Tivoli PKI Anpassung - FTP Directory Listing
Contents
1. oCodes i selectedLbl gt STRING O i E oCodes i w hae gt lt SELECT gt lt TD gt lt TR gt Tivoli PKI Anpassung 99 ja ds aqs unsseduy 9 100 lt Organizational Unit OU Ss lt TR gt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING InputFieldHelps 8 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 8 gt lt STRING Colon gt lt STRONG gt lt STRING Spacer gt lt STRING OptionalLbl Ss lt errorFlags 8 gt lt FONT gt lt BR gt lt SELECT NAME lt inputFieldNames 8 gt SIZE 1 gt 0 lt 9 EE Create dropdown list of OU KKKKKK KK KKK KKK KKK KKK KERR KKK K KKK KKK H UW int numOfOrgUnit String STRING O String ouCodes 5 new String numOfOrgUnit new String numOfOrgUnit H c I ouCodes 0 ITS ouCodes 1 SVT ouCodes 2 MKT ouCodes 3 DEV ouCodes 4 OTH STRING OU 0 Information Tech Srvs STRING OU 1 System Test STRING OU 2 Marketing STRING OU 3 Development STRING OU 4 Planning Determine the selected ou String selectedOUC request getParameter inputFieldNames 8 if selectedOUC null selectedOUC equals sel2. strcmp 0 BUGS 0 AN stremp OU ITS 0 stremp 0 TWT 0 amp amp strcmp OU DEV 0 cerr lt lt now lt lt Request is Approved Wn response addVariable reqStatus Approved Version 3 Release 7 1 2 Kompilieren Sie die Datei auto approve cpp 3 Kopieren Sie die ausf hrbare Datei des Regel Exits an die selbe Position an der die bereits installierte ausf hrbare Datei gespeichert ist Beispiel Unter AIX usr Ipp iau pkrf Domains YourDomain bin Unter Windows NT C Program Files IBM Tivoli PKI pkrf Domains YourDomain bin 4 Wenn der Name der ausf hrbaren Datei vom Standardwert abweicht m ssen Sie alle zugeh rigen Eintr ge in der Datei raconfig cfg folgenderma en ndern afservice PolicyExit com ibm irg ra afw services SpawnPolicyExitLongRunningFactory installationspfad name_des_angepassten_programms 5 Stoppen Sie Tivoli PKI und f hren Sie anschlie end einen Neustart durch Verzeichnis Server anpassen W hrend der Installation von Tivoli PKI wird nur der CA Knoten erstellt Wenn ein Zertifi kat angefordert wird kann die Registrierungsstelle RA nur die Blattkomponente des Ein trags erstellen Die Knoteneintr ge m ssen im Verzeichnis Directory bereits definiert sein Beispiel Wenn die Registrierungsstelle den Eintrag C US O BUGS OU ITS CN Userl erstellen will m ssen die Eintr ge f r CZUS O BUGS und OU ITS bereits vorhanden sein Wird ein Ze
3. AQ AG AR AM AW AU WAT countryCodes 20 countryCodes 21 countryCodes 22 countryCodes 23 countryCodes 24 countryCodes 25 countryCodes 26 countryCodes 27 countryCodes 28 countryCodes 29 countryCodes 30 countryCodes 31 countryCodes 32 countryCodes 33 AZ BS BH BD BB py BE pz BJ BM BT BO BA BW countryCodes 34 countryCodes 35 countryCodes 36 countryCodes 37 By BR 10 BN BG BF BI KH CM CA Version 3 Release 7 1 countryCodes 38 countryCodes 39 countryCodes 40 countryCodes 41 countryCodes 42 countryCodes 43 countryCodes 44 countryCodes 45 countryCodes 46 countryCodes 47 countryCodes 48 countryCodes 49 countryCodes 50 countryCodes 51 countryCodes 52 countryCodes 53 countryCodes 54 countryCodes 55 countryCodes 56 countryCodes 57 countryCodes 58 countryCodes 59 countryCodes 60 countryCodes 61 countryCodes 62 countryCodes 63 countryCodes 64 countryCodes 65 countryCodes 66 countryCodes 67 countryCodes 68 countryCodes 69 countryCodes 70 countryCodes 71 countryCodes 72 countryCodes 73 countryCodes 74 countryCodes 75 countryCodes 76 countryCodes 77 countryCodes 78 countryCodes 79 countryCodes 80 countryCodes 81 countryCodes 82 countryCodes 83 countryCodes 84
4. Anpassbares Element Zertifikatstypen Web Seiten Grafiken E Mail Benachrichtigungsbrief Erfassen von Kunden und Mitarbeiterdaten Erfassen unternehmensrelevanter Kunden und Mitarbeiterdaten Pr fen pers nlicher Informatio nen Ausf hren von Regeln Seite zu der nach dem Herunter laden des Zertifikats zur ckge kehrt wird Directory Server Anforderungen Universelle Zertifikate mit einer G ltigkeitsdauer von einem Jahr oder zwei Jahren die den Web Client die E Mail Funktion und das digitale Unterzeichnen unterst tzen und Browserzertifikatsoptionen auf der Browserregistrierungsseite ersetzen LoTo Organization ben tigt keine Anderungen an den Server Seiten f r die Zertifikatsregistrierung und die Vorabregistrierung Andern der Titel und Hilfeelemente auf den Registrierungsseiten und Entfernen der Vorabregistrierung aus der Liste der m glichen Auswahloptionen Ersetzen der Grafiken Angeben des Firmennamens auf der E Mail Entfernen der Elemente f r die Angabe des Bundeslandes Ortes und der Stra e und Aufnehmen der Elemente f r die Angabe des Unternehmens der Abteilung und des Landes in das Auswahl men der verdeckten Liste Erfassen der laufenden Mitarbeiternummer des Jobtitels und der Versicherungsnummer Pr fen ob die laufende Mitarbeiternummer der Jobtitel und die Versicherungsnummer auf der Registrierungsseite eingegeben wurden Alle Member von O BUGS OU ITS O TWT OU DEY
5. Korea Republic Of Kuwait Kyrgyzstan Lao People s Democratic Republic Latvia Lebanon Lesotho Liberia Libyan Arab Jamahiriya Liechtenstein Lithuania Luxembourg China Macau S A R Macedonia The Former Yugoslav Republic Of Madagascar Malawi Malaysia Maldives Mal i d Malta Marshall Islands Martinique Mauritania Mauritius Mayotte Mexico Micronesia Federated States Of Moldova Republic Of Monaco Mongol iav Montserrat Morocco Mozambique Myanmar Namibia Version 3 Release 7 1 STRING CountryNames 149 STRING CountryNames 150 STRING CountryNames 151 STRING CountryNames 152 STRING CountryNames 153 STRING CountryNames 154 STRING CountryNames 155 STRING CountryNames 156 STRING CountryNames 157 STRING CountryNames 158 STRING CountryNames 159 STRING CountryNames 160 STRING CountryNames 161 STRING CountryNames 162 STRING CountryNames 163 STRING CountryNames 164 STRING CountryNames 165 STRING CountryNames 166 STRING CountryNames 167 STRING CountryNames 168 STRING CountryNames 169 STRING CountryNames 170 STRING CountryNames 171 STRING CountryNames 172 STRING CountryNames 173 STRING CountryNames 174 STRING CountryNames 175 STRING CountryNames 176 STRING CountryNames 177 STRING CountryNames 178 STRING CountryNames 179 STRING CountryN
6. Offentlicher Schl ssel In einem Paar aus einem ffentlichen und einem privaten Schl ssel steht dieser Schl ssel anderen Benutzern zur Verf gung Er erm glicht diesen Benutzern die Weiterleitung einer Transaktion an den Eigner des Schl ssels sowie die Pr fung einer digitalen Unterschrift Mit einem ffentlichen Schl ssel verschl sselte Daten k nnen nur mit dem entsprechenden privaten Schl ssel entschl sselt werden Gegensatz zu Privater Schl ssel Siehe auch Schl sselpaar aus ffentlichem und privatem Schl ssel Open Database Connectivity ODBC Ein Standard f r den Zugriff auf unterschiedliche Datenbanksysteme Open Systems Interconnect OSI Der Name der von ISO genehmigten Computernetzstandards OSI Open Systems Interconnect PC Karte Eine mit einer Smart Card vergleichbare Einheit die auch als PCMCIA Karte bezeichnet wird Sie ist etwas gr Der als eine Smart Card und verf gt im Allgemeinen ber eine h here Kapazit t Version 3 Release 7 1 PEM Privacy Enhanced Mail PKCS Public Key Cryptography Standards PKCS 1 Siehe Public Key Cryptography Standards PKCS 7 Siehe Public Key Cryptography Standards PKCS 10 Siehe Public Key Cryptography Standards PKCS 11 Siehe Public Key Cryptography Standards PKCS 12 Siehe Public Key Cryptography Standards PKI Public Key Infrastructure PKIX PKI auf X 509v3 Basis PKIX Certificate Management Protocol PKIX CMP Ein Protokoll das Verbindu
7. countryCodes 85 countryCodes 86 countryCodes 87 countryCodes 88 countryCodes 89 countryCodes 90 countryCodes 91 countryCodes 92 countryCodes 93 countryCodes 94 countryCodes 95 countryCodes 96 countryCodes 97 countryCodes 98 countryCodes 99 countryCodes 100 countryCodes 101 countryCodes 102 countryCodes 103 countryCodes 104 Tivoli PKI Anpassung CV Ys CF E Ge BE CN pt peus CO KM CG prs CK CR CI HR den ys cz DK LI DM DO Tp EC EG stis GQ ER EE ET FK FO FJ ET s FR FX GF PF TF GA GM GE DE GH GI s GR GL GD GP GU GT GN GW GY HT HM VA HN HK HU IS IN TD UTR IQ IE 79 ja ds aqs unsseduy 9 80 countryCodes 105 countryCodes 106 countryCodes 107 countryCodes 108 countryCodes 109 countryCodes 110 countryCodes 111 countryCodes 112 countryCodes 113 countryCodes 114 countryCodes 115 countryCodes 116 countryCodes 117 countryCodes 118 countryCodes 119 countryCodes 120 countryCodes 121 countryCodes 122 countryCodes 123 countryCodes 124 countryCodes 125 countryCodes 126 countryCodes 127 countryCodes 128 countryCodes 129 countryCodes 130 countryCodes 131 countryCodes 132 countryCodes 133 countr
8. countryCodes 15 BS countryCodes 16 BH countryCodes 17 BD countryCodes 18 BB countryCodes 19 BY countryCodes 20 BE countryCodes 21 BZ countryCodes 22 BJ countryCodes 23 BM countryCodes 24 BT countryCodes 25 BO countryCodes 26 BA countryCodes 27 BW countryCodes 28 BV countryCodes 29 BR countryCodes 30 IO countryCodes 31 BN countryCodes 32 BG countryCodes 33 BF countryCodes 34 BI countryCodes 35 KH countryCodes 36 CM countryCodes 37 CA countryCodes 38 CV countryCodes 39 KY countryCodes 40 CF countryCodes 41 TD countryCodes 42 CL countryCodes 43 CN countryCodes 44 CX countryCodes 45 CC countryCodes 46 CO countryCodes 47 KM countryCodes 48 CG countryCodes 49 CD countryCodes 50 CK countryCodes 51 CR countryCodes 52 CI countryCodes 53 HR Tivoli PKI Anpassung jaidsieqsbunsseduy 9 92 countryCodes 54 countryCodes 55 countryCodes 56 countryCodes 57 countryCodes 58 countryCodes 59 countryCodes 60 countryCodes 61 countryCodes 62 countryCodes 63 countryCodes 64 countryCodes 65 countryCodes 66 countryCodes 67 countryCodes 68 countryCodes 69 countryCodes 70 countryCodes 71 countryCodes 72 countryCodes 73 countryCodes 74 countryCodes 75 countryC
9. countryCodes 235 YE countryCodes 236 YU countryCodes 237 ZM countryCodes 238 ZW STRING CountryNames 0 STRING CountryNames 1 STRING CountryNames 2 STRING CountryNames 3 STRING CountryNames 4 STRING CountryNames 5 STRING CountryNames 6 STRING CountryNames 7 STRING CountryNames 8 STRING CountryNames 9 STRING CountryNames 10 STRING CountryNames 11 STRING CountryNames 12 STRING CountryNames 13 STRING CountryNames 14 Afghanistan Albania Algeria American Samoa Andorra Angola Anguilla Antarctica Antigua And Barbuda Argentina Armenia Aruba Australia Austria Azerbaijan Version 3 Release 7 1 STRING _CountryNames 15 STRING CountryNames 16 STRING _CountryNames 17 STRING CountryNames 18 STRING CountryNames 19 STRING CountryNames 20 STRING CountryNames 21 STRING CountryNames 22 STRING CountryNames 23 STRING CountryNames 24 STRING CountryNames 25 STRING CountryNames 26 STRING CountryNames 7 STRING CountryNames 28 STRING CountryNames 29 STRING CountryNames 30 STRING CountryNames 31 STRING CountryNames 32 STRING CountryNames 33 STRING CountryNames 34 STRING CountryNames 35 STRING CountryNames 36 STRING CountryNames 37 STRING CountryNames 38 STRING CountryNames 39 STRING CountryNames 40 STRING CountryNames 41 STRING CountryNames 42 STRING CountryNames 43 STRING
10. 125 STRING CountryNames 126 STRING CountryNames 127 STRING CountryNames 128 STRING CountryNames 129 STRING CountryNames 130 STRING CountryNames 131 STRING CountryNames 132 Tivoli PKI Anpassung Eritrea Estonia Ethiopia Falkland Islands Malvinas Faroe Islands Fij i d Finland France France Metropolitan French Guiana French Polynesia French Southern Territories Gabon Gambia Georgia Germany Ghana Gibraltar Greece Greenland Grenada Guadeloupe Guam Guatemala Guinea Guinea Bissau Guyana Haiti Heard And Mc Donald Islands Holy See Vatican City State Honduras China Hong Kong S A R Hungary Iceland India Indonesia Iran Islamic Republic Of Iraq Ireland Israel Italy Jamaica Japan Jordan Kazakhstan Kenya Kiribati Korea Democratic People s Republic Of Korea Republic Of Kuwait Kyrgyzstan Lao People s Democratic Republic Latvia Lebanon Lesotho Liberia Libyan Arab Jamahiriya Liechtenstein Lithuania Luxembourg China Macau S A R Macedonia The Former Yugoslav Republic Of Madagascar Malawi Malaysia Maldives Mali 83 ja ds aqs unsseduy 9 84 STRING CountryNames 133 STRING CountryNames 134 STRING CountryNames 135
11. 184 countryCodes 185 countryCodes 186 countryCodes 187 countryCodes 188 countryCodes 189 countryCodes 190 countryCodes 191 countryCodes 192 countryCodes 193 countryCodes 194 countryCodes 195 countryCodes 196 countryCodes 197 countryCodes 198 countryCodes 199 countryCodes 200 countryCodes 201 countryCodes 202 countryCodes 203 countryCodes 204 countryCodes 205 countryCodes 206 countryCodes 207 countryCodes 208 countryCodes 209 countryCodes 210 countryCodes 211 countryCodes 212 countryCodes 213 countryCodes 214 countryCodes 215 countryCodes 216 countryCodes 217 countryCodes 218 countryCodes 219 countryCodes 220 countryCodes 221 countryCodes 222 countryCodes 223 countryCodes 224 countryCodes 225 countryCodes 226 countryCodes 227 countryCodes 228 countryCodes 229 countryCodes 230 countryCodes 231 countryCodes 232 countryCodes 233 countryCodes 234 countryCodes 235 countryCodes 236 countryCodes 237 countryCodes 238 Tivoli PKI Anpassung PT PR QA RE RO RU RW KN LC ye WS SM ST SA SN SC ISL HS SG SK isj SB SQ ZA GS ES EK SH PM SD SR SJ SZ SE CH Iert TW TJ TZ TH TG NT Kis TO WT TN WTR TM TC TV UG UA AE GB US UM Uy UZ
12. F hren Sie am Text und an den Formatierungssteuerzeichen die erforderlichen Anderun gen durch Speichern und schlie en Sie die Datei Andern von Text im Benachrichtigungsbrief Im Benachrichtigungsbrief werden die Antragsteller dar ber informiert dass ihre Registrie rungsanforderung verarbeitet wurde Es wird ihnen in dieser Nachricht jedoch nicht mitge teilt ob die Anforderung genehmigt wurde Sie k nnen den Text des Briefes jedoch nicht seine Bedeutung ndern Gehen Sie wie folgt vor um den Text zu ndern 1 2 3 4 Erstellen Sie eine Sicherungskopie der Mail Schablonendatei Mail ltr die angepasst werden soll ffnen Sie die Datei mit einem Editor der das unterst tzt F hren Sie am Text und an den Formatierungssteuerzeichen die erforderlichen Anderun gen durch Speichern und schlie en Sie die Datei Tivoli PKI Anpassung esioMsueuoeDJoA Anz ueuomneulnoJu Herstellen einer Verbindung zur Registrierung Uber eine andere URL Adresse Gehen Sie wie folgt vor um tiber eine eigene Web Seite eine Verbindung zur Registrierungs Web Seite herzustellen 1 Offnen Sie die Quelle Ihrer Web Seitendatei mit einem Editor der das UTF 8 Format unterst tzt 2 Suchen Sie die Position an der die Verbindung platziert werden soll 3 F gen Sie die folgende Zeile ein wobei URL for index jsp gt f r die vollst ndig qualifi zierte URL Adresse der Seite index jsp steht A HREF lt URL for
13. FONT gt lt TD gt Tivoli PKI Anpassung esioMsueuoDJoA ANZ ueuomneulnoju lt TD ALIGN LEFT BGCOLOR 9FD5E3 gt lt FONT SIZE 2 gt lt STRONG gt Telephone Number lt STRONG gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME phone_number SIZE 16 MAXLENGTH 16 VALUE gt lt TD gt lt TR gt lt E mail Address gt lt TR gt lt TD ALIGN LEFT BGCOLOR BBEZEC gt lt FONT SIZE 2 gt lt STRING_InputFieldHelps 3 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR 9FD5E3 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 3 gt lt STRING Colon Ss lt STRONG gt lt STRING Spacer gt lt STRING OptionalLbl Ss lt errorFlags 3 gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 3 gt SIZE lt sizeOfInputFields gt MAXLENGTH 128 VALUE lt inputFieldReturnValues 3 gt gt lt TD gt lt TR gt Hinzuf gen eines Werts zu einer Auswahlliste Sie k nnen einen Wert z B einen Zertifikatstyp zu einer Auswahlliste hinzuf gen die dem Benutzer auf einer Registrierungs Web Seite angezeigt wird Gehen Sie wie folgt vor um einen Wert hinzuzuf gen 1 Erstellen Sie eine Sicherungskopie der Datei raconfig cfg 2 Offnen Sie die Datei mit einem Editor der das UTF 8 Format unterst tzt 3 Zum Hinzuf gen zweier neuer Profile zum Zertifikatsregistrierungs
14. LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 12 gt lt STRING Colon gt STRONG lt STRING Spacer 5 lt STRING RequiredLbl gt lt errorFlags 12 gt lt FONT gt lt BR gt lt SELECT NAME lt inputFieldNames 12 gt SIZE 1 gt lt BERR KERR K ERIK RRA K EKA E A de eee eee eee KKK KKK ke 7027 ke K KK K Create dropdown list of ISO 3166 country names and codes ftp ftp ripe net iso3166 countrycodes Version 3 Release 7 1 KKKK KKK lt lt KKK KKK e e lt e e e e e lt lt lt k lt k k k k k k k k k kk k k k k k k k k k k k k k k e x Optional Translatable Strings STRING CountryNames 0 238 leave the country name in English if not translatable kkkkkxkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk Initialize arrays of country names and codes l int numOfCountries 239 String STRING CountryNames new String numOfCountries String countryCodes new String numOfCountries countryCodes 0 AF countryCodes 1 AL countryCodes 2 DZ countryCodes 3 AS countryCodes 4 AD countryCodes 5 AO countryCodes 6 AI countryCodes 7 AQ countryCodes 8 AG countryCodes 9 AR countryCodes 10 AM countryCodes 11 AW countryCodes 12 AU countryCodes 13 AT countryCodes 14 AZ
15. NO OM pK PW PA PG py PE PH PN pL PT PR QA RE RO RU RW KN CH Ven WS SM ST SA SN SC 93 ja ds aqs unsseduy 9 94 countryCodes 188 SL countryCodes 189 SG countryCodes 190 SK countryCodes 191 SI countryCodes 192 SB countryCodes 193 SO countryCodes 194 ZA countryCodes 195 GS countryCodes 196 ES countryCodes 197 LK countryCodes 198 SH countryCodes 199 PM countryCodes 200 SD countryCodes 201 SR countryCodes 202 SJ countryCodes 203 SZ countryCodes 204 SE countryCodes 205 CH countryCodes 206 SY countryCodes 207 TW countryCodes 208 TJ countryCodes 209 TZ countryCodes 210 TH countryCodes 211 TG countryCodes 212 TK countryCodes 213 TO countryCodes 214 TT countryCodes 215 TN countryCodes 216 TR countryCodes 217 TM countryCodes 218 TC countryCodes 219 TV countryCodes 220 UG countryCodes 221 UA countryCodes 222 AE countryCodes 223 GB countryCodes 224 US countryCodes 225 UM countryCodes 226 UY countryCodes 227 UZ countryCodes 228 VU countryCodes 229 VE countryCodes 230 VN countryCodes 231 VG countryCodes 232 VI countryCodes 233 WF countryCodes 234 EH
16. Offnen Sie die Datei mit einem Editor der das LITE amp Eormal unterst tzt 3 Suchen Sie die Zeilen die die zu ndernde Beschreibung enthalten 4 Andern Sie den Text entsprechend Ihren individuellen Anforderungen 5 Speichern und schlieBen Sie die Datei des Anzeigenamens eines Zertifikatstyps Gehen Sie wie folgt vor um die Namen der Zertifikatstypenl zu andern die Benutzer auf dem Registrierungsformular anzeigen und ausw hlen k nnen 1 Erstellen Sie eine Sicherungskopie der Datei kertificate_profiles cfo f r Ihre Registrierungsdom ne 2 ffnen Sie die Datei mit einem Editor der das UTE 8 Formal unterst tzt 3 Suchen Sie die durch eckige Klammern gekennzeichnete Zeilengruppe die den umzubenennenden Zertifikatstyp definiert 4 Suchen Sie die Zeile display name und ndern Sie diese entsprechend Ihren individuel len Anforderungen Das folgende Beispiel zeigt die Originaldefinition und eine m gliche nderung S MIME Cert 1 Year S MIMECertlYear display_name E mail Protection 1 Year required fields first name last name email address S MIME Cert 1 Year S MIMECertlYear display name Secure E mail 1 Year required fields first name last name email address 5 Speichern und schlieBen Sie die Datei Version 3 Release 7 1 Loschen eines Zertifikatsprofils Gehen Sie wie folgt vor um ein zu l schen wenn Sie den Antragstellern den zugeh rigen Zertifikatstyp nicht zur Verf
17. STRING CountryNames 136 STRING CountryNames 137 STRING CountryNames 138 STRING CountryNames 139 STRING CountryNames 140 STRING CountryNames 141 STRING CountryNames 142 STRING CountryNames 143 STRING CountryNames 144 STRING CountryNames 145 STRING CountryNames 146 STRING CountryNames 147 STRING CountryNames 148 STRING CountryNames 149 STRING CountryNames 150 STRING CountryNames 151 STRING CountryNames 152 STRING CountryNames 153 STRING CountryNames 154 STRING CountryNames 155 STRING _CountryNames 156 STRING CountryNames 157 STRING CountryNames 158 STRING CountryNames 159 STRING CountryNames 160 STRING _CountryNames 161 STRING CountryNames 162 STRING CountryNames 163 STRING CountryNames 164 STRING CountryNames 165 STRING CountryNames 166 STRING CountryNames 167 STRING CountryNames 168 STRING CountryNames 169 STRING CountryNames 170 STRING CountryNames 171 STRING _CountryNames 172 STRING CountryNames 173 STRING CountryNames 174 STRING CountryNames 175 STRING CountryNames 176 STRING CountryNames 177 STRING CountryNames 178 STRING CountryNames 179 STRING CountryNames 180 STRING CountryNames 181 STRING CountryNames 182 STRING CountryNames 183 STRING CountryNames 184 STRING CountryNames 185 STRING CountryNames 186 STRING CountryNames 187 STRING CountryNames 188 STRING CountryNames 189 STRING CountryNames 190 STRING Coun
18. Seitentitel und beschreibungen ndern 73 Sammeln von unternehmensbezogenen Kunden und Mitarbeiterdaten 102 berpr fen pers nlicher Daten au u an 105 Angeben der Seite die nach dem Herunterladen des Zertifikats aufgerufen werden soll 107 EC EE 107 Aktualisieren des Benachrichtigungsbriefs 108 ndern von Zertifikatstypen 109 Hinzuf gen von Werten zu Auswahllisten 111 Verarbeiten von Genehmigungen lleeeeeeee ees 112 Verzeichnis Server anpassen ce EENS EES kta Rog ea ee eee ded d 113 Anpassen von Objektklassen f r Verzeichniseintr ge Directory 114 Anleniteen pr fen 4 ida acea E ed DERG AI OX EKA Deh b A Oneida edu Vetera eed Re ORES 115 I T 117 liL 137 viii Version 3 Release 7 1 Vorwort Dieses Buch enthalt Informationen dazu wie Sie die Tivoli PKI Registrierungsfunktion f r die Unterstiitzung der Registrierungs und Zertifizierungsziele Ihrer Unternehmensregeln anpassen k nnen Dieses Release des Produkts unterst tzt lediglich AIX Plattformen Alle Materialien die sich mit Microsoft Windows befassen sollten ignoriert werden Zielgruppe Dieses Buch richtet sich an Anwendungsentwickler und Systemadministratoren die
19. Zweck des Zertifikats 62 Tivoli PKI Anpassung 141 xepu 142 Version 3 Release 7 1 SH12 3000 02
20. gung stellen wollen Anmerkung Vor dem L schen einer vorhandenen Zertifikatsprofildefinition sollten Sie sich mit den Regeln und Verarbeitungsvoraussetzungen vertraut machen die in e e e 29 erl utert sind a Kalspro d e Erstellen Sie eine Sicherungskopie der Datei Eertificate profiles cfgl f r Ihre Registrierungsdom ne ffnen Sie die Datei mit einem Editor der das UTE 8 Formal unterst tzt Suchen Sie die durch eckige Klammern gekennzeichnete Zeilengruppe die dem zu l schenden Profil entspricht Globale Profilwerte d rfen nicht gel scht werden Verwenden Sie ein Semikolon um die gesamte Zeilengruppe auf Kommentar zu set zen Speichern und schlie en Sie die Datei L schen Sie die Beschreibung de J so dass die Antragsteller die zugeh rige Beschreibung nicht anzeigen k nnen L schen der Beschreibung eines Zertifikatstyps Gehen Sie wie folgt vor um die Beschreibung eines Zertifikarstynd aus dem Text zu l schen dem Antragsteller weiterf hrende Informationen entnehmen K nnen I 5 Erstellen Sie eine Sicherungskopie von Cert Types jspl Diese Datei enth lt eine Beschreibung der Zertifikatstypen 2 Offnen Sie die Datei mit einem Editor der das LITE 8 Eormall unterst tzt 3 A Verwenden Sie ein Semikolon um den Text auf Kommentar zu setzen Suchen Sie die Zeilen die die zu l schende Beschreibung enthalten Speichern und schlie en Sie die Datei Hinzuf g
21. lt errorFlags 7 gt lt FONT gt lt BR gt lt SELECT NAME lt inputFieldNames 7 gt SIZE 1 gt 0 lt 0 lt BRK k k dede ERIK RRA K EKA eee eee ehe A KEKE IKKE AKER AKER KKK Create dropdown list of 0 kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk Initialize arrays of Organization names and codes int numOfOrg 4 String STRING_O new String num0fOrg String oCodes new String numOfOrg oCodes 0 BUGS oCodes 1 DAF oCodes 2 POK oCodes 3 TWT STRING O 0 STRING O 1 STRING O 2 STRING 0 3 Business United Garages Enterprises Delta Auto Factory Printing of Kits LTD Treats World Incorp String selectedOC request getParameter inputFieldNames 7 if selectedOC null selected0C equals selectedOC String Version 3 Release 7 1 request getAttribute inputFieldNames 7 if selectedOC null selected0C equals selectedOC BUGS for int i 0 i lt num0fOrg i Determine if current item needs to be preselected if oCodes i equals selectedOC selectedLb SELECTED else selectedLb Create the list item out println lt OPTION VALUE oCodes i V selectedLbl gt STRING O i oCodes i gt lt SELECT gt lt TD gt lt TR gt lt Organizational Unit OU gt lt TR g
22. nkungen usw Zertifikatsregel Eine benannte Gruppe mit Regeln die angibt ob ein Zertifikat f r eine bestimmte Klasse von Anwendungen mit gemeinsamen Sicherheitsanforderungen anwendbar ist Eine Zertifikatsregel kann z B angeben ob ein bestimm ter Zertifizierungstyp dem Benutzer die Ausf hrung von Transaktionen f r Waren innerhalb eines bestimmten Preisbereichs erm glicht Zertifikatswiderrufsliste CRL Eine digital unterzeichnete mit Zeitmarken versehene Liste der Zertifikate die vom Zertifikatsaussteller CA widerrufen wurden Die Zertifikate in dieser Liste sollten als nicht akzeptierbar behandelt werden Siehe auch Digitales Zertifikat Zertifizierung Der Prozess bei dem eine zuverl ssige an der Kommunikation nicht beteiligte Stelle der Zertifikatsaussteller CA einen elektronischen Identit tsnachweis ausstellt der f r die Identit t einer Person eines Unternehmens oder einer Organisation b rgt Ziel Eine benannte oder ausgew hlte Datenquelle Zugriffssteuerungsliste ACL Ein Verfahren mit dem die Verwendung einer bestimmten Ressource auf berechtigte Benutzer beschr nkt werden kann Version 3 Release 7 1 Index A Abfrageantwort 56 ACL 38 afservice PolicyExit Eintrag 11 Aktionen fiir Domine RA 66 Aktueller Status 67 Anforderungsattribute 65 Anforderungsprofil 40 Anforderungsstatus 67 Anpassbare Elemente 42 Anzeigenamen fiir Zertifikatstypen 14 Benachrichtigungsbrief 9 RA Desktop an
23. o o UE_SERVER_AUTH_URL_PATH JSP_MOUNT_POINT Page_CkStatus_IEBrowserSSLCert name U RLEncoded N amp i d URLEncodedRequest 1D amp cq URLEncodedChal 1 engeQ Beachten Sie hierbei dass der Code in den endgiiltigen Zeilen des obigen Beispiels in einer einzigen Zeile angegeben werden muss 46 Version 3 Release 7 1 Die folgenden Ersetzungsvariablen stehen fiir die E Mail Benachrichtigungsschablone zur Verf gung und k nnen an beliebiger Stelle im Hauptteil des Texts verwendet werden Variable Beschreibung first name Vorname last name Nachname RequestID Anforderungsname URLEncodedRequestID URL codierte Anforderungs ID action comment Kommentar zu der vom Registrator ausgef hrten Aktion domain Dom nenname URLEncodedChallengeQ URL codierte Abfragenfrage URLEncodedCN URL codierter allgemeiner Name CN Anmerkungen 1 Speichern Sie eine Sicherungskopie der Datei bevor Sie das Original editieren 2 Die nderungen k nnen mit einem UTF 8 f higen Texteditor vorgenommen werden 3 Die erste Zeile im Benachrichtigungsbrief wird als Betreffzeile interpretiert 4 Wenn Sie die Datei umbenennen oder eigene Dateien hinzufiigen oder anstatt der Standarddateien verwenden m ssen Sie auch die Namen ndern die in der definiert sind 5 Wenn das System auf dem der RA Server ausgef hrt wird nicht ber einen SMTP Ser ver verf gt definieren Sie einen Zeiger auf ei
24. return true else return false gt lt SCRIPT gt Folgenden Code hinzufiigen lt Missing Custom Info Alert gt lt SCRIPT LANGUAGE JavaScript gt lt function MissingCustInfoAlert var STRING_MissingCustInfoPrompt Please enter All the required fields if document RegForm lt inputFieldNames 14 gt value document RegForm lt inputFieldNames 15 gt value document RegForm lt inputFieldNames 16 gt value alert STRING_MissingCustInfoPrompt document RegForm lt inputFieldNames 14 gt focus return true else return false gt lt SCRIPT gt 2 Andern Sie folgendes Segment lt If E mail address is missing while e mail notification is selected do not submit gt onSubmit if MissingEmailAddressAlert return false else return true gt Tivoli PKI Anpassung 105 jaidsieqsbunsseduy 9 In folgendes Segment lt If E mail address is missing while e mail notification is selected do not submit gt onSubmit if MissingEmailAddressAlert return false else if MissingCustInfoAlert return false else return true gt 3 In der Datei NSBrowserSSLCert_Enroll jsp m ssen Sie unter folgendem Code segment var STRING MissingEmailAddressPrompt Please enter your e mail address if document RegForm lt emailNotificationFieldName gt checked amp amp
25. und Mitarbeiterdaten Im LoTo Organization Beispiel wollen Sie die folgenden Anderungen an den Registrierungs Web Seiten im Browser vornehmen 1 Elemente zur Angabe des Bundeslandes Ortes und der Stra e entfernen 2 Elemente f r die Angabe des Unternehmens der Abteilung und des Landes in das Aus wahlmen der verdeckten Liste aufnehmen Gehen Sie wie folgt vor um die Elemente zur Angabe des Bundeslandes des Ortes und der Stra e zu entfernen 1 Entfernen Sie die folgenden Codebl cke aus der Datei NSBrowserSSL Cert Enroll jsp lt Street Address STREET gt lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING InputFieldHelps 9 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 9 Ss lt STRING Colon Ss lt STRONG gt lt STRING Spacer gt STRING OptionalLbl Ss lt errorFlags 9 gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME o lt lt inputFieldNames 9 gt SIZE lt sizeOfInputFields gt VALUE lt inputFieldReturnValues 9 gt gt lt TD gt lt TR gt lt Locality L amp lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING_InputFieldHelps 10 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt ST
26. usr 1pp iau pkrf Domains YourDomain etc Mail PKCS107Cert ltr Mail Template PreReg usr lpp iau pkrf Domains YourDomain etc Mail PreReg 1ltr Name der Konfigurationsdatei f r Zertifikatsprofile Das folgende Beispiel zeigt die Standardzeile f r diese Angabe Sie sollte in der von Ihnen verwendeten Datei das u a Format aufweisen F r Windows CertificateProfiles C PROGRA 1 IBM TRUSTA 1 pkrf Domains YourDomain etc certificate_profiles cfg Fir AIX CertificateProfiles usr 1lpp iau pkrf Domains YourDomain etc certificate profiles cfg Vektorspezifische Zertifikatsprofile Das folgende Beispiel zeigt die Standardzeilen f r diese Angabe Sie sollten in der von Ihnen verwendeten Datei das u a Format aufweisen CertProfiles NSBrowserSSLCert SSLBrowserCertlYear SSLBrowserCert2Year S MIMECertlYear S MIMECert2Year CertProfiles IEBrowserSSLCert SSLBrowserCertlYear SSLBrowserCert2Year S MIMECertlYear S MIMECert2Year CertProfiles PKCS107Cert SSLServerCertlYear SSLServerCert2Year IPSecCertlYear IPSecCert2Year CertProfiles PreReg S MIMECert1Year S MIMECert2Year IPSecCertlYear IPSecCert2Year SSLServerCert1Year SSLServerCert2Year SSLBrowserCert1Year SSLBrowserCert2Year SignatureOnlyCert1Year SignatureOnl yCert2Year KeyEnciphermentCertlYear KeyEnciphermentCert2Year DataEnciphermentCertlYear DataEnciphermentCert2Year NonRepudiationCertlYear NonRepudiationCert2Year CACrossCertificationRequest Tivoli PKI Anpassung 53 ueuoneul
27. wird unterstiitzt validityNotBefore Das Feld validityNotBefore definiert das erste Datum an dem das ausgestellte Zer tifikat als giiltig betrachtet wird Der RA Server unterstiitzt Regeln zur Angabe eines Bereiches der angefordert werden kann und eines Standardwertes der bei Uber schreitung dieses Bereichs verwendet wird Dar ber hinaus k nnen die Werte in Tagen relativ zum aktuellen Datum oder als absolute Datums und Zeitangaben ange geben werden Beispiel Define validityNotBefore values validityNotBefore range 0 30 validityNotBefore default 0 validityNotBefore request validityNotBefore default validityNotBefore_default Im vorliegenden Beispiel k nnen Endbenutzer oder die Regel Exits des Kunden ein Zertifikat anfordern dessen G ltigkeit sofort beginnt und f r die darauf folgenden 30 Tage gilt Wird kein Wert angegeben oder liegt der angeforderte Wert auDerhalb des zul ssigen Bereichs 0 30 verwendet das System den Standardwert von 0 Tagen Null 0 Tage wird vom RA Server als das aktuelle Datum und die aktuelle Uhrzeit in Westeurop ischer Zeit WEZ interpretiert Negative ganzzahlige Werte werden zur Definition von Datumsangaben vor dem aktuellen Datum verwendet Der Wert 3 bedeutet z B vor 3 Tagen W hrend es m glich ist Startdaten in der Vergangenheit anzugeben wird dies nicht empfohlen da der CA Server in diesem Fall die Zertifikatsanforderung eventuell zur ckweist Sie m ssen s
28. 10 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 10 Ss lt STRING Colon gt lt STRONG gt lt STRING Spacer gt lt STRING OptionalLbl Ss lt errorFlags 10 gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 10 gt SIZE lt sizeOfInputFields gt MAXLENGTH 128 VALUE lt inputFieldReturnValues 10 gt gt lt TD gt lt TR gt lt State ST Ss lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING InputFieldHelps 11 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 11 gt lt STRING Colon gt lt STRONG gt lt STRING Spacer gt lt STRING OptionalLbl Ss lt errorFlags 11 Ss lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 11 gt SIZE lt sizeOfInputFields gt MAXLENGTH 128 VALUE lt inputFieldReturnValues 11 gt gt lt TD gt lt TR gt Version 3 Release 7 1 Gehen Sie wie folgt vor um die Elemente f r die Angabe des Unternehmens der Abteilung und des Landes in das Auswahlmen der verdeckten Liste aufzunehmen 1 Entfernen Sie den folgenden Codeblock aus der Datei NSBrowserSSL Cert Enroll jsp lt Organi
29. Authority Zu einer angepassten Datei Software 1996 IBM Corporation SW I Trust Authority Server Aktualisieren des Benachrichtigungsbriefs Sie k nnen in E Mail Nachrichten den Namen des Unternehmens ndern Gehen Sie wie folgt vor um den Namen des Unternehmens in E Mails anzugeben 1 ndern Sie in den Mail_ ltr Dateien die Zeile From Tivoli PKI Certificate Enrollment In folgende Zeile From LoTo Organization Zertifikatsaussteller 108 Version 3 Release 7 1 Andern von Zertifikatstypen Sie k nnen universelle Zertifikate mit einer G ltigkeitsdauer von einem oder zwei Jahren ausstellen die den Web Client die E Mail Funktion sowie das digitale Unterzeichnen unter st tzen und Browserzertifikatsoptionen ersetzen Serverzertifikatsseiten m ssen nicht ge ndert werden 1 F gen Sie ein Zertifikatsprofil hinzu und aktivieren Sie die automatische Anforderungs verarbeitung F gen Sie in der Datei certificate_profiles cfg unter folgendem Codesegment SSLSERVERCERT2YEAR SSLServerCert2Year display name Web Server Authentication 2 Year Define Extensions extensions required keyUsage extendedKeyUsage certificatePolicies keyUsage keyEncipherment amp digitalSignature extendedKeyUsage serverAuth Define validityNotAfter values validityNotAfter range 0 730 validityNotAfter default 730 Folgenden Code hinzu Universal CertlYear Uni versalCert displa
30. Browser Registrierungs seite erfassen Auf den Browser Registrierungs Web Seiten m ssen Sie die Felder f r die laufende Mitarbeiternummer den Jobtitel und die Versicherungsnummer hinzuf gen um Daten zu erfassen Gehen Sie wie folgt vor um die Felder f r die laufende Mitarbeiternummer den Jobtitel und die Versicherungsnummer hinzuzuf gen 1 ndern Sie in der Datei NSBrowserSSLCert_Enroll jsp folgende Zeile int numOfInputFields 14 In folgende Zeile int numOfInputFields 17 2 F gen Sie unter dem u a Codesegment inputFieldNames 13 domain name STRING InputFieldLbls 13 Domain Name STRING InputFieldHelps 13 Type the domain name if you were instructed to do so For example mypc mydiv mycorp com Folgenden Code hinzu inputFieldNames 14 SERIAL STRING InputFieldLbls 14 Serial Number STRING InputFieldHelps 14 Employee serial Number inputFieldNames 15 TITTLE STRING InputFieldLbls 15 Job Tittle STRING InputFieldHelps 15 Job Description Tittle inputFieldNames 16 SSN STRING InputFieldLbls 16 Social Security Number STRING InputFieldHelps 16 Socail Security Number Version 3 Release 7 1 Fiigen Sie unter dem u a Codesegment lt Challenge Question and Response challenge q and challenge r gt lt TR gt lt TD ALIGN LEFT BGCOLOR BBE2EC gt lt FONT SIZE 2 gt lt STRING_InputFieldHelps 4 gt lt
31. FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR 9FD5E3 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING_InputFieldLbls 4 gt lt STRING Colon Ss lt STRONG gt lt STRING_Spacer gt lt STRING OptionalLbl Ss lt errorFlags 4 gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 4 gt SIZE lt sizeOfInputFields gt MAXLENGTH 48 VALUE lt inputFieldReturnValues 4 gt gt p FONT SIZE 2 gt STRONG lt STRING InputFieldLbls 5 gt lt STRING Colon Ss STRONG lt STRING Spacer gt lt STRING OptionalLbl Ss lt errorFlags 5 gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 5 gt SIZE lt sizeOfInputFields gt MAXLENGTH 48 VALUE lt inputFieldReturnValues 5 gt gt lt TD gt lt TR gt lt TABLE gt Folgenden Code hinzu lt Lo To Org Employee Information Begins gt p TABLE WIDTH 580 BORDER 0 CELLSPACING 2 CELLPADDING 10 gt TR TD COLSPAN 2 ALIGN LEFT BGCOLOR 336633 gt FONT SIZE 3 COLOR FFFFCC gt STRONG LoTo Organization Employee Information STRONG lt FONT gt lt TD gt lt TR gt lt Employee Serial Number gt lt TR gt TD ALIGN LEFT BGCOLOR EEEEAA gt FONT SIZE 2 gt lt STRING InputFieldHelps 14 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR CCCC99
32. Grenadines Samoa San Marino Sao Tome And Principe Saudi Arabia Senegal Seychelles Sierra Leone Singapore Slovakia Slovak Republic Slovenia Solomon Islands Somalia South Africa South Georgia And The South Sandwich Islands Spai ni Sri Lanka St Helena St Pierre And Miquelon Sudan Suriname Svalbard And Jan Mayen Islands Swaziland Sweden Switzerland Syrian Arab Republic Taiwan Tajikistan Tanzania United Republic Of Thailand Togo Tokelau Tonga Trinidad And Tobago Tunisia 97 ja ds aqs unsseduy 9 STRING CountryNames 216 STRING CountryNames 217 STRING CountryNames 218 Turkey Turkmenistan Turks And Caicos Islands STRING CountryNames 219 Tuvalu STRING CountryNames 220 Uganda STRING CountryNames 221 Ukraine STRING CountryNames 222 STRING CountryNames 223 STRING CountryNames 224 STRING CountryNames 225 United Arab Emirates United Kingdom United States United States Minor Outlying Islands STRING CountryNames 226 Uruguay STRING CountryNames 227 Uzbekistan STRING CountryNames 228 Vanuatu STRING CountryNames 229 Venezuela STRING CountryNames 230 Viet Nam STRING CountryNames 231 STRING CountryNames 232 STRING CountryNames 233 STRING CountryNames 234 Virgin Islands British Virgin Isl
33. Hand buch Tivoli PKI Systemverwaltung Zertifikatswiderrufslisten CRL Die Tivoli PKI Registrierungsstelle kann so konfiguriert werden dass entweder einzelne Zertifikatswiderrufslisten CRLs Certificate Revocation Lists oder CRL Verteilungspunkte in regelm igen Zeitabst nden publiziert werden Bei beiden Konfigurationen werden Zertifi kate aufgelistet die nicht mehr g ltig sind sodass deren Eigner bei Vorlage nicht mehr REES werden k nnen Wird Tivoli PKI so konfiguriert dass das System CRL Verteilungspunkte ausgibt m ssen von der Auswertungsanwendung weniger Informationen abgerufen werden um den Zertifikatseigner zu authentifizieren Alle Zertifikatsaussteller Registrierungsstellen und Anwendungen k nnen auf die CRL Infor mationen zugreifen um festzustellen ob ein Zertifikat widerrufen wurde Durch das Ver f fentlichen der CRL Informationen bietet die Registrierungsstelle von Tivoli PKI Schutz gegen den unerlaubten Systemzugriff nicht berechtigter Benutzer auf die gesicherten Anwen dungen Ihres Unternehmens Verzeichnisse Directory Das Verzeichnis das von Tivoli PKI zum Speichern von Zertifikaten verwendet wird ist das IBM Directory Dieses Verzeichnis kann von Ihrem Unternehmen speziell f r Tivoli PKI definiert werden Alternativ hierzu kann auch ein zuvor installiertes und bereits von anderen Anwendungen benutztes Verzeichnis festgelegt werden Registrierte Namen Der Legistrierte Namd DN z Distinguish
