisstrukturen Ein gro geschriebener Buchstabe steht f r die Aufnahme in die Liste nicht zulassiger Unterverzeichnisstrukturen In der Regel werden nicht zul ssige Unt
86. belle der Ereignis bewertung varchar f r Bitdaten comp_types_int Dieses Feld dient der Auf rechterhaltung der Integrit t der Tabelle der Komponententarten varchar f r Bitdaten system_int Dieses Feld dient der Auf varchar f r Bitdaten rechterhaltung der Integrit t der Systemtabelle sig_key_id Die interne Kennung des smallint Schl ssels der zur Erzeugung der Integrit tsfelder dieses Datensatzes verwendet wird Dies ist ein fremder Schl ssel der auf die Schl sseltabelle verweist Kapitel 5 Referenzinformationen 119 Fehlerbehebung Bei der Standardinstallation von Trust Authority werden keine Protokolldateien fiir die ausf hrliche Stufe bzw Debug Stufe von Fehlernachrichten erstellt Dieser Abschnitt beschreibt die Basisschritte zur Fehlerbehebung wobei die Nachrichten erstellung auf Debug Stufe inaktiviert ist Wenn Sie ausf hrlichere Informationen Grundlegende Fehlerbehebung Befolgen Sie die nachfolgenden Anweisungen um Probleme bei der Verwaltung von Trust Authority zu beheben 1 Stoppen Sie das Trust Authority System 2 F hren Sie einen Warmstart durch 3 4 Priifen Sie den Status aller Komponenten um den korrekten Betrieb zu gevvahr Starten Sie das Trust Authority System leisten Reproduzieren Sie das Problem und priifen Sie die Protokolle aller Komponen ten um den Fehler zu lokalisieren 120 Trust Authority Systemverwaltung Feh
87. ben ServerControl i c k CA n Server p 1835 1 Protokolldatei Hierbei steht Serverfiir den Namen des CA Servers der dem Anschluf 1835 zugeordnet ist und Protokolldatei fiir den Namen der Datei in der die Ergeb nisse des Befehls ServerControl aufgezeichnet werden sollen Ist die Antwort des geprtiften Anschlusses erfolgreich wird folgende Nach richt angezeigt Es wurde festgestellt da der CA Service auf dem Server am Anschlu 1835 ausgef hrt wird Hierbei steht Server f r den Server der dem Anschlu 1835 zugeordnet ist 32 Trust Authority Systemverwaltung Unter Windows NT 1 2 Melden Sie sich bei Windows NT als Systemadministrator an Starten Sie den Task Manager durch Dr cken der Tastenkombination Strg Alt und Entf Wahlen Sie die Registerkarte Prozesse aus Suchen Sie nach dem Proze irgAutoCA exe Finden Sie diesen Proze fahren Sie mit Schritt H fort Finden Sie diesen Proze nicht lesen Sie bitte im Abschnitt nach Wechseln Sie an der MS DOS Eingabeaufforderung in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standardpfad c Program Files IBM Trust Authority bin Pr fen Sie ob Anschlu 1835 erfolgreich antwortet indem Sie folgenden Befehl eingeben ServerControl i c k CA n Server p 1835 1 Protokolldatei Hierbei steht Serverf r den Namen des CA Servers der dem Anschlu 1835 zugeordnet ist und Protokolldatei f r den Namen der Datei in der d
88. benbereichs der Entitat die dieses Ereignis berechtigt hat Dies ist ein fremder Schltissel der auf die Tabelle auth_entities verweist smallint afctd_entity Der Name oder DN der Art der Entit t die von diesem Ereignis betroffen ist varchar afctd_entity_id Die interne Kennung der Art der Entitat die von diesem Ereignis betroffen ist smallint storage media Das dem Priifereignis zugeordnete Speichermedium varchar Kapitel 5 Referenzinformationen 117 Tabelle 28 Felder in der Pr fprotokolltabelle Forts Feld Beschreibung Datentyp extra_info Dem Priifereignis zugeordnete Zusatz informationen varchar sig_key_id Die interne Kennung des Schliissels der zur Erzeugung des Integrit tsfelds verwendet wurde Dies ist ein fremder Schl ssel der auf die Schl sseltabelle verweist smallint enc_key_id Die interne Kennung des Schl ssels der zur Verschl sselung ausgew hlter Felder des Datensatzes verwendet wird Dies ist ein fremder Schl ssel der auf die Schl sseltabelle verweist In der aktuellen Version von Trust Authority wird keines der Felder verschl sselt smallint Integrit t Dieses Feld dient der Auf rechterhaltung der Integrit t des Datensatzes varchar f r Bitdaten Systemtabelle Diese Tabelle enth lt Statusinformationen zur Pr fdatenbank Tabelle 29 Felder in der Systemtabelle
89. ch gemacht werden Integrit tspr fung Die Pr fung der Protokolleintr ge die f r Transaktionen mit externen Komponenten auf gezeichnet wurden International Standards Organization ISO Eine internationale Organisation die Standards f r eine breite Palette von Industriebereichen z B auch f r Computernetzprotokolle entwickelt und ver ffentlicht International Telecommunication Union ITU Eine internationale Organisation in der Verwaltungs und private Industriebereiche globale Datenfern bertra gungsnetze und services koordinieren Bei der Ver f fentlichung von Informationen zur Datenfern bertra gungstechnologie sowie den entsprechenden Regelvverken und Standards nimmt sie eine f hrende Position ein Interne Struktur Siehe Schema Internet Ein weltweiter Verbund von Netzen die die elektronische Verbindung zwischen Computern und die Kommunikation zwischen den Computern tiber Softwareeinrichtungen wie elektronische Post E Mail oder Web Browser erm glichen So sind beispielsweise die meisten Universitaten in ein Netz eingebunden das seinerseits eine Verbindung zu anderen ahnlichen Net zen hat die zusammen das Internet bilden Internet Engineering Task Force IETF Eine Gruppe die sich schwerpunktm ig mit dem Entwickeln und Definieren von Protokollen f r das Internet befa t Sie repr sentiert eine internationale Gruppe von Netzdesi gnern bedienern herstellern und forschern Die Aufgabe der
90. chl ssels zum Generieren einer Unterschrift Diese Unterschrift dient dazu zu beweisen da ein bestimm ter Benutzer f r die von ihm unterzeichnete Nachricht verantwortlich ist und diese akzeptiert Unterzeichnen Pr fen Als Unterzeichnen wird die Verwendung eines privaten Schl ssels zum Generieren einer Unterschrift bezeichnet Unter Pr fen versteht man die Verwendung des entsprechenden ffentlichen Schl ssels zur Verifizierung dieser Unterschrift Unverschl sselter Text Nicht verschl sselte Daten Synonym zu Klartext URL Uniform Resource Locator URL Adresse URL Adresse Ein Schema f r die Adressierung von Ressourcen im Internet Die URL Adresse gibt das verwendete Protokoll sowie den Host Namen und die IP Adresse an Au erdem enth lt er Angaben zur Anschlu nummer zum Pfad sowie weitere Ressourcen details die erforderlich sind um ber eine bestimmte Maschine auf eine Ressource zuzugreifen UTF 8 Ein Umsetzungsformat Es erm glicht Informa tionsverarbeitungssystemen die nur die Verarbeitung von 8 Bit Zeichens tzen unterst tzen die Umsetzung von 16 Bit Unicode in ein 8 Bit quivalent und umge kehrt ohne da hierbei Informationen verlorengehen V Verkettungspr fung Die G ltigkeitspr fung aller CA Unterschriften in der Trust Hierarchie ber die ein bestimmtes Zertifikat ausgestellt vvurde VVenn z B das Unterschriftszertifikat eines CA ber einen anderen CA ausgestellt wurde werden bei der
91. deintervall der RA zu ndern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter 3 Starten Sie den Editor IniEditor und laden Sie die a jonahra ini Informationen zum Starten und Verwenden von IniEditor finden Sie bei im Abschnitt Informationen zu den Datei den unter AIX und Windows NT finden Sie im Abschnitt Tahelle Lauf Seite 10 4 Wahlen Sie den Abschnitt LDAP aus zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter PostInterval aus 5 Andern Sie im angezeigten Editierfeld den Wert des Parameters PostInterval 6 Speichern Sie die Datei und beenden Sie das Programm 7 Starten Sie das Trust Authority System Kapitel 3 Informationen zur Vorgehensweise 41 Pr fsubsystem verwalten Zur Verwaltung des Pr fsubsystems m ssen Sie die Funktion eines Pr fadminist rators bernehmen F r einige dieser Verwaltungs Tasks ist ein Kennwort erforder lich Informationen zum ndern des Kennworts f r den Pr fadministrator finden Sie im Abschnitt Der Pr f Server ist ein Trust Authority Proze der Pr fereignisse von Trust Authority Komponenten empf ngt und diese in einem Pr fprotokoll aufzeichnet Er befindet sich zusammen mit seinem DB2 Datenbankexemplar auf einer lokalen oder fernen Maschine Der Pr f Server mu sich auf der gleichen Maschine befin den
92. dem auf das Directory zugegriffen wer den kann Liste der ausgestellten Zertifikate ICL Eine voll st ndige Liste der ausgestellten Zertifikate sowie deren aktueller Status Die Zertifikate sind anhand der Serien nummer und des Status indexiert Diese Liste wird vom CA verwaltet und in der CA Datenbank gespei chert MAC Message Authentication Code Nachrichtenaut hentifizierungscode 134 Trust Authority Systemverwaltung MD2 Eine Nachrichtenauszugs Hash Funktion auf 128 Bit Basis die von Ron Rivest entwickelt wurde Sie wird zusammen mit MD5 in den PEM Protokollen verwendet MD4 Eine Nachrichtenauszugs Hash Funktion auf 128 Bit Basis die von Ron Rivest entwickelt wurde Ihre Geschwindigkeit bersteigt die von MD2 um ein Mehrfaches MD5 Eine unidirektionale Nachrichtenauszugs Hash Funktion die von Ron Rivest entwickelt wurde Sie stellt eine verbesserte Version von MD4 dar MD5 verarbeitet Eingabetext in 512 Bit Bl cken die in 16 32 Bit Unterbl cke aufgeteilt werden Die Ausgabe des Algorithmus ist eine Gruppe von vier 32 Bit Bl cken die verkettet werden und so einen 128 Bit Hash Wert bilden Diese Funktion wird ebenfalls zusammen mit MD2 in dem PEM Protokollen verwendet Modulus In dem auf ffentlichen Schl sseln basieren den RSA Verschl sselungssystem das Produkt n aus zwei hohen Primzahlen p und q Die optimale Gr e f r einen RSA Modulus h ngt von den individuellen Sicherheitsanforderungen ab
93. den Gegensatz zu Privater Schl ssel Siehe auch Schl sselpaar aus ffentlichem und privatem Schl ssel Open Database Connectivity ODBC Ein Standard f r den Zugriff auf unterschiedliche Datenbanksysteme Open Systems Interconnect OSI Der Name der von ISO genehmigten Computernetzstandards OSI Open Systems Interconnect P PC Karte Eine mit einer Smart Card vergleichbare Einheit die auch als PCMCIA Karte bezeichnet wird Sie ist etwas gr fser als eine Smart Card und verfiigt im allgemeinen tiber eine h here Kapazitat PEM Privacy Enhanced Mail PKCS Public Key Cryptography Standards PKCS 1 Siehe Public Key Cryptography Standards PKCS 10 Siehe Public Key Cryptography Standards PKCS 11 Siehe Public Key Cryptography Standards PKCS 12 Siehe Public Key Cryptography Standards PKCS 7 Siehe Public Key Cryptography Standards PKI Public Key Infrastructure PKIX PKI auf X 509v3 Basis PKIX Certificate Management Protocol PKIX CMP Ein Protokoll das Verbindungen mit PKIX kompatiblen Anwendungen erm glicht PKIX CMP verwendet als prim res Transportverfahren TCP IP es ist jedoch eine Abstraktionsebene oberhalb der Sockets Schicht vorhan den Hierdurch k nnen zus tzliche Daten bertragungs operationen mit Sendeaufrufen Polling unterst tzt werden PKIX CMP PKIX Certificate Management Protocol PKIX Empfangseinheit Der ffentliche HTTP Server der von einer bestimmten Registrierungsdom ne
94. den Abschnitt Connection Verbindung aus zeigen Sie die zugeh rigen Unterabschnitte an und w hlen Sie anschlie end den Parameter Timer aus 5 ndern Sie im angezeigten Editierfeld den Wert des Parameters Timer 6 Speichern Sie die Datei und beenden Sie das Programm 7 Starten Sie das Trust Authority System Vom Pr f Server berwachten Anschlu ndern Der Pr f Server Anschlu ist der Anschlu der vom Pr f Server auf neue Verbin dungen vom Pr f Client hin berwacht wird Gehen Sie wie folgt vor um die Werte f r den Anschlu des Pr f Servers in der Konfigurationsdatei des Pr f Servers zu ndern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter a a 3 Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei AuditS erver ini Informationen zum Starten und Verwenden von IniEditor finden Sie Windows NT finden Sie im Abschnitt n zu den Dateiposiionen 4 W hlen Sie den Abschnitt Server Port zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter acceptor arg aus ndern Sie im angezeigten Editierfeld die Anschlu nummer Speichern Sie die Datei und beenden Sie das Programm Starten Sie das Trust Authority System ONO Stellen Sie sicher da der ge nderte Server Anschlu an alle lokalen und fer nen Dateien vom Typ Audi
95. den oder ob diese ber schrieben wird a W hlen Sie den Parameter trace log append aus b ndern Sie im angezeigten Editierfeld den Wert des Parameters Der Wert lautet true zum Anf gen oder false zum berschreiben Speichern Sie die Datei und beenden Sie das Programm Starten Sie das Trust Authority System Namen und Pfad der Fehlerprotokolldatei ndern Das Fehlerprotokoll enth lt Fehlernachrichten des Pr fsubsystems Gehen Sie wie folgt vor um den Dateinamen und den Pfad des Fehlerprotokolls zu ndern 1 2 6 7 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter Starten Sie den Editor IniEditor und laden Sie die AuditC lient i ini Informationen zum Starten und Verwenden von IniEditor finden Sie een n zu den Dateipositionen W hlen Sie den Abschnitt Error aus zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter error log filename aus ndern Sie im angezeigten Editierfeld den Wert des Parameters Speichern Sie die Datei und beenden Sie das Programm Starten Sie das Trust Authority System Pr fberichte generieren Anweisungen zum Generieren von Pr fberichten finden Sie im Handbuch IBM DB2 Universal Database SQL Reference Version 5 2 Pr fprotokolldateien archivieren und unterzeichnen Mit dem Trust Authority Tool Audi
96. det 3 Melden Sie sich bei Trust Authority als der Benutzer an der das System auf der Maschine installiert hat auf der sich der anfordernde CA befindet 4 F hren Sie den Befehl CaCertRq aus und zwar unter AIX ber die Befehlszeile und unter Windows NT ber die DOS Eingabeaufforderung Stellen Sie bei Ausf hrung des Befehls CaCertRq sicher dafs Sie den absoluten Pfad und den Namen der Vorabregistrierungsdatei eingeben Informationen zur Befehlssyntax und Parameterbeschreibungen finden Sie im Abschnitt Anmerkung VVenn Sie als Parameter eines Befehls einen Verzeichnispfad angeben der eingebettete Leerzeichen enth lt m ssen Sie den Pfad in doppelte Anf hrungszeichen setzen F r den Befehl CaCertRq beispielsweise w rden Sie den Parameter r vorabregi strierungspfad mit eingebetteten Leerzeichen folgenderma en angeben CaCertRq d companyA com r c Program Files IBM Trust Auhority ccprereg reg P 1835 W Secure99 IP Adre maske angeben Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat anfordern das die G ltigkeit des Zertifikats auf die IP Adressen einschr nkt die von Ihrem Unternehmen ver wendet werden Im folgenden Beispiel ist das Betriebssystem AIX Ihr Unternehmen verwendet IP Adressen im Bereich von 9 0 0 0 bis 9 255 255 254 die Vorabregistrierungsdatei befindet sich im Pfad tmp ccprereg reg und das Kennwort lautet Secure99 Folgender Befehl plaziert den angegebenen Adressenbereich i
97. ditierfeld die Anschlu nummer 10 11 12 13 W hlen Sie den Abschnitt General aus zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter Issuer1URL1 aus ndern Sie im angezeigten Editierfeld die Anschlu nummer Speichern Sie die Datei und beenden Sie das Programm Starten Sie das Trust Authority System CA Sendeaufrufintervall ndern Das CA Sendeaufrufintervall ist die Zeit in Sekunden s Minuten m oder Stun den h zwischen den Abfragen der Arbeitsablaufwarteschlange durch den CA Server Die Elemente in dieser Warteschlange deren Zuteilungszeit abgelaufen ist werden f r die Verarbeitung zugeteilt Gehen Sie wie folgt vor um das Sende aufrufintervall zu ndern 1 2 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das Trust Authority System Lesen Sie die Anwei sungen unter Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei jonah ca ini Informationen zum Starten und Verwenden von IniEditor finden Sie bei kerwenden auf Seiteg Informationen zu den Datei 300 AIX und Windows NT finden Sie im Abschnitt 20 VVahlen Sie den Absehnitt Transport aus zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter PollInterval aus Andern Sie im angezeigten Editierfeld den VVert f r das Sendeaufrufintervall Speichern Sie die Datei und beenden Sie das Programm
98. e CA Hierarchie eines anderen CA bernimmt und die G ltigkeit des Zertifikats auf alle bis auf ein Element einer Gruppe von E Mail Adressen einschr nkt Im folgenden Beispiel hat der Trust Authority CA Host die E Mail Adresse outCA us companyA com Pfad und Datei name der Vorabregistrierungsdatei lauten tmp ccprereg reg und das Kennwort lautet Secure99 Folgender Befehl plaziert die angegebene E Mail Adresse in der Liste nicht zul ssiger Unterverzeichnisstrukturen CaCertRq m us companyA com M outCA us companyA com h r tmp ccprereg reg P 1835 Secure99 Trust Authority Systemverwaltung URIs angeben Sie k nnen ein CA Zertifikat anfordern das die CA Hierarchie eines anderen CA bernimmt und die Giiltigkeit des Zertifikats auf eine Gruppe von URIs Uniform Resource Identifiers eine Kennungskategorie die hauptsachlich aus URL Adressen besteht einschrankt Im folgenden Beispiel wird das Betriebssystem Windows NT verwendet alle Trust Authority CA Hosts verf gen ber URIs die mit xyz com enden Pfad und Dateiname der Vorabregistrierungsdatei lauten a ccprereg reg und das Kennwort lautet Secure99 Folgender Befehl plaziert die angegebene URI in der Liste zul ssiger Unterverzeichnisstrukturen CaCertRq u xyz com h r a ccprereg reg P 1835 W Secure99 Anmerkung Der Knotenabschnitt der URI unterliegt den im Abschnitt DNs 2 el beschriebenen Regeln sofern er keine IP ar enth lt In diesem Fall wird er als exakte bere
99. e wie folgt vor um das RA Wiederholungsintervall zu andern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter 3 Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei jonahra ini Informationen zum Starten und Verwenden von IniEditor finden Sie bei Bedarf im Abschnitt an zu den Datei unter AIX und Windows NT finden Sie im Abschnitt Laat seite id 4 W hlen Sie den Abschnitt Transport aus zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter RetryInterval aus 5 ndern Sie im angezeigten Editierfeld den Wert f r das Wiederholungs intervall 6 Speichern Sie die Datei und beenden Sie das Programm 7 Starten Sie das Trust Authority System RA Server Protokolle pr fen Sie k nnen die Protokolle des RA Servers an den im Abschnitt Habelle 7 beschrie benen Positionen pr fen Tabelle 7 RA Server Protokolle AIX Standardpfad Windows NT Standardpfad Beschreibung usr lpp iau pkrf Domains YourDomain c Program Files IBM Trust Protokolldateien haben logs Authority pkrf Domains den Namen irgrasvr YourDomain logs und die Erweiterung log zuf llige_Nummer Anmerkung In der 7 7 Form protokolliert der RA Server nicht die _ enth lt 0 angen und 593 zu Ver Stufen wenn Sie die RA Server Protokollierung auf Debug Stufe aktiv
100. en Anfordern des Identit tsnachweises als RA Administrator und zum Hinzuf gen eines weiteren RA Administrators Eigenen Benutzereintrag als ersten Registrator hinzuf gen Gehen Sie wie folgt vor um sich selbst dem Trust Authority System als Registrator hinzuzuf gen 1 Fordern Sie ein Browser Zertifikat an sofern Sie noch keines besitzen Fahren Sie fort wenn Sie dieses Zertifikat erhalten haben N here Informationen hierzu finden Sie im Benutzerhandbuch 2 Tragen Sie eine der folgenden Identifikationscodes ein Die Anforderungs ID die w hrend der Browser Registrierung f r Sie gene riert wurde Wenn Sie sich erst k rzlich f r ein Browser Zertifikat registriert haben verf gen Sie m glicherweise noch ber diese ID e Die Identit tsnachweis UUID eindeutige Benutzer ID die aufgrund der erfolgreichen Browser Registrierung generiert wurde Gehen Sie folgenderma en vor um Ihre Identit tsnachweis UUID zu erhal ten 34 Trust Authority Systemverwaltung a Starten Sie eine interaktive DB2 Befehlszeilensitzung Verwenden Sie je nach Betriebssystem folgende Prozeduren Unter AIX 1 Geben Sie an der Eingabeaufforderung den Befehl su ein um zum Eintrag des Benutzers mit Administratorberechtigung zu wechseln der Trust Authority installiert hat 2 Geben Sie das Kennwort dieses Trust Authority Benutzers ein 3 Geben Sie den Befehl db2 ein um die DB2 Sitzung zu starten 4 Geben Sie an der DB2 Eingabeaufforde
101. en dem Sie einen Parameter hinzuf gen wollen 2 Geben Sie im Feld Parameter den Namen des Parameters an w Geben Sie im Feld Wert den Wert des Parameters an 4 Klicken Sie auf OK Der neue Parameter wird in der Baumstruktur unter dem gew hlten Abschnitt und auf der rechten Seite des Fensters in einem Editierfeld angezeigt Datei speichern Mit IniEditor k nnen Sie die aktuelle Ini Datei unter demselben oder einem anderen Namen speichern oder das Programm beenden Wurde die Datei ge ndert fordert Sie der Editor zum Sichern der nderungen auf Sowohl die Option Sichern als auch die Option Beenden mit Sicherung speichern die aktuelle Datei als Sicherungskopie mit der Erweiterung save und berschreiben die alte Datei Trust Authority IP Adressen ndern Wurde das Trust Authority System mit einem einzigen Host Namen auf einer einzigen Maschine installiert und konfiguriert k nnen Sie die IP Adresse dieser Maschine mit folgender Prozedur ndern 1 Stoppen Sie das Trust Authority System 2 ndern Sie die IP Adresse der Maschine gem den Regeln Ihres Unterneh mens 3 Fahren Sie die Maschine herunter und starten Sie sie erneut 4 Starten Sie das Trust Authority System Kapitel 3 Informationen zur Vorgehensweise 11 Dieses Dokument behandelt keine anderen Szenarien mit mehreren Maschinen IP Adressen mit mehreren Host Namen oder Anderungen von Host Namen Infor mationen zu aktuellen Prozeduren erhalt
102. en Sie tiber die Bibliotheksseite Library auf der Web Site von IBM SecureWay Trust Authority System sichern und wiederherstellen Dieser Abschnitt behandelt die Sicherung und Wiederherstellung von IBM Secur eWay Trust Authority Folgende Themen werden ausf hrlich behandelt Richtlinien f r das Sichern und Wiederherstellen der Trust Authority Datenbanken Sichern und Wiederherstellen der Betriebssysteme AIX und Windows NT Klonen des IBM SecureWay 4758 PCI Cryptographic Coprocessor Sichern und Wiederherstellen unter AIX und Windows NT Um Trust Authority unter AIX oder Windows NT korrekt sichern zu k nnen m ssen Sie zun chst alle Trust Authority Prozesse in folgender Reihenfolge her unterfahren 1 Trust Authority 2 DB2 Datenbanken Datenbanken m ssen unabh ngig vom verwendeten Sicherungsdienstprogramm heruntergefahren werden Der Directory Server und DB2 verwenden asynchrone Schreibzugriffe Solange diese Prozesse nicht heruntergefahren sind kann nicht gew hrleistet werden da die Daten in den Speicherpuffern mitgesichert werden Je n her Sie das System an einen Einzelbenutzer Wartungsmodus heranf hren desto besser wird die Datensicherung Informationen zum Stoppen und Starten von Trust Authority finden Sie im Abschnitt 5257277577 Informationen zum Stoppen und Starten der Datenbanken finden Sie im Handbuch IBM DB2 Universal Database Command Reference Version 5 2 Fir Sicherungsdienstprogramme empfiehlt I
103. en Unterabschnitte an und w hlen Sie anschlie end den Parameter Port Anschlu aus ndern Sie im angezeigten Editierfeld die Anschlu nummer des Pr f Servers Speichern Sie die Datei und beenden Sie das Programm Starten Sie das Trust Authority System Stellen Sie sicher da der ge nderte Anschlu wert dem Wert des Parameters acceptor arg in der Datei AuditServer ini entspricht Diese Datei befindet sich auf dem Pr f Server Trust Authority Systemverwaltung Sendevveise f r Ereignisse vom Pr f Client andern Der Pr f Client sendet Pr fereignisse an den Pr f Server Sie k nnen das Senden bestimmter Ereignisse an den Priif Server unterbinden indem Sie in der Datei AuditClient ini eine Pr fmaske definieren Einige Ereignisse m ssen jedoch immer gesendet werden Informationen zu verbindlichen und wahlfreien Pr fereignissen finden Sie im Abschnitt Priifereignisse auf Seite 1101 Dar ber hinaus k nnen Sie auch die Anzahl der Wiederholungsversuche nach dem ersten Sendeversuch des Pr f Clients an den Pr f Server definieren Sie k nnen auch die Zeit in Millisekun den angeben die zwischen den Wiederholungsversuchen fiir das Herstellen einer Verbindung zum Server gewartet werden soll Pr fmaske definieren Gehen Sie wie folgt vor um eine Priifmaske zu definieren 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sung
104. en Vor und Nachname Aktualisierungsdatum Erstellungsdatum und Ablaufdatum des Zertifi kats Zeigt der RA Desktop die zu einer Abfrage gefundenen Eintr ge in Tabellen form an kann der Registrator f r die Ergebnisse weitere Ma nahmen ergreifen So kann er beispielsweise eine Registrierungsanforderung best tigen oder zur ckwei sen oder den Erneuerungsstatus eines Zertifikats widerrufen oder ndern Registrierungsdom nen Eine Registrierungsdom ne ist eine Gruppe von Ressourcen Regeln und Konfigu rationsoptionen die sich auf bestimmte Registrierungsprozesse f r Zertifikate beziehen Der Dom nenname ist eine Untergruppe der URL Adresse die zum Widerrufen von Registrierungsoperationen verwendet wird Sie dient als eindeu tige Unterzeichnung der Anwendung Trust Authority unterst tzt eine Registrie rungsdom ne pro Trust Authority Installation IBM SecureWay 4758 PCI Cryptographic Coprocessor 70 Der IBM SecureWay 4758 PCI Cryptographic Coprocessor ist eine programmierbare PCI Bus Verschl sselungskarte mit Manipulationsschutz die zur Gew hrleistung der Vertraulichkeit und Integrit t des Unterschriftsschl ssels Ihres Unternehmens beitr gt Diese Karte verwendet die API der IBM Common Cryptographic Architecture CCA und stellt umfassende Verschl sselungsservices einschlie lich DES und RSA Verschl sselung zur Verf gung DES und RSA sind die am weite sten verbreiteten Algorithmen f r kommerzielle Verschl sselungssy
