1. Internet

Tivoli Public Key Infrastructure
Cómo empezar
Versión 3 Release 7.1
GC10-3562-01
10 Octubre 2001
Tivoli Public Key Infrastructure
Cómo empezar
Versión 3
Release 7.1
Tivoli Public Key Infrastructure
Cómo empezar
Versión 3
Release 7.1
Tivoli Public Key Infrastructure Cómo empezar
Aviso sobre el Copyright
Copyright © 1999, 2001 de Tivoli Systems Inc., empresa de IBM, incluidos esta
documentación y todo el software. Reservados todos los derechos. Sólo puede utilizarse de
conformidad con un Contrato de Licencia de Software de Tivoli Systems o con una Adenda
relativa a los Productos Tivoli de un Contrato de Usuario o de Licencia de IBM. Está
prohibida la reproducción, transmisión o transcripción de cualquier parte o fragmento de esta
publicación, así como su almacenamiento en sistemas de recuperación de información y su
traducción a lenguajes informáticos, ya sea por métodos o medios electrónicos, mecánicos,
magnéticos, ópticos, químicos, manuales o mediante cualquier otro procedimiento, sin el
aviso previo por escrito de Tivoli Systems. Tivoli Systems le concede permiso limitado para
efectuar copias impresas u otras reproducciones de cualquier documentación legible por
máquina para su propio uso, siempre que esta reproducción lleve el aviso de Copyright de
Tivoli Systems. No se conceden otros derechos de Copyright sin el aviso previo por escrito
de Tivoli Systems. Este documento no está destinado a la producción y se suministra “tal
cual” sin garantía de ningún tipo.
Declinamos por el presente cualquier concesión de garantía sobre este documento,
incluidas todas aquellas garantías de comercialización e idoneidad para un fin
determinado.
Marcas registradas
Los nombres de producto siguientes son marcas registradas de Tivoli Systems Inc. o
de International Business Machines Corp. en Estados Unidos o en otros países: AIX,
DB2, DB2 Universal Database, IBM, Netfinity, RS/6000, SecureWay, Tivoli,
WebSphere.
El Programa Tivoli PKI (″el Programa″) incluye partes de IBM WebSphere
Application Server e IBM HTTP Web Server (″Servidores IBM″). No está autorizado
a instalar o utilizar los Servidores IBM si no es en conexión con el uso que concede
la licencia del Programa. Los Servidores IBM deben ubicarse en el mismo equipo
que el Programa. Además, el Cliente no está autorizado para instalar o utilizar los
Servidores IBM independientemente del programa.
El Programa incluye partes de DB2 Universal Database. Está autorizado a instalar y
utilizar dichos componentes sólo en asociación con el uso que concede la licencia
del Programa y de IBM WebSphere Application Server para el almacenamiento y la
gestión de los datos utilizados o generados por el Programa y por IBM WebSphere
Application Server, y no para otros propósitos de gestión de datos. Por ejemplo, esta
licencia no incluye conexiones con la base de datos desde otras aplicaciones para
realizar consultas o generar informes. Está autorizado a instalar y utilizar dichos
componentes solamente con y en la misma máquina donde se encuentra el Programa.
Microsoft, Internet Explorer, Windows, Windows NT y el logotipo de Windows son
marcas registradas de Microsoft Corporation.
UNIX es una marca registrada en Estados Unidos y en otros países, bajo licencia
exclusiva de The Open Group.
Java y todas las marcas registradas y logotipos basados en Java son marcas
registradas de Sun Microsystems, Inc.
Pentium es una marca comercial de Intel Corporation en Estados Unidos o en otros
países.
Tivoli PKI Cómo empezar
iii
Este programa contiene software de seguridad de from RSA Data
Security, Inc. Copyright © 1994 RSA Data Security, Inc. Reservados todos los
derechos.
Este programa contiene software STL (Standard Template Library) de
Hewlett-Packard Company. Copyright (c) 1994.
¶ Los permisos para utilizar, copiar, modificar, distribuir y vender este software y
su documentación para cualquier finalidad se conceden sin coste alguno, siempre
que la información de copyright anterior aparezca en todas las copias y que la
información de copyright y esta información sobre permisos aparezca en la
documentación de soporte. Hewlett-Packard Company no tiene representación
alguna sobre la adecuación de este software para propósito alguno. Se
proporciona ″tal cual″ sin garantía explícita ni implícita.
Este programa contiene software STL (Standard Template Library) de Silicon
Graphics Computer Systems, Inc. Copyright (c) 1996–1999.
¶ Los permisos para utilizar, copiar, modificar, distribuir y vender este software y
su documentación para cualquier finalidad se conceden sin coste alguno, siempre
que la información de copyright anterior aparezca en todas las copias y que la
información de copyright y esta información sobre permisos aparezca en la
documentación de soporte. Silicon Graphics no tiene representación alguna sobre
la adecuación de este software para cualquier propósito. Se proporciona ″tal
cual″ sin garantía explícita ni implícita.
Otros nombres de empresas, productos y nombres de servicio pueden ser marcas
comerciales o marcas de servicio de otros.
iv
Versión 3
Release 7.1
Avisos
El hecho de que esta publicación incluya referencias a productos, programas o servicios de
Tivoli Systems o de IBM no implica que éstos vayan a comercializarse en todos los países
en los que operan Tivoli Systems o IBM. Cualquier referencia a dichos productos, programas
o servicios no implica que sólo puedan utilizarse los productos, programas o servicios de
Tivoli Systems o de IBM. Cualquier otro producto, programa o servicio funcionalmente
equivalente, sujeto a la propiedad intelectual vigente o a otros derechos bajo protección legal
de Tivoli Systems o de IBM, puede ser utilizado en lugar del producto, programa o servicio
a que se haga referencia explícita. La evaluación y verificación del funcionamiento con otros
productos distintos de los expresamente designados por Tivoli Systems o por IBM son
responsabilidad del usuario.
Tivoli Systems o IBM puede tener patentes o solicitudes de patente pendientes que se
refieran a algunos de los temas presentados en este documento. La posesión de este
documento no confiere ninguna licencia sobre dichas patentes. Puede hacer consultas sobre
licencias, por escrito, a: IBM Director of Licensing, IBM Corporation, North Castle Drive,
Armonk, New York 10504-1785, EE.UU.
El siguiente párrafo no es aplicable al Reino Unido ni a ningún otro país en el que
dichas provisiones sean incompatibles con la legislación local:
INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA ESTA
PUBLICACIÓN “TAL CUAL” SIN GARANTÍAS DE NINGÚN TIPO, NI EXPLÍCITAS NI
IMPLÍCITAS, INCLUYENDO, PERO NO LIMITÁNDOSE A ELLAS, LAS GARANTÍAS
IMPLÍCITAS DE FALTA DE CUMPLIMIENTO, COMERCIALIZACIÓN O
ADECUACIÓN PARA UN OBJETIVO CONCRETO. Algunas legislaciones no contemplan
la exclusión de garantías, ni implícitas ni explícitas, por lo que puede haber usuarios a los
que no les afecte dicha declaración.
Es posible que esta publicación contenga imprecisiones técnicas o errores tipográficos.
Periódicamente se efectúan cambios en la información aquí contenida; dichos cambios se
incorporarán en nuevas ediciones de la publicación. IBM puede efectuar mejoras o cambios
en los productos o programas descritos en esta información en cualquier momento y sin
previo aviso.
Las referencias en esta información a sitios Web que no sean de IBM se proporcionan
solamente a efectos prácticos y no significa que IBM apruebe dichos sitios Web. El material
que puede encontrar en estos sitios Web no forma parte del material de este producto de IBM
y su uso es responsabilidad del usuario.
Tivoli PKI Cómo empezar
v
vi
Versión 3
Release 7.1
Contenido
Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii
A quién va dirigido este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii
Información relacionada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv
Contenido de este manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi
Novedades de este release . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi
Convenios utilizados en este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii
Cómo ponerse en contacto con el soporte al cliente. . . . . . . . . . . . . . . . . . xviii
Información Web de Tivoli PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix
Capítulo 1. Información acerca de Tivoli PKI . . . . . . . . . . . . 1
¿Qué es Tivoli PKI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Componentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Servidor de Tivoli PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Autoridad de registro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Autoridad de certificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Subsistema de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Servidor Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Sistema de base de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Servidor del Directorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4758 Cryptographic Coprocessor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Recurso de recuperación y copia de seguridad de clave . . . . . . . . . . . . 16
Recurso de emisión masiva de certificados. . . . . . . . . . . . . . . . . . . . . . 17
Arquitectura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Infraestructura de claves públicas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Protocolo PKIX CMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Protocolo LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Almacenes de objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Tivoli PKI Cómo empezar
vii
Modelo de confianza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Firma de código . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Firma de mensajes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Cifrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Almacenes de claves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Estándares soportados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Certificado X.509 Versión 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Capítulo 2. Requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . 25
Requisitos del software de servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Requisitos del hardware del servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Requisitos del Asistente para la configuración . . . . . . . . . . . . . . . . . . . . . . . 28
Requisitos del cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Capítulo 3. Planificación para Tivoli PKI . . . . . . . . . . . . . . . . 31
Lista de comprobación de planificación de la instalación . . . . . . . . . . . . . . . 32
Cómo asegurar el sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Utilización de la tecnología de cortafuegos . . . . . . . . . . . . . . . . . . . . . 39
Trabajo con bases de datos de Tivoli PKI . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Configuración de alias IP para el servidor Web . . . . . . . . . . . . . . . . . . . . . . 42
Trabajo con el Directorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Esquema del Directorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Controles de acceso del Directorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Trabajo con el coprocesador 4758 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Almacenamiento de las claves de la CA y la RA en el hardware . . . . . 47
Integración con Policy Director . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Configuraciones de servidor soportadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Consideraciones sobre el entorno internacional. . . . . . . . . . . . . . . . . . . . . . . 50
Paquete de distribución de Tivoli PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
viii
Versión 3
Release 7.1
Capítulo 4. Instalación de Tivoli PKI en AIX . . . . . . . . . . . . 53
Configuración de AIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Verificación de conjuntos de archivos . . . . . . . . . . . . . . . . . . . . . . . . . 55
Verificación de los espacios de paginación adecuados. . . . . . . . . . . . . . 56
Aplicación del nivel de arreglo a AIX . . . . . . . . . . . . . . . . . . . . . . . . . 57
Configuración de grupos de volúmenes y sistemas de archivos de AIX 57
Creación de un sistema de archivos en CD-ROM. . . . . . . . . . . . . . . . . 58
Cambio del número de usuarios del sistema AIX . . . . . . . . . . . . . . . . . 59
Cómo asegurar la resolución de nombres de sistema principal . . . . . . . 59
Creación de una imagen del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Instalación del software de bases de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Instalación de DB2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Instalación de IBM Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Instalación del software del Directorio . . . . . . . . . . . . . . . . . . . . . . . . . 63
Instalación de Java . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Creación de la base de datos de WebSphere Application Server . . . . . . . . . . 66
Instalación del software de servidor Web . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Instalación de WebSphere Application Server . . . . . . . . . . . . . . . . . . . . 67
Actualización de WebSphere Application Server. . . . . . . . . . . . . . . . . . 69
Inhabilitación del inicio automático de IBM HTTP Server . . . . . . . . . . . . . . 70
Inicio de WebSphere Application Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Instalación del coprocesador 4758 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Instalación de Tivoli PKI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Instalación de KeyWorks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Instalación del software de servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Directrices para la instalación en varios equipos. . . . . . . . . . . . . . . . . . 75
Cambio de los valores bootstrap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Ejecución del programa de configuración posterior a la instalación. . . . 83
Tivoli PKI Cómo empezar
ix
Lista de comprobación posterior a la instalación . . . . . . . . . . . . . . . . . 84
Ejecución de la utilidad de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . 85
Capítulo 5. Instalación de Tivoli PKI en Windows NT
87
Configuración de Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Instalación del software de bases de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Instalación del software de servidor Web . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Instalación del JDK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Instalación de IBM HTTP Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Instalación de WebSphere Application Server . . . . . . . . . . . . . . . . . . . . 94
Configuración de alias IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Instalación de IBM Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Instalación del software del Directorio . . . . . . . . . . . . . . . . . . . . . . . . . 96
Utilización del Directorio con Tivoli PKI. . . . . . . . . . . . . . . . . . . . . . . 97
Confirmación de la configuración del sistema . . . . . . . . . . . . . . . . . . . . . . . 97
Instalación de Tivoli PKI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Instalación del software de servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Cambio de los valores bootstrap . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Ejecución del programa de configuración posterior a la instalación
104
Lista de comprobación posterior a la instalación. . . . . . . . . . . . . . . . . 105
Ejecución de la utilidad de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . 106
Capítulo 6. Configuración de Tivoli PKI . . . . . . . . . . . . . . . 109
Capítulo 7. Iniciación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Administración del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Administración de RA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Registro y certificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Personalización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
x
Versión 3
Release 7.1
Glosario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Tivoli PKI Cómo empezar
xi
xii
Versión 3
Release 7.1
Prefacio
Este manual proporciona la información necesaria para mejorar el
rendimiento con un sistema Tivoli Public Key Infrastructure (Tivoli
PKI). Se abordan los siguientes temas:
¶
Cómo puede utilizar su organización Tivoli PKI para realizar
transacciones cifradas, autenticadas y confidenciales por Internet.