34. Registrier ngsfunktiOn s uu Argu se rox Rome ana ee hee See ini in ein aa 20 Registrierungswebseiten uu v sss a cas eee IR eens 20 Kiel E EE 21 Webbrowserunterst tzung J uu l nent re 21 Regel BXits gue dee bia eh oe ERA ROSS Ra RR Re EE ER Rake baa ead aed 21 Einschr nkungen bei Regel Exits us sas cem een ee 21 Schnittstellen zum Regel Hat 22 Registrierung EE 23 Unternehmenstegel uuu vas pce RR ERE eRe Ee He eee eee EE ER eee me 23 DatensatzattfibUte u l tad hii 04 ood de pad beds gee Pp yg e ted d Ree faded ped ud 24 Reeistri rungsstellen lt rosi he eas tawa 28 a Ge MAME aR Ca aw eA V ROR Ee eR eg 24 Registrierungsdatenbanken i i 24 Registrierungsdom nen a u eR UE SEET ink an 24 Registri rUngssatZe oo sati Bde xS ER abes RES RU Sash no PS EA een 25 ZertiliZIerUDg iocus oe SEE RR qapa saus DOR RUE RUP DS eG DR ROS DR E saq agua De E P ERR DTE 25 Zertitikatsaussteller sees sea ei iere sexo E eode b a ne be NEE beds exe Ig Ud ie wi 26 Zertifikatswiderrufslisten CRL 26 Verzeichnisse Directory esed uw sy e RP EE PEPPER E E RR paqa UR RET CHE 26 Registrierte Namen vous EE Caw Ee le 26 Zertihik tenn sud ae RE REMEDIUM acy eee Sree ee ee Ree E pe erbe Re Se Eee e Re 27 Browserzertifikate Aug lisse eR pr apus rss DLE ER E SE 27 e nci Cr 27 Server oder Einheitenzertifikate 28 Zertifikatserweiterungen hh hh hh 28 Erneuerbarkeit y eoe OPE ed Cle eee beue ees oet e oie al 28 Eet PEERS 29 P
35. Registrierung f r den Benutzer angezeigter Zertifikatsprofilel certificate profiles cfg Text Konfieurationsdatei der Res e funktionl raconfig cfg Version 3 Release 7 1 Anpassbares Element Zu editierende Komponente Registrierungsfelded und Werte in Auswahllisten Zertifikatsprofilel certificate profiles cf e e 4 e Kone funktion raconfig cfg auonsda d INCO ng Namen von Zertifikatsangeboten Zertifikatsprofilel certificate_profiles cfg Beschreibungen von Zertifikatsangeboten lava Server Seitel CertTypes jsp Merkmale der einzelnen Zertifikatstypen Beispiel fiir eine E Mail Benachrichtigung zur Infor mation ber Genehmigung oder Zur ckweisung einer Anforderung certificate profiles cfg E Ma Bena htisunssbriefl Regel Exit zur Unterst tzung der automatischen Genehmigungsverarbeitung URL Adresse die dem Registrator beim Verlassen von RA Desktop angezeigt wird RA Desktop Java Server Seite radesktop jsp Ablaufzeitraum f r Registrierungsanforderungen Zertifikatsprofile certificate_profiles cfg Erforderliche Felder im Registrierungsformular certificate_profiles cfg Objektklassen f r Verzeichniseintr ge Zertifikatsprofilel certificate_profiles cfg Anmerkung Nach dem ndern eines Elementes m ssen Sie m glicherweise noch kleinere Anderungen an anderen Dateien vornehmen um Ihre Modifikationen zu
36. Registrierungsstelle RA Registration Authority als Serveran wendung implementiert Sie dient zur Ausf hrung der folgenden Ee die bei der Benutzerregistrierung ausgef hrt werden m ssen m Best tigen der Benutzeridentit t m Pr fen der Berechtigung eines Antragstellers f r ein Zertifikat mit den gew nschten und Berechtigungen m Genehmigen oder Zur ckweisen von Anforderungen zum Erstellen oder Widerrufen von Zertifikaten W Pr fen des Antragstellers auf das Vorhandensein des zugeh rigen privaten Schl ssels f r den ffentlichen Schl ssel im Zertifikat Unter Tivoli PKI stellt die Registrierungsstelle den Rahmen zur Unterst tzung eines breiten Spektrums an Registrierungsaktionen bereit Sie k nnen die Registrierungsfunktion auf die Regeln und Richtlinien Ihres Unternehmens abstimmen Registrierungsdatenbanken In der Registrierungsdatenbank von Tivoli PKI werden gespeichert Bei der Registrierungsdatenbank handelt es sich um eine relationale Datenbank die unter IBM DB2 Universal Database erstellt wird Tivoli PKI kann die gespeicherten Datens tze ver schl sseln Allerdings kann ein berechtigter Registrator ber RA Desktop die meisten Registrierungsinformationen lesen Registrierungsdomanen Jedes Tivoli PKI System unterst tzt als Server eine einzige Registrierungsdom ne Diese Domine definiert die ee Zertifikatsregeln und Ressourcen die bei der Registrierung und Z in Ihrem Unternehmen ben tigt werden Benu
37. Sie diese Prozedur um den zum Lieferumfang von Tivoli PKI geh rigen Bei 1 Erstellen Sie Sicherungskopien der vorhandenen Beispielquellendatei auto approve cpp sowie der ausf hrbaren Datei auto approve exe Speichern Sie diese Dateien an einer sicheren Position 2 Entwickeln Sie den angepassten Quellencode Beachten Sie hierbei dass die Gesch fts prozesse die zum Lieferumfang von Tivoli PKI geh ren Abh ngigkeiten zu bestimmten Werten aufweisen die an den Regel Exit bergeben z B decision default oder von diesem zur ckgegeben werden z B reqStatus und ffStatus Wenn Sie die Art und Weise ndern wollen in der diese Werte von dem gelieferten Regel Exit verwendet wer den m ssen Sie die Anderungen genau planen und sicherstellen dass hierbei keine Benutzungskonflikte mit den Gesch ftsprozessen von Tivoli PKI entstehen 3 Nach dem Andern und Kompilieren sollten Sie die ausf hrbare Datei des Regel Exits an die selbe Position kopieren an der die ausf hrbare Datei der zum Lieferumfang geh ren den Komponente gespeichert ist Beispiel W Unter AIX usr Ipp iau pkrf Domains YourDomain bin m Unter Windows NT C Program Files IBM Trust Authority pkrf Domains YourDomain bin 4 ndern Sie den Eintrag afservice PolicyExit in der Datei raconfig cfg so dass dieser auf die ausf hrbare Datei f r den neuen Regel Exit zeigt Ein Beispiel hierzu finden Sie 5 Stoppen Sie Tivoli PKI und f
38. Verf gung um Registrierungsanforderungen zu verarbeiten Genehmigen Mit dieser Option wird die Registrierungsanforderung genehmigt damit dem Antrag steller das angeforderte Zertifikat ausgestellt werden kann Als anstehend behalten Mit dieser Option wird die Entscheidung verz gert Verwenden Sie diese Option wenn der Registrator zur Bearbeitung des Antrags noch externe Informationen ben tigt oder lediglich einen Kommentar an den Datensatz anf gen will Zur ckweisen Mit dieser Option wird die Registrierungsanforderung zur ckgewiesen Widerrufen Mit dieser Option wird die G ltigkeit eines Zertifikates beendet Anmerkung Wenn Sie ein Zertifikat widerrufen und als Begr ndung Zertifikat in den Wartestatus setzen angeben k nnen Sie diese Aktion sp ter umkehren es sei denn der G ltigkeitszeitraum des Zertifikats ist in der Zwischenzeit abgelaufen Um die Aktion umzukehren m ssen Sie den Widerruf einfach wiederholen und als Grund Aus der CRL ent fernen angeben Anforderung als nicht erneuerbar definieren Mit dieser Option wird der Status eines erneuerbaren Zertifikats in nicht erneuerbar ge ndert Version 3 Release 7 1 Anforderung als erneuerbar definieren Mit dieser Option wird der Status eines nicht erneuerbaren Zertifikats in erneuerbar ge ndert Keine Aktion verf gbar Diese Option gibt an dass der Registrator lediglich ber die Berechtigung zum Anzeigen der Datens tze in der Regi
39. countryCodes 128 countryCodes 129 countryCodes 130 countryCodes 131 countryCodes 132 countryCodes 133 countryCodes 134 countryCodes 135 countryCodes 136 countryCodes 137 countryCodes 138 countryCodes 139 countryCodes 140 countryCodes 141 countryCodes 142 countryCodes 143 countryCodes 144 countryCodes 145 countryCodes 146 countryCodes 147 countryCodes 148 countryCodes 149 countryCodes 150 countryCodes 151 countryCodes 152 countryCodes 153 countryCodes 154 countryCodes 155 countryCodes 156 countryCodes 157 countryCodes 158 countryCodes 159 countryCodes 160 countryCodes 161 countryCodes 162 countryCodes 163 countryCodes 164 countryCodes 165 countryCodes 166 countryCodes 167 countryCodes 168 countryCodes 169 countryCodes 170 countryCodes 171 countryCodes 172 countryCodes 173 countryCodes 174 countryCodes 175 countryCodes 176 countryCodes 177 countryCodes 178 countryCodes 179 countryCodes 180 countryCodes 181 countryCodes 182 countryCodes 183 countryCodes 184 countryCodes 185 countryCodes 186 countryCodes 187 Tivoli PKI Anpassung LR CH LD NET LU MO MK MG MW MY MV ML MT MH MQ MR MU ICH MX FM MD MC MN MS MA MZ MM NA NR NP NL AN NC NZ NI NE NG NU NF MP
40. definieren 1 Editieren Sie die Datei raconfig cfg Der Standardinstallationspfad f r diese Datei lautet C Program Files IBM Trust Authority pkrf Domains domain_name etc 2 Figen Sie die folgende Zeile am Ende der Datei hinzu wobei host domain com fiir den SMTP Server steht SMTP_HOST_NAME host domain com Anmerkung Bei der Durchfiihrung von Anderungen an der Datei raconfig cfg miissen Sie u erst vorsichtig vorgehen Informationen zum Einsatz eines Editors der das UTF 8 Format unterst tzt finden Sie unter Anpa eite Ausf hrliche Informationen zur Datei raconfig cfg enth lt der Abschnitt Version 3 Release 7 1 Anpassen des Regel Exits Sie k nnen den Regel Exit anpassen oder einen eigenen Exit hinzuf gen um zus tzliche Verarbeitungsoperationen auszuf hren oder mit anderen Anwendungen Ihres Unternehmens interaktiv zusammenzuarbeiten Bei dem Regel Exit kann es sich um eine beliebige ausf hrbare Datei z B um eine C Shell oder eine andere Komponente handeln Der Exit dient zum Lesen von Eingabenach richten mit Name Wert Paaren name value aus der Standardeingabeeinheit STDIN Er schreibt entsprechende Ausgabenachrichten mit Name Wert Paaren in die Standardausgabe einheit STDOUT Identifizieren des Regel Exit Namens ndern Der Eintrag afservice PolicyExit in der Datei raconfig cfg identifiziert das Regel Exit Programm das von einem Gesch ftsprozess aufgerufen werden s
41. der Basis von Schl ssel paaren nicht nur zur Gew hrleistung der Vertraulichkeit Verschl sselung sondern auch f r die Authentifizierung digitale Unterschriften eingesetzt werden Schl sselsicherung und wiederherstellung Diese Funktion von Tivoli PKI erm glicht das Sichern und Wiederherstellen von Endentit tszertifikaten und der zugeh rigen von Tivoli PKI zertifizierten ffentlichen und privaten Schl ssel Die Zertifikate und Schl ssel wer den in einer PKCS 12 Datei gespeichert Diese Datei ist kennwortgesch tzt Das Kennwort wird beim Sichern des Zertifikats und der Schl ssel gesetzt Secure Electronic Transaction SET Ein Branchenstandard f r die Durchf hrung sicherer Kredit oder Kundenkartenzahlungen ber nicht gesicherte Netze Der Standard formuliert Definitionen f r die Authentifizierung von Kartenhaltern H ndlern sowie der Banken durch die die Karten ausgestellt werden da er die Ausstellung von Zertifikaten anfordert Secure Sockets Layer SSL Ein IETF Standard bertragungsprotokoll mit integrierten Sicherheitsservices die f r den Endbenutzer m glichst transparent sind Es stellt einen digitalen sicheren Kommunikationskanal zur Verf gung 130 Version 3 Release 7 1 Ein SSL f higer Server empf ngt SSL Verbindungsanforderungen im Allgemeinen an einem anderen Anschluss Port als normale HTTP Anforderungen SSL erstellt eine Sitzung in der die Austauschsignale zum Herstellen der Kommunikation zwischen zwe
42. einsetzen m ssen Sie die Kon onl entsprechend ndern damit die Modifikationen wirksam werden Beschreibungsdateien f r Zertifikatstypen Dateiname CertTypes jsp Adresse Web Seiten Unterverzeichnis f r Ihre Registrierungsdom ne Beispiel Original SSL BROWSER CERT 1 YEAR SSLBrowserCertlYear display name Web Client Authentication 1 Year Ersetzen durch SSL BROWSER CERT 1 YEAR SSLBrowserCertlYear display name My certificate Profile 1 Year Version 3 Release 7 1 Konfigurationsdatei fur Zertifikatsprofile Die Konfigurationsdatei f r Zertifikatsprofile enth lt Profile f r die Zertifikate die in Ihrem Unternehmen zur Verf gung stehen m Der Registrator kann den Ablaufzeitraum f r die Registrierungsanforderung feststellen Hierbei handelt es sich um den Zeitraum nach dem eine bergebene Registrierungsan forderung abl uft und kein Anforderungsstatus oder Identit tsnachweis mehr ausgegeben wird m Der Registrator kann die erforderlichen Felder feststellen die der Endbenutzer auf dem Registrierungsformular ausf llen muss m Ein Benutzer kann diese aus einer Liste ausw hlen wenn er sich f r einen bestimmten Zertifikatstyp entscheidet Sie k nnen die in der Datei definierten Profile ndern oder ein Profil kopieren und als Scha blone f r das Erstellen zus tzlicher Zertifikatsangebote verwenden Dateiname certificate profiles cfg Adresse Unterverzeichnis etc f r Ih
43. eliminiert werden Im Allgemeinen werden Felder wie subjectName global definiert Im Folgenden sind verschiedene Beispiele f r globale Definitionen aufgef hrt Define default PKIX EE CA Preregistration values 72 hours prereg expiresInSeconds 259200 prereg client EE prereg annotation RA Server Define enrollment request expiration period this is the period after creation of the request record in DB request expires in hours 72 Define validityNotBefore values validityNotBefore range 0 30 validityNotBefore default 0 Nach dem globalen Abschnitt werden ein oder mehrere Zertifikatsprofile definiert Ein Zertifikatsprofil wird durch seinen in eckigen Klammern geschriebenen Namen gekennzeichnet Im folgenden Beispiel wird ein Zertifikatsprofil f r ein S MIME Zerti fikat mit einer G ltigkeitsdauer von einem Jahr definiert S MIMECert1Year Leerzeilen und Zeilen die mit einem Semikolon beginnen werden ignoriert Hierbei wer den die mit einem Semikolon beginnenden Zeilen als Kommentare interpretiert Beispiel s S MIME Cert 1 Year Im Folgenden ist ein Beispiel f r eine vollst ndige Profildefinition aufgef hrt S MIME Cert 1 Year S MIMECertlYear display name S MIME Certificate Valid for 1 Year required fields first name last name email address Define Extensions extensions required keyUsage extendedKeyUsage subjectAl Name certificatePolicies keyUsage digital
44. en kann sie in Bezug auf eine ausgedehnte Schl sselsuche flexibler als DES gestaltet werden Sie verf gt ber eine Blockgr e von 64 Bit und arbeitet auf Softwareebene zwei bis dreimal schneller als DES RC2 kann in denselben Modi eingesetzt werden wie DES Durch eine Vereinbarung zwischen SPA Software Publishers Association und der US Regierung nimmt RC2 einen speziellen Status ein Hierdurch ist das Genehmigungsverfahren f r den Export einfacher und schneller als dies bei anderen Verschl sselungsprodukten der Fall ist Um die Voraussetzungen f r eine rasche Export genehmigung zu erf llen muss ein Produkt mit einigen Ausnahmen die RC2 Schl sselgr e auf 40 Bit beschr n ken Eine zus tzliche Zeichenfolge kann verwendet werden um Nichtberechtigte abzuwehren die versuchen eine umfangreiche Tabelle m glicher Verschl sselungsvarianten vorauszuberechnen Regel Exit In einer Registrierungsfunktion ein auf Unternehmensebene definiertes Programm das von der Registrierungsan wendung aufgerufen wird Die Regeln eines Regel Exits implementieren die Unternehmens und Sicherheits benutzervorgaben eines Unternehmens f r den Registrierungsprozess Registrierter Name DN Der eindeutige Name eines im Directory gespeicherten Dateneintrags Der DN dient zur eindeutigen Identifizie rung der Position eines Eintrags in der hierarchischen Struktur des Directory Registrierung Bei Tivoli PKI das Abrufen von Identit tsnachweisen f r die Verwen
45. generiert einen 160 Bit Hash Code Sicherheitsdom ne Eine Gruppe z B Unternehmen Arbeitsgruppe Projektteam deren Zertifikate vom gleichen CA zertifiziert wurden Benutzer die ber ein von einem CA unterzeichnetes Zertifikat verf gen k nnen der Identit t eines anderen Benutzers vertrauen der ein Zertifikat besitzt das vom selben CA unterzeichnet worden ist Sicherungsmodell Eine Organisationskonvention die regelt wie Zertifikatsaussteller CAs andere Zertifikatsaussteller zertifizieren k nnen Simple Mail Transfer Protocol SMTP Ein Protokoll mit dem elektronische Post ber das Internet bertragen wird Site Zertifikat Dieser Zertifikatstyp ist mit einem CA Zertifikat vergleichbar gilt jedoch nur f r eine bestimmte Website Siehe auch CA Zertifikat Smart Card Eine Hardwarekomponente normalerweise in der Gr e einer Kreditkarte auf der die digitalen Schl ssel eines Benutzers gespeichert werden k nnen Eine Smart Card kann kennwortgesch tzt werden S MIME Ein Standard der das Unterzeichnen und Verschl sseln von elektronischer Post E Mail unterst tzt die ber das Internet bertragen wird Siehe MIME SMTP Simple Mail Transfer Protocol SSL Secure Sockets Layer Standard Generalized Markup Language SGML Ein Standard zur Beschreibung von Formatierungssprachen HTML basiert auf SGML Tivoli PKI Anpassung 131 Jesso 5 132 Symmetrischer Schliissel Ein Schliissel der sowohl fiir die Vers
46. geschrieben Version 3 Release 7 1 Unternehmensprozessobjekte Eine Codegruppe die zur Ausfiihrung einer bestimmten Registrierungsoperation z B zum Priifen des Registrierungsstatus oder zur Best tigung des Sendens eines ffentlichen Schl ssels verwendet wird Unternehmensprozessschablone Eine Gruppe von Unternehmensprozessobjekten die in einer bestimmten Reihenfolge ausgef hrt werden Unterst tzung in der Landessprache NLS Unterst tzung f r unterschiedliche l nderspezifische Angaben in einem Produkt Hierzu geh ren die Sprache die W hrung das Datums und Zeitformat und die Darstellung von Zahlen Unterzeichnen Die Verwendung eines digitalen privaten Schl ssels zum Generieren einer Unterschrift Diese Unterschrift dient dazu zu beweisen dass ein bestimmter Benutzer f r die von ihm unterzeichnete Nachricht verantwortlich ist und diese akzeptiert Unterzeichnen Pr fen Als Unterzeichnen wird die Verwendung eines privaten Schl ssels zum Generieren einer Unterschrift bezeichnet Unter Pr fen versteht man die Verwendung des entsprechenden ffentlichen Schl ssels zur Verifizierung dieser Unterschrift Unverschl sselter Text Nicht verschl sselte Daten Synonym zu Klartext URL Uniform Resource Locator URL Adresse URL Adresse Ein Schema f r die Adressierung von Ressourcen im Internet Die URL Adresse gibt das verwendete Protokoll sowie den Host Namen und die IP Adresse an Au erdem enth lt er Angaben zur Ans
47. gt Tivoli PKI Anpassung 103 jaidsieqsbunsseduy 9 104 lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 14 gt lt STRING Colon gt STRONG lt STRING Spacer gt lt STRING RequiredLbl gt lt errorFlags 14 gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 14 gt SIZE lt sizeOfInputFields gt MAXLENGTH 64 VALUE lt inputFieldReturnValues 14 gt lt TD gt lt TR gt lt Employee Job Title gt lt TR gt lt TD ALIGN LEFT BGCOLOR EEEEAA gt lt FONT SIZE 2 gt lt STRING_InputFieldHelps 15 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR CCCC99 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 15 gt lt STRING Colon Ss STRONG lt STRING Spacer gt lt STRING RequiredLbl gt lt errorFlags 15 gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 15 gt SIZE lt sizeOfInputFields gt MAXLENGTH 64 VALUE lt inputFieldReturnValues 15 gt gt lt TD gt lt TR gt lt Social Security Number gt lt TR gt lt TD ALIGN LEFT BGCOLOR EEEEAA gt lt FONT SIZE 2 gt lt STRING InputFieldHelps 16 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR CCCC99 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 16
48. gt lt tr gt In folgendes Element lt Page Title gt lt TR gt TD HEIGHT 35 ALIGN RIGHT VALIGN TOP gt lt FONT SIZE 3 COLOR 006699 gt Zertifikatsaussteller lt FONT gt lt TD gt lt TR gt 2 Andern Sie das folgende Element lt Page Description gt lt TITLE gt Tivoli PKI Credential Enrollment TITLE lt META NAME Description CONTENT Tivoli Public Key Infrastructure Credential Enrollment In folgendes Element amp Page Description gt TITLE LoTo Organization Zertifikatsaussteller lt TITLE gt META NAME Description CONTENT LoTo Organization Zertifikatsaussteller gt Die Auswahloption fiir die Vorabregistrierung kann nur von der Registrierungsseite entfernt werden Die Registrierungsseite f r die Vorabregistrierung kann unter http lt your server gt lt your domain gt PreReg_Enroll jsp PreReg_Enroll jsp aufgerufen werden Wenn Sie die Option fiir die Vorabregistrierung aus der Registrierungsseite entfernen wollen m ssen Sie die Zeile f r die Vorabregistrierung von Zertifikaten l schen 1 ndern Sie in der Datei index jsp das folgende Element OPTION VALUE 30 gt Server or Device Certificate lt OPTION VALUE 40 gt Certificate Preregistration lt SELECT gt Tivoli PKI Anpassung 73 jaidsieqsbunsseduy 9 74 In folgendes Element lt OPTION VALUE 30 gt Server or Device Certificate lt SELECT gt Sammeln von Kunden
49. gt lt STRING Colon Ss STRONG lt STRING Spacer gt lt STRING OptionalLbl Ss lt errorFlags 7 gt lt FONT gt lt BR gt lt SELECT NAME lt inputFieldNames 7 gt SIZE 1 gt lt k ik k k k eek k k KER je K He K E He K K IKEA KKK E A kee kee kee 0 02 K K K Create dropdown list of 0 kkkkkxkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk Initialize arrays of Organization names and codes l int numOfOrg 4 String STRING_O new String num0fOrg String oCodes new String numOfOrg oCodes 0 BUGS oCodes 1 DAF oCodes 2 POK oCodes 3 TWT STRING O 0 STRING O 1 STRING O 2 STRING 0 3 Business United Garages Enterprises Delta Auto Factory Printing of Kits LTD Treats World Incorp String selectedOC request getParameter inputFieldNames 7 if selectedOC null selectedOC equals selectedOC String request getAttribute inputFieldNames 7 if selectedOC null selectedOC equals selectedOC BUGS Generate the 0 dropdown list items ance ene seen ape au cue dee en for int i 0 i lt num0fOrg i Determine if current item needs to be preselected if oCodes i equals selectedOC selectedLb SELECTED else selectedLb Create the list item out println lt OPTION VALUE
50. hren Sie anschlieBend einen Neustart durch Beispiel Regel Exits enth lt der een Anpassen von Zertifikaten 12 Sie k nnen Ihre Zertifikatsangebote anpassen Hierzu m ssen Sie entweder die vorhandenen Zertifikatsprofile ndern oder neue Profile erstellen Dar ber hinaus k nnen Sie X 509v3 Benutzererweiterungen hinzuf gen Zur Unterst tzung Ihrer Benutzer k nnen Sie au erdem die Anzeigenamen und die Beschrei bungen vorhandener Angebote ndern Version 3 Release 7 1 Hinzuf gen eines Zertifikatsprofils Sie k nnen ein Zertifikatsprofill erstellen das eine andere Kombination aus Kenndaten ent halt Beispiel m Standardeinstellung f r den G ltigkeitszeitraum m Verf gbares Leistungsspektrum Anmerkung Vor dem Hinzuf gen einer neuen Zertifikatsprofildefinition oder dem Andern eines Profils das durch die Standardinstallation von Tivoli PKI bereitgestellt wurde sollten Sie sich mit den Regeln und Verarbeitungsvoraussetzungen ver traut machen die in Zertifikatsprofile auf Seite 29 erl utert werden Gehen Sie wie folgt vor um ein neues Profil zu erstellen 1 Erstellen Sie eine Sicherungskopie der Datei certificate profiles cfgl f r Ihre Registrierungsdom ne 2 ffnen Sie die Datei mit einem Editor der das UTF 8 Format unterst tzt 3 Suchen Sie die durch eckige Klammern gekennzeichnete Zeilengruppe die mit der zu erstellenden Zeilengruppe identisch ist 4 Kopieren Sie diese Zeilen
51. kann so angepasst oder umgeschrieben werden dass zus tzliche Verarbeitungsoperationen ausgef hrt werden k nnen Hierzu geh rt z B das Pr fen des Identit tsnachweises und oder der Berechtigung eines Benutzers f r den angeforderten Zertifikatstyp durch die interaktive Kommunikation mit anderen Anwendungen oder Services innerhalb des Unternehmens Bei dem Beispiel Regel Exit kann es sich um eine in einer beliebigen Programmiersprache geschriebene Komponente wie beispielsweise eine C oder Shell Komponente etc han deln Die folgenden Schritte illustrieren ein Szenario bei dem allen Membern deren automatische Genehmigung angefordert wurde die Werte OZBUGS OUZITS O TWT OU DEV zuge ordnet wurden 1 Andern Sie den zum Programmpaket von Tivoli PKI geh rigen Beispiel Regel Exit auto approve entsprechend Ihren Anforderungen a ndern Sie in der Datei auto approve cpp die folgende Zeile const char decision default bpvars findVariable decision default In folgenden Code const char decision default bpvars findVariable decision default const char OU bpvars findVariable OU const char 0 bpvars findVariable 0 b ndern Sie in der Datei auto approve cpp folgendes Codesegment if strstr decision default approve cerr lt lt now lt lt Request is Approved n response addVariable reqStatus Approved In folgendes Segment if strstr decision default approve
52. kleiner zu halten als wenn die Regeln in allen Profilen wiederholt werden m s sen Tivoli PKI Anpassung 29 ueDunjoejne3 E 30 Profilverarbeitung Wenn eine Zertifikatsanforderung ausgef llt und genehmigt ist wird sie zur Verarbeitung an den RA Server weitergeleitet Der RA Server ruft die Anforderung aus der RA Datenbank ab und erstellt aus dem Inhalt der RA Datenbankanforderung Anforderungs und Gesch fts prozessvariablen einen Pool mit Datenvariablen Alle Gesch ftsprozessvariablen berschrei ben die entsprechenden Anforderungsvariablen Dieser Ansatz erm glicht es dass die Regel Exits Ihres Unternehmens auf den Inhalt von Zertifikaten angewendet werden Hierzu werden entsprechende Definitionen in die Gesch ftsprozessvariablen eingebunden Der RA Server pr ft die Anforderung auf das Vorhandensein einer PKIX Zertifikatsan forderung PKCS 10 oder eines Netscape SPK Objekts SPK Signed Public Key Wird eine dieser Komponenten festgestellt werden sie ber eine syntaktische Analyse in eine andere Variablengruppe eingelesen Momentan werden vom RA Server nur die folgenden Werte extrahiert m Name des Zertifikatsgegenstandes m RDNs f r den Namen des Zertifikatsgegenstandes m Zertifikatserweiterungen m Informationen zu den ffentlichen Schl sseln Beachten Sie hierbei dass Anforderungen des Browsers Netscape nur den ffentlichen Schl ssel und eine Abfrage in ihren Anforderungsobjekten bereitstellen Dar ber hina
53. mit MD2 in dem PEM Proto kollen verwendet MD2 Eine Nachrichtenauszugs Hash Funktion auf 128 Bit Basis die von Ron Rivest entwickelt wurde Sie wird zusammen mit MD5 in den PEM Protokollen verwendet Modulus In dem auf ffentlichen Schl sseln basierenden RSA Verschl sselungssystem das Produkt n aus zwei hohen Primzahlen p und q Die optimale Gr e f r einen RSA Modulus h ngt von den individuellen Sicherheitsan forderungen ab Je gr Ber der Modulus desto h her die Sicherheit Die momentan von den RSA Laboratories empfohlenen Schl sselgr en h ngen vom geplanten Einsatz des Schl ssels ab Hierbei werden 768 Bit f r Schl ssel zum pers nlichen Gebrauch 1024 Bit f r den Unternehmensbereich und 2048 Bit f r extrem wertvolle Schl ssel wie z B CA Schl sselpaare angegeben Ein 768 Bit Schl ssel wird voraussichtlich bis mindestens zum Jahr 2004 sicher sein Multipurpose Internet Mail Extensions MIME Eine frei verf gbare Gruppe von Spezifikationen die den Austausch von Text in Sprachen mit unterschiedlichen Zeichens tzen erm glicht Diese Spezifikationen unterst tzen auch den Austausch von Multimedia E Mail zwi schen unterschiedlichen Computersystemen die Internet Mail Standards verwenden So k nnen E Mail Nachrich ten beispielsweise andere Zeichens tze als den US ASCII Satz sowie erweiterten Text Bilder oder Tondaten ent halten Tivoli PKI Anpassung 125 Jesso 5 126 Nachrichtenauszug Eine irreversible Fu
54. oder Einheiten werden im Allgemeinen als Bl tter einer solchen Baum struktur dargestellt Diese Benutzer Organisationen Standorte Lander und Einheiten haben jeweils ihren eigenen Eintrag Jeder Eintrag besteht aus Attributen denen verschiedene Typen zugewiesen sind Diese enthalten Infor mationen zu den Objekten f r die der jeweilige Eintrag steht Jeder Eintrag im Directory ist mit einem zugeordneten registrierten Namen DN Distinguished Name verbun den Dieser ist eindeutig wenn der Eintrag ein Attribut umfasst das f r das tats chliche Objekt als eindeutig bekannt ist Im folgenden DN Beispiel wurde als Land C Country US als Unternehmen O Organization IBM als Unternehmenseinheit OU Organization Unit Trust und als allgemeiner Name CN Common Name der Wert CAl angegeben C US 0 IBM OU Trust CN CAl Directory Server In Tivoli PKI das IBM Directory Dieses Directory unterst tzt die LDAP Standards und verwendet DB2 als Basissystem Distinguished Encoding Rules DER Durch DER werden bestimmte Einschr nkungen f r BER definiert Mit DER kann genau ein bestimmter Verschl sselungstyp aus den verf gbaren und auf der Basis der Verschl sselungsregeln als zul ssig definierten Typen ausgew hlt werden Hierdurch werden alle Senderoptionen eliminiert DL Data Storage Library Datenspeicherbibliothek DN Distinguished Name Registrierter Name Dokumentverschl sselungsschl ssel DEK Normalerweise ein symmetris
55. selectedOUC null selectedOUC equals selectedOUC ITS Generate the OU dropdown list items l for int i 0 i lt numOfOrgUnit i Determine if current item needs to be preselected if ouCodes i equals selectedOUC selectedLb l SELECTED else selectedLbl Create the list item out println lt OPTION VALUE ouCodes i V selectedLbl gt STRING OU i ouCodes i gt lt SELECT gt lt TD gt lt TR gt lt Country C gt lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING InputFieldHelps 12 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 12 gt lt STRING Colon gt lt STRONG gt lt STRING Spacer gt lt STRING RequiredLbl Ss lt errorFlags 12 gt lt FONT gt lt BR gt lt SELECT NAME lt inputFieldNames 12 gt SIZE 1 gt Version 3 Release 7 1 lt E E k k k KK 3k k k KER AKER he ke he eee ke khe KK AKA ke eee eee eee eee Create dropdown list of ISO 3166 country names and codes ftp ftp ripe net iso3166 countrycodes KKKKKKKK KKK KKK KKK KKK KKK KKK KKK x k xx Optional Translatable Strings STRING CountryNames 0 238 leave the country name in English if not tran
56. so konfiguriert dass Teile dieser Tasks automatisch ausgef hrt und die Registrie rungsdaten von einem Programm bewertet werden In anderen F llen werden alle Entschei dungen von einem Registrator getroffen Die RA von Tivoli PKI verarbeitet alle Anforderungen Wird eine Anforderung genehmigt stellt der ICA von Tivoli PKI ein aus Sowohl die Registrierungsanforderungen als auch die Zertifikate werden in einer verschl sselten Datenbank gespeichert Die Tivoli PKI Registrierungsfunktion f r Ihre IR verf gt ber die im Folgenden aufgef hrten Funktionen und Elemente Einige dieser Komponenten k nnen ange passt werden Registrierung Diese Softwarekomponente umfasst Registrierungs Web Seitenl auf denen Antrag steller Zertifikate anfordern und sp ter ber ihren Web Browser empfangen k nnen Sie k nnen eigene Unternehmensregeln f r den Registrierungsbrozess anwenden und hierbei auch die Funktionsweise der Web Seiten und die R ckmeldungen an Benut zer zum Status ihrer Anforderungen anpassen Tivoli PKI Anpassung 1u9jsi qn Z Genehmigungsverarbeitung Der Genehmigungsprozess unterst tzt die Registrierung und Zertifizierung Er umfasst einen Regel Exit der zum Automatisieren der Registrierung oder zum Anwenden Ihrer DI bei der Registrierung und Zertifizierung eingesetzt werden kann Sie k nnen einen Regel Exit auch zur Bereitstellung von Informationen f r eine Ihrer eigenen Anwendungen benutzen Registrierung
57. sselte Zeichenfolge die f r die ID steht die f r eine Registrierungsan forderung generiert wurde Tivoli PKI Anpassung 65 ueuoneulojul ZU919J9H G Anforderungsprofilname Mit dieser Option wird die Verarbeitung der Registrierungsanforderung gesteuert Dieses Profil enth lt eine Schablone f r das Zertifikat Die Werte in diesem Profil berschreiben alle anderen nderungen die Sie m glicherweise vorgenommen haben Der Abschnitt enth lt eine Beschreibung der Merkmale der Zertifikate die den einzelnen Anforderungsprofilen zugeordnet sind Anmerkung Im RA Desktop werden dem Registrator m glicherweise zwei Anforderungsprofile angezeigt Hierbei kann eines unter den Attribu ten f r Anforderungen und das andere bei den Basisattributen aufge listet werden Dies bedeutet dass das Anforderungsprofil zu einem bestimmten Zeitpunkt von einem Registrator berschrieben wurde Das Profil in den Attributen f r die Anforderung wurde zusammen mit anderen Attributen der Registrierungsanforderung tempor r inaktiviert Das Profil in den Basisattributen ist das ren Anforderungsstatus Der der Registrierungsanforderung Dieser Status wird im Aktionsprotokoll angezeigt Eine Beschreibung der verschiedenen Statuswerte finden Sie in Anforderungsvariablen Werte die der Antragsteller w hrend des Registrierungsprozesses angegeben hat RA Aktionen Die folgenden Aktionen stehen f r die Registrierungsfunktion und den Registrator zur
58. ssen die Namen exakt in der angegebenen Schreibweise unter Ber cksichtigung der Gro Kleinschreibung eingeben Die Angabe request CN stimmt z B nicht mit der Angabe request cn berein Profilregeln und definitionen Das Zertifikatsprofil wird mit zahlreichen Definitionen geliefert Die im Beispielzertifikats profil enthaltenen Kommentare und Beispiele bieten umfangreiche Informationen zu den Regeln die in einem Profil definiert werden k nnen Im vorliegenden Dokument sollen die wichtigsten Felder beschrieben werden Zus tzliche Informationen k nnen Sie dem zum Lie ferumfang von Tivoli PKI geh renden Beispielzertifikatsprofil entnehmen display name Dieses Feld definiert den Namen der dem Benutzer bei der Verwendung der Tivoli PKI Registrierungsformulare oder des RA Desktop angezeigt wird Beispiel display name S MIME Certificate Valid for 1 Year required fields Dieses Attribut enth lt eine durch Kommas begrenzte Liste mit Namen von Feldern die zum erfolgreichen Ausf hren des Zertifikatsprofils erforderlich sind Die verf g baren Felder sind unter Tivoli PKI definiert Sie k nnen au erdem zus tzliche Felder definieren Es wird empfohlen Leerzeichen zu vermeiden und zu ber cksichtigen dass bei allen Feldnamen die Gro Kleinschreibung beachtet werden muss Beispiel required fields first name last name email address issuerName Dieses Attribut gibt den Namen des Zertifikatsausstellers CA an an den der R
59. title gt TrustAuthority Credential Enrollment TITLE META HTTP EQUIV Content Type CONTENT text html charset UTF 8 gt lt BODY TEXT 000000 BGCOLOR FFFFFF LINK 006699 VLINK 006699 ALINK 006699 gt lt P gt lt CENTER gt lt TABLE WIDTH 600 BORDER 0 CELLSPACING 0 gt JAVA lt import java io java util javax servlet http HttpUtils java net com ibm irg ra css com ibm irg ra afw approver gt Obtain instance of Approver and create raconfig object try Approver approver ApproverFactory getInstance urlString raConfig raconfig approver getRaConfig appDomain approver getApplicationDomain Page_Enroll_NSBrowserSSLCert raconfig find appDomain Page Enroll NSBrowserSSLCert catch Exception e JavaScript SCRIPT LANGUAGE JavaScript I function ReplaceSubstring theString outString inString var index 0 while index theString indexOf outString index gt 0 theString theString substring 0 index inString theString substring index outString length index inString length return theString gt lt SCRIPT gt Speichern Sie vor dem Editieren eine Sicherungskopie der Originaldatei Die Anderungen k nnen mit einem UTF 8 fahigen Texteditor vorgenommen werden Wenn Sie eine der Dateien umbenennen oder eigene Dateien hinzuf gen oder anstatt der Standarddateien ver wenden m ssen Sie die Namen in der Kon nde
60. und die sichere bertragung von E Mails Tivoli PKI Anpassung Pd HOALL nz ueuoneuuoJu L Eine Webverwaltungsschnittstelle Tivoli PKI RA Desktop erm glicht autorisierten Registratoren das Genehmigen oder Zuriickweisen von Registrierungsanforderungen sowie das Verwalten von Zertifikaten nach deren Ausstellung Ein Pr fsubsystem berechnet einen Nachrichtenauthentifizierungscode Message Authen tication Code MAC f r jeden Protokolleintrag Wenn Pr fdaten nach ihrer Aufzeich nung in der Pr fdatenbank ge ndert oder gel scht werden k nnen Sie diese Manipula tion mit Hilfe des MAC feststellen Regel Exits erm glichen Anwendungsentwicklern die Anpassung der Registrierungs prozesse Integrierte Unterst tzung f r eine Steuerkomponente zur Verschl sselung Zur Authenti fizierung der Kommunikation werden die Tivoli PKI Hauptkomponenten mit einem werkseitig generierten privaten Schl ssel unterzeichnet Sicherheitsobjekte wie beispiels weise Schl ssel und MACs werden verschl sselt und in gesch tzten Bereichen den so genannten KeyStores Schl sselspeichern gespeichert Integrierte Unterst tzung f r IBM Directory Das Directory speichert Informationen zu g ltigen und widerrufenen Zertifikaten in einem LDAP kompatiblen Format Integrierte Unterst tzung f r IBM WebSphere Application Server und IBM HTTP Ser ver Der Webserver arbeitet mit dem RA Server zusammen um Nachrichten zu ver schl sseln Anforderungen zu auth
61. verwenden Speichern Sie vor dem Editieren eine Sicherungs kopie der Originaldatei Die Anderungen k nnen mit einem UTF 8 fahigen Texteditor vorge nommen werden Wenn Sie ein Profil umbenennen oder eigene Profile hinzuf gen oder anstatt der Standardprofile verwenden m ssen Sie die Namen in der Konfigurationsdatei der Registrierungsfunktion ndern um diese Anderungen wirksam zu machen Version 3 Release 7 1 Zertifikatsprofile werden in einer Konfigurationsdatei fiir Zertifikatsprofile gespeichert Dateiname certificate_profiles cfg Adresse Unterverzeichnis etc f r Ihre Registrierungsdom ne Dateiinhalt Configuration File Structure Global definitions CA name LDAP Directory name keyUsage values allow default priority validityNotBefore validityNotAfter subjectName components C 0 0U etc Stanza specific definitions S MIMECertlYear CA Name LDAP Directory Name display name S MIME Certificate 1 year validityNotAfter range 0 365 validityNotAfter default 365 Three ways of certificate extension definition form variables pkcs10 certificate profile policy exit Bereitgestellte Profile Antragstelled oder Personen die f r andere Personen eine orabresistrierund durch f hren k nnen einen passenden Zertifikatstyp anfordern Die einem Antragsteller zur Verf gung stehende Liste h ngt von der Art der durchzuf hrenden Registrierung ab Die Liste die f r Registratoren bereitgestellt wird richtet sich nach
62. von Schl sseln 40 Tivoli PKI stellt eine Funktion zur Verf gung mit der die Sicherung und Wiederherstellung von Schl sseln angefordert werden kann Diese Funktion erm glicht die Sicherung und Wie derherstellung von Endentit tszertifikaten und den zugeh rigen privaten Schl sseln die von Tivoli PKI zertifiziert wurden Mit Hilfe dieser Funktion K nnen verlorene vergessene oder anderweitig abhanden gekom mene Zertifikate und private Schl ssel wiederhergestellt werden Betrachten Sie folgendes Szenario als Beispiel Ein Angestellter f hrt routinem ig eine Sicherung seiner Zertifikate und privaten Schl ssel aus und scheidet dann pl tzlich aus der Firma aus ohne alle priva ten Schl ssel zur ckzugeben die f r den Zugriff auf diese Informationen erforderlich sind Durch Ausgabe einer Wiederherstellungsanforderung k nnen Sie Informationen abrufen die vormals verloren gewesen w ren Im Allgemeinen umfasst der Sicherungsprozess die Erstellung einer PKCS 12 Datei durch den Benutzer Diese Datei enth lt das Zertifikat und den privaten Schl ssel des betreffenden Benutzers Der Benutzer gibt ber einen unterst tzten Browser eine Sicherungsanforderung aus und verwendet dabei die PKCS 12 Datei als Eingabe Die Datenbank krbdb f r die Wiederherstellung von Schl sseln wird aktualisiert und enth lt die entsprechenden Zugriffs informationen Die Wiederherstellung von Schl sseln funktioniert auf hnliche Weise Zun chst wi