105. en finden Sie im Abschnitt D Status des Pr f Servers pr fen Je nach Umgebung k nnen Sie den Status des Pr f Servers mit folgenden Prozedu ren pr fen Unter AIX 1 Melden Sie sich bei AIX als Root an 2 Pr fen Sie die Proze tabelle und suchen Sie nach folgender Zeichenfolge java Finden Sie diesen Proze fahren Sie mit Schritt B fort Finden Sie diesen Proze nicht lesen Sie bitte im Abschnitt nach 3 Wechseln Sie in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standardpfad usr 1pp 1au bin 4 Pr fen Sie ob der Anschlu in diesem Fall Anschlu 59998 erfolgreich antvvortet indem Sie folgenden Befehl eingeben ServerControl i c k AUDIT n Server p 59998 1 Protokolldatei Hierbei steht Serverf r den Namen des Pr f Servers der mit dem angegebe nen Anschlu in diesem Fall Anschlu 59998 zugeordnet ist und Protokoll datei f r den Namen der Datei in der die Ergebnisse des Befehls ServerCon trol aufgezeichnet werden sollen Ist die Antwort des gepr ften Anschlusses erfolgreich wird folgende Nach richt angezeigt Der Pr f Server wird momentan ausgef hrt Hierbei steht Server f r den Server der dem Anschlu 59998 zugeordnet ist Unter Windows NT 1 Melden Sie sich bei Windows NT als Systemadministrator an Kapitel 3 Informationen zur Vorgehensweise 55 2 Starten Sie den Task Manager durch Dr cken der Tastenkombination Strg Alt und Entf 3 W hlen
106. en ist Beispiel Abschnitt Ein Abschnitt kann eine oder mehrere Anweisungen mit Zuordnungen von Para metern und Werten Parameter Wert enthalten Die hier aufgef hrten Tabellen enthalten alle Abschnitte und Parameter der Trust Authority Konfigurationsdateien die zum Zwecke der Systemverwaltung editiert werden k nnen Die Tabellen enthalten folgende Spalten Parameter Beschreibung Wert gem Standardkonfiguration 77 Diese Spalte enthalt den Standardwert sofern vorhanden Wenn ein Standard wert existiert ist ein Parameter wahlfrei andernfalls ist er erforderlich Problemlos nderbar nach Standardkonfiguration In dieser Spalte wird angegeben ob ein Wert ge ndert werden kann oder nicht Dieses System ignoriert Leerzeichen Einheiten m ssen in der korrekten Reihen folge eingegeben werden CA Server Konfigurationsdatei Tabelle 14 auf Seite 79 enth lt eine Beschreibung der Parameter der Konfigurations datei f r CA Server jonahca ini 78 Trust Authority Systemverwaltung snurqrno3rer ssniq s uN esp pt VSC s p uonruyoq vsd s8py yr rn urur4sy1 ATOg VED MTuydsqy un ZaureNAdTOg UT N 0112 IF CIO sours agedurg rp any rds q z orlod a AW AdyogveaD Wuysqy wt Tauren AoTog uN LLOVEL IMJ CIO U sqedurg rp my rdsr g OJ WN UT N CL 99 LEESELL OPS siseqyiomuuay jne DYN ny AIO DVWpasegpiomsseg UN Tcc 6 VeTse1lT
107. en unter a a 3 Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei AuditC lient ini Informationen zum Starten und Verwenden von IniEditor finden Sie bei Bedarf im Abschnitt re zu den Datei puna pas unter AIX und Windows NT finden Sie im Abschnitt belle 1 auf Seite 1d 4 W hlen Sie den Abschnitt CA zeigen Sie die zugeh rigen Unterabschnitte an und w hlen Sie anschlie end den Parameter ExcludedEvents aus 5 F gen Sie im angezeigten Editierfeld die Namen der vom CA generierten Pr f ereignisse hinzu die vom Pr f Client zur ckgehalten werden sollen Die Namen der Pr fereignisse m ssen durch Kommas getrennt werden Geben Sie nur wahlfreie Ereignisse an 6 W hlen Sie den Abschnitt RA aus zeigen Sie die zugeh rigen Unterabschnitte an und w hlen Sie anschlie end den Parameter ExcludedEvents aus 7 F gen Sie im angezeigten Editierfeld die Namen der von der RA generierten Pr fereignisse hinzu die vom Pr f Client zur ckgehalten werden sollen Die Namen der Pr fereignisse m ssen durch Kommas getrennt werden Geben Sie nur wahlfreie Ereignisse an Informationen zu den Namen von Pr fereignissen finden Sie im Abschnitt 8 Speichern Sie die Datei und beenden Sie das Programm 9 Starten Sie das Trust Authority System Anzahl der Wiederholungen f r das Senden von Ereignissen ndern Gehen Sie wie folgt vor um die Anzahl von Wiederholungsversuchen nach dem ersten Sendeversuch des Pr f Cli
108. en von Nachrichtenauthentifizierungscodes MAC verwendet werden Ereignisbevvertung event_severities Diese Tabelle beschreibt die Bewertung von Ereignissen Ereignissteuerung event_ctl Diese Tabelle beschreibt alle priifbaren Ereignisse Quellen Diese Tabelle enthalt eine Liste aller Ereignisquellen Berechtigte Entit ten auth entities Diese Tabelle enth lt eine Liste aller berechtigten Entit ten Betroffene Entit ten afctd_entity_types Diese Tabelle enth lt eine Liste aller betroffenen Aufgabenbereiche Berechtigte Aufgabenbereiche auth_roles Diese Tabelle enth lt eine Liste aller Aufgabenbereiche f r berechtigte Entit ten Komponentenarten component_types Diese Tabelle enth lt eine Liste aller Komponentenarten Pr fprotokoll audit_log Dies ist die Haupttabelle f r Eintr ge im Pr fprotokoll Systemereignis Diese Tabelle enth lt Informationen die f r das gesamte Pr fsystem gelten Die Tabelle hat nur eine Zeile Kapitel 5 Referenzinformationen 113 Schlusseltabelle Die Schliisseltabelle enthalt Informationen zu allen vom Pr fsystem verwendeten Chiffrierschltisseln Tabelle 20 Felder der Schl sseltabelle Feld Beschreibung Datentyp key_id Die eindeutige interne Sehl sselkennung smallint alg_oid Der dem Schliissel zugeordnete Algorithmus varchar label Der KeyStore Kennsatz oder ein Token zur Lokalisierung des realen Sehl ssels
109. en zugegriffen werden soll Computer B implementiert ist Wenn ein Endbe nutzer eine Anforderung f r eine Ressource ber Com puter A absetzt wird diese an den Proxy Server gelei Glossar 135 tet Dieser sendet die Anforderung an Computer B erh lt von diesem die Antwort und leitet diese an den Endbenutzer weiter Mit Hilfe eines Proxy Servers kann ber einen Computer der sich innerhalb einer Firewall befindet auf das World Wide Web zugegriffen werden Pr f Client Jeder Client im System der Pr fereignisse an den Trust Authority Pr f Server sendet Bevor ein Pr f Client ein Ereignis an den Pr f Server sendet stellt er eine Verbindung zu diesem her Nach der Herstellung der Verbindung vervvendet der Client die Client Bibliothek des Pr fsubsystems um Ereignisse an den Pr f Server zu bertragen Pr f Server Ein Trust Authority Server der zum Empfangen von Pr fereignissen von Pr f Clients und zum Aufzeichnen dieser Ereignis in einem Pr f protokoll dient Priifprotokoll Daten in Form eines logischen Pfades die eine Folge von Ereignissen verbinden Mit dem Pr fprotokoll k nnen Transaktionen oder der bisherige Verlauf einer bestimmten Aktivit t verfolgt werden Pr fprotokoll Bei Trust Authority eine Tabelle in einer Datenbank in der f r jedes Pr fereignis ein Datensatz gespeichert wird Pr fzeichenfolge Eine Zeichenfolge die von einem Server oder einer Anwendung gesendet wird und zum Anfordern der B
110. enfalls die Anwei sungen unter 2 2 3 Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei AuditS erver ini Informationen zum Starten und Verwenden von IniEditor finden Sie bei Bedart i im Abschnitt Informationen zu den Datei os LONEN unter AIX und Windows NT finden Sie im Abschnitt Tahelle Lauf Seite 10 4 Wahlen Sie den Abschnitt Trace aus und zeigen Sie die zugeh rigen Unterab schnitte an Weitere Schritte Gehen Sie wie folgt vor um die Trace Funktion zu aktivieren oder zu inakti vieren a Wahlen Sie den Parameter trace enable aus Kapitel 3 Informationen zur Vorgehensweise 51 5 6 b Andern Sie im angezeigten Editierfeld den Wert des Parameters Sie m ssen zum Aktivieren die Zeichenfolge true und zum Inaktivieren die Zeichenfolge false eingeben Gehen Sie wie folgt vor um die Trace Stufe zu ndern a W hlen Sie den Parameter trace level name aus b ndern Sie im angezeigten Editierfeld den Wert des Parameters Sie m ssen eine Zeichenfolge eingeben Eine Liste der Trace Stufen finden Sie im Abschnitt Gehen Sie wie folgt vor um Dateiname und Pfad des Trace Protokolls zu ndern a W hlen Sie den Parameter trace log filename aus b ndern Sie im angezeigten Editierfeld den Wert des Parameters Sie m ssen eine Zeichenfolge eingeben Gehen Sie wie folgt vor um die Markierung zu ndern die angibt ob Daten an die bereits vorhandene Trace Datei angef gt wer
111. ents zu ndern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter 3 Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei AuditC lient ini Informationen zum Starten und Vervvenden von IniEditor finden Sie bei Bedarf i im Abschnitt Informationen zu den Datei ea ama unter AIX und Windows NT finden Sie im Abschnitt belle 1 auf Seite 1d 4 W hlen Sie den Abschnitt Connection aus zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter Retries aus 5 ndern Sie im angezeigten Editierfeld den Wert des Parameters Retries Kapitel 3 Informationen zur Vorgehensweise 47 6 Speichern Sie die Datei und beenden Sie das Programm 7 Starten Sie das Trust Authority System Intervall zwischen Wiederholungsversuchen andern Um das Intervall zwischen Wiederholungsversuchen zu ndern gehen Sie wie folgt vor 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter 3 Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei AuditC lient ini Informationen zum Starten und Verwenden von IniEditor finden Sie bei Bedarf i im Abschnitt Informationen zu den Datei ren unter AIX und Windows NT finden Sie im Abschnitt shell Laaf Seite 1d 4 W hlen Sie
112. enutzerberechtigung dient Der Benut zer der zur Authentifizierung aufgefordert wird unter zeichnet die Pr fzeichenfolge mit einem privaten Schl ssel Der ffentliche Schl ssel des Benutzers sowie die unterzeichnete Pr fzeichenfolge werden zur ck an den Server oder die Anwendung gesendet der bzw die die Authentifizierung anforderte Der Server versucht anschlie end die unterzeichnete Pr fzeichenfolge mit Hilfe des ffentlichen Schl ssels des Benutzers zu entschl sseln Wenn die entschl sselte Pr fzeichenfolge mit der urspr nglich gesendeten Pr fzeichenfolge bereinstimmt gilt der Benutzer als authentifiziert Public Key Cryptography Standards PKCS Infor melle hersteller bergreifende Standards die im Jahr 1991 von den RSA Laboratories in Zusammenarbeit mit Repr sentanten verschiedener Computerhersteller entwickelt wurden Diese Standards umfassen die RSA Verschl sselung die Diffie Hellman Vereinbarung die kennwortbasierte Verschl sselung sowie die Syntax f r erweiterte Zertifikate verschl sselte Nachrichten Daten zu privaten Schl sseln und f r die Zertifizierung PKCS 1 beschreibt ein Verfahren zum Verschl sseln von Daten mit Hilfe des RSA Verschl sselungssystems auf der Basis ffentlicher Schl ssel Er dient zur Erstellung digitaler Unter schriften und Briefumschl ge e PKCS 7 definiert ein allgemeines Format f r ver schl sselte Nachrichten e PKCS 10 definiert eine Standardsyntax f r
113. er Zertifikatsanforderung an den Kapitel 5 Referenzinformationen 105 Benutzer zur ckgegebene ID oder die Identit tsnachweis UUID die Sie erhal ten wenn Sie mit Hilfe von RA Desktop den Zertifikatseintrag des Benutzers anzeigen Wenn Sie den Parameter f r die ID angeben geht das Programm zun chst davon aus da es sich bei der ID um eine Anforderungs ID handelt Es ver wendet anschlie end diesen Wert um die Identit tsnachweis UUID festzustel len beispielsweise spOApHvpzvCicr1Ts sskKw Das Zertifikat mu also bereits zuvor an den Benutzer ausgestellt worden sein der die Berechtigung als Regi strator anfordert Kann kein bereinstimmender Eintrag in der Registrierungsdatenbank gefun den werden geht das Programm davon aus da es sich bei der ID um eine Identit tsnachweis UUID handelt Es versucht einen entsprechenden Anforderungseintrag zu finden Kann keine bereinstimmung gefunden wer den gibt das Programm eine Warnung aus und versucht einen Eintrag zur Tabelle der Registratoren rausers in der Datenbank hinzuzuf gen access_profile Ein wahlfreier Parameter der das Zugriffsprofil angibt das dem Registrator zugeordnet ist den Sie dem System hinzuf gen Wenn Sie keinen Wert ange ben verwendet das Programm den Standardwert RAUser Bei diesem Parameter mu es sich um ein g ltiges Profil handeln das in einer der Trust Authority Konfigurationsdateien f r die Registrierungsverwaltung angegeben wurde Das
114. er spezifischen Ressource auf berechtigte Benutzer Zu den Trust Authority Komponenten die ACLs nutzen z hlen CA RA und das Directory Der CA verwendet ACLs um den Zugriff auf CA Funktionen wie beispielsweise die Erstellung von Zertifikaten zu beschr nken Die RA verwendet ACLs um den Zugriff auf RA Funktionen wie beispielsweise die Genehmigung von Anforderun gen zu beschr nken Das Directory nutzt ACLs um den Zugriff auf verschiedene Directory Bereiche zu begrenzen die m glicherweise sensible Informationen ent halten Zertifikatsaussteller Ein Zertifikatsaussteller CA Certificate Authority ist die Entit t die f r die Ein haltung der Sicherheitsregeln eines Unternehmens verantwortlich ist und sichere elektronische Identit ten in Form von Zertifikaten zuweist Die mit dem privaten Schl ssel des CA unterzeichneten Zertifikate enthalten Identifikations und andere Informationen zum Eigent mer des Zertifikats Der IBM Trust Authority CA hat folgende Aufgaben Verarbeitung von Ausstellungs Erneuerungs oder Widerrufanforderungen der RAs 63 Verwaltung einer Zugriffssteuerungsliste ACL die durch Dateiberechtigungen geschtitzt ist Diese Liste enthalt die registrierten Namen DNs berechtigter RAs und Administratoren Verwaltung einer Liste der ausgegebenen Zertifikate ICL Issued Certificates List in der CA Datenbank Diese Liste enthalt Informationen zum Zertifikatsta tus zur Seriennummer sow
115. erbei ein Schl sselpaar zugeordnet das einen allgemeinen f r alle zug ngli chen Schl ssel und einen privaten Schl ssel umfa t der nur dem jeweiligen Benutzer bekannt ist Eine gesicherte Transaktion kann ausgef hrt werden wenn der ffentliche Schl ssel sowie der zugeh rige private Schl ssel bereinstimmen In diesem Fall kann die Transaktion entschl sselt werden Dieses Verfahren wird auch als Verschl sselung auf der Basis von Schl sselpaaren bezeichnet Gegensatz zu Symmetrische Verschl sselung Asynchrone bertragung Ein bertragungsmodus bei dem Sender und Empf nger nicht gleichzeitig vorhanden sein m ssen Authentifizierung Der Vorgang bei dem die Identit t eines Teilnehmers an einer bertragung zuverl ssig berpr ft wird Base64 Verschl sselung Ein h ufig verwendetes Verfahren bei der bertragung von Bin rdaten mit MIME Basic Encoding Rules BER Die Regeln die in ISO 8825 fiir die Verschliisselung von in ASN 1 beschriebe nen Dateneinheiten angegeben sind Die Regeln geben das Verschl sselungsverfahren jedoch nicht die abstrakte Syntax an 129 Benutzerauthentifizierung Der Proze mit dem berpr ft vvird ob der Absender einer Nachricht die berechtigte Person ist als die er sich ausgibt Der Pro ze berpr ft au erdem ob ein Kommunikations teilnehmer auch tatsachlich mit dem ervvarteten Endbe nutzer oder System in Verbindung steht BER Basic Encoding Rules Berecht
116. erst tzt das Archivieren des aktuellen Pr fprotokolls in eine Archivdatei Hierzu wird das Befehlszeilen Tool Audit Archive and Sign verwen det DB2 Datenbanken IBM DB2 Universal Database DB2 UDB ist ein web f higes Verwaltungssystem f r relationale Datenbanken mit Java Unterst tzung In Trust Authority k nnen mit IBM DB2 Universal Database folgende Tasks ausgef hrt werden Verwalten von Informationen zu Registrierungsprozessen f r digitale Zertifikate Speichern von Informationen zu RA Aktionen mit denen Anforderungen f r digitale Zertifikate genehmigt oder zur ckgewiesen werden Diese Informatio nen werden zu Pr fungszwecken verwendet Bereitstellen von Betriebsstatistiken zur Gesamtauslastung der Trust Authority Registrierungsfunktion Bereitstellen von Datenbanken f r den Trust Authority CA die RA das Pr fsub system das Directory und die Trust Authority Konfigurationsdaten Kapitel 4 Erl uterungen 73 Web Server Web Server sind Server Programme die auf Informationsanforderungen von Brow sern reagieren Trust Authority verwendet IBM WebSphere Softwareprodukte um eine gesicherte Grundlage fiir solche Netztransaktionen bereitzustellen Der WebSphere Application Server und der IBM HTTP Server stellen in Trust Authority die Infrastruktur f r Web Server Funktionalit t zur Verf gung In einem Trust Authority System befindet sich die Web Server Software auf der gleichen Maschine wie die RA
117. erst tzung f r die Steue rung der Pr fereignisse die an den Pr f Server vveitergeleitet vverden Beachten Sie da eine verbindliche Untermenge von Pr fereignissen nicht von Maskenspezi fikationen beeinflufst wird Informationen zum Definieren einer Maske f r Pr fereignisse finden Sie im Absehnitt Verbindliche und vvahifreie Pr fereignisse Eine bestimmte Untermenge von Pr fereignissen ist verbindlich Diese Ereignisse vverden von Maskendefinitionen in der Konfigurationsdatei des Pr f Clients nicht betroffen Informationen zu verbindlichen und wahlfreien Pr fereignissen finden Sie in Integritatsprufung Trust Authority bietet ein Tool mit dem gepr ft werden kann ob Pr fs tze unberechtigtervveise ver ndert wurden Dieses Tool tr gt die Bezeichnung Audit Integrity Check Integrit tspr fungen unterscheiden sich von Ma nahmen zum Schutz der Vertraulichkeit von Daten zum Zwecke der Geheimhaltung Der Pr f Server unterzeichnet nicht jeden Eintrag Statt dessen wendet er auf jeden Eintrag einen Nachrichtenauthentifizierungscode MAC Message Authentication Code an und verwaltet einen MAC f r die gesamte Datenbank Integrit tsversiegelung In Trust Authority bedeutet Integrit tsversiegelung das Unterzeichnen archivierter Datenbankdateien mit Pr fprotokollen Das Unterzeichnen erfolgt mit Hilfe des Trust Authority Befehlszeilen Tools Audit Archive and Sign Archivieren von Pr fprotokollen Trust Authority unt
118. erungspfad genutzt werden k nnen Einschr nkungen werden in Form von Unter verzeichnisstrukturen f r zul ssige oder nicht zul ssige Namen definiert Ein Name der einer Beschr nkung in einer Unterverzeichnisstruktur nicht zul ssiger Namen entspricht ist ung ltig unabh ngig von den Informationen in der Unterverzeichnis struktur der zul ssigen Namen Diese Erweiterung mu als kritisch definiert werden Regelzuordnung Diese Erweiterung wird nur in CA Zertifikaten verwendet Trust Authority definiert diese Erweiterung nicht in Zertifikaten f r die es die urspr ngliche Anforderung erstellt hat Regeleinschr nkungen Diese nur in CA Zertifikaten verwendete Erweiterung kann f r einen der folgenden Zwecke eingesetzt werden Sie kann das Zuordnen von Regeln in Zertifikaten des aktuellen Zertifizierungspfads verhindern oder f r diese Zertifikate spezifische Regeln erforderlich machen Trust Authority Systemverwaltung Tabelle 12 Zertifikatserweiterungen Forts Erweiterung Beschreibung CRL Verteilungspunkte Diese Erweiterung gibt an wo sich eine partielle CRL mit Widerrufinformationen zum aktuellen Zertifikat befindet Sie wird gesetzt wenn ein g ltiger Wert ungleich Null f r den Parameter certPerDP in der Datei jonahca ini angegeben wird Informationszugriff f r Aussteller Diese Erweiterung gibt an wo und wie auf bestimmte Informationen zum Aussteller des Zertifikats mit diese
119. erver ini n usr 1pp iau arc meine datei Unter Windows NT AuditArchiveAndSign c d Program Files IBM Trust Authority etc TrustAuthority AuditServer ini n d Program Files IBM Trust Authority arc meine datei 3 Wenn das System Sie zur Eingabe eines Kennworts KeyStore PIN auffordert geben Sie das Kennwort des Pr fadministrators ein Die Ergebnisse werden auf der Standardausgabeeinheit angezeigt Die Archivie rungsdatei erh lt die Erweiterung ixf Informationen zur Befehlssyntax und Parameterbeschreibungen finden Sie im Abschnitt Integrit t der Datenbank des Pr f Servers und der Archivie rungsdateien pr fen Trust Authority bietet ein Befehlszeilendienstprogramm mit dem die Datenbank des Pr f Servers und die archivierten Pr fdateien auf Manipulationen gepr ft werden k nnen Dieses Tool tr gt die Bezeichnung Audit Integrity Check Anmerkung Das Trust Authority System mu vor der Ausf hrung dieses Dienst programms nicht heruntergefahren werden Mit diesem Dienstprogramm k nnen Sie Manipulationen in den nachfolgenden Daten Repositories lokalisieren Sie werden in jedem Fall zur Eingabe des Kenn worts f r den Pr fadministrator KeyStore PIN aufgefordert Datenbank des Pr f Servers Eine oder mehrere Pr f Server Archivierungsdateien Alle Archivierungsdateien in einem bestimmten Verzeichnis Angenommen Sie verwenden AIX und den Trust Authority Standardpfad f r Konfigurationsdateien Me
120. erverzeichnisstrukturen nur f r einen Adre typ angegeben f r den auch eine Liste zul ssiger Unterverzeichnisstrukturen existiert Anmerkung Wenn Sie planen als Teil Ihrer allgemeinen Hierarchiel sung die hierarchischen CA Zertifikate in Netscape Communicator herunter zuladen sollten Sie die Markierung m mit dem Dienstprogramm CA Certification vervvenden um die Ervveiterung f r Namens einschr nkungen Name Constraints aus dem resultierenden CA Zertifikat auszuschlie en Mit Ausnahme von m sollten Sie keine anderen der Befehlszeilenoptionen f r Namens einschr nkungen also nicht i L d D u U n N oder m M mit dem Dienstprogramm CA Certification verwenden Die Syntax f r einen solchen Befehl sieht folgenderma en aus CaCertRq m h r vorabregistrierungspfad P 1835 W kennwort Die nachfolgenden Abschnitte erl utern anhand von Beispielen die Schritte die zum Erhalt eines CA Zertifikats mit Hilfe des Hierarchiemodells erforderlich sind 28 Trust Authority Systemverwaltung Schritte zur Anforderung eines CA Zertifikats mit Hilfe des Hier archiemodells Befolgen Sie die nachfolgend beschriebenen Anweisungen um ein CA Zertifikat mit Hilfe des Hierarchiemodells anzufordern 1 F hren Sie im Namen des anfordernden CA folgende Schritte gem den Anvveisungen zur vveb gest tzten Registrierung im Benutzerhandbuch aus a F hren Sie eine Vorabregistrierung aus und geben Sie an da die Anforde
121. f r den Zugriff auf Ver ffentlichungen in der Sprache und im For mat Ihrer Wahl finden Sie in der Informationsdatei Readme Die neueste Version der Readme Datei steht auf der folgenden Web Site von men zur Verf gung http www tivoli com support Die Trust Authority Bibliothek umfa t folgende Dokumentation Dieses Handbuch enth lt eine Produkt bersicht f hrt die Produkt voraussetzungen und Installationsverfahren auf und bietet Informationen zum Zugriff auf die verf gbare Online Hilfe f r jede Produktkomponente Dieses Buch liegt in gedruckter Form vor und wird mit dem Produkt geliefert Dieses Handbuch enth lt Basisinformationen zur Verwaltung des Trust Authority Systems Es beschreibt die Prozeduren zum Starten und Stoppen der Server zum ndern von Kennw rtern zur Verwaltung der Server Komponenten sowie zum Erstellen von Protokollen und zur Ausf hrung von Datenintegrit ts berpr fungen Dieses Handbuch enth lt Informationen zur Verwendung des Setup Wizard f r die Konfiguration eines Trust Authority Systems Sie k nnen auf die HTML Version dieses Handbuchs zugreifen w hrend Sie die Online Hilfe des Wizards nutzen Reg at o Dieses Handbuch enthalt Informationen zur Verwendung von RA Desktop f r die Verwaltung von Zertifikaten vvahrend ihres G ltigkeitszeitraums Sie k nnen auf die HTML Version dieses Handbuchs zugreifen wahrend Sie die Online Hilfe des Desktops nutzen Benutzerhandbuchl Die
122. fen ein Zertifikat von einem Directory abrufen und entscheiden ob ein Zertifikat gesichert ist Diese Verschltisselungsma schine bietet aufserdem nahtlose Unterstiitzung f r die hardwaregesttitzte Ver schliisselung Sie unterstiitzt den IBM SecureWay 4758 PCI Cryptographic Copro cessor oder jedes andere Hardware Token mit PKCS 11 Schnittstelle Alle Trust Authority Softwarekomponenten die Verschliisselungs und KeyStore Operationen durchf hren werden von dieser Verschl sselungsmaschine unter zeichnet Registrierungsstellen RA Eine Registrierungsstelle RA Registration Authority ist ein Server Prozef der die administrativen Aufgaben im Bereich der digitalen Zertifizierung bernimmt In Trust Authority kann eine RA Anforderungen genehmigen oder zur ckweisen sowie den Widerruf eines Zertifikats einleiten Die RA gew hrleistet da die gesch ftlichen und Zertifizierungsregeln eines Unternehmens eingehalten werden Registratoren Registratoren k nnen ber den Trust Authority RA Desktop administrative Tasks f r Registrierungsanforderungen ausf hren Damit ein Registrator diese Tasks ausf hren kann m ssen Sie ihn als Registrator registrieren N here Informationen hierzu finden Sie im Abschnitt ber den RA Desktop k nnen Registratoren folgende Statuswerte von Zertifikats anforderungen abrufen Empfangen Anstehend Genehmigt Nicht genehmigt Abgeschlossen Zu den weiteren Abfragefeldern des RA Desktop z hl
123. fizieller Verschl sselungsstandard der US Regierung zertifiziert Datenspeicherbibliothek DL Ein Modul das den Zugriff auf permanente Datenspeicher mit Zertifikaten CRLs Schl sseln Regeln und anderen sicherheits relevanten Objekten erm glicht DEK Document Encryption Key Dokumentver schl sselungsschl ssel DER Distinguished Encoding Rules DES Data Encryption Standard Diffie Hellman Ein Verfahren zur Datenverschl sse lung das auf der Verwendung eines gemeinsamen Schl ssels auf einem nicht gesicherten Medium basiert und nach seinen Erfindern Whitfield Diffie und Martin Hellman benannt wurde Digital Signature Algorithm DSA Ein auf ffentli chen Schl sseln basierender Algorithmus der zum Standard f r digitale Unterschriften Digital Signature Standard DSS geh rt Er kann nur f r digitale Unter schriften jedoch nicht f r die Verschl sselung verwen det werden Digitale Unterschrift Eine codierte Nachricht die an Dokumente oder Daten angef gt wird und die Identi t t des Absenders nachweist Eine digitale Unterschrift gew hrleistet ein h heres Ma an Sicherheit als eine physische Unterschrift da es sich hierbei nicht lediglich um einen verschl sselten Namen oder eine Reihe einfacher Identifikationscodes handelt Eine digitale Unterschrift enth lt eine ver schl sselte Zusammenfassung der unterzeichneten Nachricht Durch das Anf gen einer digitalen Unter schrift an eine Nachricht