Mediante el recurso de registro de Tivoli PKI puede emitir
certificados digitales con facilidad para terceros de confianza y
controlar si un certificado se renueva o revoca.
¶
Instrucciones para la planificación de Tivoli PKI, como por
ejemplo cómo integrar componentes de Tivoli PKI con otros
productos ya instalados en el puesto de trabajo.
¶
Procedimientos para instalar el producto en una plataforma IBM
AIX o en Microsoft Windows NT.
¶
Referencias a otros documentos que pueden resultar útiles para
utilizar las interfaces de usuario de Tivoli PKI y las herramientas
de administración.
Nota: Este release del producto sólo da soporte a plataformas AIX.
Debe ignorar todo el material que haga referencia a Microsoft
Windows.
A quién va dirigido este manual
Este manual va dirigido a un público muy variado.
¶
Si es un director de marketing, este manual le servirá para saber
cómo incorporar Tivoli PKI a la estrategia e-business de la
organización.
¶
Si es un director de seguridad, le servirá para saber cómo
incorporar Tivoli PKI a la estrategia de seguridad de la red de la
organización.
Tivoli PKI Cómo empezar
xiii
¶
Si es un administrador de sistemas, el manual presupone que
tiene experiencia en la instalación y configuración de productos
de un entorno de red. Debería estar familiarizado con los
siguientes conceptos:
v
Instalación y configuración de hardware
v
Protocolos de comunicación de Internet, en especial TCP/IP y
SSL (Secure Sockets Layer)
v
Administración de servidores Web
v
Tecnología de infraestructura de claves públicas (PKI),
incluidos los esquemas del Directorio, la versión 3 estándar
de X.509 y el protocolo LDAP (Lightweight Directory Access
Protocol)
v
Sistemas de bases de datos relacionales, en especial IBM
DB2 Universal Database
Información relacionada
La documentación del producto Tivoli PKI está disponible en
formato PDF (Portable Document Format) y formato HTML en el
sitio Web de Tivoli. Las versiones HTML de algunas publicaciones
se instalan con el producto y se puede acceder a ellas desde las
interfaces de usuario.
Tenga en cuenta que el producto puede haber cambiado desde la
producción de las publicaciones. Para obtener información
actualizada sobre el producto y sobre cómo acceder a una
publicación en el idioma y formato elegidos, consulte las notas del
release. La última versión de las notas del release está disponible en
el sitio Web de Tivoli Public Key Infrastructure:
http://www.tivoli.com/support
La biblioteca de Tivoli PKI incluye la siguiente documentación:
Cómo empezar
Esta publicación proporciona una visión general del
producto. Lista los requisitos del producto, incluye los
procedimientos de instalación y proporciona información
xiv
Versión 3
Release 7.1
acerca de cómo acceder a la ayuda en línea disponible para
cada componente del producto. Este manual está impreso y
se distribuye con el producto.
Guía de administración del sistema
Esta publicación contiene información general sobre la
administración del sistema Tivoli PKI. Incluye
procedimientos para iniciar y detener los servidores,
modificar las contraseñas, administrar los componentes de
servidor, realizar auditorías y ejecutar las comprobaciones
acerca de la integridad de los datos.
Guía de configuración
Este manual contiene información sobre cómo utilizar el
Asistente para la configuración para configurar un sistema
Tivoli PKI. Puede tener acceso a la versión HTML de esta
guía y visualizar la ayuda en pantalla del asistente
simultáneamente.
Guía de Registration Authority Desktop
Este manual contiene información sobre cómo utilizar RA
Desktop para administrar los certificados durante su ciclo de
vida. Puede tener acceso a la versión HTML de esta guía y
visualizar la ayuda en pantalla del escritorio
simultáneamente.
Guía del usuario
Este manual contiene información sobre cómo obtener y
gestionar certificados. Proporciona los procedimientos para
utilizar los formularios de inscripción de navegador de Tivoli
PKI para solicitar, renovar y revocar certificados. También
describe cómo pre-registrarse para obtener certificados
compatibles con PKIX.
Guía de personalización
Este manual le enseñará a personalizar el recurso de registro
de Tivoli PKI para soportar los objetivos de registro y
certificación de las políticas de gestión. Por ejemplo, puede
aprender a personalizar páginas de servidor HTML y Java
cartas de notificación, perfiles de certificado y salidas de
política.
Tivoli PKI Cómo empezar
xv
Contenido de este manual
Esta guía contiene la información siguiente:
¶
“Información acerca de Tivoli PKI” en la página 1 describe
brevemente las características y posibilidades de Tivoli PKI, sus
componentes, arquitectura y estándares soportados.
¶
“Requisitos del sistema” en la página 25 describe los requisitos
de hardware y software necesarios para instalar y trabajar con
Tivoli PKI de forma satisfactoria.
¶
“Planificación para Tivoli PKI” en la página 31 presenta
información general sobre las características de Tivoli PKI e
información detallada sobre los componentes que debe
configurar.
¶
“Instalación de Tivoli PKI en AIX” en la página 53 proporciona
información sobre procedimientos relativos a la instalación de
Tivoli PKI en una plataforma AIX.
¶
“Instalación de Tivoli PKI en Windows NT” en la página 87
proporciona información sobre procedimientos relativos a la
instalación de Tivoli PKI en una máquina en la que se ejecute
Windows NT.
¶
“Configuración de Tivoli PKI” en la página 109 ofrece una
visión general del proceso de configuración y la documentación
que se utiliza para llevar a cabo las tareas de configuración.
¶
“Iniciación” en la página 111 explicar temas, procedimientos y
herramientas que se utilizan para administrar y personalizar
diversos aspectos de Tivoli PKI.
¶
“Glosario” en la página 117 define los términos y abreviaturas de
esta publicación y puede tratarse de términos nuevos o que no le
resulten familiares pero sí interesantes.
Novedades de este release
Tivoli PKI 3.7.1 incluye las siguientes características y funciones
nuevas:
xvi
Versión 3
Release 7.1
¶
Emisión masiva de certificados. Esta función proporciona un
método seguro para que un usuario autenticado solicite varios
certificados digitales con una llamada a Tivoli PKI.
¶
Certificate Management Protocol (CMP) Versión 2. Esta
actualización a CMP Versión 2 proporciona a Tivoli PKI una
mayor fiabilidad durante las transacciones del estado de CMP así
como un mayor nivel de seguridad que CMP Versión 1,
implementado anteriormente en Tivoli PKI.
¶
Key Rollover de CA de raíz. Esta característica permite a la
Autoridad de certificación (CA) efectuar una renovación de un
par de claves de CA que no estén en peligro al par de claves de
CA siguiente (que se conoce como actualización de CA).
¶
Compatibilidad con LDAP Versión 3. Esta función ofrece
compatibilidad de esquema con LDAP (Lightweight Directory
Access Protocol) Versión 3. Más concretamente, proporciona la
capacidad de publicar atributos a LDAP utilizando el esquema
de directorios definido por RFC 2256. Todavía se da soporte a
los esquemas procedentes de PKIX LDAP Versión 2.
¶
Almacenamiento HSM para claves de RA. Esta función
permite almacenar los pares de claves de RA en un componente
HSM (módulo de seguridad de hardware), que ofrece una mayor
capacidad de seguridad para las claves de firma de RA.
Los cambios efectuados en la documentación para este release se
identifican mediante una barra de revisión junto al margen.
Nota: Tivoli PKI 3.7.1 sólo da soporte a AIX. No da soporte a
Windows NT en este release.
Tivoli PKI Cómo empezar
xvii
Convenios utilizados en este manual
En esta guía se utilizan convenios tipográficos diferentes para
acciones y términos especiales. Los convenios tienen el significado
siguiente:
Convenio
Significado
Negrita
Los mandatos, palabras clave, distintivos u otras
informaciones que el usuario deba utilizar literalmente,
aparecen en negrita.
Cursiva
Las variables que el usuario debe proporcionar y los
nuevos términos aparecen en cursiva. Las palabras y
frases resaltadas también aparecen en cursiva.
Monoespaciado
Los ejemplos de códigos, pantallas de salida y mensajes
del sistema aparecen en un fuente monoespaciado.
Cómo ponerse en contacto con el soporte al cliente
Si tiene dificultades con algún producto Tivoli, puede acceder a la
dirección de Internet http://www.support.tivoli.com para ver la
página de presentación del servicio de soporte de Tivoli. Después de
acceder al formulario de registro de cliente, cumplimentarlo y
enviarlo, podrá acceder a muchos servicios de soporte al cliente en
la Web.
Utilice los números de teléfono siguientes para ponerse en contacto
con el soporte al cliente en Estados Unidos: el número de Tivoli es
–800–848–6548 (1-800–TIVOLI8) y el número de IBM® es
1–800–237–5511 (pulse o diga 8 después de acceder a este número).
Ambos números le ponen en contacto con el Centro de llamadas de
soporte al cliente de Tivoli.
Estamos muy interesados en conocer sus experiencias con productos
y documentaciones de Tivoli. Agradeceremos que nos haga llegar sus
sugerencias. Si tiene algún comentario o sugerencia sobre esta
documentación, envíe un mensaje de correo electrónico a
[email protected].
xviii
Versión 3
Release 7.1
Información Web de Tivoli PKI
Los clientes de Tivoli e IBM Tivoli pueden encontrar información en
línea sobre Tivoli PKI y cualquier producto de seguridad de Tivoli.
Para obtener información importante de última hora referente a
actualizaciones de productos e información sobre servicios y Tivoli
PKI, visite este sitio Web:
http://www.tivoli.com/support/secure_download_bridge.html
Para obtener información sobre el producto Tivoli Public Key
Infrastructure, visite este sitio Web:
http://www.tivoli.com/products/index/secureway_public_key/
Para obtener información sobre otros productos de gestión de
seguridad de Tivoli, visite este sitio Web:
http://www.tivoli.com/products/solutions/security/
Tivoli PKI Cómo empezar
xix
xx
Versión 3
Release 7.1
1. Información acerca de
Tivoli PKI
1
Información acerca de Tivoli PKI
Este capítulo ofrece una descripción general de Tivoli Public Key
Infrastructure (Tivoli PKI). Describe las características y
posibilidades de Tivoli PKI, sus componentes, arquitectura y
estándares soportados.
¿Qué es Tivoli PKI?
Tivoli Public Key Infrastructure proporciona a las aplicaciones los
medios necesarios para autenticar usuarios y garantizar las
comunicaciones de confianza. A continuación se indican algunas de
las características de Tivoli PKI:
¶
Permite que las organizaciones emitan, publiquen y administren
certificados digitales según sus políticas de registro y
certificación.
¶
La compatibilidad con la infraestructura de claves públicas
X.509 versión 3 (PKIX) y los estándares criptográficos de
CommonData Security Architecture (CDSA) permiten la
interoperatividad entre distintos proveedores.
¶
La tecnología de firmas digitales y los protocolos de seguridad
ofrecen los medios necesarios para autenticar a todas las partes
de una transacción.
¶
Las posibilidades de registro basadas en navegador ofrecen la
máxima flexibilidad.
¶
Las comunicaciones cifradas y el almacenamiento seguro de la
información de registro ayudan a garantizar la confidencialidad.
Tivoli PKI Cómo empezar
1
Un sistema Tivoli PKI puede ejecutarse en plataformas de servidor
de IBM AIX/6000 (AIX) y de Microsoft Windows NT. Sus
principales características son:
2
¶
Una Autoridad de certificación (CA) de confianza administra el
ciclo de la certificación digital. Para validar la autenticidad de un
certificado, la CA firma digitalmente cada certificado que emite.
La CA también firma las listas de revocación de certificados
(CRL) para confirmar que un certificado ha dejado de ser válido.
Para proteger aún más la clave de firma de la CA, se puede
utilizar hardware criptográfico, como IBM 4758 PCI
Cryptographic Coprocessor.
¶
Una Autoridad de registro (RA) maneja las tareas administrativas
de registro de usuarios. La RA garantiza que sólo se emitirán los
certificados que soporten sus actividades específicas de gestión,
y dichos certificados sólo se emitirán a usuarios autorizados. Las
tareas administrativas pueden manejarse mediante procesos
automatizados o tomas de decisiones humanas. Parecida a la CA,
la RA también puede utilizar hardware criptográfico, como IBM
4758 PCI Cryptographic Coprocessor para proteger aún más su
clave de firma.
¶
Una interfaz de inscripciones basada en Web facilita la obtención
de certificados para navegadores, servidores, dispositivos para
redes privadas virtuales (VPN), Smart Cards y correo electrónico
seguro.
¶
Una interfaz de administración basada en Web, RA Desktop,
permite que los responsables de registros autorizados aprueben o
denieguen las solicitudes de inscripción y que administren los
certificados tras emitirlos.
¶
Un subsistema de auditoría genera un código de autenticación de
mensajes (MAC) para cada registro de auditoría. Si se manipulan
o eliminan los datos de auditoría después de escribirlos en la
base de datos de auditoría, el código MAC permite detectar si
existen intrusiones.
¶
Las salidas de política y los Objetos de proceso de negocio
(BPO) permiten a los desarrolladores de aplicaciones
personalizar los procesos de registro.