63. von Websei ten gelten Directory Eintr ge w hrend der Registrierung erstellen Im Rahmen der Erstellung von Directory Eintr gen w hrend der Registrierung m ssen Sie den folgenden Parameter in der Datei raconfig cfg angeben ldap autoCreate entries false this variable is boolean true or false Das Gesch ftsprozessobjekt LDAPCreateEntries verf gt ber zwei Betriebsarten m Wurde f r den Parameter ldap autoCreate entriesz der Wert false definiert f hrt das Gesch ftsprozessobjekt LDAPCreateEntries keine Verarbeitungsoperation durch und im Directory werden keine Eintr ge erstellt Dies ist die Standardbetriebsart Version 3 Release 7 1 B Wurde f r den Parameter ldap autoCreate entriesz der Wert mue definiert ruft das Gesch ftsprozessobjekt LDAPCreateEntries den Service LDAPPolicy auf m Wenn Sie f r das Argument PolicyClass keinen Wert angeben wird die Anwendung keiner Regel erzwungen und im Directory wird automatisch ein Eintrag erstellt Hinzuf gen eines Registrierungsfelds Wenn Sie eine lb ngi zu einem der hinzuf gen wollen k nnen Sie ein Feld zum Registrierungsformular hinzuf gen um diese Erweiterung zu ber cksichtigen Gehen Sie hierzu wie folgt vor 1 Erstellen Sie eine Sicherungskopie der SP Dateil die das zu ndernde Registrierungs formular enth lt 2 ffnen Sie die Datei mit einem Editor der das UTF 8 Format unterst tzt 3 Suchen Sie die Position an der d
64. 3 E Zertifikatsaussteller Unter Tivoli PKI ist der Zertifikatsaussteller CA Certificate Authority als Server Pro gramm implementiert das zur Tivoli PKI Registrierungsfunktion geh rt Es dient zum Aus stellen digitaler Zertifikate in Ubereinstimmung mit den Regeln Ihres Unternehmens Der CA verf gt ber Schnittstellen zur RA und verwaltet den Zertifizierungsvorgang Er fun giert als vertrauensw rdiger Dritter und stellt sicher dass Benutzer die im e business t tig sind sich gegenseitig vertrauen k nnen Er b rgt mittels der von ihm ausgestellten Zerti fikate f r die Identit t von Benutzern Das Zertifikat enth lt einen ffentlichen Schl ssel mit dem andere Benutzer verschl sselte Daten an den Benutzer senden k nnen dem das Zertifi kat geh rt Der private Schl ssel der zu dem im Zertifikat definierten ffentlichen Schl ssel geh rt erm glicht dem Benutzer die Unterzeichnung von Daten In einem solchen Sicherheitsmodell h ngt die Vertrauensw rdigkeit der Kommunikations teilnehmer von dem Vertrauen ab das in den Zertifikatsaussteller gesetzt werden kann der die Zertifikate ausstellt Um die Integrit t eines Zertifikats sicherzustellen leistet der CA im Rahmen der Erstellung eine digitale Unterschrift auf dem Zertifikat Durch Versuche das Zertifikat zu manipulieren wird die Unterschrift ung ltig und das Zertifikat unbrauchbar Weitere Informationen zum Zertifikatsaussteller CA von Tivoli PKI finden Sie im
65. 66 automatische 3 23 ben tigte Regeln 24 Notwendigkeit 3 Tasks des Registrators 3 Unternehmensregel anwenden 23 Web Browser Unterst tzung 21 Registrierungs Web Seiten 20 43 48 CA Zertifikat fiir die Verwendung 27 Felder f r die Zertifikatsanforderung 59 Felder fiir Registrierungsinformationen 56 Java Server Seiten 48 Zweck 20 Registrierungsanforderung auswerten 23 automatische Auswertung 23 Datenbanksatz 25 G ltigkeitsdauer 25 Registrierungsformular 19 Status 67 Verarbeitung durch RA 3 verwendete Profile 40 Vorabregistrierung 19 21 Web Browser Unterstiitzung 21 Web Seiten 20 Registrierungsattribute 65 Registrierungsdaten 65 Registrierungsdatenbank 3 24 Zugriffseintrag 51 Registrierungsdom ne 3 24 39 Registrierungsformular Felder hinzufiigen 7 Registrierungsformularfelder 56 66 Registrierungsfunktion 20 anpassbare Elemente 19 Bildmaterial hinzufiigen 9 Konfigurationsdatei 51 URL Adresse 10 Verbindung herstellen 10 Registrierungsfunktion definiert 3 Registrierungsinformationen Felder 56 Registrierungss tze 25 Attribute 24 Verarbeitung durch RA 3 Registrierungsstelle 24 Registrierungstext ndern 9 Registrierungstypen 19 139 xapuj S Schemaobjektklassen angeben 36 Schl ssel besch digt 62 Schl sselsicherung und wiederherstellung automatische Genehmigung 17 Beschreibung 40 Genehmigung automatisieren 17 inaktivieren 16 Schl sselwiederherstellung 16 40 Schnitts
66. A Server die Zertifikatsanforderung zur Unterzeichnung bergibt Dieser Wert stimmt im Allgemeinen mit dem Attribut subjectName des CA Zertifikats berein Er muss im OSF Format definiert werden Es ist zwar m glich f r jedes Zertifikats profil einen unterschiedlichen Zertifikatsaussteller zu definieren momentan wird von Tivoli PKI jedoch nur ein Zertifikatsaussteller pro RA Server unterst tzt Aus diesem Grund ist es gegenw rtig am besten issuerName als globale Definition festzulegen Beispiel issuerName C US 0 Your Company OU Your Organization CN Your CA Tivoli PKI Anpassung ueDunjejne3 E issuer Directory Dieses Attribut gibt die URL Adresse an die auf das Verzeichnis zeigt in dem Tivoli PKI das CA Zertifikat sowie die Zertifikate ver ffentlicht die vom Zerti fikatsaussteller unterzeichnet wurden Dieses Verzeichnis Directory wird zum Abru fen des CA Zertifikats und zum Lokalisieren von Endbenutzerzertifikaten fiir die Verwendung durch die Registrierungs und Genehmigungskomponente sowie den RA Server von Tivoli PKI eingesetzt Beispiel issuerDirectory ldap your ldap server yourcomany com 389 subjectName Diese Regel definiert den Inhalt eines von Tivoli PKI ausgestellten Zertifikats Das zugeh rige Feld definiert eine Reihe von RDN Kandidaten aus denen sich das Attri but subjectName des Zertifikats zusammensetzt Alle RDN Felder die nach der Symbolsubstitution keinen Wert enthalten werden aus dem Feld ent
67. Click lt E mail address is missing while e mail notification is selected gt if MissingEmailAddressAlert return false lt missing cust info gt if MissingCustInfoAlert return false lt Generate PKCS 10 cert request and copy cert attributes to RegForm gt if CreatePKCS10CertReq return false return true Ws lt FORM gt lt CENTER gt Angeben der Seite die nach dem Herunterladen des Zertifikats aufge rufen werden soll Im LoTo Organization Beispiel wollen Sie nach dem Herunterladen des Zertifikats zur Homepage des Unternehmens zur ckkehren Gehen Sie wie folgt vor um alle Dateien Approve jsp entsprechend zu ndern 1 ndern Sie in der Datei _Approve jsp folgendes Codesegment lt INPUT TYPE button VALUE Return to Identit tsnachweis Verwaltung onClick top location lt PUBLIC_SERVER_URL_PATH gt lt JSP_MOUNT POINT gt lt Page Home gt gt In folgendes Segment lt INPUT TYPE button VALUE Return to Company Web page onClick top location http mycompany homepage com gt Grafiken ersetzen Sie k nnen die Grafikdateien in JSP Dateien so ndern dass auf Ihre Dateien verwiesen wird Im vorliegenden Beispiel werden die folgenden Dateien durch angepasste GIF Dateien ersetzt m SW Bannergif m SW Logo gif m TA_Banner gif Tivoli PKI Anpassung 107 jaidsieqsbunsseduy 9 Wechseln Sie von der generischen Datei Trust
68. Client Server Protokoll im Internet das zum bertragen von Dateien zwischen Computern benutzt wird Firewall Ein Gateway zwischen Netzen der den Informationsfluss zwischen diesen einschr nkt Normalerweise dienen Firewalls dem Schutz interner Netze gegen die nicht berechtigte Verwendung durch externe Personen FTP File Transfer Protocol Gateway Eine Funktionseinheit mit deren Hilfe nicht kompatible Netze oder Anwendungen Daten austauschen k nnen Gegenseitige Zertifizierung Ein Trust Modell bei dem ein CA f r einen anderen CA ein Zertifikat ausstellt das den ffentlichen Schl ssel enth lt der dem entsprechenden privaten Unterschriftsschl ssel zugeordnet ist Ein gegenseitig zertifiziertes Zerti fikat erm glicht Client Systemen oder Endentit ten in einer Verwaltungsdom ne die sichere Kommunikation mit Client Systemen oder Endentit ten in einer anderen Dom ne Gesicherte Computerbasis TCB Die Software und Hardwareelemente die zur Umsetzung der Computersicherheitsregeln eines Unternehmens verwendet werden Alle Elemente oder Teilelemente die zur Implementierung der Sicherheitsregeln eingesetzt werden k nnen sind sicherheitsrelevant und Bestandteil der TCB Bei der TCB handelt es sich um ein Objekt das durch die Sicherheitsperipherie begrenzt wird Die Mechanismen die zur praktischen Umsetzung der Sicherheitsregeln eingesetzt werden d rfen nicht umgangen werden k nnen und m ssen verhindern dass Pro gramme Zugriff au
69. Company macht keine Angaben zur Eignung dieser Software f r bestimmte Zwecke Sie wird ohne Modifikationen und ohne Gew hrleistung bereitgestellt Dieses Programm enth lt STL Software STL Standard Template Library von Silicon Graphics Computer Systems Inc Copyright c 1996 1999 m Die Berechtigung zum Verwenden Kopieren ndern Verteilen und Verkaufen dieser Software sowie der zugeh ri gen Dokumentation f r die gew nschten Zwecke wird hiermit geb hrenfrei erteilt Voraussetzung hierf r ist aller dings da der o a Copyrightvermerk auf allen Kopien erscheint und da sowohl dieser Copyrightvermerk als auch dieser Berechtigungshinweis in der zugeh rigen Dokumentation aufgef hrt werden Silicon Graphics macht keine Angaben zur Eignung dieser Software f r bestimmte Zwecke Sie wird ohne Modifikationen und ohne Gew hrleistung bereitgestellt Andere Namen von Unternehmen Produkten oder Dienstleistungen k nnen Marken oder Dienstleistungsmarken anderer Unternehmen sein Tivoli PKI Anpassung Version 3 Release 7 1 Inhaltsverzeichnis Nhi nl u aa Ix yan PC DT ix Referenzinformationen uuu eas Ra E te e ec bet repre en One egere e bids err skua acd ix Inhalt des Handbuch vn y taya sas 202 22a RUE E NS RUE RAV RACER UR PPP dude X In diesem Handbuch verwendete Konventionen xi Kundenunterst tzung anfordern sassa uwa qawas qumae qawas awa re xi Tivol
70. CountryNames 44 STRING CountryNames 45 STRING CountryNames 46 STRING CountryNames 47 STRING CountryNames 48 STRING CountryNames 49 STRING CountryNames 50 STRING CountryNames 51 STRING CountryNames 52 STRING CountryNames 53 STRING CountryNames 54 STRING CountryNames 55 STRING CountryNames 56 STRING CountryNames 57 STRING CountryNames 58 STRING CountryNames 59 STRING CountryNames 60 STRING CountryNames 61 STRING CountryNames 62 STRING CountryNames 63 STRING CountryNames 64 STRING CountryNames 65 STRING CountryNames 66 STRING CountryNames 67 STRING CountryNames 68 STRING CountryNames 69 STRING CountryNames 70 STRING CountryNames 71 STRING CountryNames 72 STRING CountryNames 73 STRING CountryNames 74 STRING CountryNames 75 STRING CountryNames 76 STRING CountryNames 77 STRING CountryNames 78 STRING CountryNames 79 STRING CountryNames 80 STRING CountryNames 81 Tivoli PKI Anpassung Bahamas Bahrain Bangladesh Barbados Belarus Belgium Belizev Benin Bermuda Bhutan Bolivia Bosnia And Herzegowina Botswana Bouvet Island Brazil British Indian Ocean Territory Brunei Darussalam Bulgaria Burkina Faso Burundi Cambodia Cameroon Canada Cape Verde Cayman Islands Central African Republic Chad Chile China Christmas Island Cocos Kee
71. Datenbank damit das Zertifikat auf Anforderung des Benutzers geliefert werden kann Wenn der Benut zer das Zertifikat abruft pr ft Approver Framework die Anforderung um alle erforderlichen Eintr ge im Verzeichnis Directory zu erstellen Die zum Erstellen der Eintr ge verwendeten Datentypen werden durch die in einem bestimmten Zertifikatsprofil enthaltenen Regeln und Definitionen gesteuert Version 3 Release 7 1 Momentan werden von Approver Framework nur die folgenden Werte extrahiert m Directory Objektklassen m Directory Attribute Im Allgemeinen f hren Leerwerte dazu dass der RA Server oder Approver Framework die Definition ignoriert oder aus dem Zertifikatsobjekt das zusammengestellt wird l scht Wenn die Regel f r das Attribut subjectName eines Zertifikats z B eine Definition f r locality enth lt in den Datenpools oder im Profil jedoch kein Wert f r locality gefunden wurde wird der RDN aus dem generierten Attribut subjectName des Zertifikats gel scht Die bevorzugte Verarbeitungsreihenfolge bei der Symbolersetzung wird im Profil definiert Sie k nnen diese entsprechend Ihren individuellen Anforderungen anpassen Die Standard priorit t bevorzugt Daten aus der Registrierungsanforderung gegen ber Werten die in PKIX und PKCS 10 Objekten gespeichert sind Diese Priorit tenregelung stellt sicher dass im Zertifikat immer die urspr nglichen Registrierungsinformationen verwendet werden unab h ngig davon ob v
72. E1C4 gt lt FONT SIZE 2 gt lt STRING InputFieldHelps 12 Ss lt FONT gt lt TD gt A A 0 lt i o lt i 0 lt i lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt Tivoli PKI Anpassung jaidsieqsbunsseduy 9 78 lt STRING InputFieldLbls 12 Ss lt STRING Colon gt lt STRONG gt lt STRING Spacer gt lt STRING RequiredLbl Ss lt errorFlags 12 gt lt FONT gt lt BR gt lt SELECT NAME lt inputFieldNames 12 gt SIZE 1 gt o lt 5 EE Create dropdown list of ISO 3166 country names and codes ftp ftp ripe net iso3166 countrycodes kkkxkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk k Optional Translatable Strings STRING CountryNames 0 238 leave the country name in English if not translatable kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk int numOfCountries 239 String STRING_CountryNames String numOfCountries String countryCodes String numOfCountries countryCodes 0 countryCodes 1 countryCodes 2 countryCodes 3 countryCodes 4 countryCodes 5 countryCodes 6 countryCodes 7 countryCodes 8 countryCodes 9 countryCodes 10 countryCodes 11 countryCodes 12 countryCodes 13 countryCodes 14 countryCodes 15 countryCodes 16 countryCodes 17 countryCodes 18 countryCodes 19 AF AL jz AS AD AQ AI
73. Error information added to the database ca rev rej reason added to db CA s revocation rejection reason added to the database cert confirmed updated in db Certificate delivery confirmed status updated in the database cert delivered updated in db Certificate delivered confirmation status updated in the database jnh request id added to db Jonah request identifier added to the database Name der RA Desktop Konfigurationsdatei Das folgende Beispiel zeigt die Standardzeile f r diese Angabe Sie sollte in der von Ihnen verwendeten Datei das u a Format aufweisen F r Windows raprofiles C PROGRA 1 IBM TRUSTA 1 pkrf Domains YourDomain etc raprofiles cfg Fir AIX raprofiles usr 1lpp iau pkrf Domains YourDomain etc raprofiles cfg Version 3 Release 7 1 URL Adresse fur RA Desktop Das folgende Beispiel zeigt die Standardzeile fiir diese Angabe Sie sollte in der von Ihnen verwendeten Datei das u a Format aufweisen RAD CLIENT AUTH URL PATH https ClientAuthWebServer 1443 YourDomain Name der Schablonendatei f r Geschaftsprozesse Das folgende Beispiel zeigt die Standardzeile f r diese Angabe Sie sollte in der von Ihnen verwendeten Datei das u a Format aufweisen F r Windows bptemplatefile C PROGRA 1 IBM TRUSTA 1 pkrf Domains YourDomain etc BPTemplates txt F r AIX bptemplatefile usr 1pp iau pkrf Domains YourDomain etc BPTemplates txt Approver Framework Services und Parameter Das folgende Beispiel zeigt die Standardzeile
74. IME Basic Encoding Rules BER Die Regeln die in ISO 8825 f r die Verschl sselung von in ASN 1 beschriebenen Dateneinheiten angegeben sind Die Regeln geben das Verschl sselungsverfahren jedoch nicht die abstrakte Syntax an Benutzerauthentifizierung Der Prozess mit dem berpr ft wird ob der Absender einer Nachricht die berechtigte Person ist als die er sich ausgibt Der Prozess berpr ft au erdem ob ein Kommunikationsteilnehmer auch tats chlich mit dem erwarteten Endbenutzer oder System in Verbindung steht BER Basic Encoding Rules Berechtigung Die Erlaubnis auf eine Ressource zuzugreifen Bestreiten Etwas als unwahr zur ckweisen Dies ist z B dann der Fall wenn ein Benutzer abstreitet eine bestimmte Nach richt gesendet oder eine bestimmte Anforderung bergeben zu haben Browser Siehe Web Browser Browser Zertifikat Ein digitales Zertifikat das auch als Zertifikat der Client Seite bezeichnet wird Es wird von einem CA ber einen f r SSL aktivierten Web Server ausgestellt Die Schl ssel in einer verschl sselten Datei erm glichen dem Inhaber des Zertifikats das Verschl sseln Entschl sseln und Unterzeichnen von Daten Normalerweise werden diese Schl ssel im Web Browser gespeichert In bestimmten Anwendungen k nnen die Schl ssel auf Smart Cards oder anderen Speichermedien gespeichert werden Siehe auch Digitales Zertifikat Bytecode Maschinenunabh ngiger Code der mit dem Java Compiler generiert und mi
75. N Iq Zur4214 1829 425M04 g 4240 dx7 12u42 u 42p 19q ANN sozjes essn Qog uonou sop oumN eure NADY MON uojyemsne oreedjossn yIS uouopueuloA Iop s ur pun uou JJO o1srT AP Jopo uo qgAsne USIILIIUIZ3 zjespossnpgog u n N uondo erp uuex IoJfoIsgenuy I9q Teedjossn ysS opuopuoAJ9A nz seqq 8un4214 5 1824j 125M04g 4240 dx Jausajuy 42p 12q ANN zyes essnpuog eum NIU wuy UJOSSNJYO UOA Sunjessnpuos1oA 3tg p COT AP IZS Iojun 1opiAo4q orgde180j1dAr psoueyug jjoso A JOAN m o paepuejs Jop IST SA up essnpqos UOA Sun essn uosJoA 3rg c 6 AP jamisiojun 1oprAo4gq orgde13oj1d r aseg jjosologA dOgd IN m Uo U A Sn JISAA UU Jory uut Io o sS8euy 1q Hu essnpgyog wayward pun ureuorpuogjo sne mud sep Jap 9jerqueoorAJessSun essn u9s1oA PA uoi IIPIOJIH 3un421481824 425M04g 4240 dX7 12u42 uJ 42p 12q ANN PIIM j11oneuoS edeosjoN UOA sep Tossn y9S wead pun uregorpuogjo sne meed sep MJ ogojdS essn qyog S Tyema3sne IC qorropaoprq 3un42141 1823 425MO04g 2dDOS 2N Aap 12q ANN l9jelq ueoorAJossSun ossn U9SI9A ego1S ossnpuog dSO ydsu OPINM j3ierurjop oureN 1s0H uro SunioploJUuesjexrn1oz 014 SOMd Ip ny play uir uum u q Sue ya USAP ssnw Jo ojs8e nuy Joq Usqesasur oureN 1S0H Jap astam JOJEULIOU PIIM oyuq uolopue RUM Jopo 19A19S WUN gJ m uaqososue Sure N eSipugjs OA JOP sti9Au purrou JOY prm USUOSRI PG m SU DI9Z uo onppe sop Suniorzignuop INZ oweN HIT PIPI
76. NG CountryNames 113 STRING CountryNames 114 STRING CountryNames 115 STRING CountryNames 116 STRING CountryNames 117 STRING CountryNames 118 STRING CountryNames 119 STRING CountryNames 120 STRING CountryNames 121 STRING CountryNames 122 STRING CountryNames 123 STRING CountryNames 124 STRING CountryNames 125 STRING CountryNames 126 STRING CountryNames 127 STRING CountryNames 128 STRING CountryNames 129 STRING CountryNames 130 STRING CountryNames 131 STRING CountryNames 132 STRING CountryNames 133 STRING CountryNames 134 STRING CountryNames 135 STRING CountryNames 136 STRING CountryNames 137 STRING CountryNames 138 STRING CountryNames 139 STRING CountryNames 140 STRING CountryNames 141 STRING CountryNames 142 STRING CountryNames 143 STRING CountryNames 144 STRING CountryNames 145 STRING CountryNames 146 STRING CountryNames 147 STRING CountryNames 148 Ghana Gibraltar Greece Greenland Grenada Guadeloupe Guam Guatemala Guinea Guinea Bissau Guyana Haiti Heard And Mc Donald Islands Holy See Vatican City State Honduras China Hong Kong S A R Hungary Iceland India Indonesia Iran Islamic Republic Of Iraq Ireland Israel Italy Jamaica Japan Jordan Kazakhstan Kenya Kiribati Korea Democratic People s Republic Of
77. O JA umN JOUTOWOSTTV NO WoaLIoues gosneurojne SunioploJuy osoip pyra J sAo1g 191Jo dx JOUIOIUT INA 34ungqounp Sunioengsigos ouro Jo o158 emu y Ip AP INJ opunA AUF uojrequrq Mzq uleAIoS Uop uoA orp SuniopioJjues eyrJnio7 ont SOMd Joep i Jaq qorpropaog rq BUT SunIoploJ uesjexrn197 0 T4 SDNd o1soyd adue AWEUISIIZUV projrepnurro q Version 3 Release 7 1 60 5 Referenz informationen PIIM JzJosesule Suniop 1OJUV Jop SunpoqieloA INZ Ap osse y eaAe Nq PIPIA 42u12x Jo pueu jsonbor uioo diooAurArp Aur od Aur Jordsiog UspIOM JopsOJosnV NZI AS uua uv uuep INU Hy u s rp u q 3 1o ojsgeruy ojopuy JOs usp IOM MARSUL JVYNIVZ sJopJojosur sep Jop PML ourgosv A Jop eureN soH Jog 2un4214451824u2 121u1 aip 4nf YINAIPIOFIA 8cI 9SureuuSuguio q oumu ureuiop S1ezogue ejsiqgeAsny ouro PIIM IIH puq sio ojsge nuy sop u ouru u Iojuf sep YSIS Wp ur 5jirzeqsSunj UAJoA Jop Mzq pue T seq x1rzeqssSunj e mio pur UopuoA19A AN IpO X10A M N IopoA jue g Z ueuuo erg ssnur uopioA usgadadue eureN eSrpugisij oA Jop Jopo pira j19ndozye Sunzinyqeprepurys euro qo jurumsoq pura 3zjesesuroe 110p uorpungsSunionstaos erp Jop ut SI A pun UV SIP pun ueurgouioju IU jopurjoq SI ojs8ernuy sop uourgouroju sep YSIS Wp ur pue sopung seq 8cI puv sopung LS Ssueq 1opo OLIO g 2 3 opuu q sIo oIsse nuYy s p uo
78. Policies keyUsage digitalSignature amp keyEncipherment extendedKeyUsage emailProtection clientAuth subjectAl tName rfc822Name MAIL 4 L schen Sie ein Zertifikatsprofil L schen Sie in der Datei certificate_profiles cfg den folgenden Code SSLBROWSERCERTA2YEAR SSLBrowserCert2Year display name Web Client Authentication 2 Year Define Extensions extensions required keyUsage extendedKeyUsage certificatePolicies keyUsage digitalSignature extendedKeyUsage clientAuth Define validityNotAfter values validityNotAfter_range 0 730 validityNotAfter default 730 Anmerkung Beim Hinzuf gen oder L schen von Zertifikatsprofilen m ssen Sie die RA Desktop Konfigurationsdatei raprofiles cfg so ndern dass die gew nschten Zertifikatsprofile dort entweder definiert oder nicht definiert sind Andernfalls kann RA Desktop aufgrund einer Nullzeiger Ausnahmebedingung nicht initia lisiert werden Andern Sie in der Datei raprofiles cfg folgendes Codesegment RequestProfiles S MIMECertlYear S MIMECert2Year IPSecCertlYear IPSecCert2Year SSLServerCertlYear SSLServerCert2Year SSLBrowserCert2Year SSLBrowserCertlYear SignatureOnlyCertlYear SignatureOnlyCert2Year KeyEnciphermentCert2Year KeyEnciphermentCertlYear DataEnciphermentCertlYear DataEnciphermentCert2Year NonRepudiationCert2Year NonRepudiationCertlYear CACrossCertificationRequest 110 Version 3 Release 7 1 In folgendes Segm
79. RA Desktop handelt es sich um ein sicheres Applet Zu seiner Verwendung m ssen Registratoren sich durch die Vorlage des richtigen digitalen Zertifikats authentifizieren Ihre Berechtigung innerhalb der Registrierungsdom ne kann auf bestimmte Aufgaben beschr nkt sein Weitere Informationen zu RA Desktop finden Sie im Handbuch Tivoli PKI RA Desktop Servlet zur Unterst tzung von RA Desktop Das RA Desktop Unterst tzungs Servlet ist eine Tivoli PKI Anwendung die dazu dient Registratoren die Services von RA Desktop zur Verf gung zu stellen Das Servlet gibt Infor mationen zur ck wenn ein Registrator eine Abfrage ausf hrt und aktualisiert Datens tze wenn ein Registrator nderungen an diesen vornimmt Tivoli PKI Anpassung 39 ueDunjoejne3 y Anforderungsprofile Tivoli PKI stellt eine Standardgruppe von Anforderungsprofilen zur Verf gung die Ihr Unternehmen zur Vereinfachung der lRegistrierung und Zenifziennd verwenden kann Ein Anforderungsprofil steuert die Attribute und die Verarbeitung einer Registrierungsan forderung Jedes Anforderungsprofil umfasst eine Schablone f r ein Zertifikat Es gibt ver schiedene Anforderungsprofile f r die unterst tzten Zertifikatskategorien Der Name des Anforderungsprofils f r ein Element ist eines seiner Attribute Falls erforder lich kann bei der Genehmigung der Registrierungsanforderung ein anderes Anforderungs profil angegeben werden Funktion zur Sicherung und Wiederherstellung
80. RONG gt lt STRING InputFieldLbls 10 Ss lt STRING Colon gt lt STRONG gt lt STRING Spacer gt lt STRING OptionalLbl Ss lt errorFlags 10 Ss lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 10 gt SIZE lt sizeOfInputFields gt VALUE lt inputFieldReturnValues 10 gt gt lt TD gt lt TR gt MAXLENGTH 180 MAXLENGTH 128 Version 3 Release 7 1 lt State ST Ss lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING InputFieldHelps 11 Ss lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 11 gt lt STRING Colon gt lt STRONG gt lt STRING Spacer gt lt STRING OptionalLbl Ss lt errorFlags 11 Ss lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 11 gt SIZE lt sizeOfInputFields gt MAXLENGTH 128 VALUE lt inputFieldReturnValues 11 gt gt lt TD gt lt TR gt Entfernen Sie die folgenden Codebl cke aus der Datei IEBrowserSSLCert_ Enroll jsp DN lt inputFieldNames 8 gt document CertReqForm lt inputFieldNames 8 gt value DN lt inputFieldNames 9 gt document CertReqForm lt inputFieldNames 9 gt value DN lt inputFieldNames 10 gt document Cert
81. ReqForm lt inputFieldNames 10 gt value Entfernen Sie die folgenden Codebl cke aus der Datei IEBrowserSSLCert_ Enroll jsp document RegForm lt inputFieldNames 9 gt value document CertReqForm lt inputFieldNames 9 gt value document RegForm lt inputFieldNames 10 gt value document CertReqForm lt inputFieldNames 10 gt value document RegForm lt inputFieldNames 11 gt value document CertReqForm lt inputFieldNames 11 gt value Entfernen Sie die folgenden Codebl cke aus der Datei IEBrowserSSL Cert Enroll jsp 5 Street Address STREET gt lt TR gt TD ALIGN LEFT BGCOLOR FFE1C4 gt FONT SIZE 2 gt lt STRING InputFieldHelps 9 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 9 gt lt STRING Colon gt Tivoli PKI Anpassung 75 jaidsieqsbunsseduy 9 76 lt STRONG gt lt STRING Spacer gt lt STRING OptionalLbl Ss lt errorFlags 9 gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 9 gt SIZE lt sizeOfInputFields gt MAXLENGTH 180 VALUE lt inputFieldReturnValues 9 gt gt lt TD gt lt TR gt lt Locality L lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING InputFieldHelps
82. STRING CountryNames 69 STRING CountryNames 70 STRING CountryNames 71 STRING CountryNames 72 STRING CountryNames 73 STRING CountryNames 74 STRING CountryNames 75 STRING CountryNames 76 STRING CountryNames 77 STRING CountryNames 78 STRING CountryNames 79 STRING CountryNames 80 STRING CountryNames 81 STRING CountryNames 82 STRING CountryNames 83 STRING CountryNames 84 STRING CountryNames 85 STRING CountryNames 86 STRING CountryNames 87 STRING CountryNames 88 STRING CountryNames 89 STRING CountryNames 90 STRING CountryNames 91 STRING CountryNames 92 STRING CountryNames 93 STRING CountryNames 94 STRING CountryNames 95 STRING CountryNames 96 STRING CountryNames 97 STRING CountryNames 98 STRING CountryNames 99 STRING CountryNames 100 STRING CountryNames 101 STRING CountryNames 102 STRING CountryNames 103 STRING CountryNames 104 STRING CountryNames 105 STRING CountryNames 106 STRING CountryNames 107 STRING CountryNames 108 STRING CountryNames 109 STRING CountryNames 110 STRING CountryNames 111 STRING CountryNames 112 STRING CountryNames 113 STRING CountryNames 114 STRING CountryNames 115 STRING CountryNames 116 STRING CountryNames 117 STRING CountryNames 118 STRING CountryNames 119 STRING CountryNames 120 STRING CountryNames 121 STRING CountryNames 122 STRING CountryNames 123 STRING CountryNames 124 STRING CountryNames
83. Signature amp keyEncipherment extendedKeyUsage emai Protection subjectAl tName rfc822Name MAIL subjectName subjectName C C 0 0 OU 0U ST S1 L L PC PC T T CN CN MAIL MAIL Define validityNotAfter values validityNotAfter_range 0 365 validityNotAfter_defaul t 365 Version 3 Release 7 1 Anmerkung Beachten Sie hierbei dass durch die Formatierung des vorliegenden Doku ments die Definitionen f r extensions required und subjectName m gli cherweise mehr als eine Zeile umfassen Im tats chlichen Zertifikatsprofil ist dies jedoch nicht zul ssig Alle Regeldefinitionen m ssen sich in jeweils einer Zeile befinden Die Regel display name definiert den Profiltitel der dem Endbenutzer w hrend der Regis trierung und in RA Desktop angezeigt wird Die Regel required fields definiert die Felder die der Endbenutzer im Registrierungsger st dieses Profils angeben muss Bei Landern in denen zur Darstellung des Attributs display name Nicht ASCII Zeichen erforderlich sind z B f r Japanisch Chinesisch Deutsch Franz sisch etc wird der Wert im UTF 8 codierten Unicode Format angegeben Unicode UTF 8 erlaubt das universelle Codieren von Zeichen und erm glicht Tivoli PKI die gleichzeitige Unterst tzung mehrerer Sprachen auf dem selben System und sogar innerhalb eines Zertifikatsprofils Wenn die Profildatei UTF 8 codierte Daten enth lt muss beim Editieren mit besonderer Vorsicht vo
84. TRING CountryNames 203 STRING CountryNames 204 STRING CountryNames 205 STRING CountryNames 206 STRING CountryNames 207 STRING CountryNames 208 STRING CountryNames 209 STRING CountryNames 210 STRING CountryNames 211 STRING CountryNames 212 STRING CountryNames 213 STRING CountryNames 214 STRING CountryNames 215 STRING CountryNames 216 STRING CountryNames 217 STRING CountryNames 218 STRING CountryNames 219 STRING CountryNames 220 STRING CountryNames 221 STRING CountryNames 222 STRING CountryNames 223 STRING CountryNames 224 STRING CountryNames 225 STRING CountryNames 226 STRING CountryNames 227 STRING CountryNames 228 STRING CountryNames 229 STRING CountryNames 230 STRING CountryNames 231 STRING CountryNames 232 STRING CountryNames 233 STRING CountryNames 234 STRING CountryNames 235 STRING CountryNames 236 STRING CountryNames 237 STRING CountryNames 238 Sudan Suriname Svalbard And Jan Mayen Islands Swaziland Sweden Switzerland Syrian Arab Republic Taiwan Tajikistan Tanzania United Republic Of Thailand Togo Tokelau Tonga Trinidad And Tobago Tunisia Turkey Turkmenistan Turks And Caicos Islands Tuvalu Uganda Ukraine United Arab Emirates United Kingdom United States United States Minor Outlying Islands Uruguay Uzbekistan Vanuatu Ve
85. Tivoli Tivoli Public Key Infrastructure Anpassung Version 3 Release 7 1 SH12 3000 02 Tivoli Tivoli Public Key Infrastructure Anpassung Version 3 Release 7 1 SH12 3000 02 Tivoli Public Key Infrastructure Anpassung Copyrightvermerke Copyright 1999 2001 IBM Corp einschlie lich dieser Dokumentation und aller Software Alle Rechte vorbehalten Kann nur gem der Softwarelizenzvereinbarung von Tivoli Systems bzw IBM oder dem Anhang f r Tivoli Produkte der IBM Nutzungsbedingungen verwendet werden Diese Ver ffentlichung darf ohne vorherige schriftliche Genehmi gung der IBM Corp weder ganz noch in Ausz gen auf irgendeine Weise elektronisch mechanisch magnetisch optisch chemisch manuell u a vervielf ltigt bertragen aufgezeichnet auf einem Abrufsystem gespeichert oder in eine andere Computersprache bersetzt werden Die IBM Corp gestattet Ihnen in begrenztem Umfang eine Hardcopy oder eine Reproduktion einer maschinenlesbaren Dokumentation f r den eigenen Gebrauch zu erstellen unter der Vor aussetzung dass jede dieser Reproduktionen mit dem Copyrightvermerk der IBM Corp versehen ist Weitere das Copy right betreffende Rechte werden nur nach vorheriger schriftlicher Genehmigung durch die IBM Corp gew hrt Die Ver ffentlichung dient nicht zu Produktionszwecken Die in diesem Dokument aufgef hrten Beispiele sollen ledig lich zur Veranschaulichung und zu keinem anderen Zweck dienen Marken AIX DB2 DB2 Un
86. VU VE VN VG VI WF EH yE tiyu ZM ZW 81 jaidsieqsbunsseduy 9 82 STRING CountryNames 0 STRING CountryNames 1 STRING CountryNames 2 STRING CountryNames 3 STRING CountryNames 4 STRING CountryNames 5 STRING CountryNames 6 STRING CountryNames 7 STRING CountryNames 8 STRING CountryNames 9 STRING CountryNames 10 STRING CountryNames 11 STRING CountryNames 12 STRING CountryNames 13 STRING CountryNames 14 STRING CountryNames 15 STRING CountryNames 16 STRING CountryNames 17 STRING CountryNames 18 STRING CountryNames 19 STRING CountryNames 20 STRING CountryNames 21 STRING CountryNames 22 STRING CountryNames 23 STRING CountryNames 24 STRING CountryNames 25 STRING CountryNames 26 STRING CountryNames 27 STRING CountryNames 28 STRING CountryNames 29 STRING CountryNames 30 STRING CountryNames 31 STRING CountryNames 32 STRING CountryNames 33 STRING CountryNames 34 STRING CountryNames 35 STRING CountryNames 36 STRING CountryNames 37 STRING CountryNames 38 STRING CountryNames 39 STRING CountryNames 40 STRING CountryNames 41 STRING CountryNames 42 STRING CountryNames 43 STRING CountryNames 44 STRING CountryNames 45 STRING CountryNames 46 STRING CountryNames 47 STRING CountryNames 48 STRING CountryNames 49 STRING CountryNames 50 STRING CountryNames 51 STRING CountryNames 52 STRING CountryNam
87. Verwendungsbereiche f r den Zertifikatstyp Tivoli PKI Anpassung 13 esioMsueuoDJoA Anz ueuomneulnoJu 14 Andern Andern Anmerkung Vor dem Andern einer vorhandenen Profildefinition sollten Sie sich mit den Regeln und Verarbeitungsvoraussetzungen vertraut machen die in e eite 29 erl utert sind Gehen Sie wie folgt vor um ein Profil zu ndern 1 Erstellen Sie eine Sicherungskopie der Datei certificate profiles cfgl f r Ihre Registrierungsdom ne 2 ffnen Sie die Datei mit einem Editor der das UTE 8 Formal unterst tzt 3 Suchen Sie die durch eckige Klammern gekennzeichnete Zeilengruppe die der zu ndernden Zeilengruppe entspricht 4 Modifizieren Sie die Zeilen die die gew nschten nderungen z B die Standardein stellung f r den G ltigkeitszeitraum steuern 5 Speichern und schlie en Sie die Datei Andern e die beschreibung de f hrten nderungen wiedergibt der Beschreibung eines Zertifikatstyps W hrend der Registrierung wird den Antragstellern eine Liste der verf gbaren Zertifikats angezeigt Das Registrierungsformular enth lt eine Verbindung zu Beschreibungen die ser Zertifikatstypen um dem Antragsteller die Auswahl zu erleichtern so dass diese die am Profil durchge Gehen Sie wie folgt vor um die Beschreibung eines Zertifikatstyps zu ndern 1 Erstellen Sie eine Sicherungskopie von Det Types isch Diese Datei enth lt eine Beschreibung der Zertifikatstypen 2
88. ame Zertifikatstyp ndern 14 Approver Framework 55 Attribute Anforderungen oder Zertifikate 65 benutzerdefinierte Erweiterungen 64 Datenbanksatz 24 Zertifikatserweiterungen 28 64 Ausf hrungsstatus 67 Auswahlliste Werte hinzuf gen 8 Authentifizierung 39 auto_approve Beispiel Exit ndern 11 Beispielliste 49 Einschr nkungen 21 22 ersetzen 12 Beispieldateien 44 Benachrichtigungsbrief ndern 9 Benutzerdefinierte Erweiterungen 64 Benutzererweiterungen zum Zertifikatsprofil hinzuf gen 15 Berechtigung 39 Berechtigungen f r Dom ne 66 Besch digter Schl ssel 62 Beschreibung Zertifikatstyp ndern 14 Datei 44 hinzuf gen 13 l schen 15 Bildmaterial f r Registrierung hinzuf gen 9 Brief E Mail Benachrichtigung 46 Browser Registrierungsformularfelder 56 Szenario f r die Vorabregistrierung 21 Browser Unterst tzung 21 Browser Zertifikat 27 137 x pul C CA Hierarchie 25 CA Name 54 CA Zertifikat 27 CAs 26 certificate_profiles cfg 45 CertTypes jsp 44 CRL Zertifikat entfernen 62 CRLs 26 D Dateiadressen 42 Dateibenennung Windows NT 41 Dateien Beispiel 44 Dateien Konfiguration 45 51 Dateitypen Anpassung 41 Daten Registrierung 65 Datenbanks tze Attribute 24 Verarbeitung durch RA 3 DB2 24 Debug Stufe 51 Digitales Zertifikat 27 Anforderung 3 angebotenen Typ umbenennen 14 anpassen 12 Benutzererweiterungen zum Profil hinzuf gen 15 Datenbanksatz 24 Einzeldaten 62 erneuerbar 27 E
89. ames 180 STRING CountryNames 181 STRING CountryNames 182 STRING CountryNames 183 STRING CountryNames 184 STRING CountryNames 185 STRING CountryNames 186 STRING CountryNames 187 STRING CountryNames 188 STRING CountryNames 189 STRING CountryNames 190 STRING CountryNames 191 STRING CountryNames 192 STRING CountryNames 193 STRING CountryNames 194 STRING CountryNames 195 STRING CountryNames 196 STRING CountryNames 197 STRING CountryNames 198 STRING CountryNames 199 STRING CountryNames 200 STRING CountryNames 201 STRING CountryNames 202 STRING CountryNames 203 STRING CountryNames 204 STRING CountryNames 205 STRING CountryNames 206 STRING CountryNames 207 STRING CountryNames 208 STRING CountryNames 209 STRING CountryNames 210 STRING CountryNames 211 STRING CountryNames 212 STRING CountryNames 213 STRING CountryNames 214 STRING CountryNames 215 Tivoli PKI Anpassung Nauru Nepal Netherlands Netherlands Antilles New Caledonia New Zealand Nicaragua Niger Nigeria Niue Norfolk Island Northern Mariana Islands Norway Oman Pakistan Palau Panama Papua New Guinea Paraguay Peru Philippines Pitcairn Poland Portugal Puerto Rico Qatar Reunion Romania Russian Federation Rwanda Saint Kitts And Nevis Saint Lucia Saint Vincent And The
90. andbuch verwendet werden und die m glicherweise neu oder unbekannt sind sowie Termini die von Bedeutung sein k nnten Version 3 Release 7 1 In diesem Handbuch verwendete Konventionen In diesem Handbuch werden fiir bestimmte Termini und Aktionen verschiedene Konventio nen hinsichtlich des Schriftbilds verwendet Die Schriftbilder haben folgende Bedeutung Schriftbild Bedeutung Befehle Schl sselw rter Markierungen und andere Informationen die im Ve genauen Wortlaut verwendet werden m ssen werden fett gedruckt Variablen die angegeben werden m ssen sowie neue Termini werden kursiv Kursivdruck gedruckt Hervorgehobene W rter und Ausdr cke werden ebenfalls kursiv gedruckt Codebeispiele Ausgabe und Systemnachrichten werden in einer Monospace Schrift Monospace Schri ft gedruckt Kundenunterst tzung anfordern Tivoli PKI Wenn mit irgendeinem Tivoli Produkt Probleme auftreten k nnen Sie ber omi die Homepage der Tivoli Unterst tzung Tivoli Support auf rufen Nachdem Sie eine Verbindung zum Kundenregistrierungsformular hergestellt und die ses bergeben haben k nnen Sie auf eine Reihe von Kundenunterst tzungsservices auf dem Web zugreifen Kunden in Deutschland Osterreich oder der Schweiz k nnen eine der folgenden Telefon nummern anrufen m Deutschland 01805 00 1242 m sterreich 01 1706 6000 m Schweiz 0800 555454 Ihre Meinung zu Tivoli Produkten und der Tivoli Do
91. ands U S Wallis And Futuna Islands Western Sahara STRING CountryNames 235 Yemen STRING CountryNames 236 Yugoslavia STRING CountryNames 237 Zambia STRING CountryNames 238 Zimbabwe l Determine the selected country l String selectedCountryCode request getParameter inputFieldNames 12 if selectedCountryCode null selectedCountryCode equals selectedCountryCode String request getAttribute inputFieldNames 12 if selectedCountryCode null selectedCountryCode equals selectedCountryCode defaultCountryCode for int i 0 i lt numOfCountries i Determine if current item needs to be preselected if countryCodes i equals selectedCountryCode selectedLbl SELECTED else selectedLbl Create the list item out println lt OPTION VALUE countryCodes i selectedLbl gt STRING CountryNames i countryCodes i lt SELECT gt lt TD gt lt TR gt Der Ersatzcode lautet folgenderma en lt Organization 0 gt lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING InputFieldHelps 7 Ss lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt Version 3 Release 7 1 lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 7
92. as Zertifikat die Berechtigung seines Inhabers best tigen e Busi ness Transaktionen ber das Internet auszuf hren In gewisser Weise hat ein digitales Zertifikat eine hnliche Funktion wie ein F hrerschein oder ein Meisterbrief Es best tigt dass der Inhaber des entsprechenden privaten Schl ssels berechtigt ist bestimmte e Business Aktivit ten auszuf hren Ein Zertifikat enth lt Informationen ber die Entit t die von ihm zertifiziert wird gibt an ob es sich um eine Person eine Maschine oder ein Computerprogramm handelt und enth lt als Teil dieser Informationen den zertifi zierten ffentlichen Schl ssel dieser Entit t Digitale Unterschrift Eine codierte Nachricht die an Dokumente oder Daten angef gt wird und die Identit t des Absenders nachweist Eine digitale Unterschrift gew hrleistet ein h heres Ma an Sicherheit als eine physische Unterschrift da es sich hierbei nicht lediglich um einen verschl sselten Namen oder eine Reihe einfacher Identifikationscodes handelt Eine digitale Unterschrift enth lt eine verschl sselte Zusammenfassung der unterzeichneten Nachricht Durch das Anf gen einer digitalen Unterschrift an eine Nachricht l sst sich der Absender also zweifelsfrei feststellen Die Unterschrift kann nur mit Hilfe des Schl ssels des Absenders erstellt werden Au erdem erm glicht sie die Absi cherung des Inhalts der unterzeichneten Nachricht da die verschl sselte Nachrichtenzusammenfassung mit dem Nachrich