124. fung 47 110 Ereignisse f r Pr fadministratoren 72 Erweiterungen allgemein 67 Erweiterungen Forts Anforderungsablauf 67 Namenseinschr nkungen 31 privat 67 Standard 65 Zertifikat 64 F Fehlerbehebung 120 Fehlerprotokoll 52 Felder Pr fereignisse 109 G gegenseitige Zertifizierung 64 Gegenseitige Zertifizierung 25 68 Gesicherte Kommunikation 1 Grundlegende Einschr nkungen Erweite rung 65 G ltigkeitspr fung Unterschrift 69 H Hierarchie 28 Hierarchien CA 64 Hinzuf gen von Registratoren 34 Host Name 41 46 HTTP Server 17 Protokolle pr fen 19 Status 17 verwalten 17 IBM HTTP Server 17 74 IBM SecureWay 4758 PCI Cryptographic Coprocessor 61 70 klonen 12 Verschliisselungskoprozessor 70 verwalten 61 IBM WebSphere Application Server 74 Protokolle 16 Status 16 verwalten 16 ICL Issued Certificate List 69 Schutzregel 23 Schutzschliissel 24 Informationszugriff fiir Aussteller Erwei terung 65 IniEditor Dienstprogramm Abschnitt hinzuf gen 11 ausf hren 9 Datei speichern 11 Parameter editieren 11 Parameter hinzuf gen 11 verwenden 10 Integrit t 69 Integrit tspr fung 24 53 73 Integrit tsversiegelung 73 143 IP Adressen ndern 11 IP Adre maske 26 29 IP Aliasing 75 ISO 76 Issued Certificate List ICL 69 ITU Standard 65 76 J jonahca ini 10 78 jonahra ini 10 87 K Kennwort fiir Steuerprogramm 5 Kennvv rter 4758 CA Profil 6 ndern 5 Directory Administrator 5
125. gabeaufforderung den Befehl su ein um zum Eintrag des Benutzers mit Administratorberechtigung zu wechseln der Trust Autho rity installiert hat Geben Sie das Kennwort dieses Trust Authority Benutzers ein Geben Sie den folgenden Befehl ein set DB2INSTANCE TrustAuthority_instance Hierbei steht TrustAuthority_instance fur die ID des Benutzers der Trust Authority installiert hat Geben Sie f r die Standard Konfigurationsdatenbank den Befehl db2 connect to cfgdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 5 2 0 SQL authorization ID TrustAuthority instance Local database alias cfgdb Geben Sie ftir die Standard CA Datenbank den Befehl db2 connect to ibmdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 5 2 0 SQL authorization ID TrustAuthority_instance Local database alias ibmdb Geben Sie f r die Standard Registrierungsdatenbank den Befehl db2 connect to pkrfdb ein Kapitel 3 Informationen zur Vorgehensweise 57 58 11 12 Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 5 2 0 SQL authorization ID TrustAuthority_instance Local database alias pkrfdb Geben Sie fiir die Standard Prtifdatenbank den Befehl db2 connect to adtdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 5 2
126. gen unter Starten Sie den Editor IniEditor und laden Sie die AuditS erver ini Informationen zum Starten und Verwenden von IniEditor finden Sie Windows NT finden Sie im Abschnitt n zu den Dateipositionen Wahlen Sie den Abschnitt Server Port aus zeigen Sie die zugeh rigen Unterab schnitte an und vvahlen Sie anschliefsend den Parameter acceptor init delay aus Andern Sie im angezeigten Editierfeld die Zeit in Sekunden zwischen den Bindungsversuchen Der Standardwert lautet 3 Das Programm geht von Sekunden aus Speichern Sie die Datei und beenden Sie das Programm Starten Sie das Trust Authority System Protokolleinstellungen andern Sie k nnen die Einstellungen in der Datei AuditServer ini f r folgende Protokoll typen ndern Ereignisprotokoll Zur Aufzeichnung von Pr fereignissen Pr fprotokoll Zur Speicherung integrit tsgesch tzter Pr fereignisse in der Datenbank Trace Protokoll Zur Aufzeichnung von Programmaktivit ten Fehlerprotokoll F r Fehlernachrichten Kapitel 3 Informationen zur Vorgehensweise 49 Aufzeichnungsart fur Pr fereignisse andern Das Ereignisprotokoll ist eine Datei zur Aufzeichnung von Ereignissen Sie k nnen folgende Konfigurationsparameter ndern Den Dateinamen und den Pfad des Ereignisprotokolls Die Markierung die angibt ob Daten an das bereits vorhandene Ereignis protokoll angef gt werden oder ob diese berschrieben wird Gehen Sie wie fol
127. genseitiges Zertifikat vom jeweils anderen CA erh lt Trust Authority unterst tzt eine gegenseitige Zertifizierung nur zwischen CAs die das PKIX CMP Protokoll einhalten Zertifizierung Als Zertifizierung bezeichnet man die Erstellung eines digitalen Zertifikats f r eine Entit t oder eine Person In Trust Authority erfolgt die Zertifizierung nur nach Pr fung und Best tigung einer Zertifizierungsanforderung durch die RA Als Ergebnis der Registrierung stellt der CA die entsprechenden Zertifikate aus Digitale Zertifikate Ein digitales Zertifikat ist ein elektronischer Identit tsnachweis der einer Person oder einer Entit t von einer gesicherten dritten Partei ausgestellt wird Jedes Zerti fikat ist mit dem privaten Schl ssel des CA unterzeichnet Es b rgt f r die Identi t t einer Person eines Unternehmens oder einer Organisation Abh ngig vom Aufgabenbereich des CA kann das Zertifikat den Identit tsnach weis seines Inhabers best tigen e Business ber das Internet ausf hren zu d rfen In gewissem Sinne entspricht ein digitales Zertifikat einem F hrerschein oder einem medizinischen Diplom Es best tigt da der Inhaber des entsprechenden privaten Schl ssels berechtigt ist bestimmte e Business Aktivit ten auszuf hren 68 Trust Authority Systemverwaltung Ein Zertifikat enth lt Informationen ber die Entit t die von ihm zertifiziert wird gibt an ob es sich um eine Person eine Maschine oder ein Computerprogra
128. gistrierungsstelle RA f hrt die Verwaltungsaufgaben aus die bei der Benutzerregistrierung notwendig sind Sie stellt sicher da nur solche Zertifikate ausgestellt werden die Ihre Unternehmensaktivit ten unterst tzen und da diese Zertifikate nur an berechtigte Benutzer ausgegeben werden Die Verwaltungsaufgaben k nnen ber automatisierte Prozesse oder auf der Basis menschlicher Entscheidungen ausgef hrt werden Eine Web Schnittstelle f r die Registrierung vereinfacht das Abrufen von Zertifi katen f r Browser Server und andere Einheiten und Zwecke z B VPN Einheiten VPN Virtual Private Network Smart Cards und die sichere ber tragung von E Mails Eine Windows Anwendung der Trust Authority Client erm glicht Endbenut zern das Abrufen und Verwalten von Zertifikaten ohne einen Web Browser Eine Web Verwaltungsschnittstelle das RA Desktop erm glicht berechtigten Registrierungsstellen die Genehmigung oder Zur ckweisung von Registrierungs anforderungen sowie die Verwaltung von Zertifikaten nach deren Ausstellung Ein Pr fsubsystem ermittelt einen Nachrichtenauthentifizierungscode MAC f r jeden Protokolleintrag Wenn Pr fdaten nach ihrer Aufzeichnung in der Pr f datenbank ge ndert oder gel scht werden k nnen Sie mit Hilfe des MAC diese Manipulation feststellen Regel Exits erm glichen Anwendungsentwicklern die Anpassung der Registrie rungsprozesse Integrierte Unterst tzung f r eine Verschl sselun
129. gs smevents log Servers zur Aufzeichnung von Pr f ereignissen usr lpp iau logs iausmd log c Program Files IBM Trust Das Trace Protokoll des Pr f Servers Authority logs iausmd log zur Aufzeichnung von Programm aktivitaten usr lpp iau logs iausmd err c Program Files IBM Trust Das Fehlerprotokoll des Pr f Servers Authority logs iausmd err zur Aufzeichnung von Fehlernach richten 56 Trust Authority Systemverwaltung DB2 Datenbanken verwalten In diesem Abschnitt werden grundlegende Prozeduren f r Betrieb und Verwaltung von DB2 Datenbanken erl utert N here Informationen hierzu finden Sie in der DB2 UDB Dokumentation Trust Authority verwendet die im Abschnitt Mabelle 10 aufgef hrten Tabellen Tabelle 10 Datenbankpositionen Exemplar Datenbankname Beschreibung cfgusr cfgdb Die Trust Authority Standard Konfigurationsdatenbank cfgusr ibmdb Die CA Standarddatenbank cfgusr pkrfdb Die Standard Registrierungsdatenbank cfgusr adtdb Die Standard Prtifdatenbank IdapInst Idapdb Die Standard Directory Datenbank bei Installation mit Trust Authority Wenn Sie ein vorhandenes Verzeichnis verwenden wird diese Position von Ihrem Unternehmen festgelegt Status von DB2 Datenbanken pr fen le nach Umgebung k nnen Sie den Status von DB2 Datenbanken mit folgenden Prozeduren pr fen Unter AIX 1 2 Melden Sie sich bei AIX als Systemadministrator an Geben Sie an der Ein
130. gsmaschine Zur Authentifizie rung der Kommunikation werden die Trust Authority Hauptkomponenten mit einem werkseitig generierten privaten Schl ssel unterzeichnet Sicherheits objekte z B Schl ssel und MACs werden verschl sselt und in gesch tzten Bereichen sogenannten KeyStores oder Schl sselspeichern gespeichert Integrierte Unterst tzung f r IBM SecureWay Directory Das Directory speichert Informationen zu g ltigen und zur ckgewiesenen Zertifikaten in einem LDAP kompatiblen Format Integrierte Unterst tzung f r IBM WebSphere Application Server und IBM HTTP Server Der Web Server arbeitet mit dem RA Server um Nachrichten zu verschl sseln Anforderungen zu authentifizieren und Zertifikate an den gew nschten Empf nger zu bertragen Integrierte Unterst tzung f r das ausgezeichnete IBM Produkt DB2 Universal Database 2 Trust Authority Systemverwaltung Kapitel 2 Ubersicht Dieses Dokument enthalt die erforderlichen Informationen f r Betrieb und Verwal tung des Trust Authority Systems Es wird vorausgesetzt da Sie in den folgenden Bereichen ber ausreichende Kenntnisse verf gen Betriebssystem AIX oder UNIX Betriebssystem Windows NT Systemarchitektur Netzverwaltung Datenbankverwaltung Web Server Verwaltung Verzeichnisverwaltung y enth lt Informationen zu Betrieb und Verwaltung des Trust aenthonity Systems Hier erfahren Sie wie Sie das System starten und stop
131. gt vor um die Einstellungen f r das Aufzeichnen von Ereignissen zu ndern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter 3 Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei AuditS erver ini Informationen zum starten und Verwenden von IniEditor finden Sie bei Bedarf im Abschnitt En zu den Datei ee unter AIX und Windows NT finden Sie im Abschnitt tsh ll Lan Seite 1 4 Wahlen und Sie den Abschnitt Event Log aus und zeigen Sie die zugeh rigen Unterabschnitte an Weitere Schritte Gehen Sie wie folgt vor um den Pfad oder den Dateinamen des Ereignis protokolls zu ndern a W hlen Sie den Parameter event log filename aus b ndern Sie im angezeigten Editierfeld den Pfad oder den Dateinamen Gehen Sie wie folgt vor um die Markierung zu ndern die angibt ob das Daten an das bereits vorhandende Ereignisprotokoll angef gt werden oder ob dieses berschrieben wird a W hlen Sie den Parameter event log append aus b ndern Sie im angezeigten Editierfeld den Wert des Parameters Der Wert lautet true zum Anf gen oder false zum berschreiben 5 Speichern Sie die Datei und beenden Sie das Programm 6 Starten Sie das Trust Authority System Protokollierung von Pr fereignissen in der Datenbank ndern Das Pr fprotokoll besteht aus einer Reihe von integrit tsgesch tzten
132. i u pums un syey nd z ef 1 s ur Janeps eyxsy Ny Sfeunxeur Aq um r1xeTv uonemn3rnuoy yoru reqs pue sorur lqorq uonem3 rnuoyprepues 8 Tpurereg suo3 1ejepsuoRe ndyuoy 19A19S VO HL H QBL 81 Kapitel 5 Referenzinformationen u S r 1oA GIO epueyperdsyua aula puypsqy dAIO un gnu WN A roq4TN MJ AH uereurtid aureN s q T ureN roq uN d JST y S yi rp qo ue 1412 puey UIN 4 5 ur WIN YPIS s qo ue 1412 TEonu 4 roq 161 ZUNpUIMIJAJ SSNJYS UT N Jap rp qo ue 1412 p rnb yy Sesn y PIIM 1z n1si Jun WN L Jap rp qo ue 1412 p oddns Sesn A y uuey u q Sue s p y ssnru s v p YA s po MUJ URN L jUaT D s p qo ue 1qt5 z rqerr ds4 yi SOZ uN POST s ur z nepsy s nn psrepu s Aq PAWL SPOOZ ef Sur z nepsir y3nin yeurixeur rq SUL ATPL uuey uagesue z3re s rp VA IPO PMUJ URN L JUST D epulapiojyuy s p qo ue 1412 z lqervrp ds uuyaes YDILIOPIOFIO 381 tuuosqy qIO wi Senurg I
133. i jonah ca ini definiert und ge ndert Sie k nnen auch CRL Verteilungspunkte nutzen um die Anzahl der CRLs die nacheinander verarbeitet werden sollen zu definieren und zu partitionieren Statt eine immer gr ere Anzahl widerrufener Zertifikate an einer Position bzw unter einem einzelnen Eintrag im Directory Server zu akkumulieren k nnen Sie die Liste der widerrufenen Zertifikate auf mehrere Verteilungspunkte aufteilen Sie aktivie ren diese Funktion indem Sie den Parameter certPerDp in der Konfigurationsda tei Tonahca ini entsprechend einstellen Gegenseitige Zertifizierung Bei der gegenseitigen Zertifizierung handelt es sich um ein Sicherungsmodell in dem ein Zertifikat das einen ffentlichen CA Schl ssel enth lt der einem entspre chenden privaten CA Unterschriftsschl ssel f r das Ausstellen von Zertifikaten zugeordnet ist von einem CA an einen anderen CA ausgestellt wird Typischer weise wird die gegenseitige Zertifizierung eingesetzt um Client Systemen oder Endentit ten in einer Registrierungsdom ne die sichere Kommunikation mit Client Systemen oder Endentit ten in einer anderen Registrierungsdom ne zu erm gli chen Obwohl die gegenseitige Zertifizierung zwischen CAs in beiden Richtungen erfol gen kann werden in Trust Authority Anforderungen f r die gegenseitige Zertifizie rung nur in einer Richtung unterst tzt Die gegenseitige Zertifizierung in beiden Richtungen ist m glich wenn jeder CA ein ge
134. ibt Angaben ohne einen f hrenden Punkt werden prim r f r nicht zul ssige Unterverzeichnisstrukturen verwendet E Mail Adressen angeben Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat anfordern das die G ltigkeit des Zertifikats auf eine Gruppe von E Mail Adressen einschr nkt Im folgenden Beispiel wird das Betriebssystem Windows NT verwendet alle Trust Authority CA Hosts verf gen ber E Mail Adressen die mit us companyA com enden Pfad und Dateiname der Vorabregistrierungsdatei lauten a ccprereg reg und das Kennwort lautet Secure99 Folgender Befehl plaziert die angegebenen E Mail Adressen in der Liste zul ssiger Unterverzeichnisstrukturen CaCertRq m us companyA com r a ccprereg reg P 1835 W Secure99 Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat anfordern das die G ltigkeit des Zertifikats auf alle bis auf ein Element einer Gruppe von E Mail Adressen einschr nkt Im folgenden Beispiel wird das Betriebssystem Windows NT verwendet der Trust Authority CA Host hat die E Mail Adresse outCA us companyA com Pfad und Dateiname der Vorabregistrierungsdatei lauten a ccprereg reg und das Kennwort lautet Secure99 Folgender Befehl plaziert die angegebenen E Mail Adressen in der Liste nicht zul ssiger Unterverzeichnisstrukturen CaCertRq m us companyA com M outCA us companyA com r a ccprereg reg P 1835 W Secure99 URIs angeben Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat anfordern da
135. icht akzeptierbar behandelt werden Siehe auch Digitales Zertifikat Zertifizierung Der Proze bei dem eine zuverl ssige an der Kommunikation nicht beteiligte Stelle der Zerti fikatsaussteller CA einen elektronischen Identit ts nachweis ausstellt der f r die Identit t einer Person eines Unternehmens oder einer Organisation b rgt Ziel Eine benannte oder ausgew hlte Datenquelle Zugriffssteuerungsliste ACL Ein Verfahren mit dem die Verwendung einer bestimmten Ressource auf berechtigte Benutzer beschr nkt werden kann Glossar 141 142 Trust Authority Systemverwaltung Index Numerische Stich worter 4758 CA Profil 6 A Administrator den ersten f r RA hinzu f gen 34 AIX sichern 12 wiederherstellen 12 Aktivitatsbericht 14 Aliasing IP 75 Allgemeine Ervveiterungen 67 Alternativname des Ausstellers Ervveite rung 65 Andern von Konfigurationsdateien 9 Anschlu 41 46 48 CA Server 20 Directory Server 41 Pr f Server 46 48 RA Server 38 ASN 1 76 AuditClient ini 10 101 AuditServer ini 10 97 Authentifizierung 1 B Befehle eingeben 5 Befehlszeilendienstprogramme Audit Archive and Sign 52 Audit Integrity Check 53 CA Certification 25 28 103 Enable RA Database Encryption 106 RA User 105 Berichte Aktivit t 14 Nutzung 13 Berichte Pr fung 52 Binden 49 C CA Zertifikatsaussteller gegenseitige Zertifizierung 64 Hierarchien 64 CA Server CRL Einstellungen andern
136. ie CRL Informationen Der CA leitet ICL Informationen an die Trust Authority RA weiter die wiederum Zertifikate und CRLs im Directory ver ffentlicht In der CA Datenbank gespeicherte S tze verwenden zum Schutz einen Nachrich tenauthentifizierungscode MAC Message Authentication Code Die Priifung dieser S tze ist eine Trust Authority Option mit der Bezeichnung Integrit tspr fung Speicherung der eigenen Schl ssel und Zertifikate im Trust Authority KeyStore Erzeugung von Pr fs tzen f r sicherheitsrelevante Ereignisse und deren Weiter leitung an den Pr f Server Unterst tzung von gegenseitiger Zertifizierung und CA Hierarchien Unterst tzung der Erzeugung und Best tigung von Zertifikaten die benutzer definierte und vom Benutzer ausgew hlte Zertifikatserweiterungen enthalten CA Hierarchien Eine CA Hierarchie ist eine Sicherungsstruktur bei der sich ein CA an der Spitze dieser Struktur befindet Dieser Spitze k nnen bis zu vier CA Ebenen unter geordnet sein Werden Benutzer oder Server bei einem CA registriert erhalten Sie ein Zertifikat das von diesem CA unterzeichnet wurde Auf diese Weise berneh men Sie die Zertifizierungshierarchie der dar berliegenden Ebenen In Trust Aut hority kann ein CA als Teil einer Hierarchie konfiguriert werden In diesem Fall wird das CA Zertifikat von einem anderen CA unterzeichnet Der CA kann so konfiguriert werden da er selbstunterzeichnete Zertifikate unterst
137. ie Ergeb nisse des Befehls ServerControl aufgezeichnet werden sollen Ist die Antwort des gepr ften Anschlusses erfolgreich wird folgende Nach richt angezeigt Es wurde festgestellt da der CA Service auf dem Server am Anschlu 1835 ausgef hrt wird Hierbei steht Server f r den Server der dem Anschlu 1835 zugeordnet ist Aktivierung der CRL Verteilungspunkte Um die CRL Verteilungspunkte zu aktivieren gehen Sie folgenderma en vor 1 2 3 Melden Sie sich bei Ihrem Betriebssystem als Administrator an Stoppen Sie das Trust Authority System Starten Sie den Editor iniEditor und laden Sie die Konfigurationsdatei jonah ca ini Wahlen Sie den Abschnitt General aus zeigen Sie die zugeh rigen Unterab schnitte an und vvahlen Sie anschliefsend den Parameter CertperDP aus Andern Sie im angezeigten Editierfeld den Wert in eine positive ganze Zahl ungleich Null Wahlen Sie im Abschnitt General den Parameter CRLDistName aus ndern Sie im angezeigten Editierfeld den Wert in einen aussagekr ftigen Namen In dem Namen mu d erhalten bleiben Speichern Sie die Datei und verlassen Sie den Editor iniEditor Starten Sie das Trust Authority System Kapitel 3 Informationen zur Vorgehensweise 33 CA Server verwalten In diesem Abschnitt werden Prozeduren fiir Betrieb und Verwaltung des Trust Authority Registrierungsstellen Servers RA Server erlautert Der RA Server ver waltet die Kommunikation zwi
138. ie zu Sicherheitsregeln und digitalen Unterschriften X 509v3 Prozesse dienen zum Erstellen von CRLs mit Zeitmarken f r alle Zertifikate Bei feder Vervvendung eines Zertifikats erm glichen die X 509v3 Funktionen der Anwendung die G ltigkeit des Zertifikats zu ber pr fen Die Anwendung kann au erdem feststellen ob sich das Zertifikat auf der Zertifikatswiderrufsliste CRL befindet CRLs unter X 509v3 k nnen f r eine bestimmte G ltigkeitsperiode erstellt werden Sie k n nen auch auf anderen Kriterien basieren die zur Aufhe bung der G ltigkeit eines Zertifikats f hren Wenn z B ein Mitarbeiter ein Unternehmen verl t wird sein Zertifikat in der CRL eingetragen X 509 Zertifikat Ein weitverbreiteter Zertifikatsstan dard der entwickelt wurde um die sichere Verwaltung und Verteilung von digital unterzeichneten Zertifikaten uber sichere Internet Netze zu untersttitzen Das X 509 Zertifikat definiert Datenstrukturen die Prozeduren fiir die Verteilung ffentlicher Schliissel unterst tzen die von zuverlassigen Stellen digital unterzeichnet sind Z Zertifikatsaussteller CA Die Software die zur Ein haltung der Sicherheitsregeln eines Unternehmens und zur Vergabe gesicherter elektronischer Identit ten in Form von Zertifikaten dient Der CA verarbeitet die Anforderungen von RAs zum Ausstellen Erneuern und Widerrufen von Zertifikaten Er kooperiert mit der RA um Zertifikate und CRLs im Directory zu ver ffentli
139. ieren wollen RA Server Status pr fen Je nach Umgebung k nnen Sie den Status des RA Servers mit folgenden Prozedu ren pr fen Unter AIX 1 Melden Sie sich bei AIX als Root an 2 Pr fen Sie die Proze tabelle und suchen Sie nach folgender Zeichenfolge irgrasvr Finden Sie diesen Proze fahren Sie mit Schritt B auf Seite 40 ilfart Finden Sie diesen Proze nicht lesen Sie bitte im Abschnitt a nach Kapitel 3 Informationen zur Vorgehensweise 39 40 3 Wechseln Sie in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standardpfad usr 1pp 1au bin Stellen Sie sicher da Anschlu 29783 erfolgreich antwortet und geben Sie hierzu folgenden Befehl ein ServerControl i c k RA n Server p 29783 1 Protokolldatei Hierbei steht Serverf r den Namen des RA Servers der dem Anschlu 29783 zugeordnet ist und Protokolldatei f r den Namen der Datei in der die Ergeb nisse des Befehls ServerControl aufgezeichnet vverden sollen Ist die Antwort des gepr ften Anschlusses erfolgreich wird folgende Nach richt angezeigt Es vurde festgestellt da der RA Service auf dem Server am AnschluB 29783 ausgef hrt wird Hierbei steht Server f r den Server der dem Anschlufs 29783 zugeordnet ist Unter Windows NT 1 2 Melden Sie sich bei Windows NT als Systemadministrator an Starten Sie den Task Manager durch Dr cken der Tastenkombination Strg Alt und Entf W hlen Sie die Registerkarte
140. igt Diese Struktur enth lt die Abschnitte und Schl ssel der Datei Klicken Sie zum Ausw hlen eines Abschnitts auf dessen Namen Klicken Sie auf das Pluszeichen um einen Abschnitt zu erweitern Enth lt ein Abschnitt Schl ssel wird der entsprechende Parameter in einem Editierfeld auf der rechten Seite der Anzeige in der Form Name Wert angezeigt Parameter editieren Sie k nnen folgende Editier Tasks ausf hren Sie k nnen den Wert eines Parameters ndern indem Sie den Text im Editierfeld berschreiben e W hlen Sie zum Widerrufen von nderungen die Option Editieren R ckg n gig machen aus e W hlen Sie zum L schen eines Parameters oder eines Abschnitts die zu l schen den Elemente und anschlie end die Option Editieren Entfernen aus Abschnitt hinzuf gen Gehen Sie wie folgt vor um der Ini Datei einen Abschnitt hinzuzuf gen 1 W hlen Sie die Option Objekt Neuer Abschnitt aus Das Dialogfenster Neuen Abschnitt hinzuf gen wird angezeigt 2 Geben Sie in diesem Dialogfenster den Namen des Abschnitts an 3 Klicken Sie auf OK Der neue Abschnitt wird am Ende der Baumstruktur angezeigt Parameter hinzuf gen Gehen Sie wie folgt vor um einem Abschnitt der Ini Datei einen Parameter hinzuzuf gen 1 W hlen Sie die Option Objekt Neuer Parameter aus Das Dialogfenster Einen neuen Parameter erstellen wird angezeigt Es enth lt ein verdecktes Men in dem Sie den Abschnitt ausw hlen k nn
141. igung Die Erlaubnis auf eine Ressource zuzu greifen Bestreiten Etvvas als unvvahr zur ckvveisen Dies ist z B dann der Fall wenn ein Benutzer abstreitet eine bestimmte Nachricht gesendet oder eine bestimmte Anforderung bergeben zu haben Browser Siehe Web Browser Browser Zertifikat Ein digitales Zertifikat das auch als Zertifikat der Client Seite bezeichnet wird Es wird von einem CA tiber einen fiir SSL aktivierten Web Server ausgestellt Die Schl ssel in einer verschl sselten Datei erm glichen dem Inhaber des Zertifikats das Verschl sseln Entschl sseln und Unterzeichnen von Daten Normalerweise werden diese Schl ssel im Web Browser gespeichert In bestimmten Anwendungen k nnen die Schl ssel auf Smart Cards oder anderen Speichermedien gespeichert werden Siehe auch Digita les Zertifikat Bytecode Maschinenunabh ngiger Code der mit dem Java Compiler generiert und mit dem Java Interpreter ausgef hrt wird C CA Certificate Authority Zertifikatsaussteller CA Hierarchie Bei Trust Authority eine Sicherungs struktur bei der ein CA auf der h chsten Ebene positio niert ist Anschliefsend k nnen bis zu vier weitere Ebenen mit untergeordneten CAs definiert werden Wenn Benutzer oder Server bei einem Zertifikatsaus steller registriert werden wird ihnen ein von diesem Aussteller unterzeichnetes Zertifikat zugeordnet Au erdem bernehmen sie die Zertifizierungshierarchie der bergeordneten Ebenen
142. ill IBM Secure Way Trust Authority Systemverwaltung Version 3 Release 12 SH12 2979 01 IBM Secure Way Trust Authority Systemverwaltung Version 3 Release 12 SH12 2979 01 Anmerkung Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die allgemeinen Informationen unter gelesen werden Zweite Ausgabe Juni 2000 Diese Ver ffentlichung ist eine Ubersetzung des Handbuchs IBM SecureWay Trust Authority System Administration Guide IBM Form SH09 4532 01 herausgegeben von International Business Machines Corporation USA Copyright International Business Machines Corporation 2000 Copyright IBM Deutschland Informationssysteme GmbH 2000 Informationen die nur fiir bestimmte Lander Giiltigkeit haben und fiir Deutschland Osterreich und die Schweiz nicht zutreffen wurden in dieser Ver ffentlichung im Originaltext tibernommen M glichervveise sind nicht alle in dieser Ubersetzung aufgefiihrten Produkte in Deutschland angekiindigt und verf gbar vor Entscheidungen empfiehlt sich der Kontakt mit der zust ndigen IBM Gesch ftsstelle Anderung des Textes bleibt vorbehalten Herausgegeben von SW NLS Center Kst 2877 Juni 2000 Inhaltsverzeichnis Tabellen V Sendeweise f r Ereignisse vom Pr f Client ndern 47 Kapitel 1 Informationen zu Trust Autho Vom Pr f Server berwachten Anschlu mn 48 ri ty 1 Anzahl der Bindungsversuche zwi
143. in reurixeur tq SOUL LIT uuey u q Suc r z3ae3s rp VI ue Yy Jopo yy ue yeryug Juonp UIN L qo ue 1412 z lqerrp dg uuiyas duonem3ruoy yoru Ieqiapue soyur lqorq uongein3ijuoyprepuejs Jewsd M Sunqr ry s g suojJ jarepsuojjesnbyuoy 1 GL Trust Authority Systemverwaltung 90 uN PIIM jzjnjysiayun S np AAT AT SSD U S Jap Sunsa aMiq rp qo ue 1412 poyoddnga8espq uN uuey u q Suc s adugydurg s p f ssnfq S u ur ur 3 e u p z po 1e1nuq 1u rlO puz proyuy s p qo ue 1412 z rqerr ds4 yi uN Uu u q Sue HozyleIg rp ennuq q r q p qo ue 1412 z rqerrp dg uri re s UIN uondADuySQRutAAI eus 381 ruuosqy qIO ur Senurg Japuayseidsyusa urg snurygLIogTe S AYDSISNUN u ls1 sap JWEN T TVS s fA yoqiz ssorl nssil uN Auy UIOPIOJUe PPU sPJYH Z Saute TNLISPIM u p PHUJU rp uuey ANON H M Jap m Usapsojue sevm z UOA sauta Usp PMUJ rp uuey ANY H M Jap MeT uuey UJapIOJUL S eYYIIIZ s ur Usp sunu us ut qo ue 1qI5 UIN Iunux pur 1soule ol day s req nn A ZAoTOg inj S