Versión 3
Release 7.1
Soporte integrado para motor criptográfico. Para autenticar las
comunicaciones, los componentes centrales de Tivoli PKI se
firman mediante una clave privada generada por la empresa. Los
objetos de seguridad, como las claves y los códigos MAC, se
cifran y almacenan en áreas protegidas denominadas Almacenes
de claves.
¶
Soporte integrado para IBM Directory. En el Directorio se
almacena información sobre los certificados válidos y revocados
en un formato compatible LDAP.
¶
Soporte integrado para IBM WebSphere Application Server e
IBM HTTP Server. El servidor Web trabaja con el servidor RA
para cifrar mensajes, autenticar solicitudes y transferir
certificados al destinatario deseado.
¶
Soporte integrado para IBM DB2 Universal Database.
1. Información acerca de
Tivoli PKI
¶
Componentes
En el siguiente diagrama se muestra un sistema Tivoli PKI en el que
los programas del servidor se distribuyen en tres equipos. En la
organización del usuario, los tres servidores pueden coexistir en un
único equipo.
Tivoli PKI Cómo empezar
3
Directory
Database
Enrollment
Browser
RA
Desktop
Directory
Server
4758
Card
H
T
T
HTTP/S P
LD
S
E Tivoli PKI
and
R
HTTP/S V RA Servers
E
R
4758
Card
AP
PKIX CMP via TCP
CA and
Audit
Servers
DB
RA Object
Store
Configuration
Database
Registration
Database
/
File
Audit
Database
CA Object
Store
CA
Database
Figura 1. Configuración de componentes de Tivoli PKI
Servidor de Tivoli PKI
El servidor de Tivoli PKI es el servidor central que vincula al resto
de los componentes. Mantiene la base de datos de configuración y
proporciona las utilidades necesarias para administrar el sistema.
Autoridad de registro
La Autoridad de registro (RA) es el componente de servidor que se
encarga de administrar el proceso de registro. La RA garantiza que
los certificados se emitan solamente a entidades aprobadas. La RA
también garantiza que los certificados se utilicen sólo para fines
aprobados. Las tareas principales de una RA incluyen:
4
¶
Confirmar la identidad de la entidad solicitante
¶
Verificar que el solicitante dispone de un certificado que
contiene los atributos y permisos necesarios
Versión 3
Release 7.1
Aprobar o rechazar solicitudes para crear, renovar o revocar
certificados
¶
Verificar que una entidad que intenta tener acceso a una
aplicación o un recurso seguros conserva la clave privada
asociada con la clave pública del certificado
1. Información acerca de
Tivoli PKI
¶
Parecida a la CA de Tivoli PKI, la RA puede utilizar hardware
criptográfico como, por ejemplo, IBM 4758 PCI Cryptographic
Coprocessor para proporcionar seguridad agregada a sus claves de
firma.
En Tivoli PKI, el recurso de registro instalado en el servidor RA
proporciona la infraestructura para soportar un amplio rango de
actividades de registro. Al configurar el sistema deberá definirse un
dominio de registro que rija las políticas empresariales y de
certificados y los recursos en función de las prácticas de registro y
certificación preferidas de su organización.
Inscripción
La RA ofrece soporte para una gran variedad de protocolos de
inscripción y tipos de certificado. Las funciones de inscripción
incluyen:
¶
El uso de la base de datos DB2 para registrar los datos cifrados
de registro y certificados.
¶
Soporte para procesos de aprobación de registros automáticos y
manuales.
¶
Un conjunto de formularios de inscripción basados en Java
mediante los cuales los usuarios pueden solicitar y obtener
certificados a través de sus propios navegadores Web. El proceso
de inscripción autentica las identidades del cliente y el servidor
y emite certificados para las entidades aprobadas con cifrado de
extremo a extremo de todos los datos solicitados. El proceso de
inscripción incluye:
v La entrega de certificados a través de SSL (Secure Sockets
Layer) para su uso con aplicaciones a las que se obtiene
acceso desde un navegador o un servidor Web.
Tivoli PKI Cómo empezar
5
6
v
La entrega de certificados a través del protocolo CMP
(Certificate Management Protocol) PKIX para su uso en
aplicaciones cliente PKIX o para almacenarlos en Smart
Cards.
v
La entrega de certificados compatibles con el estándar IPSec
(Internet Protocol Security) para su uso con aplicaciones de
VPN seguras o dispositivos habilitados para IPSec.
v
La entrega de certificados compatibles con S/MIME
(Extensiones multipropósito seguras de Internet Mail, Secure
Multipurpose Internet Mail Extensions) para su uso con
aplicaciones de correo electrónico seguras.
v
La entrega de cartas de notificación que informen a los
solicitantes acerca de la aprobación o denegación de una
solicitud.
¶
Un conjunto de perfiles de certificados que facilitan a los
usuarios la obtención del tipo de certificado que precisan. Los
perfiles definen el propósito del certificado y su período de
validez. Según la información de la plantilla, la RA podrá emitir
un certificado en el formato correcto con el contenido necesario.
Para obtener información acerca de los tipos y las extensiones de
certificado compatibles con la RA, consulte los apartados
“Estándares soportados” en la página 21 y “Certificado X.509
Versión 3” en la página 23.
¶
Soporte para pre-registro, un proceso que permite a un usuario,
normalmente el administrador, solicitar un certificado compatible
con PKIX para otro usuario.
¶
Soporte para salidas de política y Objetos de proceso de negocio
(BPO), que permiten a las organizaciones llamar a sus propios
programas durante el proceso de inscripción. La RA incluye una
salida de política de ejemplo que lleva a cabo un proceso de
aprobación automático.
Consulte el libro rojo de IBM Working with Business Process
Objects for Tivoli SecureWay PKI, SG24-6043-00 para obtener
instrucciones sobre el desarrollo y la personalización de Objetos
Versión 3
Release 7.1
1. Información acerca de
Tivoli PKI
de proceso de negocio (BPO) para que se ajusten a sus
requisitos específicos de negocio.
Para obtener información completa acerca de cómo utilizar un
navegador Web para inscribir certificados, consulte la publicación
Tivoli PKI Guía del usuario. En este manual encontrará una
descripción de los tipos de certificados que se suministran con la
instalación por omisión de Tivoli PKI.
Administración
La aplicación Registration Authority Desktop (RA Desktop) permite
a los administradores autorizados (también conocidos como
responsables de registros) revisar los certificados de las aplicaciones,
aprobar o rechazar solicitudes, renovar certificados o revocarlos de
forma temporal o permanente. Soporta tareas como:
¶
Recuperar solicitudes de inscripción pendientes
¶
Realizar consultas en la base de datos de registro para recuperar
y trabajar con registros que coincidan con determinados criterios
¶
Revisar información detallada acerca de un certificado o una
solicitud, como el historial de todas las acciones realizadas desde
que se envió la solicitud por primera vez
¶
Definir el período de validez de un certificado
¶
Anotar un registro para explicar los motivos de la acción
realizada
RA Desktop es una aplicación segura. Para tener acceso a la misma,
los usuarios deben ser responsables de registros autorizados. Tivoli
PKI incluye una herramienta que facilita este proceso. Puede añadir
cualquier número de responsables de registros a fin de poder hacer
frente a la carga de trabajo de registro.
Cuando agrega un responsable de registros es preciso identificar el
dominio de registro y especificar los privilegios del usuario. Por
ejemplo, puede permitir que un responsable de registros solamente
apruebe y rechace solicitudes pero que otro responsable de registros
también pueda revocarlas.
Tivoli PKI Cómo empezar
7
¶
Para obtener información acerca de cómo instalar, tener acceso y
utilizar la aplicación RA Desktop, consulte la publicación Tivoli
PKI Guía de RA Desktop.
¶
Para obtener información sobre cómo autorizar responsables de
registro, consulte la publicación Tivoli PKI Guía de
administración del sistema.
Personalización
Puede utilizar el recurso de registro proporcionado con Tivoli PKI
sin necesidad de personalizarlo. Sin embargo, es posible que desee
modificar los formularios o los procesos de inscripción para reflejar
los objetivos específicos de su organización con relación a la
certificación digital. Por ejemplo, quizás desee mostrar el logotipo de
la empresa en el formulario de inscripción de navegador. O quizás
desee modificar los perfiles de certificados para soportar extensiones
relevantes para las clases de usuarios, servidores o dispositivos que
desee inscribir.
Una vez instalado y configurado Tivoli PKI, puede copiar la mayoría
de los archivos que definen su dominio de registro y personalizarlos
para adaptarlos a los propósitos de su empresa. Asegúrese de realizar
una copia de seguridad antes de modificar los archivos.
Puede copiar o actualizar los siguientes archivos del recurso de
registro. Durante la configuración, estos archivos se crean en la vía
de acceso de directorio definida para el dominio de registro.
8
¶
Los archivos de configuración (tipo de archivo .cfg) instalados
en el subdirectorio /etc. Por ejemplo, es posible que desee
ajustar la configuración de ejecución del servidor RA o de RA
Desktop.
¶
Las cartas de notificación de ejemplo (tipo de archivo .ltr)
instaladas en el subdirectorio /etc. Tivoli PKI ofrece textos de
ejemplo para informar a los usuarios de cuándo una solicitud se
aprueba o rechaza, pero es posible que desee crear su propio
texto.
¶
Los archivos HTML (tipo de archivo .html), los gráficos (tipo de
archivo .gif) y las páginas de servidor Java (tipo de archivo .jsp)
Versión 3
Release 7.1
1. Información acerca de
Tivoli PKI
instalados en el subdirectorio /webpages. Por ejemplo, es posible
que desee cambiar el texto y los gráficos que aparecen en los
formularios de inscripción de navegador. También puede
personalizar el perfil del certificado existente o definir uno
nuevo para adaptarlo a las políticas de certificados de su
organización.
¶
La salida de política (policy_exit) instalada en el subdirectorio
bin. Tivoli PKI proporciona esta salida como un ejemplo de
cómo administrar el proceso de aprobación automático. Puede
escribir otras salidas para integrar el proceso de registro con sus
otras aplicaciones o para procesar sus propias acciones de
registro.
Para obtener información acerca de los cambios que pueden
realizarse en los procesos de registro y certificación o para obtener
instrucciones sobre cómo hacerlo, consulte la publicación Tivoli PKI
Guía de personalización.
Para obtener información sobre los temas de personalización,
consulte el libro rojo de IBM Working with Business Process Objects
for Tivoli SecureWay PKI, SG24-6043-00, en el que podrá obtener
instrucciones sobre el desarrollo y la personalización de Objetos de
proceso de negocio (BPO), a fin de que se ajusten a sus requisitos
específicos de negocio.
Autoridad de certificación
La Autoridad de certificación (CA) es el componente de servidor que
se encarga de administrar el proceso de certificación. La CA actúa
como una tercera parte de confianza para los usuarios que realizan
operaciones de e-business. La CA valida la identidad de los usuarios
mediante los certificados que emite. Además de ofrecer la identidad
del usuario, el certificado incluye una clave pública que permite al
usuario comprobar y cifrar las comunicaciones.
La confianza de las partes se basa en la confianza que depositan en
la CA que emite el certificado. Para garantizar la integridad de un
certificado, la CA lo firma digitalmente. Los intentos para alterar el
certificado anulan la firma y harán que aquél deje de ser válido.
Tivoli PKI Cómo empezar
9
La CA de Tivoli PKI proporciona un entorno de transacciones
seguro al realizar lo siguiente:
10
¶
Garantizar la univocidad de un certificado. La CA genera un
número de serie para cada certificado nuevo y para cada
certificado que se renueve. Este número de serie es un
identificador exclusivo que no se almacena como parte del
nombre distintivo (DN) del certificado.
¶
Realizar un seguimiento de los certificados que emite. La CA
mantiene una lista de certificados emitidos (ICL). La lista ICL
guarda una copia segura de cada certificado, indexada por el
número de serie, en una base de datos DB2.
¶
Realizar un seguimiento de los certificados revocados. La CA
crea y actualiza listas de revocación de certificados (CRL). La
CA y la RA intercambian mensajes tan pronto como tiene lugar
una revocación, lo que permite que la RA actualice el Directorio
durante la próxima actualización periódica. La CA firma
digitalmente todas las listas CRL para dar fe de su integridad.
¶
Evitar la manipulación de los datos. La CA genera un código de
autenticación de mensajes (MAC) para cada registro que se
escribe en la base de datos. El código MAC ayuda a garantizar
la integridad de la base de datos gracias a la posibilidad que
ofrece de detectar los datos que se han alterado o eliminado.
¶
Proteger la firma de la CA. Se puede integrar la CA con IBM
4758 PCI Cryptographic Coprocessor. El coprocesador 4758
utiliza una clave criptográfica almacenada en el hardware para
cifrar y proteger la clave de firma de la CA.
¶
Soportar la actualización (renovación) del certificado y el par de
claves de la CA para evitar la caducidad.
¶
Soportar la recuperación de datos y las auditorías. La CA genera
registros de auditoría para muchos sucesos susceptibles de ser
sometidos a una auditoría. El servidor de auditoría almacena
estos registros en una base de datos DB2.