93. as neue Feld eingef gt werden soll Das neue Feld sollte zwischen dem Textfenster des vorherigen Feldes und dem beschreibenden Text f r das nachfolgende Feld eingef gt werden 4 F gen Sie die Definition f r das neue Feld ein Im Folgenden ist ein Beispiel aufge f hrt 5 Speichern und schlieBen Sie die Datei 6 Falls Sie diesen Arbeitsschritt nicht bereits ausgef hrt haben F gen Sie die gew nschte nel zu einem der angebotenen Zertifikatsprofile hinzu oder definition und f gen Sie die Erweiterung hinzu Das folgende Beispiel zeigt das Hinzuf gen eines Feldes f r die Telefonnummer Telephone Number zwischen den Feldern f r den zweiten Vornamen Second Name und die E Mail Adresse E Mail Address lt The second name field gt lt TR gt TD ALIGN LEFT BGCOLOR BBE2EC gt lt FONT SIZE 2 gt lt secondFieldHelp Ss lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR 9FD5E3 gt lt FONT SIZE 2 gt lt secondFieldLbl gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt secondFieldName gt onFocus 0ldName this value onChange CreateDefaultCN this value SIZE lt sizeOfInputFields gt MAXLENGTH lt secondFieldMaxLength gt VALUE lt secondFieldReturnValue gt gt lt TD gt lt TR gt lt Telehone Number gt lt TR gt TD ALIGN LEFT BGCOLOR ZBBE2EC FONT SIZE 2 gt please enter your telephone number lt
94. ath f r die voll st ndig qualifizierte Pfadangabe Anderungen vornehmen Bei der Durchf hrung von nderungen an den Dateien die f r die Registrierungsdom ne angepasst werden sollen m ssen Sie u erst vorsichtig vorgehen Vor dem ndern einer Datei muss unbedingt eine Sicherungskopie erstellt werden Die Verf gbarkeit einer Sicherungskopie ist besonders wichtig bei JSP Dateien der Konfigurationsdatei raconfig cfg sowie bei den Zertifikatsprofildateien 72 1 Vor der Durchfiihrung von Anderungen an einer Datei sollten Sie immer eine Sicherungskopie erstellen Wenn Tivoli PKI auf einer Maschine unter Windows NT installiert ist miissen Sie die Dateinamen aller neuen Ressourcendateien z B aller HTML und JSP Dateien die fiir die Registrierungsanwendung erstellt werden in Kleinbuchstaben angeben Andernfalls gibt der IBM HTTP Server f r alle Dateinamen die nur Gro buchstaben oder Buchsta ben in Gro Kleinschreibung enthalten m glicherweise die folgende Fehlermeldung zur ck ERROR 404 NOT FOUND Beispiel Ein g ltiger Dateiname ist my html ung ltige Dateinamen sind MY html oder My html Verwenden Sie fiir Lander fiir die in Tivoli PKI Anwendungsdateien Nicht ASCII Zeichenwerte erforderlich sind das UTF 8 codierte Unicode Format UTF 8 codierter Unicode erlaubt das universelle Codieren von Zeichen und erm glicht Tivoli PKI die gleichzeitige Unterst tzung mehrerer Sprachen auf dem sel
95. bean SetKBPending com ibm irg ra efw bpos SetKRRequestStatus Pending 5 Editieren Sie die Zeile wie folgt simplebean SetKBPending com ibm irg ra efw bpos SetKRRequestStatus Approved 6 Speichern und schlieBen Sie die Datei Tivoli PKI Anpassung 17 asiamsuayabio ANZ ueuomneunoJu 18 Version 3 Release 7 1 Erlauterungen Dieser Abschnitt beschreibt wie die Komponenten von Tivoli PKI zusammenarbeiten um alle Funktionen Ihrer Registrierungsfunktion zu unterstiitzen Die Themen definieren und beschreiben Konzepte die mit der Registrierung Zertifizierung und Verwaltung in Zusam menhang stehen und Sie beim Anpassen Ihrer Registrierungsfunktion unterstiitzen Anpassung Der vorliegende Abschnitt enth lt Hinweise die Ihnen die zeitliche Planung von Anpas sungs Tasks erleichtern die in einer Abh ngigkeitsbeziehung zueinander stehen Anpassbare Elemente Die folgenden Anwendungskomponenten k nnen angepasst werden m Registrierungs Web Seiten auf denen Benutzer Zertifikate anfordern k nnen m E Mail Benachrichtigungen zur Information des Benutzers nach der Verarbeitung seiner Anforderung m Typen und Funktionen der angebotenen Zertifikate m Regel Exit zur Implementierung eigener Unternehmensregeln bei der Registrierung und Zertifizierung Anderungen die einen Systemwiederanlauf erfordern Bestimmte Anpassungs Tasks werden erst nach einem Wiederanlauf des Systems wirksam Werden diese Anderungen
96. ben System und sogar inner halb eines Zertifikatsprofils Wenn eine Datei UTF 8 codierte Daten enth lt sollten Sie beim Editieren mit besonderer Vorsicht vorgehen um eine Besch digung der UTF 8 Werte zu verhindern Verwenden Sie aus diesem Grund einen Editor der das Importieren Version 3 Release 7 1 und Exportieren von UTF 8 Daten unterst tzt Hierzu geh ren z B der Editor UnicEdit unter Windows NT und das Tool iconv unter AIX Im Folgenden sind Beispiel nderungen aufgef hrt die an Tivoli PKI vorgenommen werden k nnen Webseiten Seitentitel und beschreibungen andern Im LoTo Organization Beispiel wollen Sie die Titel und die Beschriftung des Knopfes von Tdentit tsnachweis Verwaltung in Zertifikatsaussteller und die Seitenbeschreibung in LoTo Organization Zertifikatsaussteller ndern Dar ber hinaus soll die Option f r die Vorabregistrierung von der Registrierungsseite entfernt werden Zun chst m ssen Sie in allen JSP Dateien jsp die Titel und die Beschriftung des Knopfes von Identit tsnachweis Verwaltung in Zertifikatsaussteller und anschlie end die Seiten beschreibung in LoTo Organization Zertifikatsaussteller ndern 1 ndern Sie in der Datei index jsp das folgende Element lt Page Title gt lt tr gt td HEIGHT 35 ALIGN RIGHT VALIGN TOP gt lt font SIZE 3 COLOR 006699 gt Identit tsnachweis Verwaltung lt font gt lt td
97. bestimmte Aspekte von Tivoli PKI an die individuellen Bed rfnisse ihres Unternehmens anpassen wollen So k nnen beispielsweise HTML Seiten Zertifikatsprofile Regel Exits und Benachrichtigungsbriefe angepasst werden Benutzer dieses Handbuchs sollten sich in der Verwendung der unterst tzten Internetbrowser auskennen und ber Erfahrung mit e business Anwendungen verf gen Referenzinformationen Die Tivoli PKI Produktdokumentation steht im PDF Portable Document Format sowie im HTML Format auf der Tivoli Website zur Verf gung HTML Versionen f r einige Ver ffent lichungen werden zusammen mit dem Produkt installiert Auf diese kann ber die Benutzer schnittstellen zugegriffen werden Bitte beachten Sie dass am Produkt selbst seit der Erstellung der Ver ffentlichungen m gli cherweise Anderungen vorgenommen wurden Die neuesten Produktinformationen sowie Informationen f r den Zugriff auf Ver ffentlichungen in den von Ihnen gew nschten Spra chen und Formaten enthalten die Release Informationen Die neueste Version der Release In formationen steht auf der Website zur Verf gung http www tivoli com support Die Tivoli PKI Bibliothek umfasst die folgenden Dokumentationen Einf hrung Dieses Buch enth lt eine bersicht ber das Produkt Es enth lt eine Aufstellung der Produktvoraussetzungen Erl uterungen zu den Installationsverfahren und Informatio nen ber den Zugriff auf die Onlinehilfefunktion f r alle Produktko
98. cher Ver Entschl sselungsschl ssel z B DES Dom ne Siehe Sicherheitsdom ne und Registrierungsdom ne DSA Digital Signature Algorithm e Business Das Durchf hren gesch ftlicher Transaktionen ber Netze und Computer z B der Kauf und Verkauf von Waren und Dienstleistungen sowie der Transfer von Zahlungsmitteln mit Hilfe der digitalen Kommunikation Tivoli PKI Anpassung 121 Jesso 5 e Commerce Unternehmensiibergreifende Transaktionen wie beispielsweise der Kauf und Verkauf von Waren und Dienstleis tungen zwischen Unternehmen und ihren Kunden Lieferanten Subunternehmen und anderen iiber das Internet E Commerce stellt einen Kernbestandteil des e Business dar Endentitat Der Gegenstand eines Zertifikats bei dem es sich nicht um einen CA handelt Entschliisseln Den Verschliisselungsprozess r ckg ngig machen Exemplar Bei DB2 bezeichnet man als Exemplar eine logische Datenbankverwaltungsumgebung zum Speichern von Daten und Ausf hren von Anwendungen Es erm glicht die Definition einer allgemeinen Gruppe von Konfigurations parametern f r verschiedene Datenbanken Extranet Ein Netz das auf dem Internet basiert und eine hnliche Technologie einsetzt Unternehmen beginnen momentan mit dem Einsatz des Web Publishings elektronischen Handels und der Nachrichten bertragung sowie der Ver wendung von Groupware f r verschiedene Gruppen von Kunden Partnern und internen Mitarbeitern File Transfer Protocol FTP Ein
99. chliisselung als auch fiir die Entschliisselung verwendet werden kann Siehe auch Symmetrische Verschliisselung Symmetrische Verschliisselung Eine Form der Verschliisselung bei der sowohl fiir die Ver als auch fiir die Entschliisselung derselbe Schliissel verwendet wird Die Sicherheit dieses Verfahren basiert auf dem Schl ssel Wird dieser ffentlich bekannt gege ben k nnen die mit ihm bearbeiteten Nachrichten von jedem Benutzer ver und entschl sselt werden Der Inhalt der bertragenen Daten kann nur dann geheim gehalten werden wenn der Schl ssel nur den jeweils berechtigten Personen bekannt ist Gegensatz zu Asymmetrische Verschl sselung TCP IP Transmission Control Protocol Internet Protocol TP Trust Policy Sicherungsregel Transaktions ID Eine Kennung die die RA als Antwort auf eine Anforderung f r eine Vorabregistrierung zur Verf gung stellt Mit dieser ID kann ein Benutzer der die Client Anwendung von Tivoli PKI ausf hrt ein vorab genehmigtes Zertifi kat erhalten Transmission Control Protocol Internet Protocol TCP IP Eine Gruppe von bertragungsprotokollen die Peer zu Peer Konnektivit tsfunktionen f r lokale Netze LANs und Weitverkehrsnetze WANs unterst tzen Triple DES Ein symmetrischer Algorithmus bei dem der unverschl sselte Text dreimal verschl sselt wird Obwohl f r diese Mehrfachverschl sselung zahlreiche Methoden existieren stellt die Triple DES Verschl sselung die auf drei ver schiede
100. chlussnummer zum Pfad sowie weitere Ressourcendetails die erforderlich sind um ber eine bestimmte Maschine auf eine Ressource zuzugreifen UTF 8 Ein Umsetzungsformat Es erm glicht Informationsverarbeitungssystemen die nur die Verarbeitung von 8 Bit Zeichens tzen unterst tzen die Umsetzung von 16 Bit Unicode in ein 8 Bit Aquivalent und umgekehrt ohne dass hierbei Informationen verloren gehen Verkettungspr fung Die G ltigkeitspr fung aller CA Unterschriften in der Trust Hierarchie ber die ein bestimmtes Zertifikat ausge stellt wurde Wenn z B das Unterschriftszertifikat eines CA ber einen anderen CA ausgestellt wurde werden bei der G ltigkeitspr fung des vom Benutzer vorgelegten Zertifikats beide Unterschriften gepr ft Verschl sseln Das Umordnen von Informationen so dass nur Personen die ber den richtigen Entschl sselungscode verf gen die urspr nglichen Informationen durch Entschl sselung abrufen k nnen Verschl sselt Die Eigenschaft von Daten die nach einem bestimmten System umgesetzt wurden um deren Bedeutung unkennt lich zu machen Verschl sselung Entschl sselung Die Verwendung des ffentlichen Schl ssels des gew nschten Empf ngers zum Verschl sseln von Daten f r diese Person Der Empf nger verwendet anschlie end den privaten Schl ssel seines Schl sselpaares um die Daten zu entschl sseln Vertrauensdom ne Eine Gruppe von Entit ten deren Zertifikate vom gleichen CA zertifiziert wur
101. d jsp Java Server Seiten f r Serverzertifikate Page Enroll PKCS107Cert PKCS107Cert Enroll jsp Page CkStatus PKCS107Cert PKCS107Cert CkStatus jsp Page Approved PKCS107Cert PKCS107Cert Approved jsp Page Pending PKCS107Cert PKCS107Cert Pending jsp Page Rejected PKCS107Cert PKCS107Cert Rejected jsp Page Sample PKCS107Cert PKCS107Cert Sample jsp Java Server Seiten f r Vorabregistrierung von Zertifikaten Page Enroll PreReg PreReg Enroll jsp Page CkStatus PreReg PreReg CkStatus jsp Page Approved PreReg PreReg Approved jsp Page Pending PreReg PreReg Pending jsp Version 3 Release 7 1 Dateiname fur E Mail Benachrichtigungsbrief Das folgende Beispiel zeigt die Standardzeilen fiir diese Angabe Sie sollten in der von Ihnen verwendeten Datei das u a Format aufweisen F r Windows Mail Template NSBrowserSSLCert C VPROGRA 1 IBM TRUSTA 1 pkrf Domains YourDomain etc Mail NSBrowserSSLCert ltr _ Mail_Template_IEBrowserSSLCert C PROGRA 1 IBM TRUSTA 1 pkrf Domains YourDomain etc Mail_IEBrowserSSLCert 1tr S Mail Template PKCS107Cert C VPROGRA 1 IBM TRUSTA 1 pkrf Domains YourDomain etc Mail PKCS107Cert ltr _ Mail_Template_PreReg C PROGRA 1 IBM TRUSTA 1 pkrf Domains YourDomain etc Mail_PreReg Itr F r AIX Mail_Template_NSBrowserSSLCert usr 1pp iau pkrf Domains YourDomain etc Mail_NSBrowserSSLCert 1tr Mail_Template_IEBrowserSSLCert usr 1pp iau pkrf Domains YourDomain etc Mail_IEBrowserSSLCert 1tr Mail_Template_PKCS107Cert
102. den Vertraulichkeit Der Schutz von Daten gegen den Zugriff nicht berechtigter Personen Tivoli PKI Anpassung 133 JeSSO 5 134 Vertraulichkeit Die Wahrung der Geheimhaltung bestimmter Informationen gegeniiber nicht berechtigten Personen Virtual Private Network VPN Ein privates Datennetz das ferne Verbindungen nicht ber Telefonleitungen sondern ber das Internet herstellt Da der Zugriff der Benutzer auf die Netzressourcen eines Unternehmens nicht ber eine Telefongesellschaft son dern ber einen Internet Service Provider ISP erfolgt k nnen diese durch den Einsatz von VPN deutliche Ein sparungen bei Fernzugriffen erzielen Ein VPN erh ht auch die Sicherheit beim Datenaustausch Bei der her k mmlichen Firewall Technologie kann zwar der Inhalt der Nachricht verschl sselt werden nicht jedoch die Quellen und Zieladressen Bei der VPN Technologie k nnen die Benutzer eine Tunnelverbindung herstellen bei der das gesamte Datenpaket Header und Datenkomponente verschl sselt und gekapselt ist Vorabregistrierung Bei Tivoli PKI ein Prozess mit dem ein bestimmter Benutzer normalerweise ein Administrator andere Benutzer registrieren kann Wenn die Anforderung genehmigt wird stellt die RA Informationen zur Verf gung mit denen der Benutzer sp ter mit Hilfe der Client Anwendung von Tivoli PKI ein Zertifikat erhalten kann VPN Virtual Private Network Web Browser Auf einem PC ausgef hrte Client Software mit der ein B
103. den Berechti gungen ber die der Registrator in der Registrierungsdom ne verf gt Gegenseitig ausgestelltes CA Zertifikat Mit diesem Zertifikat kann der Zertifikatsaussteller CA dem dieses Zertifi kat geh rt seine Zertifikate vom ausstellenden CA genehmigen lassen Das Zertifikat stellt die Funktionen f r digitale Unterschriften und Unbestreitbar keit zur Verf gung 1 und 2 Jahre Datenverschl sselung Dieses Zertifikat erm glicht dem Eigner die Verschl sselung von Daten Das Zertifikat dient keinem anderen Zweck 1 und 2 Jahre E Mail Schutz Dieses Zertifikat erm glicht dem Eigner die Verwendung des S MIME Proto kolls S MIME Secure Multi Purpose Internet Mail Exchange Dieses Protokoll dient zum Schutz von E Mails und anderen MIME Objekten Es unterst tzt die Authentifizierung des Absenders die Integrit t von Nachrich ten die Unbestreitbarkeit des Absenders sowie die Vertraulichkeit und wird normalerweise f r Endbenutzer verwendet 1 und 2 Jahre IPSec Dieses Zertifikat hilft bei der Gew hrleistung der Integrit t und Vertraulich keit von Daten die in IP Paketen ber das Internet versendet werden IPSec Zertifikate sind eher f r Daten als f r Benutzer gedacht Sie sind h ufig einem Router zugeordnet Tivoli PKI Anpassung 63 ueuoneulojul ZU919J9H G 1 und 2 Jahre Nur fiir Schliisselcodierung Dieses Zertifikat erm glicht dem Eigner die Verschl sselung von Schl sseln Das Zertifikat dient ke
104. document RegForm lt inputFieldNames 3 gt value alert STRING MissingEmailAddressPrompt document RegForm lt inputFieldNames 3 gt focus return true else return false gt lt SCRIPT gt Folgenden Code hinzufiigen lt SCRIPT LANGUAGE JavaScript gt I function MissingCustInfoAlert var STRING MissingCustInfoPrompt Please enter All the required fields if document RegForm lt inputFieldNames 14 gt value document RegForm lt inputFieldNames 15 gt value document RegForm lt inputFieldNames 16 gt value alert STRING MissingCustInfoPrompt document RegForm lt inputFieldNames 16 gt focus return true else return false gt lt SCRIPT gt 4 Andern Sie folgendes Segment CENTER gt lt FORM NAME SubmitBtnForm gt lt INPUT TYPE Button NAME submitBtn VALUE lt btnLbl gt onClick lt E mail address is missing while e mail notification is selected gt if MissingEmailAddressAlert return false lt Generate PKCS 10 cert request and copy cert attributes to RegForm gt if CreatePKCS10CertReq return false return true ly lt FORM gt lt CENTER gt 106 Version 3 Release 7 1 In folgendes Segment CENTER gt lt FORM NAME SubmitBtnForm gt lt INPUT TYPE Button NAME submitBtn VALUE lt btnLbl gt on
105. dung ber das Internet Bei der Registrierung werden Zertifikate angefordert erneuert und widerrufen Registrierungsattribut Eine Registrierungsvariable die in einem Registrierungsformular enthalten ist Ihr Wert gibt die Informationen wider die w hrend der Registrierung erfasst werden Der Wert des Registrierungsattributs bleibt w hrend der gesamten G ltigkeitsdauer des Identit tsnachweises gleich Registrator Ein Benutzer der f r den Zugriff auf RA Desktop sowie zur Verwaltung und Anforderung von Zertifikaten berechtigt ist Registrierungsstelle RA Die Software die zur Verwaltung digitaler Zertifikate verwendet wird und sicherstellt dass die Unternehmens regeln vom ersten Empfang einer Registrierungsanforderung bis zum Zertifikatswiderruf angewendet werden Registrierungsdatenbank Diese Datenbank enth lt Informationen zu Zertifikatsanforderungen und ausgestellten Zertifikaten In der Daten bank werden Registrierungsdaten gespeichert und alle nderungen aufgezeichnet die w hrend der G ltigkeits dauer an einem Zertifikat vorgenommen werden Die Datenbank kann durch RA Prozesse und Regel Exits oder durch den Registrator aktualisiert werden Registrierungsdom ne Eine Gruppe von Ressourcen Regeln und Konfigurationsoptionen die sich auf bestimmte Registrierungsprozesse f r Zertifikate beziehen Der Dom nenname stellt einen untergeordneten Wert zur URL Adresse dar die zur Aus f hrung der Registrierungsfunktion eingesetzt
106. e inmsg findVariable RaBPName const char pearg inmsg findVariable RaPolicyExitArg const char domain inmsg findVariable domain const char decision default bpvars findVariable decision default construct the response message object raMessage response inmsg response erase Examine decision default to determine what action should be taken and formulate response message accordingly if strstr decision default approve insert custom business logic here response addVariable reqStatus Approved else if strstr decision default pend insert custom business logic here response addVariable reqStatus Pending else if strstr decision default revoke insert custom business logic here response addVariable ffStatus Revoked else if strstr decision default reject insert custom business logic here response addVariable reqStatus Rejected else insert custom business logic here send response response streamObject cout cout lt lt lt lt endl Version 3 Release 7 1 Konfigurationsdatei fur die Registrierungsfunktion Die Konfigurationsdatei der Registrierungsfunktion enth lt Werte die nach der Installation zur Benennung und Definition der Komponenten und Betriebseinstellungen fiir die folgenden Elemente angegeben werden Dateiname raconfig cfg Adresse Unterverzeichnis etc f r Ihre Regis
107. e zu unterst tzen Das X 509 Zertifikat definiert Datenstrukturen die Prozeduren f r die Verteilung ffentlicher Schl ssel unterst tzen die von zuverl ssigen Stel len digital unterzeichnet sind Zertifikatsaussteller CA Die Software die zur Einhaltung der Sicherheitsregeln eines Unternehmens und zur Vergabe gesicherter elektro nischer Identit ten in Form von Zertifikaten dient Der CA verarbeitet die Anforderungen von RAs zum Ausstel len Erneuern und Widerrufen von Zertifikaten Er kooperiert mit der RA um Zertifikate und CRLs im Directory zu publizieren Siehe auch Digitales Zertifikat Tivoli PKI Anpassung 135 Jesso 5 136 Zertifikatserweiterung Eine Zusatzfunktion des X 509v3 Zertifikatformats die zur Einbindung zus tzlicher Felder in das Zertifikat dient Es stehen Standard und benutzerdefinierte Erweiterungen zur Verf gung Die Standarderweiterungen dienen ver schiedenen Zwecken und umfassen Schl ssel und Regelinformationen Betreff und Ausstellerattribute sowie Einschr nkungen die f r den Zertifizierungspfad gelten Zertifikatsprofil Eine Gruppe von Kenndaten die den gew nschten Zertifikatstyp definieren z B SSL oder IPSec Zertifikate Das Profil vereinfacht die Zertifikatsspezifikation und registrierung Der Aussteller kann die Namen der Profile ndern und Kenndaten des gew nschten Zertifikats angeben Hierzu z hlen z B der G ltigkeitszeitraum die Ver wendung von Schl sseln DN Einschr
108. ectedOUC String request getAttribute inputFieldNames 8 if selectedOUC null selectedOUC equals selectedOUC ITS for int i 0 i lt numOfOrgUnit i Determine if current item needs to be preselected if ouCodes i equals selectedOUC selectedLbl SELECTED else selectedLb Version 3 Release 7 1 Create the list item out println lt OPTION VALUE ouCodes i selectedLbl gt STRING OU i ouCodes i gt lt SELECT gt lt TD gt lt TR gt lt Country C Ss lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING_InputFieldHelps 12 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING_InputFieldLbls 12 gt lt STRING Colon Ss lt STRONG gt lt STRING_Spacer gt lt STRING RequiredLbl Ss lt errorFlags 12 gt lt FONT gt lt BR gt lt SELECT NAME lt inputFieldNames 12 gt SIZE 1 gt lt RRR k k k kok k k 3k k KK ERK KEKE eee ke IKK KEIR KAKA AKIRA AKER ARE Create dropdown list of ISO 3166 country names and codes ftp ftp ripe net iso3166 countrycodes kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk Optional Translatable Strings STRING_CountryNames 0 238 leave the country name in English if not translatable kkkkkx
109. ed Name ist ein Element des Directory Eintrags f r ein digitales Lertifikad Er dient zur eindeutigen Identifizierung der Position dieses Eintrags innerhalb der hierarchischen Directory Struktur Version 3 Release 7 1 Zertifikate Bei einem Zertifikat handelt es sich um einen digitalen Identit tsnachweis der von einem unterzeichnet wird der f r die Identit t des Zertifikatseigners b rgt Der Eigner des Zer tifikats kann sich mit diesem authentifizieren Daten unterzeichnen und verschl sseln sowie an der gesicherten Kommunikation mit Hilfe von Protokollen wie z B SSL Secure Socket Layer teilnehmen Unter Tivoli PKI k nnen Entit ten d h Benutzer Server und andere Einheiten z B Router Zertifikate anfordern Tivoli PKI unterst tzt X 509v3 Zertifikate der folgenden Kategorien m m Kerver Zertifikatd m Einheitenzertifikate m Zertifikate f r den Zugriff auf PKIXLkompatible Anwendungen m Kegenseitig ausgestellte Ze fiir CAs Eine Tivoli PKI Standardinstallation stellt eine Vielzahl von zum Einsatz in Anwendungen wie z B SSL S MIME und IPSec bereit Antragsteller k nnen Zertifikate anfordern die ihren individuellen Anforderungen entsprechen Unter Zertifikatstypen auf werden die verschiedenen Zertifikatstypen beschrieben Bei der Anforderung eines Zertifikats starten Sie einen G ltigkeitszeitraum der den gesam ten Verarbeitungszeitraum dieses Identit tsnachweises umfasst Dieser G ltigkeitszeitrau
110. ee eens 46 Fehlernachrichtentext esque aee 8 200 Se Pde RARE SSSR RARE ORY Ewa dares 47 Java Server Seite ISP Ee EIER EEN dev edie ed cow ede ed ene eee nd Tp ens 48 R sel BExat D tel deiode xq Ede eet ob qu Mee eee te eee eee E eR de as a 49 Konfigurationsdatei f r die Registrierungsfunktion 51 Einzelangaben auf den Webseiten 56 Registrierungsformularvariablen see uu usaq eq awama akawa aca ua ee 56 WICQ rpufser nd aa e a NEE ean PA ead en Pa E Ra ead dow dee added 62 Einzeldaten von Zertifikaten 4 sos cle ea so Hess pu ERREUR Dea EE ee ee ES 62 Zerlihik tstypen E c 62 Benutzerdefinierte Erweiterungen llle en 64 Format von X 509v3 Zertifikaten u lu ss saus ama squa au uu qu E as 64 Einzelangaben bei der Registrierung 65 Attribute von Anforderungen und Zertifikaten 2 0 eee 65 RASA KU ONC iiss ara Era redu CERE ee RAR EE d req ES 66 Status der Registrierungsanforderungen 2222 con nennen ernennen 67 Kapitel 6 Anpassundsbeispiel eee e eee eee eee eeeeeee 69 Planen der Zeg te eem dore hor obse oa S ncs een ieee eek seed 69 Tivoli PKI Anpassung vii Verzeichnisstruktur des Unternehmens aa es eee eee ee 69 Identifizieren der kundenspezifischen Anforderungen 70 Identifizieren der zu ndernden Dateien 71 nderungen vornehmen 72 Webseiten
111. ektronische Post E Mail oder Web Browser erm glichen So sind beispielsweise die meisten Universit ten in ein Netz eingebunden das seinerseits eine Ver bindung zu anderen hnlichen Netzen hat die zusammen das Internet bilden Tivoli PKI Anpassung 123 JeSSO 5 124 Internet Engineering Task Force IETF Eine Gruppe die sich schwerpunktm ig mit dem Entwickeln und Definieren von Protokollen f r das Internet befasst Sie repr sentiert eine internationale Gruppe von Netzdesignern bedienern herstellern und forschern Die Aufgabe der IETF ist die Entwicklung der Internet Architektur sowie die Gew hrleistung der reibungslosen Verwendung des Internets Intranet Ein Netz innerhalb eines Unternehmens das sich im Allgemeinen hinter Firewalls befindet Es basiert auf dem Internet und setzt eine hnliche Technologie ein Vom technischen Standpunkt aus ist ein Intranet eine Erweite rung des Internets Zu den in beiden Netzen benutzten Komponenten geh ren z B HTML und HTTP IPSec Ein von der IETF entwickelter IPS Standard IPS Internet Protocol Security IPSec ist ein Protokoll der Vermittlungsschicht das entwickelt wurde um Services f r die Gew hrleistung der Sicherheit bei der Verschl s selung zur Verf gung zu stellen die kombinierte Funktionen zur Authentifizierung Sicherung der Integrit t Zugriffssteuerung und Wahrung der Vertraulichkeit flexibel unterst tzen Aufgrund seiner leistungsf higen Funkti onen bei der Au
112. en Daten zu privaten Schl sseln und f r die Zertifizierung W PKCS 1 beschreibt ein Verfahren zum Verschl sseln von Daten mit Hilfe des RSA Verschl sselungssystems auf der Basis ffentlicher Schl ssel Er dient zur Erstellung digitaler Unterschriften und Briefumschl ge W PKCS 77 definiert ein allgemeines Format f r verschl sselte Nachrichten W PKCS 710 definiert eine Standardsyntax f r Zertifizierungsanforderungen W PKCS 11 definiert eine Programmierschnittstelle f r Verschl sselungseinheiten z B Smart Cards die unab h ngig vom verwendeten technologischen Konzept ist m PKCS 12 definiert ein portierbares Format zum Speichern oder Transportieren der privaten Schl ssel Zerti fikate und sonstiger geheimer Daten etc eines Benutzers Public Key Infrastructure PKI Ein Standard f r Sicherheitssoftware der auf der Verschl sselung mit Hilfe ffentlicher Schl ssel basiert Bei PKI handelt es sich um ein System digitaler Zertifikate Zertifikatsaussteller Registrierungsstellen Zertifikat verwaltungsservices und verteilter Verzeichnisservices Er dient zum Pr fen der Identit t und Berechtigung aller Parteien die an Transaktionen beteiligt sind die ber das Internet ausgef hrt werden Diese Transaktionen umfas sen m glicherweise Operationen zu deren Ausf hrung eine Identit tspr fung erforderlich ist Sie dienen z B zur Best tigung des Ursprungs von Senderechtanforderungen E Mail Nachrichten oder Finanztransakt
113. en Dies kann z B bei einer Pilotimplementierung der Fall sein Beispiel Die G ltigkeitsdauer aller aus gestellten Zertifikate soll am Ende des Pilotprojekts am 30 November 1999 um 00 00 Uhr Westeurop ischer Zeit WEZ ablaufen Im Folgenden ist eine Beispiel regel aufgef hrt ValidityNotAfter 1999 11 30 00 00 00 Wenn die Zertifikate am Ende dieses Tages ablaufen sollen m ssen Sie als Zeit 23 59 59 angeben Verwaltung Zuk nftige Registratoren m ssen ein Zertifikat f r den Web Browser anfordern und E gen ber den RA Desktop verwendet werden soll Nach dem Erhalt des m ssen sie dieses jedes Mal vorlegen wenn sie auf RA Desktop zugreifen wollen Um oder Anforderungen unter RA Desktop anzuzeigen oder zu bearbeiten muss der Registrator auBerdem ber die entsprechenden Dateiberechtigungen verf gen Die Themen in diesem Abschnitt behandeln die Verwaltung von Zertifikaten Zugriffssteuerung Eine im RU ACL Access Control List dient zum Authentifizieren und interner Tivoli PKI Benutzer Einheiten und Softwarekomponenten Das RA Desktop Unterst tzungs Servlet verwendet die ACL z B zum Authentifizieren und Berechti gen von Registratoren f r den Zugriff auf RA Desktop 38 Version 3 Release 7 1 Authentifizierung und Berechtigung Durch die Authentifizierung wird die Identit t einer Person oder Entit t belegt wohingegen durch eine Berechtigung die Ausf hrung bestimmter Aktionen genehmigt wird Tivoli PKI erm g
114. en Sie sicher dass alle Eintr ge korrekt hinzugef gt werden 8 F gen Sie mit dem Befehl Idapadd alle weiteren Eintr ge hinzu 9 Melden Sie sich als LDAP Root an 10 Erstellen Sie mit DMT Directory Management Tool die korrekten Zugriffssteuerungs listen ACLs f r alle neuen Knoten von DirAdmin 11 Melden Sie sich als LDAP Root an und erstellen Sie mit DMT die korrekten Zugriffs steuerungslisten ACLs f r alle neu erstellten Knoten Anpassen von Objektklassen f r Verzeichniseintrage Directory W hrend der Tivoli PKI Registrierung wird das Zertifikat f r das Verzeichnis Directory publiziert Das Verzeichnis enth lt alle vom CA Server erstellten Zertifikate in hierarchischer Reihenfolge Die Hierarchie basiert auf den Attributen die in den RDNs des Zertifikats gegenstands enthalten sind Tivoli PKI unterst tzt eine begrenzte Gruppe von Attributen die als Teil des Namens des Zertifikatsgegenstands subjectName verwendet werden k nnen Jede RDN wird im Verzeichnis als ein Eintrag dargestellt und die Eintragungsart basiert auf den Attributen aus denen sich die RDN zusammensetzt Unter Tivoli PKI k nnen Sie defi nieren welche Objektklasse beim Erstellen von Verzeichniseintr gen f r die bestimmten RNDs verwendet werden soll Allerdings muss Ihre Definition mit dem Verzeichnisschema kompatibel sein Jede Eintragungsart Objektklasse verf gt ber eine Schemadefinition die beschreibt wel che Attribute beim Erstel
115. en an Diese Notationen k nnen verwendet werden wenn es erforderlich ist die abstrakte Syntax von Informationen zu definieren ohne damit die Art der Verschl sselung dieser Informationen f r die bertragung zu beeintr chtigen ACL Access Control List Zugriffssteuerungsliste Aktionsprotokoll Die Aufzeichnung aller Ereignisse die w hrend der gesamten G ltigkeitsdauer eines Identit tsnachweises aufge treten sind American National Standard Code for Information Interchange ASCII Der Standardcode der f r den Austausch von Informationen zwischen Datenverarbeitungssystemen DFV Syste men und zugeh riger Hardware verwendet wird ASCH verwendet einen codierten Zeichensatz der aus Zeichen von 7 Bit L nge bzw 8 Bit bei Parit tspr fung besteht Der Zeichensatz besteht hierbei aus Steuerzeichen und Schriftzeichen American National Standards Institute ANSI Eine Organisation die die Verfahrensweisen definiert mit deren Hilfe akkreditierte Organisationen freiwillig ein gehaltene Industriestandards in den Vereinigten Staaten festlegen und verwalten Ihr geh ren Hersteller Verbrau cher und allgemeine Interessenvertretungen an Anforderungs ID Ein aus 24 bis 32 Zeichen bestehender ASCII Wert der zur eindeutigen Identifikation einer Zertifikatsan forderung gegen ber der RA dient Dieser Wert kann bei der Transaktion f r die Zertifikatsanforderung verwen det werden um den Status der Anforderung oder des zugeh rigen Zertifi
116. en von Benutzererweiterungen zu einem Zertifikatsprofil Gehen Sie wie folgt vor um benutzerdefinierte Erweiterungen zu einem Zertifikatsprofil hin zuzuf gen 1 Erstellen Sie eine Sicherungskopie der Datei Lertificate profiles cfgl f r Ihre Registrierungsdom ne ffnen Sie die Datei mit einem Editor der das UTE 8 Formal unterst tzt Suchen Sie die durch eckige Klammern gekennzeichnete Zeilengruppe die das zu andernde Profil definiert F gen Sie die gew nschten ben 5 Speichern und schlieBen Sie die Datei Tivoli PKI Anpassung 15 esioMsueuoeDJoA ANZ ueuomneulnoju Andern der angezeigten URL Adresse nach Verlassen von RA Desk top Gehen Sie wie folgt vor um die Web Seite zu ndern die Registratoren angezeigt wird wenn sie RA Desktop verlassen 1 Erstellen Sie eine Sicherungskopie von Tadesktop jsg Diese Datei dient zum Anpassen von RA Desktop Der Standardinstallationspfad f r diese Datei lautet folgenderma en m Unter AIX usr Ipp iau Domains YourDomain webpages m Unter Windows NT C Program Files IBM Trust Authority Domains YourDomain webpages ffnen Sie die Datei mit einem Editor der das unterst tzt Suchen Sie die Zeile die die Zeichenfolge exit ur enth lt Editieren Sie die Zeile und stellen Sie sicher dass der Wert des Parameters exit_url auf die Webadresse zeigt die nach dem Verlassen von RA Desktop aufgerufen werden soll Beispiel lt PARAM NAME exit ur
117. ent RequestProfiles S MIMECertiYear S MIMECert2Year IPSecCertlYear IPSecCert2Year SSLServerCert1Year SSLServerCert2Year UniversalCert SSLBrowserCertlYear SignatureOnl yCert1Year SignatureOnl yCert2Year KeyEnciphermentCert2Year KeyEnciphermentCertlYear DataEnciphermentCertlYear DataEnciphermentCert2Year NonRepudiationCert2Year NonRepudiationCertlYear CACrossCertificationRequest Hinzuf gen von Werten zu Auswahllisten Sie k nnen Werte zu einer Auswahlliste hinzuf gen die auf einer Registrierungswebseite angezeigt wird Wahlen Sie Dateinamen aus die f r den Betrieb verwendet werden Gehen Sie wie folgt vor 1 Stoppen Sie Tivoli PKI 2 F gen Sie einen Wert zu der Auswahlliste hinzu die auf einer Registrierungs Web Seite angezeigt wird Ahnlich wie der Abschnitt zu den Zertifikatstypen m ssen auch die neuen Zertifikatsprofile in der Datei Mycertificate_profiles cfg vordefiniert werden Andern Sie in der Datei raconfig cfg folgendes Codesegment CertProfiles NSBrowserSSLCert SSLBrowserCertlYear SSLBrowserCert2Year S MIMECert1Year S MIMECert2Year CertProfiles IEBrowserSSLCert SSLBrowserCertlYear SSLBrowserCert2Year S MIMECert1Year S MIMECert2Year In folgendes Segment CertProfiles NSBrowserSSLCert UniversalCert S MIMECert2Year CertProfiles IEBrowserSSLCert UniversalCert S MIMECert2Year 3 W hlen Sie Dateinamen aus die f r den Betrieb verwendet werden ndern Sie in der Datei raco
118. ent schema CN_objectClass inetOrgPerson ePerson top CN objectClass RequiredAttributes cnAttr snAttr CN objectClass OptionalAttributes Andern Sie die Definition so dass sie dem gew nschten Schema entspricht CN objectClass pkiUser top CN objectClass RequiredAttributes cnAttr CN objectClass OptionalAttributes Anmerkung Die ausgew hlten Objektklassen m ssen in der Schemadefinition das opti onale Attribut userCertificate enthalten Integrieren Sie die Definition der Attribute die in Ihrer Objektklassendefinition enthalten sind Describes the values on the enrollment data to be used to populate the information on the directory The AttributeNames need to match the attribute name specified on the directory schema The subjectName object refers to the attribute values found on the entry RDN enAttr_AttributeValue subjectName CN cnAttr_AttributeFormat String cnAttr_AttributeName cn Anderungen priifen Priifen Sie die Funktionen von Tivoli PKI indem Sie die folgenden Aufgaben ausfiihren Browser basierte Zertifikate mit Netscape registrieren Browser basierte Zertifikate mit Microsoft Internet Explorer registrieren Browser basierte Zertifikate mit Netscape erneuern Browser basierte Zertifikate mit Microsoft Internet Explorer erneuern Browser basierte Zertifikate mit Netscape widerrufen Browser basierte Zertifikate mit Microsoft Internet Explorer widerrufen Server basierte Zer
119. entifizieren und Zertifikate an den vorgesehenen Emp f nger zu bertragen Integrierte Unterst tzung f r IBM DB2 Universal Database Version 3 Release 7 1 Ubersicht Wenn in Ihrem Unternehmen gesicherte Anwendungen eingesetzt werden die mit Tivoli PKI gesch tzt werden k nnen nur Benutzer die ber die entsprechenden Identit tsnachweise ver f gen auf diese Anwendungen zugreifen Ihre gesicherten Ressourcen sowie die Unter nehmensregeln zur Erteilung von Identit tsnachweisen f r den Zugriff auf diese Ressourcen werden als Reg ngsdom nd bezeichnet Die Tivoli PKI Registrierungsfunktion stellt die Dateien und Prozesse bereit die zur Unterst tzung der Registrierungsdom ne erforderlich sind Hierdurch k nnen Sie die erteilten Zertifikatstypen sowie die Regeln f r den Zugriff auf Ihre Anwendungen anpassen und steuern Die Registrierungsfunktion umfasst Registrie rungs und Zertifizierungsfunktionen eine gesicherte Datenbank und eine Verwaltungs schnittstelle Eine Person die ein digitales Zertifikat ben tigt kann dieses anfordern und die hierzu ben tigten Informationen auf Registrierungs Web Seiten angeben Die Daten in der bilden die Basis f r die Entscheidung dar ber ob die Anforderung geneh migt oder zur ckgewiesen wird Die Bewertung von Registrierungsanforderungen und die Verwaltung der zugeh rigen Daten s tze sind Verwaltungs Tasks In bestimmten F llen wird Tivoli PKI innerhalb eines Unter nehmens
120. enutzer im World Wide Web navigieren oder lokale HTML Seiten anzeigen kann Der Web Browser ist ein Abfrage Tool das universellen Zugriff auf die umfangrei chen Hypermedia Datensammlungen erm glicht die im Web und im Internet zur Verf gung gestellt werden Manche Browser k nnen Text und Grafik anzeigen w hrend andere Browser auf die Textanzeige beschr nkt sind Die meisten Browser unterst tzen die Hauptformen der Internet Kommunikation z B die Ausf hrung von FTP Transaktionen Web Server Ein Server Programm das auf Anforderungen von Browser Programmen nach Informationsressourcen antwortet Siehe auch Server WebSphere Application Server Ein IBM Produkt das Benutzer bei der Entwicklung und Verwaltung von Websites mit einem hohen Leistungs umfang unterst tzt Es erleichtert den bergang vom einfachen Web Publishing zu komplexen e business Anwen dungen im Web Der WebSphere Application Server besteht aus einer Java Servlet Maschine die unabh ngig vom Webserver und dem verwendeten Betriebssystem arbeitet World Wide Web WWW Der Teil des Internets in dem ein Netz von Verbindungen zwischen Computern aufgebaut wird auf denen Hyper mediamaterial gespeichert ist Dieses Material stellt neben Informationen auch Verbindungen Hyperlinks zu anderem Material im World Wide Web und Internet zur Verf gung Der Zugriff auf WWW Ressourcen erfolgt ber einen Web Browser X 500 Ein Standard f r die Implementierung eines multifunktionale
121. ersten Mal die Registrierungswebseiten von Tivoli PKI aufrufen Anschlie Bend k nnen Sie immer wenn Sie ein Zertifikat von den Registrierungsservices anfordern auch das entsprechende kompatible CA Zertifikat herunterladen Tivoli PKI Anpassung 27 ueDunjejne3 E Wenn Sie z B ein SSL4Browserzertifikal mit einem G ltigkeitszeitraum von zwei Jahren anfordern k nnen Sie ein CA Zertifikat empfangen das mit diesem kompatibel ist Anmerkung Fr here Releases von Netscape konnten Site Zertifikate akzeptieren die von einem Tivoli PKI Server vorgelegt wurden Diese Zertifikate wurden sowohl f r die server authentifizierte als auch die client authentifizierte Kommunika tion mit diesem Server akzeptiert Beim neuesten Release von Netscape ist jedoch f r client authentifizierte Sitzungen ein CA Zertifikat erforderlich Server oder Einheitenzertifikate Wenn dies zu ihrem Aufgabenbereich geh rt k nnen bestimmte Personen Zertifikate f r einen Server z B einen Web Server oder eine andere Einheit anfordern Hierzu wird das Browser ormular von Tivoli PKI verwendet Die Server bzw Einheiten f r die das Zertifikat ben tigt wird m ssen das Anforderungs format PKCS 10 verwenden Zertifikatserweiterungen Zertifikatserweiterungen sind optionale Elemente im Format eines X 509v3 Zertifikats Diese Erweiterungen erm glichen die Einbindung zus tzlicher Felder in das Zertifikat Tivoli PKI stellt eine Grunpd von Zertifikatserweiterunge