144. ine Vereinbarung zwischen SPA Software Publishers Association und der US Regierung nimmt RC2 einen speziellen Status ein Hierdurch ist das Genehmigungsverfahren fiir den Export einfacher und schneller als dies bei anderen Verschltisselungsproduk ten der Fall ist Um die Voraussetzungen fiir eine rasche Exportgenehmigung zu erf llen mu ein Pro dukt mit einigen Ausnahmen die RC2 Schl sselgr e auf 40 Bit beschr nken Eine zus tzliche Zeichenfolge kann verwendet werden um Nichtberechtigte abzu wehren die versuchen eine umfangreiche Tabelle m glicher Verschl sselungsvarianten vorauszu berechnen Regel Exit In einer Registrierungsfunktion ein auf Unternehmensebene definiertes Programm das von der Registrierungsanwendung aufgerufen wird Die Regeln eines Regel Exits implementieren die Unternehmens und Sicherheitsbenutzervorgaben eines Unternehmens f r den Registrierungsproze Registrator Ein Benutzer der f r den Zugriff auf RA Desktop sowie zur Verwaltung und Anforderung von Zertifikaten berechtigt ist Registrierter Name DN Der eindeutige Name eines im Directory gespeicherten Dateneintrags Der DN dient zur eindeutigen Identifizierung der Position eines Eintrags in der hierarchischen Struktur des Directory Registrierung Bei Trust Authority das Abrufen von Identit tsnachweisen f r die Verwendung ber das Internet Bei der Registrierung werden Zertifikate ange fordert erneuert und widerrufen Registrier
145. ines Registrators auf verschiedene Weise gestellt werden bei spielsweise in Form eines informellen Telefongespr chs oder ber einen formellen Antragsproze Um als Registrator berechtigt werden zu k nnen mu der betref fende Benutzer in den meisten Unternehmen zun chst ein SSL Browser Zertifikat erhalten Benutzer k nnen Browser Zertifikate anfordern indem Sie die browser gest tzten Standardregistrierungsanweisungen im Trust Authority Benutzerhandbuch befolgen Trust Authority bietet zum Hinzuf gen von Registratoren das Befehlszeilendienst programm add_rauser Die Syntax dieses Befehls wird im Abschnitt 05 erl utert Kapitel 3 Informationen zur Vorgehensweise 35 36 Gehen Sie nach Erhalt einer Anforderung wie folgt vor um dem System einen Registrator hinzuzufiigen 1 2 3 Pr fen Sie den Status der Anforderung des SSL Browser Zertifikats des zuk nf tigen Registrators Greifen Sie hierzu auf RA Desktop zu und befolgen Sie die im Handbuch Reg istration Authority Desktop dokumentierten Prozeduren um eine Abfrage zu bergeben und die Ergebnisse anzuzeigen Wurde ein Zertifikat ausgestellt notieren Sie die ihm zugeordnete Identit tsnachweis UUID Anmerkung Sie k nnen auch die Anforderungs ID verwenden die w hrend einer erfolgreichen Browser Registrierung f r ein Zertifikat gene riert wurde Um die Identit tsnachweis UUID zu erhalten lokalisieren Sie den Datenbank eintrag f r das ge
146. ingeben Gehen Sie wie folgt vor um die Anzahl der zul ssigen Versuche zur Aktuali sierung des Pr fprotokolls zu ndern a W hlen Sie den Parameter audit log update retries aus b ndern Sie im angezeigten Editierfeld den Wert des Parameters Sie m ssen einen Integer Wert eingeben Gehen Sie wie folgt vor um den zul ssigen Zeitlimit berschreitungswert zur Aktualisierung des Pr fprotokolls zu ndern a W hlen Sie den Parameter audit log timeout aus b ndern Sie im angezeigten Editierfeld den Wert des Parameters Sie m ssen ein Zeitintervall eingeben 5 Speichern Sie die Datei und beenden Sie das Programm 6 Starten Sie das Trust Authority System Einstellungen f r das Trace Protokoll ndern Das Trace Protokoll enth lt Aufzeichnungen zur Ausf hrung eines Computer programms Es gibt die Reihenfolge der Ausf hrung von Anweisungen wider Dieses Protokoll wird prim r zur Fehlerbehebung verwendet Sie k nnen folgende Konfigurationsparameter ndern Aktivieren Inaktivieren der Trace Funktion Die Trace Stufe Dateiname und Pfad des Trace Protokolls Die Markierung die angibt ob Daten an die bereits vorhandene Trace Datei angef gt werden oder ob diese berschrieben wird Gehen Sie wie folgt vor um die Einstellungen f r das Trace Protokoll zu ndern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegeben
147. installiert haben wurde vom jeweiligen Unternehmen m glichervveise ein anderer Benutzername verwendet 2 Wechseln Sie in das Unterverzeichnis bin des Trust Authority Installationsverzeichnisses In den folgenden Beispielen wird der Standard verzeichnispfad verwendet Unter AIX usr 1pp 1au bin Unter Windows NT c Program Files IBM Trust Authority bin 3 Geben Sie den folgenden Befehl ein TAActivityReport 4 Wenn Sie vom System aufgefordert werden die Berichtsart einzugeben geben Sie 1 fiir einen vv chentlichen Bericht ein oder 2 um eine Zusammenfassung der Aktivit ten anzuzeigen die an einem bestimmten Tag stattfanden 5 Wenn Sie zur Eingabe des Datums aufgefordert werden geben Sie das Start datum f r die Woche ein f r die ein Bericht erstellt werden soll bzw das exakte Datum f r die Erstellung eines Tagesberichts Geben Sie das Datum im Format jjj mm tt ein beispielsweise 1999 10 01 Anmerkung Um die Eingabeaufforderungen zu umgehen k nnen Sie die folgen den Befehlsparameter in der Befehlszeile angeben TAActivityReport t reportType 1 2 d startDate jjjj mm tt Beispiel TAActivityReport t 2 d 1999 09 27 Beispielausgabe Aktivitatsbericht Activity Report Im folgenden Beispiel wird ein t glicher Aktivit tsbericht dargestellt Der w chent liche Bericht ist entsprechend aufgebaut enth lt jedoch eine Zusammenfassung der w chentlichen Summen der jeweiligen Aktivit ten Trus
148. instim mung behandelt Verzeichniseintr ge angeben Sie k nnen ein CA Zertifikat anfordern das die CA Hierarchie eines anderen CA bernimmt und die G ltigkeit des Zertifikats auf eine Gruppe von Verzeichnisein tr gen mit den gleichen RDNs Relative Distinguished Names relative registrierte Namen einschr nkt Im folgenden Beispiel wird das Betriebssystem AIX verwen det alle Trust Authority CA Hosts verf gen ber RDNs die den angegebenen RDNs C US O companyA OU departmentB entsprechen Pfad und Datei name der Vorabregistrierungsdatei lauten tmp ccprereg reg und das Kennwort lautet Secure99 Folgender Befehl plaziert den angegebenen RDN in der Liste der zul ssigen Unterverzeichnisstrukturen CaCertRq n C US O companyA OU departmentB h r tmp ccprereg reg P 1835 W Secure99 Anmerkung In Trust Authority wird f r DNs folgendes Format verwendet C Land 0 Unternehmen 0U Unternehmenseinheit CN allgemeiner_Name Namenseinschrankungen ausschlieBen Wenn Sie planen als Teil Ihrer allgemeinen Hierarchiel sung die hierarchischen CA Zertifikate in Netscape Communicator herunterzuladen sollten Sie die Markie rung m mit dem Dienstprogramm CA Certification verwenden um die Erwei terung f r Namenseinschr nkungen Name Constraints aus dem resultierenden CA Zertifikat auszuschlie en Im folgenden Beispiel wird das Betriebssystem Win dows NT ausgef hrt und es werden jeweils die Standardwerte f r den Installati
149. ische Eintrage 4758 PCI Cryptographic Coprocessor Eine programmierbare manipulationssensitive PCI Bus Verschltisselungskarte die die Ausf hrung von DES und RSA Versehl sselungsoperationen mit hoher Geschwindigkeit erm glicht Die Verschl sselungspro zesse werden in einem gesicherten und abgegrenzten Bereich auf der Karte ausgef hrt Die Karte entspricht den strengen Anforderungen des FIPS PUB 140 1 Level 4 Standards In dem gesicherten und abgegrenzten Bereich kann Software ausgef hrt werden Der SET Standard kann z B zur Verarbeitung von Kreditkarten transaktionen genutzt werden A Abstract Syntax Notation One ASN 1 Eine ITU Notation die zum Definieren der Syntax von Informationsdaten benutzt wird Sie definiert eine Reihe einfacher Datentypen und gibt eine Notation f r die Identifizierung dieser Typen und die Angabe von Werten f r diese Typen an Diese Notationen k nnen verwendet werden wenn es erforderlich ist die abstrakte Syntax von Informationen zu definieren ohne damit die Art der Verschl sselung dieser Informationen f r die bertragung zu beeintr chtigen ACL Access Control List Zugriffssteuerungsliste Aktionsprotokoll Die Aufzeichnung aller Ereignisse die w hrend der gesamten G ltigkeitsdauer eines Identit tsnachweises aufgetreten sind American National Standard Code for Information Interchange ASCII Der Standardcode der f r den Austausch von Informationen zwischen Datenverarbeit
150. ity RA Server Komponente installiert ist Der emp fohlene Benutzername lautet cfguser m glichervveise wurde jedoch vom jewei ligen Unternehmen ein anderer Benutzername verwendet 2 W hlen Sie Starten Programme gt IBM SecureWay Trust Authority gt Trust Authority Activity Report aus 3 Wenn Sie vom System aufgefordert werden die Berichtsart einzugeben geben Sie 1 fiir einen vv chentlichen Bericht ein oder 2 um eine Zusammenfassung der Aktivit ten anzuzeigen die an einem bestimmten Tag stattfanden 4 Wenn Sie zur Eingabe des Datums aufgefordert werden geben Sie das Start datum f r die Woche ein f r die ein Bericht erstellt werden soll bzw das exakte Datum f r die Erstellung eines Tagesberichts Geben Sie das Datum im Format jj mm tt ein beispielsweise 1999 10 01 14 Trust Authority Systemverwaltung Befehlszeilenprozedur Wenn Sie Trust Authority auf einer AIX Plattform ausf hren oder die Befehlsein gabe gegen ber dem Ausvvahlen von Programmsymbolen unter Windows NT bevorzugen k nnen Sie anhand der folgenden Prozedur einen Aktivit tsbericht Activity Report erstellen Der Abschnitt ga enthalt ein Beispiel einer Berichtsausgabe 1 Melden Sie sich als Trust Authority Konfigurationsbenutzer an der Maschine an auf der die Trust Authority RA Server Komponente installiert ist Der emp fohlene Benutzername der gleichzeitig auch der Standardbenutzername ist lautet cfguser Wenn Sie Trust Authority unter Windows NT
151. kennung und eines Werts Der Benutzer definiert die Erweiterung als kritisch oder unkritisch 2 Die Erweiterungsanforderung und die Informationen werden in die Zertifikats anforderung an die RA aufgenommen 3 RA oder CA pr fen bei der Verarbeitung der Zertifikatsanforderung ob die Erweiterung den Zertifizierungsregeln der Unternehmen entspricht Die Erweiterungsanforderung wird dementsprechend ge ndert oder au er Kraft gesetzt Nach Pr fung der Erweiterung wird diese vom CA zertifiziert Zertifikatwiderrufslisten Eine Zertifikatswiderrufsliste CRL ist eine digital unterzeichnete mit Zeitmarken versehene Liste der Zertifikate die vom Zertifikatsaussteller CA widerrufen wurden Die Zertifikate in dieser Liste sollten als nicht akzeptierbar behandelt werden Zertifikate k nnen widerrufen werden wenn ihre G ltigkeit abgelaufen oder ihre Sicherheit fraglich ist Der Status eines Zertifikats wird in der ICL ge ndert Zur festgelegten Zeit erstellt der CA die CRL mit der Seriennummer und dem CA DN des Ausstellers des widerrufenen Zertifikats Obwohl bei einem Widerruf das Kapitel 4 Erl uterungen 67 entsprechende Zertifikat und dessen Informationen in der ICL ge ndert werden ist ein Widerruf erst dann endg ltig wenn die CRL ausgegeben und im Directory ver ffentlicht wird In Trust Authority werden die G ltigkeitsdauer einer ver ffentlichten CRL und der Zeitraum zwischen CRL Ver ffentlichungen in der CA Konfigurationsdate
152. komponenten in den KeyStores gespeichert National Security Agency NSA Die offizielle Sicherheitsbeh rde der US Regierung NIST National Institute of Standards and Technology fr her NBS National Bureau of Standards Aufgabe dieses Instituts ist die Unterst tzung offener Standards und der Interoperabilit t in den verschiedenen Berei chen der Computerbranche NLS National Language Support Unterst tzung in der Landessprache NSA National Security Agency O Objekt Beim objektorientierten Design oder bei der objektorientierten Programmierung eine abstrakte Enti tat die zur Abgrenzung bestimmter Daten und der zugeh rigen Operationen dient Siehe auch Klasse Objekt ID OID Ein von einer Verwaltungsfunktion zugeordneter Datenwert der den in ASN 1 definierten Typ aufweist Objektart Die Art von Objekt die im Directory gespeichert werden kann Beispiele sind eine Firma ein Konferenzraum eine Einheit eine Person ein Pro gramm oder ein Proze ODBC Open Database Connectivity Offentlicher Schliissel In einem Paar aus einem ffentlichen und einem privaten Schl ssel steht dieser Schl ssel anderen Benutzern zur Verf gung Er erm g licht diesen Benutzern die Weiterleitung einer Transak tion an den Eigner des Schl ssels sowie die Pr fung einer digitalen Unterschrift Mit einem ffentlichen Schl ssel verschl sselte Daten k nnen nur mit dem entsprechenden privaten Schl ssel entschl sselt wer
153. lden Sie sich bei Trust Authority als Konfigurationsbe nutzer cfguser an der Maschine an auf der die Trust Authority CA und Pr f Server Komponente installiert ist Sie m chten die nachfolgenden Komponenten nach Manipulationen durchsuchen Gehen Sie wie folgt vor um die Datenbank des Pr f Servers zu pr fen Kapitel 3 Informationen zur Vorgehensweise 53 1 Geben Sie an der AIX Befehlszeile folgenden Befehl ein AuditIntegrityCheck c usr 1pp 1au etc TrustAuthor1ty AuditServer ini d 2 Wenn das System Sie zur Eingabe eines Kennvvorts KeyStore PIN auffor dert geben Sie das Kennvvort des Pr fadministrators ein Die Ergebnisse vverden auf der Standardausgabeeinheit angezeigt Gehen Sie wie folgt vor um eine oder mehrere Archivierungsdateien des Pr f Servers zu pr fen 1 Geben Sie an der AIX Befehlszeile folgenden Befehl ein AuditIntegrityCheck c usr Ipp iau etc TrustAuthority AuditServer ini a usr 1pp 1au arc archive1 my file 2 Wenn das System Sie zur Eingabe eines Kennvvorts KeyStore PIN auffor dert geben Sie das Kennwort des Pr fadministrators ein Dieser Befehl pr ft Dateien mit dem Pfadpr fix usr lpp iau arc archivel_my file und den Erweiterungen ixf und sig Die Erweiterung ixf kennzeichnet Dateien im von DB2 generierten Exportformat Die Erweiterung sig kennzeichnet eine vom Pr fsubsystem generierte Unter schriftsdatei Gehen Sie wie folgt vor um alle Archivierungsdateien in einem be
154. lerbehebung mit aktivierter Nachrichtenerstellung auf Debug Stufe Wenn Sie bei einem Fehler ausf hrliche Unterst tzung zur Fehlerbehebung ben ti gen aktivieren Sie die Umgebungsvariable fiir die Debug Stufe DebugLevel Sie k nnen diesen Wert Ihren Bed rfnissen entsprechend anpassen je nachdem ob Sie mehr oder weniger Nachrichtendetails erhalten wollen Die in dieser Variable angegebene Protokollstufe legt den Protokollumfang fest Der Wert ist eine positive ganze Zahl im Bereich zwischen 0 und 1000 Je h her die Stufe desto umfangrei cher die Protokollierung Die folgenden Trust Authority Debug Stufen werden empfohlen DebugLevel 25 Minimale Protokollierung es werden jedoch alle Fehler aufge zeichnet Verwenden Sie diese Stufe fiir standige Operationen bei denen Probleme zwar nicht aktiv diagnostiziert werden bei denen Sie die Protokolle jedoch gegebe nenfalls einsehen wollen falls doch etwas passiert DebugLevel 75 Enthalt zusatzlich die Protokollierung von darunter liegenden Softvvareschichten Vervvenden Sie diese Stufe wenn Probleme zwischen den CA und RA Servern auftreten Das Ausgabevolumen ist etwa f nfmal h her als bei Debug Stufe 25 DebugLevel 101 Enth lt eine umfangreiche und detaillierte Protokollierung der h herstufigen RA Server Verarbeitung einschlie lich der Verarbeitung von Zertifikatsprofilen und der AFW Interaktionen Application Framework Anwendungsger st Verwenden Sie diese Stufe
155. liche Schl ssel zertifiziert um sie zur Teilnahme an den gew nschten Transaktionen zu berechtigen Er kann lokal oder Web gest tzt automa tisch oder von einer tats chlich mit Personen besetzten Registrierungsstelle ausgef hrt werden Registrierungsstelle RA Die Software die zur Ver waltung digitaler Zertifikate verwendet wird und sicherstellt da die Unternehmensregeln vom ersten Empfang einer Registrierungsanforderung bis zum Zertifikatswiderruf angewendet werden Registrierungsvariable Siehe Registrierungsattribut RSA Ein auf ffentlichen Schl sseln basierender Verschl sselungsalgorithmus der nach seinen Erfindern Rivest Shamir und Adelman benannt wurde Er wird zur Verschl sselung und f r digitale Unterschriften verwendet S S MIME Ein Standard der das Unterzeichnen und Verschl sseln von elektronischer Post E Mail unter st tzt die ber das Internet bertragen wird Siehe MIME Schema Beim Directory die interne Struktur die zur Definition der Beziehungen zwischen den verschiede nen Objektarten verwendet wird Schl ssel Bei der Verschl sselung ein Wert der zum Ver und Entschl sseln von Informationen verwendet wird Schl sselpaar Zusammengeh rende Schl ssel die bei der asymmetrischen Verschl sselung eingesetzt werden Ein Schl ssel wird zur Verschl sselung der andere zur Entschl sselung verwendet Schl sselpaar aus ffentlichem und privatem Schl s sel Ein Schl sselp
156. licherweise f r die Installation eines einzigen Exemplars des IBM HTTP Server und f r die Konfiguration verschiedener virtueller Host Namen und Anschl sse entschieden um verschiedene Arten von Anforderungen verarbeiten zu k nnen Mit diesem Modell verarbeitet Trust Authority folgende Arten von Anforderungen Anforderungen die keine Verschl sselung oder Authentifizierung ben tigen Anforderungen die Verschl sselung und Server Authentifizierung ben tigen Anforderungen die Verschl sselung sowie Server und Client Authentifizierung ben tigen 74 Trust Authority Systemverwaltung Im Abschnitt Tabelle 13 werden diese Konfigurationsalternativen erl utert Tabelle 13 Modell f r IBM HTTP Server mit drei Servern und drei Anschl ssen Protokoll SSL Server Client Beispiel fiir Beispiel fiir Authenti Authenti Anschlu Anschlu fizierung fizierung nummer bei nummer bei einer IP mehreren IPs HTTP Nein Nein Nein 80 80 HTTPS Ja Ja Nein 443 443 HTTPS Ja Ja Ja 1443 443 IP Aliasing Im Bereich der Internet Technologie ist ein Aliasname ein Name der einem Server zugeordnet wird so da der Server vom Namen seiner Host Maschine unabh ngig wird Der Aliasname mu im Domain Name System DNS Ihres Systems definiert werden Directory Server Trust Authority verwendet das IBM SecureWay Directory zur Speicherung von digitalen X 509 Zertifikaten Zertifikatswiderrufslisten CRLs
157. lle werden in erlautert Tabelle 3 IBM VVebSphere Application Server Protokolle ber Transaktionen mit der Registrierungsanvvendung ATX Standardpfad VVindovvs NT Standardpfad Anmerkungen usr lpp iau pkrf Domains YourDomain etc logs jvm_stderr log c Program Files IBM Trust Authority pkrf Domains YourDomain etc logs jvm_stderr log Der Standardpfad f r Fehlernachrichten der Java Virtual Machine JVM usr lpp iau pkrf Domains YourDomain etc logs jvm_stdout log c Program Files IBM Trust Authority pkrf Domains YourDomain n etc logs jvm_stdout log Der Standardausgabe pfad der JVM usr lpp iau pkrf Domains YourDomain logs hostname_ssl port ssl error log c Program Files IBM Trust Authority pkrf Domains YourDomain logs hostname_ssl port ssl error log Fehlernachrichten von Transaktionen tiber sichere HTTP Verbindungen Zwei Arten sind m glich Vom Clent authentifizierte und nicht vom Client authentifizierte Transaktionen usr lpp iau pkrf Domains YourDomain logs hostnameerror log c Program Files IBM Trust Authority pkrf Domains YourDomain logs hostname_public porterror log Fehlernachrichten von Transaktionen tiber ffentliche HTTP Verbindungen HTTP Server verwalten IBM HTTP Server ist das Web Server Produkt das die vveb gest tzte Kommunika tion mit Brovvsern und anderen Programmen vervvaltet Der HTTP D mon HTTPD is
158. m ige Registrierungsdom nenname und der standardm ige Installationspfad von Trust Authority verwendet iauEnableRADBSec d YourDomain r c Program Files IBM Trust Authority Kapitel 3 Informationen zur Vorgehensweise 37 38 Vom RA Server bervvachten AnschluB andern Der vom RA Server tiberwachte Anschlu ist der Anschlu der vom RA auf PKIX Nachrichten hin tiberwacht wird Gehen Sie wie folgt vor um den Wert fiir diesen Anschlu zu ndern 1 1 1 2 8 9 0 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei jonahra ini Informationen zum Starten und Verwenden von IniEditor finden Windows NT finden Sie im Abschnitt erden Dateipositionen Wahlen Sie den Abschnitt Transport aus zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter TCPPort aus ndern Sie im angezeigten Editierfeld die Anschlu nummer Speichern Sie die Datei und beenden Sie das Programm Starten Sie IniEditor erneut und laden Sie die Konfigurationsdatei jonahca ini Diese Datei kann sich je nach Installation auf einer lokalen oder einer fernen Maschine befinden Wahlen Sie den Abschnitt URLs aus ndern Sie im angezeigten Editierfeld die Anschlu nummer Speichern Sie die Datei und beenden Sie das P
159. m u nos A ef PL TID usquerda3 u y s mz STYOQusemyog aut ST Ieq8nyiaa ZLO INF uN Tunu x pur 3souyeooy dyy Sunstamuy rp s p 134UN ss rpy Tin 7SdD uN Aotog OHT AW P3ay Jap sureN 7aure N ITOT st T4onoq ny URN Tunu x pu 3souyeooy dyy Sunstamuy rp s p Jeyun ss rpy Tin 1442 nur u 3n rs nd q Taq pun u s f Ped rp rp unsepyr sSunuv yay UIN Sunseprr s3unuv iqy Japo s s t uosusun ur Japo st9AurH 1 uo snusrr ur T1x onoN3 sr UT N Zl 1 upio Snz PAIM Z 5noN1 orlod uN q upao nz PIIM T DON T nONT4 roq nou q UIN uswysursguN IU sep su urq uq yun s p ureN Jaq 310T421 041 uonem3yuoy yoru reqs pue sorur lqorq uonem3 rnuoyprepues 8 r urereq suo3 jajepsuoyeinByuoy 19A19S VO HL H QBL 83 Kapitel 5 Referenzinformationen nn gszr sn Sun l1surq r q uN 6 ION S YOIg 8GzF S P 310 MUU N seq ISCIYASSEIOTJOLISSZF nnzggzy sn Zunjfajsurg r q uN LOOVOWAI MN SIDO4d g86Zr Sep dI 19z230u g ed PHos e O1d8SZV ZMU BC F UT N sTEy Wal Vyura rp VD s
160. m angezeigten Editierfeld die Zeit f r die eine CRL giiltig ist Der Wert wird als Intervall in Minuten m Stunden h oder Tagen d angegeben Beispiel 2d Wahlen Sie den Abschnitt CrossCertPolicy zeigen Sie die zugeh rigen Unter abschnitte an und w hlen Sie anschlie end den Parameter CRLDuration aus Andern Sie im angezeigten Editierfeld die Zeit fiir die eine CRL giiltig ist Der Wert wird als Intervall in Stunden Minuten oder Tagen angegeben Beispiel 2d Speichern Sie die Datei und beenden Sie das Programm Starten Sie das Trust Authority System ICL Schutzregel andern Die Liste der ausgestellten Zertifikate Issued Certificates List ICL enthalt die ausgestellten Zertifikate zusammen mit ihrem jeweiligen Status Beim ICL Schutzschl ssel handelt es sich um einen chiffrierten Schl ssel der im Trust Authority Schl sselspeicher KeyStore gespeichert ist und verwendet wird um f r alle Spalten der ICL Werte f r Nachrichtenauthentifizierungscodes MAC zu berechnen Wenn der berechnete MAC Wert nicht mit dem gespeicherten MAC Wert bereinstimmt verwendet das System die ICL Schutzregel und f hrt entspre chende Aktionen aus Um die ICL Schutzregel zu ndern gehen Sie folgenderma en vor 1 2 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter Starten Sie den Editor IniEditor und laden Sie die
161. mm handelt und enth lt als Teil dieser Informationen den zertifizierten ffentlichen Schl ssel dieser Entit t Bei Trust Authority entspricht der Typ des ausgestellten Zertifikats den gesch ftli chen Regeln Ihres Unternehmens Registrierte Namen Ein registrierter Name DN Distinguished Name ist der eindeutige Name eines im Directory gespeicherten Datensatzes Der DN kennzeichnet eindeutig die Posi tion eines Datensatzes in der hierarchischen Struktur des Directory Diese Struktur wird auch als Directory Information Tree DIT bezeichnet Die Struktur verf gt ber einen einzigen Stamm und eine unbegrenzte Anzahl von Knoten die sich vom Stamm verzweigen Jeder Knoten entspricht einem durch Attribute gekennzeichneten Directory Eintrag Die Beschreibung eines DNs f r einen Directory Eintrag h ngt von den Syntaxanforderungen des Directory Clients und dem Zugriffsprotokoll des Directory Servers ab In Trust Authority das auf IBM SecureWay Directory basiert kann ein DN f r einen Directory Eintrag wie folgt aussehen C US 0 IBM OU Trust Authority MAIL cjsmith vnet ibm com CN Chris Smith Hierbei steht US f r das Land C IBM fiir das Unternehmen O Trust Authority fiir die Abteilung innerhalb des Unternehmens OU cjsmith vnet ibm com fiir die E Mail Adresse MAIL und Chris Smith fiir den allgemeinen Namen CN Liste der ausgestellten Zertifikate CRL Die Liste der ausgestellten Zertifikate ICL Issued Certificates
162. mmunikation Unternehmen k nnen digitale Zertifikate in bereinstimmung mit ihren Registrierungs und Zertifizierungsrichtlinien ausstellen ver ffentlichen und vervvalten Unterst tzung f r PKIX Public Key Infrastructure for X 509 Version 3 und CDSA Verschliisselungsstandards CDSA Common Data Security Architecture zur Realisierung der Interoperabilit t zwischen verschiedenen Lieferanten und Herstellern Digitale Unterzeichnung und gesicherte Protokolle zur Authentifizierung aller an einer Transaktion beteiligten Parteien Optimale Flexibilit t durch browser und client basierte Registrierungsfunktio nen Gew hrleistung der Vertraulichkeit durch verschl sselte Kommunikation und gesicherte Speicherung der Registrierungsinformationen Ein Trust Authority System kann auf IBM AIX 6000 und Microsoft Windows NT Server Plattformen ausgef hrt werden Es umfa t die folgenden wichtigen Funktionen Ein zuverl ssiger Zertifikatsaussteller CA verwaltet die gesamte G ltigkeits dauer digitaler Zertifikate Zur Best tigung der Richtigkeit eines Zertifikats unterzeichnet der CA alle von ihm ausgestellten Zertifikate digital Au erdem unterzeichnet er Zertifikatswiderrufslisten CRLs um zu best tigen da ein bestimmtes Zertifikat nicht mehr g ltig ist Zur weiteren Sicherung seines Unter schriftsschl ssels k nnen Sie kryptografische Hardware z B den IBM Secur eWay 4758 PCI Cryptographic Coprocessor einsetzen Eine Re