¶
Si su organización dispone de aplicaciones modestas para las que
bastaría una sola CA, Tivoli PKI admite certificados de CA
Versión 3
Release 7.1
¶
Si su organización consta de cadenas de autoridad jerárquicas o
interdependientes, puede configurar la CA para que trabaje con
otras CA.
v
Una CA de Tivoli PKI puede emitir certificados cruzados con
otras CA y acordar aceptar certificados firmados por dichas
CA como prueba de autenticidad. La certificación cruzada
permite que las entidades de un dominio de administración de
CA se comuniquen de forma segura con las entidades de
otros dominios de administración de CA.
v
Una CA de Tivoli PKI puede servir como raíz CA para
firmar certificados de otras CA. También ofrece soporte para
solicitudes de otras CA que deseen firmar su certificado de
CA. Esta política permite que la CA forme parte de una
jerarquía de confianza; la CA se compromete a aceptar
certificados firmados por cualquier CA superior de la
jerarquía como prueba de autenticidad.
Dichos modelos de confianza son útiles, por ejemplo, para
separar áreas geográficas y unidades organizativas en distintos
dominios de administración. También le permite aplicar distintas
políticas de certificados a diferentes secciones de la
organización.
¶ Si su organización necesita certificados para propósitos todavía
no soportados con los perfiles de certificados de Tivoli PKI, la
CA puede generar y validar certificados con extensiones
definidas por el usuario.
Consulte la publicación Tivoli PKI Guía de personalización para
obtener información sobre cómo definir nuevos perfiles y
extensiones de certificados.
Para obtener información detallada acerca de la CA de Tivoli PKI,
consulte la publicación Tivoli PKI Guía de administración del
sistema. Este manual contiene instrucciones para ajustar las opciones
Tivoli PKI Cómo empezar
11
1. Información acerca de
Tivoli PKI
autofirmados. En este tipo de casos, la CA es responsable de
toda la actividad de certificación que se realice en el dominio de
administración.
de ejecución del servidor CA y los procedimientos que deben
seguirse para establecer modelos de confianza de certificados
cruzados y CA jerárquicas.
Subsistema de auditoría
En Tivoli PKI, el subsistema de auditoría proporciona soporte para
registrar acciones de seguridad importantes. El servidor de auditoría
gestiona la siguiente actividad de auditoría:
12
¶
Recibe sucesos de auditoría desde los clientes de auditoría, como
la Autoridad de registro y la Autoridad de certificación.
¶
Escribe los sucesos en un registro de auditoría que suele
almacenarse en una base de datos DB2 (también puede
almacenarse en un archivo de datos). Existe un registro en el
archivo de registro por suceso de auditoría.
¶
Permite que los clientes de auditoría creen máscaras para los
sucesos de auditoría. Aunque algunos sucesos se registran
siempre, puede recurrir a las máscaras para evitar que se
mantenga un registro de determinados sucesos. Esta posibilidad
permite controlar el tamaño de los registros de auditoría y
garantizar que los sucesos registrados son de interés en su
entorno.
¶
Calcula un código de autenticación de mensajes (MAC) para
cada registro de auditoría. El código MAC ayuda a garantizar la
integridad del contenido de la base de datos. Por ejemplo, es
posible determinar si un registro se ha alterado, manipulado o
eliminado desde que se registró.
¶
Proporciona una herramienta para realizar comprobaciones de
integridad en la base de datos de auditoría y los registros de
auditoría archivados.
¶
Proporciona una herramienta para archivar y firmar el estado
actual de la base de datos de auditoría. Por motivos de
seguridad, debería archivar la base de datos de auditoría y
almacenarla fuera del sitio de forma periódica. El archivado de
las bases de datos también puede proporcionar beneficios de
rendimiento y conservar espacio de disco.
Versión 3
Release 7.1
1. Información acerca de
Tivoli PKI
El servidor de auditoría debe instalarse en el mismo equipo que la
Autoridad de certificación. Tras instalar y configurar el sistema,
consulte la publicación Tivoli PKI Guía de administración del
sistema para obtener información sobre cómo utilizar las
herramientas de auditoría y administrar el servidor de auditoría.
Servidor Web
Tivoli PKI utiliza IBM WebSphere Application Server para
proporcionar una base de confianza para las transacciones de red.
WebSphere es un conjunto de productos de seguridad, incluido IBM
HTTP Server, que soporta el desarrollo de aplicaciones e-business
avanzadas.
En un sistema Tivoli PKI, debe instalarse el software de servidor
Web en el mismo equipo que la Autoridad de registro. Proporciona
un vínculo seguro entre los programas protegidos y los usuarios que
intenten obtener acceso a los mismos. Mediante los protocolos de
transferencia de hipertexto (HTTP y HTTPS) y la tecnología SSL
(Secure Sockets Layer), el servidor Web puede cifrar las
comunicaciones entre los clientes y el servidor. También puede
autenticar las conexiones para evitar el acceso no autorizado o la
manipulación de datos.
El servidor Web utiliza distintos puertos para administrar diferentes
tipos de solicitudes:
¶
Un puerto público para solicitudes que no precisan cifrado o
autenticación.
¶
Un puerto seguro para solicitudes que precisan cifrado y
autenticación de servidor.
¶
Un puerto seguro para solicitudes que precisan cifrado,
autenticación de servidor y autenticación de cliente.
En un sistema Tivoli PKI, el servidor Web se encarga de todas las
solicitudes que recibe del navegador Web. Ello incluye las
solicitudes de certificados nuevos, solicitudes para renovar o revocar
certificados existentes y solicitudes para ejecutar aplicaciones
seguras. Si es necesario, también lleva a cabo la autenticación antes
de permitir cualquier tipo de intercambio de información.
Tivoli PKI Cómo empezar
13
Sistema de base de datos
IBM DB2 Universal Database (DB2) es la base de almacenamiento
de Tivoli PKI. Los componentes de servidor conservan varias bases
de datos para los datos de configuración, los de registro, de
certificado, de auditoría y del Directorio. DB2 ofrece amplias
características de seguridad y capacidad de almacenamiento. Por
ejemplo, DB2 habilita Tivoli PKI para almacenar datos de registro
en formato cifrado y para realizar comprobaciones de integridad de
los registros de auditoría almacenados.
La versión de DB2 necesaria para Tivoli PKI se incluye en el
paquete de distribución de Tivoli PKI. Antes de instalar el código del
servidor de Tivoli PKI, compruebe que el software de bases de datos
esté disponible en todos los equipos en los que desee instalar un
componente de servidor. Durante la instalación y la configuración,
Tivoli PKI crea las bases de datos necesarias.
Servidor del Directorio
IBM Directory mantiene información acerca de los certificados en
una ubicación centralizada. Mediante la integración con IBM DB2,
el Directorio puede ofrecer soporte para millones de entradas de
directorio. También permite que las aplicaciones cliente como Tivoli
PKI lleven a cabo transacciones de almacenamiento, actualización y
recuperación de bases de datos.
En Tivoli PKI, el servidor RA publica la siguiente información en el
Directorio:
14
¶
Certificados de clave pública, que se utilizan para el cifrado y la
autenticación.
¶
Los atributos asociados con un nombre distintivo (las funciones
y los privilegios del propietario).
¶
Listas de revocación de certificados que incluyen los números de
serie de todos los certificados revocados.
¶
Información acerca de la CA que firma los certificados, incluidas
las políticas empresariales y de certificados asociadas con el
certificado.
Versión 3
Release 7.1
1. Información acerca de
Tivoli PKI
4758 Cryptographic Coprocessor
Cuando una CA emite un certificado, la firma de la CA certifica que
el usuario está autorizado para tener acceso a los servicios para los
que está registrado. Para evitar que usuarios no autorizados obtengan
certificados y tengan acceso a recursos importantes, es preciso
proteger la clave de firma de la CA. Se aplican consideraciones de
seguridad similares respecto a los pares de claves generados por la
RA.
Las soluciones de software pueden ofrecer un elevado nivel de
seguridad a la clave de firma mediante el cifrado. Sin embargo, dado
que la clave debe exponerse para generar la firma, este enfoque pone
la clave al alcance de usuarios no autorizados.
IBM 4758 PCI Cryptographic Coprocessor es un hardware especial
que puede utilizarse en un sistema Tivoli PKI para proteger las
claves de CA y RA. El coprocesador 4758 realiza funciones
criptográficas basadas en RSA y DES en un procesador de alta
seguridad cerrado, habilitado para detectar manipulaciones de la
placa. El coprocesador proporciona protección criptográfica de los
datos, administración de claves y soporte para aplicaciones
personalizadas. También proporciona algoritmos hash MD5 y
SHA-1. Estas funciones permiten que el coprocesador 4758 cumpla
los requisitos industriales respecto a estándares y aplicaciones que
requieren la capacidad de módulo de seguridad de hardware (HSM).
En una instalación de Tivoli PKI de una sola máquina, es posible
que la CA y la RA tengan cada una de ellas su propia tarjeta de
coprocesador 4758, o pueden compartir una única tarjeta de
coprocesador 4758. Al ejecutar el Asistente para la configuración se
especifica cómo está configurada la tarjeta.
Nota: La compatibilidad con el procesador 4758 sólo está disponible
en la versión AIX de Tivoli PKI.
Consulte la publicación Tivoli PKI Guía de administración del
sistema y la documentación del producto para obtener información
adicional sobre el coprocesador 4758.
Tivoli PKI Cómo empezar
15
Recomendación
A pesar de que el coprocesador 4758 no es necesario, IBM
recomienda instalarlo en el mismo servidor donde desee instalar
la Autoridad de certificación. Si trabaja con software de
protección de claves de CA, no podrá instalar después el
soporte para hardware sin tener que volver a instalar el
software de Tivoli PKI.
Recurso de recuperación y copia de seguridad de
clave
Tivoli PKI proporciona un recurso de recuperación y copia de
seguridad de clave que permite recuperar y efectuar la copia de
seguridad de certificados de entidad y sus claves privadas
correspondientes certificadas por Tivoli PKI.
Este recurso permite recuperar un certificado y una clave privada
perdidos, olvidados o que no pueden obtenerse. Observe el ejemplo
siguiente: un empleado efectúa la copia de seguridad de sus
certificados y claves privadas de forma rutinaria y, repentinamente,
abandona la empresa y no puede devolver todas las claves privadas
para acceder a dicha información. Al emitir una solicitud de
recuperación, puede recuperar dicha información.
El proceso de copia de seguridad requiere que el usuario cree un
archivo PKCS #12. Este archivo contiene el certificado y la clave
privada del usuario. El usuario emite una solicitud de copia de
seguridad desde un navegador soportado usando el archivo PKCS
#12 como entrada. La base de datos de recuperación de claves,
krbdb, se actualiza y contiene la información de acceso. La
recuperación de claves funciona de forma parecida: el usuario emite
una solicitud de recuperación en la que se especifica la contraseña
del archivo PKCS #12 del cual ha efectuado la copia de seguridad.
Después de que el Administrador de la RA ha aprobado la solicitud,
ya puede bajar el archivo.
16
Versión 3
Release 7.1
1. Información acerca de
Tivoli PKI
Recurso de emisión masiva de certificados
Tivoli PKI proporciona un recurso de emisión masiva de certificados
que permite al cliente inscribir, crear y actualizar en LDAP
(Lightweight Directory Access Protocol) muchos certificados de
entidad final en un único proceso automatizado. Este recurso
requiere un archivo de entrada, con el formato adecuado, que
contenga los datos del certificado, incluida la clave pública. El
proceso lee la entrada de la CA de inscripción, envía las solicitudes
a la CA para la generación del certificado y finalmente actualiza el
certificado y los datos del usuario en el Directorio. El recurso de
emisión masiva de certificados puede ejecutarse como un único
proceso o puede separase como en los procesos individuales,
dependiendo del modelo de empresa del cliente. Este recurso se
describe de forma detallada en la publicación Tivoli PKI Guía de
administración del sistema.
Arquitectura
Las siguientes secciones abordan la infraestructura jerárquica de
Tivoli PKI y los protocolos con los que es compatible.
Infraestructura de claves públicas
La infraestructura de claves públicas (PKI) proporciona aplicaciones
con una infraestructura adecuada para realizar los siguientes tipos de
actividades de seguridad:
¶ Autenticar todas las partes que participen en transacciones
electrónicas.
¶ Autorizar el acceso a sistemas sensibles y repositorios.
¶ Verificar el autor de cada mensaje mediante su firma digital.
¶ Cifrar el contenido de las comunicaciones.
El estándar de PKIX es resultado de la evolución de PKI para dar
soporte a la interoperatividad de aplicaciones e-business. La principal
ventaja de este sistema consiste en que permite a las organizaciones
realizar transacciones electrónicas seguras independientemente de la
plataforma operativa o software de aplicación.
La implementación de PKIX en Tivoli PKI se basa en la arquitectura
Common Data Security Architecture (CDSA) de Intel. CDSA soporta
Tivoli PKI Cómo empezar
17
varios modelos de confianza, formatos de certificado, algoritmos
criptográficos y repositorios de certificado. La principal ventaja de
este sistema consiste en que permite a las organizaciones escribir
aplicaciones compatibles con PKI que den soporte a sus políticas
empresariales.
Protocolo PKIX CMP
Tivoli PKI utiliza el protocolo CMP de PKIX para las
comunicaciones entre los servidores RA y CA y para la
comunicación entre el servidor y los clientes RA. A pesar de que
CMP utiliza el protocolo TCP/IP como mecanismo de transporte
principal, también existe una capa de abstracción sobre el socket. De
este modo se habilita el soporte para transportes de sondeo
adicionales.