122. erufen die in der RA Datenbank gespeichert sind Wird die Variable request CN in diesem Variablenpool nicht definiert kann dem Attribut subjectName kein Wert zugeordnet werden Um dieses Problem zu l sen werden bei der Profilverarbeitung Standardwerte f r alle EE bereitgestellt Beispiel CN_default request first_name request last_name CN_pkcs10 spkcs10 CN default CN_default SubjectName CN request CNS default CN pkcs10 Diese Definitionen weisen den RA Server an die CN Definition zuerst in den Registrie rungsdaten zu suchen Wird die Definition dort nicht gefunden durchsucht er als N chstes die PKCS 10 Komponente nach einer CN Definition Schl gt die Suche auch dort fehl er stellt der RA Server eine entsprechende Definition und verwendet hierzu den aus den Regis trierungsdaten abgerufenen Vor und Nachnamen des Antragstellers Tivoli PKI Anpassung 33 ueDunjoejne3 E 34 Kann ein Variablenwert durch die im Profil definierten Regeln nicht aufgel st werden ver arbeitet der RA Server das zugeh rige Feld so als ob es eine Leerzeichenfolge enthalten w rde Abh ngig von der Verwendung der Variablen kann diese Vorgehensweise unter Umst nden zu Problemen f hren Wenn im vorherigen Beispiel dem Attribut CN default kein Wert zugeordnet wird verf gt das Attribut subjectName des Zertifikats ber keinen allgemeinen Namen CN Hierdurch wird die Zertifikatsanforderung vom Zertifikatsaus s
123. erung ausgef hrt werden Beim Zusammenstellen der Liste finden Sie m glicherweise n tzliche Informationen unter dem Thema dem entsprechenden 3 Bestimmen Sie die Auswirkungen der ma Anpassung M glicherweise m ssen Sie Tivoli PKI 4 Erstellen Sie nach der Installation Sicherungskopien aller Dateien die ge ndert werden sollen 5 F hren Sie die nderungen entweder direkt durch oder verwenden Sie die vorhandenen anpassbaren Elemente als Schablonen zum Erstellen neuer Registrierungselemente oder Regel Exits Tivoli PKI Anpassung esioMsueuoDJoA Anz ueuomneunoJu Mit Hilfe Ihrer Anderungen k nnen Sie eine angepasste Registrierungsanwendung f r Ihre Registrierungsdom ne erstellen 9 enth lt ein Beispiel f r eine angepasste Registrierungsanwendung die durch entsprechende Modifikationen erstellt wurde Editieren anpassbarer Dateien Bei der Durchf hrung von nderungen an den Dateien die f r die Registrierungsdom ne angepasst werden sollen m ssen Sie u erst vorsichtig vorgehen Vor dem ndern einer Datei sollten Sie eine Sicherungskopie erstellen Die Verf gbarkeit einer Sicherungskopie ist besonders wichtig bei Java Server Page JSP Dateien der Konfigurationsdatei raconfig cfg sowie bei den Zertifikatsprofildateien Wird die Anwendung nicht in der englischen Version ausgef hrt m ssen Sie auDerdem einen Unicode Editor verwenden mit dem Daten in der nativen Codepage z B im UTF 8 For mat
124. es 53 STRING CountryNames 54 STRING CountryNames 55 STRING CountryNames 56 STRING CountryNames 57 STRING CountryNames 58 STRING CountryNames 59 STRING CountryNames 60 STRING CountryNames 61 STRING CountryNames 62 STRING CountryNames 63 STRING CountryNames 64 STRING CountryNames 65 Afghanistan Albania Algeria American Samoa Andorra Angola Anguilla Antarctica Antigua And Barbuda Argentina Armenia Aruba Australia Austria Azerbaijan Bahamas Bahrain Bangladesh Barbados Belarus Belgium Belizev Benin Bermuda Bhutan Bolivia Bosnia And Herzegowina Botswana Bouvet Island Brazil British Indian Ocean Territory Brunei Darussalam Bulgaria Burkina Faso Burundi Cambodia Cameroon Canada Cape Verde Cayman Islands Central African Republic Chad Chile China Christmas Island Cocos Keeling Islands Colombia Comoros Congo Congo The Democratic Republic Of The Cook Islands Costa Rica Cote D ivoire Croatia Local Name Hrvatska Cuba Cyprus Czech Republic Denmark Djibouti Dominica Dominican Republic East Timor Ecuador Egypt El Salvador Equatorial Guinea Version 3 Release 7 1 STRING CountryNames 66 STRING CountryNames 67 STRING CountryNames 68
125. es Antragstellers Anmerkung Es ist wichtig zu verstehen dass der RA Server in jedem Fall versucht die Zertifikatsanforderung komplett auszuf llen Dies ist auch dann der Fall wenn ein fehlerhaftes Profil oder fehlerhafte Eingabedaten festgestellt werden Wer den fehlende oder fehlerhafte Daten identifiziert verwendet das System die im Profil definierten Standardwerte Dies kann unter Umst nden dazu f hren dass das Zertifikat nicht die erwarteten Werte enth lt In extremen F llen kann es auch passieren dass die Zertifikatsanforderung vom CA Server zur ckge wiesen wird Sie sollten sicherstellen dass Ihre Profildefinitionen immer g l tige Zertifikate und Ergebnisse f r die verwendete Umgebung und die ange wendeten Regeln generieren Tivoli PKI Anpassung 31 uoDunjoejne3 E 32 Organisation Inhalt und Struktur von Profilen Bei der Zertifikatsprofildatei handelt es sich um eine Textdatei mit zwei oder mehr Abschnit ten Alle Definitionen und Regeln die vor dem Abschnitt eines spezifischen Zertifikatsprofils angegeben sind gelten global Das bedeutet dass die im globalen Abschnitt gefundenen Definitionen fiir alle Profile angewendet werden es sei denn sie werden von profilspezi fischen Definitionen berschrieben Der globale Abschnitt erm glicht das zentrale profil bergreifende Konsolidieren von Definitionen Hierdurch wird das Erstellen von Profilen vereinfacht und die Dateigr fe reduziert da unn tige Redundanzen
126. eses Intervall wird in der CA Konfigurationsdatei definiert und gibt das Zeitintervall zwischen zwei Publikatio nen der Zertifikatswiderrufsliste im Directory an Tivoli PKI Anpassung 119 JeSSO 5 120 D mon Ein Programm das Tasks im Hintergrund ausf hrt Es wird implizit aufgerufen wenn eine Bedingung auftritt die die Hilfe des D mons erforderlich macht Es ist nicht erforderlich dass der Benutzer ber die Ausf hrung des D mons unterrichtet wird da der D mon normalerweise vom System automatisch gestartet wird Ein D mon kann ber eine unbegrenzte Zeit hinweg ausgef hrt oder vom System in bestimmten Zeitintervallen erneut gene riert werden Der Terminus englisch demon stammt aus der Mythologie Sp ter wurde er aber als Akronym f r den Ausdruck Disk And Execution MONitor Platten und Ausf hrungs berwachungsprogramm erkl rt Data Encryption Standard DES Eine Verschl sselungs Block Cipher die 1977 von der US Regierung als offizieller Standard definiert und ber nommen wurde Dieser Standard wurde urspr nglich von IBM entwickelt DES wurde seit seiner Ver ffentli chung umfassend untersucht und stellt ein allgemein bekanntes und h ufig verwendetes Verschl sselungssystem zur Verf gung Bei DES handelt es sich um ein symmetrisches Verschl sselungssystem Um es f r die Daten bertragung einzu setzen m ssen sowohl der Sender als auch der Empf nger den selben geheimen Schl ssel kennen Dieser Schl sse
127. estimmte Feldwerte die zu einem registrierten Namen DN zusammengefasst werden 4 Die Tabelle enth lt keine internen Formularvariablen f r Internet Explorer die nicht an den Server gesendet werden Diese werden lediglich zum Generieren der PKCS 10 An forderung verwendet Version 3 Release 7 1 5 Referenz informationen IM u jnid Suniopioguy Joules snjejgS UP Io UUIM ueqes LIOMIUY eq es erp ssn 1o o s3 enu y Jog e3e1josedgqv erp jn IOMJUY Ug uajyqoeoq Sunqro rqosur y g0 2 8r j1o jueoSv1Iqy Y eSuo eqo UdIOMJUL oer s rp ne 19 ssnw 1pnjgounp SUNIOLNSISIIQVIOA U Jopo IM uosse UDIOLNSISAI JLOYUTY o1opue ouro Iopo IOAIOS u ur jsq es YOS Io N3sgenuy Jop qo uoAaep Sisuvyqeuy Ta u jnid Suniopio URSSUNIIINSISOY JOUIIS snjejg uop 19 uuo ASIF 2211 s rp PIM do oj58e nuy wq Uzume nz uosorp Yua p nzep pun JoJysLI Io fe sdenuy u p ue j orzeds uors orp Ser UTA 8r odeljogeljgV b aduajpeyd Jopuases esso1py IeJA H eueqeSeSuev 1e nurro WI orp ue pir Sunanuor qyoeuog eq SuniopiojguessSuniongsidos uo onp e Jop snjejg UNZ gungngonmoeueg IeJA H Joule ueguejdurg wnz uondo au Sunsnysuyseusg JeW I UONEIFHOU UOISIVOP uoqeSue osso1py TIeJA H euro 1o oj58e nguy Jop ssnw uspyemsne gunSguormoeuoq M t erp my uondo erp ers uuoA yuq oesseJpy SAP pim usdunseniogqn TeW I YAS Inj uojexuniez q Z uodAjsyexrjnioz uejunmsoeq reg 1 ayung 1o e pun suyo 19Z sop uo
128. eyUsage validityNotAfter validityNotBefore editable fields subjectName validityNotAfter validityNotBefore required fields first name last name Ersetzen durch Define field processing values displayable fields subjectName issuerName keyUsage validityNotAfter validityNotBefore editable fields subjectName validityNotAfter validityNotBefore required fields first name last name email address Speichern Sie vor dem Editieren eine Sicherungskopie der Originaldatei Die Anderungen k nnen mit einem UTF 8 f higen Texteditor vorgenommen werden Wenn Sie die Datei on definiert ist E Mail Benachrichtigungsbrief Dieses Thema behandelt den E Mail Benachrichtigungsbrief f r Ihre Registrierungsfunktion Dateiname ltr Adresse Unterverzeichnis etc f r Ihre Registrierungsdom ne Beispiel Dieser Brief wird an Antragsteller gesendet die nach der Verarbeitung ihrer Registrierungsanforderung eine E Mail Benachrichtigung anfordern Microsoft Internet Explorer Browser Certificate Enrollment Status This mail was sent by an automatic mail sender that does not answer incoming mail Please do not reply To sfirst_name last_name From Trust Authority Certificate Enrollment Request ID Request1D Your enrollment request for a Microsoft Internet Explorer browser certificate has been finalized Please access the following URL from your browser then follow the online instructions to check your enrollment status
129. f r die eine automatische Genehmigung angefordert wurde Zur ckkehren auf die Homepage des Unternehmens nachdem das Zertifikat heruntergeladen wurde Anpassen des Directory Servers zur Orientierung an der Unter nehmenshierarchie Version 3 Release 7 1 Identifizieren der zu ndernden Dateien Die folgende Tabelle enth lt die Dateien an denen bei der Anpassung m glicherweise nde rungen vorgenommen werden m ssen Explorer Server oder Anpassbares Ele Zweck Dateiname ment Index Homepage Homepage index jsp Registrierungs Browser Netscape NSBbrowserSSLCert Enroll jsp formulare f r alle Registrierungstypen Browser Internet IEBrowserSSLCert Enroll jsp PKCS107Cert Enroll jsp PreReg Enroll jsp f r Browser Zertifi kate Internet Explorer Einheitenvorab registrierung Seiten f r Benutzer Fehlernachrichten TA ErrorMsg jsp r ckmeldungen i Instruktionen nach CkStatus jsp dem Ubergeben Statusinformationen Genehmigung Approved jsp Wartestatus Pending jsp Zur ckweisung Rejected jsp Erneuerungsformular Netscape NSBrowserSSLCert Renew jsp IEBrowserSSLCert_Renew jsp Zuriickweisungs formular fiir Browser Zertifikate Netscape Internet Explorer NSBrowserSSLcert_Revoke jsp IEBrowserSSLcert_Revoke jsp Bildmaterial und Ban ner auf einer Grafiken auf Web Seiten NSBrowserSSLCert_RevokeRecd jsp der Registrierungs funktion nenten
130. f Systemprivilegien erlangen k nnen f r die sie nicht berechtigt sind Hierarchie Die Organisation von Zertifikatsausstellern CAs innerhalb einer Trust Kette Diese beginnt mit einem selbst unterzeichnenden CA oder bergeordneten Root CA der sich an der h chsten Position befindet und endet mit dem CA der Zertifikate f r Endbenutzer ausstellt H chster CA Der CA der innerhalb der PKI CA Hierarchie die h chste Position einnimmt Version 3 Release 7 1 HTML Hypertext Markup Language HTTP Hypertext Transaction Protocol HTTP Server Ein Server der die Web gestiitzte Kommunikation mit Browsern und anderen Programmen im Netz steuert Hypertext Textsegmente die einzelne oder mehrere W rter umfassen oder Bilder enthalten auf die der Leser mit der Maus klicken kann um ein anderes Dokument aufzurufen und anzuzeigen Diese Textsegmente werden als Hyperlinks bezeichnet Ruft der Leser diese anderen Dokumente auf stellt er zu diesen eine Hyperlink Verbindung her Hypertext Markup Language HTML Eine Formatierungssprache f r das Codieren von Web Seiten HTML basiert auf SGML Standard Generalized Markup Language Hypertext Transaction Protocol HTTP Ein Client Server Protokoll f r das Internet mit dem Hypertext Dateien im Web bertragen werden ICL Issued Certificate List Liste der ausgestellten Zertifikate Identit tsnachweis Vertrauliche Informationen die verwendet werden um beim Austausch von Daten w hrend de
131. fernt bevor der Name subjectName in die Zertifikatsanforderung eingebunden wird Hierdurch k n nen Sie subjectName Felder mit zahlreichen RDN Werten definieren die lediglich in beschr nktem Umfang benutzt werden k nnen Beispiel C US 0 Your Company OU Your Department CN default request first name 5request last name CN_pkcs10 pkcs10 CN default CN_default CN request CN default CN_pkcs10 subject s State or Province ST_pkcs10 pkcs10 ST ST request ST default ST_pkcs10 3 Subject s Locality L_pkcs10 pkcs10 L L request L default L_pkcs10 Subject s Postal Code PC_pkcs10 pkcs10 PC PC request PC default PC_pkcs10 Domain Components Now we build the whole name subjectName DOMAIN_COMPONENTS C C 0 0 0U 0U ST S1 L L PC PC 1 1 CN CN Wenn der Variablen ST oder LI kein Wert zugeordnet ist und wenn die Werte der Anforderungsvariablen request first_name John und request last_name Doe lau ten gilt f r subjectName folgendes C US 0 Your Company OU Your Department CN John Doe x_objectclass Diese Regel definiert die Objektklasse die verwendet werden soll wenn Eintr ge im Verzeichnis Directory f r den RDN Typ x erstellt werden Au erdem definiert diese Regel sowohl die erforderlichen als auch die optionalen Attribute die beim Erstellen des Verzeichniseintrag
132. fordert Der urspr ngliche Verwendungszweck ist nicht mehr g ltig Der Zertifikatseigner ben tigt das Zertifikat nicht mehr f r seine urspr ngliche Ver wendung Benutzer hat die Zugeh rigkeit ge ndert Der Benutzer verf gt nicht mehr ber die Zugeh rigkeit f r die das Zertifikat ange fordert wurde Der Benutzerschl ssel war besch digt Der private Schl ssel des Benutzers wurde besch digt Einzeldaten von Zertifikaten 62 Im vorliegenden Abschnitt werden die Elemente aufgelistet und beschrieben die zu einem Zertifikat geh ren Zertifikatstypen Ein Tivoli PKI System stellt mehrere Zertifikatstypen f r die unterst tzten Zertifikats kategorien und Protokolle zur Verf gung m Der Registrator kann ein Profil aus einer Liste mit Anforderungsprofilen auf dem RA Desktop zuordnen m Ein Benutzer kann diese aus einer Liste ausw hlen wenn er sich f r einen bestimmten Zertifikatstyp entscheidet Der Name des Zertifikats zeigt an wie lange es g ltig ist und welche prim re Verwendung f r den Schl ssel definiert wurde Beschreibungen verschiedener Funktionen finden Sie im Profile unterscheiden sich in den folgenden Punkten m Schl sselverwendung hierbei kann mehr als eine Funktion definiert werden m G ltigkeitszeitraum m M glicherweise hinzugef gte benutzerdefinierte Erweiterungen Sie k nnen ein Profil kopieren und als Schablone f r das Erstellen zus tzlicher Zertifikatsan gebote f r Ihr Unternehmen
133. formular des Brow sers Netscape m ssen Sie die im Folgenden hervorgehoben dargestellten Anderungen vornehmen CertProfiles NSBrowserSSLCert SSLBrowserCertlYear SSLBrowserCert2Year S MIMECertlYear S MIMECert2Year NewProfilelYear NewProfile2Year 4 Zum Hinzuf gen eines einzelnen neuen Profils zum Zertifikatsregistrierungsformular des Browsers Internet Explorer m ssen Sie die im Folgenden hervorgehoben dargestellten Anderungen vornehmen CertProfiles IEBrowserSSLCert SSLBrowserCertlYear SSLBrowserCert2Year S MIMECert1Year S MIMECert2Year NewProfilelYear 5 Zum Hinzuf gen eines einzelnen neuen Profils zum Registrierungsformular f r Server und Einheiten m ssen Sie die im Folgenden hervorgehoben dargestellten Anderungen vornehmen CertProfiles PKCS107Cert SSLServerCertlYear SSLServerCert2Year IPSecCert1Year IPSecCert2Year NewProfilelYear Version 3 Release 7 1 6 7 Zum Hinzuf gen eines einzelnen neuen Profils zum Registrierungsformular f r die Zertifikatsvorabregistrierung und zur Anzeige dieses Profils nach IPSecCert2Year m s sen Sie die im Folgenden hervorgehoben dargestellten Anderungen vornehmen CertProfiles PreReg S MIMECert1Year S MIMECert2Year IPSecCertlYear IPSecCert2Year NewProfilelYear SSLServerCert1lYear SSLServerCert2Year SSLBrowserCert1lYear SSLBrowserCert2Year SignatureOnlyCert1Year SignatureOnlyCert2Year KeyEnciphermentCertlYear KeyEnciphermentCert2Year DataEnciphermentCertlYear DataEnciphermentCe
134. g wird in Form eines Registrierungsformulars gestellt das an die Registrierungsstelle von_Tivoli PKI tibergeben wird Jede Registrierungsanforderung wird in einem Datensatz in der SE festgehalten Aktualisierungen an diesem Datensatz spiegeln alle Aktionen zu der Anforderung und auch deren Zur ckweisung wider Wenn ein Zertifikat erstellt wird protokolliert dieser Datensatz au erdem alle Ereignisse die mit dem Zertifikat in an stehen Der Registrierungssatz enth lt also alle Ereig IKE da nisse die w hrend der ei einer Anforderung sowie des zugeh rigen Zertifikats eingetreten sind Zertifizierung Als Zertifizierung bezeichnet man die Erstellung eines digitalen Zertifikats f r eine Entit t oder Person Unter Tivoli PKI wird die Zertifizierung nur nach der Auswertung und Geneh migung einer IR durchgefiihrt Als Ergebnis der Registrierung und Genehmigung stellt der CA anschlie end die gew nschten Zertifikate aus Bei Tivoli PKI stimmt der ausgestellte Zertifikatstyg mit een Ihres Unternehmens ber ein u Tivoli PKI unterst tzt die gegenseitige Zertifizierung bei der CAs die sich als gesichert betrachten ihre Zertifikate gegenseitig als Nachweis der akzeptieren Tivoli PKI unterst tzt au erdem eine CA Hierarchie CAs betrachten diejenigen CAs als gesichert die innerhalb der Hierarchie ber ihnen stehen und akzeptieren die Zertifikate dieser CAs als Nachweis der Authentizit t Tivoli PKI Anpassung 25 ueDunjoejne
135. genden ist die Standardverzeichnis struktur dargestellt Der Name Ihrer Dom ne und der zugeh rige Installationspfad k nnen von den Standardwerten f r die Tivoli PKI Installation abweichen Die korrekten Werte erfahren Sie beim zust ndigen Systemadministrator Unter AIX usr lpp iau pkrf Domains YourDomain Unter Windows c Program Files IBM Trust Authority pkrf Domains YourDomain Die folgenden Komponenten Ihrer Registrierungsfunktion sind bestimmten Anpassungs Tasks zugeordnet oder stehen in enger Beziehung zu diesen Komponente Unterverzeichnis Dateiname Zertifikatsprofile etc Lertificate profiles cfgl Anzeigenamen f r Zertifikatstypen etc txt Zertifikatsbeschreibungen E Mail Benachrichtigungsbriefd etc ltr Grafikdateien Web Seiten gif HTML Dateien Web Seiten html lava Server Seiter Web Seiten jsp Resel Exil bin auto_approve exe Konfigurationsdatei der Registrierungs etc aconfig cfgl funktion Servlets kompilierter JSP Dateien servlets pagecompile YourDomain Anpassbare Elemente In der folgenden Tabelle sind alle Elemente Ihrer Registrierungsfunktion aufgef hrt die Sie anpassen k nnen Dar ber hinaus enth lt sie Informationen dazu in welcher Komponente das Element enthalten ist Anpassbares Element Zu editierende Komponente Bildmaterial auf JSP Seiten Java Server Seiten Banner auf einer Registrierungsseite Java Server Seiten Bei der
136. gespeichert werden k nnen Unter Windows NT eignen sich die Microsoft Editoren Notepad und Wordpad nicht zur Durchf hrung von Anderungen Wenn Sie z B mit Micro soft Wordpad eine Datei in traditionellem Chinesisch speichern wollen berschreibt dieser Editor bestimmte Zeichen und speichert die Daten im Big5 Format Dies gilt auch dann wenn die urspr ngliche Datei im UTF 8 Format codiert ist Informationen zu Editoren die das Speichern von Daten in der nativen Codepage unterst t zen finden Sie in eite Anmerkung Wenn Sie Tivoli PKI unter Windows NT installiert haben m ssen Sie allen f r die Registrierungsfunktion erstellten Ressourcendateien z B allen HTML und JSP Dateien Namen in Kleinbuchstaben zuordnen Der IBM HTTP Server gibt die Fehlernachricht ERROR 404 NOT FOUND aus wenn er Dateinamen feststellt die in GroBbuchstaben oder in Gro Kleinschreibung angegeben sind Verwenden Sie als Dateinamen z B my html jedoch nicht MY html oder My html Dieses Problem auf dem IBM HTTP Server betrifft Installationen von Tivoli PKI unter AIX nicht Anpassen der Registrierung Sie k nnen die Registrierungsfunktion anpassen Durch die vorgenommenen nderungen k nnen die Registrierungsanforderungen Ihres Unternehmens besser unterst tzt werden Dar ber hinaus k nnen Sie die Registrierungsfunktion so anpassen dass sie sich an den Normen und Richtlinien orientiert die innerhalb Ihres Unternehmens f r die Gestaltung
137. gezeigte URL Adresse nach dem Verlas sen 16 Regel Exit 11 Registrierung 6 Registrierungsauswahlliste 8 Registrierungsbildmaterial 9 Registrierungsfeld 7 Registrierungsfunktion 19 Registrierungstext 9 Registrierungsverbindungen 10 Zertifikatsprofil 13 15 Zertifikatstypbeschreibungen 13 14 15 Anpassung planen 5 Regel Exit 11 Registrierung 6 Schliisselsicherung und wiederherstellung 16 Tools 41 verwendete Dateiadressen 42 Zertifikate 12 Anpassungs Tasks Abh ngigkeiten 19 Anforderungsinformationen ndern 17 Anzeigename f r Zertifikatstyp ndern 14 Automatisierung Wartestatus 10 Benutzererweiterungen hinzuf gen 15 Directory Eintr ge 6 Directory Eintr ge erstellen 6 Genehmigung automatisieren 10 17 Inaktivieren der Schl sselsicherung und wiederherstel lung 16 planen 5 Regel Exit hinzuf gen 11 Registrierungsbildmaterial hinzuf gen 9 Registrierungsfeld hinzuf gen 7 Status Erneuerbar automatisch definieren 10 Status Nicht erneuerbar automatisch definieren 10 Systemwiederanlauf erforderlich 19 URL Adresse f r RA Desktop ndern 16 Zertifikatsprofil ndern 13 Zertifikatsprofil hinzuf gen 13 Zertifikatsprofil l schen 15 Tivoli PKI Anpassung Anpassungs Tasks Forts Zertifikatstyp umbenennen 14 Zertifikatstypbeschreibung ndern 14 Zertifikatstypbeschreibung hinzuf gen 13 Zertifikatstypbeschreibung l schen 15 zu Auswahlliste hinzuf gen 8 Anpassungsbeispiel 69 Anpassungsplanung 19 Anzeigen
138. gistrierungs und Zertifizierungsziele Ihrer Unternehmensregeln anpassen k nnen So erhalten Sie beispielsweise Anweisungen zur Anpassung von HTML und Java Server Seiten Benachrichtigungsschreiben Zertifikatsprofilen und Regel Exits Die Website von Tivoli PKI enth lt weitere Dokumente die Sie bei der Installation Verwal tung und Verwendung von Tivoli PKI unterst tzen So finden Sie hier beispielsweise zus tz liche Richtlinien zum Directory Schema und erfahren wie Tivoli PKI mit dem IBM Secure Way 4758 PCI Cryptographic Coprocessor integriert werden kann Inhalt des Handbuchs Dieses Handbuch enth lt folgende Informationen liefert eine kurze Beschreibung der Funktio nen und des oo von Tivoli PKI m bersicht auf Seite 3 beschreibt den Anpassungsprozess und erl utert Bereiche von Tivoli PKI die angepasst werden k nnen enth lt Task orientierte Informationen und Anleitungen zur Anpassung von Tivoli PKI a enth lt Basisinformationen zu Tivoli PKI und Konzepten die mit den Anpassungs Tasks in Zusammenhang stehen D enth lt Feldbeschreibungen Werte und Attribute die bei der Anpassung ges Registrierungsfunktion eine Rolle spielen k nnen erl utert die Vorgehensweise beim Anpassen verschie dener Aspekte von Tivoli PKI Anhand eines Beispielszenarios und von Mustercodes wird gezeigt wie entsprechende Anderungen vorgenommen werden D definiert die Termini und Abktirzungen die in diesem H
139. gruppe und f gen Sie sie in die Datei ein ndern Sie diese anschlie end so dass sie die gew nschten Kenndaten enth lt 5 Speichern und schlie en Sie die Datei zu den Angaben hinzu die der Antrag steller anzeigen kann Hinzuf gen der Beschreibung eines Zertifikatstyps W hrend der Registrierung wird den Antragstellern eine Liste der verf gbaren Zertifikats typen angezeigt Das Registrierungsformular enth lt eine Verbindung zu Beschreibungen die ser Zertifikatstypen um dem Antragsteller die Auswahl zu erleichtern Nach dem en eines neue und der Zuordnung eines Anzeigenamens k nnen Sie dessen Beschreibung zu SS anderen Beschreibungen hinzufiigen Gehen Sie hierzu wie folgt vor 1 Erstellen Sie eine Sicherungskopie von CertTypes jsp Diese Datei enth lt eine Beschreibung der Zertifikatstypen die die Antragsteller anzeigen und ausw hlen k nnen 2 ffnen Sie die Datei mit einem Editor der das UI TF 8 Formal unterst tzt Suchen Sie die Position an der der neue Zertifikatstyp beschrieben werden soll 4 Kopieren Sie den Text einer hnlichen Zertifikatstypbeschreibung und f gen Sie diesen ein 5 Andern Sie den Text entsprechend Ihren individuellen Anforderungen 6 Speichern und schlieBen Sie die Datei Andern eines Zertifikatsprofils Sie k nnen bestimmte Kenndaten eines ndern Hierzu geh ren z B die folgenden Komponenten m Standardeinstellung f r den G ltigkeitszeitraum m Wichtigste
140. gs Web Seiten k nnen optisch an andere Dokumente und Anwendungen Ihres Unternehmens angepasst werden W Sie k nnen Zertifikate anbieten die bestimmten Anforderungen Ihrer Mitarbeiter und Kunden entsprechen Version 3 Release 7 1 Informationen zur Vorgehensweise Die Themen in diesem Kapitel enthalten schrittweise Anweisungen zur Ausf hrung von Tasks die Sie bei der Anpassung Ihrer Registrierungsdom ne ausf hren m ssen Hierzu geh ren z B folgende Operationen m ndern der Darstellung der Registrierungsseiten m Durchfiihren von Anderungen an einem Zertifikatsprofil Planen der Anpassung Gehen Sie wie folgt vor um die Anpassung Ihres Systems zu planen 1 Stellen Sie eine Liste der Anforderungen Ihres Unternehmens zusammen Diese sollte z B folgende Informationen enthalten m Welche Funktionen sollen f r Zertifikate bereitgestellt werden B Welche Terminologie eignet sich am besten f r Ihre Benutzer wenn diese auf die e e ebseiten zugreifen m Welche Anzeige soll aufgerufen werden wenn Benutzer die Registrierungs Web Seite verlassen B Welche Informationen soll ein Antragsteller in einer ng erhal ten nachdem eine Registrierungsanforderung verarbeitet wurde m Welche Daten sollen w hrend der Registrierung und Zertifizierung erfasst werden m Welche anderen Verarbeitungsoperationen sollen w hrend der Registrierung ausge f hrt werden m Welche anderen Anwendungen sollen w hrend der Registri
141. gt lt STRING Colon gt STRONG lt STRING Spacer gt lt STRING RequiredLbl gt lt errorFlags 16 gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 16 gt SIZE lt sizeOfInputFields gt MAXLENGTH 64 VALUE lt inputFieldReturnValues 16 gt gt lt TD gt lt TR gt lt TABLE gt Version 3 Release 7 1 berpr fen pers nlicher Daten Im LoTo Organization Beispiel wollen Sie pr fen k nnen ob Benutzer ihre pers nlichen Informationen auf den Registrierungs Web Seiten im Browser eingeben Auf den Browser Registrierungs Web Seiten m ssen Sie pr fen ob die Felder f r die laufende Mitarbeiter nummer den Jobtitel und die Versicherungsnummer ausgef llt wurden Gehen Sie wie folgt vor um zu pr fen ob die Felder f r die laufende Mitarbeiternummer den Jobtitel und die Versicherungsnummer ausgef llt wurden 1 In der Datei NSBrowserSSLCert_Enroll jsp m ssen Sie unter folgendem Code segment lt Missing E mail Address Alert Ss SCRIPT LANGUAGE JavaScript lt function MissingEmailAddressAlert var STRING_MissingEmailAddressPrompt Please enter your e mail address if document RegForm lt emailNotificationFieldName gt checked amp amp document RegForm lt inputFieldNames 3 gt value alert STRING MissingEmailAddressPrompt document RegForm lt inputFieldNames 3 gt focus
142. h andere ihnen quivalente Produkte Programme oder Dienstleis tungen verwendet werden solange diese keine gewerblichen Schutzrechte der IBM verletzen Die Verantwortung f r den Betrieb der Produkte Programme und Dienstleistungen in Verbindung mit Fremdprodukten liegt beim Kunden soweit solche Verbindungen nicht ausdr cklich von IBM best tigt sind F r in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder Patentanmeldungen geben Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbunden Lizenzanforderungen sind schriftlich an IBM Europe Director of Licensing 92066 Paris La Defense Cedex France zu richten Anfragen an obige Adresse m ssen auf englisch formuliert werden C E N U INE SEE Dieses Programm enth lt Sicherheitssoftware von RSA Data Security Inc Copyright 1994 RSA Data Security Inc Alle Rechte vorbehalten Dieses Programm enth lt STL Software STL Standard Template Library von Hewlett Packard Company Copyright c 1994 m Die Berechtigung zum Verwenden Kopieren Andern Verteilen und Verkaufen dieser Software sowie der zugeh ri gen Dokumentation f r die gew nschten Zwecke wird hiermit geb hrenfrei erteilt Voraussetzung hierf r ist aller dings da der o a Copyrightvermerk auf allen Kopien erscheint und da sowohl dieser Copyrightvermerk als auch dieser Berechtigungshinweis in der zugeh rigen Dokumentation aufgef hrt werden Hewlett Packard
143. hl sselpaar aus ffentlichem und privatem Schl ssel Ein Schl sselpaar aus ffentlichem und privatem Schl ssel stellt ein grundlegendes Element der Verschl sselung auf der Basis von Schl sselpaaren dar Diese Form der Verschl sselung wurde im Jahr 1976 von Whitfield Diffie und Martin Hellman eingef hrt um Probleme bei der Schl sselverwaltung zu l sen Nach diesem Konzept erh lt jeder Benutzer ein Schl sselpaar bei dem einer als ffentlicher und einer als privater Schl ssel bezeichnet wird Der ffentliche Schl ssel ist hierbei allgemein bekannt der private Schl ssel wird hingegen geheim gehalten Sender und Empf nger m ssen geheime Daten nicht gemeinsam benutzen Alle Kommunikationsoperationen wer den lediglich auf der Basis ffentlicher Schl ssel ausgef hrt Die privaten Schl ssel werden niemals bertragen oder gemeinsam verwendet Auf diese Weise ist es nicht mehr notwendig sich auf die Sicherheit eines bertragungskanals gegen ber Manipulationen zu verlassen Die einzige Anforderung ist dass ffentliche Schl s sel den entsprechenden Benutzern in einer gesicherten authentifizierten Weise z B in einem gesicherten Ver zeichnis zugeordnet werden Jeder Benutzer kann nun mit Hilfe dieser ffentlichen Daten eine vertrauliche Nachricht senden Diese Nachricht kann nur mit einem privaten Schl ssel entschl sselt werden auf den allein der gew nschte Empf nger zugreifen kann Dar ber hinaus kann die Verschl sselung auf
144. i Modems nur einmal gesendet werden m ssen Anschlie end wird die Kom munikation verschl sselt und die Nachrichtenintegrit t wird solange berpr ft bis die SSL Sitzung abgelaufen ist Server 1 In einem Netz eine Datenstation die anderen Stationen Funktionen zur Verf gung stellt wie beispielsweise ein Datei Server 2 In TCP IP ein System in einem Netz das die Anforderungen eines Systems an einem ande ren Standort verarbeitet Dieses Konzept wird als Client Server Modell bezeichnet Server Zertifikat Ein digitales Zertifikat das von einem CA ausgegeben wird und es einem Web Server erm glicht SSL gest tzte Transaktionen auszuf hren Wenn ein Browser ber das SSL Protokoll eine Verbindung zum Server herstellt sen det der Server seinen ffentlichen Schl ssel an den Browser Hierdurch kann die Identit t des Servers authentifi ziert werden und es k nnen verschl sselte Daten an den Server gesendet werden Siehe auch CA Zertifikat Digi tales Zertifikat und Browserzertifikat Servlet Ein Server Programm das zus tzliche Funktionen f r Server zur Verf gung stellt die Java unterst tzen SET Secure Electronic Transaction SGML Standard Generalized Markup Language SHA 1 Secure Hash Algorithm Ein von NIST und NSA entwickelter Algorithmus der beim DSS Digital Signature Standard verwendet wird Der Standard wird als Secure Hash Standard bezeichnet SHA ist der Algorithmus der von diesem Standard ver wendet wird Er
145. i PKI Webintormationen 2 u zu us pusa aus opa anis opata anku oy ES Ea SUR ASS xi Kapitel 1 Informationen zu Tivoli PKI eese 1 Kapitel 2 bersicht 3 Kapitel 3 Informationen zur Vorgehensweise 5 Planen der Anpassung see three e de Rea qd e e ee vq e d 5 Editieren anpassbarer Dateien ss Ludere rox dvi eee dade bere n bie ipe dede 6 Anpassen der Registrierung yu cesses eee eee f mar 6 Directory Eintr ge w hrend der Registrierung erstellen 6 Hinzuf gen eines Registrierungsfelds asan a sa uwa es 7 Hinzuf gen eines Werts zu einer Auswahlliste llle 8 ndern von Bildmaterial auf einer Registrierungsseife 9 ndern von Text auf einer Registrierungsseife 9 ndern von Text im Benachrichtigungsbrief _ 9 Herstellen einer Verbindung zur Registrierung ber eine andere URL Adresse 10 Aktivieren der automatischen Anforderungsverarbeitung 22 22 0 0 0 cee eee eee 10 Aktivieren der E Mail Benachrichtigung unter Windows NIT 10 Anpassen des Regel Exits es crece etos EE EIERE RR EE ELE NEE NIE RI NN REENEN ENEE EN E 11 Identifizieren des Regel Exit Namens llle 11 ndern des Beispiel Regel Exits rasen a m E CO EO EORR Ra EY EROR a en 11 Ersetzen des Beispiel Regel Exit
146. icherstellen dass das f r validityNotBefore angegebene Datum vor dem Datum liegt das f r validityNotAfter definiert wird Beachten Sie hierbei dass alle Datums und Zeitangaben als Werte in Westeurop i scher Zeit WEZ und nicht in Lokalzeit interpretiert werden 37 ueDunjoejne3 E validityNotAfter Das Feld validityNotAfter definiert das letzte Datum zu dem das Zertifikat noch seine G ltigkeit besitzt Wie auch beim Feld validityNotBefore kann der Wert als ganze Zahl von Tagen oder als absolutes Datum ausgedriickt werden Beispiel Define validityNotAfter values validityNotAfter_range 0 365 validityNotAfter default 365 validityNotAfter request validityNotAfter default validityNotAfter_default In diesem Fall kann der Endbenutzer oder der Regel Exit des Kunden anfordern dass das Enddatum des Zertifikats in dem Bereich zwischen dem aktuellen Datum und dem darauf folgenden Jahr liegt Wenn der angeforderte Wert ber diesen Bereich hinausgeht wird der Standardwert ein Jahr verwendet Verwenden Sie keine Datums oder Tagesangaben in der Vergangenheit negative ganze Zahlen da dies dazu f hren kann dass der CA die Zertifikatsanforderung zur ckweist Dar ber hinaus muss der Wert f r validityNotAfter nach dem Wert f r validity NotBefore liegen Es gibt Situationen in denen Sie m glicherweise unabh ngig vom Ausstellungsda tum des Zertifikates ein spezifisches Enddatum definieren woll
147. imp lementieren Informationen zu den f r eine Anpassungs Task erforderlichen Arbeitsschritten finden Sie in den Informa Quellendateien auf den Webseiten Dieses Thema enth lt eine Liste der Java Server Seiten die als Quellendateien f r die Registrierungs Web Seiten verwendet werden k nnen Die Namen dieser Quellendateien sind Komponenten der Webadressen die bei der Durchf hrung der Registrierung f r Ihre Registrierungsfunktion verwendet werden Sie k nnen unterschiedliche Webadressen ange ben Wenn Sie eigene Werte einsetzen benennen Sie diese in der Konfigurationsdatei der Registrierungsfunktion um Wurde diese Einstellung in Ihrem Unternehmen nicht ge ndert setzen sich Webadressen immer aus dem Namen Ihres ffentlichen Webservers und Ihrem Dom nennamen zusammen Lauter beispielsweise der Name Ihres ffentlichen Webservers MyPublicWebServer und der Dom nenname MyDomain k nnen Sie ber die folgende Webadresse auf die Registrie rungsfunktion zugreifen http MyPublicWebServer MyDomain Zu dieser Basiskomponente werden die folgenden JSP Seiten hinzugef gt um die Webadres sen f r die Registrierungswebseiten zu vervollst ndigen Werden mehrere Dateien angezeigt gelten die mit der Zeichenfolge NS beginnenden Namen f r den Browser Netscape Die Namen die mit IE beginnen k nnen im Browser Internet Explorer angezeigt werden Seite Zweck Dateiname Identit tsnachweis Homepage
148. index jsp Verwaltung Tivoli PKI Anpassung 43 ueuoneuloJul ZU919J9H G Seite Zweck Dateiname Registrierungs Browser Netscape Browser Internet NSPbroevserSSLcert_Enroll jsp formulare fiir alle Server oder Einheiten IEBrowserSSLcert Enroll jsp Registrierungstypen Vorabregistrierung PKCS107Cert Enroll jsp PreReg_Enroll jsp Beschreibungen von Anzeigenamen certificate profiles cfg Zertifikaten Beschreibungen CertTypes jsp Seiten f r Benutzer Fehlernachrichten TA ErrorMsg jsp r ckmeldungen Instruktionen nach dem CkStatus jsp bergeben Statusinformationen Genehmigung Approved jsp Wartestatus Pending jsp Zur ckweisung Rejected jsp Erneuerungsformular Netscape NSBrowserSSLcert_Renew jsp fiir Browser Zertifi Internet Explorer IEBrowserSSLcert Renew jsp kate Zur ckweisungs Netscape NSBrowserSSLcert_Revoke jsp formular f r Browser Internet Explorer IEBrowserSSLcert Revoke jsp Zertifikate Bestatigung f r Netscape NSBrowserSSLcert_RevokeRecd jsp Widerrufanforderung Internet Explorer IEBrowserSSLcert_RevokeRecd jsp Beispieldateien Die folgenden Themen enthalten die Dateien bzw Ausziige aus den Dateien die von Ihnen angepasst werden k nnen Die nderungen k nnen mit einem UTF 8 fahigen Texteditor vor genommen werden Dar ber hinaus sollten Sie zuerst eine Sicherungskopie der Original dateien erstellen Wenn Sie Dateien umbenennen oder eigene Dateien f r diese
149. index jsp gt gt Certificate Enrollment A Beispiel http myserver mycompany com YourDomain index jsp 4 Speichern und schlieBen Sie die Datei Aktivieren der automatischen Anforderungsverarbeitung Die Genehmigung und Erneuerbarkeit einer Registrierungsanforderung wird durch das w h rend der Registrierungsanforderung ausgew hlte Zertifikatsprofil definiert Standardm ig setzt ein Zertifikatsprofil eine Anforderung automatisch in den Wartestatus pend und defi niert diese als nicht erneuerbar false Um diese Prozedur zu ndern und Anforderungen z B automatisch zu genehmigen und automatisch als erneuerbar zu definieren m ssen Sie in der Datei certificate_profiles cfg eine oder beide der folgenden Einstellungen zur Zeilen gruppe des Zertifikatsprofils hinzuf gen Auto approve or pend decision_default approve 3 renewable true or false credential_renewable true Aktivieren der E Mail Benachrichtigung unter Windows NT Die Registrierungsfunktion des Web Browsers erm glicht Ihnen das Empfangen einer E Mail Benachrichtigung zum Status Ihrer Zertifikatsanforderungen Um diese Funktion in einer Windows NT Umgebung zu aktivieren miissen Sie entweder fiir den RA Server einen lokalen SMTP Server Simple Mail Transfer Protocol konfigurieren oder einen Zeiger auf einen SMTP Host in der Konfigurationsdatei der Registrierungsfunktion definieren Gehen Sie wie folgt vor um einen Zeiger auf einen SMTP Server zu
150. inem anderen Zweck 1 und 2 Jahre Unbestreitbarkeit Dieses Zertifikat stellt die Funktionen f r Nachrichtenverschl sselung und digitale Unterschriften zur Verf gung um die Unbestreitbarkeit des Nach richtenabsenders bzw die Unbestreitbarkeit der Nachrichtenzustellung zu gew hrleisten 1 und 2 Jahre Nur Unterschrift Mit diesem Zertifikat kann der Eigner Dateien digital unterzeichnen Das Zertifikat dient keinem anderen Zweck 1 und 2 Jahre Web Client Authentifizierung Mit diesem Zertifikat kann ein Webbrowser an einer vom Client authentifi zierten SSL Sitzung teilnehmen Der Benutzer des Browsers Kann mit die sem Zertifikat auf eine bestimmte gesicherte Website zugreifen Das Zertifi kat stellt die Funktionen f r digitale Unterschriften Unbestreitbarkeit und Verschl sselung von Schl sseln zur Verf gung und wird normalerweise f r Endbenutzer verwendet 1 und 2 Jahre Web Server Authentifizierung Mit diesem Zertifikat kann ein Server an einer vom Server authentifizierten SSL Sitzung teilnehmen Das Zertifikat stellt die Funktionen f r digitale Unterschriften und Verschl sselung von Schl sseln zur Verf gung Benutzerdefinierte Erweiterungen Erweiterungen werden einem Zertifikat in Form von Name Wert Paaren name value hin zugef gt und k nnen zu den Attributen geh ren die RA Desktop f r ein Zertifikat anzeigt Die folgenden Zertifikatgerweiterungen sind f r die Zertifikate von Personen zul ssig die eine ge