163. n VVartestatus zu setzen verbindlich RA Ereignisse ReceiptOfCertRequest Gibt an da eine Zertifikatsanforderung von einer RA empfangen vvurde vvahlfrei ReceiptOfRevocationRequest Gibt an da eine VViderrufsanforderung f r ein Zertifikat von einer RA empfangen vvurde vvahlfrei ReceiptOfRenevvalRequest Gibt an da eine Erneuerungsanforderung f r ein Zertifikat von einer RA empfangen wurde wahlfrei RequestApproval Gibt an da eine RA eine Zertifikatsanforderung best tigt hat verbindlich RequestRejection RequestCompletion Gibt an da eine RA eine Zertifikatsanforderung zur ckgewiesen hat Gibt an da eine Zertifikatsanforderung abgeschlossen wurde verbindlich wahlfrei Preregistration Gibt an da ein Registrator eine Anforderung zur Vorabregistrierung erhalten hat verbindlich 112 Trust Authority Systemverwaltung Daten der Prufdatenbank Die Trust Authority Pr fdatenbank verwendet ein Schema das auf den Empfeh lungen im Standard Public Key Cryptography for the Financial Services Industry X9 57 basiert In diesem Abschnitt werden folgende Datenbanktabellen beschrie ben Anmerkung In diesem Abschnitt entsprechen die Feldnamen der Pr fs tze den Spaltennamen in den Datenbanktabellen Schl ssel Dies ist eine Steuertabelle f r private geheime Schliissel die zum Unterzeich nen Verschl sseln und Erzeug
164. n d angege ben Beispiel 1d Der Wert mu kleiner sein als der Wert f r die G ltigkeits dauer der CRL 6 W hlen Sie den Abschnitt CrossCertPolicy aus zeigen Sie die zugeh rigen Unterabschnitte an und w hlen Sie anschlie end den Parameter TimeBetween CRLs aus 7 ndern Sie im angezeigten Editierfeld die Zeit zwischen den Erstellungen neuer CRLs Der Wert wird als Intervall in Minuten m Stunden h oder Tagen d angege ben Beispiel 1d Der Wert mu kleiner sein als der Wert f r die G ltigkeits dauer der CRL 8 Speichern Sie die Datei und beenden Sie das Programm 9 Starten Sie das Trust Authority System G ltigkeitsdauer einer CRL ndern Gehen Sie wie folgt vor um die Regeln f r Zertifikate und die gegenseitige Zertifi zierung bez glich der G ltigkeitsdauer einer CRL zu ndern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter 3 Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei jonah ca ini Informationen zum Starten und Verwenden von IniEditor finden Sie bei verwenden auf Seite 9 Windows NT finden Sie im Abschnitt Z den Dateipositior 4 W hlen Sie den Abschnitt CertPolicy aus zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter CRLDuration aus 22 Trust Authority Systemverwaltung 8 9 Andern Sie i
165. n Maschinen zu starten oder zu stoppen Verwenden Sie zum Starten ferner Komponenten die folgende Reihenfolge 1 Directory Server 2 CA und Priif Server 3 RA Server einschlie lich IBM HTTP Server und WebSphere Application Server Zum Stoppen des Systems miissen die Server Programme in der umgekehrten Reihenfolge gestoppt werden IniEditor zum Andern von Konfigurationsdateien verwenden In diesem Abschnitt wird beschrieben wie Sie den Editor fiir Konfigurationsda teien IniEditor aufrufen und verwenden Mit dem Tool IniEditor k nnen Sie Para meter in allen Abschnitten der IBM Trust Authority Konfigurationsdateien hinzuf gen aktualisieren und l schen Alle Parameter werden in einem Editierfeld in der Form Name Wert angezeigt damit Sie die zu ndernden Bereiche schnell lokalisie ren und editieren k nnen Informationen zu Parametern und deren Nutzung fin den Sie im Abschnitt Anmerkungen 1 IniEditor ist ein einfacher Editor zum Editieren von Konfigurationsdateien Das Tool bietet keine Funktionen zur G ltigkeitspr fung von Daten 2 Sichern Sie zu Ihrem eigenen Schutz die zu editierenden Konfigurationsdateien bevor Sie Anderungen vornehmen Editor starten Sie k nnen den Editor ber die Eingabeaufforderung mit oder ohne Angabe der zu editierenden Datei starten Geben Sie einen der beiden folgenden Befehle ein um den Editor mit der Datei meinedat ini zu starten In der Befehlszeile der AIX Umgebung cd u
166. n der Liste zul ssiger Unterverzeichnisstrukturen CaCertRq i 9 0 0 0 255 0 0 0 r tmp ccprereg reg P 1835 W Secure99 DNS Adressen angeben Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat anfordern das die G ltigkeit des Zertifikats auf eine Gruppe von DNS Adressen einschr nkt Im folgenden Beispiel wird das Betriebssystem Windows NT verwendet und alle Trust Authority CA Hosts verf gen ber DNS Adressen mit der Endung com panyA com Mit folgendem Befehl werden die angegebenen DNS Adressen in der Liste der zul ssigen Unterverzeichnisstrukturen plaziert CaCertRq d companyA com r c temp ccprereg reg P 1835 W Secure99 Anmerkung Beginnt eine DNS Adresse mit einem Punkt werden alle Hosts einbezogen die mit dieser Unterzeichenfolge einschlie lich enden Diese Adressen werden in die Liste der Unterverzeichnis strukturen aufgenommen Beginnt die Adresse nicht mit einem Punkt wird nur der Host einbezogen dessen Name der Zeichenfolge entspricht Trust Authority Systemverwaltung Der Einschr nkung companyA com entsprechen beispielsweise us companyA com vnet companyA com und w3 software companyA com jedoch nicht companyA com oder kidcompanyA com selbst Der Einschr nkung companyA com ent sprechen companyA com jedoch nicht us companyA com oder die brigen Adressen Daraus folgt da eine zul ssige Unterverzeichnis strukturen ohne f hrenden Punkt nur einen m glichen Knoten ang
167. n ein gegenseitig zertifiziertes CA Zertifikat anfordern das die CA Hierarchie eines anderen CA bernimmt und die G ltigkeit des Zertifikats auf die IP Adressen einschr nkt die von Ihrem Unternehmen verwendet werden Im folgenden Beispiel ist das Betriebssystem AIX Ihr Unternehmen verwendet IP Adressen im Bereich von 9 0 0 0 bis 9 255 255 254 die Vorabregistrierungsdatei befindet sich im Pfad tmp ccprereg reg und das Kennwort lautet Secure99 Folgender Befehl plaziert den angegebenen Adressenbereich in der Liste zul ssiger Unterverzeichnisstrukturen CaCertRq i 9 0 0 0 255 0 0 0 h r tmp ccprereg reg P 1835 W Secure99 Kapitel 3 Informationen zur Vorgehensweise 29 30 DNS Adressen angeben Sie k nnen ein CA Zertifikat anfordern das die CA Hierarchie eines anderen CA bernimmt und die G ltigkeit des Zertifikats auf eine Gruppe von DNS Adressen einschr nkt Im folgenden Beispiel wird das Betriebssystem Windows NT verwendet alle Trust Authority CA Hosts verf gen ber DNS Adressen die mit companyA com enden Pfad und Dateiname der Vorabregistrierungsdatei lauten a ccprereg reg und das Kennwort lautet Secure99 Mit folgendem Befehl werden die angegebenen DNS Adressen in der Liste der zul ssigen Unterverzeichnisstrukturen plaziert CaCertRq d companyA com h r a ccprereg reg P 1835 W Secure99 Anmerkung Beginnt eine DNS Adresse mit einem Punkt werden alle Hosts einbezogen die mit dieser Unterzeichenfolge ei
168. n werden und repr sentieren nur die Ziele der IBM Alle von IBM angegebenen Preisen sind empfohlene Richtpreise und k nnen jeder zeit ohne weitere Mitteilung ge ndert werden H ndlerpreise k nnen u U von den hier genannten Preisen abweichen Marken und Dienstleistungsmarken Folgende Namen sind in gewissen L ndern Marken der IBM Corporation IBM AIX AIX 6000 DB2 DB2 Universal Database RS 6000 SecureVVay VVebSphere Das Programm Trust Authority im folgenden als Programm bezeichnet enth lt Komponenten von DB2 Universal Database Diese Komponenten d rfen nur zusammen mit dem Programm installiert und entsprechend der fiir das Programm geltenden Lizenzvereinbarungen in Kombination mit diesem verwendet werden um Daten zu speichern und zu verwalten die vom Programm verwendet oder generiert werden Fiir andere Datenverwaltungsoperationen ist der Einsatz nicht gestattet Diese Lizenz gilt z B nicht fiir eingehende Verbindungen zur Daten bank die von anderen Anwendungen aus fiir Abfragen und Berichtserstellungs operationen hergestellt werden Sie sind lediglich zur Installation und Verwendung dieser Komponenten auf der gleichen Maschine berechtigt auf der auch das Pro gramm installiert und verwendet wird 124 Trust Authority Systemverwaltung Das Programm enth lt Komponenten des IBM WebSphere Application Server und des IBM HTTP Web Server IBM Server Sie sind nicht berechtigt die IBM Ser ver zu anderen
169. ndows NT eingeben Wenn Sie Trust Authority unter Windows NT installiert haben gibt es f r eine Reihe von Tasks keine Programmsymbole so da diese Tasks von einer DOS Befehlszeile aus aufgerufen werden m ssen So mu beispielsweise add_rauser manuell ausgef hrt werden damit Registratoren definiert werden k nnen Wenn Sie einen Befehl angeben f r den ein Verzeichnispfad als Parameter erfor derlich ist und dieser Pfad eingebettete Leerzeichen enth lt m ssen Sie den Pfad in doppelte Anf hrungszeichen setzen So mu beispielsweise der Parameter f r den Pfad im Befehl add_rauser wie folgt angegeben werden add_rauser c Program Files IBM Trust Authority bin Trust Authority Kennw rter ndern IBM Trust Authority verf gt ber ein Dienstprogramm zum ndern von Kenn w rtern Mit diesem Dienstprogramm k nnen Sie die w hrend der Konfiguration des Systems definierten Standardkennw rter ndern ndern Sie die Kennw rter mindestens einmal nach der ersten Konfiguration des Systems und bevor Sie das System Ihren Benutzern zur Verf gung stellen Diese Kennw rter erm glichen den Zugriff auf folgende Funktionskomponenten Sicherer Startmechanismus Das Kennwort f r das Steuerprogramm erm glicht dem System alle Trust Authority Komponenten automatisch zu starten oder herunterzufahren Au er dem kann mit diesem Kennwort auf den sicheren Start Chiffrierschl ssel zuge griffen werden Directory Das Director
170. nehmigte Zertifikat und zeigen Sie die Attribute dieses Ein trags an Sie ben tigen das Attribut der Identit tsnachweis UUID das Sie als einen Parameter des Befehls add_rauser verwenden m ssen F hren Sie je nach Umgebung einen der folgenden Schritte aus Unter AIX a Wechseln Sie in das Stammverzeichnis der Installation Geben Sie dazu bei Verwendung des Standard Stammverzeichnisses folgenden Befehl ein cd usr 1pp 1au bin b Geben Sie einen Befehl nach folgendem Muster ein add_rauser usr Ipp iau pkrf etc domain cfg YourDomain aBcXyZ RAUser Dabei gilt usr 1pp iau pkrf etc domain cfg ist der Pfad des Standardstamm verzeichnisses der Trust Authority Installation und der Dom nenkonfi gurationsdatei YourDomain ist die Standard Registrierungsdom ne aBcXyZ ist entweder ein Beispiel einer Anforderungs ID oder einer Identit tsnachweis UUID RAUser ist das wahlfreie Zugriffsprofil Unter Windows NT a Wechseln Sie in das Stammverzeichnis der Installation Geben Sie dazu bei Verwendung des Standard Stammverzeichnisses folgenden Befehl ein cd c Program Files IBM Trust Authority bin b Geben Sie einen Befehl nach folgendem Muster ein add_rauser c Program Files IBM Trust Authority pkrf etc domain cfg YourDomain aBcXyZ RAUser Dabei gilt c Program Files IBM Trust Authority pkrf etc domain cfg ist der Pfad des Standardstammverzeichnisses der Trust Authority Installation und der
171. ng Dieses Tool zeichnet die Anzahl der aktiven und inaktiven Benutzer im jeweiligen System auf sowie die Anzahl der aktiven und widerrufenen Zertifikate die vom Trust Authority CA seit der Installation des Produktes unterzeichnet worden sind Es folgt eine Beschreibung der spezifischen Datenelemente des Nutzungsberichts Usage Report Aktive Benutzer Benutzer mit mindestens einem aktiven Zertifikat wobei Benutzer als Entit t definiert ist die ber einen eindeutigen registrierten Namen DN verf gt Inaktive Benutzer Benutzer die ber keine aktiven Zertifikate verf gen d h alle zuvor f r diese Benutzer ausgestellten Zertifikate sind entweder abgelaufen oder wurden widerrufen Aktive Zertifikate Vom Trust Authority CA unterzeichnete Zertifikate die weder abgelaufen sind noch widerrufen wurden Widerrufene Zertifikate Zertifikate die widerrufen wurden Vorgehensweise anhand von Programmsymbolen unter Windows NT Wenn Sie Trust Authority auf einer Windows NT Plattform ausf hren und das Ausw hlen von Programmsymbolen gegen ber der Befehlseingabe in einem DOS Befehlsfenster bevorzugen k nnen Sie anhand der folgenden Prozedur einen 1 Melden Sie sich als Trust Authority Konfigurationsbenutzer an der Maschine an auf der die Trust Authority CA Server Komponente installiert ist Der emp fohlene Benutzername der gleichzeitig auch der Standardbenutzername ist lautet cfguser m glicherweise wurde jedoch vom jeweiligen U
172. ns D dns m emailAddress M emailAddress u uri U uri n directoryName N directoryName p inhibitPolMap h m C filename B filename S filenames T preregistrationpath P 1835 W password rm Parameter i ipAddressMask I ipAddressMask Die IP Adrefsmaske IP Internet Protocol im CDIF Format Der klein geschriebene Parameter i f gt die angegebene IP Adrefgsmaske der Liste zul ssiger Unterverzeichnisstrukturen hinzu Der gro geschriebene Parameter D entspricht dem kleingeschriebenen Parameter Die angegebene TP Adrefsmaske wird jedoch der Liste unzul ssiger Unterverzeichnisstrukturen hinzugef gt Die Maske des Unternehmens X lautet beispielsweise 9 0 0 0 255 0 0 0 und die der Abteilung Y dieses Unternehmens lautet 9 210 134 0 255 255 254 0 Kapitel 5 Referenzinformationen 103 d dns D dns Die Adresse des Domain Name Server DNS Der kleingeschriebene Parameter d f gt die angegebene DNS Adresse der Liste zul ssiger Unterverzeichnis strukturen hinzu Der gro geschriebene Parameter D entspricht dem klein geschriebenen Parameter Die angegebene DNS Adresse wird jedoch der Liste unzul ssiger Unterverzeichnisstrukturen hinzugef gt Beginnt die Adresse mit einem Punkt werden alle Hosts einbezogen die mit dieser Unterzeichenfolge einschlie lich enden Ist dies nicht der Fall wird nur der Host einbezogen der der Zeichenfolge entspricht Der Ein
173. nschlie lich enden Diese Adressen werden in die Liste der Unterverzeichnis strukturen aufgenommen Beginnt die Adresse nicht mit einem Punkt wird nur der Host einbezogen dessen Name der Zeichenfolge entspricht Der Einschr nkung companyA com entsprechen beispielsweise us companyA com vnet companyA com und w3 software companyA com jedoch nicht companyA com oder kidcompanyA com selbst Der Einschr nkung companyA com ent sprechen companyA com jedoch nicht us companyA com oder die brigen Adressen Daraus folgt da eine zul ssige Unterverzeichnis strukturen ohne f hrenden Punkt nur einen m glichen Knoten angibt Angaben ohne einen f hrenden Punkt werden prim r f r nicht zul ssige Unterverzeichnisstrukturen verwendet E Mail Adressen angeben Sie k nnen ein CA Zertifikat anfordern das die CA Hierarchie eines anderen CA bernimmt und die G ltigkeit des Zertifikats auf eine Gruppe von E Mail Adressen einschr nkt Im folgenden Beispiel wird das Betriebssystem AIX verwendet alle Trust Authority CA Hosts verf gen ber E Mail Adressen die mit us companyA com enden Pfad und Dateiname der Vorabregistrierungsdatei lauten tmp ccprereg reg und das Kennwort lautet Secure99 Folgender Befehl plaziert die angegebenen E Mail Adressen in der Liste zul ssiger Unterverzeichnis strukturen CaCertRq m us companyA com h r tmp ccprereg reg P 1835 W Secure99 Sie k nnen ein CA Zertifikat anfordern das di
174. nternehmen ein anderer Benutzername verwendet 2 W hlen Sie nacheinander Starten gt Programme gt IBM SecureWay Trust Aut hority 2 Trust Authority Usage Report aus Befehlszeilenprozedur Wenn Sie Trust Authority auf einer AIX Plattform ausf hren oder die Befehlsein gabe gegen ber dem Ausw hlen von Programmsymbolen unter Windows NT bevorzugen k nnen Sie anhand der folgenden Prozedur einen Nutzungsbericht Usage Report erstellen Der Abschnitt 4 enth lt ein Beispiel einer Betichisatispabe 1 Melden Sie sich als Trust Authority Konfigurationsbenutzer an der Maschine an auf der die Trust Authority CA Server Komponente installiert ist Der emp fohlene Benutzername der gleichzeitig auch der Standardbenutzername ist lautet cfguser Wenn Sie Trust Authority unter Windows NT installiert haben wurde vom jeweiligen Unternehmen m glichervveise ein anderer Benutzername verwendet Kapitel 3 Informationen zur Vorgehensweise 13 2 Wechseln Sie in das Unterverzeichnis bin des Trust Authority Installationsverzeichnisses In den folgenden Beispielen wird der Standard verzeichnispfad verwendet Unter AIX usr 1pp 1au bin e Unter Windows NT c Program Files IBM Trust Authority bin 3 Geben Sie den folgenden Befehl ein TAUsageReport Beispielausgabe Nutzungsbericht Usage Report Trust Authority Usage Report Report generated on Sep 28 1999 16 10 20 EDT Total active users 42 Total active certificates
175. nth lt deren Integri t t gepr ft werden soll Alle Dateien mit den Endungen _audit_log ixf und _audit_log sig werden gepriift 108 Trust Authority Systemverwaltung Felder fur Prufereignisse Der Abschnitt Tabelle 18 erlautert die Informationen die in Trust Authority Pr fereignissen enthalten sind Tabelle 18 Felder f r Pr fereignisse Feldname Ereignisname Beschreibung Die Ereigniskennung die von einem Pr f Client als Token angegeben vvird Betroffene Entitat Die Entit t die von der Aktion betroffen ist f r die ein Pr fereignis gesendet vvird Diese Information wird von einem Pr f Client angegeben Art der betroffenen Entitat Die Art der betroffenen Entitat Diese Information wird von einem Pr f Client angegeben Berechtigte Entitat Diese Entit t hat die Operation berechtigt Diese Information wird von einem Pr f Client angegeben Aufgabe der berechtigten Entitat Der Aufgabenbereich der berechtigten Entitat Typ der berichtenden Komponente Speichermedium Sofern verf gbar das fiir diese Operation angegebene Speichermedium Diese Information wird von einem Priif Client angegeben Bewertungsstufe Die Bewertung des Ereignisses entweder Information oder Alert Der Typ der Trust Authority Komponente die das Ereignis meldet Client Quelle Identifizierungsinformationen fiir die Trust Authority Komponente die das Ereignis sendet
176. nwendung Protokolle des CA Servers RA Server Protokolle Spaltenbeschreibungen der Sichten f r die Trust Authority Pr fdatenbank Protokolle des Pr f Servers Datenbankpositionen Protokolle des Directory Servers Zertifikatserweiterungen Modell f r IBM HTTP Server mit dad Siver und drei Anschl ssen 10 16 17 19 32 39 44 56 97 61 65 270 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 CA Server Konfigurationsdatei RA Server Konfigurationsdatei Pr f Server Konfigurationsdatei Pr f Client Konfigurationsdatei Felder f r Pr fereignisse Pr fereignisse Felder der Schl sseltabelle Felder in der Tabelle f r die Ereignis bevvertung Felder in der Tabelle fiir die Ereignis steuerung 5 Felder in der Quellentabelle Felder in der Tabelle berechtigter Entit ten Felder in der Tabelle berechtigter 777 bereiche Felder in der Tabelle der Arten betroffenen Entit ten Felder in der Tabelle d r Komponentenarten Felder in der Pr fprotokolltabelle Felder in der Systemtabelle 79 88 98 102 109 110 114 114 114 115 115 116 116 116 117 118 V Trust Authority Systemverwaltung Kapitel 1 Informationen zu Trust Authority IBM SecureWay Trust Authority erm glicht Anwendungen das Authentifizieren von Benutzern und das Bereitstellen gesicherter Ko
177. olgenden Befehl isdirup h Server a Port p Directory Standard TInstallationspfad t1 Hierbei steht Server f r den Namen der Maschine auf der das Directory ausgef hrt wird und Port steht f r den vom Directory Server berwachten Anschlu Ist die Antwort des Directory erfolgreich wird folgende Nachricht angezeigt isdirup returning 0 s Unter Windows NT 1 2 Melden Sie sich bei Windows NT als Systemadministrator an Starten Sie den Task Manager durch Dr cken der Tastenkombination Strg Alt und Entf W hlen Sie die Registerkarte Prozesse aus Suchen Sie nach dem Proze slapd exe Finden Sie diesen Proze fahren Sie mit Schritt B fort Finden Sie diesen Proze nicht lesen Sie bitte im Abschnitt nach Wechseln Sie an der MS DOS Eingabeaufforderung in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standardpfad c Program Files IBM Trust Authority bin Stellen Sie sicher dafs das Directory erfolgreich antwortet und verwenden Sie hierzu folgenden Befehl isdirup h Server a Port p Directory_Standard_Installationspfad t1 Hierbei steht Server f r den Namen der Maschine auf der das Directory ausgef hrt wird und Port steht f r den vom Directory Server berwachten Anschlu Ist die Antwort des Directory erfolgreich wird folgende Nachricht angezeigt isdirup returning 0 Trust Authority Systemverwaltung Directory Server Protokolle prufen Sie k nnen die Protokolle des Direct
178. ority verwenden CAIntegrityCheck in c Program Files IBM Trust Authority bin Das Tool fordert Sie zur Eingabe des Kennworts fiir das Trust Authority Steuerprogramm auf 4 Geben Sie das Kennwort fiir das Trust Authority Steuerprogramm ein 5 Starten Sie das Trust Authority System mit Hilfe der unter Server a a eite 7 beschriebenen Prozedur CA Zertifikat mit Hilfe gegenseitiger Zertifizierung anfordern Sie k nnen im Namen des Trust Authority CA ein CA Zertifikat von einem ande ren CA anfordern wenn Sie das Sicherungsmodell f r die gegenseitige Zertifizie rung verwenden Die gegenseitige Zertifizierung erm glicht es zuverl ssigen CAs die Anerkennung gegenseitig ausgestellter Zertifikate als Identit tsnachweis zu vereinbaren Obwohl die gegenseitige Zertifizierung zwischen CAs in beiden Rich tungen erfolgen kann werden in Trust Authority Anforderungen f r die gegensei tige Zertifizierung nur in einer Richtung unterst tzt Anmerkung Trust Authority unterst tzt eine gegenseitige Zertifizierung nur zwischen CAs die das PKIX Zertifikatsverwaltungsprotokoll Certifi cate Management Protocol CMP einhalten Verwenden Sie f r die gegenseitige Zertifizierung mit einem anderen CA das Trust Authority Dienstprogramm CA Certification Dieses Dienstprogramm ist ein Befehlszeilen Tool Beim Starten k nnen Sie Optionen f r die Standardzertifikatser weiterung f r Namenseinschr nkungen definieren Ein kleingeschriebener Buch
179. ormationen zu Parameternamen Beschreibungen und Formaten Es wird angegeben ob die Parameter verbindlich oder wahlfrei sind und ob sie konfigu riert werden k nnen Befehle Syntax und Parameterbeschreibungen f r die Trust Authority Befehlszeilendienstprogramme Felder f r Pr fereignisse Dieser Abschnitt erl utert die Informationen die in Trust Authority Pr fereignissen enthalten sind Pr fereignisse Dieser Abschnitt erl utert Pr fereignisse und gibt an ob ein Ereignis verbindlich oder wahlfrei ist Daten in der Pr fdatenbank Dieser Abschnitt beschreibt die Speicherung von Protokolleintr gen in den Tabel len der relationalen Datenbank Hier finden Sie Informationen zu den Feld namen im Datensatz bzw den Spaltennamen in der Tabelle zu den Speicher orten der Daten sowie Beschreibungen der Felder und der Datenformate Fehlerbehebung Dieser Abschnitt enth lt Informationen zur grundlegenden Fehlerbehebung sowie zur Nachrichtenerstellung auf Debug Stufe Konfigurationsdateien Dieser Abschnitt enth lt die Beschreibungen der Parameter f r folgende Konfigura tionsdateien CA Server Konfigurationsdatei jonahca ini RA Server Konfigurationsdatei jonahra ini Pr f Server Konfigurationsdatei AuditServer ini Pr f Client Konfigurationsdatei AuditClient ini Dateibeschreibung Eine Konfigurationsdatei ist in Abschnitte unterteilt Jeder Abschnitt beginnt mit einer Kopfzeile die in eckigen Klammern eingeschloss
180. ory Server 60 HTTP Server 17 Pr f Server 55 RA Server 39 VVebSphere Application Server 16 Stoppen von Server Komponenten 7 Systemtabelle 118 T Tabelle der Arten betroffener Entita ten 116 Tabelle der berechtigten Aufgaben bereiche 116 Tabelle der berechtigten Entit ten 115 Tabelle der Komponentenarten 116 Tabelle f r Ereignisbewertung 114 Tabelle zur Ereignissteuerung 114 Tabellen Pr fdatenbanken berechtigte Aufgabenbereiche 116 berechtigte Entit ten 115 betroffene Entit ten Tabelle der Arten 116 Ereignisbewertung 114 Ereignissteuerung 114 Komponentenarten Tabelle 116 Quellen 115 Schl ssel 114 Tabellen Pr fdatenbanken Forts Tabelle f r Pr fprotokoll 117 Tabelle f r System 118 Timer 48 Trace Protokoll 51 Trust Authority ndern von IP Adressen 11 Berichte 13 14 Beschreibung 1 Sicherheit 63 sichern 12 Zertifikat Forts Erneuerung 1 Erweiterungen 64 Nutzung berwachen 13 widerrufen 1 Zertifikatswiderrufsliste CRL 1 67 Zertifikate 68 Zertifikatsaussteller CA 63 Zertifikatsverwaltungsereignisse 72 Zertifizierung digitale 1 68 Zertifizierungsregeln Erweiterung 65 Steuerung 7 verwalten 5 wiederherstellen 12 U berwachter Anschlu 38 Uniform Resource Identifiers URIs 27 Unterschrift G ltigkeitspr fung 69 Unterzeichnen 69 URIs 31 V Verschliisselung f r RA Datenbank akti vieren 37 Versehl sselungskoprozessor 63 Vertraulichkeit 69 Zugriffssteuerungsliste A
181. ory Servers an den im Abschnitt Tabelle 11 beschriebenen Positionen pr fen Tabelle 11 Protokolle des Directory Servers AIX Standardpfad Windows NT Standardpfad Beschreibung tmp slapd errors c Directory Installationspfad tmp slapd errors Fehlerprotokoll f r das Directory IBM SecureWay 4758 PCI Cryptographic Coprocessor verwalten Der IBM SecureWay 4758 PCI Cryptographic Coprocessor ist eine Trust Authority Zusatzkomponente Der IBM SecureWay 4758 PCI Cryptographic Coprocessor ist eine programmierbare PCI Bus Verschl sselungskarte mit Manipulationsschutz die DES und RSA Verschl sselungsoperationen mit hoher Geschwindigkeit erm g licht In Trust Authority ist die Unterst tzung f r 4758 nur unter AIX verf gbar Sie k nnen den Status des IBM SecureWay 4758 PCI Cryptographic Coprocessor mit dem Dienstprogramm csufcnm pr fen Der IBM SecureWay 4758 PCI Cryptographic Coprocessor erstellt keine Protokolle Wenn beim IBM 4758 ein Fehler auftritt werden normalerweise ein Ruckkehrcode und ein Ursachencode zusammen mit dem Fehler ausgegeben Eine umfassende Liste mit den R ckkehr und Ursachencodes sowie den zugeh rigen Erlauterungen finden Sie im Dokument IBM 4758 CCA Basic Services Reference and Guide Diese Codes sind normalerweise ausreichend f r eine vorlaufige Fehlerbehebung Die Dokumentation zum IBM SecureWay 4758 PCI Cryptographic Coprocessor enthalt weitere Informationen hierzu