CMP define los formatos de mensaje para que soporten todo el ciclo
de vida de un certificado. También especifica cómo se debe llevar a
cabo la administración de la protección de mensajes
independientemente del mecanismo de transporte.
CMP Versión 2, soportado en este Tivoli PKI, ayuda a promover la
interoperatividad entre las autoridades CA de varios proveedores ya
que realizan funciones como, por ejemplo, emisión, revisión y
revocación de certificados digitales. Este soporte también
proporciona una seguridad y unos tamaños de mensaje mayores.
Protocolo LDAP
Para proporcionar a las aplicaciones acceso a los servicios de
servidor centralizados, IBM Directory soporta el protocolo LDAP
(Lightweight Directory Access Protocol). LDAP es un protocolo
derivado del estándar X.500. LDAP usa TCP/IP y controla el acceso
al directorio mediante el uso de nombres distintivos y contraseñas.
Puesto que es compatible con conexiones SSL, LDAP puede cifrar
mensajes y realizar autenticación mutua de clientes y servidores.
En Tivoli PKI, el servidor RA utiliza LDAP para comunicarse con el
servidor del Directorio. La RA publica certificados, listas de
18
Versión 3
Release 7.1
1. Información acerca de
Tivoli PKI
revocación de certificados y otras informaciones acerca de las
entidades registradas y las políticas de certificación del Directorio de
forma periódica y planificada.
En este release de Tivoli PKI se proporciona compatibilidad con los
esquemas y clases de objetos de LDAP Versión 3. Las aplicaciones
existentes de Tivoli PKI que utilicen los esquemas de PKIX LDAP
Versión 2 pueden seguir utilizando los esquemas y clases de objeto
existentes.
Almacenes de objetos
Cada componente de Tivoli PKI tiene un almacén de objetos. El
almacén de objetos es un repositorio basado en disco para objetos
permanentes. Almacena transacciones en proceso e información de
estado acerca de dichas transacciones. Los objetos pueden ser
objetos de control activo (como por ejemplo certificados, solicitudes
y CRL), o bien sustitutos. Un sustituto es un área donde se guardan
los datos de estado del objeto.
Como los objetos del almacén de objetos se guardan en un formato
con codificación ASN.1, las operaciones de recuperación y
almacenamiento pueden ser relativamente caras. El almacén de
objetos guarda en antememoria las modificaciones realizadas en los
objetos y no actualiza el almacenamiento del disco hasta que se
produce un cambio en el estado de un objeto, o bien hasta que una
interfaz de usuario altera el objeto.
Para minimizar los gastos generales asociados con el análisis ASN.1,
Tivoli PKI utiliza una capa de antememoria de objetos por encima
del almacén de objetos que realiza un almacenamiento en
antememoria de escritura simultánea de los objetos del almacén de
objetos. Como consecuencia de ello, un objeto sólo debe analizarse
la primera vez que se hace referencia al mismo después de reiniciar
el servidor.
La capa de antememoria de objetos proporciona un área de
almacenamiento adicional por objeto que no se basa en disco. Tivoli
PKI utiliza esta área para almacenar información transitoria
relacionada con la seguridad, como por ejemplo la contraseña que
Tivoli PKI Cómo empezar
19
protege un informe de pre-registro. La antememoria de objetos
también puede bloquear objetos de registro para protegerse del
acceso simultáneo de varios threads.
Modelo de confianza
La seguridad en un sistema Tivoli PKI se lleva a cabo mediante la
utilización de firma de código, firma de mensajes, cifrado de datos y
almacenamiento seguro de claves y contraseñas.
Firma de código
El código de tipo core de Tivoli PKI se firma durante su fabricación.
Cuando el código se firma con una clave privada generada en
fábrica, se convierte en un objeto estático y protegido. No puede
alterarse ni reemplazarse sin que se detecte. Otros objetos del código
pueden utilizar la clave pública correspondiente así como la
biblioteca de verificación interna para autenticar la comunicación
antes de que tenga lugar un intercambio de datos.
Firma de mensajes
Para ofrecer todavía mayores servicios de autenticación, el proceso
de configuración genera claves de firma para los servidores RA, CA
y de auditoría, garantizando que se firmen todas las comunicaciones
establecidas entre los componentes. Por ejemplo, todos los mensajes
intercambiados entre los servidores RA y CA pueden autenticarse
según la firma de cada componente.
Cifrado de datos
Toda la información almacenada en los Almacenes de claves está
cifrada. DB2 también cifra gran parte de la información almacenada
en las bases de datos de Tivoli PKI.
Almacenes de claves
Tivoli PKI proporciona soporte para los Almacenes de claves, áreas
seguras que almacenan claves privadas, certificados, códigos de
autenticación de mensajes (MAC) y otros objetos de interés en
cuanto a la seguridad. Existen Almacenes de claves distintos para los
componentes de RA y de auditoría así como para varios agentes de
servidor que ayudan a llevar a cabo transacciones de servidor. La
20
Versión 3
Release 7.1
Este modelo de confianza ayuda a garantizar la integridad del
sistema ya que protege los objetos que están almacenados en los
Almacenes de claves. También ayuda a garantizar la confidencialidad
de dichos objetos ya que sólo permite que un componente del
sistema de confianza, firmado con una clave generada en fábrica,
pueda acceder al Almacén de claves y a los datos cifrados que
contiene.
Durante la configuración, se definen dos contraseñas, la contraseña
de cfguser y la contraseña del Programa de control. Estas
contraseñas pueden ser la misma o distintas. Después de la
configuración, se debe establecer una contraseña exclusiva para cada
Almacén de claves. Consulte la publicación Tivoli PKI Guía de
administración del sistema para obtener información sobre cómo
usar la utilidad Cambiar contraseña para realizar estos cambios.
Estándares soportados
Tivoli Public Key Infrastructure soporta los siguientes estándares
para la criptografía de claves públicas.
Tivoli PKI Cómo empezar
21
1. Información acerca de
Tivoli PKI
información de cada Almacén de claves está cifrada y sólo se puede
acceder a la misma mediante una contraseña que está establecida
para cada Almacén de claves.
Componente
Estándar
Autoridad de
registro
¶
¶
¶
¶
¶
¶
¶
¶
¶
¶
Autoridad de
certificación
¶
¶
¶
¶
¶
¶
¶
IBM Directory
22
Secure Sockets Layer (SSL) versión 2 y versión 3, con autenticación
de cliente
Formato de certificados de servidor y de navegador PKCS #10 con
una respuesta PKCS #7 codificada con Base64
Formato de certificados PKIX CMP, con una respuesta PKIX CMP
Formato de certificados IPSec
Formato de certificados S/MIME
Certificados de navegador para:
v Microsoft Internet Explorer versiones 4.x y 5.x
v Netscape Navigator y Netscape Communicator versiones 6.x
Certificados de servidor para:
v Netscape Enterprise Server
v Microsoft Internet Information Server
Certificados de Smart Card (interfaz PKCS #11) para Netscape
Navigator y Netscape Communicator versiones 6.x
Estándar LDAP para las comunicaciones con el Directorio
PKIX CMP vía TCP/IP para las comunicaciones con la Autoridad de
certificación
certificados X.509v3
Listas de revocación de certificados (CRLv2)
Longitudes de claves de hasta 1024 bits para claves de cifrado y de
intercambio de claves
Longitudes de claves de hasta 2048 bits para claves de firma de la
CA
Algoritmos RSA para cifrado y firma
Algoritmos hash MD5 y SHA-1
PKIX CMP vía TCP/IP para las comunicaciones con la Autoridad de
registro
LDAP versión 3.2, con sintaxis RFC 1779
Versión 3
Release 7.1
1. Información acerca de
Tivoli PKI
Componente
Estándar
Hardware de IBM ¶ Requisitos de nivel 4 de FIPS 140 para la resistencia a los ataques
4758 PCI
físicos
Cryptographic
¶ Soporte para estándares de criptografía aceptados por la industria:
Coprocessor
v DES para cifrado/descifrado
v RSA para firmas/verificación de firmas
v PKCS #1 tipo de bloque 00
v PKCS #1 tipo de bloque 01
v PKCS #1 tipo de bloque 02
v Algoritmos hash MD5 y SHA-1
v ANSI X9.9 y X9.23
v ISO 9796
Programa de
soporte de IBM
CCA
Cryptographic
Coprocessor
Proporciona servicios para el coprocesador 4758, como por ejemplo la
generación segura de pares de claves RSA con longitudes de modulus de
hasta 2048 bits, así como:
¶ SET (Secure Electronic Transaction)
¶ DES para cifrado y descifrado
¶ RSA para firmas y verificación de firmas
¶ Algoritmos hash MD5 y SHA-1
Certificado X.509 Versión 3
Los certificados de Tivoli PKI tienen soporte para la mayoría de los
campos y extensiones definidos en el estándar X.509 versión 3
(X.509v3). Este soporte permite utilizar los certificados para la
mayor parte de usos criptográficos, como por ejemplo SSL, IPSec,
VPN y S/MIME.
Los certificados de Tivoli PKI pueden incluir los siguientes tipos de
extensión:
Extensiones estándar
Las extensiones de certificados X.509v3 estándar son: uso de
claves, período de uso de claves privadas, nombre alternativo
de asunto, restricciones básicas y restricciones de nombres.
Extensiones comunes
Son las extensiones que son exclusivas a Tivoli PKI, como
por ejemplo la correlación de identidad de sistema principal.
Tivoli PKI Cómo empezar
23
Esta extensión asocia el asunto de un certificado con una
identidad correspondiente de un sistema principal.
Extensiones privadas
Son las extensiones que puede utilizar una aplicación para
identificar un servicio de validación en línea que tiene
soporte para la CA emisora.
Para dar soporte a las políticas de registro de una organización,
Tivoli PKI también proporciona los medios para personalizar y
definir extensiones de certificados. Por ejemplo, se pueden modificar
las extensiones especificadas en los perfiles de certificados por
omisión o bien crear perfiles que devuelven certificados con
extensiones distintas.
Para obtener información detallada sobre cómo crear o personalizar
extensiones de certificados o perfiles de certificados, consulte la
publicación Tivoli PKI Guía de personalización.
24
Versión 3
Release 7.1
2
2. Requisitos del sistema
Requisitos del sistema
El sistema operativo que vaya a utilizar debe cumplir los requisitos
de software y hardware que se especifican en las siguientes
secciones. Para obtener la información más actualizada acerca de los
requisitos del sistema, consulte el archivo Notas del release de Tivoli
Public Key Infrastructure (PKI). El archivo Notas del release puede
contener información más actualizada que la de la documentación
del producto.
Para obtener el último archivo Notas del release, acceda al sitio Web
de Tivoli Public Key Infrastructure.
Requisitos del software de servidor
Para distribuir la carga de trabajo entre los procesadores y para
soportar la configuración existente del sistema de la organización,
instale los programas del servidor de Tivoli PKI en varios equipos.
Si desea obtener información sobre las diferentes maneras de
configurar Tivoli PKI en su entorno, consulte el apartado
“Configuraciones de servidor soportadas” en la página 49.
En la tabla siguiente se muestran las principales características del
sistema operativo de Tivoli PKI y los requisitos de software.
Tivoli PKI Cómo empezar
25
Producto
Notas
Uno de los siguientes sistemas
¶
operativos:
¶
¶ IBM AIX/6000 (AIX), versión
4.3.3 Nivel de mantenimiento 6
¶ Microsoft Windows NT, versión
4.0 con Service Pack 5
IBM DB2 Universal Database,
versión 6.1 FixPack 4
¶ Obligatorio; suministrado en el
paquete de distribución de
Tivoli PKI.
¶
Existe una base de datos única
para cada componente de
servidor de Tivoli PKI. Antes de
instalar Tivoli PKI, debe instalar
DB2 en todos los equipos en los
que tenga previsto utilizar el
servidor de Tivoli PKI.
IBM WebSphere Application Server, ¶
Standard Edition, version 3.5
Arreglo temporal del programa
(PTF) 4. Incluye IBM HTTP Server, ¶
versión 1.3.12.3 y Sun Java
Development Kit (JDK), versión
1.2.2 Arreglo temporal del programa
(PTF) 8
Obligatorio; suministrado en el
paquete de distribución de
Tivoli PKI.
Antes de instalar Tivoli PKI
debe instalar el software de
servidor Web en el mismo
equipo en el que vaya a instalar
la Autoridad de registro.
IBM Directory versión 3.1.1.5
26
Obligatorio
Debe instalar todos los
programas del servidor de Tivoli
PKI en la misma plataforma. No
puede mezclar equipos AIX y
Windows NT en una misma
instalación de Tivoli PKI.
¶
Obligatorio; suministrado en el
paquete de distribución de
Tivoli PKI.
¶ Antes de instalar Tivoli PKI
debe instalar el software del
Directorio. Puede instalarlo en
el mismo equipo con Tivoli PKI
o en un equipo remoto.
Versión 3
Release 7.1
Producto
Notas
¶
¶
IBM 4758 PCI Cryptographic
Coprocessor
¶ IBM 4758 CCA Support
Program, versión 2.2.1.0
2. Requisitos del sistema
Opcional; disponible sólo para
sistemas AIX; debe solicitar este
producto a través de los canales
de pedido habituales de IBM.