151. ionen PKI stellt ffentliche Chiffrierschl ssel und Benutzerzertifikate f r die Authentifizierung durch eine berechtigte Einzelperson oder ein berechtigtes Unternehmen zur Verf gung Er stellt Online Verzeichnisse bereit die die ffentlichen Chiffrierschl ssel und Zertifikate enthalten die zur berpr fung der digitalen Zertifikate Identit ts nachweise sowie der digitalen Unterschriften verwendet werden PKI stellt au erdem Funktionen zur schnellen und effizienten Antwort auf Pr fabfragen und Anforderungen f r offentliche Chiffrierschl ssel bereit Der Standard dient dar ber hinaus zur Identifizierung potenzieller Sicherheitsl cken im System und zur Verwaltung von Ressourcen zur Bearbeitung von Sicherheitsverletzungen PKI bietet au erdem einen digitalen Zeitmarkenservice f r wichtige Unternehmenstransaktionen Version 3 Release 7 1 RA Registration Authority Registrierungsstelle RA Desktop Ein Java Applet das den RAs eine Grafikschnittstelle f r die Verarbeitung von Anforderungen f r Identit tsnach weise und zur Verwaltung dieser Nachweise w hrend ihrer G ltigkeitsdauer zur Verf gung stellt RA Server Der Server f r die RA Komponente von Tivoli PKI RC2 Eine variable Schl sselgr Den Block Cipher die von Ron Rivest f r RSA Data Security entwickelt wurde RC steht f r Ron s Code oder Rivest s Cipher Sie arbeitet schneller als DES und l st diese Block Cipher ab Durch die Verwendung geeigneter Schl sselgr
152. iversal Database IBM RS 6000 SecureWay Tivoli and WebSphere sind in gewissen L ndern ein getragene Marken der International Business Machines Corp oder von Tivoli Systems Inc Das Programm Tivoli PKI im folgenden als Programm bezeichnet enth lt Komponenten von IBM WebSphere Application Server und IBM HTTP Web Server IBM Server Diese d rfen nur zusammen mit dem Programm installiert und entsprechend der f r das Programm geltenden Lizenzvereinbarungen in Kombination mit diesem verwen det werden Die IBM Server m ssen auf derselben Maschine wie das Programm installiert sein Sie sind nicht berech tigt sie unabh ngig vom Programm zu installieren und zu verwenden Das Programm Tivoli PKI im folgenden als Programm bezeichnet enth lt Komponenten von DB2 Universal Database Diese Komponenten d rfen nur zusammen mit dem Programm installiert und entsprechend der f r das Pro gramm geltenden Lizenzvereinbarungen in Kombination mit diesem verwendet werden um Daten zu speichern und zu verwalten die vom Programm verwendet oder generiert werden F r andere Datenverwaltungsoperationen ist der Ein satz nicht gestattet Diese Lizenz gilt z B nicht f r eingehende Verbindungen zur Datenbank die von anderen Anwen dungen aus f r Abfragen und Berichtserstellungsoperationen hergestellt werden Sie sind lediglich zur Installation und Verwendung dieser Komponenten auf der gleichen Maschine berechtigt auf der auch das Programm installiert und ve
153. kats abzurufen ANSI American National Standards Institute Applet Ein in der Programmiersprache Java geschriebenes Computerprogramm das innerhalb eines Java kompatiblen Webbrowsers ausgef hrt werden kann Wird auch als Java Applet bezeichnet Art Siehe Objektart ASCII American National Standard Code for Information Interchange Tivoli PKI Anpassung 117 Jesso 5 118 ASN 1 Abstract Syntax Notation One Asymmetrische Verschliisselung Ein Verschliisselungsverfahren das zur Ver und Entschliisselung unterschiedliche asymmetrische Schliissel ver wendet Jedem Benutzer wird hierbei ein Schliisselpaar zugeordnet das einen allgemeinen f r alle zug nglichen Schl ssel und einen privaten Schl ssel umfasst der nur dem jeweiligen Benutzer bekannt ist Eine gesicherte Transaktion kann ausgef hrt werden wenn der ffentliche Schl ssel sowie der zugeh rige private Schl ssel ber einstimmen In diesem Fall kann die Transaktion entschl sselt werden Dieses Verfahren wird auch als Verschl s selung auf der Basis von Schl sselpaaren bezeichnet Gegensatz zu Symmetrische Verschl sselung Asynchrone bertragung Ein bertragungsmodus bei dem Sender und Empf nger nicht gleichzeitig vorhanden sein m ssen Authentifizierung Der Vorgang bei dem die Identit t eines Teilnehmers an einer bertragung zuverl ssig berpr ft wird Base64 Verschl sselung Ein h ufig verwendetes Verfahren bei der bertragung von Bin rdaten mit M
154. kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk int numOfCountries 3 String STRING CountryNames new String numOfCountries String countryCodes new String numOfCountries countryCodes 0 ES countryCodes 1 GB countryCodes 2 US STRING CountryNames 0 Spain STRING CountryNames 1 United Kingdom STRING CountryNames 2 United States String selectedCountryCode request getParameter inputFieldNames 12 if selectedCountryCode null selectedCountryCode equals selectedCountryCode String request getAttribute inputFieldNames 12 if selectedCountryCode null selectedCountryCode equals selectedCountryCode defaultCountryCode Tivoli PKI Anpassung 101 jaidsieqsbunsseduy 9 102 Generate the Country dropdown list items ansueseccuec ecce e ne neuen cet n reae ea eben for int i 0 i lt numOfCountries i Determine if current item needs to be preselected if countryCodes i equals selectedCountryCode selectedLbl SELECTED else selectedLbl Create the list item out printIn lt OPTION VALUE countryCodes i selectedLbl gt STRING CountryNames i countryCodes i gt lt SELECT gt lt TD gt lt TR gt Sammeln von unternehmensbezogenen Kunden und Mitarbeiterdaten Im LoTo Organization Beispiel wollen Sie Mitarbeiterdaten aus der
155. kumentation interessiert uns Gerne neh men wir Verbesserungsvorschl ge Ihrerseits entgegen Falls Sie Kommentare oder Anregun gen zur vorliegenden Dokumentation haben senden Sie uns bitten eine E Mail an folgende Adresse pubs tivoli com Webinformationen Kunden von Tivoli und IBM Tivoli finden Onlineinformationen zu allen Tivoli Sicherheits produkten und Tivoli PKI Um wichtige Informationen tiber kurzfristigen Produktaktualisierungen oder Service informationen zu Tivoli PKI abzurufen beginnen Sie auf folgender Website Tivoli PKI Anpassung xi xii Version 3 Release 7 1 Informationen zu Tivoli PKI Tivoli Public Key Infrastructure stellt Anwendungen zur von Benutzern und zur Gew hrleistung einer gesicherten Kommunikation bereit Das Produkt erm glicht Organisationen und Unternehmen das Ausstellen Publizieren und Verwalten digitaler kac in bereinstimmung mit ihren und egeln Unterst tzung f r die Verschl sselungsstandards Public Key Infrastructure f r X 509 Ver sion 3 PKIX und Common Data Security Architecture CDSA zur Realisierung der Interoperabilit t zwischen verschiedenen Lieferanten und Herstellern Digitale Unterzeichnung und gesicherte Protokolle zur Authentifizierung aller an einer Transaktion beteiligten Parteien Optimale Flexibilitat durch browser basierte Registrierungsfunktionen Unterst tzung zur Gew hrleistung der Vertraulichkeit durch verschl sselte Kommunika tion und gesicher
156. l VALUE http userdefined url gt Hierbei ist userdefined url die Webadresse Speichern und schlieBen Sie die Datei Anpassen der Sicherung und Wiederherstellung von Schlusseln Sie k nnen die Funktion f r die Sicherung und Wiederherstellung von Schliisseln anpassen indem Sie die Funktion zun chst inaktivieren und anschlie end die Anforderungsinforma tionen ndern oder die Funktion zum automatischen Genehmigen von Wiederherstellungs anforderungen aktiveren 16 Anmerkung Die Datenbank krbdb f r Sicherungen Wiederherstellungen sollte stets mit Hilfe der vorhandenen DB2 Sicherungsprozeduren gesichert werden Inaktivieren der Sicherung und Wiederherstellung von Schl sseln F hren Sie mindestens einen der folgenden Schritte aus um die Sicherung und Wiederher stellung von Schl sseln zu inaktivieren l Entfernen Sie vor dem Starten von Tivoli PKI die zugeordneten JSP Seiten aus der Datei raconfig cfg Entfernen Sie vor dem Starten von Tivoli PKI die zugeordneten Gesch ftsprozesse aus der Datei BPTemplates cfg Entfernen Sie nach der Installation die zugeordneten JSP Seiten Entfernen Sie den Knopf Zur Schl sselsicherungsanforderung von den JSP Seiten f r die Genehmigung Entfernen Sie den Eintrag Kennwort der PKCS 12 Datei von der JSP Seite der Schl sselsicherungsanforderung Version 3 Release 7 1 Andern der Anforderungsinformationen F hren Sie die folgenden Schritte aus um ein Anf
157. l Exits m ssen Eingabenachrichtendaten aus der Steuereingabedatei STDIN lesen m Regel Exits m ssen die zugeh rigen Antworten in die Steuerausgabedatei STDOUT schreiben Zur Gew hrleistung der Konsistenz mit den gelieferten Tivoli PKI Gesch ftsprozessen m s sen angepasste Regel Exits die folgenden R ckgabedaten in bereinstimmung mit den Akti onen definieren die von nachfolgenden Gesch ftsprozessen ausgef hrt werden m ssen Gew nschte Aktion Vom Regel Exit zur ckzugebendes Name Wert Paar Anforderung genehmigen reqStatus Approved Anforderung zur ckstellen reqStatus Pended Widerrufaktion ausf hren ffStatus Revoked Anforderung zur ckweisen reqStatus Rejected Schnittstellen zum Regel Exit Der Regel Exit ist ein integraler Bestandteil der von Tivoli PKI Er erm glicht einem Unternehmen das Einf gen angepasster Logikelemente an verschiedenen Punkten innerhalb der Registrierungs Genehmigungs und Genehmigungsnachbereitungs prozesse Standardm ig ruft Tivoli PKI den Beispiel Regel Exit z B w hrend der folgen den Prozesse auf m Browser SSL Zertifikatsregistrierungsanforderungen Browser SSL Zertifikatserneuerungsanforderungen PKCS 10 und PKCS 7 Zertifikatsregistrierungsanforderungen Vom Endbenutzer eingeleitete Widerrufanforderungen Vorabregistrierungsanforderungen Nach der Ausstellung eines Zertifikats an einen Client W hrend den von RA Desktop eingeleiteten Aktio
158. l wird zum Ver und Entschl sseln der Nachricht verwendet DES kann au erdem zur Durchf hrung von Verschl sselungsoperationen f r einzelne Benutzer eingesetzt werden z B zum Speichern von verschl sselten Dateien auf einer Festplatte DES arbeitet mit einer Blockgr e von 64 Bit und verwendet f r die Verschl sse lung einen 56 Bit Schl ssel Urspr nglich wurde dieser Standard f r die Hardwareimplementierung entwickelt DES wird von NIST alle f nf Jahre erneut als offizieller Verschl sselungsstandard der US Regierung zertifiziert Datenspeicherbibliothek DL DEK DER DES Ein Modul das den Zugriff auf permanente Datenspeicher mit Zertifikaten CRLs Schl sseln Regeln und ande ren sicherheitsrelevanten Objekten erm glicht Document Encryption Key Dokumentverschl sselungsschl ssel Distinguished Encoding Rules Data Encryption Standard Diffie Hellman Ein Verfahren zur Datenverschl sselung das auf der Verwendung eines gemeinsamen Schl ssels auf einem nicht gesicherten Medium basiert und nach seinen Erfindern Whitfield Diffie und Martin Hellman benannt wurde Digitales Zertifikat Ein elektronischer Identit tsnachweis der von einer zuverl ssigen Stelle f r eine Person oder Entit t ausgestellt wird Jedes Zertifikat ist mit dem privaten Schl ssel des CAs unterzeichnet Es b rgt f r die Identit t einer Per son eines Unternehmens oder einer Organisation Abh ngig vom Aufgabenbereich des CAs kann d
159. len eines Eintrags der betreffenden Art optional und welche Attri bute erforderlich sind F r einen Eintrag k nnen mehrere Objektklassen verwendet werden solange es sich nur bei einer Objektklasse um eine strukturelle Objektklasse structural handelt Beispiel F r ein Zertifikat namens C US O BUGS OU ITS CN User k nnte der Benutzer die RDN CN User mit einer anderen Objektklasse erstellen Im Folgenden wird beschrieben wie der Eintrag angepasst wird 1 Editieren Sie die Datei certificate profiles cfg im Verzeichnis lusr Ipp iau pkrf domains Your Domain Nameletc wobei Your Domain Name der Name Ihrer Dom ne ist 2 Suchen Sie die Objektklassendefinition f r das CN Attribut Anmerkung Einigen Werten ist unter Umst nden keine Definition zugeordnet Liegen keine Definitionen vor muss der Benutzer Definitionen angeben wenn eine Anpassung erforderlich ist Version 3 Release 7 1 Object Class to be used to create entries on Directory that have the following attribute Definitions will be provided by adding variable name x objectclass where x is the RDN name Object Class has to match a object class on the directory schema Required Attributes refer to values required to add the entry to the directory Optional Attributes refer to values that could be used on the creation of the entry if available on enrollment data Example configuration if going to use differ
160. lgt werden Pr fprotokoll Bei Tivoli PKI eine Tabelle in einer Datenbank in der f r jedes Pr fereignis ein Datensatz gespeichert wird Pr f Server Ein Tivoli PKI Server der zum Empfangen von Pr fereignissen von Pr f Clients und zum Aufzeichnen dieser Ereignis in einem Pr fprotokoll dient Pr fzeichenfolge Eine Zeichenfolge die von einem Server oder einer Anwendung gesendet wird und zum Anfordern der Benutzer berechtigung dient Der Benutzer der zur Authentifizierung aufgefordert wird unterzeichnet die Pr fzeichenfolge mit einem privaten Schl ssel Der ffentliche Schl ssel des Benutzers sowie die unterzeichnete Pr fzeichenfolge werden zur ck an den Server oder die Anwendung gesendet der bzw die die Authentifizierung anforderte Der Server versucht anschlie end die unterzeichnete Pr fzeichenfolge mit Hilfe des ffentlichen Schl ssels des Benutzers zu entschl sseln Wenn die entschl sselte Pr fzeichenfolge mit der urspr nglich gesendeten Pr fzei chenfolge bereinstimmt gilt der Benutzer als authentifiziert Public Key Cryptography Standards PKCS Informelle hersteller bergreifende Standards die im Jahr 1991 von den RSA Laboratories in Zusammenarbeit mit Repr sentanten verschiedener Computerhersteller entwickelt wurden Diese Standards umfassen die RSA Ver schl sselung die Diffie Hellman Vereinbarung die kennwortbasierte Verschl sselung sowie die Syntax f r erwei terte Zertifikate verschl sselte Nachricht
161. licht Ihrem Unternehmen diese beiden Voraussetzungen zwingend anzufordern bevor Benutzer auf gesicherte Anwendungen zugreifen k nnen LZertifikatseignerl k nnen im Gegen zug sicher sein dass die benutzten Anwendungen gesichert sind Parallele Verwaltung Tivoli PKI stellt eine einzelne Reg erung d zur Verf gung in der jedoch mehrere Registratoren arbeiten k nnen Das Design des RA Desktop Servlets und der Registrierungs stelle RA verhindert hierbei dass ein Datensatz aktualisiert wird w hrend ein anderer Benutzer gerade mit diesem arbeitet Es ist jedoch m glich dass mehrere Registratoren gleichzeitig den selben Datensatz anzeigen RA Desktop Bei RA Desktop handelt es sich um eine grafische Benutzerschnittstelle GUI zur Verarbei tung von Registrierungsanforderungen und Verwaltung der hierbei generierten Das System unterst tzt den Registrator bei der Ausf hrung der folgenden Aufgaben m Auswerten von anstehenden Registrierungsanforderungen und deren Genehmigung oder Zur ckweisung m Vorbereiten von Abfragen f r das Abrufen von Datens tzen zu Zertifikaten eines bestimmten Typs oder eines bestimmten Benutzers W Pr fen der Einzeldate eines Datensatzes W Definieren des G ltigkeitszeitraums eines Zertifikats B Ausf hren von Aktionen zum ndern des Statud eines Zertifikats oder einer Registrierungsanforderung m Kommentieren eines Datensatzes zur Erl uterung des Grundes fiir eine ausgef hrte Aktion Bei
162. ling Islands Colombia Comoros Congo Congo The Democratic Republic Of The Cook Islands Costa Rica Cote D ivoire Croatia Local Name Hrvatska Cuba Cyprus Czech Republic Denmark Djibouti Dominica Dominican Republic East Timor Ecuador Egypt E Salvador Equatorial Guinea Eritrea Estonia Ethiopia Falkland Islands Malvinas Faroe Islands Fiji Finland France France Metropolitan French Guiana French Polynesia French Southern Territories Gabon Gambia Georgia Germany 95 jaidsieqsbunsseduy 9 96 STRING CountryNames 82 STRING CountryNames 83 STRING CountryNames 84 STRING CountryNames 85 STRING CountryNames 86 STRING CountryNames 87 STRING CountryNames 88 STRING CountryNames 89 STRING CountryNames 90 STRING CountryNames 91 STRING CountryNames 92 STRING CountryNames 93 STRING CountryNames 94 STRING CountryNames 95 STRING CountryNames 96 STRING CountryNames 97 STRING CountryNames 98 STRING CountryNames 99 STRING CountryNames 100 STRING CountryNames 101 STRING CountryNames 102 STRING CountryNames 103 STRING CountryNames 104 STRING CountryNames 105 STRING CountryNames 106 STRING CountryNames 107 STRING CountryNames 108 STRING CountryNames 109 STRING CountryNames 110 STRING CountryNames 111 STRING CountryNames 112 STRI
163. llAuditviaSocketSvcFactory usr 1pp iau etc AuditClient ini Tivoli PKI Anpassung 55 ueuoneulojul ZU919J9H G Einzelangaben auf den Webseiten 56 Dieser Abschnitt enth lt Referenzinformationen f r die Anpassung von Elementen auf Regis trierungs Web Seiten Registrierungsformularvariablen Das Registrierungsformular auf den ava Server Seiterl verf gt ber Abschnitte zum Beschreiben des zuk nftigen Zertifikatseigners und der Zerifikatshnforderung Bestimmte Felder in den Abschnitten werden nur bei speziellen Registricrungstypen angezeigt Im vorliegenden Abschnitt werden die Formularvariablen fiir die Registrierung aufgelistet und beschrieben Sie befinden sich auf den Java Server Seiten In den folgenden Tabellen werden die Formularfelder den zugeh rigen Formularvariablen zugeordnet Sie k nnen diese verwenden wenn Sie Informationen zum Registrierungsprozess erfassen m ssen Dateiname Enroll jsp Adresse Web Seiten Unterverzeichnis f r Ihre Registrierungsdom ne Felder f r Registrierungsinformationen Anmerkungen 1 Feldwerte sind sofern nichts anderes angegeben wurde optional und werden in allen Registrierungsformularen verwendet 2 L ngenangaben definieren die maximal zul ssige Anzahl von Zeichen Wird keine L ngenangabe aufgef hrt handelt es sich bei dem Feld um ein Markierungsfeld oder eine Auswahlliste 3 Andere Einschr nkungen betreffen erforderliche Felder und ung ltige Zeichen f r b
164. lten in der von Ihnen verwendeten Datei das u a Format aufweisen SERVLET MOUNT POINT servlet JSP MOUNT POINT Dateinamen f r Java Server Seiten JSP Das folgende Beispiel zeigt die Standardzeilen f r diese Angabe Sie sollten in der von Ihnen verwendeten Datei das u a Format aufweisen Allgemeine Java Server Seiten Page Home index jsp Page ErrorMsg TA ErrorMsg jsp Java Server Seiten unter Netscape Navigator oder Netscape Communicator Page Enroll NSBrowserSSLCert NSBrowserSSLCert Enroll jsp Page CkStatus NSBrowserSSLCert NSBrowserSSLCert CkStatus jsp Page Approved NSBrowserSSLCert NSBrowserSSLCert Approved jsp Page Pending NSBrowserSSLCert NSBrowserSSLCert Pending jsp Page Rejected NSBrowserSSLCert NSBrowserSSLCert Rejected jsp Page Renew NSBrowserSSLCert NSBrowserSSLCert Renew jsp Page Revoke NSBrowserSSLCert NSBrowserSSLCert Revoke jsp Page RevokeRecd NSBrowserSSLCert NSBrowserSSLCert RevokeRecd jsp Java Server Seiten unter Microsoft Internet Explorer Page Enroll IEBrowserSSLCert IEBrowserSSLCert Enroll jsp Page CkStatus IEBrowserSSLCert IEBrowserSSLCert CkStatus jsp Page Approved IEBrowserSSLCert IEBrowserSSLCert Approved jsp Page Pending IEBrowserSSLCert IEBrowserSSLCert Pending jsp Page Rejected IEBrowserSSLCert IEBrowserSSLCert Rejected jsp Page Renew IEBrowserSSLCert IEBrowserSSLCert Renew jsp Page Revoke IEBrowserSSLCert IEBrowserSSLCert Revoke jsp Page RevokeRecd IEBrowserSSLCert IEBrowserSSLCert RevokeRec
165. m endet wenn das Zertifikat widerrufen oder sein Ablaufdatum erreicht wird Wenn ein Zertifikat erneuert wird erstellt das System ein neues Zertifikat das mit dem registrierten Namen DN des Originaldokumentes bereinstimmt Browserzertifikate Bei einem Browser Zertifikat handelt es sich um einen digitalen Identit tsnachweis der nor malerweise von einem in einer verschl sselten Datei gespeichert wird Tivoli PKI unterst tzt die Browser Netscape und Microsoft Internet Explorer Bestimmte Anwen dungen erm glichen es dem Zertifikatseigner die erforderlichen Schl ssel auf einer Smart Card oder einem anderen Datentr ger zu speichern In einem Tivoli PKI System k nnen Benutzer ein Browser Zertifikat direkt ber ihren Web Browser anfordern Zu einem sp teren Zeitpunkt k nnen Sie dann bei Bedarf auf die Web Seite zur ckkehren um das Zertifikat zu erneuern oder zu widerrufen CA Zertifikate Alle Browser Server und Einheiten die ber ein Zertifikat zur Vorlage bei der Registrie rungsstelle von Tivoli PKI verf gen m ssen auch ein kompatibles CA Zertifikat besitzen Dieses Zertifikat wird f r die Authentifizierung der Kommunikation mit Servern ben tigt die ber Zertifikate verf gen die vom CA von Tivoli PKI ausgestellt wurden In Ihrem Browser muss ein Tivoli PKI CA Zertifikat vorliegen damit Sie mit den gesicher ten Tivoli PKI Registrierungsservices arbeiten k nnen Sie k nnen dieses Zertifikat abrufen wenn Sie zum
166. mpatiblen Anwendung herunterladen Weitere Informationen zur Vorabregistrierung finden Sie im Tivoli PKI Benutzerhandbuch Webbrowserunterst tzung Tivoli PKI erm glicht es Benutzern eine R ngl zu erstellen indem Sie ber einen der folgenden Web Browser ein Registrierungsformular ausf llen und bergeben m Microsoft Internet Explorer ab Release 5 0 m Netscape Navigator oder Netscape Communicator ab Version 4 7 Beim Browser f r RA Desktop sind neuere Versionen dieser Browser erforderlich Regel Exits Sie k nnen den zum Lieferumfang von Tivoli PKI geh renden Beispiel Regel Exit auto ap ndern oder durch einen anderen Exit ersetzen Dar ber hinaus k nnen Sie eigene Regel Exit Programme schreiben Einschr nkungen bei Regel Exits Auf Grund der Art und Weise in der Tivoli PKI Gesch ftsprozesse Regel Exit Programme aufrufen und mit diesen kommunizieren m ssen die Ein und Ausgabenachrichten von Regel Exits ein spezifisches Format aufweisen Dieses Format besteht aus Gruppen von Name Wert Paaren name value die in bereinstimmung mit den URL Standardcodie rungsregeln formatiert sind Dieses Format hnelt dem Format von Daten die an CGI Funk tionen gesendet werden wenn Sie mit der POST Methode f r das Senden von Formularen von HTML Seiten arbeiten Bei der URL Codierung gelten die folgenden Regeln B Name Wert Paare name value sind mit Et Zeichen amp zu begrenzen W Leerzeichen innerhalb eine
167. mponenten Die ses Buch wird in gedruckter Form zusammen mit dem Produkt ausgeliefert Systemverwaltung Dieses Handbuch enth lt Basisinformationen zur Verwaltung eines Tivoli PKI Systems Es beschreibt die Prozeduren zum Starten und Stoppen der Server zum Andern von Kennw rtern zur Verwaltung der Serverkomponenten zum Erstellen von Protokollen sowie zur Ausf hrung von Datenintegrit ts berpr fungen Konfiguration Dieses Handbuch enth lt Informationen zur Verwendung von Setup Wizard zum Konfigurieren eines Tivoli PKI Systems W hrend Sie die Onlinehilfefunktion f r diesen Assistenten anzeigen k nnen Sie auf die HTML Version dieses Handbuchs zugreifen Tivoli PKI Anpassung ix RA Desktop Dieses Handbuch enth lt Informationen zur Verwendung von RA Desktop f r die Verwaltung von Zertifikaten w hrend ihres G ltigkeitszeitraums W hrend Sie die Onlinehilfefunktion f r den Desktop anzeigen k nnen Sie auf die HTML Version dieses Handbuchs zugreifen Benutzerhandbuch Dieses Handbuch enth lt Informationen zum Abrufen und Verwalten von Zertifika ten Es beschreibt die Prozeduren zur Verwendung der Browserregistrierungsformu lare von Tivoli PKI um Zertifikate anzufordern zu erneuern und zu widerrufen Au erdem enth lt es eine Erl uterung der Vorabregistrierung f r PKIX kompatible Zertifikate Anpassung Dieses Buch enth lt Informationen dazu wie Sie die Tivoli PKI Registrierungs funktion f r die Unterst tzung der Re
168. n Registrierung Als Registrierung bezeichnet man den Prozess der Erteilung eines digitalen an eine Person oder Entit t Unter Tivoli PKI wertet vor der Registrierung entweder ein Pro gramm oder der Registrator die Informationen der Ee aus Anschlie Bend erstellt die Registrierungsstelle RA von Tivoli PKI unabh ngig davon ob die Anfor derung genehmigt oder zur ckgewiesen wurde einen Datensatz f r die REIS in der ankl Wenn die Anforderung genehmigt wird stellt der STET von Tivoli PKI das gew nschte Zertifikat aus Unternehmensregel Wenn ein EM oder ein Registratad eine E auswertet wer informationen E Die een die von einem Programm ausgewertet werden k nnen sind weniger komplex als die Informationen die ein Administrator auswertet Die Werte z B die Angabe der Mindestanzahl von Jahren die ein Antragsteller ohne Wohnort wechsel sein muss sind im Allgemeinen pr zise Tivoli PKI erm glicht Ihrem Unternehmen einem solchen Programm Regelinformationen zur Verf gung zu stellen Das Programm ver wendet diese Informationen zur Durchf hrung der Auswertungen Ein Programm das einen Registrator bei seiner T tigkeit unterst tzt wird als Regel Exit bezeichnet Tivoli PKI stellt einen Beispiel Regel Exil zur Verf gung der zur automatischen Genehmigung von Anforderungen dient Dieser Regel Exit kann in der vorinstallierten Version verwendet werden Er besteht aus einer Gruppe von Gesch ftsprozessobjekten BPOs Bu
169. n verteilten und vervielf ltigten Verzeichnisservices durch die Verbindung von Computersystemen Dieser Standard wurde gemeinsam definiert von der bisher als CCITT bekannten International Telecommunications Union ITU sowie der International Organization for Stan dardization und der International Electro Chemical Commission ISO IEC X 509 Version 3 Zertifikat Das X 509v3 Zertifikat verf gt ber erweiterte Datenstrukturen f r die Speicherung und das Abrufen von Infor mationen zu Zertifikatsantr gen zur Zertifikatsverteilung und zu Zertifikatswiderrufen sowie zu Sicherheitsregeln und digitalen Unterschriften X 509v3 Prozesse dienen zum Erstellen von CRLs mit Zeitmarken f r alle Zertifikate Bei jeder Verwendung eines Zertifikats erm glichen die X 509v3 Funktionen der Anwendung die G ltigkeit des Zertifikats zu berpr fen Die Anwendung kann auBerdem feststellen ob sich das Zertifikat auf der Zertifikatswiderrufsliste CRL befindet CRLs unter X 509v3 k nnen f r eine bestimmte G ltigkeitsperiode erstellt werden Sie k nnen auch auf Version 3 Release 7 1 anderen Kriterien basieren die zur Aufhebung der G ltigkeit eines Zertifikats f hren Wenn z B ein Mitarbeiter ein Unternehmen verl sst wird sein Zertifikat in der CRL eingetragen X 509 Zertifikat Ein weit verbreiteter Zertifikatsstandard der entwickelt wurde um die sichere Verwaltung und Verteilung von digital unterzeichneten Zertifikaten ber sichere Internet Netz
170. n Anforderungen Beachten Sie hierbei dass die Gesch ftsprozesse die zum Lieferumfang von Tivoli PKI geh ren Abh ngigkeiten zu bestimmten Werten aufweisen die an den Regel Exit ber geben z B decision default oder von diesem zur ckgegeben werden z B reqStatus und ffStatus Wenn Sie die Art und Weise ndern wollen in der diese Werte von dem gelieferten Regel Exit verwendet werden m ssen Sie die Anderungen genau planen und sicherstellen dass hierbei keine Benutzungskonflikte mit den Gesch ftsprozessen von Tivoli PKI entstehen 3 Nach dem Andern und Kompilieren sollten Sie die ausf hrbare Datei des Regel Exits an die selbe Position kopieren an der die ausf hrbare Datei der zum Lieferumfang geh ren den Komponente gespeichert ist Beispiel Tivoli PKI Anpassung 11 asiamsuayabio Anz ueuomneulnoJu m Unter AIX usr Ipp iau pkrf Domains YourDomain bin m Unter Windows NT C Program Files IBM Trust Authority pkrf Domains YourDomain bin 4 Solange die von den zugeh rigen Beispiel Make Dateien erstellte ausf hrbare Datei nicht umbenannt wird m ssen die Eintr ge in der Datei raconfig cfg nicht aktualisiert wer den 5 Stoppen Sie Tivoli PKI und f hren Sie anschlieBend einen Neustart durch Weitere Informationen zum Schreiben eines Regel Exits finden Sie in Regel Exits auf Seite 21 und X e Eine Liste der Beispiel Regel Exits enthalt der preme Ersetzen des Beispiel Regel Exits Verwenden
171. n bereit um Ihrem Unternehmen das Anpassen der selbst ausgestellten Zertifikate zu erm glichen Registratoren die einen Registrierungssatz in RA Desktop anzeigen k nnen diese Felder sehen wenn sie die DE Ge Sana aufrufen In bestimmten Fallen kann der Registra tor die zugeh rigen Werte auch aktualisieren Erneuerbarkeit Die Erneuerbarkeit eines Zertifikats ist eines der Merkmale die ber RA Desktop ge ndert werden k nnen m Wenn ein Zertifikat erneuerbar ist kann der Eigner einen Antrag f r ein neues Zertifikat einreichen solange das alte Zertifikat noch g ltig ist Die Verf gbarkeit eines erneuer baren Zertifikats vereinfacht den pes und den hierbei erforderlichen Aufwand m Kann ein Zertifikat nicht erneuert werden muss der Eigner warten bis dessen G ltigkeit abgelaufen ist und anschlieBend eine erneute Registrierung beantragen wenn das Zertifi kat weiterhin ben tigt wird Bei der Registrierung m ssen wie beim ersten Mal alle Informationen nochmals bereitgestellt werden Benutzer mit erneuerbaren Browserzertifikaten k nnen die Erneuerung auf der Registrie rungswebseite anfordern Version 3 Release 7 1 Zertifikatsprofile Tivoli PKI stellt leistungsstarke und flexible Funktionen zum Anpassen des spezifischen Inhalts der verschiedenen Zertifikate bereit die mit Hilfe von Zertifikatsprofilen ausgestellt werden Ein Zertifikatsprofil definiert die Regeln fiir die Zusammenstellung von Zertifikaten die zur Unter
172. n f r diese Angabe Sie sollten in der von Ihnen verwendeten Datei das u a Format aufweisen TokenTimeout 12 afservice trace com ibm irg ra afw services TraceSyserrSvcFactory ShowElapsed true afservice RASD com ibm irg ra afw services CallRASDviaSocketSvcFactory queued_bp_processor_threads 10 afw_bpo_caching true Idap_autoCreate_entries false this variable is boolean true or false afservice LdapPolicy com ibm irg ra afw services LDAPPolicyServiceFactory PolicyClass com ibm irg ra efw bpos LDAPSampleCreationPolicy F r Windows afservice RADB com ibm irg ra afw services RaReqDatabaseServiceFactory com ibm irg ra css raReqDatabaseProxyLocalAgent cfguser pkrfdb cfguser language en codepage UTF 8 reqdbagent C PROGRA 1 IBM TRUSTA 1 bin reqdbagent afservice PolicyExit com ibm irg ra afw services SpawnPolicyExitLongRunningFactory C PROGRA 1 IBM TRUSTA 1 pkrf Domains YourDomain bin auto_approve _ afservice audit com ibm irg ra afw services CallAuditviaSocketSvcFactory C PROGRA 1 IBM TRUSTA 1 etc AuditClient ini F r AIX afservice RADB com ibm irg ra afw services RaReqDatabaseServiceFactory com ibm irg ra css raReqDatabaseProxyLocalAgent cfguser pkrfdb cfguser l anguage en codepage UTF 8 reqdbagent usr 1pp iau bin reqdbagent afservice PolicyExit com ibm irg ra afw services SpawnPolicyExitLongRunningFactory usr 1pp iau pkrf Domains YourDomain bin auto_approve afservice audit com ibm irg ra afw services Ca
173. nach dem Starten von Tivoli PKI ausgef hrt muss das System anschlieBend heruntergefahren und dann erneut gestartet werden um sie zu aktivieren Ermitteln Sie in enger Abstimmung mit Ihrem Systemadministrator einen geeigneten Zeit punkt f r das Wiederanlaufverfahren insbesondere dann wenn eine neue Unternehmensregel f r die Registrierungs und Zertifizierungsverarbeitung angewandt wird Registrierung Bei der Registrierung wird ein Antrag auf Erteilung eines gestellt In Tivoli PKI f llen die Benutzer hierf r ein Tivoli PKI Registrierungsformular aus und bergeben dieses ber ihren Webbrowser Bei Tivoli PKI Standardinstallationen befinden sich die Registrie rungsformulare auf einer Webseite namens Identit tsnachweis Verwaltung Die Daten der Registrierungsformulare werden in Datenbanks tzenl gespeichert die ein Registrator ber RA Desktop anzeigen kann Tivoli PKI Anpassung 19 u Buni lne i3 E Im Rahmen der Anpassung kann Ihr Unternehmen dieser Seite einen anderen Namen zuord nen oder Anderungen an ihr vornehmen um sie besser auf die Darstellung der unterneh mensinternen Dokumente abzustimmen Weitere Informationen zur von der Standard installation unterst tzten Registrierung finden Sie im Tivoli PKI Benutzerhandbuch Registrierungsfunktion Die Registrierungsfunktion ist eine Komponente der von Tivoli PKI Sie umfasst die Registrierungs Web Seiten und die zugeh rigen Verarbeitungsfunktionen Die Registrierungsf
174. nd JSP Da teien Namen in Kleinbuchstaben zuordnen Verwenden Sie als Dateinamen z B my html jedoch nicht MY html oder My html Andernfalls gibt der IBM HTTP Ser ver f r alle Dateinamen die Gro buchstaben oder Buchstaben in Gro Kleinschreibung enthalten das Folgende zur ck ERROR 404 NOT FOUND Dieser HTTP Server Fehler tritt bei Installationen unter AIX nicht auf 3 Bei L ndern f r die Nicht ASCII Zeichen erforderlich sind werden Werte in Tivoli PKI Anwendungsdateien im UTF 8 codierten Unicode Format definiert Unicode UTF 8 erlaubt das universelle Codieren von Zeichen und erm glicht Tivoli PKI die gleichzeitige Unterst tzung mehrerer Sprachen auf dem selben System und sogar innerhalb eines Zertifikatsprofils Wenn eine Datei UTF 8 codierte Daten enth lt muss beim Editieren mit besonderer Vorsicht vorgegangen werden um die Besch digung der UTF 8 Werte zu Tivoli PKI Anpassung 41 ueuoneuloJul ZU919J9H G verhindern Sie konnen wie oben beschrieben einen Editor verwenden oder die Datei in eine native Codepage konvertieren diese dann editieren und sie anschlie end zur ck in das UTF 8 Format konvertieren Dateiadressen Dieser Abschnitt enth lt die Namen und Adressen f r Elemente die Sie f r Ihre Registrierungsdom ne anpassen k nnen Verzeichnisstruktur W hrend der Konfiguration werden die Dateien der Registrierungsfunktion in den Verzeich nispfad Ihrer Registrierungsdom ne kopiert Im Fol
175. nehmigt und das Zertifikat ausgestellt Nicht ausgestellt Das Zertifikat wurde noch nicht ausgestellt Dieser Status gibt nicht an ob fiir die Anforderung bereits eine Aktion ausgefiihrt wurde Tivoli PKI Anpassung 67 ueuoneuloJul ZU919J9H G 68 Erneuert Das einem bestimmten Datensatz zugeordnete Zertifikat wurde erneuert Hierdurch werden ein neuer Datensatz und ein neues Zertifikat generiert Widerrufen Das einem bestimmten Datensatz zugeordnete Zertifikat wurde widerrufen und als ungiiltig definiert Version 3 Release 7 1 Anpassungsbeispiel Um die Anforderungen Ihres Unternehmens optimal zu erf llen k nnen Sie mit Tivoli PKI zahlreiche Komponenten Ihrer Registrierungsdom ne anpassen Dieses Kapitel zeigt wie verschiedene Elemente in Tivoli PKI angepasst werden k nnen Es erl utert anhand eines Anpassungsbeispiels das Planen Identifizieren Implementieren und Pr fen von Elementen die in Tivoli PKI angepasst werden k nnen Sie k nnen den Tivoli PKI Server so anpassen dass er folgende Bedingungen erf llt und zur Ausf hrung der u a Operationen verwendet werden kann m Einsetzbarkeit in verschiedenen L ndern Unternehmen bzw Abteilungen m Erfassen von f r das Unternehmen relevanten Daten bei der Registrierung und Zertifizie rung ndern der Darstellung von Web Seiten Integrieren abweichender Terminologie f r die Hilfefunktion auf Web Seiten Erstellen angepasster Zertifikatstypen Pr fen de
176. nen Genehmigung Zurtickweisung Zur ckstellung und Widerruf Version 3 Release 7 1 Wenn ein Regel Exit Programm von der Gesch ftsprozessunterst tzung f r die Tivoli PKI Registrierung und RA Desktop aufgerufen wird werden zwei wichtige Datengruppen in die Nachrichten eingebunden Anforderungsvariablen und Gesch ftsprozessvariablen Anfor derungsvariablen enthalten Informationselemente die w hrend des Registrierungsprozesses normalerweise beim Ausf llen eines Formulars durch den Benutzer erfasst werden Gesch ftsprozessvariablen hingegen enthalten Informationen die programmseitig durch Gesch ftsprozesse und durch den Regel Exit definiert werden Diese Variablen werden als Gruppen URL codierter Name Wert Paare folgenderma en zu Nachrichten hinzugef gt B request vars URL encoded set of name value pairs from enrollment form W bp vars URL encoded set of name value pairs set by business processes Sowohl die f r eine verarbeitete Anforderung definierten Anforderungsvariablen als auch die entsprechenden Gesch ftsprozessvariablen werden in Anforderungss tzen in der Registrie rungsdatenbank verwaltet Nach dem Hinzuf gen zu einem Anforderungssatz in der Daten bank werden Anforderungsvariablen niemals mehr durch Gesch ftsprozesse ge ndert Gesch ftsprozessvariablen k nnen hingegen durch Gesch ftsprozesse durch Administratoren Registratoren die RA Desktop verwenden sowie durch den Regel Exit selbst ge ndert werde
177. nen Schl sseln basiert das sicherste dieser Verfahren dar Tivoli PKI Eine integrierte IBM Sicherheitsl sung die die Ausstellung Erneuerung und den Widerruf digitaler Zertifikate unterst tzt Diese Zertifikate k nnen f r eine breite Palette von Internet Anwendungen eingesetzt werden und bie ten eine M glichkeit zur Authentifizierung von Benutzern und zur Gew hrleistung einer gesicherten Kommunika tion Trust Kette Eine Gruppe von Zertifikaten die aus der gesicherten Hierarchie vom Benutzerzertifikat bis zum Root oder selbstunterzeichneten Zertifikat besteht Tunnel In der VPN Technologie eine virtuelle Punkt zu Punkt Verbindung die auf Anfrage ber das Internet hergestellt wird W hrend der Verbindung k nnen ferne Benutzer den Tunnel verwenden um sichere verschl sselte und gekapselte Informationen mit Servern im privaten Netz eines Unternehmens auszutauschen Unbestreitbarkeit Die Verwendung eines digitalen privaten Schl ssels um zu verhindern dass der Unterzeichner eines Dokuments dessen Unterzeichnung leugnet Unicode Ein 16 Bit Zeichensatz der in ISO 10646 definiert ist Der Unicodestandard f r die Verschl sselung von Zeichen ist ein internationaler Zeichencode f r die Informationsverarbeitung Er umfasst die grundlegenden weltweit ver wendeten Prozeduren und bildet die Basis f r die Internationalisierung und Lokalisierung von Software Der gesamte Quellencode in der Java Programmierungsumgebung wird in Unicode
178. nen neuen Server F gen Sie hierzu ein Name Wert Paar in der Konfigurationsdatei der Registrierungsfunktion hinzu Der Name des Eintrags ist MAIL SMTP HOST und der zugeh rige Wert ist der Host Name des Servers Wenn Sie z B den Host Namen mailserver mycorp com definiert haben m s sen Sie folgenden Eintrag in der Datei raconfig cfg hinzuf gen MAIL SMTP HOST mailserver mycorp com Fehlernachrichtentext Sie k nnen den Wortlaut von Fehlernachrichten ndern um diese f r die Benutzer Ihres Unternehmens verst ndlicher zu formulieren Dateiname TA ErrorMsg jsp Adresse Web Seiten Unterverzeichnis f r Ihre Registrierungsdom ne Beispiel Original STRING ErrorMsg 3 An error occurred while your enrollment status was being retrieved Check your enrollment status later to see if the problem has been resolved Ersetzen durch STRING ErrorMsg 3 Your enrollment status is not available at this time Please check your enrollment status later or call 800 XXX XXXX for further assistance Tivoli PKI Anpassung ueuoneulojul ZU919J9H4 G Java Server Seite JSP Die Java Server Seiten JSP Dateien umfassen ein Banner Bildmaterial Text und Formular felder fiir die Registrierung Dateiname JSP Adresse Web Seiten Unterverzeichnis f r Ihre Registrierungsdom ne Beispiel Eine Java Server Seite enth lt HTML Formatierungssteuerzeichen Java Scriptlets und m glicherweise auch JavaScripts HTML lt
179. nezuela Viet Nam Virgin Islands British Virgin Islands U S Wallis And Futuna Islands Western Sahara Yemen Yugoslavia Zambia Zimbabwe String selectedCountryCode request getParameter inputFieldNames 12 if selectedCountryCode null selectedCountryCode equals selectedCountryCode String request getAttribute inputFieldNames 12 if selectedCountryCode null selectedCountryCode equals selectedCountryCode defaultCountryCode for int i 0 i lt numOfCountries i Determine if current item needs to be preselected if countryCodes i equals selectedCountryCode selectedLb SELECTED Tivoli PKI Anpassung 85 jaidsieqsbunsseduy 9 86 else selectedLb Create the list item out println lt OPTION VALUE countryCodes i selectedLbl gt STRING CountryNames i countryCodes i gt lt SELECT gt lt TD gt lt TR gt Der Ersatzcode lautet folgenderma en lt Organization 0 gt lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING_InputFieldHelps 7 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 7 Ss lt STRING Colon gt lt STRONG gt lt STRING Spacer gt STRING OptionalLbl Ss