182. pen Kennw rter ndern den Editor f r Konfigurati onsdateien verwenden das System sichern und wiederherstellen und folgende Systemkomponenten verwalten k nnen IBM WebSphere Application Server IBM HTTP Server CA Server e RA Server Pr fsubsystem e IBM DB2 Universal Database UDB IBM SecureWay Directory e IBM SecureWay 4758 PCI Cryptographic Coprocessor informationen beispielsweise Pazar von Konhensalionedatelen die Syntax von Befehlszeilendienstprogrammen sowie Informationen in Tabellenform zum Pr fsubsystem 4 Trust Authority Systemverwaltung Kapitel 3 Informationen zur Vorgehensweise Die Abschnitte in diesem Kapitel erlautern wie Sie IBM SecureWay Trust Authority und dessen Komponenten verwalten Trust Authority verwalten in diesem Abschnitt werden die Tools und Prozesse beschrieben die Sie zur Ver vvaltung des gesamten Trust Authority Systems verwenden k nnen Folgende Arbeitsschritte werden erl utert e Eingabe von Befehlen ber die Windows NT Befehlszeile ndern von Trust Authority Kennvv rtern Starten und Stoppen der Server Komponenten Verwenden des Programms IniEditor zum ndern von Konfigurationsdateien Pr fen der Trust Authority Konfigurationsprotokolle e ndern von Trust Authority IP Adressen Sichern und Wiederherstellen des Systems berwachen der Zertifikatsaktivit t e Aufzeichnen der Anzahl von Benutzern und Zertifikaten Befehle unter Wi
183. q q u q rruos qn s rp qo Japo y8njosue 13yeq a0e1 IU pULYIOA rp ef nn ue u eqi qo 3qr3uc rp 4 8 Soy pursner s3or ner ddi rsn xIv m a Soy pursner s8oz AMIoymYy ef ISNIL NINSIN NS I weIZorg 2 LN SAOPUTM MA Jap sweN PA oureusyly Boy a0e ssruSr rq Inj uoyyung uN asey Jap USIOTAHNEUL USIOTAUNV qeu Ju A 3en ef me ut MJ IWLN 1A ureu A ben uopyung DLIJ Jap STEy mz ZIEN urq duonem3ruoy yoru Ieqiapue sorur lqorq Wamprepurys Sunqr sy s q 1 j urereq sHoj Isjepsuone ndyuoy JOAIOS Nd 9 100 Trust Authority Systemverwaltung Pruf Client Konfigurationsdatei AuditClient ini Die Konfigurationsdatei des Pr f Clients AuditClient ini definiert die Konfigurati onsvariablen des Priif Clients Kapitel 5 Referenzinformationen 101 ef ysanbayyzadjo diasayy 3 pu s 8 ru rp asstusTaIq Vy va ef USPIAM 1 pu s 3 1uoru rp sstu8r rq VO vo u yseuru ju uoduuoy 1nJ lhtuuosqy H0S uapiam yoyIeMas 1 A1 S WNZ Sunpuiqi A 1 ur
184. qIO ut gnw MJH uN O J N uareumd Jap sureN Jaq oure NAdTIOg s uN Ri rp qo ue 1412 panmbayAsrog asay UIN g q snii ur wn YpIs s qo ue 1412 Teonr 4 roq 251 G np AAT AT SSD U S uN H Jap rp qo ue 1412 p rmnb y Sesn A y duonem3ruoy yoru reqs pue soyur lqorq uongein3ijuoyprepuejs Jewsd pI Sunqr ry s g suojJ jarepsuojjesnbyuoy 1 GL 4 92 Trust Authority Systemverwaltung ef sog eAISJUJJoA pun q VA rp s p ne uN umeN ISOH T r ourgpsew ureN SOH dI dOL 80 42 PA Ju9eAd qn ef 628 Va Jap n uosuy dO1L WOdd OL yzodsueiy xpid asn XIV ma u y qlorid q uN xDyd 9 N SAOPUIAA m XDId YOA uoneffejsu mz pejd STICOLWed PP ureuro q mox surewog jryd ner dd sn XTV MA dja uTeWO ALINOX sureuroq 4 An oyyny uPA uN 4SNIL WII SOTL Urersorg 9 LN SAOPUTM MA Jareiodura Sunseyptads mz yyeqduray ef 0E8T Sureu1aa1as xtyd VY vO s p ss rpy Tin 17194 1 991 Vo snir N Anoqiny va uN 161 1 TYJT O SN D 1 s rp VO ureN q s rnsrS yi T nssi va Anoumv IsnIL
185. r Erweiterung zugegriffen werden kann Diese Erweiterung ist derzeit in von Trust Authority erstellten Zertifikaten nicht definiert Allgemeine Erweiterungen Trust Authority definiert eine einzelne vom Standard abweichende Erweiterung als allgemeine Erweiterung Diese Erweiterung kann von jedem Unternehmen einge setzt werden die Trust Authority nutzt Es handelt sich hierbei um die Erweite rung fiir die Zuordnung der Host Identitat die den Zertifikatsgegenstand einer entsprechenden Identit t auf einem Host System zuweist Private Erweiterungen Jede fiir die Nutzung von Trust Authority ausgelegte Client Anwendung kann eine Erweiterung definieren deren Identit t und Syntax entweder der Anwendung privat zur Verf gung stehen oder in einer Benutzergemeinschaft gemeinsam genutzt werden Diese Erweiterungen m ssen als unkritisch definiert werden Wird die Erweiterung zum ersten Mal definiert mu ihr eine Objektkennung zugewie sen werden Au erdem m ssen Sie sie gem TTU Standard X 660 und ISO Standard 9834 1 identisch registrieren Dies gilt auch f r die Syntax Ablauf der Erweiterungsanforderung Erweiterungen k nnen von einem Benutzer angefordert werden Sie m ssen jedoch vom CA oder einer RA die als CA dient best tigt werden Dieser Proze l uft wie folgt ab 1 Der Benutzer fordert eine Erweiterung an und bermittelt die dazu erforderli chen Informationen einschlie lich einer eindeutigen Erweiterungs
186. r Wert dieser Erweiterung wird immer vom CA definiert Nutzungszeitraum f r privaten Schl ssel Diese Erweiterung schr nkt die Nutzung des privaten Schl ssels gem der G ltigkeitsdauer des Zertifikats ein Das aktuelle PKIX Zertifikatsprofil RFC 2459 gibt an da die Nutzung dieses Schl ssels nicht l nger empfohlen wird Erweiterung f r Zertifizierungsregeln Diese Erweiterung enth lt eine Reihe von Regelan zeigern Ein solcher Anzeiger kann beispielsweise eine Objektkennung sein deren Bedeutung ver ffentlicht werden mu Es kann sich jedoch auch um eine Objektkennung in Verbindung mit einer Beschreibung der angestrebten Regel handeln Anstelle der Beschreibung kann eine URL Adresse eingesetzt werden unter der die Beschreibung abgerufen werden kann Sie k nnen jedoch auch einen kurzen Text in das Zertifikat aufnehmen Alternativname des Ausstellers Diese Erweiterung enth lt einen oder mehrere Alternativnamen in verschiedenen Namensformaten f r den Aussteller des Zertifikats Der Wert dieser Erweiterung wird immer vom CA definiert Kapitel 4 Erl uterungen 65 66 Tabelle 12 Zertifikatserweiterungen Forts Erweiterung Beschreibung Directory Attribute des Zertifikatsgegenstands Erweiterte Schliisselverwendung Diese Erweiterung enth lt eine Reihe zus tzlicher Directory Attribute des Zertifikatsgegenstands die nicht Teil des registrierten Namens sind Diese Erweiter
187. r die Standard Registrierungsdatenbank den Befehl db2 connect to pkrfdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 5 2 0 SQL authorization ID Local database alias TrustAuthority_instance pkrfdb Trust Authority Systemverwaltung 7 Geben Sie fiir die Standard Priifdatenbank den Befehl db2 connect to adtdb ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 5 2 0 SQL authorization ID Local database alias TrustAuthority_instance adtdb 8 Geben Sie den folgenden Befehl ein set DB2INSTANCE dap_Instance Hierbei steht Idap_Instance f r IdapInst wenn das Directory zusammen mit dem Produkt installiert wurde 9 Angenommen die Standard Directory Datenbank wurde mit dem Produkt installiert Geben Sie den Befehl db2 connect to IdapInst ein Bei erfolgreicher Verbindung gibt das System folgende Nachricht zur ck Database server DB2 NT 5 2 0 SQL authorization ID TrustAuthority_instance Local database alias IdapInst 10 Schlie en Sie das DB2 Befehlsfenster DB2 Protokolle pr fen Die DB2 Protokolle werden von Trust Authority im Hinblick auf den Systembetrieb nicht verwendet Weitere Informationen zu den Protokollen finden Sie in der Dokumentation zu IBM DB2 Directory Server verwalten In diesem Abschnitt werden grundlegende Prozeduren f r Betrieb und Verwaltung von IBM SecureWay Directory erl
188. rbindlich 73 wahlfrei 73 Zertifikatsvervvaltung 72 Pr fmaske 47 Priifprotokolltabelle 117 Pr fsubsystem Andern der Protokollein stellungen 50 Anschlu ndern 48 Audit Archive and Sign Dienst programm 107 Audit Integrity Check Dienst programm 107 Client Konfigurationsdatei 101 Datenbanksichten 43 Datens tze Informationen zu 72 Ereignismasken 72 Ereignisse Informationen 72 Fehlerprotokolleinstellungen ndern 52 Host Name ndern 47 Informationen 71 Intervall zwischen Wiederholungs versuchen ndern 48 Protokolldateien Archiv 52 Protokolldateien unterzeichnen 52 Protokolle 49 56 Pr fmaske ndern 47 Pr fprotokolleinstellungen ndern 50 Server Konfigurationsdatei 97 Status 55 Trace Protokolleinstellungen ndern 51 Pr fsubsystem Forts verbindliche Ereignisse 73 verwalten 42 wahlfreie Ereignisse 73 Pr fung Anschlu ndern 46 47 Berichte generieren 52 Bindungsversuche ndern 49 Datenbankdaten 113 Host Name ndern 46 Intervall zwischen Bindungsversuchen ndern 49 Intervall zwischen Wiederholungs versuchen ndern 48 Maske 47 Protokoll 50 Protokolleintr ge suchen 46 Pr fereignisse Felder 109 Q Quellentabelle 115 R RA Registrierungsstelle Add RA User Dienstprogramm 105 Administrator hinzuf gen 35 Administratoren Registratoren 70 den ersten Administrator hinzuf gen 34 den ersten Registrator hinzuf gen 34 Dienstprogramm Add RA User 35 Informationen 70
189. rcen antwortet Siehe auch Server WebSphere Application Server Ein IBM Produkt das Benutzer bei der Entwicklung und Verwaltung von Websites mit einem hohen Leistungsumfang unter st tzt Es erleichtert den bergang vom einfachen Web Publishing zu komplexen e business Anwendungen im Web Der WebSphere Application Server besteht aus einer Java Servlet Maschine die unabh ngig vom Web Server und dem verwendeten Betriebssystem arbeitet World Wide Web WWW Der Teil des Internets in dem ein Netz von Verbindungen zwischen Computern aufgebaut wird auf denen Hypermediamaterial gespei chert ist Dieses Material stellt neben Informationen auch Verbindungen Hyperlinks zu anderem Material im World Wide Web und Internet zur Verf gung Der Zugriff auf WWW Ressourcen erfolgt ber einen Web Browser X X 500 Ein Standard f r die Implementierung eines multifunktionalen verteilten und vervielfaltigten Verzeichnisservices durch die Verbindung von Computersystemen Dieser Standard wurde gemeinsam definiert von der bisher als CCITT bekannten Interna tional Telecommunications Union ITU sowie der International Organization for Standardization und der International Electro Chemical Commission ISO IEC X 509 Version 3 Zertifikat Das X 509v3 Zertifikat verf gt ber ervveiterte Datenstrukturen f r die Spei cherung und das Abrufen von Informationen zu Zertifi katsantragen zur Zertifikatsverteilung und zu Zertifi katsvviderrufen sovv
190. req suoj jarepsuojjesnbyuoy 49449S VH GL ll qEL 89 Kapitel 5 Referenzinformationen mw uasyUpisyonieq uadunprayssyug t q pun u s Peg r pue rp rp 3unsepyr sSunuv rqy UIN Sunieppiessunuya qy Japo sromu Jayoststin ur Japo sremu 1 uosusun ur T1x o5noN3i sr WN ZI youpioasnz ZADTIOg PIM ZIYON Za0n0N TATOg uN upio 3nz T 2900N 3nou q jesay 4 uN u wy urun Ayf sep su uryouraguN IWeN Jaq 8 1 04 GIO pu up ids1u aula YTUydsqy qIo UI MU MJH UIN O J N ja8ay u rgwud Jap sureN T qi oure NAdTIOg 261 uN d rp qo ue 1412 partnbayyAotog yapuey f s yi UIN g uosnupi ur wn YpIs s qo ue 1412 eSnuoonoada s G np AAT AT SSD U S uN H Jap rp qo ue 1412 p rmnb y Sesn A y PIIM 4z n9s10Jun S np AAT AT SSD U S URN L Jap ZunI p mIy rp qo ue 1412 uuey sr Sueydum s p f ssnyq s u ur uu 3r e uap po enuqu n uN L puz puoyuy qo ue 1412 aTqeypadgiay Se ez s ur z nepsir y nin uN POST asigeuprepueys li y q urrr yri Spe s ur UT N 40928 z nepsy y n
191. rnehmens bergreifende Transaktio nen wie beispielsweise der Kauf und Verkauf von Waren und Dienstleistungen zwischen Unternehmen und ihren Kunden Lieferanten Subunternehmen und anderen ber das Internet E Commerce stellt einen Kernbestandteil des e Business dar Endentit t Der Gegenstand eines Zertifikats bei dem es sich nicht um einen CA handelt 132 Trust Authority Systemverwaltung Entschl sseln Den Verschl sselungsproze r ckg n gig machen Exemplar Bei DB2 bezeichnet man als Exemplar eine logische Datenbankverwaltungsumgebung zum Spei chern von Daten und Ausf hren von Anwendungen Es erm glicht die Definition einer allgemeinen Gruppe von Konfigurationsparametern f r verschiedene Daten banken Extranet Ein Netz das auf dem Internet basiert und eine hnliche Technologie einsetzt Unternehmen begin nen momentan mit dem Einsatz des Web Publishings elektronischen Handels und der Nachrichten bertra gung sowie der Verwendung von Groupware f r ver schiedene Gruppen von Kunden Partnern und internen Mitarbeitern F File Transfer Protocol FTP Ein Client Server Protokoll im Internet das zum bertragen von Dateien zwischen Computern benutzt wird Firewall Ein Gateway zwischen Netzen der den Informationsflu zwischen diesen einschr nkt Norma lerweise dienen Firewalls dem Schutz interner Netze gegen die nicht berechtigte Verwendung durch externe Personen FTP File Transfer Protocol G
192. roces CA Server verwalten 20 00 00 2344 sor 70 Registratoren hinzuf gen 34 Smart Cards 7 7 ZL Versehl sselung f r die RA Datenbank aktivieren 37 Pr fung 27 Vom RA Server berwachten Anschlu ndern 38 Protokolleintr ge mo m Rod R 2 RA Sendeaufrufintervall nden 38 Pr fereignisse xod Soon Q s 2 RA Wiederholungsintervall ndern 39 Masken f r Pr fereignisse 4 775 RA Server Protokolle pr fen 39 Verbindliche und vvahlfreie Pr fereignisse os Z RA Server Status pr fen 39 Integrit tspr fung 73 RA Einstellungen f r die Kommunikation mit Integrit tsversiegelung a SD dem Directory ndern 41 Archivieren von Pr fprotokollen som R a ZO Pr fsubsystem vervvalten 42 DB2 Datenbanken 73 Protokolleintr ge anzeigen 43 Web Server k pr Protokolleintr ge suchen 46 IBM WebSphere Application Server 75 Pr f Server Anschluf im Pr f Client Anden 46 IBM HTTP Server 74 iii IP Aliasing Directory Server Objektkennungen Kapitel 5 Referenzinformationen Konfigurationsdateien Dateibeschreibung CA Server Konfigurationsdatei RA Server Konfigurationsdatei Pr f Server Konfigurationsdatei Pr f Client Konfigurationsdatei AuditClienti ini Befehlszeilendienstprogramme Dienstprogramm CA Certifica
193. rogramm Starten Sie das Trust Authority System RA Sendeaufrufintervall andern Das RA Sendeaufrufintervall ist die Zeit in Sekunden s Minuten m oder Stun den h zwischen den Abfragen der Arbeitsablaufswarteschlange durch den RA Server Die Elemente in dieser Warteschlange deren Zuteilungszeit abgelaufen ist werden fiir die Verarbeitung zugeteilt Gehen Sie wie folgt vor um das Sende aufrufintervall zu andern 1 2 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das 1 Authority System 5 Sie 555 die Anvvei sungen unter Starten Sie den Editor IniEditor und laden Sie die Konten jonahra ini Informationen zum Starten und Verwenden von IniEditor finden Sie bei Bedarf im Abschnitt Informationen zu den Datei 5 unter AIX und Windows NT finden Sie im Abschnitt Tahslle Lauf Seite 10 Wahlen Sie den Abschnitt Transport aus zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter PollInterval aus Andern Sie im angezeigten Editierfeld den Wert fiir das Sendeaufrufintervall Speichern Sie die Datei und beenden Sie das Programm Starten Sie das Trust Authority System Trust Authority Systemverwaltung RA Wiederholungsintervall andern Die Zeit zwischen den CA Abfragen durch die RA in Sekunden s Minuten m oder Stunden h sofern der vom CA an die RA bermittelte Zeitpunkt f r den Sendeaufruf vor der aktuellen Uhrzeit der RA liegt Gehen Si
194. rten Sie den Task Manager durch Dr cken der Tastenkombination Strg Alt und Entf 3 W hlen Sie die Registerkarte Prozesse aus 4 Suchen Sie nach mindestens einem Vorkommen des Prozesses java exe Finden Sie diesen Proze fahren Sie mit Schritt B fort Finden Sie diesen Proze nicht lesen Sie bitte im Abschnitt nach 5 Informationen zum Zugriff auf die WebSphere Verwaltungsseiten und zur Ermittlung des Server Status finden Sie in der WebSphere Dokumentation WebSphere Application Server Protokolle pr fen Sie k nnen die Protokolle pr fen in denen die Transaktionen zwischen dem WebSphere Application Server und dem IBM Trust Authority Setup Wizard aufge zeichnet werden Die Positionen dieser Protokolle werden im Abschnitt Tabelle beschrieben Tabelle 2 WebSphere Application Server Protokolle ber Transaktionen mit dem Setup Wizard AIX Standardpfad Windows NT Standardpfad Anmerkungen usr lpp iau etc logs jvm_stderr log c Program Files IBM Trust Der Standardpfad f r Authority etc logs jvm_stderr log Fehlernachrichten der Java Virtual Machine JVM usr lpp iau etc logs jvm_stdout log c Program Files IBM Trust Der Standardausgabepfad Authority etc logs jvm_stdout log der JVM 16 Trust Authority Systemverwaltung Sie k nnen die Protokolle pr fen die die Transaktionen zwischen dem IBM WebSphere Application Server und Ihrer Registreranesanwendung aufzeichnen Die Positionen dieser Protoko
195. rung folgenden Befehl ein um die Verbindung zur Datenbank herzustellen connect to pkrfdb In diesem Beispiel wird die Standard Registrierungsdatenbank pkrfdb verwendet Unter Windows NT 1 W hlen Sie in der Windows Funktionsleiste die Option Start gt Programme gt DB2 f r Windows NT Befehlszeilenprozessor aus 2 Geben Sie an der Eingabeaufforderung den Befehl DB2 ein 3 Geben Sie den Befehl connect to pkrfdb ein In diesem Beispiel wird die Standard Registrierungsdatenbank pkrfdb verwendet b Geben Sie an der DB2 Eingabeaufforderung einen SQL Befehl nach fol gendem Muster ein select last_name first_name credential_uuid created_on from requests where last_name IhrNachname and first name IhrVorname and profile name like BrowserCert Ist diese Abfrage erfolgreich gibt das System den angeforderten Nachna men Vornamen die Identit tsnachweis UUID und die Zeitmarke aller entsprechenden Eintrage zurtick In diesem Beispiel handelt es sich bei den zur ckgegebenen Informationen um Angaben aus dem Anforderungssatz Ihres genehmigten Browser Zertifikats c Geben Sie den Befehl quit ein um die DB2 Sitzung zu beenden 3 Befolgen Sie die Anweisungen im Abschnitt gistra iftig Schritt B auf Seite 34 um das Hinzuf gen des eigenen Benutzereintrags als ersten Registrator abzuschlie en Einen Registrator hinzuf gen Je nach den von Ihrem Unternehmen festgelegten Regeln kann eine Anforderung zum Hinzuf gen e
196. rust Authority werden die Web Server Programme unter Windows NT nicht automatisch gestoppt Nach dem Stoppen von Trust Authority m ssen Sie das WebSphere Exemplar das f r die Registrierungsdo m ne gestartet wurde manuell stoppen Verwenden Sie hierzu den Windows NT Task Manager um den java exe und den reqdbagent exe Prozef zu beenden Um eine optimale Leistung zu erhalten sollten Sie vor einem erneuten Starten der Server Komponenten auf einem Windows NT System einen Neustart der Maschine durchf hren Wenn Sie das Steuerprogramm verwenden um die Trust Authority Server Komponenten unter Windows NT zu starten kann das Fenster in dem das Programm gestartet wird nicht geschlossen werden Dies liegt daran da einige Komponenten diesem Konsolfenster zugeordnet sind Nach dem Stoppen der Trust Authority Server Komponenten kann auch dieses Fenster geschlossen werden Durch das Starten und Stoppen von Trust Authority wird auch der Directory Server automatisch gestartet bzw gestoppt Wenn das Directory nicht automa Trust Authority Systemverwaltung tisch gestartet bzw gestoppt werden soll m ssen Sie den Abschnitt AutoStopN der Datei TrustAuthControl cfg editieren um den Eintrag f r die Directory Komponente zu entfernen Ferne Server starten und stoppen Wenn Sie die Trust Authority Komponenten auf fernen Maschinen installiert haben m ssen Sie das Steuerprogramm verwenden um die Komponenten auf den einzel ne
197. ryd ner dd sn XIV MA TFSNEI 9 ureurog nox surewiog pyd Auoygny pred Meus n1tA rp uN asil WNAI STI ONANAN LN sMopury Ng my aweUTEyeq pun Jonjosqy rqu ysor tojensrururpejnid UT N NIdOS u p my Womuusyssuesuy Mdog entuy uN 68 199 000 0448 1011 2 62 0826 6 q ynu pi nbrun 124010 dIND uN HGOVV H VMOLS 115244 ST V T dS V pU MM A sap HV ppoW PMLI ISA 1o1S ynO SIEPWEILT sap H M uu A YPTAaprojsa 181 Yruydsqy s s rqi DSA UIN SA ro1S y UEJUIWON ar10 ghaying 31045433 yal VY ozzy uopanpfe Jap IOA Inj pjundypoz y nr rr qn yy rp ue VO WOA Jap WY rp q mp ef wg v8eygqy yJ Uap u uosIAZ Z AA duonem3ruoy yoru reqs pue soyur lqorq uongein3ijuoyprepuejs Jeusd aM Sunqr ry s qg suojJ jarepsuojjesnbyuoy 1 GL 94 Trust Authority Systemverwaltung u zolensrururpy uN 0 2 2 Jap yezuy sunupyumN u pun q weIs g u q s wap ne yaIs uu A pit JopuaMmasue y s rs uny ssnyq sT A r Toyensrururpy WOUISF u ss p pun WOUTD M N SLAMZ umN d Sunputqa A rp my qo ue 1412 4 uN 91 apureredsdunsstumdo SUOTSSIGXEN H
198. s Client Server Modell bezeichnet Server Zertifikat Ein digitales Zertifikat das von einem CA ausgegeben wird und es einem Web Server erm glicht SSL gest tzte Transaktionen auszuf hren Wenn ein Browser ber das SSL Protokoll eine Verbin dung zum Server herstellt sendet der Server seinen ffentlichen Schl ssel an den Browser Hierdurch kann die Identit t des Servers authentifiziert werden und es k nnen verschl sselte Daten an den Server gesendet werden Siehe auch CA Zertifikat Digitales Zertifikat und Browser Zertifikat 138 Trust Authority Systemverwaltung Servlet Ein Server Programm das zus tzliche Funk tionen f r Server zur Verf gung stellt die Java unter st tzen SET Secure Electronic Transaction SGML Standard Generalized Markup Language SHA 1 Secure Hash Algorithm Ein von NIST und NSA entwickelter Algorithmus der beim DSS Digital Signature Standard verwendet wird Der Standard wird als Secure Hash Standard bezeichnet SHA ist der Algorithmus der von diesem Standard verwendet wird Er generiert einen 160 Bit Hash Code Sicherheitsdom ne Eine Gruppe z B Unternehmen Arbeitsgruppe Projektteam deren Zertifikate vom gleichen CA zertifiziert wurden Benutzer die tiber ein von einem CA unterzeichnetes Zertifikat verfiigen k nnen der Identit t eines anderen Benutzers ver trauen der ein Zertifikat besitzt das vom selben CA unterzeichnet worden ist Sicherungsmodell Eine Organisation
199. s die G ltigkeit des Zertifikats auf eine Gruppe von URIs Uniform Resource Identifiers eine Ken nungskategorie die haupts chlich aus URL Adressen besteht einschrankt Im folgenden Beispiel wird das Betriebssystem AIX verwendet alle Trust Authority CA Hosts verfiigen tiber Namen die mit xyz com enden Pfad und Dateiname der Vorabregistrierungsdatei lauten tmp ccprereg reg und das Kenn wort lautet Secure99 Folgender Befehl plaziert die angegebene URI in der Liste zulassiger Unterverzeichnisstrukturen CaCertRq u xyz com r tmp ccprereg reg P 1835 W Secure99 Anmerkung Der Knotenabschnitt in einer Baumstruktur ein Punkt an dem untergeordnete Datenelemente ihren Ursprung haben der URI unter liegt den im Abschnitt DM beschriebenen Regeln sofern er keine TP 7 enth lt i diesem Fall wird er als exakte Ubereinstimmung behandelt Kapitel 3 Informationen zur Vorgehensweise 27 Verzeichniseintrage angeben Sie k nnen ein gegenseitig zertifiziertes CA Zertifikat anfordern das die G ltigkeit des Zertifikats auf eine Gruppe von Verzeichniseintragen mit den gleichen RDNs Relative Distinguished Names einschrankt Im folgenden Beispiel wird das Betriebssystem AIX verwendet alle Trust Authority CA Hosts verfiigen tiber RDNs die den angegebenen RDNs C US O companyA OU departmentB entsprechen Pfad und Dateiname der Vorabregistrierungsdatei lauten tmp ccprereg reg und das Kennwort lautet Secu re99 Folgender Befehl pl
200. schen Priif Server und Pr f Client ndern 49 m Intervall zwischen Bindungsversuchen adam 49 Kapitel 2 bersicht 3 Protokolleinstellungen ndern 49 Pr fberichte generieren 5 02 Kapitel 3 Informationen zur Vorgehens Pr fprotokolldateien archivieren und unterzelch weise 5 nen lt D2 Trust Authority verw alt ni 5 Integrit t der Datenbank des Pr f Server dad Befehle unter Windows NT ein geber en 2 der Archivierungsdateien priifen s He 209 Trust Authority Kennworter andern 5 Status des Pr f Servers pr fen 55 Server Komponenten starten und stoppen 7 Pr f Server Protokolle pr fen 56 miEditor zum Andern von Konfigurationsdateien DB2 Datenbanken verwalten 5 verwend n s 2025050 Status von DB2 Datenbanken pr fen Boxous 5 bz Trust Authority IP Adressen inder 11 DB2 Protokolle pr fen 5 59 System sichern und wiederherstellen 12 Directory Server verwalten 2 2 222 2 99 Anzahl von Benutzern und Zertifikaten tiberwa Directory Server Status pr fen 60 chen vee 13 Directory Server Protokolle pr fen 61 Zertifikatsaktivitat berwadheh mo 6 a de IBM SecureWay 4758 PCI Cryptographic Coproces WebSphere Application Server verwalten 16 sor verwalten 61 Status des WebSphere Application Server priifen 16 WebSphere Application Server Protokolle pr fen 16 Kapitel 4 Erl uterungen s w S
201. schen RA Desktop und CA Server Er befindet sich zusammen mit seinem DB2 Datenbankexemplar auf einer lokalen Maschine Zur Verwaltung des RA Servers mtissen Sie in der Regel die nachfolgend beschrie benen Tasks ausfiihren Verwenden Sie das Dienstprogramm zum Hinzuf gen von RA Benutzern add_rauser um dem System Benutzer als Registratoren RA Administratoren hinzuzuf gen Verwenden Sie das Dienstprogramm zum Aktivieren der RA Datenbankverschl sselung iauEnableRADBSec um die Verschl sselung der RA Datenbank zu aktivieren e Verwenden Sie den Editor IniEditor um folgende nderungen an der Konfigu rationsdatei jonahra ini vorzunehmen ndern des Anschlusses der vom RA Server berwacht wird ndern des RA Sendeaufrufintervalls ndern des RA Wiederholungsintervalls ndern der RA Einstellungen f r die Kommunikation mit dem Directory e Pr fen der Protokolle des RA Servers Pr fen des Status des RA Servers Registratoren hinzuf gen Sie sind f r das Hinzuf gen neuer Registratoren zum System verantwortlich Ein Benutzer mit dem Status eines Registrators kann die Funktionen nutzen und auf die eingeschr nkten Ressourcen zugreifen die in einem der RA Profile in der Konfigurationsdatei einer Trust Authority Registrierungsfunktion definiert wurden Um einen neuen Registrator hinzuf gen zu k nnen m ssen Sie selbst ein RA Administrator sein Dieser Abschnitt erl utert die Prozeduren zum erstmalig