¶ Antes de instalar Tivoli PKI
debe instalar el hardware del
coprocesador 4758 y el
programa de compatibilidad en
el servidor donde vaya a instalar
la Autoridad de certificación o
la Autoridad de registro.
¶ La tarjeta criptográfica 4758
precisa un bus PCI en máquinas
RS/6000.
Requisitos del hardware del servidor
La configuración del equipo que seleccione para Tivoli PKI depende
de la actividad empresarial prevista y de si se desea utilizar Tivoli
PKI en AIX o en Windows NT.
¶
Si desea ejecutar Tivoli PKI en un sistema AIX, debe
instalarlo
®
en una máquina IBM RISC System/6000 (RS/6000 ).
¶
Si desea ejecutar Tivoli PKI en un sistema Windows NT,
IBM
®
recomienda que lo instale en un servidor IBM Netfinity .
Utilice las siguientes definiciones como instrucciones para valorar
los requisitos de capacidad y rendimiento:
Entorno de producción pequeño o de prueba
Una ubicación que emite centenares de certificados al día.
Puede ser un sistema configurado para emitir certificados
para empleados a través de una intranet o un sistema
configurado para pruebas y desarrollo de aplicaciones.
Entorno de producción mediano
Ubicación que emite miles de certificados al día. Puede ser
un sistema configurado para que pequeñas y medianas
empresas emitan certificados por Internet.
Tivoli PKI Cómo empezar
27
Entorno de producción masiva
Ubicación que emite miles de certificados al día. Puede ser
un sistema configurado para que grandes empresas emitan
certificados por Internet. También puede ser un sistema que
proporcione servicios CA de terceros a otras organizaciones.
En la siguiente tabla se resumen los requisitos recomendados del
equipo para un entorno de producción pequeño. Deberá adaptar la
configuración física del equipo según sus necesidades de
procesamiento.
Plataforma Tipo de
equipo
Procesadores
Espacio en disco
Memoria
AIX
RS/6000
1 (233 MHz)
4 GB
256 MB
NT
PC
1 (Intel
Pentium 300
MHz)
2 GB
256 MB
Requisitos del Asistente para la configuración
IBM recomienda la siguiente configuración para que la estación de
trabajo ejecute la aplicación de configuración de Tivoli PKI (el
Asistente para la configuración).
28
¶
Configuración física del equipo:
v Procesador Intel Pentium con un mínimo de 64 MB de RAM
v Un monitor con resolución de 1024x768 o superior con
65536 colores
¶
Uno de los siguientes sistemas operativos:
v Microsoft Windows 95
v Microsoft Windows 98
v Microsoft Windows NT
¶
Un navegador Web compatible con applets basados en JDK 1.1,
como los que figuran a continuación:
v Netscape Navigator o Netscape Communicator, versiones 4.7x
solamente.
Versión 3
Release 7.1
Nota: Netscape Navigator o Netscape Communicator, versión
6 no es compatible con el applet de configuración o
con RA Desktop. Netscape Navigator o Netscape
Communicator, versión 6 sólo es compatible con las
operaciones de certificados como, por ejemplo,
inscripción, renovación, revocación, copia de
seguridad y recuperación.
v Microsoft Internet Explorer, versión 5.0 o posterior
2. Requisitos del sistema
Debe instalar la versión oficial del navegador distribuida por
Netscape o Microsoft. Las versiones de proveedores externos
pueden presentar problemas de visualización de la información,
en especial al ejecutar la aplicación en un idioma que no sea el
inglés.
Consulte la publicación Tivoli PKI Guía de configuración para
obtener información completa sobre cómo ejecutar el Asistente para
la configuración y configurar el sistema Tivoli PKI.
Requisitos del cliente
Para determinar si la estación de trabajo cumple los requisitos
necesarios para utilizar un navegador con el que solicitar y
administrar certificados, consulte la publicación Tivoli PKI Guía del
usuario.
Para determinar si la estación de trabajo cumple los requisitos para
ejecutar RA Desktop de Tivoli PKI, consulte la publicación Tivoli
PKI Guía de RA Desktop.
Tivoli PKI Cómo empezar
29
30
Versión 3
Release 7.1
3
Planificación para Tivoli PKI
¶
Cómo asegurar el sistema físicamente y protegerlo de intrusiones
electrónicas no autorizadas
¶
Cómo configurar alias IP para que el servidor Web sea
compatible con los requisitos de cortafuegos de la organización
¶
Cómo Tivoli PKI crea y utiliza bases de datos
¶
Cómo Tivoli PKI interactúa con el Directorio
¶
Cómo Tivoli PKI interactúa con el coprocesador 4758
¶
Cómo Tivoli PKI interactúa con Policy Director
¶
Configuraciones de servidor recomendadas para ejecutar Tivoli
PKI en un entorno de varios equipos
¶
Consideraciones de idiomas nacionales para ejecutar Tivoli PKI
en el idioma local de la organización
Tivoli PKI Cómo empezar
31
3. Planificación para Tivoli
PKI
En este capítulo se aborda la interacción de Tivoli Public Key
Infrastructure (PKI) con los productos que se presentan como
requisitos previos. Antes de intentar instalar el software o configurar
el sistema, consulte la lista de comprobación del apartado “Lista de
comprobación de planificación de la instalación” en la página 32.
Después de asegurarse de que se cumplan los requisitos de dicha
lista de comprobación, repase los temas restantes de este capítulo. En
este capítulo también encontrará directrices para preparar el entorno
operativo para utilizar Tivoli PKI. En este capítulo se incluyen los
siguientes temas:
¶
Un resumen de los CD proporcionados con elpaquete de
distribución de Tivoli PKI
Lista de comprobación de planificación de la
instalación
En la lista de comprobación siguiente se identifican los elementos
que necesita para que la instalación de Tivoli PKI resulte
satisfactoria. Repase los elementos de esta lista de comprobación y
señálelos (U) cuando haya satisfecho los requisitos.
Elemento
Descripción
Comentarios
¿Completado?
U
Formación del
producto
Tivoli PKI
Póngase en contacto con
su representante de IBM o
Tivoli para obtener
detalles.
IBM 4758 PCI
Póngase en contacto con
Cryptographic Coprocessor su representante de IBM o
Tivoli para obtener
detalles.
32
Versión 3
Release 7.1
Elemento
Descripción
Requisitos del
software de
servidor
Uno de los siguientes
sistemas operativos:
¶ IBM AIX/6000
(AIX), versión 4.3.3
Nivel de
mantenimiento 6
¶ Microsoft Windows
NT, versión 4.0 con
Service Pack 5
Comentarios
Obligatorio; suministrado
en el paquete de
distribución de Tivoli PKI.
IBM WebSphere
Application Server,
Standard Edition version
3.5 Arreglo temporal del
programa 4. Incluye IBM
HTTP Server versión
1.3.12.3 y Sun Java
Development Kit (JDK)
version 1.2.2 Arreglo
temporal del programa 8.
Obligatorio; suministrado
en el paquete de
distribución de Tivoli PKI.
IBM Directory versión
3.1.1.5
Obligatorio; suministrado
en el paquete de
distribución de Tivoli PKI.
IBM Global Security Kit
SSL Runtime Toolkit
(GSKit) versión 4.0.3.116
Obligatorio; suministrado
en el paquete de
distribución de Tivoli PKI.
IBM KeyWorks versión
1.1.3.1
Obligatorio; suministrado
en el paquete de
distribución de Tivoli PKI.
¶
Opcional; disponible sólo
para sistemas AIX; debe
solicitar este producto a
través de los canales de
pedido habituales de IBM.
IBM 4758 PCI
Cryptographic
Coprocessor
¶ IBM 4758 CCA
Support Program,
versión 2.2.1.0.
Tivoli PKI Cómo empezar
3. Planificación para Tivoli
PKI
IBM DB2 Universal
Database versión 6.1
FixPack 4
¿Completado?
U
33
Elemento
Descripción
Requisitos del
hardware del
servidor
Una de los siguientes
plataformas:
¶
AIX: IBM RISC
System/6000
¶
Windows NT: Servidor
IBM Netfinity
Comentarios
¿Completado?
U
¶ 4 GB de espacio en
disco
¶ 256 MB de memoria
¶ Un procesador a 233
MHz (AIX), o
¶ Un procesador a 300
MHz Intel Pentium
(Windows NT)
34
Versión 3
Release 7.1
Elemento
Descripción
Comentarios
¿Completado?
U
Requisitos del
¶
Asistente para la
configuración
Procesador Intel
Pentium con un
mínimo de 64 MB de
RAM
¶ Un monitor con
resolución de
1024x768 o superior
con 65536 colores
Uno de los siguientes
sistemas operativos:
¶ Microsoft Windows 95
¶ Microsoft Windows 98
¶ Microsoft Windows
NT
Tivoli PKI Cómo empezar
Debe instalar la versión
oficial del navegador
distribuida por Netscape o
Microsoft. Las versiones
de proveedores externos
pueden presentar
problemas de visualización
de la información, en
especial al ejecutar la
aplicación en un idioma
que no sea el inglés.
3. Planificación para Tivoli
PKI
Un navegador Web
compatible con applets
basados en JDK 1.1, como
los que figuran a
continuación:
¶ Netscape Navigator o
Netscape
Communicator, versión
4.7x sólo para
plataformas Windows
¶ Microsoft Internet
Explorer, versión 5.0 o
posterior
35
Elemento
Descripción
Comentarios
¿Completado?
U
Requisitos de RA ¶
Desktop
Procesador Intel
Pentium con un
mínimo de 64 MB de
RAM
¶ Un monitor con
resolución de
1024x768 o superior
con 65536 colores
Uno de los siguientes
sistemas operativos:
¶ Microsoft Windows 95
¶ Microsoft Windows 98
¶ Microsoft Windows
NT
Uno de los siguientes
navegadores Web:
¶ Netscape Navigator o
Communicator, release
4.7x solamente
¶ Microsoft Internet
Explorer, release 5.0 o
posterior
36
Debe instalar la versión
oficial del producto
distribuida por Netscape o
Microsoft.
Con Internet Explorer,
debe disponer de JVM
(Máquina virtual de Java)
release 5.00, build 3167 o
posterior.
Versión 3
Release 7.1
Elemento
Descripción
Requisitos del
cliente
¶
Comentarios
¿Completado?
U
Procesador Intel
Pentium con un
mínimo de 64 MB de
RAM
Además,
¶
Un monitor con
resolución de
1024x768 o superior
con 65536 colores
Uno de los siguientes
sistemas operativos:
¶ Microsoft Windows 95
¶ Microsoft Windows 98
¶ Microsoft Windows
NT
Debe instalar la versión
oficial del producto
distribuida por Netscape o
Microsoft.
3. Planificación para Tivoli
PKI
Un navegador Web como
los siguientes:
¶ Netscape Navigator o
Netscape
Communicator, versión
4.7 o posterior para
plataformas Windows
¶ Microsoft Internet
Explorer, versión 5.0 o
posterior
Cómo asegurar el sistema
Tivoli PKI utiliza la técnica de cifrado, las firmas y los certificados
digitales para proteger las transacciones y los recursos contra
intrusiones no autorizadas. Sin embargo, la seguridad del servidor de
Tivoli PKI es dependiente de la seguridad del entorno operativo
subyacente.
Tivoli PKI Cómo empezar
37
En esta sección se incluyen recomendaciones para dotar de seguridad
al entorno físico del sistema a fin de minimizar la intrusión de
usuarios no autorizados antes de empezar a instalar el software de
Tivoli PKI.
A continuación se indican algunos de los elementos de seguridad que
debe tener en cuenta:
Área aislada
Configure el servidor en una sala aislada y destinada
exclusivamente a la actividad de Autoridad de certificación
(CA). Si es posible, la sala debería estar dotada de paredes
reforzadas, de una sola puerta de madera maciza o acero y
un techo sólido en el que no haya paneles que puedan
desprenderse. La sala también debería tener un suelo elevado
a fin de evitar descargas en caso de incendio.
Área mantenida
La sala debería proporcionar sistemas de alimentación
ininterrumpible (SAI) para los equipos ligeros, sistemas,
detectores de movimiento y sistemas de calefacción y
refrigeración. Es necesario supervisar los controles de
temperatura para garantizar que haya suficiente aire frío para
disipar el calor que generan los equipos.
Acceso controlado
Puede restringir el acceso al área física de varios modos,
utilizando identificadores o bloqueos de puertas controlados
por teclado, por ejemplo. Para evitar manipulaciones
fraudulentas por parte de cualquier persona, debería instalar
controles que exijan la presentación de las credenciales
necesarias de dos empleados de confianza como mínimo.
También debería supervisar la sala para realizar un
seguimiento de las veces y las personas que tienen acceso a
la sala de seguridad. Para obtener una máxima seguridad,
instale sensores de movimiento tanto en la parte interior
como en la exterior de la puerta.
Comunicación controlada
No debería haber puertos abiertos en el servidor de Tivoli
38
Versión 3
Release 7.1
PKI. Debe configurarse el sistema de modo que escuche
únicamente las solicitudes de los puertos que se asignen de
forma explícita a las aplicaciones activas de Tivoli PKI.