180. nfig cfg folgendes Codesegment Page Enroll NSBrowserSSLCert NSBrowserSSLCert Enroll jsp Page Enroll IEBrowserSSLCert IEBrowserSSLCert Enroll jsp CertificateProfiles usr lpp iau pkrf Domains LoTo etc certificate profiles cfg In folgendes Segment Page Enroll NSBrowserSSLCert MyNSBrowserSSLCert Enroll jsp Page Enroll IEBrowserSSLCert MyIEBrowserSSLCert Enroll jsp CertificateProfiles usr lpp iau pkrf Domains LoTo etc Mycertificate profiles cfg 4 Starten Sie Tivoli PKI Tivoli PKI Anpassung 111 jaidsieqsbunsseduy 9 112 Verarbeiten von Genehmigungen Regel Exits erm glichen durch das Anpassen der Registrierungsprozesse die automatische Verarbeitung von Genehmigungen Die Regel Exits k nnen zur Ausf hrung der folgenden Aktionen aufgerufen werden Browser SSL Zertifikatsregistrierungsanforderungen Browser SSL Zertifikatserneuerungsanforderungen PKCS 10 und PKCS 7 Zertifikatsregistrierungsanforderungen Vom Endbenutzer eingeleitete Widerrufanforderungen Vorabregistrierungsanforderungen Nach der Ausstellung eines Zertifikats an einen Client W hrend den von RA Desktop eingeleiteten Aktionen Genehmigung Zur ckweisung Zur ckstellung und Widerruf Tivoli PKI stellt den Beispiel Regel Exit auto_approve zur Verf gung mit dem alle Zertifikatsanforderungen genehmigt werden k nnen f r die in der Datei certificate profile s cfg der Wert decision defaultzapprove angegeben wurde Der Regel Exit auto approve
181. ngen mit PKIX kompatiblen Anwendungen erm glicht PKIX CMP verwendet als pri m res Transportverfahren TCP IP es ist jedoch eine Abstraktionsebene oberhalb der Sockets Schicht vorhanden Dies erm glicht die Unterst tzung f r zus tzliche Daten bertragungsoperationen mit Sendeaufrufen Polling PKIX CMP PKIX Certificate Management Protocol PKIX Empfangseinheit Der ffentliche HTTP Server der von einer bestimmten Registrierungsdom ne verwendet wird um Anforderun gen der Client Anwendung von Tivoli PKI zu empfangen Privacy Enhanced Mail PEM Der vom Internet Architect Board IAB genehmigte Internet Standard f r die verbesserte Wahrung der Vertrau lichkeit der die sichere bertragung elektronischer Post E Mail ber das Internet erm glicht Die PEM Proto kolle regeln Verschl sselung Authentifizierung Nachrichtenintegrit t und Schl sselverwaltung Privater Schl ssel In einem Paar aus einem ffentlichen und einem privaten Schl ssel steht dieser Schl ssel nur f r seinen Eigner zur Verf gung Er erm glicht dem Eigner das Empfangen einer privaten Transaktion oder eine digitale Unter schrift Die mit einem privaten Schl ssel unterzeichneten Daten k nnen nur mit dem entsprechenden ffentlichen Schl ssel gepr ft werden Gegensatz zu ffentlicher Schl ssel Siehe auch Schl sselpaar aus ffentlichem und pri vatem Schl ssel Protokoll Eine vereinbarte Konvention f r die Kommunikation zwischen Computern Protok
182. nktion bei der auf der Basis einer Nachricht beliebiger Lange eine Datenmenge mit fester Lange generiert wird Bei MD5 handelt es sich z B um einen Nachrichtenauszugsalgorithmus Nachrichtenauthentifizierungscode MAC Ein geheimer Schl ssel der von Sender und Empf nger gemeinsam benutzt wird Der Sender authentifiziert sich und der Empf nger pr ft die hierbei zur Verf gung gestellten Daten Bei Tivoli PKI werden MAC Schl ssel f r CA und Pr fkomponenten in den KeyStores gespeichert National Security Agency NSA Die offizielle Sicherheitsbeh rde der US Regierung NIST National Institute of Standards and Technology fr her NBS National Bureau of Standards Aufgabe dieses Insti tuts ist die Unterst tzung offener Standards und der Interoperabilit t in den verschiedenen Bereichen der Computerbranche NLS National Language Support Unterst tzung in der Landessprache NSA National Security Agency Objekt Beim objektorientierten Design oder bei der objektorientierten Programmierung eine abstrakte Entit t die zur Abgrenzung bestimmter Daten und der zugeh rigen Operationen dient Siehe auch Klasse Objektart Die Art von Objekt die im Directory gespeichert werden kann Beispiele sind eine Firma ein Konferenzraum eine Einheit eine Person ein Programm oder ein Prozess Objekt ID OID Ein von einer Verwaltungsfunktion zugeordneter Datenwert der den in ASN 1 definierten Typ aufweist ODBC Open Database Connectivity
183. objektorientierten Programmierung eine Gruppe von Objekten die ber eine gemeinsame Definition verf gen und aus diesem Grund mit denselben Merkmalen Verarbeitungs operationen und Funktionsweisen arbeiten Kryptographie Bei der Sicherung von Computern die Prinzipien Verfahren und Methoden zur Verschl sselung von unverschl s seltem und zur Entschl sselung von verschl sseltem Text LDAP Lightweight Directory Access Protocol Lightweight Directory Access Protocol LDAP Ein Protokoll mit dem auf das Directory zugegriffen werden kann Liste der ausgestellten Zertifikate ICL Eine vollst ndige Liste der ausgestellten Zertifikate sowie deren aktueller Status Die Zertifikate sind anhand der Seriennummer und des Status indexiert Diese Liste wird vom CA verwaltet und in der CA Datenbank gespei chert MAC Message Authentication Code Nachrichtenauthentifizierungscode MD4 Eine Nachrichtenauszugs Hash Funktion auf 128 Bit Basis die von Ron Rivest entwickelt wurde Ihre Geschwin digkeit bersteigt die von MD2 um ein Mehrfaches MDS Eine unidirektionale Nachrichtenauszugs Hash Funktion die von Ron Rivest entwickelt wurde Sie stellt eine ver besserte Version von MD4 dar MD5 verarbeitet Eingabetext in 512 Bit Bl cken die in 16 32 Bit Unterbl cke aufgeteilt werden Die Ausgabe des Algorithmus ist eine Gruppe von vier 32 Bit Bl cken die verkettet werden und so einen 128 Bit Hash Wert bilden Diese Funktion wird ebenfalls zusammen
184. odes 76 countryCodes 77 countryCodes 78 countryCodes 79 countryCodes 80 countryCodes 81 countryCodes 82 countryCodes 83 countryCodes 84 countryCodes 85 countryCodes 86 countryCodes 87 countryCodes 88 countryCodes 89 countryCodes 90 countryCodes 91 countryCodes 92 countryCodes 93 countryCodes 94 countryCodes 95 countryCodes 96 countryCodes 97 countryCodes 98 countryCodes 99 countryCodes 100 countryCodes 101 countryCodes 102 countryCodes 103 countryCodes 104 countryCodes 105 countryCodes 106 countryCodes 107 countryCodes 108 countryCodes 109 countryCodes 110 countryCodes 111 countryCodes 112 countryCodes 113 countryCodes 114 countryCodes 115 countryCodes 116 countryCodes 117 countryCodes 118 countryCodes 119 countryCodes 120 CU Cy ns DK pus DM DO qp EC EG SV GQ ER EE NET FK FO mE Js FI FR FX GF PF TF GA GM GE DE GH GI GR GL GD GP GU GT GN GW GY HT HM VA HN HK HU M ps IN ID IR IQ IE IL IT JM JP Jo KZ KE KI Kp KR KW KG LANs MS LB iligis Version 3 Release 7 1 countryCodes 121 countryCodes 122 countryCodes 123 countryCodes 124 countryCodes 125 countryCodes 126 countryCodes 127
185. ojul ZU919J9H G Name des Zertifikatsausstellers CA Das folgende Beispiel zeigt die Standardzeile fiir diese Angabe Sie weicht in der von Ihnen verwendeten Datei voraussichtlich vom u a Format ab issuerName_webserver C US 0 Your Organization OU Trust Authority CN Trust Authority CA Verzeichnisname Directory Das folgende Beispiel zeigt die Standardzeile fiir diese Angabe Sie sollte in der von Ihnen verwendeten Datei das u a Format aufweisen issuerDirectory webserver ldap DirectoryServer 389 RA Server Parameter Das folgende Beispiel zeigt die Standardzeilen f r diese Angabe Sie sollten in der von Ihnen verwendeten Datei das u a Format aufweisen PKIX_RA_URL pkix RAServer 829 RASD_URL rasd RAServer 29783 RASDThreadCount 25 RASDPendingT imeout 360 RASDJNHRecycl eCount 100000 raserver name raserver F r Windows RASDJNHIni C PROGRA 1 IBM TRUSTA 1 pkrf Domains YourDomain etc jonahra ini Fiir AIX RASDJNHIni usr 1pp iau pkrf Domains YourDomain etc jonahra ini Kommentare fur RA Server Aktionstabelle Das folgende Beispiel zeigt die Standardzeilen fiir diese Angabe Sie sollten in der von Ihnen verwendeten Datei das u a Format aufweisen pkix_prereg_info_added_to_db PKIX Preregistration info added to database certificate added to db Certificate added to the database ca_rejected_cert_request CA rejected certificate request certificate revoked by ca Certificate Revocation Completed by CA error info added to db
186. oll Im folgenden Beispiel wird dieser Eintrag dargestellt wobei install path den vollst ndigen Pfad der ausf hrba ren Datei f r Ihr angepasstes Regel Exit Programm definiert afservice PolicyExit com ibm irg ra afw services SpawnPolicyExitLongRunningFactory install_path custom_program_name Anmerkungen 1 Tivoli PKI unterst tzt nur einen Regel Exit Eintrag 2 Wird Tivoli PKI unter Windows NT ausgef hrt m ssen Sie f r neue Dateinamen Klein verwenden Momentan kann der HTTP Server Dateien deren Namen auch Grofbuchstaben enthalten nicht lokalisieren Weitere Informationen zum Schreiben von Re Recel Ex 2 eite 21 und h Beispiel Regel Exits enth lt der Ab des Beispiel Regel Exits Sie k nnen den zum Lieferumfang von Tivoli PKI geh renden Beispiel Regel Exit auto ap ndern oder durch einen eigenen angepassten Exit ersetzen Diese Exits dienen zur Ausf hrung bestimmter in Ihrem Unternehmen ben tigter Verarbeitungsoperationen oder zum interaktiven Zusammenarbeiten mit anderen Anwendungen Ihres Unternehmens sel Exits finden Sie in n Drankiuneen De Eine Liste der E schnitt Gehen Sie wie folgt vor um den Beispiel Regel Exit zu ndern 1 Erstellen Sie Sicherungskopien der vorhandenen Beispielquellendatei auto approve cpp sowie der ausf hrbaren Datei auto approve exe Speichern Sie diese Dateien an einer sicheren Position 2 Andern Sie die Beispielquellendatei entsprechend Ihren individuelle
187. ollierungssubsystem Bei Tivoli PKI ein Subsystem das die Unterst tzungsfunktionen zum Protokollieren von sicherheitsrelevanten Aktionen bereitstellt Es entspricht den Empfehlungen die im X9 57 Standard unter Public Key Cryptography for the Financial Services Industry definiert wurden Proxy Server Eine Einheit die zwischen einem Computer der eine Zugriffsanforderung absetzt Computer A und einem Com puter auf den zugegriffen werden soll Computer B implementiert ist Wenn ein Endbenutzer eine Anforderung f r eine Ressource ber Computer A absetzt wird diese an den Proxy Server geleitet Dieser sendet die Anforde Tivoli PKI Anpassung 127 Jesso 5 128 rung an Computer B erh lt von diesem die Antwort und leitet diese an den Endbenutzer weiter Mit Hilfe eines Proxy Servers kann ber einen Computer der sich innerhalb einer Firewall befindet auf das World Wide Web zugegriffen werden Pr f Client Jeder Client im System der Pr fereignisse an den Tivoli PKI Pr f Server sendet Bevor ein Pr f Client ein Ereig nis an den Pr f Server sendet stellt er eine Verbindung zu diesem her Nach der Herstellung der Verbindung ver wendet der Client die Client Bibliothek des Pr fsubsystems um Ereignisse an den Pr f Server zu bertragen Pr fprotokoll Daten in Form eines logischen Pfades die eine Folge von Ereignissen verbinden Mit dem Pr fprotokoll k nnen Transaktionen oder der bisherige Verlauf einer bestimmten Aktivit t verfo
188. om Endbenutzer noch kurzfristige nderungen an den PKIX oder PKCS 10 Anforderungsobjekten vorgenommen wurden Ein Antragsteller kann z B in der PKIX Anforderung einen anderen als den bei der Vorabregistrierung genehmigten Namen verwen den Im Folgenden ist ein Beispiel einer Gruppe von Regeln aufgef hrt die die Definition des Feldes subjectName f r den Namen des Zertifikatsgegenstands eines m glichen Zertifi kats steuern CN_default request first_name r CN_pkcs10 pkcs10 CN default SCH de CN request CN default CN_pkcs10 SubjectName C US 0 Your Company OU Your Department CN CN quest last_name aul t e f 0 In diesem Beispiel besteht das Attribut subjectName des Zertifikats aus vier RDNs Die RDNs f r das Land C Country die Firma O Organization sowie die Abteilung OU Organizational Unit sind fest codiert Das Feld f r den allgemeinen Namen CN Com mon Name wird aus den Daten abgeleitet die in der Anforderung enthalten sind Die Verarbeitungsregeln weisen den RA Server mit der Zeichenfolge request CN an in den Daten der Registrierungsanforderung zuerst nach einer CN Definition zu suchen Wird dort keine Definition gefunden sucht der RA Server entsprechend dem Wert pkcs10 CN in der PKCS oder PKIX Nachricht nach der ben tigten Definition Wird nirgends eine CN De finition gefunden erstellt der RA Server den allgemeinen Namen anhand des Vor und Nach namens d
189. orderungsfeld zu ndern 1 Erstellen Sie eine Sicherungskopie der zu ndernden JSP Datei 2 Suchen Sie die Position des zu ndernden Felds 3 Andern Sie das Feld entsprechend Ihren individuellen Anforderungen 4 Speichern und schlie en Sie die Datei Anmerkung Beim Entfernen des Felds Kennwort der PKCS 12 Datei aus der JSP Datei f r die Schl sselsicherungsanforderung wird die Schl sselsicherungs funktion inaktiviert da das eingegebene Kennwort zur berpr fung der einge gebenen PKCS 12 Datei verwendet wird Kann die G ltigkeit einer PKCS 12 Datei nicht gepr ft werden schlagt die Schl sselsicherung f r diese Datei fehl Aktivieren der automatischen Genehmigung Sie haben die M glichkeit die automatische Genehmigung von Schl sselwiederherstellungs anforderungen zu aktivieren Werden die Schl sselwiederherstellungsanforderungen automa tisch genehmigt braucht der RA Administrator die einzelnen Schl sselwiederherstellungsan forderungen nicht mehr ber RA Desktop zu pr fen und zu genehmigen F hren Sie die folgenden Schritte aus um die automatische Genehmigung von Schl sselwie derherstellungsanforderungen zu aktivieren 1 Erstellen Sie eine Sicherungskopie der Datei BPTemplates txt 2 ffnen Sie die Datei mit einem Texteditor der das UTF 8 Format unterst tzt 3 Suchen Sie den Gesch ftsprozess KeyRecoveryRequest 4 Suchen Sie die folgende Zeile im Gesch ftsprozess KeyRecoveryRequest simple
190. ormationen 56 Java Server Seiten 48 Zweck 20 Web Seitenelemente 56 Website f r Sicherheitsverwaltungsinformationen xi Tivoli Kundenunterst tzung xi Tivoli Public Key Infrastructure xi Tivoli Sicherheitsprodukte xi WebSphere 1 Wert zu Auswahlliste hinzuf gen 8 Widerruf Gr nde 62 Wiederherstellung von Schl sseln 16 40 Windows NT Dateibenennung 41 X X 509v3 Zertifikatserweiterungen 28 64 X 509v3 Zertifikatsformat 64 Z Zertifikat 27 Anforderung 3 angebotenen Typ umbenennen 14 anpassen 12 Benutzererweiterungen zum Profil hinzuf gen 15 Datenbanksatz 24 Einzeldaten 62 erneuerbar 27 Erneuerbarkeit 28 Giiltigkeitsdauer 25 27 Profil ndern 13 Profil hinzuf gen 13 Profil l schen 15 registrierter Name 26 Status 67 Verwaltung 38 X 509v3 Format 64 zur Verwendung der Registrierungsservices 27 Version 3 Release 7 1 Zertifikatsanforderung Felder 59 Zertifikatsattribute 65 Zertifikatsaussteller 26 Zertifikatserweiterungen 15 28 64 Zertifikatskategorien 27 Zertifikatsprofil 29 ndern 13 Benutzererweiterungen hinzuf gen 15 hinzuf gen 13 Konfigurationsdatei 45 53 l schen 15 vektorspezifisch 53 Zertifikatstyp 62 Anzeigename ndern 14 Beschreibung ndern 14 Beschreibung l schen 15 Beschreibungsdatei 44 neue Beschreibung hinzuf gen 13 Zertifikatswiderrufsliste 26 Zertifizierung 25 Zertifizierungshierarchie 25 Zielgruppe ix Zugriffssteuerungsliste 38 Zusammenfassung verwendete Konventionen xi
191. os Sue UIZ ZTE pun 9 USYISIMZ ssnul WOMUUDY seq purs uosso gosoSqe SITUA sop uope rojunioH sep INJ uourqeuge uopuojrIa1eq1oA V uu A ssnur uoqoSue SunpuoAuy 1021 Iop ur os uop1oA WYNJosyoInp SUNIOISISIIGeIOA SIP Ap MJ UOSIOg SIP sep WomuUUdY seq 3un421415 1824q040A 21p anf ANN TE WOMUUIY p omssed yequy adue AWEUISIIZUV oureupjo q Version 3 Release 7 1 58 Felder fur die Zertifikatsanforderung Anmerkungen 1 Feldwerte sind sofern nichts anderes angegeben wurde optional und werden in allen Registrierungsformularen verwendet 2 L ngenangaben definieren die maximal zul ssige Anzahl von Zeichen Wird keine Langenangabe aufgef hrt handelt es sich bei dem Feld um ein Markierungsfeld oder eine Auswahlliste 3 Andere Einschr nkungen betreffen erforderliche Felder und ung ltige Zeichen f r bestimmte Feldwerte die zu einem registrierten Namen DN zusammengefasst werden 4 Die Tabelle enth lt keine internen Formularvariablen f r Internet Explorer die nicht an den Server gesendet werden Diese werden lediglich zum Generieren der PKCS 10 An forderung verwendet Tivoli PKI Anpassung 59 ueuoneulojul ZU919J9H G uoeierzijnuopt nz 1o3119rqos uoop 1eedpessnpuog sep Ist qounp 1 IH uesse UNUJ 1ormuop anbrun jfeqojo GINH eure uoureN Usp inj pun uosse 199 p o seserp uuv 1o o sSe uy Joq OS UPIM j1on1uoS sep eedjossniyag onou sep Inj oure
192. passung 89 ja ds aqs unsseduy 9 90 lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 7 gt lt STRING Colon gt lt STRONG gt lt STRING Spacer gt lt STRING OptionalLbl Ss lt errorFlags 7 Ss lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 7 gt SIZE lt sizeOfInputFields gt MAXLENGTH 64 VALUE lt inputFieldReturnValues 7 gt gt lt TD gt lt TR gt lt Organizational Unit QU Ss lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING InputFieldHelps 8 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 8 gt lt STRING Colon gt STRONG lt STRING Spacer gt lt STRING OptionalLbl gt lt errorFlags 8 gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 8 gt SIZE lt sizeOfInputFields gt MAXLENGTH 64 VALUE lt inputFieldReturnValues 8 gt gt lt TD gt lt TR gt Entfernen Sie den folgenden Codeblock aus der Datei IEBrowserSSLCert_En roll jsp lt Country C gt lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING InputFieldHelps 12 gt lt FONT gt lt TD gt lt TD ALIGN
193. prozessen gesendet wurden Beachten Sie dass das hier verwendete Objekt raMessage die Komple xitit der URL Codierung sowie der Extraktion von Name Wert Paaren aus den Nachrichtendaten ausgleicht 3 Extrahieren von Registrierungsinformationen request vars und Gesch ftspro zessinformationen bp vars f r die anschlie ende Verwendung in angepassten Logikkomponenten die zu dem Regel Exit hinzugef gt wurden und Formulieren einer Antwortnachricht auf der Basis des Inhalts der Eingabenachricht 4 Schreiben der Daten der Antwortnachricht in die Standardausgabeeinheit STDOUT und Beenden der Antwort durch ein Zeilenvorschubzeichen Die Schreiboperationen wird hierbei wieder mit dem Objekt raMessage durchge f hrt Tivoli PKI Anpassung 49 ueuoneulojul ZU919J9H G 50 include ramsg hpp void main int argc char argv char message 64 1024 Read message s from stdin while cin good message 0 NULL cin getline message sizeof message if message is not good or is a shutdown we re done if cin good break if strstr message shutdown break create an raMessage object raMessage inmsg message extract enrollment information request vars raMessage reqvars inmsg findVariable request vars extract business process information bp vars raMessage bpvars inmsg findVariable bp vars extract any other expected fields const char bpnam
194. r gegangen werden um die Besch digung der UTF 8 Werte zu verhindern Informationen zu den empfohlenen Editoren finden Sie in In den meisten Fallen sollten Sie zuerst die Datei in eine native Codepage konvertieren diese dann editieren und sie anschlieBend zur ck ins UTF 8 Format konvertieren Ein weiterer wichtiger Punkt der unbedingt ber cksichtigt werden muss ist die Schreibung der in der Profildatei enthaltenen Felder Bei der Verwendung der Profilwerte durch den RA Server muss die Gro Kleinschreibung beachtet werden Die exakte Schreibung ist hier bei sehr wichtig Falsch geschriebene Feldnamen f hren im Allgemeinen zu fehlenden Defi nitionen Abh ngig vom verwendeten Profil k nnen die fehlenden Definitionen dazu f hren dass ein erforderlicher Wert nicht definiert werden kann und dass deswegen m glicherweise die gesamte Zertifikatsanforderung zur ckgewiesen wird Substitutionsvariablen in Profilen Die Definition von Profilregeln kann ein Symbol oder mehrere Symbole enthalten dessen bzw deren Wert aus dem Variablenpool abgerufen werden kann der vom RA Server oder von Approver Framework w hrend der Profilverarbeitung erstellt wird Substitutionssymbole werden durch zwei aufeinander folgende Prozentzeichen 9696 vor und nach dem Namen gekennzeichnet Beispiel SubjectName CN request CN In diesem Beispiel definiert request CN eine Substitutionsvariable Die Variable CN wird aus den Registrierungsdaten abg
195. r wendet wird Das Programm enth lt Komponenten des IBM WebSphere Application Server und des IBM HTTP Web Server IBM Server Sie sind nicht berechtigt die IBM Server zu anderen Zwecken als in Verbindung mit der lizenzgerechten Ver wendung des Programms zu benutzen Die IBM Server m ssen auf derselben Maschine wie das Programm installiert sein Sie sind nicht berechtigt sie unabh ngig vom Programm zu installieren und zu verwenden Java und alle auf Java basierenden Marken und Logos sind in gewissen L ndern Marken der Sun Microsystems Inc Microsoft Windows Windows NT und das Windows Logo sind in gewissen L ndern Marken der Microsoft Corporation UNIX ist eine eingetragene Marke und wird ausschlie lich von der X Open Company Limited lizenziert Pentium ist in gewissen L ndern eine Marke der Intel Corporation Bemerkungen Die vorliegenden Informationen wurden fiir Produkte und Services entwickelt die auf dem deutschen Markt angeboten werden M glicherweise bietet IBM die in dieser Dokumentation beschriebenen Produkte Services oder Funktionen in anderen L ndern nicht an Informationen ber die gegenw rtig im jeweiligen Land verf gbaren Produkte und Services sind beim IBM Ansprechpartner erh ltlich Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht da nur Programme Produkte oder Dienstleistungen von IBM verwendet werden k nnen Anstelle der IBM Pro dukte Programme oder Dienstleistungen k nnen auc
196. r Authentifizierung die eigene Identit t zu belegen In Network Computing Umgebungen ist die am h ufigsten verwendete Form des Identit tsnachweises ein Zertifikat das von einem CA erstellt und unterzeichnet wurde IniEditor Bei Tivoli PKI ein Tool mit dem Konfigurationsdateien editiert werden k nnen Integrit t Ein System sch tzt seine Datenintegrit t wenn es die nderung dieser Daten durch nicht berechtigte Personen verhindert Im Gegensatz hierzu versteht man unter dem Schutz der Vertraulichkeit von Daten wenn verhindert wird dass diese unberechtigten Personen zug nglich gemacht werden Integrit tspr fung Die Pr fung der Protokolleintr ge die f r Transaktionen mit externen Komponenten aufgezeichnet wurden International Standards Organization ISO Eine internationale Organisation die sich mit der Entwicklung und Ver ffentlichung von Standards befasst International Telecommunication Union ITU Eine internationale Organisation in der Verwaltungs und private Industriebereiche globale Datenfern tibertragungsnetze und services koordinieren Bei der Ver ffentlichung von Informationen zur Datenfern bertra gungstechnologie sowie den entsprechenden Regelwerken und Standards nimmt sie eine fiihrende Position ein Interne Struktur Siehe Schema Internet Ein weltweiter Verbund von Netzen die die elektronische Verbindung zwischen Computern und die Kommunika tion zwischen den Computern tiber Softwareeinrichtungen wie el
197. r auf der Registrierungsseite angegebenen Informationen Anwenden von Unternehmensregeln auf die Registrierung Zertifizierung und Verwal tung m Zur ckkehren zur angepassten Unternehmenswebsite nach dem Herunterladen des Zerti fikats m Einbinden des IBM Directory Servers in Ihre Unternehmenshierarchie Planen der Anpassung Neben dem Analysieren Bewerten und Planen der f r die Implementierung relevanten Fak toren sind die Darstellung der Verzeichnisstruktur und das Auflisten aller Anforderungen eines Unternehmens die wichtigsten Arbeitsschritte bei der individuellen Anpassung von Tivoli PKI Das erweiterte Beispiel in diesem Kapitel beschreibt wie das Beispiel unternehmen LoTo Organization seinen Tivoli PKI Server anpasst Verzeichnisstruktur des Unternehmens LoTo Organization ist in drei verschiedenen L ndern t tig und f hrt seine Gesch fte unter vier regional unterschiedlichen Namen Jedes der vier Regionalunternehmen ist in vier Abteilungen untergliedert Tivoli PKI Anpassung 69 ja ds aqs unsseduy 9 m LoTo Organization L nder USA Spanien Gro britannien Regionalunternehmen Business United Garages Enterprises BUGS Delta Auto Factory DAF Printing of Kits LTD POK Treats World Incorp TWI Identifizieren der kundenspezifischen Anforderungen Im Folgenden finden Sie eine Liste mit Beispielanforderungen und implementierungen fiir LoTo Organization
198. r gerpuosure SIOJJEISFEHUY sop osso1py Iv A 8 at 8cl ossopy Ie A H Sso1ppe pewa Dit junjeSuounp SuNIINsIsaiqgeioA p Ap J MUJ Jopo uosioq erp Jne oqeSuy osorp YOIs 1 u rz q SuNIINSISaIgQeIOA Jop log SIio os8emuy sop eureuuomrure Jopo DEN VA PIPIA TE eur uuoeN oumeu jse Dun 1gnjoSqounp eurrr rmsr rqemA p OP any am nug Iopo uosieq 210 Jne aqesuy oserp YAS 1qorzeq SUNIOLNSISOI gEIOA lop tog uoqeSue enug uossop Iopo uoureuioA uojto z UUN epog 19q Uu Jo ojsa eru y Jog s1o o sae nue SIEXIFN IOZ sop oureujgne 1opo JO oq PIPIA Ic 9UIEU IOA oumeu SIT dA ssunioLysisoy uayyosunMes uop Inj uod jsyexrjn1oz UUJ JOp ASTI ouro VYUO re nurio seq EIOS Je Ud ATSTOTITHSZ ut oig uopuly uod jsjexrgnioz uoej o1sesjrereq uone peisurpiepuejS 1ouro Toq uop nz uouoneuro ju from oq Ppop 3Iqeieg dAsyexunioz IJI ILIJI yequy oSgue T AWEUISIIZUV oureupjo q 57 Tivoli PKI Anpassung u q s ur s eurgoou PIIM WOMUUDY ouosnuopt seqq 8un421415 1824q040A 21p anf ANN TE UoSngjseq 110uuoy pioAssed peuuruoo Jopuases JgT aIssenuUY Usp uv q suorp esuei IOUN MW u urtutpsnz sosoip pim SUNIOPIOJULSSUNIILSISAIQLIOA Jop SunSIumpouor rog WOM uuy sopuouojsoeq UNZ uu z sne uro uorpjungsSunionstaos erp MONU up J1oAuu o3 UY 1o o sg ju Jop 1qID ua Jpumma 6 0 Datz IDp IMOS Z Z V uouoroz orp uuex pun ur
199. rd eine Wiederherstellungsanforderung f r die zuvor gesicherte PKCS 12 Datei ausgegeben Nachdem die Anforderung vom RA Administrator genehmigt wurde wird die Datei zum Downloaden f r Sie bereitgestellt Version 3 Release 7 1 Referenzinformationen Die Themen in diesem Abschnitt umfassen Informationen zu Verzeichnisstrukturen Feld beschreibungen sowie zul ssigen Werten und erl utern die Bedeutung von Attributen die beim Anpassen der Registrierungsfunktion m glicherweise ben tigt werden Unter jeder Haupt berschrift finden Sie die zugeh rigen Unterthemen in alphabetischer Reihenfolge Anpassungs Tools Die folgenden Tools k nnen zum Anpassen von Tivoli PKI eingesetzt werden Komponente Dateityp Anpassungs Tool Bildmaterialdateien gif Alle Grafikpakete die das GIF Format unterst tzen Andere anpassbare cfg Alle Unicode Editoren die das Importieren und Dateien jsp Exportieren von Daten im UTF 8 Format unterst t tr txt zen m Unter Windows NT k nnen Sie den Editor UnicEdit verwenden den Sie als Freewarekomponente mit Ihrem Browser her unterladen k nnen W Unter AIX k nnen Sie das Tool iconv verwen den Anmerkungen 1 Vor der Durchf hrung von Anderungen an einer Datei sollten Sie immer eine Sicherungskopie erstellen 2 Wenn Sie Tivoli PKI unter Windows NT installiert haben m ssen Sie allen f r die Registrierungsfunktion erstellten Ressourcendateien z B allen HTML u
200. re Registrierungsdom ne Beispiele Tivoli PKI Anpassung Andern Sie den Anzeigenamen f r ein Zertifikatsprofil Original S MIME Cert 1 Year S MIMECertlYear display name E mail Protection 1 Year required fields first name last name email address Ersetzen durch s S MIME Cert 1 Year S MIMECertlYear display name Secure E mail 1 Year required fields first name last name email address F gen Sie den Ablaufzeitraum f r die Registrierungsanforderung zu einem bestimmten Zertifikatsprofil hinzu S MIME Cert 1 Year S MIMECertlYear display name E mail Protection 1 Year required fields first name last name email address request expires in hours 72 Andern Sie den Ablaufzeitraum f r die Registrierungsanforderung bei allen Pro filen Original request expires in hours 72 Ersetzen durch request expires in hours 48 Andern Sie die erforderlichen Felder f r ein bestimmtes Zertifikatsprofil Original S MIME Cert 1 Year S MIMECertlYear display name E mail Protection 1 Year required fields first name last name email address 45 ueuoneuloJul ZU919J9H G Ersetzen durch S MIME Cert 1 Year S MIMECertlYear display name E mail Protection 1 Year required fields first name last name CN m ndern Sie die Standarddefinitionen der erforderlichen Felder in allen Profilen Original Define field processing values displayable fields subjectName i ssuerName k
201. rn Version 3 Release 7 1 Regel Exit Datei Der Beispiel Regel Exit der zum Lieferumfang der Registrierungsfunktion geh rt auto ap prove cpp wird von Tivoli PKI Gesch ftsprozessen aufgerufen Er dient zum Pr fen des Wertes der Variablen decision_default und zur Ausf hrung entsprechender Aktionen Dateiname auto approve cpp Dieser Name wird in der Datei raconfig cfg definiert und im Eintrag hfservice PoJ angegeben Adresse Unterverzeichnis bin f r den Installationspfad Ihrer Registrierungsdom ne Beispiel Die folgende Liste enth lt relevante Codesegmente aus dem Beispielprogramm auto approve Dieser Code zeigt wie Regel Exits zum Lesen von Nachrichten aus der Standardeingabeeinheit STDIN zum Ausf hren von Aktionen auf der Basis des Nachrichteninhalts sowie zum anschlie enden Formulieren einer Antwort verwendet werden k nnen die an die Tivoli PKI Gesch ftsprozesse zur ckgegeben wird Sie k nnen an diesem Beispiel sehen wie stark die Komplexit t angepasster Regel Exits zunehmen kann Verwenden Sie diesen Code als Richtlinie und befolgen Sie die bereits erl uterten Konventionen f r den Nachrichtenaustausch und die Ein Aus gabe die f r den Regel Exit gelten Der Beispielcode dient zur Ausf hrung der folgenden Operationen 1 Lesen von Daten aus der Standardeingabeeinheit STDIN bis ein Zeilenvor schubzeichen gefunden wird 2 Interpretieren der Daten die von den Tivoli PKI Gesch fts
202. rneuerbarkeit 28 G ltigkeitsdauer 25 27 Profil ndern 13 Profil hinzuf gen 13 Profil l schen 15 registrierter Name 26 Status 67 Verwaltung 38 X 509v3 Format 64 zur Verwendung der Registrierungsservices 27 Dom ne Regeln f r 23 Dom ne Registrierung 24 E E Mail Benachrichtigungsbrief 46 Brief ndern 9 Dateiname 53 Feld 56 E Mail Ersetzungsvariablen 46 Einheitenzertifikat 28 Einschr nkungen bei Regel Exits 21 Elemente anpassbare 42 Erl uterungen Themen 19 Erneuerbares Zertifikat automatisch definieren 10 138 Erneuerbarkeit 28 Erneuerbarkeitsstatus automatisch 10 Ersetzungsvariablen f r E Mail 46 Erweiterungen benutzerdefinierte zum Zertifikat hinzuf gen 15 Erweiterungen X 509v3 Zertifikat 28 64 F Fehlernachrichtentext 47 Felder f r Registrierung 66 hinzuf gen 7 G Gegenseitige Zertifizierung 25 Genehmigung 3 Genehmigung automatisieren 10 17 Gesch ftsprozess Schablonendatei 55 Gr nde f r Widerruf 62 G ltigkeitszeitraum 40 62 Informationen zur Vorgehensweise Themen 5 Inhalt des Handbuchs ix J Java Server Seiten 24 Beispiel 48 Dateinamendefinitionen 52 Liste 43 48 JSP Dateien 43 48 52 K Klassen f r Schemaobjekte angeben 36 Klassen von Objekten f r Verzeichniseintr ge anpassen 114 Konfigurationsdateien 45 51 Konventionen xi Kundenunterst tzung xi L LDAP Protokoll 26 Version 3 Release 7 1 Mehrere Administratoren 39 Mount Punkte 52 N Nich
203. rofilver rbeituns a xd wo raei grea ss aol Mies aed Ronee Bae dae eee ie 30 Organisation Inhalt und Struktur von Profien 32 vi Version 3 Release 7 1 Substitutionsvariablen in Profilen 2 0 00 000 wa e stt ae eee es 33 Profilregeln und definitionen 35 Mos MR en st bag bd thet het ade Eet dade kaqa as q uma b aus 38 Zugriffssteuerung esses oa ee Ee we Soe HH ER ES EE ENEE COTE TES ae 38 Authentifizierung und Berechtegung 39 Parallele V rwalt ng xen cere eR ao OR ea aan 39 RA Desktop cea res hanaq wag qaq nei Cantas g Qam a RR ewe ee eS 39 Servlet zur Unterst tzung von RA Desktop 39 Anforderungsprofile 0 erreso tenme ehe 40 Funktion zur Sicherung und Wiederherstellung von Schl sseln 40 Kapitel 5 Referenzinformationen 41 Anpassungs Tools sies eoe Ro Eee RR qa gagu DERE ER RE LER d ee ES 41 D leiadressen u usu ERE T CET LO COR D TERT CDL LED T LU OU DL LUI 42 Verzeichnisstr kt t 4 4 yy zer ne eA Se pc au d d aed ind E 42 Anpassbare Elemente uuu uc yu ee EE cope band eR Race rd Wu n qure qu ee Re rag ea 42 Quellendateien auf den Webseiten J U sss ss liliis 43 Beispieldateien t muu wo oec ote a ta eder eie te ee E er 44 Beschreibungsdateien f r Zertifikatstypen 44 Konfigurationsdatei f r Zertifikatsprofile 2 0 0 0 0 0c eee 45 E Mail Benachrichtigungsbrief 0 0 0 0 c
204. rt2Year NonRepudiationCertlYear NonRepudiationCert2Year CACrossCertificationRequest Speichern und schlie en Sie die Datei Anmerkung Die neuen Profile m ssen in der Datei certificate_profiles cfg vordefiniert werden ndern von Bildmaterial auf einer Registrierungsseite Gehen Sie wie folgt vor um Bildmaterial zu einer Registrierungsseite hinzuzuf gen 1 2 3 4 Speichern Sie das gew nschte Bildmaterial in einer GIF Datei gif Erstellen Sie f r die zu ndernde Registrierungsseite eine Sicherungskopie der ISP Datei ffnen Sie die Datei mit einem Editor der das UTF 8 Format unterst tzt Suchen Sie die Formatierungssteuerzeichen f r das Bildmaterial das ersetzt werden soll Sie haben voraussichtlich folgendes Format IMG SRC lt UE SERVER AUTH URL PATH gt lt JSP MOUNT POINT gt SW_Banner gif WIDTH 600 HEIGHT 27 BORDER O ALT IBM SecureWay gt Setzen Sie wie im Folgenden hervorgehoben dargestellt den Namen Ihrer GIF Datei ein IMG SRC lt UE SERVER AUTH URL PATH gt lt JSP MOUNT POINT gt MyBanner gif WIDTH 600 HEIGHT 27 BORDER 0 ALT IBM SecureWay gt Andern von Text auf einer Registrierungsseite Gehen Sie wie folgt vor um den Text auf einer Registrierungsseite zu ndern 1 2 3 4 Erstellen Sie f r die zu ndernde Registrierungsseite eine Sicherungskopie der ISP Dateil ffnen Sie die Datei mit einem Editor der das LITF 8 Formal unterst tzt
205. rteilte Verarbeitung bei dem ein Programm an einem Standort eine Anforderung an ein Pro gramm an einem anderen Standort sendet und auf eine Antwort wartet Das anfordernde Programm wird als Cli ent das antwortende als Server bezeichnet Codeunterzeichnung Ein Verfahren zum Unterzeichnen ausf hrbarer Programme mit einer digitalen Unterschrift Die Codeunter zeichnung dient zur Verbesserung der Zuverl ssigkeit von Softwarekomponenten die ber das Internet verteilt werden Common Cryptographic Architecture CCA IBM Software die einen konsistenten Verschl sselungsansatz auf den wichtigsten IBM Computerplattformen bie tet Sie unterst tzt Anwendungssoftware die in einer Vielzahl von Programmiersprachen geschrieben wurde Die Anwendungssoftware kann hierbei die CCA Services aufrufen um eine breite Palette kryptografischer Funktionen einschlieBlich der DES und der RSA Verschl sselung auszuf hren Common Data Security Architecture CDSA Eine Initiative zum Definieren eines umfassenden Ansatzes f r Sicherheitsservices und Sicherheitsverwaltungso perationen bei computerbasierten Sicherheitsanwendungen Diese Architektur wurde von Intel entworfen und dient dazu Computerplattformen f r Anwendungen sicherer zu gestalten Common Gateway Interface CGI Ein Standardverfahren zum bertragen von Informationen zwischen Web Seiten und Webservern CRL Certificate Revocation List Zertifikatswiderrufsliste CRL Publikationsintervall Di
206. rten Felder die entsprechenden Eintr ge in den Registrierungsva riablen berschreiben Dieser Ansatz erm glicht Ihren Regel Exits die Steuerung der Daten die f r die Profilverarbeitung verwendet werden Die pkcs10 Werte stammen aus einem PKCS 10 Objekt das m glicherweise zusammen mit der Zertifikatsanforderung bergeben wurde Der RA Server extrahiert das Attribut sub jectName und alle angeforderten Erweiterungen aus dem angegebenen PKCS 10 Objekt Das Attribut subjectName wird anschlieBend weiter in einzelne RDN Felder zerlegt Hier durch ist es m glich bei der Profilverarbeitung aus dem PKCS 10 Objekt nur das CN Feld zu verwenden Version 3 Release 7 1 Die Werte fiir subjectName stammen aus dem Namen des Zertifikatsgegenstands des betref fenden Zertifikats Approver Framework fiihrt eine syntaktische Analyse des Zertifikats aus ruft den Wert des Attributs subjectName ab und zerlegt diesen Wert weiter in Schl ssel wertpaare Beachten Sie hierbei dass Anforderungen des Browsers Netscape nur ber ein NSPK Objekt NSPK Netscape Signed Public Key verf gen Dieses Objekt enth lt nur den ffentlichen Schl ssel des Zertifikatsgegenstands sowie eine Abfragezeichenfolge mit der gepr ft wird ob die Entit t oder Person die den ffentlichen Schl ssel bergibt ber den zugeh rigen privaten Schl ssel verf gt Beachten Sie hierbei dass bei allen Feldnamen die Gro Kleinschreibung beachtet werden muss Sie m
207. rtifikat angefordert bei dem die zugeh rigen Knoteneintr ge nicht vorhan den sind gibt die Registrierungsfunktion von Tivoli PKI ein Zertifikat an den Antragsteller zur ck Das Zertifikat wird nicht im Verzeichnis Directory gespeichert und kann deswegen auch nicht gesucht oder abgerufen werden Die folgenden Schritte beschreiben das Anpassen eines Verzeichnis Servers an die innerhalb des Unternehmens geltende Hierarchie 1 Stoppen Sie Tivoli PKI 2 Editieren Sie mit einem beliebigen Texteditor die Datei slapd conf F r AIX usr 1dap etc slapd conf F r Windows NT c Program Files IBM ldap etc slapd conf 3 Suchen Sie in der Datei nach folgender Zeile suffix cn localhost suffix cn US F gen Sie direkt nach dieser Zeile die folgende Zeile ein suffix c country code Hierbei steht country code fiir den Code eines bestimmten Landes Beispiel suffix c ES suffix c GB 4 Starten Sie Tivoli PKI Erstellen Sie eine Datei mit allen Eintr gen die zum Verzeichnisserver hinzugef gt wer den m ssen z B Idapadd txt Tivoli PKI Anpassung 113 jaidsieqsbunsseduy 9 6 F hren Sie den folgenden Befehl in dem Verzeichnis aus in dem ldapadd txt gespei chert ist ldapadd D lt Ldap Root DN gt w lt Ldap Root DN Password gt c f ldapadd txt Hierbei steht Ldap Root DN f r den registrierten Namen des Roots f r LDAP und Ldap Root DN Password f r das zugeh rige Kennwort 7 Stell
208. s 12 Anpassen von Zertiikaten ssis yu es t EES EE ee dE Ne orale d e 12 Hinzuf gen eines Zertifikatsprofils s icas u yuaya ee 13 Hinzuf gen der Beschreibung eines Zertifikatstyps 222222000 13 ndern eines Zertifikatsprofils 13 ndern der Beschreibung eines Zertifikatstyps 14 ndern des Anzeigenamens eines Zertifikatstyps 14 L schen eines Zertifikatsprofils uU u Tu uu Sa eens 15 L schen der Beschreibung eines Zertifikatstyps 2 llle 15 Hinzuf gen von Benutzererweiterungen zu einem Zertifikatsprofil 15 Tivoli PKI Anpassung ndern der angezeigten URL Adresse nach Verlassen von RA Desktop 16 Anpassen der Sicherung und Wiederherstellung von Sch sseln 16 Inaktivieren der Sicherung und Wiederherstellung von Schl sseln 16 ndern der Anforderungsinformationen 17 Aktivieren der automatischen Genehmigung eee 17 Kapitel 4 Erl uterungen 19 ANPASSUNE Hm y arit quy px peo ped Cua E e pede dU gated pau ode duros P put dd 19 Anpassbare Elemente cl 2 EEG ed xr eoa i we dw rea qeu eeu e Rari 19 nderungen die einen Systemwiederanlauf erfordern 19 Registrierung PP C UT 19
209. s Wertes sind durch ein Pluszeichen zu ersetzen m Bestimmte andere Zeichen die in einem Wert auftreten k nnen z B aus der Gruppe 1 amp werden durch ein Prozentzeichen ersetzt das der hexadezimalen Entsprechung des ersetzten Zeichens vorangestellt wird Die Name Wert Paare decision_default approve username John Q Public werden z B folgenderma en codiert und gesendet decision default approve amp username John Q Public Tivoli PKI Anpassung 21 ueDunjejne3 E 22 Beachten Sie hierbei dass dieses Format das Verschachteln von Name Wert Paaren erm g licht Dies bedeutet dass der Wert des Name Wert Paares wiederum andere URL codierte Name Wert Paare enthalten kann Um die Komplexit t bei der Verwendung dieses Nachrichtenformats auf ein Minimum zu reduzieren verwendet der lBeispiel Regel Exitl das Objekt raMessage Dieses Objekt stellt eine Reihe von Methoden zum Erstellen von Nachrichten zum Andern des Inhalts sowie zum bertragen des tats chlichen Nachrichteninhalts im geeigneten Format zur Verf gung Hierbei ist es f r den Benutzer nicht erforderlich die exakten Details der URL Codierung bzw Decodierung zu kennen Die zum Lieferumfang von Tivoli PKI geh renden Gesch ftsprozesse kommunizieren mit Regel Exits ber einen Service der zum Austauschen von Nachrichten Pipes zur Standard eingabe STDIN und Standardausgabeeinheit STDOUT des Regel Exit Programms ver wendet m Rege