202. schr nkung orga com entsprechen beispielsweise die Hosts us orga com vneto orga com und w3 software orga com jedoch nicht orga com selbst oder kidorga com Der Einschr nkung orga com entspricht der Host orga com jedoch nicht us orga com oder die anderen Daraus folgt da eine zul ssige Unterverzeichnisstruktur ohne f hrenden Punkt nur einen m glichen Knoten angibt m email Address M emailAddress Die E Mail Adressen Der kleingeschriebene Parameter m f gt die angege bene E Mail Adresse der Liste zul ssiger Unterverzeichnisstrukturen hinzu Der grofgeschriebene Parameter M entspricht dem kleingeschriebenen Para meter Die angegebene E Mail Adresse wird jedoch der Liste unzul ssiger Unterverzeichnisstrukturen hinzugef gt Eine E Mail Adresse kann im Standardformat ohne Platzhalter oder als DNS Adresse angegeben werden Die Regeln f r eine DNS Adresse entsprechen den Regeln f r die Option d Daraus folgt da eine zul ssige Unterverzeichnis strukturen mit einer Standard E Mail Adresse nur einen m glichen Benutzer angibt u uri LU uril Die URI Der kleingeschriebene Parameter u f gt die angegebene URI der Liste zul ssiger Unterverzeichnisstrukturen hinzu Der gro geschriebene Para meter U entspricht dem kleingeschriebenen Parameter Die angegebene URI wird jedoch der Liste unzul ssiger Unterverzeichnisstrukturen hinzugef gt Der Knotenabschnitt der URI Uniform Resource Identifier unterliegt
203. sep my ef 0001 Uap u v srAz rp puny siill N ut V Z AA OUT ef p Stusierq ur Inj u Uu9nsi A pu s UOA yezuy SOLYOYY yzynysiayun yyptu 1611 UOA SLA Wasatp UT PIM Isjourereg uN U YOL Toso H YOL TMEQU TEpT sshqos 1ss U9YOLCA TSS QP 1ss arp Hpne qrroyiny ISMAIL WAIN SOTA Wrerso1g 9 LN SMOpuIM INA z4n3s10 un quoru AyWOYINY 1snal UOA aseafay ut s rp ur pir uN qp r1ss 3u rp arpne ner ddr isn XIV MA q urereq s tq quequ lep ssn uoS TsS qq 4 yr1ss z msm yun Pru Anoviny SNIJ UOA se q wasaIp ut PIIM IojoureIeg Jasaiq uadunzyg nyun ynz MJ U piSA PU AAT A uN uN BUNZJS I AI JUAO rp MJ TSS TIOS ISS sf yzynysiayun 3 ru 1511 UOA SLA urt s rp ut PIIM 1 1 ure1ed UIN snursrueq vus3unr rznu qny u vurumsur r qn iyq suy u u q s Sue TUTISAISSAPNY PPA s p ef 86668 UT Tu FN ST AT S ynaq sop FN Ysuy 1404 uN 180 AU 3SOH T AT S ynTq z UIEN3SOH uN any u sstuZpPI MAIdJ UOA USIOTALTEU U 19TAnNV Apnyargeug NOLLDINNOD ua8unqjaysutassun putqia uonem3Suuoy Yeu reqi pue so Wa qorg H MpILpULIS 8 142110 1 4 21 4 1 102 Trust A
204. ses Buch enthalt Informationen dartiber wie Zertifikate abgerufen und verwaltet werden Es beschreibt die Prozeduren zur Verwendung der Browser Registrierungsformulare von Trust Authority um Zertifikate anzu fordern zu erneuern und zu widerrufen Aufserdem beschreibt das Buch wie eine Vorabregistrierung f r PKIX kompatible Zertifikate durchgef hrt wird und wie diese Zertifikate mit Hilfe des Trust Authority Client verwal tet werden Sie k nnen auf die HTML Version dieses Handbuchs zugreifen wahrend Sie die Online Hilfe fiir den Client nutzen 127 Anpa 110 Dieses Buch zeigt wie die Trust Authority Registrierungsfunktion angepa t wird um die Vorgaben zur Registrierung und Zertifizierung im Rahmen Ihrer Gesch ftsregeln zu unterst tzen Sie erfahren beispielsweise wie HTML und Java Server Seiten Mitteilungsschreiben Zertifikatsprofile und Regel Exits angepa t werden Die rust Authority Web Site enth lt weitere Dokumente die Ihnen bei der Instal lation Verwaltung un Nutzung von Trust Authority helfen k nnen Dort finden Sie beispielsweise zus tzliche Richtlinien zum Directory Schema und erfahren wie Trust Authority in den IBM SecureWay 4758 PCI Cryptographic Coprocessor inte griert wird 128 Trust Authority Systemverwaltung Glossar In diesem Glossar werden alle Termini und Abkiirzungen definiert die in diesem Handbuch verwendet werden und die m glichervveise neu oder unbekannt und von Bedeutung sind Numer
205. skonvention die regelt wie Zertifikatsaussteller CAs andere Zertifi katsaussteller zertifizieren k nnen Simple Mail Transfer Protocol SMTP Ein Protokoll mit dem elektronische Post ber das Internet bertra gen wird Site Zertifikat Dieser Zertifikatstyp ist mit einem CA Zertifikat vergleichbar gilt jedoch nur f r eine bestimmte Website Siehe auch CA Zertifikat Smart Card Eine Hardwarekomponente normaler weise in der Gr e einer Kreditkarte auf der die digi talen Schl ssel eines Benutzers gespeichert werden k nnen Eine Smart Card kann kennwortgesch tzt werden SMTP Simple Mail Transfer Protocol SSL Secure Sockets Layer Standard Generalized Markup Language SGML Ein Standard zur Beschreibung von Formatierungsspra chen HTML basiert auf SGML Symmetrische Verschliisselung Eine Form der Ver schliisselung bei der sowohl fiir die Ver als auch fiir die Entschl sselung derselbe Schl ssel verwendet wird Die Sicherheit dieses Verfahren basiert auf dem Schl s sel Wird dieser ffentlich bekanntgegeben k nnen die mit ihm bearbeiteten Nachrichten von jedem Benutzer ver und entschl sselt werden Der Inhalt der ber tragenen Daten kann nur dann geheimgehalten werden wenn der Schl ssel nur den jeweils berechtigten Perso nen bekannt ist Gegensatz zu Asymmetrische Verschl s selung Symmetrischer Schliissel Ein Schliissel der sowohl f r die Verschl sselung als auch f r die Entschl sse
206. sr 1pp 1au bin run_IniEditor meinedat ini In der DOS Befehlszeile der Windows NT Umgebung cd c Program Files IBM Trust Athority bin IniEditor meinedat ini Geben Sie einen der beiden folgenden Befehle ein um den Editor ohne Angabe eines Dateinamens zu starten In der Befehlszeile der AIX Umgebung run_IniEditor In der DOS Befehlszeile der Windows NT Umgebung IniEditor Wenn Sie keinen Dateinamen eingeben werden Sie gefragt ob Sie eine neue oder eine vorhandene Datei editieren wollen Handelt es sich um eine neue Datei wer Kapitel 3 Informationen zur Vorgehensweise 9 den Sie zur Eingabe des Dateityps aufgefordert F r jeden Dateityp existiert eine entsprechende Schablone Ini Datei die nach Angabe des Dateityps eingelesen wird Folgende Optionen sind m glich Tabelle 1 Trust Authority Konfigurationsdateien AIX Standardpfad Windows NT Standardpfad Beschreibung usr lpp iau etc TrustAuthority c Program Files IBM Trust Die Konfigurationsdatei des jonahca ini Authority etc IrustAuthority jonahca ini CA Servers Diese Datei enth lt die Konfigurationsvariablen des CA Servers Sie k nnen diese Variablen ndern um grundlegende Funktions merkmale und Verbindungs einstellungen festzulegen usr lpp iau pkrf Domains c Program Files IBM Trust Authority Die Konfigurationsdatei des YourDomain etc jonahra ini pkrf Domains YourDomain etc RA Servers Diese Datei jonahra ini enth lt die Konfig
207. ssen werden Anderung des Textes bleibt vorbehalten Verweise in diesen Informationen auf Websites anderer Anbieter dienen lediglich als Benutzerinformationen und stellen keinerlei Billigung des Inhalts dieser Websi tes dar Das ber diese Websites verf gbare Material ist nicht Bestandteil des Mate rials f r dieses IBM Produkt Die Verwendung dieser Websites geschieht auf eigene Verantwortung Werden an IBM Informationen eingesandt k nnen diese beliebig verwendet wer den ohne da eine Verpflichtung gegen ber dem Einsender entsteht Lizenznehmer des Programms die Informationen zu diesem Produkt w nschen mit der Zielsetzung i den Austausch von Informationen zwischen unabh ngigen erstellten Programmen und anderen Programmen einschlie lich des vorliegenden Programms sowie ii die gemeinsame Nutzung der ausgetauschten Informationen zu erm glichen wenden sich an folgende Adresse IBM Corporation Department LZKS 11400 Burnet Road Austin TX 78758 U S A Die Bereitstellung dieser Informationen kann unter Umst nden von bestimmten Bedingungen in einigen F llen auch von der Zahlung einer Geb hr abh ngig sein Die Lieferung des im Handbuch aufgef hrten Lizenzprogramms sowie des zuge h rigen Lizenzmaterials erfolgt im Rahmen der Allgemeinen Gesch fts 123 bedingungen der IBM der Internationalen Nutzungsbedingungen der IBM fiir Programmpakete oder einer quivalenten Vereinbarung Alle in diesem Dokument en
208. stem automatisch gestar tet wird Ein Damon kann tiber eine unbegrenzte Zeit hinweg ausgefiihrt oder vom System in bestimmten Zeitintervallen erneut generiert werden Der Terminus englisch demon stammt aus der Mytho logie Spater wurde er aber als Akronym f r den Aus druck Disk And Execution MONitor Platten und Ausf hrungs bervvachungsprogramm erklart Data Encryption Standard DES Eine Verschl sselungs Block Cipher die 1977 von der US Regierung als offizieller Standard definiert und tibernommen wurde Dieser Standard wurde urspriing lich von IBM entwickelt DES wurde seit seiner Ver f fentlichung umfassend untersucht und stellt ein all gemein bekanntes und h ufig verwendetes Verschl sselungssystem zur Verf gung Bei DES handelt es sich um ein symmetrisches Ver schl sselungssystem Um es f r die Daten bertragung einzusetzen m ssen sowohl der Sender als auch der Empf nger den selben geheimen Schl ssel kennen Dieser Schl ssel wird zum Ver und Entschl sseln der Nachricht verwendet DES kann au erdem zur Durch f hrung von Verschl sselungsoperationen f r einzelne Benutzer eingesetzt werden z B zum Speichern von verschl sselten Dateien auf einer Festplatte DES arbei tet mit einer Blockgr e von 64 Bit und verwendet f r die Verschl sselung einen 56 Bit Schl ssel Urspr ng lich wurde dieser Standard f r die Hardwareimplemen tierung entwickelt DES wird von NIST alle f nf Jahre erneut als of
209. steme Auf grund der Leistungsf higkeit dieser Algorithmen sollten Sie den von Ihnen ver wendeten Methoden zur Schl sselverwaltung besondere Aufmerksamkeit zukommen lassen Ist die Vertraulichkeit eines Schl ssels nicht mehr gew hrleistet k nnen unter Umst nden Unbefugte auf die mit diesem Schl ssel verschl sselten Trust Authority Systemverwaltung Daten zugreifen Der IBM SecureWay 4758 PCI Cryptographic Coprocessor erm g licht mit folgenden Merkmalen die Erweiterung des umfassenden Schutzes fiir diese Schl ssel Dreifache Verschl sselung von Schl sseln mit Hilfe eines speziellen in der dedizierten Hardware gespeicherten Schl ssels Schutz von Endpunkt zu Endpunkt Daten bertragungen e Programmatisches Definieren von nderbaren Regeln und Profilen Nutzung eines Zufallsgenerators auf Hardwarebasis zur Erstellung nicht voraus berechenbarer Schl ssel Die Verschl sselungsprozesse finden in einem sicheren und abgegrenzten Bereich auf der Karte statt Die Karte ist so ausgelegt da sie den strengen Anforderungen des Standards FIPS PUB 140 1 Stufe 4 entspricht Innerhalb des sicheren Bereichs kann Software ausgef hrt werden In Trust Authority erm glicht der IBM SecureWay 4758 PCI Cryptographic Copro cessor die Erstellung von CA Unterschriftsschl sseln Die durch den IBM Secur eWay 4758 PCI Cryptographic Coprocessor erstellten Schl ssel werden von der Karte gesch tzt indem sie mit dem in die Karte integrier
210. stimmten Verzeichnis zu pr fen in diesem Fall usr lpp iau arc 1 Geben Sie an der AIX Befehlszeile folgenden Befehl ein AuditIntegrityCheck c usr Ipp iau etc TrustAuthority AuditServer ini A usr 1pp iau arc 2 Wenn das System Sie zur Eingabe eines Kennworts KeyStore PIN auffor dert geben Sie das Kennwort des Priifadministrators ein Dieser Befehl priift im angegebenen Verzeichnis alle Dateien mit der Erweite rung ixf Angenommen Sie verwenden Windows NT und den Trust Authority Standardpfad f r Konfigurationsdateien Melden Sie sich bei Trust Authority als Konfigurations benutzer an der Maschine an auf der die Trust Authority CA und Pr f Server Komponente installiert ist Sie m chten die nachfolgenden Komponenten nach Manipulationen durchsuchen Gehen Sie wie folgt vor um die Datenbank des Pr f Servers zu pr fen 1 Geben Sie an der DOS Eingabeaufforderung in diesem Fall c folgenden Befehl ein AuditIntegrityCheck c c Program Files IBM Trust Authority etc TrustAuthority AuditServer ini d 2 Wenn das System Sie zur Eingabe eines Kennworts KeyStore PIN auffor dert geben Sie das Kennwort des Pr fadministrators ein Die Ergebnisse werden auf der Standardausgabeeinheit angezeigt Gehen Sie wie folgt vor um eine oder mehrere Archivierungsdateien des Pr f Servers zu pr fen 1 Geben Sie an der DOS Eingabeaufforderung in diesem Fall c folgenden Befehl ein AuditIntegrityCheck c c
211. t Archive and Sign k nnen Sie Pr fprotokoll dateien archivieren und unterzeichnen Dieses Tool archiviert die Tabellen der Datenbank des Pr f Servers die Pr fs tze enthalten Die Tabellen werden mit Hilfe des DB2 Exportdienstprogramms in einer Datei archiviert Anschlie end wird die Datei unterzeichnet Alle Pr fs tze werden nach erfolgreicher Archivierung aus der Datenbank entfernt wenn die Option n nicht angegeben wird 52 Trust Authority Systemverwaltung Anmerkung Das Trust Authority System muf vor der Ausf hrung dieses Dienst programms nicht heruntergefahren werden Angenommen Sie verwenden den standardm igen Trust Authority Installationspfad Sie m chten die aktuellen Pr fsatze der Datenbank des Priif Servers in der Datei meine datei archivieren und diese Datei unterzeichnen Die Pr fs tze sollen jedoch nicht aus der Datenbank entfernt werden Gehen Sie wie folgt vor 1 Melden Sie sich bei Trust Authority als Konfigurationsbenutzer an der Maschine an auf der die Trust Authority CA und Pr f Server Komponente installiert ist Der empfohlene Benutzername der gleichzeitig auch der Standardbenutzer name ist lautet cfguser Wenn Trust Authority unter Windows NT installiert ist wurde vom jeweiligen Unternehmen m glicherweise ein anderer Benutzer name verwendet 2 Geben Sie in der Befehlszeile Ihrer Umgebung folgenden Befehl ein Unter AIX AuditArchiveAndSign c usr 1pp iau etc TrustAuthority AuditS
212. t Authority Activity Report Report generated on Sep 28 1999 15 59 23 EDT Date of daily report 1999 09 27 Daily Activity Report for RA Administrators RA Administrator DN Approved Rejected Revoked N RAadmin1 OU PKI O IBM C US 23 6 1 CN RAadmin2 OU PKI O IBM C US 14 2 0 CN RAadmin3 OU PKI O IBM C US 55 8 4 Daily Activity Report for the System Approved 92 Rejected 16 Revoked 5 Kapitel 3 Informationen zur Vorgehensweise 15 WebSphere Application Server verwalten IBM WebSphere besteht aus einer Gruppe von Softwareprodukten mit denen Unternehmen leistungsfahige Web Sites entvvickeln und verwalten k nnen Der WebSphere Application Server stellt zusammen mit dem IBM HTTP Server in Trust Authority die Infrastruktur fiir Web Server Funktionalitat bereit Status des WebSphere Application Server prufen Je nach Umgebung k nnen Sie den Status des WebSphere Application Server mit folgenden Prozeduren priifen Unter AIX 1 Melden Sie sich bei AIX als Root an 2 Pr fen Sie die Prozefstabelle und suchen Sie nach folgender Zeichenfolge OutofProcEngine Finden Sie diesen Proze fahren Sie mit Schritt B fort Finden Sie diesen Proze nicht lesen Sie bitte im Abschnitt nach 3 Informationen zum Zugriff auf die WebSphere Verwaltungsseiten und zur Ermittlung des Server Status finden Sie in der WebSphere Dokumentation Unter Windows NT 1 Melden Sie sich bei Windows NT als Systemadministrator an 2 Sta
213. t die Hauptkomponente des VVeb Servers Trust Authority vervvendet mehrere HTTP D monen Diese HTTP D monexemplare verwalten ffentliche verschl sselte sowie vom Client authentifizierte und verschl sselte Verbindungen Detaillierte Informationen zu Web Servern und zu den verschiedenen Verbindungs arten die in Trust Authority zur Verwaltung unterschiedlicher Transaktionen einge Web Server auf Seite 7 l setzt werden finden Sie im Abschnitt Web Server auf Seite 74 Status des HTTP Server pr fen Je nach Umgebung k nnen Sie den Status des HTTP Server mit folgenden Proze duren pr fen Unter AIX 1 Melden Sie sich bei AIX als Root an 2 Pr fen Sie die Prozefstabelle und suchen Sie nach folgender Zeichenfolge sidd einmal httpd mindestens zweimal Sind diese drei Prozesse vorhanden fahren Sie mit Schritt fort Sind nicht alle dieser drei Prozesse vorhanden lesen Sie bitte im Abschnitt Kapitel 3 Informationen zur Vorgehensweise 17 18 3 Wechseln Sie in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standardpfad usr 1pp 1au bin Pr fen Sie die Anschl sse indem Sie f r jeden Anschlu folgenden Befehl eingeben checkSrvPortStatus p Port s Server r1 wl Hierbei steht Port f r die Nummer des zu pr fenden Anschlusses und Server f r den Namen des zugeordneten HTTP Servers Eine bersicht der standardm igen HTTP Server und 77 I U7 von Trust Authority finden
214. t nur zur Gew hrleistung der Vertraulichkeit Verschl sselung sondern auch f r die Authentifizierung digitale Unterschriften eingesetzt werden Secure Electronic Transaction SET Ein Branchen standard f r die Durchf hrung sicherer Kredit oder Kundenkartenzahlungen ber nicht gesicherte Netze Der Standard formuliert Definitionen f r die Authenti fizierung von Kartenhaltern H ndlern sowie der Ban ken durch die die Karten ausgestellt werden da er die Ausstellung von Zertifikaten anfordert Secure Sockets Layer SSL Ein IETF Standard bertragungsprotokoll mit integrierten Sicherheitsservices die f r den Endbenutzer m glichst transparent sind Es stellt einen digitalen sicheren Kommunikationskanal zur Verf gung Ein SSL f higer Server empf ngt SSL Verbindungsanforderungen im allgemeinen an einem anderen Anschlu Port als normale HTTP Anforderungen SSL erstellt eine Sitzung in der die Austauschsignale zum Herstellen der Kommunikation zwischen zwei Modems nur einmal gesendet werden m ssen Anschlie end wird die Kommunikation ver schl sselt und die Nachrichtenintegrit t wird solange berpr ft bis die SSL Sitzung abgelaufen ist Server 1 In einem Netz eine Datenstation die ande ren Stationen Funktionen zur Verf gung stellt wie beispielsweise ein Datei Server 2 In TCP IP ein System in einem Netz das die Anforderungen eines Systems an einem anderen Standort verarbeitet Dieses Konzept wird al
215. tClient ini weitergegeben wird N here Informatio nen hierzu finden Sie im Abschnitt ndern a eite 4A 48 Trust Authority Systemverwaltung Anzahl der Bindungsversuche zwischen Pruf Server und Pruf Client andern Gehen Sie wie folgt vor um die Anzahl der Bindungsversuche des Pr f Clients zu andern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter a a 3 Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei AuditS erver ini Informationen zum Starten und Vervvenden von IniEditor finden Sie ps Bedar i im Abschnitt nen zu den Datei en unter AIX und Windows NT finden Sie im Abschnitt belle Lauf Seite 10 4 W hlen Sie den Abschnitt Server Port aus zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter acceptor init retries aus 5 ndern Sie im angezeigten Editierfeld die Anzahl der Bindungsversuche Der Standardwert lautet 3 6 Speichern Sie die Datei und beenden Sie das Programm 7 Starten Sie das Trust Authority System Intervall zwischen Bindungsversuchen ndern Gehen Sie wie folgt vor um das Intervall zwischen den Bindungsversuchen des Pr f Clients zu ndern 1 2 6 7 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sun
216. tandardpfad f r AIX lautet usr lpp iau etc TrustAuthority AuditServer ini e Der Standardpfad f r Windows NT lautet c Program Files IBM Trust Athority etc TrustAuthority AuditServer ini Anmerkung Dieser Parameter ist wahlfrei Wenn Sie keinen Wert angeben wird die Standardkonfigurationsdatei des Pr f Servers angege ben n Gibt an da Protokolleintrage nicht aus der Datenbank gel scht werden sollen ArchiveFileName Das Namenspr fix der Datei in die die Pr fprotokolle geschrieben werden Das Dienstprogramm f gt den Archiv und Unterschriftsdateien die Endungen ixf beziehungsweise sig hinzu Dienstprogramm Audit Integrity Check Das Dienstprogramm Audit Integrity Check pr ft die Integrit t von Protokollein tr gen sowohl in Archiven als auch in der Datenbank des Pr f Servers Dieses Tool kann nur dann eingesetzt werden wenn Integrit tspr fungen auf Ihrem System aktiviert wurden Die Syntaxformate f r diesen Befehl lauten wie folgt Format 1 Dieses Format pr ft die Integrit t der Datenbank des Pr f Servers und fordert Sie zur Eingabe des Pr fadministratorkennvvorts auf Format 2 Diese Format pr ft die Integritat einer oder mehrerer Archivdateien des Pr f Servers und fordert Sie zur Eingabe des Pr fadministratorkennvvorts auf Format 3 Dieses Format pr ft die Integritat aller Archivdateien im angegebenen Verzeich nis und fordert Sie zur Eingabe des Pr fadministratorkennvvorts auf
217. ten Hauptschl ssel ver schl sselt werden Die CA Schl ssel k nnen entweder im KeyStore oder im IBM SecureWay 4758 PCI Cryptographic Coprocessor gespeichert werden Der IBM SecureWay 4758 PCI Cryptographic Coprocessor ist eine wahlfreie aber empfohlene Trust Authority Komponente die nur f r die AIX Plattform verf gbar ist Smart Cards Smart Cards sind mobile Verschl sselungseinheiten in der Gr e einer Kreditkarte Sie werden sowohl zur Speicherung von Zertifikaten und Schl sseln als auch f r Verschl sselungsoperationen beispielsweise Unterschriften eingesetzt Hierbei verl t der private Schl ssel die Karte nicht Nicht alle Benutzer k nnen auf Smart Card Hardware zugreifen Daher bietet Trust Authority eine virtuelle Smart Card die sich wie eine reale Smart Card verh lt Benutzer von Trust Authority Clients k nnen Zertifikate auf virtuellen und realen Smart Cards speichern bergibt der Benutzer einer Trust Authority Client Anwendung eine Zertifikatsanforderung wird ein privater Schl ssel auf dessen virtueller oder realer Smart Card gespeichert Nach der Best tigung wird das Zertifikat an den Benutzer zur ckgegeben Alle auf der Smart Card gespeicherten Zertifikate k nnen einem privaten Schl ssel zugeordnet werden indem die Ken nung des gespeicherten privaten Schl ssels verwendet wird CA und RA speichern jeweils einen privaten Schl ssel und die entsprechenden selbstunterzeichneten Zertifikate auf ihren Sm
218. thaltenen Leistungsdaten stammen aus einer gesteuer ten Umgebung Die Ergebnisse die in anderen Betriebsumgebungen erzielt wer den k nnen daher erheblich von den hier erzielten Ergebnissen abweichen Einige Daten stammen m glicherweise von Systemen deren Entwicklung noch nicht abgeschlossen ist Eine Garantie da diese Daten auch in allgemein verf gbaren Systemen erzielt werden kann nicht gegeben werden Dar ber hinaus wurden einige Daten unter Umst nden durch Extrapolation berechnet Die tats chlichen Ergebnisse k nnen abweichen Benutzer dieses Dokuments sollten die entsprechen den Daten in ihrer spezifischen Umgebung pr fen Diese Daten stellen deshalb keine Leistungsgarantie dar Informationen ber Produkte anderer Hersteller als IBM wurden von den Herstel lern dieser Produkte zur Verf gung gestellt bzw aus von ihnen ver ffentlichten Ank ndigungen oder anderen ffentlich zug nglichen Quellen entnommen IBM hat diese Produkte nicht getestet und bernimmt im Hinblick auf Produkte ande rer Hersteller keine Verantwortung f r einwandfreie Funktion Kompatibilit t oder andere Anspr che Fragen hinsichtlich des Leistungsspektrums von Produkten anderer Hersteller als IBM sind an den jeweiligen Hersteller des Produkts zu rich ten Die oben genannten Erkl rungen bez glich der Produktstrategien und Absichtser kl rungen von IBM stellen die gegenw rtige Absicht der IBM dar unterliegen nderungen oder k nnen zur ckgenomme
219. tion Dienstprogramm Add RA User Dienstprogramm Enable RA Database Eneryp tion A Dienstprogramm Audit Archive and Sign Dienstprogramm Audit Integrity Check Felder fiir Priifereignisse R ae 4 Priifereignisse Daten der Pr fdatenbank Sehl sseltabelle Tabelle f r Ereignisbewertung V Trust Authority Systemvervvaltung 75 75 76 77 297 77 78 87 97 101 103 103 105 106 107 107 109 110 13 14 14 Tabelle zur Ereignissteuerung Quellentabelle Tabelle der berechtigten Entit ten Tabelle der berechtigten Aufgabenbereiche Tabelle der Arten betroffener Entit ten Tabelle der Komponentenarten Pr fprotokolltabelle Systemtabelle Fehlerbehebung Grundlegende Fehlerbehebung Fehlerbehebung mit aktivierter Nachrlehtener stellung auf Debug Stufe Bemerkungen Marken und Dienetleistun smarkan Bezugsinformationen Glossar Index 114 115 115 116 116 116 117 118 120 120 121 123 124 127 129 143 Tabellen m 10 11 12 13 Trust Authority Konfigurationsdateien WebSphere Application Server Protokolle tiber Transaktionen mit dem Setup Wizard IBM WebSphere Application Server Proto kolle tiber Transaktionen mit der Registrie rungsanwendung HTTP Server Protokolle ber Transaktionen mit dem Setup Wizard u HTTP Server Protokolle ber Transaktionen mit Ihrer Registrierungsa
220. tprogramm CA Certification f r gegenseitige Zertifizie rungen und CA Hierarchien Pr fen Sie die Protokolle des CA Servers Pr fen Sie den Status des CA Servers Aktivieren Sie die CRL Verteilungspunkte Trust Authority Systemverwaltung Vom CA Server bervvachten AnschluB andern Der vom CA Server berwachte Anschlu ist der Anschlu der vom CA auf PKIX Nachrichten gepr ft wird Gehen Sie wie folgt vor um den Wert fiir diesen Anschlu zu ndern 1 2 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter Starten Sie den Editor IniEditor und laden Sie die Konfigurationsdatei jonah ca ini Informationen zum Starten und Verwenden von niEditor finden Sie bei Bedarf im Abschnitt L verwenden auf Seite 9 Informationen zu den Datei 255 AIX und Windows NT finden Sie im Abschnitt Wahlen Sie den Abschnitt Transport aus zeigen Sie die zugeh rigen Unterab schnitte an und vvahlen Sie anschlieSend den Parameter TCPPort aus ndern Sie im angezeigten Editierfeld die Anschlu nummer Speichern Sie die Datei und beenden Sie das Programm Starten Sie IniEditor erneut und laden Sie die Konfigurationsdatei jonahra ini Diese Datei kann sich je nach Installation auf einer lokalen oder einer fernen Maschine befinden Wahlen Sie den Abschnitt URLs aus 9 ndern Sie im angezeigten E
221. uch die Sicherheit beim Datenaustausch Bei der herk mmlichen Firewall Technologie kann zwar der Inhalt der Nachricht verschl sselt werden nicht jedoch die Quellen und Zieladressen Bei der VPN Technologie k nnen die Benutzer eine Tunnel verbindung herstellen bei der das gesamte Datenpaket Header und Datenkomponente verschl sselt und gekapselt ist Vorabregistrierung Bei Trust Authority ein Proze mit dem ein bestimmter Benutzer normalerweise ein Administrator andere Benutzer registrieren kann Wenn die Anforderung genehmigt wird stellt die RA Informationen zur Verf gung mit denen der Benutzer sp ter mit Hilfe der Client Anwendung von Trust Authority ein Zertifikat erhalten kann VPN Virtual Private Network W Web Browser Auf einem PC ausgefiihrte Client Software mit der ein Benutzer im World Wide Web navigieren oder lokale HTML Seiten anzeigen kann Der Web Browser ist ein Abfrage Tool das universellen Zugriff auf die umfangreichen Hypermedia Datensammlungen erm glicht die im Web und im Internet zur Verf gung gestellt werden Manche Brow 140 Trust Authority Systemverwaltung ser k nnen Text und Grafik anzeigen w hrend andere Browser auf die Textanzeige beschr nkt sind Die mei sten Browser unterst tzen die Hauptformen der Internet Kommunikation z B die Ausf hrung von FTP Transaktionen Web Server Ein Server Programm das auf Anforde rungen von Browser Programmen nach Informations ressou