Utilización de la tecnología de cortafuegos
IBM recomienda instalar un cortafuegos, como IBM Firewall, para
proteger el sistema Tivoli PKI de intrusiones procedentes de otras
ubicaciones de la red. Los cortafuegos permiten dotar de seguridad
al sistema de los siguientes modos:
¶
Controlar las aplicaciones que pueden tener acceso a la red
interna desde Internet.
¶
Controlar las direcciones de la red interna a las que puede tener
acceso una aplicación autorizada.
¶
Evitar que las aplicaciones internas tengan acceso a la red
externa (Internet).
¶
Autenticar las fuentes de todas las solicitudes entrantes y
conceder o denegar el acceso según se crea conveniente.
¶
Un direccionador de filtros para bloquear de forma selectiva los
paquetes de datos según las preferencias de su política. Por
ejemplo, el cortafuegos debería permitir establecer controles que
restrinjan las comunicaciones para puertos y direcciones IP
específicos.
¶
Un servidor proxy que actúe como intermediario entre las
solicitudes cliente/servidor. Por ejemplo, el cortafuegos debe
permitir interceptar las solicitudes FTP o HTTP de los usuarios
antes de direccionarlas al proceso de servidor adecuado. De este
modo se evita que el cliente y el servidor se comuniquen entre sí
directamente.
Tivoli PKI Cómo empezar
39
3. Planificación para Tivoli
PKI
Para ejecutar las restricciones de acceso, debería configurar los
servidores de Tivoli PKI ubicados detrás del cortafuegos. El
cortafuegos que instale debe proporcionar la siguiente funcionalidad
como mínimo:
¶
Una red de perímetro que proporcione un almacenamiento
intermedio adicional que pueda aislar y proteger la red interna
en caso de que la seguridad de la red externa presente
problemas.
Tenga en cuenta que puede instalar los programas del servidor de
Tivoli PKI en varios equipos, una solución que presenta numerosos
beneficios. Por ejemplo, puede obtener mejoras de rendimiento
distribuyendo la carga de trabajo entre varios procesadores,
estableciendo copias de seguridad planificadas independientes y
controlando el acceso a los distintos procesos mediante la asignación
de direcciones IP. A fin de garantizar la seguridad de dichos
programas, sin embargo, deberá configurar los servidores detrás del
cortafuegos. Deben tomarse las mismas medidas de precaución para
protegerlos que las adoptadas para el servidor principal.
Trabajo con bases de datos de Tivoli PKI
Tivoli PKI utiliza el software IBM DB2 Universal Database para
administrar los datos. La versión de DB2 que incluyen el paquete de
distribución de Tivoli PKI está concebida exclusivamente para su
uso con aplicaciones de Tivoli PKI. Si desea personalizar el software
de bases de datos o utilizarlo para otros propósitos, distintos de
Tivoli PKI, deberá adquirir una licencia para una versión completa
de IBM DB2 Enterprise Edition.
Para configurar Tivoli PKI en un entorno de varios equipos, debe
instalar el software de bases de datos de Tivoli PKI en cada equipo
en el que desee instalar un componente de servidor de Tivoli PKI.
Como parte de la ejecución del programa de configuración posterior
a la instalación, Tivoli PKI crea la base de datos cfgdb y la llena con
los valores de configuración por omisión:
Durante la configuración, Tivoli PKI crea las siguientes bases de
datos para los datos de CA, datos de registro, datos de auditoría y
datos de recuperación y copia de seguridad. Si instala Tivoli PKI en
un sistema AIX, debe crear particiones de disco para las bases de
datos antes de iniciar el proceso de instalación. Consulte el apartado
40
Versión 3
Release 7.1
“Configuración de grupos de volúmenes y sistemas de archivos de
AIX” en la página 57 para obtener información más detallada.
¶ ibmdb
¶ pkrfdb
¶ adtdb
¶ krbdb
Tivoli PKI también crea la base de datos ldapdb para el Directorio,
salvo que ya exista una:
Si instala todos los componentes de servidor en el mismo equipo, los
programas de configuración crean las bases de datos en segundo
plano. Si instala los componentes de la CA, auditoría o del
Directorio en equipos remotos, deberá seguir los siguientes pasos
durante la configuración para garantizar que las bases de datos se
inicien de forma correcta. En la publicación Tivoli PKI Guía de
configuración se describen los procesos de configuración remota.
3. Planificación para Tivoli
PKI
Si instala Tivoli PKI en sistemas AIX, las bases de datos de
configuración, CA, registro y auditoría se crearán en una instancia
denominada cfguser. Salvo que haya creado una base de datos para
el Directorio anteriormente, también se crea en una instancia cfguser.
Si instala Tivoli PKI en Windows NT, el nombre de la instancia de
las bases de datos de Tivoli PKI coincidirá con el nombre de usuario
en el que instale el producto (el valor que se sugiere es cfguser, pero
puede variar según la instalación). Salvo que haya creado una base
de datos para el Directorio anteriormente, se creará una en una
instancia denominada ldapInst.
A fin dar soporte a las funciones de copia de seguridad y
recuperación, Tivoli PKI habilita el registro cronológico de auditoría
para sucesos de registro y certificación. Consulte la publicación
Tivoli PKI Guía de administración del sistema para conocer las
directrices sobre cómo archivar los registros de auditoría y cómo
realizar copias de seguridad y restaurar el sistema. Si desea obtener
información adicional sobre cómo realizar copias de seguridad de las
bases de datos y cómo restaurarlas, póngase en contacto con el
administrador de bases de datos de DB2.
Tivoli PKI Cómo empezar
41
Configuración de alias IP para el servidor Web
El paquete de distribución de Tivoli Public Key Infrastructure
incluye el software de servidor Web que necesita para Tivoli PKI:
IBM WebSphere Application Server, IBM HTTP Server y el kit de
desarrollo de Sun Java (JDK). Una vez instalado el software, puede
que desee configurar puertos específicos para procesar solicitudes
públicas y de seguridad.
En un sistema Tivoli PKI, el servidor Web debe ser compatible con
los siguientes tipos de solicitudes:
¶
Solicitudes públicas o que no sean SSL (Secure Sockets Layer)
¶
Solicitudes SSL seguras sin autenticación de cliente
¶
Solicitudes SSL seguras con autenticación de cliente
En la configuración por omisión, Tivoli PKI designa puertos en el
servidor Web para administrar cada tipo de solicitud. De este modo
se puede utilizar el sistema tal como viene instalado sin necesidad de
realizar ajustes en la configuración de red.
En la siguiente tabla se resumen esta arquitectura y los valores de
puerto por omisión:
Protocolo
SSL
Autenticación
de servidor
Autenticación Número de
de cliente
puerto
HTTP
No
No
No
80
HTTPS
Sí
Sí
No
443
HTTPS
Sí
Sí
Sí
1443
En muchos sistemas seguros, sólo los puertos 80 y 443 pueden ser
abiertos mediante el cortafuegos y únicamente el puerto 443 puede
utilizarse para conexiones SSL. Si su organización presenta una
situación como ésta, deberá configurar el servidor Web de modo que
un mismo puerto pueda procesar distintos tipos de solicitudes. Por
ejemplo, quizás desee configurar el sistema para que ambos
servidores de seguridad escuchen solicitudes en el puerto 443.
42
Versión 3
Release 7.1
Para proporcionar varios puntos de acceso al mismo equipo a través
del mismo puerto, debe definir los nombres de los sistemas
principales virtuales y asociarlos con las direcciones IP que son alias
de la dirección IP real del equipo. Este concepto, conocido como
alias IP, permite ejecutar varios servidores independientes en un
mismo equipo.
Nota: Si no desea utilizar los valores de configuración por omisión
para los puertos del servidor Web, debe configurar los alias IP
antes de ejecutar el applet de configuración de Tivoli PKI.
Los programas de configuración se basan en estos valores
para crear el certificado de CA del sistema.
Los alias IP se definen en su DNS (Servicio de nombres de dominio)
TCP/IP. Para Tivoli PKI, haga lo siguiente para configurar dos alias:
Configure el DNS y especifique el nombre de sistema principal
y la dirección IP del equipo. Utilice esta entrada para el servidor
público que escucha solicitudes no SSL en un puerto 80.
¶
Agregue un alias de nombre de sistema principal (virtual) y un
alias de dirección IP. Utilice esta entrada para el servidor Web
seguro que escucha solicitudes SSL sin autenticación de cliente
en el puerto 443.
¶
Agregue un segundo alias de nombre de sistema principal y un
segundo alias de dirección IP. Utilice esta entrada para el
servidor Web seguro que escucha solicitudes SSL con
autenticación de cliente en el puerto 443.
3. Planificación para Tivoli
PKI
¶
Observe que estos alias de nombres de sistema principal y
direcciones IP deben ser exclusivos y deben asignarse al mismo
equipo físico.
Para obtener información sobre cómo configurar nombres de
sistemas principales virtuales y alias IP, consulte la documentación
que se proporciona con el producto de DNS. También puede
consultar la documentación disponible acerca del servidor IBM
HTTP Server. Consulte, por ejemplo, la información de soporte al
usuario que encontrará en el siguiente sitio Web de IBM HTTP
Server:
Tivoli PKI Cómo empezar
43
http://www.ibm.com/software/webservers/httpservers/library.html
Trabajo con el Directorio
El paquete de distribución de Tivoli Public Key Infrastructure
incluye el software necesario para instalar IBM Directory. Puede
instalar el software proporcionado con Tivoli PKI y configurarlo de
forma específica para su uso con Tivoli PKI, o utilizar Tivoli PKI
con un IBM Directory existente. Cuando instala el software de
servidor de Tivoli PKI, los programas de instalación actualizan el
Directorio con la información necesaria para los componentes de
Tivoli PKI.
Durante la configuración, Tivoli PKI crea las entradas necesarias
para crear un vínculo con el Directorio y la información de
publicación. Por ejemplo, el programa de configuración crea una
entrada para la CA de Tivoli PKI y asigna los permisos de acceso
necesarios para el Directorio.
Si instala todos los componentes de servidor en el mismo equipo, los
programas de configuración actualizan el Directorio en segundo
plano. Si instala el Directorio en un equipo remoto, deberá realizar
estos pasos durante la configuración a fin de garantizar que dicho
proceso sea correcto. Encontrará más información en la publicación
Tivoli PKI Guía de configuración.
Esquema del Directorio
Cada entrada del Directorio representa un único objeto, como una
persona, una organización o un dispositivo, que se identifica
mediante un nombre distintivo (DN) único y que no sea ambiguo. El
esquema del Directorio define las reglas de los nombres distintivos
como, por ejemplo, cómo declararlos y el tipo de información que
puede o debe incluirse en un DN.
El DN contiene un conjunto de atributos que ayuda a identificar de
manera exclusiva el objeto y diseñar los privilegios de los objetos.
Por ejemplo, pueden identificar la ubicación del objeto, la
organización a la que está asociado y el nombre por el que se
conoce el objeto.
44
Versión 3
Release 7.1
Para ayudarle a definir las entradas del Directorio necesarias para
Tivoli PKI, la aplicación de configuración proporciona una interfaz
gráfica de usuario (GUI). El Editor de nombres distintivos permite
especificar los atributos de los DN sin necesidad de conocer los
requisitos de esquema del Directorio.
Controles de acceso del Directorio
Todas las entradas del Directorio se organizan de forma lógica en
una estructura jerárquica denominada Árbol de información del
Directorio (DIT). Este árbol tiene una sola raíz y un número
ilimitado de nodos en cascada. Cada nodo corresponde a una entrada
del Directorio que se identifica mediante un atributo distinguido.
El Directorio permite definir privilegios de control de acceso para
cada una de las entradas o para una entrada y todo el subárbol que
engloba. Al configurar Tivoli PKI, se aplican de modo automático
los privilegios apropiados para cada entrada DN de Tivoli PKI. En
resumen:
La CA debe poder tener acceso a todas las entradas que se
encuentren en el nivel de su DN, o en un nivel inferior, de la
jerarquía del Directorio. Los objetos que se hallan en el nivel
base de la CA o en niveles inferiores son miembros del dominio
administrativo de la CA. Representan las entidades que tienen
autorización para recibir una clave pública y un certificado por
la CA.
¶
Dado que la CA de Tivoli PKI no se enlaza directamente con el
Directorio, utiliza un agente denominado administrador del
Directorio. El administrador del Directorio se encarga de las
solicitudes existentes entre la CA, la RA y el Directorio. Está
autorizado para actualizar todas las entradas en el subárbol de la
CA del Directorio. Esto incluye la posibilidad de agregar,
eliminar, cambiar, leer, buscar y comparar entradas del
Directorio.
¶
Cada sistema Tivoli PKI define un DN raíz del Directorio. El
DN raíz es una entidad configurada que no existe realmente en
el árbol del Directorio. Como administrador root, tiene autoridad
para actualizar todos los nodos del Directorio, no sólo los de un
subárbol específico de la CA.
Tivoli PKI Cómo empezar
3. Planificación para Tivoli
PKI
¶
45
Los atributos del DN raíz describen los protocolos y los
controles compatibles con el Directorio. Con ello es posible que
clientes como Tivoli PKI determinen la información básica
acerca del servidor y el árbol del Directorio. Además, permite
que Tivoli PKI se enlace directamente con el Directorio para
realizar cambios en éste.