210. s integriert werden sollen Die Werte dieser Attribute werden im Rahmen dieser Regel ebenfalls definiert Die Ermittlung dieser Werte 36 Version 3 Release 7 1 Tivoli PKI Anpassung erfolgt anhand von Symbolsubstitution Diese Regel erm glicht es Ihnen den Verzeichniseintrag mit Registrierungsinformationen auszuf llen Beispiel Object Class to be used to create entries on Directory that have the following attribute Object Class has to match a object class on the directory schema Required Attributes refer to values required to add the entry to the directory Optional Attributes refer to values that could be used on the creation of the entry if available on enrollment data Example configuration if going to use diferent schema CN objectClass inetOrgPerson ePerson top CN objectClass RequiredAttributes cnAttr snAttr CN objectClass OptionalAttributes Describes the values on the enrollment data to be used to populate the information on the directory The AttributeNames need to match the attribute name specified on the directory schema The subjectName object refers to the attribute values found on the entry RDN enAttr_AttributeValue subjectName CN cnAttr_AttributeFormat String cnAttr_AttributeName cn snAttr_AttributeValue request last_name snAttr_AttributeFormat String snAttr_AttributeName sn Anmerkung Nur das Format des Attributs String
211. sicherte Anwendung benutzen wollen m Basiseinschr nkungen m Schl sselverwendung m Namenseinschr nkungen m Verwendungszeitraum f r private Schl ssel m Alternativname des Zertifikatsgegenstands Format von X 509v3 Zertifikaten Das Format eines X 509v3 Zertifikats wird von den meisten Verschl sselungsprotokollen einschlie lich SSL unterst tzt Die neuesten Informationen zu diesem Thema finden Sie auf der IETF Website in den folgenden Dokumenten m RFC 2459 Internet X 509 Public Key Infrastructure Certificate and CRL Profile Stan dard f r Zertifikatsprofile und CRL Profile einschlie lich Zertifikatserweiterungen m RFCs mit Beschreibungen anderer Standards f r X 509v3 Zertifikate Kopien dieser Dokumente k nnen Sie ber FTP abrufen Beispiel FTP ds internic net rfc rfc2459 txt Version 3 Release 7 1 Einzelangaben bei der Registrierung Die Themen in diesem Abschnitt definieren verschiedene Typen von Registrierungsdaten die Sie m glicherweise bei eigenen Regel Exits verwenden wollen Attribute von Anforderungen und Zertifikaten Die folgenden Attribute werden im Datenbanksatz einer Registrierungsanforderung als Anforderungsattribute eingestuft Geschaftsprozessvariablen Werte die von einem Unternehmen w hrend des Registrierungsprozesses angegeben werden In diesem Attribut werden Griindel f r den Widerruf eines Zertifikats bereit gestellt Ablaufdatum des Identit tsnachweises Das Datum an dem die G l
212. siness Process Objects die in einer angegebenen Reihenfolge ausgef hrt werden Jedes BPO implementiert eine bestimmte Ope ration Es dient zum Editieren von Elementen der Registrierungsanforderungen und automati siert die Genehmigung Tivoli PKI Anpassung 23 ueDunjoejne3 E Bei Bedarf k nnen Sie den Regel Exit anpassen Hierdurch k nnen Sie Ihre Unternehmens regeln bei der Anforderungsverarbeitung anwenden und folgende Operationen ausf hren m Anpassen des Exits und Hinzuf gen eigener Verarbeitungsprozeduren m Erstellen neuer Regel Exits auf der Basis des bereitgestellten Beispiels Ihr Unternehmen kann diese Exits wahrend der Registrierung zum Aufrufen eigener Programme einsetzen Das IBM Redbook Working with Business Process Objects for Tivoli SecureWay PKI SG24 6043 00 enth lt Anleitungen zum Entwickeln und Anpassen von Gesch ftsprozessobjekten BPOs im Einklang mit Ihren individuellen Gesch ftsanforderungen Datensatzattribute Die Attribute eines Datensatzes in der Registrierungsdatenbank sind Variablen die zur Beschreibung der Re 1 lerungl dienen Bei positiv beantworteten Anforderun gen enthalten die Variablen auch eine Beschreibung des erteilten Z Andere Attribute definieren Verarbeitungsvariablen die Ihr Unternehmen dabei unterst tzen seine durchzusetzen Bestimmte Attribute und ihre zugeh rigen Werte konnen vom Registrator ber RA Desktop angezeigt werden Registrierungsstellen Unter Tivoli PKI ist die
213. slatable kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk int numOfCountries 3 String STRING CountryNames new String numOfCountries String countryCodes new String numOfCountries countryCodes 0 ES countryCodes 1 GB countryCodes 2 US STRING CountryNames 0 Spain STRING CountryNames 1 United Kingdom STRING CountryNames 2 United States String selectedCountryCode request getParameter inputFieldNames 12 if selectedCountryCode null selectedCountryCode equals selectedCountryCode String request getAttribute inputFieldNames 12 if selectedCountryCode null selectedCountryCode equals selectedCountryCode defaultCountryCode for int i 0 i lt numOfCountries i Determine if current item needs to be preselected if countryCodes i equals selectedCountryCode selectedLb SELECTED else selectedLb Create the list item out println lt OPTION VALUE countryCodes i selectedLbl gt STRING CountryNames i countryCodes i gt lt SELECT gt lt TD gt lt TR gt Entfernen Sie den folgenden Codeblock aus der Datei IEBrowserSSLCert_ Enroll jsp lt Organization 0 gt lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING_InputFieldHelps 7 gt lt FONT gt Tivoli PKI An
214. sstelle Der Server arbeitet bei der Registrierungsverarbeitung interaktiv mit der Registrierungsfunktion und dem CA Server zusammen Zertifikatsaussteller Der E Al Server arbeitet mit dem RA Server zusammen und f hrt die Zertifizierungs verarbeitung durch Zertifikatsprofile Tivoli PKI stellt Zertifikatsprofild fiir eine Vielzahl von Einsatzbereichen zur Verfii gung Sie k nnen diese Profile anpassen und au erdem auf der Basis der bereitge stellten Profile weitere Profile erstellen Directory Das von Tivoli PKI unterst tzte Directory verwendet das LDAP Protokoll Registrierungsdatenbank Datens tze zu Registrierungsanforderungen und Zertifikaten sind in einer verschl s atenhankl gespeichert Verwaltungsschnittstelle Berechtigte Registratoren verwenden RA Desktop zum Auswerten von Registrie rungsanforderungen sowie zum Verwalten von Anforderungen und Zertifikaten Schl sselsicherung und wiederherstellung Erm glicht die Sicherung und Wiederherstellung von Zertifikatsschl sseln und priva ten Schl sseln in bzw aus PKCS 12 Dateien die von Endbenutzern erstellt wurden Der Wiederherstellungsprozess wird ber RA Desktop verwaltet Da zahlreiche Elemente der Registrierungsdom ne angepasst werden k nnen kann diese optimal auf Ihre Unternehmensschwerpunkte abgestimmt werden m Ihre Unternehmensregeln Konnen die Ausf hrung von Registrierungs Zertifizierungs und Verwaltungsoperationen bestimmen m Die Registrierun
215. stellen ob Ihre Anforderung genehmigt wurde Ist dies der Fall werden Ihnen die entsprechenden Dateien zugesendet m Wenn Sie ein Browserzertifikal empfangen wird es auf Ihren Browser herunter geladen m Wenn Sie ein katl empfangen wird dieses f r die weitere bertragung an den Server bzw die Einheit f r Sie heruntergeladen m F r die von Zertifikaten empfangen Sie bestimmte Daten oder k nnen ausw hlen welcher Dateityp heruntergeladen werden soll Wenn Sie ber diese Webseiten ein Browserzertifikat erhalten haben k nnen Sie diese Sei ten erneut aufrufen um Ihr Zertifikat zu erneuern oder zu widerrufen Version 3 Release 7 1 Vorabregistrierung Tivoli PKI erm glicht einem Programm oder einem Administrator die Vorabregistrierung zuk nftiger Benutzer Die f r die Vorabregistrierung erforderlichen Informationen k nnen vom zuk nftigen Benutzer oder aus den Datenbest nden des zugeh rigen Unternehmens z B aus einer Vin stammen Nach dem Erfassen der Informationen greift der Administrator ber einen auf die Registrierungsseite zu Mit Hilfe eines spezi ellen Registrierungsformulars f r die Vorabregistrierung stellt der Administrator die Regis trierungsinformationen bereit und fordert Zertifikate an Wenn die Anforderung genehmigt wird erh lt der Administrator bestimmte Informationen die an den zuk nftigen Zertifikatseigner weitergeleitet werden m ssen Diese Person kann das Zertifikat dann mit einer PKIX ko
216. strierungsdom ne verf gt Status der Registrierungsanforderungen Alle Statuswerte stellen Ereignisse im Aktionsprotokoll der Anforderung oder des Zertifikats dar Anforderungsstatus Genehmigt Die Registrierungsanforderung wurde genehmigt Abgeschlossen Ein RA Prozess oder Registrator hat die Registrierungsanforderung entweder geneh migt oder zur ckgewiesen Bei einer genehmigten Anforderung wurde ein Zertifikat an den Benutzer gesendet Anmerkung Dies ist der endg ltige Anforderungsstatus f r eine Registrierungsan forderung Der Ausf hrungsstatus einer abgeschlossenen Anforderung verweist auf nachfolgende Aktionen und Ereignisse die sich auf die Anforderung auswirken Beispiel Wird ein Zertifikat erneuert oder widerrufen wird dies im Ausf hrungsstatus angegeben Der Anfor derungsstatus bleibt jedoch weiterhin Abgeschlossen Anstehend Die Registrierungsanforderung wurde m glicherweise bereits gepr ft die Entschei dung ber Genehmigung oder Zur ckweisung steht jedoch noch aus Empfangen Eine Registrierungsanforderung wurde empfangen Nicht genehmigt Die Registrierungsanforderung wurde zur ckweisen Es wurde kein Zertifikat ausge stellt Ausf hrungsstatus bergeben Das Zertifikat wurde an die Webseite bergeben auf der es vom Benutzer akzeptiert werden kann bergabe best tigt Der Benutzer hat das Zertifikat auf den Webbrowser heruntergeladen Ausgestellt Die Registrierungsanforderung wurde ge
217. t lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING_InputFieldHelps 8 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 8 Ss lt STRING Colon Ss lt STRONG gt lt STRING Spacer gt lt STRING OptionalLbl Ss lt errorFlags 8 gt lt FONT gt lt BR gt lt SELECT NAME lt inputFieldNames 8 gt SIZE 1 gt lt k k k k kok k k RIK KER AKER he khe eee ke KIRKE IKK IKKE IKKE AKIRA KER ARE Create dropdown list of OU kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk Initialize arrays of OU names and codes Ji int numOfOrgUnit 5 String STRING OU new String num0fOrgUnit String ouCodes new String numOfOrgUnit ouCodes 0 ouCodes 1 ITS SVT Tivoli PKI Anpassung 87 jaidsieqsbunsseduy 9 88 ouCodes 2 MKT ouCodes 3 DEV ouCodes 4 OTH STRING OU 0 STRING OU 1 STRING OU 2 STRING OU 3 Information Tech Srvs System Test Marketing Development STRING OU 4 Planning Determine the selected ou String selectedOUC request getParameter inputFieldNames 8 if selectedOUC null selectedOUC equals selectedOUC String request getAttribute inputFieldNames 8 if
218. t dem Java Interpreter ausgef hrt wird CA Certificate Authority Zertifikatsaussteller CA Hierarchie Bei Tivoli PKI eine Sicherungsstruktur bei der ein CA auf der h chsten Ebene positioniert ist Anschlie end k n nen bis zu vier weitere Ebenen mit untergeordneten CAs definiert werden Wenn Benutzer oder Server bei einem Version 3 Release 7 1 Zertifikatsaussteller registriert werden wird ihnen ein von diesem Aussteller unterzeichnetes Zertifikat zugeord net AuBerdem bernehmen sie die Zertifizierungshierarchie der bergeordneten Ebenen CA Server Der Server f r die CA Komponente von Tivoli PKI CAST 64 Ein Block Cipher Algorithmus der mit einer Blockgr fe von 64 Bit und einem 6 Bit Schl ssel arbeitet Er wurde von Carlisle Adams und Stafford Tavares entwickelt CA Zertifikat Ein Zertifikat das vom Web Browser eines Benutzers auf dessen Anforderung hin von einem nicht identifizierten CA akzeptiert wird Der Browser kann dann dieses Zertifikat verwenden um f r die Kommunikation mit Servern die ber Zertifikate dieses CAs verf gen eine Authentifizierung durchzuf hren CCA IBM Common Cryptographic Architecture CDSA Common Data Security Architecture CGI Common Gateway Interface Client 1 Eine Funktionseinheit die gemeinsam benutzte Services von einem Server empf ngt 2 Ein Computer oder Programm der das Services von einem anderen Computer oder Programm anfordert Client Server Ein Modell f r die ve
219. t erneuerbares Zertifikat automatisch definieren 10 O Objektklassen f r Schemata angeben 36 Objektklassen f r Verzeichniseintr ge anpassen 114 P PKCS 10 Zertifikatsanforderung 28 56 PKCS 12 Datei wiederherstellen 40 PKCS 7 Zertifikat 28 56 PKIX kompatible Anwendung 27 Planen der Anpassung 5 19 Profil Anforderung 40 Profile Zertifikat 29 Protokoll f r den Verzeichniszugriff Directory 26 Protokolle f r die gesicherte Kommunikation 27 R RA 24 RA Desktop 38 39 angezeigte URL Adresse nach dem Verlassen ndern 16 Servlet zur Unterst tzung 39 RA Desktop Konfigurationsdatei 54 RA Desktop URL Adresse 55 RA Server Aktionstabelle 54 RA Server URL Adresse 52 RA Server Parameter 54 raconfig cfg 51 Referenzinformationen Themen 41 Regel Unternehmen 23 Regel Exits anpassen 11 Beispiel Exit ndern 11 Beispiel Exit ersetzen 12 Beispieldatei 49 Einschr nkungen 21 22 Genehmigung automatisieren 10 hinzuf gen 11 in raconfig cfg angeben 11 Status Erneuerbar automatisch definieren 10 Status Nicht erneuerbar automatisch definieren 10 Wartestatus automatisch definieren 10 Registrator 39 Tivoli PKI Anpassung Registrator Forts Aktionen von 66 Aufgabenbereich 3 Auswirkungen auf die Registrierungsdatenbank 25 automatische Tasks 3 23 Berechtigungen fiir Domine 66 mehrere Administratoren 39 Servlet zur Unterstiitzung von Tasks 39 Registrierter Name 26 Registrierung 3 6 23 Aktionen f r
220. te Speicherung der Registrierungsinformationen Ein Tivoli PKI System kann auf Serverplattformen unter IBM AIX 6000 sowie Microsoft Windows NT ausgef hrt werden Es umfasst die folgenden Hauptmerkmale Ein zuverl ssiger Zertifikatsausstelled CA verwaltet die Giiltigkeitsdauer digitaler Zerti fikate Um f r die Authentizit t eines Zertifikats zu b rgen leistet der CA f r jedes Zer tifikat das er ausstellt eine digitale Unterschrift Au erdem unterzeichnet er Zertifikats bodesuislised CRLs um zu best tigen dass ein bestimmtes Zertifikat nicht mehr g ltig ist Zur weiteren Sicherung seines Signierschl ssels k nnen Sie kryptografische Hardware wie beispielsweise den IBM SecureWay 4758 PCI Cryptographic Coprocessor verwenden Eine Registrierungsstelld RA bearbeitet die Verwaltungs Tasks f r die Benutzer registrierung Die RA stellt sicher dass nur solche Zertifikate ausgestellt werden die Ihre Unternehmensaktivit ten unterst tzen und dass diese Zertifikate nur an berechtigte Benutzer ausgegeben werden Die k nnen ber automatisierte Pro zesse oder auf der Basis menschlicher Entscheidungen ausgef hrt werden Ahnlich wie der CA k nnen Sie die Hardware der Einheit IBM 4758 verwenden um die Signierschl ssel der RA zu speichern Eine Webschnittstelle f r die vereinfacht das Abrufen von Zertifikaten f r Browser Server und andere Einheiten und Zwecke z B VPN Einheiten VPN Virtual Private Network Smart Cards
221. tellen zum Regel Exit 22 Server Zertifikat 28 Servlet zur Unterst tzung von RA Desktop 39 Sichere Anwendungen 3 Sicherung und Wiederherstellung von Schl sseln 16 40 Status Anforderung 67 Status Ausf hrung 67 Statuswerte 67 Systemwiederanlauf 19 Szenario f r die Vorabregistrierung 21 T Text ndern f r Registrierung 9 Tivoli Kundenunterst tzung xi Sicherheitsverwaltung Webinformationen xi Tivoli PKI Webinformationen xi Tivoli PKI Wiederanlauf 19 Tivoli PKI Client Anwendung 19 Tools fiir die Anpassung 41 Typen von Zertifikaten 62 U Ubersicht Aufgabenbereich des Registrators 3 Tivoli PKI 1 Unternehmensregel 23 Unterst tzung f r Tivoli Kunden xi URL Adresse nach dem Verlassen von RA Desktop 16 Registrierungsdom ne 24 Registrierungsfunktion 10 V Verarbeitungsattribute 65 Verlassen URL Adresse fiir RA Desktop ndern 16 Ver ffentlichungen Tivoli Sicherheitsprodukte xi Verzeichniseintr ge Objektklassen anpassen 114 Verzeichnisname Directory 54 Verzeichnisstruktur 42 140 Verzeichniszugriff Directory 26 Vorabregistrierungsszenario 21 Vorwort ix W Wartestatus automatisch 10 Wartestatus fiir Zertifikat definieren 62 Web Browser Registrierungsformularfelder 56 Szenario f r die Vorabregistrierung 21 Web Browser Unterst tzung 19 21 Web Seiten Registrierung 20 43 48 CA Zertifikat f r die Verwendung 27 Felder f r die Zertifikatsanforderung 59 Felder f r Registrierungsinf
222. teller CA voraussichtlich zur ckgewiesen wenn subjectAltName keinen Namen defi niert Der RA Server und das Approver Framework erstellen die folgenden Variablengruppen zur Verwendung als Substitutionsvariablen m Profildefinitionen die Paare aus Name und Wert die in der Zertifikatsprofildatei ent halten sind m Anforderungswerte die Paare aus Name und Wert der Registrierungsdaten die in der RA Datenbank enthalten sind B pkcs10 Werte die Paare aus Name und Wert f r Informationen von einem PKCS 10 oder PKIX Objekt das der Zertifikatsanforderung zugeordnet ist m subjectName Werte die Paare aus Name und Wert die im Namen des Zertifikats gegenstands subjectName erst nach Ausgabe des Zertifikats verf gbar enthalten sind Nur Approver Framework Die Profildefinitionen haben gegen ber allen anderen in der Anforderung oder den pkcs10 Variablenpools definierten Werten Priorit t Profildefinitionen stammen immer aus dem glo balen Abschnitt des Zertifikatsprofils und den f r das Zertifikatsprofil spezifischen Abschnit ten der Profildatei Die Anforderungswerte stammen aus den Registrierungs und Gesch ftsprozessvariablen die im RA Datenbankobjekt gespeichert sind das der verarbeiteten Zertifikatsanforderung zugeordnet ist Beim Erstellen des Anforderungsvariablenpools mischt der RA Server die Registrierungs und Gesch ftsprozessvariablen so dass alle in der Gruppe der Gesch fts prozessvariablen definie
223. teninhalt bereinstimmen muss Andernfalls wird die Unterschrift nicht als g ltig identifiziert Eine digi Version 3 Release 7 1 tale Unterschrift kann also nicht von einer Nachricht kopiert und fiir eine andere Nachricht verwendet werden da sonst die Zusammenfassung Hash Code nicht bereinstimmen w rde Alle Anderungen an der unterzeichneten Nachricht f hren automatisch zum Verlust der G ltigkeit der Unterschrift Digitale Zertifizierung Siehe Zertifizierung Digital Signature Algorithm DSA Ein auf ffentlichen Schl sseln basierender Algorithmus der zum Standard f r digitale Unterschriften Digital Signature Standard DSS geh rt Er kann nur f r digitale Unterschriften jedoch nicht f r die Verschl sselung verwendet werden Directory Eine hierarchische Struktur die als globales Repository f r Informationen zur Datenkommunikation wie bei spielsweise E Mail oder Austausch von verschl sselten Daten konzipiert ist Im Directory werden bestimmte Ele mente gespeichert die f r die PKI Struktur PKI Public Key Infrastructure unbedingt erforderlich sind Hierzu geh ren die folgenden Elemente ffentliche Schl ssel Zertifikate und Zertifikatswiderrufslisten CRLs Die Daten im Directory sind hierarchisch in einer Baumstruktur organisiert wobei die oberste Ebene der Baum struktur das Root Verzeichnis ist H ufig stehen Organisationen einer h heren Ebene f r einzelne L nder Regie rungen oder Unternehmen Benutzer
224. thentifizierung wurde dieser Standard von vielen Lieferanten von VPN Produkten als Protokoll zum Aufbau sicherer Punkt zu Punkt Verbindungen im Internet bernommen ISO International Standards Organization ITU International Telecommunication Union Java Von Sun Microsystems Incorporated entwickelte plattformunabh ngige Computertechnologien die f r den Netz betrieb optimiert sind Die Java Umgebung besteht aus dem Java Betriebssystem Java OS den virtuellen Maschinen f r verschiedene Plattformen der objektorientierten Java Programmiersprache und einer Reihe von Klassenbibliotheken Java Anwendung Ein eigenst ndiges Programm das in der Programmiersprache Java geschrieben ist Es wird au erhalb eines Web Browsers ausgef hrt Java Applet Siehe Applet Gegensatz zu Java Anwendung Java Klasse Eine Einheit mit Java Programmcode Java Sprache Eine von Sun Microsystems entwickelte Programmiersprache die speziell f r die Verwendung in Applet und Agent Anwendungen konzipiert wurde Java Virtual Machine JVM Der Teil der Java Laufzeitumgebung der zum Interpretieren von Bytecodes eingesetzt wird KeyStore Schl sselspeicher Eine DL zum Speichern von Identit tsnachweisen f r Tivoli PKI Komponenten z B Schl ssel und Zertifikate in einem verschl sselten Format Klartext Nicht verschl sselte Daten Synonym zu unverschl sselter Text Version 3 Release 7 1 Klasse Beim objektorientierten Entwurf bzw bei der
225. tifikate mit Netscape registrieren Server basierte Zertifikate mit Microsoft Internet Explorer registrieren Vorabregistrierung mit Netscape aufrufen Vorabregistrierung mit Microsoft Internet Explorer aufrufen RA Desktop konfigurieren und die Funktionen zum Genehmigen Widerrufen Zur ck stellen und Zur ckweisen testen Tivoli PKI Anpassung 115 jaidsieqsbunsseduy 9 116 Version 3 Release 7 1 Glossar In diesem Glossar werden alle Termini und Abkiirzungen definiert die in diesem Handbuch verwendet werden und die m glicherweise neu oder unbekannt und von Bedeutung sind Numerische Eintrage 4758 PCI Cryptographic Coprocessor Eine programmierbare manipulationssensitive PCI Bus Verschl sselungskarte die die Ausf hrung von DES und RSA Verschliisselungsoperationen mit hoher Geschwindigkeit erm glicht Die Verschl sselungsprozesse werden in einem gesicherten und abgegrenzten Bereich auf der Karte ausgef hrt Die Karte entspricht den strengen Anforderungen des FIPS PUB 140 1 Level 4 Standards In dem gesicherten und abgegrenzten Bereich kann Soft ware ausgef hrt werden Der SET Standard kann z B zur Verarbeitung von Kreditkartentransaktionen genutzt werden Abstract Syntax Notation One ASN 1 Eine ITU Notation die zum Definieren der Syntax von Informationsdaten benutzt wird Sie definiert eine Reihe einfacher Datentypen und gibt eine Notation f r die Identifizierung dieser Typen und die Angabe von Werten f r diese Typ
226. tigkeit des Zertifikats abl uft Status Erneuerbar des Identit tsnachweises Gibt an ob das Zertifikat erneuert werden kann Identit tsnachweis UUID Die UUID Universal Unique Identifier allgemeine eindeutige Identit tsnachweis ID ist ein Prim rschl ssel der generiert wird um einen Index f r den Datenbank satz bereitzustellen Fehlercode Ein interner Code zur Kennzeichnung der Art des aufgetretenen Fehlers Dieses Feld und das Feld Fehlerursache beschreiben den gleichen Fehler Fehlerursache Der Prozess oder ein anderes Element von Tivoli PKI in dem w hrend der Verarbei tung von RA Desktop Anforderungen ein Fehler aufgetreten ist Vorname Das erste Element im vollst ndigen Namen eines Antragstellers Obwohl hier norma lerweise der Vorname des Antragstellers angegeben wird kann der Wert auch den zweiten Vornamen oder dessen Initiale umfassen Ausf hrungsstatus Der der Verarbeitung einer Anforderung Dieser Status wird im Aktions protokoll angezeist Eine Beschreibung der verschiedenen Statuswerte finden Sie in Nachname Der Nach oder Familienname des Antragstellers Vorhergehende Anforderungs ID Eine verschl sselte Zeichenfolge die f r die ID steht die f r eine vorherige Registrierungsanforderung generiert wurde wenn das Zertifikat erneuert wurde Registrierungsdom ne ie Registrie el die gesicherte Ressourcen f r den Eigner eines Zertifikats bereitstellt Anforderungs ID Eine verschl
227. trierungsdom ne Speichern Sie vor dem Editieren eine Sicherungskopie der Originaldatei Die Anderungen k nnen mit einem UTF 8 f higen Texteditor vorgenommen werden Wenn Sie die Datei umbenennen oder eigene Dateien anstatt der Standarddateien verwenden m ssen Sie auch den Namen ndern der in der Konfigurationsdatei der Registrierungsfunktion definiert ist Die folgenden Unterabschnitte enthalten Ausz ge aus der Datei die in der Reihenfolge dar gestellt sind in der sie in der Datei definiert wurden Debug Stufe Das folgende Beispiel zeigt die Standardzeile f r diese Angabe Sie sollte in der von Ihnen verwendeten Datei das u a Format aufweisen DebugLevel 0 Zugriffseintrag fur Registrierungsdatenbank Das folgende Beispiel zeigt die Standardzeile fiir diese Angabe Sie sollte in der von Ihnen verwendeten Datei das u a Format aufweisen RADATABASE xxx Dieser Wert ist verschliisselt Tivoli PKI Anpassung 51 ueuoneulojul ZU919J9H G URL Adressen des ffentlichen und gesicherten Web Servers Das folgende Beispiel zeigt die Standardzeilen f r diese Angabe Sie sollten in der von Ihnen verwendeten Datei das u a Format aufweisen PUBLIC SERVER URL PATH http PublicWebServer YourDomain UE SERVER AUTH URL PATH https ServerAuthWebServer YourDomain UE CLIENT AUTH URL PATH https ClientAuthWebServer 1443 YourDomain Mount Punkte Das folgende Beispiel zeigt die Standardzeilen f r diese Angabe Sie sol
228. tryNames 191 STRING CountryNames 192 STRING CountryNames 193 STRING CountryNames 194 STRING CountryNames 195 STRING CountryNames 196 STRING CountryNames 197 STRING CountryNames 198 STRING CountryNames 199 Malta Marshall Islands Martinique Mauritania Mauritius Mayotte Mexico Micronesia Federated States Of Moldova Republic Of Monaco Mongol iav Montserrat Morocco Mozambique Myanmar Namibia Nauru Nepal Netherlands Netherlands Antilles New Caledonia New Zealand Nicaragua Niger Nigeria Niue Norfolk Island Northern Mariana Islands Norway Oman Pakistan Palau Panama Papua New Guinea Paraguay Peru Philippines Pitcairn Poland Portugal Puerto Rico Qatar Reunion Romania Russian Federation Rwanda Saint Kitts And Nevis Saint Lucia Saint Vincent And The Grenadines Samoa San Marino Sao Tome And Principe Saudi Arabia Senegal Seychelles Sierra Leone Singapore Slovakia Slovak Republic Slovenia Solomon Islands Somalia South Africa South Georgia And The South Sandwich Islands Spain Sri Lanka St Helena St Pierre And Miquelon Version 3 Release 7 1 STRING CountryNames 200 STRING CountryNames 201 STRING CountryNames 202 S
229. tzer die auf eine Ressource ee wollen m ssen in der Dom ne f r die gew nschte Ressource sein Version 3 Release 7 1 Nach der Installation der RA Software kann Ihr Unternehmen seine Tivoli PKI Registrierungsfunktion konfigurieren Es kann die Verwendung beliebiger Sprachen und Regeln die von der Registrierungsstelle unterstiitzt werden angeben Die Webadresse fiir den Zugriff auf die Registrierungsfunktion besteht aus dem Dom nennamen der Sprache und dem Installationspfad Lautet beispielsweise der Name Ihres ffentlichen Webservers MyPublicWebServer und der Dom nenname MyDomain k nnen Sie ber die folgende Webadresse auf die Registrierungsfunktion zugreifen http MyPublicWebServer MyDomain Ein Tivoli PKI System umfasst eine standardm ige Java Server Seite index jsp f r Ihre Registrierungsfunktion Diese Seite wird unter der Webadresse f r die Registrierungsdom ne angezeigt und stellt Services f r die Registrierung zur Verf gung Zuk nftige Benutzer k n nen diese Webseite aufrufen um ein Zertifikat anzufordern Anforderungen f r eine Vorab registrierung zu stellen und eigene zu erneuern oder zu widerrufen Sie k nnen verschiedene Funktionen und Merkmale Ihrer Registrierungsdom ne anpassen Hierzu geh ren z B ihr Name sowie die Art und Weise in der die Registrierungsfunktion die verschiedenen Aufgaben der Registrierung und Zertifizierung verarbeitet Registrierungss tze Jede Zertifikatsanforderun
230. umgouloju sep uors Jap ur opureurer Iopo jpejS AA 8cI uo T jopulyaq sio ojsgenuy sop uournjouroju sep qois Iop ur ogeng Aq 08I egens LHH3 LS Sunp orwuo IIEMJJOS Iopo UISIMJEUOSIAA g Z JST SYRI INS genu lop 1op urop ur Sun rejqy Jap Mzq syrg sop our NA v9 Sunjreiqy No SIONS Seuy sop sueumqouioju sop IWLN 91I LnSIS8 YOYA Jaq v9 eum uuouurq JQISIOGN 1e nuriojsSunjonsiSos s s rp INS Seuy uro p eqos ue ueuond 1esorp uSIOTUJOA utnz oSo erq Ioo dxq 1ou1oju I9SMOIg gaM Jop 1819z Iyemsne uondo s rp Io o s8euy Jap uuy 3zimjisiojun o1eedpossnpuog onou INJ 101 op dxq JOUIOUT 3joso1orjA VIP uouorpungsireu1ouotg 9uomziesnz usuondo SHITAS IPZIESNZ Ajunoogpoppv AoM 9N yequy adue AWEUISIIZUV projrepnurtro q 61 Tivoli PKI Anpassung Widerrufsgrunde Wenn ein Benutzer ein Registrator oder ein Regel Exit ein Zertifikat widerrufll muss der hierf r geltende Grund angegeben werden Im Folgenden sind g ltige Gr nde f r das Wider rufen eines Zertifikats aufgef hrt Die Gr nde sind auch auf den poss definiert Der CA Schl ssel war besch digt Der Schl ssel des Zertifikatsausstellers wurde besch digt Das Zertifikat wurde ersetzt Der Benutzer verf gt ber ein neues Zertifikat und ben tigt das vorliegende Zertifi kat nicht mehr Keine Begr ndung Der Benutzer hat den Widerruf ohne Angabe eines Grundes ange
231. und Werte in der Betriebsaus Registrierungsseite IEBrowserSSLCert_RevokeRecd jsp Grafikdateien E Mail E Mail Benachrichti x 1t Benachrichtigungs gung zur Information brief ber Genehmigung oder Zur ckweisung einer Anforderung Konfigurationsdatei Definiert die Kompo raconfig cfg nen f r unterst tzte Zertifikate wahlliste Regel Exit Unterst tzt die auto auto_approve exe lt installationspfad gt pkrf matische Genehmi samples auto_approve cpp fiir AIX gung lt installationspfad gt pkrf samples auto_approve cpp fiir Windows NT Zertifikatstypen Speichert Informatio certificate profiles cfg Tivoli PKI Anpassung 71 jaidsieqsbunsseduy 9 RA Desktop Web Adresse die dem radesktop jsp Administrator nach Verlassen von RA Desktop angezeigt wird Konfigurationsdatei Konfigurationsdatei raprofiles cfg von RA Desktop von RA Desktop Directory Server Speichert Informatio Siehe den folgenden Abschnitt nen zu giiltigen und widerrufenen Zertifi katen Die Dateien sind in einem der folgenden Verzeichnisse gespeichert Unter AIX usr 1lpp iau pkrf Domains your domain gt webpages usr 1pp iau pkrf Domains lt your domain gt etc usr 1pp iau pkrf Domains your domain gt bin Unter Windows NT lt install path gt webpages install path gt etc lt install path gt bin Hierbei steht your domain f r die Registrierungsdom ne und install p
232. unktion verf gt ber Schnittstellen zu den Webbrowsern der Antragsteller sowie zum Regel Exit Sie k nnen die Registrierungsfunktion anpassen und hierbei folgende Komponenten ndern m Elemente der Web Seiten die eine Front End Komponente f r die Registrierungs funktion bereitstellen m Text des E Mail Benachrichtigungsbriefes an die Antragsteller Die nderungen erm glichen Ihnen die Anwendung Ihrer Unternehmensregeln auf die Durchf hrung des Registrierungsprozesses Registrierungswebseiten Sie k nnen die Registrierungswebseiten von Tivoli PKI zum Anfordern von Zertifikaten ver wenden Auf diese Seiten kann ber den Webbrowser unter einer Webadresse auf Ihrem ffentlichen Webserver zugegriffen werden Der Standardname f r diese Web Seiten lautet Identit tsnachweis Verwaltung Bei Ihrem ersten Besuch der Webseite laden Sie ein herunter damit die Registrierungsfunktion Ihren Browser authentifizieren kann Nach dem Erhalt dieses Zertifikats f hren Sie die folgenden Arbeitsschritte aus 1 W hlen Sie den Registrierungstyp aus den Sie anfordern wollen m Browser Registrierung m Server oder Einheitenregistrierung m Zertifikatsvorabregistrierung Diese Auswahl steuert die Felder auf Ihrem Registrierungsformular sowie den Zertifikats typ den Sie in der Anforderung angeben k nnen 2 F llen Sie das angezeigte Formular aus und bergeben Sie es 3 Kehren Sie sp ter auf die Registrierungswebseiten zur ck um festzu
233. us k n nen PKCS 10 und PKIX Anforderungsobjekte optional eine Gruppe von Definitionen f r Zertifikatserweiterungen enthalten Das Zertifikatsprofil selbst definiert zus tzliche Werte in Form von Regeln und Konstanten Diese Regeln und Konstanten stellen eine weitere Gruppe von Variablen bereit die bei der Zusammenstellung des Zertifikats eingesetzt werden Bei der Profilverarbeitung werden immer die Definitionen im Zertifikatsprofil gegen ber den Definitionen in anderen Daten quellen bevorzugt behandelt Zu diesem Zeitpunkt beginnt der RA Server mit der Zusammenstellung des Zertifikats Er ruft aus dem Profil die Regeln f r die Attribute subjectName validityNotBefore und validityNotAfter sowie f r die Erweiterungen ab Diese Regeln definieren eine Reihe von symbolischen Ersetzungen die verwendet werden sollen Die Ersetzungsregeln geben an welcher Datenpool nach einem bestimmten Wert durchsucht werden soll Kann der gesuchte Wert in einem Datenpool nicht gefunden werden definiert die Regel einen zu verwendenden Standardwert Dieser Standardwert kann wiederum einen anderen Datenpool angeben Dieses Muster kann solange wiederholt werden bis alle Datenpools gepr ft wurden In diesem Fall kann dann eine Literalkonstante definiert oder ein Leerwert angenommen werden Nachdem die Zertifikatsanforderung an den CA Server gesendet und das Zertifikat ausge stellt wurde empf ngt der RA Server das Zertifikat und speichert es in einer
234. wird Tivoli PKI Anpassung 129 Jesso 5 Registrierungsfunktion Ein Tivoli PKI Anwendungsger st das spezielle Verfahren zur Registrierung von Entit ten z B Browser Rou ter E Mail Einheiten und sichere Client Anwendungen und zur Verwaltung von Zertifikaten w hrend ihrer G l tigkeitsdauer bereitstellt Registrierungsprozess Bei Tivoli PKI die Schritte die zur berpr fung eines Benutzers ausgef hrt werden Durch den Registrierungs prozess werden Benutzer sowie deren ffentliche Schl ssel zertifiziert um sie zur Teilnahme an den gew nschten Transaktionen zu berechtigen Er kann lokal oder Web gest tzt automatisch oder von einer tats chlich mit Perso nen besetzten Registrierungsstelle ausgef hrt werden Registrierungsvariable Siehe Registrierungsattribut RSA Ein auf ffentlichen Schl sseln basierender Verschl sselungsalgorithmus der nach seinen Erfindern Rivest Sha mir und Adelman benannt wurde Er wird zur Verschl sselung und f r digitale Unterschriften verwendet Schema Beim Directory die interne Struktur die zur Definition der Beziehungen zwischen den verschiedenen Objektarten verwendet wird Schl ssel Bei der Verschl sselung ein Wert der zum Ver und Entschl sseln von Informationen verwendet wird Schl sselpaar Zusammengeh rende Schl ssel die bei der asymmetrischen Verschl sselung eingesetzt werden Ein Schl ssel wird zur Verschl sselung der andere zur Entschl sselung verwendet Sc
235. y name Universal Certificate required fields first name last name email address Define Extensions extensions required keyUsage extendedKeyUsage subjectAltName certificatePolicies keyUsage digitalSignature amp keyEncipherment extendedKeyUsagezemailProtection clientAuth subjectAltName rfc822Name MA1L Define validityNotAfter values validityNotAfter range 0 365 validityNotAfter default 365 Auto approve or pend decision default approve renewable true or false credential renewable true 2 Andern Sie den Anzeigenamen eines Zertifikatstyps ndern Sie in der Datei certificate profiles cfg folgendes Codesegment s S MIMECert2Year S MIMECert2Year display_name E mail Protection 2 Year required fields first name last name email address In folgendes Segment s S MIMECert2Year S MIMECert2Year display_name Universal 2 Year required fields first name last name email address Tivoli PKI Anpassung 109 jeidsieqsbunsseduy 9 3 Andern Sie ein Zertifikatsprofil Andern Sie in der Datei certificate profiles cfg folgendes Codesegment Define Extensions extensions required keyUsage extendedKeyUsage subjectAltName certificatePolicies keyUsage digitalSignature amp keyEncipherment extendedKeyUsage email Protection subjectAl tName rfc822Name 2MAIL In folgendes Segment Define Extensions extensions required keyUsage extendedKeyUsage subjectAltName certificate
236. yCodes 134 countryCodes 135 countryCodes 136 countryCodes 137 countryCodes 138 countryCodes 139 countryCodes 140 countryCodes 141 countryCodes 142 countryCodes 143 countryCodes 144 countryCodes 145 countryCodes 146 countryCodes 147 countryCodes 148 countryCodes 149 countryCodes 150 countryCodes 151 countryCodes 152 countryCodes 153 countryCodes 154 countryCodes 155 countryCodes 156 countryCodes 157 countryCodes 158 countryCodes 159 countryCodes 160 countryCodes 161 countryCodes 162 countryCodes 163 countryCodes 164 countryCodes 165 countryCodes 166 countryCodes 167 countryCodes 168 countryCodes 169 countryCodes 170 countryCodes 171 IL Tp JM JP Jo KZ KE KI KP KR KW KG LA py LB WS LR p Y Tus LT WEI MO MK MG MW MY MV ML MT MH MQ MR MU TUS MX FM MD MC MN MS MA MZ MM NA NR NP NL AN NC NZ NI NE NG NU NF MP NO OM pK PW PA PG PY PE PH PN PL Version 3 Release 7 1 countryCodes 172 countryCodes 173 countryCodes 174 countryCodes 175 countryCodes 176 countryCodes 177 countryCodes 178 countryCodes 179 countryCodes 180 countryCodes 181 countryCodes 182 countryCodes 183 countryCodes
237. zation 0 gt lt TR gt TD ALIGN LEFT BGCOLOR FFE1C4 gt FONT SIZE 2 gt lt STRING InputFieldHelps 7 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 7 gt lt STRING Colon Ss lt STRONG gt lt STRING Spacer gt STRING_OptionalLbl Ss lt errorFlags 7 gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 7 gt SIZE lt sizeOfInputFields gt MAXLENGTH 64 VALUE lt inputFieldReturnValues 7 gt gt lt TD gt lt TR gt A 0 lt i o lt i 0 lt i lt Organizational Unit OU Ss lt TR gt lt TD ALIGN LEFT BGCOLOR FFE1C4 gt lt FONT SIZE 2 gt lt STRING InputFieldHelps 8 gt lt FONT gt lt TD gt lt TD ALIGN LEFT BGCOLOR FFD1A4 gt lt FONT SIZE 2 gt lt STRONG gt lt STRING InputFieldLbls 8 gt lt STRING Colon Ss lt STRONG gt STRING Spacer gt STRING OptionalLbl Ss lt errorFlags 8 gt lt FONT gt lt BR gt lt INPUT TYPE Text NAME lt inputFieldNames 8 gt SIZE lt sizeOfInputFields 3 MAXLENGTH 64 VALUE lt inputFieldReturnValues 8 gt gt lt TD gt lt TR gt 2 Entfernen Sie den folgenden Codeblock aus der Datei NSBrowserSSLCert_ Enroll jsp lt Country C gt lt TR gt lt TD ALIGN LEFT BGCOLOR FF
238. zeichnung an den CA Server weitergeleitet werden Diese Regeln sind text basiert und k nnen mit einem konventionellen Texteditor verwaltet werden Informationen zum Editieren von Textdateien die Nicht ASCII Zeichen im Unicode oder UTF 8 Format enthalten finden Sie in Diese Regeln decken die meisten Elemente eines Zertifikats ab die mit der Registrierungs funktion definiert werden k nnen Hierzu geh ren auch die folgenden Attribute Name des Zertifikatsgegenstands G ltigkeitsbeginn G ltigkeitsende Zertifikatserweiterungen Schl sselnutzung Erweiterte Schl sselnutzung Alternativname f r den Zertifikatsgegenstand Zertifikatsregeln Private Erweiterungen Zu verwendendes Directory Schema Eine einzelne Datei enth lt alle Profildefinitionen die innerhalb einer Registrierungsdom ne verwendet werden Die Standarddatei tr gt den Namen certificate profiles cfg und ist im Unterverzeichnis etc f r Ihre Registrierungsdom ne gespeichert W Unter AIX lautet der Standardinstallationspfad ust Ipp iau pkrf Domains YourDomain etc m Unter Windows NT lautet der Standardpfad c Program Files IBM Trust Authority pkrf Domains YourDomain etc Diese Datei ist in unterschiedliche Abschnitte fiir die verschiedenen Profile aufgeteilt Defi nitionen am Anfang der Datei gelten global es sei denn sie werden von den Definitionen in einem bestimmten Profil berschrieben Globale Regeln bieten Ihnen eine M glichkeit den Dateiinhalt
Download Pdf Manuals
Related Search