222. ue sorur lqorq uonem3 ruoypepues 8 r urereq suo3 jajepsuoyeinByuoy 19A19S VO HL H QBL 85 Kapitel 5 Referenzinformationen 7210599 VY rp np NA wep pun assaIPYV TAN Mu uoyeindyuoy 6c83OuTeoo1 xp d v4 ISNIL OA NO Ayoyny ISNIL OA NO vswuyoursyuy Nd va faq prm 8 1 s tq TU196 OH960 ST1960H962 u ss rpy ninl a10jgAayy M N 4 y OVW V ur f sshruos VTN MJ z esuu y Pq TVW uN qpuiqt NSd DI Any yuequ e i Jap IUN POUUOZWAHTPAPOPI UOIDESULLILS EUTULIOL Sess yyunAM nunuo a10us ef 3ess yVunMy nunuo M N T S rzin S T AITO UOT IA OI GP uN gan qqo AN si l tquv s p Hv I9PlAorlqoqpOPl 1120 uN JOPUIMIIA APIN 110e ysturupy uoA NA NdTurupy uN 0 U HAZIJH Z s p pyezuy sunupyumN uone ndyyuoy weu reqi pue soyur lqorq uongein3ijuoyprepuejs Jewsd aM Sunqr ry s g suoJ jajepsuoyeinByuoy 19A19S VO HL H QBL Trust Authority Systemverwaltung 86 RA Server Konfigurationsdatei Tabelle 15 auf Seite 88 enth lt Informationen zu den Parametern der RA Server Konfigurationsdatei jonahra ini Kapitel 5 Referenzinformationen 87 o qH nruvosqy wr ZaureNATOY any s8 v yr rn urur4sy1
223. ung Im Unterverzeichnis etc des virtuellen Root Installationsverzeichnisses das f r Ihre Registrierungsdom ne konfi guriert wurde der im Setup Wizard angegebene Wert f r das Root Installationsverzeichnis wird eine Sicherungskopie der Datei racon fig cfg erstellt Der Name der Sicherungskopie lautet raconfig cfg ERADSBKUP Verwenden Sie je nach Betriebssystem eine der folgenden Prozeduren um die Verschl sselung f r die RA Datenbank zu aktivieren Unter AIX 1 Melden Sie sich als root an su root 2 Wechseln Sie in das Unterverzeichnis bin Ihres Installationsverzeichnisses In diesem Beispiel wird der folgende Standardinstallationspfad von Trust Authority verwendet cd usr 1pp 1au bin 3 F hren Sie das Programm iauEnableRADBSec folgendermafsen aus In diesem Beispiel werden der standardm ige Registrierungsdom nenname und der standardm ige Installationspfad von Trust Authority verwendet iauEnableRADBSec d YourDomain r usr 1pp iau Unter Windows NT 1 Melden Sie sich als Trust Authority Konfigurationsbenutzer an normalerwei se cfguser 2 Wechseln Sie in das Unterverzeichnis bin Ihres Installationsverzeichnisses In diesem Beispiel wird der folgende Standardinstallationspfad von Trust Authority verwendet cd c Program Files IBM Trust Authority bin 3 F hren Sie das Programm iauEnableRADBSec folgenderma en aus In diesem Beispiel werden der standard
224. ung mu als unkritisch definiert werden Diese Erweiterung enth lt eine Reihe von Objektkennungen die den Nutzungszweck f r den zertifizierten ffentlichen Schl ssel angeben Die Einstellungen werden in der Regel durch Zertifizierungsschablonen definiert Die Werte dieser Erweiterung k nnen durch eine Benutzergemeinschaft definiert oder von RFC 2459 abgeleitet werden Grundlegende Einschr nkungen Namenseinschr nkungen Diese Erweiterung ist nur bei CA Zertifikaten sinnvoll Sie ist in allen CA Zertifikaten enthalten die von Trust Authority erstellt wurden Bei allen anderen Zertifikaten ist diese Erweiterung entweder nicht vorhanden oder leer RFC 2459 empfiehlt diese Erweiterung nicht leer sondern wegzulassen Diese Erweiterung kennzeichnet ein Zertifikat nicht nur als CA Zertifikat sondern kann auch den Zertifizierungspfad mit maximaler L nge enthalten Auf diese Weise kann definiert werden wie viele zus tzliche CA Ebenen durch diesen CA zertifiziert werden k nnen Diese Erweiterung mu als kritisch definiert werden Diese Erweiterung wird nur in CA Zertifikaten verwendet Sie definiert einen Namensbereich in dem sich alle Namen und Alternativnamen des Zertifikatsgegenstands befinden m ssen sofern es sich um Zertifikate handelt die vom CA mit diesem Zertifikat oder von untergeordneten CAs ausgestellt wurden Der Zweck dieser Erweiterung ist die Einschr nkung von Namen die von Zertifikaten in diesem Zertifizi
225. ungsattribut Eine Registrierungsvariable die in einem Registrierungsformular enthalten ist Ihr Wert gibt die Informationen wider die w hrend der Registrierung erfa t werden Der Wert des Registrie rungsattributs bleibt w hrend der gesamten G ltig keitsdauer des Identit tsnachweises gleich Registrierungsdatenbank Diese Datenbank enth lt Informationen zu Zertifikatsanforderungen und ausge stellten Zertifikaten In der Datenbank werden Regi strierungsdaten gespeichert und alle nderungen auf gezeichnet die w hrend der G ltigkeitsdauer an einem Zertifikat vorgenommen werden Die Datenbank kann durch RA Prozesse und Regel Exits oder durch den Registrator aktualisiert werden Registrierungsdom ne Eine Gruppe von Ressourcen Regeln und Konfigurationsoptionen die sich auf bestimmte Registrierungsprozesse f r Zertifikate bezie hen Der Dom nenname stellt einen untergeordneten Wert zur URL Adresse dar die zur Ausf hrung der Registrierungsfunktion eingesetzt wird Registrierungsfunktion Ein Trust Authority Anwendungsger st das spezielle Verfahren zur Regi strierung von Entit ten z B Browser Router E Mail Einheiten und sichere Client Anwendungen und zur Verwaltung von Zertifikaten w hrend ihrer G ltigkeits dauer bereitstellt Registrierungsproze Bei Trust Authority die Schritte die zur berpr fung eines Benutzers ausgef hrt wer den Durch den Registrierungsproze werden Benutzer sowie deren ffent
226. ungssystemen DFV Systemen und zuge h riger Hardware verwendet wird ASCII verwendet einen codierten Zeichensatz der aus Zeichen von 7 Bit Lange bzw 8 Bit bei Paritatspr fung besteht Der Zeichensatz besteht hierbei aus Steuerzeichen und Schriftzeichen American National Standards Institute ANSI Eine Organisation die die Verfahrensweisen definiert mit deren Hilfe akkreditierte Organisationen freiwillig eingehaltene Industriestandards in den Vereinigten Staaten festlegen und verwalten Ihr geh ren Hersteller Verbraucher und allgemeine Interessenvertretungen an Anforderungs ID Ein aus 24 bis 32 Zeichen bestehen der ASCII Wert der zur eindeutigen Identifikation einer Zertifikatsanforderung gegen ber der RA dient Dieser Wert kann bei der Transaktion f r die Zertifi katsanforderung verwendet werden um den Status der Anforderung oder des zugeh rigen Zertifikats abzuru fen ANSI American National Standards Institute Applet Ein in der Programmiersprache Java geschrie benes Computerprogramm das innerhalb eines Java kompatiblen Web Browsers ausgef hrt werden kann Dieses wird auch als Java Applet bezeichnet Art Siehe Objektart ASCII American National Standard Code for Infor mation Interchange ASN 1 Abstract Syntax Notation One Asymmetrische Verschl sselung Ein Verschl sse lungsverfahren das zur Ver und Entschl sselung unterschiedliche asymmetrische Schl ssel verwendet Jedem Benutzer wird hi
227. unstamuy rp Jap Jajun ss rpy Tun SdO uN AdT Og I W U pT M uagasasue nruq sqy AIO Ul CIO pu up idslu ur gnu UapUeYIOA IWLN s s rp js Josey u repuny s s p JureN Zoure NADTIOg uN Tunu x pur 3sou eoo dyy SI reqsnjiaa AoTOg inj Sunsiamuy rp Jap Jajun ss rpy TMn 1542 uonemS3ruoy weu reqi pue so ur qord uoneiSuuoypieputs1sS sJetu S 190 jarepsuojjesnByuoy 1 GL 91 Kapitel 5 Referenzinformationen 4S1 req8njiaa ZAoTOg inj BuNnsmMuUy UIN Tunu x pur 3souyeooy d11u rp s un ss rpy Tin 7SdD uN Aorroq AW uarepunyas Jap sureN z ureN roq s Teq nn A Lod Inj Sunsiamuy M N unu x pur ysouTeooy dyy s un ss rpy Tin 1462 mu u nu rsy ns q uasunprayos uq t q pun u s Peg r pue rp rp 3unsepyr sSunuv ry uN Sunsepyr s3unuq yqV 1 p0 sti AurH Jayosystin w Japo sremu Jeyosystinf ur X L ONI SN uN ZI joupioasnz ZIYON ZaoON TAoTOg uN upio 3nz T35HONT IHOA 3nou q jesay rg urid s rp uN u uru us jum Ayf sep u uu uji lu m IWeN Jaq 310T421 041 GIO pu up ids1u aula Yruypsqy
228. ur Host Namen und AnschluB des Directory Servers andern F r eine effiziente Kommunikation mit dem Directory ben tigt die RA den korrek ten Host Namen und den korrekten Anschlu der vom Directory berwacht wird Gehen Sie wie folgt vor um den Host Namen und den Anschlu der von der RA f r die Kommunikation mit dem Directory ben tigt wird zu ndern 1 Melden Sie sich bei Ihrem Betriebssystem als Systemadministrator an 2 Stoppen Sie das Trust Authority System Lesen Sie gegebenenfalls die Anwei sungen unter 3 Starten Sie den Editor IniEditor und laqan Sie die Kenfizuralon dalei jonahra ini Informationen zum Starten und Verwenden von IniEditor finden Sie Bedarf im Abschnitt en zu den Datei an unter AIX und Windows NT finden Sie im Abschnitt belle 1 auf Seite 1 4 Wahlen Sie den Abschnitt LDAP aus zeigen Sie die zugeh rigen Unterab schnitte an und w hlen Sie anschlie end den Parameter Serverl aus 5 ndern Sie im angezeigten Editierfeld die Werte f r Host Name und Anschlu nummer 6 Speichern Sie die Datei und beenden Sie das Programm 7 Starten Sie das Trust Authority System RA Einstellungen f r das Sendeintervall des Directory Servers ndern Das Sendeintervall bezeichnet die Zeit in der die RA nicht pr ft ob Informationen zum Senden an das Directory vorliegen Zu diesen Informationen z hlen beispiels weise neue Benutzerzertifikate oder neue CRLs Gehen Sie wie folgt vor um das Sen
229. urationsvariablen des RA Servers Neben den grundlegenden Funktions merkmalen und Verbindungs einstellungen erm glichen diese Variablen die Steuerung der Interaktion von RA und Directory Server usr lpp iau etc AuditClient ini c Program Files IBM Trust Die Konfigurationsdatei des Authority etc AuditClient ini Priif Clients Diese Datei enthalt die Konfigurationsvariablen der Pr f Clients Die Variablen erm glichen Verbindungs einstellungen und unterst tzen die Optimierung der Pr fmaske die die VVeiterleitung von Pr f ereignissen steuert usr lpp iau etc TrustAuthority AuditServePingram Files IBM Trust Die Konfigurationsdatei des AuthorityNeteVlrustAuthorityv Pr f Servers Diese Datei AuditServer ini enthalt die Konfigurationsvariablen des Pr f Servers Sie k nnen diese Variablen ndern um grundlegende Funktions merkmale und Verbindungs einstellungen des Pr f Servers neu zu konfigurieren und um das Protokollieren von Debug und Fehlernachrichten zu steuern Die Variablen legen au erdem fest welche Ereignisse protokolliert werden IniEditor versucht die Schablonendateien in dem Verzeichnis zu lokalisieren in dem sich die Trust Authority Dateien befinden 10 Trust Authority Systemverwaltung Editor verwenden Nachdem Sie IniEditor mit einer Konfigurationsdatei geladen haben werden die vorhandenen Parameter auf der linken Seite der Anzeige in Form einer Baum struktur angeze
230. uszuf hren Ein Zertifikat enth lt Informationen ber die Entit t die von ihm zertifiziert wird gibt an ob es sich um eine Person eine Maschine oder ein Computer programm handelt und enth lt als Teil dieser Informa tionen den zertifizierten ffentlichen Schl ssel dieser Entit t Directory Eine hierarchische Struktur die als globales Repository f r Informationen zur Datenkommunikation wie beispielsweise E Mail oder Austausch von ver schl sselten Daten konzipiert ist Im Directory werden bestimmte Elemente gespeichert die f r die PKI Struktur PKI Public Key Infrastructure unbedingt erforderlich sind Hierzu geh ren die folgenden Ele mente ffentliche Schl ssel Zertifikate und Zertifikats widerrufslisten CRLs Die Daten im Directory sind hierarchisch in einer Baumstruktur organisiert wobei die oberste Ebene der Baumstruktur das Root Verzeichnis ist H ufig stehen Glossar 131 Organisationen einer h heren Ebene f r einzelne Lan der Regierungen oder Unternehmen Benutzer oder Einheiten werden im allgemeinen als Blatter einer solchen Baumstruktur dargestellt Diese Benutzer Orga nisationen Standorte Lander und Einheiten haben jeweils ihren eigenen Eintrag Jeder Eintrag besteht aus Attributen denen verschiedene Typen zugewiesen sind Diese enthalten Informationen zu den Objekten fiir die der jeweilige Eintrag steht Jeder Eintrag im Directory ist mit einem zugeordneten registrierten Namen D
231. utert F r einige dieser Verwaltungs Tasks ist ein Kennwort erforderlich Informationen zum ndern des Kennworts f r den Pr fad ministrator finden Sie im Abschnitt olte D l Dieser Directory Server unterst tzt LDAP Standards LDAP Lightweight Directory Access Protocol Er verf gt ber eine DB2 Datenbank und befindet sich auf einer lokalen oder fernen Maschine Bei diesem Server kann es sich um einen bereits vorhandenen oder einen speziell fiir Trust Authority installierten und konfi gurierten Server handeln Weitere Informationen zur Interaktion zwischen Trust Authority und dem Directory finden Sie im Handbuch Using the SecureWay Directory With Trust Autho rity Dieses Dokument erhalten Sie ber die Seite f r die Bibliothek Library der IBM SecureWay Trust Authority Web Site Kapitel 3 Informationen zur Vorgehensweise 59 60 Directory Server Status prufen Je nach Umgebung k nnen Sie den Status des Directory Servers mit folgenden Prozeduren pr fen Unter AIX 1 Melden Sie sich bei AIX als Root an 2 Pr fen Sie die Prozefstabelle und suchen Sie nach folgender Zeichenfolge slapd Finden Sie diesen Proze fahren Sie mit Schritt H fort Finden Sie diesen Proze nicht lesen Sie bitte im Abschnitt nach 3 Wechseln Sie in das Verzeichnis bin Dieses Verzeichnis hat folgenden Standardpfad usr 1pp 1au bin 4 Stellen Sie sicher dafs das Directory erfolgreich antvvortet und vervvenden Sie hierzu f
232. uthority Domains YourDomain logs apache log ERROR PID Fehlernachrichten des IBM HTTP Server usr lpp iau pkrf Domain YourDomain logs apache log INFORM PID c Program Files IBM Trust Authority Domains YourDomain logs apache log INFORM PID Informationsnach richten des IBM HTTP Server usr lpp iau pkrf Domain YourDomain logs apache log TRACE PID c Program Files IBM Trust Authority Domains YourDomain logs apache log TRACE PID Das Trace Protokoll des IBM HTTP Server Kapitel 3 Informationen zur Vorgehensweise 19 CA Server verwalten 20 In diesem Abschnitt werden Prozeduren fiir Betrieb und Verwaltung des Trust Authority Zertifikatsaussteller Servers CA Server erlautert Der CA Server ver waltet die server seitigen Tasks fiir den Trust Authority CA Er befindet sich zusammen mit seinem DB2 Datenbankexemplar auf einer lokalen oder fernen Maschine Zur Verwaltung des CA Servers miissen Sie in der Regel die nachfolgend beschrie benen Tasks ausfiihren Verwenden Sie den Editor IniEditor um folgende Anderungen an der Konfigu rationsdatei jonahca ini vorzunehmen ndern Sie den vom CA berwachten TCP Anschlu ndern Sie das Sendeaufrufintervall fiir PKIX Nachrichten ndern Sie die CRL Einstellungen ndern Sie die ICL Schutzregel ndern Sie den ICL Schutzschl ssel Pr fen Sie die Integrit t der CA Server Datenbank Verwenden Sie das Diens
233. uthority Systemverwaltung Befehlszeilendienstprogramme Dieser Abschnitt enth lt Beschreibungen der Syntax und der Parameter f r fol gende Befehlszeilendienstprogramme Dienstprogramm CA Certification Dienstprogramm Add RA User Dienstprogramm Enable RA Encryption Dienstprogramm Audit Archive and Sign Dienstprogramm Audit Integrity Check Dienstprogramm CA Certification Das Dienstprogramm CA Certification erm glicht Ihnen von einem anderen CA Zertifizierungen im Namen des Trust Authority CA anzufordern Hierzu stehen Ihnen das Modell zur gegenseitigen Zertifizierung und das hierarchische Sicherungsmodell zur Verf gung Anmerkung Wenn Sie planen als Teil Ihrer allgemeinen Hierarchiel sung die hierarchischen CA Zertifikate in Netscape Communicator herunter zuladen sollten Sie die Markierung m mit dem Dienstprogramm CA Certification verwenden um die Erweiterung Name Constraints aus dem resultierenden CA Zertifikat auszuschlie en Mit Ausnahme von m sollten Sie keine anderen der Name Constraints Befehlszeilenoptionen also nicht i I d D u U n N oder m M mit dem Dienstprogramm CA Certification verwenden Beispiel Ein Exemplar eines solchen Befehls k nnte folgenderma en aussehen CaCertRq m h r c Program Files IBM Trust Authority ccprereg reg P 1835 W Secure99 Syntax Die Syntax f r dieses Dienstprogramm lautet wie folgt CatertRq i ipAddressMask I ipAddressMask d d
234. uthority Systemverwaltung HTTP Server Protokolle prufen Sie k nnen die Protokolle pr fen die Transaktionen zwischen dem IBM HTTP Server und dem Trust Authority b VVizard aufzeichnen Die Positionen dieser Protokolle werden im Abschnitt erlautert Tabelle 4 HTTP Server Protokolle ber Transaktionen mit dem Setup VVizard ATX Standardpfad VVindovvs NT Standardpfad Anmerkungen usr Ipp iau logs oop_native log ERROR c Program Files IBM Trust Authority logs oop_native log ERROR Fehlernachrichten aus dem urspr nglichen Codeabsehnitt der inaktiven Maschine usr lpp iau logs oop_native log INFORM c Program Files IBM Trust Authority oop_native log INFORM Informationsnach richten aus dem urspr nglichen Codeabsehnitt der inaktiven Maschine usr lpp iau logs oop_native log WARNING c Program Files IBM Trust Authority logs oop_native log WARNING Warnungen aus dem urspr nglichen Codeabschnitt der inaktiven Maschine Sie k nnen die Protokolle pr fen die Transaktionen zwischen dem IBM HTTP Server und Ihrer Registrierungsanwendung aufzeichnen Die Positionen dieser Protokolle werden im Abschnitt erl utert Tabelle 5 HTTP Server Protokolle ber Transaktionen mit Ihrer Registrierungsanwendung AIX Standardpfad Windows NT Standardpfad Anmerkungen usr lpp iau pkrf Domain YourDomain logs apache log ERROR PID c Program Files IBM Trust A
235. ver wendet wird um Anforderungen der Client Anwendung von Trust Authority zu empfangen Privacy Enhanced Mail PEM Der vom Internet Architect Board IAB genehmigte Internet Standard f r die verbesserte Wahrung der Vertraulichkeit der die sichere bertragung elektronischer Post E Mail ber das Internet erm glicht Die PEM Protokolle regeln Verschl sselung Authentifizierung Nachrichtenintegri t t und Schl sselverwaltung Privater Schl ssel In einem Paar aus einem ffentli chen und einem privaten Schl ssel steht dieser Schl s sel nur f r seinen Eigner zur Verf gung Er erm glicht dem Eigner das Empfangen einer privaten Transaktion oder eine digitale Unterschrift Die mit einem privaten Schl ssel unterzeichneten Daten k nnen nur mit dem entsprechenden ffentlichen Schl ssel gepr ft werden Gegensatz zu ffentlicher Schl ssel Siehe auch Schl ssel paar aus ffentlichem und privatem Schl ssel Protokoll Eine vereinbarte Konvention f r die Kom munikation zwischen Computern Protokollierungssubsystem Bei Trust Authority ein Subsystem das die Unterst tzungsfunktionen zum Protokollieren von sicherheitsrelevanten Aktionen bereitstellt Es entspricht den Empfehlungen die im X9 57 Standard unter Public Key Cryptography for the Financial Services Industry definiert wurden Proxy Server Eine Einheit die zwischen einem Com puter der eine Zugriffsanforderung absetzt Computer A und einem Computer auf d
236. weise 43 Tabelle 8 Spaltenbeschreibungen der Sichten f r die Trust Authority Pr fdatenbank Spaltenname Beschreibung Datentyp serial num Die Seriennummer des Protokolleintrags integer sourcetime Die Zeitmarke die angibt wann das Pr fereignis durch den Client erstellt wurde timestamp createtime Die Zeitmarke die angibt wann der Protokolleintrag erstellt wurde timestamp Ereignis source Der Name des Ereignisses Der Pr f Client der das Priifereignis generiert hat varchar varchar component Die Komponentenart des Pr f Clienis der das Pr f ereignis generiert hat varchar auth entity Die Entitat die das Pr f ereignis berechtigt hat varchar auth role Der Aufgabenbereich der Entit t die das Pr fereignis berechtigt hat varchar affected_entity Die Kennung der Entitat die von einem Priifereignis betroffen ist varchar affected_entity_type Die Art der betroffenen Entitat varchar storage_media Das dem Priifereignis zugeordnete Speichermedium varchar extra_info Dem Priifereignis zugeordnete Zusatz informationen varchar 44 Trust Authority Systemverwaltung Gehen Sie wie folgt vor um sich die S tze in der Trust Authority Pr fdatenbank anzeigen zu lassen 1 Melden Sie sich bei Trust Authority als der Benutzer an der Trust Authority installiert hat 2 Starten Sie
237. weiterungen zu einem Zertifikat hierfiir gelten die im Abschnitt beschriebenen Regeln Tabelle 12 Zertifikatserweiterungen Erweiterung Beschreibung Schl sselverwendung Diese Erweiterung gibt den Zweck der Verwendung des zertifizierten ffentlichen Schl ssels an Die Einstellungen werden in der Regel durch Zertifizierungsschablonen definiert Alternativer Name des Zertifikatsgegenstands Schl sselkennung des Zertifikatsgegenstands Diese Erweiterung enth lt einen oder mehrere Alternativnamen in verschiedenen Namensformaten f r die Entit t die vom CA dem zertifizierten ffentlichen Schl ssel zugeordnet wurde In der Regel wird in Zertifizierungsschablonen definiert welche dieser Namensformate in Zertifikaten verwendet werden d rfen die diese Schablone nutzen Diese Erweiterung legt fest welcher ffentliche Schl ssel durch ein bestimmtes Zertifikat zertifiziert wird Diese Erweiterung dient prim r der Unterscheidung von Schl sseln wenn mehrere Schl ssel f r eine Entit t zertifiziert sind oder zertifiziert wurden Der Wert dieser Erweiterung wird in Trust Authority immer vom CA definiert Schl sselkennung des Ausstellers Diese Erweiterung gibt an welcher ffentliche Schl ssel vom Aussteller eines Zertifikats zu dessen Unterzeichnung verwendet wurde Diese Erweiterung dient prim r der Unterscheidung von Schl sseln wenn mehrere Schl ssel f r einen Aussteller zertifiziert werden De
238. wird ohne Modifikationen und ohne Gew hrleistung bereitgestellt Dieses Programm enth lt STL Software STL Standard Template Library von Silicon Graphics Computer Systems Inc Copyright c 1996 1999 e Die Berechtigung zum Verwenden Kopieren ndern Verteilen und Verkaufen dieser Software sowie der zugeh rigen Dokumentation f r die gew nschten Zwecke wird hiermit geb hrenfrei erteilt Voraussetzung hierf r ist allerdings da der o a Copyrightvermerk auf allen Kopien erscheint und da sowohl dieser Copyrightvermerk als auch dieser Berechtigungshinweis in der zugeh ri gen Dokumentation aufgef hrt werden Silicon Graphics macht keine Angaben zur Eignung dieser Software f r bestimmte Zwecke Sie wird ohne Modifikatio nen und ohne Gew hrleistung bereitgestellt Andere Namen von Unternehmen Produkten oder Dienstleistungen k nnen Mar ken anderer Unternehmen sein Bemerkungen 125 126 Trust Authority Systemverwaltung Bezugsinformationen Die Produktdokumentation zu Trust Authority ist auf der CD ROM IBM SecureWay Trust Authority Dokumentation im PDF Portable Document Format und HTML Format verf gbar Die HTML Versionen einiger Ver ffentlichungen sind mit dem Produkt installiert und k nnen ber die Benutzerschnittstelle abgerufen werden Bitte beachten Sie da seit der Produktion der Dokumentation eventuell nderun gen am Produkt vorgenommen wurden Aktuelle Produktinformationen sowie Informationen
239. y Administratorkennwort steuert den Zugriff auf nderbare Ele mente im Directory 6 Pr f Server Das Pr fadministratorkennvvort erm glicht den Zugriff auf Pr fprotokolle und Vervvaltungs Tools f r Pr foperationen CA Profil f r IBM 4758 Das CA Profilkennvvort f r IBM 4758 steuert den Zugriff auf das CA Profil des IBM SecureVVay 4758 PCI Cryptographic Coprocessor Zum Andern von Kennvv rtern stehen Ihnen verschiedene Methoden zur Verf gung Wenn Sie Trust Authority auf einer AIX Plattform installiert haben m ssen Sie die unter ss Tuna beschriebene Befehlszeilenprozedur verwen den Wenn Sie das Produkt auf einer Windows NT Plattform ausf hren k nnen Sie wenden um das Dienstprogramm Change Password auszuf hren Befehlszeilenprozedur 1 Wechseln Sie in das Trust Authority Verzeichnis bin indem Sie einen der folgenden Pfade eingeben Unter AIX lautet der Standardpfad usr 1pp 1au bin Unter Windows NT lautet der Standardpfad c Program Files IBM Trust Authority bin 2 Geben Sie je nach Betriebssystem einen der folgenden Befehle ein Unter AIX changePWD sh Unter Windows NT changePWD bat Das folgende Men wird angezeigt Change Trust Authority Passwords Enter the option number for the component you want to change You will be prompted to enter the current password and then the new password Change password for 1 Quit 2 Control Program
240. zur berpr fung der digitalen Zertifikate Identit tsnach weise sowie der digitalen Unterschriften verwendet werden PKI stellt au erdem Funktionen zur schnellen und effizienten Antwort auf Pr fabfragen und Anforderun gen f r ffentliche Chiffrierschl ssel bereit Der Stan dard dient dar ber hinaus zur Identifizierung potentiel ler Sicherheitsl cken im System und zur Verwaltung von Ressourcen zur Bearbeitung von Sicherheits verletzungen PKI bietet au erdem einen digitalen Zeit markenservice f r wichtige Unternehmenstransaktio nen R RA Registration Authority Registrierungsstelle RA Desktop Ein Java Applet das den RAs eine Gra fikschnittstelle f r die Verarbeitung von Anforderungen f r Identit tsnachweise und zur Verwaltung dieser Nachweise w hrend ihrer G ltigkeitsdauer zur Verf gung stellt RA Server Der Server f r die RA Komponente von Trust Authority RC2 Eine variable Schl sselgr en Block Cipher die von Ron Rivest f r RSA Data Security entwickelt wurde RC steht f r Ron s Code oder Rivest s Cipher Sie arbeitet schneller als DES und l st diese Block Cipher ab Durch die Verwendung geeigneter Schl sselgr en kann sie in Bezug auf eine ausgedehnte Schliisselsuche flexibler als DES gestaltet werden Sie verf gt ber eine Blockgr fse von 64 Bit und arbeitet auf Softwareebene zwei bis dreimal schneller als DES RC2 kann in den selben Modi eingesetzt werden wie DES Durch e
Download Pdf Manuals
Related Search