Trabajo con el coprocesador 4758
A pesar de que este producto es opcional, se recomienda utilizar
IBM 4758 PCI Cryptographic Coprocessor para maximizar la
seguridad de las claves de firma de la CA y la RA. De este modo es
posible reducir al mínimo la exposición del sistema a posibles daños
causados por los administradores del sistema o por infiltrados del
sistema.
Nota: La compatibilidad con el procesador 4758 sólo está disponible
en la versión AIX de Tivoli PKI.
El coprocesador 4758 utiliza la API de la arquitectura criptográfica
común de IBM para proporcionar sólidos servicios criptográficos.
Todo el proceso criptográfico se lleva a cabo en los límites seguros
de la tarjeta criptográfica física.
Durante la instalación, el programa de configuración del 4758 genera
una clave maestra y la almacena en el hardware. En un sistema
Tivoli PKI, el coprocesador utiliza dicha clave maestra y un
algoritmo RSA para cifrar por partida triple la clave de firma de la
CA o RA. Este paso proporciona una capa adicional de seguridad
contra intentos para comprometer o descifrar de algún modo la firma
de la CA o RA.
Además de la inteligencia criptográfica, el coprocesador 4758 puede
detectar intentos de manipulación del hardware o la clave maestra,
irregularidades en el voltaje y la temperatura o excesos de radiación.
Al detectarlos, las claves necesarias para tener acceso a los datos
seguros del módulo se destruyen.
46
Versión 3
Release 7.1
Nota: Para obtener más información acerca de cómo instalar,
configurar y clonar el coprocesador 4758, consulte la
documentación del producto IBM 4758.
Almacenamiento de las claves de la CA y la RA en el
hardware
Si decide utilizar el coprocesador 4758, deberá instalarlo en el
equipo en el que instale el servidor CA de Tivoli PKI o el servidor
RA de Tivoli PKI antes de configurar el sistema Tivoli PKI. Al
configurar la CA o RA, debe especificar si debe utilizarse o no el
coprocesador para almacenar la clave de firma.
En la mayoría de los sistemas Tivoli PKI, la clave de CA o RA no
se almacena físicamente con la clave maestra. Sin embargo, existe
una opción de configuración que permite anular este valor por
omisión, una acción que IBM no recomienda. Si el hardware del
coprocesador 4758 genera errores, debe estar preparado para tomar
medidas correctivas de inmediato.
¶
Al realizar una copia de seguridad del coprocesador 4758, sólo
se efectúa copia de seguridad de la clave maestra, pero no del
resto de las claves almacenadas en la tarjeta de hardware. Por lo
tanto, si la tarjeta está dañada o se produce algún otro tipo de
error de hardware, perderá la clave de firma de la CA o RA.
¶
Si pierde la clave de CA o RA, o su integridad se ve en peligro,
deberá desactivar la CA o RA y volverla a activar con una nueva
clave. Mientras la CA o RA no están disponibles, los usuarios
cuyos certificados hayan firmado no podrán utilizarlos puesto
que no existe otro medio para validarlos.
¶
Puesto que los certificados firmados con la clave original de CA
o RA dejan de ser válidos, deben emitirse nuevos certificados
firmados con la nueva clave de CA o RA tras restablecer la CA
o RA.
Tivoli PKI Cómo empezar
47
3. Planificación para Tivoli
PKI
Si decide almacenar las claves de CA o RA en el hardware, debería
preparar un plan de recuperación en caso de desastre. Debe ser
consciente de los riesgos y las acciones correctivas asociadas a esta
decisión:
Consulte la publicación Tivoli PKI Guía de administración del
sistema para obtener información adicional sobre el coprocesador
4758.
Integración con Policy Director
Tivoli Policy Director proporciona seguridad de extremo a extremo
para los recursos que se hallan dispersos geográficamente por
intranets y extranets. Ello incluye soporte amplio para autenticación,
autorización, seguridad de datos y administración de recursos. Al
integrar Policy Director con Tivoli PKI, puede crear un entorno
seguro y protegido mediante certificados para las actividades de
e-business.
Policy Director proporciona un único punto de control para entornos
Web. Cuando un usuario intenta tener acceso a un sitio seguro,
Policy Director puede exigir un único inicio de sesión para cada
usuario Web, autenticar su identidad y verificar su autoridad para
tener acceso a un área protegida. Como parte del proceso de
validación, Policy Director puede configurarse para evaluar
certificados de Tivoli PKI.
Por ejemplo, puede configurar Policy Director para que acepte sólo
aquellos certificados que haya firmado una CA autenticada, una
conocida por Policy Director. Si se proporciona a Policy Director un
certificado de CA de Tivoli PKI, podrá establecer con facilidad una
barrera entre los usuarios no autorizados y los recursos que desee
proteger.
Para obtener información acerca de cómo utilizar certificados de
Tivoli PKI en un entorno de Policy Director, consulte el libro rojo
de IBM, Tivoli SecureWay Policy Director Centrally Managing
e-business Security, SG24-6008–00.
Tivoli PKI puede personalizarse para integrarse aún más con Policy
Director, utilizando los Objetos de proceso de negocio (BPO). Por
ejemplo, puede escribir que un BPO puede crear un ID de usuario de
Policy Director tras aprobarse una solicitud de certificado. De esta
forma, el certificado están enlazado con el objeto ePerson de Policy
48
Versión 3
Release 7.1
Director creado en LDAP. Proporcionar un BPO que realice esta
función tiene la ventaja añadida de ofrecer también un mecanismo de
inscripción basado en Web para Policy Director.
Consulte el libro rojo de IBM Working with Business Process
Objects for Tivoli SecureWay PKI, SG24-6043-00 para obtener
instrucciones sobre el desarrollo y la personalización de los BPO
para que se ajusten a sus requisitos específicos de negocio.
Configuraciones de servidor soportadas
Puede instalar todos los componentes de servidor de Tivoli PKI en
un solo equipo o distribuir el proceso entre varios equipos. No
obstante, deben cumplirse las restricciones siguientes:
El servidor Web, WebSphere, y el servidor principal de Tivoli
PKI, que incluye el servidor RA y las bases de datos donde se
hallan los datos de configuración y registro deben coexistir en la
misma máquina.
¶
El servidor CA y el servidor de auditoría, y sus bases de datos
deben coexistir en la misma máquina.
¶
El servidor del Directorio y su base de datos deben coexistir en
la misma máquina.
3. Planificación para Tivoli
PKI
¶
La configuración de la red del servidor depende de la carga de
trabajo prevista de la organización y de si se utiliza algún tipo de
equipo determinado para propósitos múltiples. Por ejemplo, si instaló
previamente el Directorio y lo utilizó con otras aplicaciones, quizás
desee mantener dicho servidor aislado de los otros componentes de
Tivoli PKI.
Las siguientes configuraciones resumen los posibles modos de
distribución de los componentes de servidor:
¶
El servidor de Tivoli PKI principal, los servidores CA y de
auditoría y el servidor del Directorio en un único equipo.
¶
El servidor de Tivoli PKI principal, los servidores CA y de
auditoría y el servidor del Directorio en distintos equipos.
Tivoli PKI Cómo empezar
49
¶
El servidor de Tivoli PKI principal en un equipo y los servidores
CA y de auditoría y el servidor del Directorio en un segundo
equipo.
¶
El servidor de Tivoli PKI principal y los servidores CA y de
auditoría en un equipo y el servidor del Directorio en un
segundo equipo.
¶
El servidor de Tivoli PKI principal y el servidor del Directorio
en un equipo y los servidores CA y de auditoría en un segundo
equipo.
Consideraciones sobre el entorno internacional
Los componentes de Tivoli PKI están habilitados para ser
distribuidos en un entorno internacional:
¶
Los archivos de mensaje y las interfaces gráficas de usuario
(GUI) están traducidas y proporcionan soporte de idioma
nacional en los siguientes los idiomas siguientes: inglés, francés,
alemán, italiano, español, portugués de Brasil, japonés, coreano,
chino simplificado y chino tradicional.
¶
Todos los campos de entrada de texto son compatibles con la
codificación de Unicode y UTF-8.
¶
Todos los nombres distintivos son compatibles con la
codificación de Unicode y UTF-8.
En Tivoli PKI, todas las vías de acceso de los archivos de
configuración están disponibles sólo en inglés y deben especificarse
en formato ASCII.
Debido a las regulaciones de exportación de los gobiernos, Tivoli
PKI se distribuye en ediciones de cifrado diferentes. La edición
disponible para los clientes nacionales (EE.UU., subsidiarios de
EE.UU. y Canadá) incluye un algoritmo de cifrado más potente que
el de la edición distribuida para los clientes internacionales. Los
algoritmos criptográficos vienen por omisión en el código de
producto y no pueden modificarse al instalar, configurar o utilizar el
producto.
50
Versión 3
Release 7.1
Paquete de distribución de Tivoli PKI
El software de Tivoli PKI se distribuye en un paquete que contiene
varios CD:
¶
CD de IBM WebSphere Application Server para AIX Standard
Edition V3.5 Application Server e IBM HTTP Server
Este CD contiene el software de servidor Web necesario para
Tivoli PKI. Incluye WebSphere Application Server e IBM HTTP
Server.
¶
IBM WebSphere Application Server for AIX Standard Edition
V3.5 IBM Directory
Este CD contiene el software de la base de datos y del
Directorio necesario para Tivoli PKI.
¶
Tivoli Public Key Infrastructure for AIX V 3.7.1, CD 1
Este CD contiene el software de bases de datos necesario para
Tivoli PKI e incluye lo siguiente:
3. Planificación para Tivoli
PKI
v La Autoridad de registro, la Autoridad de certificación y los
programas del servidor de auditoría de Tivoli PKI; el
software del Directorio y los programas para instalar,
configurar y administrar el producto.
v Una imagen de instalación para el applet Registration
Authority Desktop de Tivoli PKI.
Los CD específicos para la plataforma se proporcionan para
AIX.
¶
Tivoli Public Key Infrastructure for AIX V 3.7.1, CD 2
Este CD contiene el software necesario para Tivoli PKI y los
arreglos de programa.
¶
Tivoli Public Key Infrastructure Cómo empezar
¶
Tivoli Public Key Infrastructure Notas del release
Tivoli PKI Cómo empezar
51
52
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
4
Instalación de Tivoli PKI en AIX
En este capítulo se describen los procedimientos de instalación de
Tivoli Public Key Infrastructure (PKI) y los productos que es preciso
instalar con anterioridad en una plataforma AIX.
Antes de instalar el software de Tivoli PKI, lea la última versión del
archivo Notas del release del producto. Puede descargar la versión
más actual del archivo Notas del release del sitio Web de Tivoli
Public Key Infrastructure:
http://www.tivoli.com/support
Instale el software de Tivoli PKI en el orden siguiente:
1. Sistema operativo AIX versión 4.3.3.
2. Sistema operativo AIX Nivel de mantenimiento 6 (debe
reiniciarse la máquina tras su instalación).
3. IBM DB2 Universal Database versión 6.1. FixPack 4
4. IBM Directory Server versión 3.1.1.5.
5.
IBM Developer Kit for AIX, Java Technology Edition, versión
1.2.2 Arreglo temporal del programa 8
6. IBM WebSphere Application Server Standard Edition versión
3.5.
7. Actualice a IBM WebSphere Application Server Standard
Edition versión 3.5 Arreglo temporal del programa 4.
8. Inhabilite el inicio automático de IBM HTTP Server.
Tivoli PKI Cómo empezar
53
9. Inicie WebSphere Application Server.
10. IBM KeyWorks versión 1.1.3.1.
11. Software de servidor de Tivoli PKI
Configuración de AIX
Siga las directrices que se detallan a continuación para instalar el
software de AIX en el equipo o los equipos donde desee instalar el
software de Tivoli PKI. En caso de que haya instalado AIX con
anterioridad, las instrucciones le servirán como guía de verificación
para comprobar que ha instalado todos los archivos necesarios para
los componentes de Tivoli PKI.
Si configura Tivoli PKI en un entorno de varios equipos, deberá
instalar AIX en cada uno de los equipos en los que desee instalar un
componente de servidor de Tivoli PKI.
Para comenzar el proceso de instalación, efectúe los pasos
siguientes:
1. Lleve a cabo una instalación Nueva y completa en vez de una
instalación Conservación.
Nota: No instale ningún nivel de arreglo ahora. Lo hará más
tarde durante el proceso de instalación.
2. Compruebe que el idioma local del equipo se establece en el
idioma en el que desea ejecutar el resto de las aplicaciones de
Tivoli PKI.
3. Tivoli PKI es compatible con AIX Trusted Computing Base
(TCB). Si desea utilizar esta característica, que amplía todavía
más la seguridad del sistema operativo, seleccione esta opción
para habilitarla al instalar AIX.
4. Al configurar TCP/IP, escriba el nombre breve del sistema como
HOSTNAME. Por ejemplo, escriba nombre_sis_pral en lugar de
“nombre_sis_pral.mi_empresa.com”. Efectúe los pasos siguientes
después de instalar AIX para verificar que haya especificado el
nombre correctamente:
54
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
a. Escriba smitty.
b. Seleccione Communications Applications and Services
(Servicios y aplicaciones de comunicaciones).
c. Seleccione TCP/IP.
d. Seleccione Minimum Configuration and Startup
(Configuración mínima e inicio).
e. Seleccione la interfaz de red adecuada de la lista Available
Network Interfaces (Interfaces de red disponibles). Por
ejemplo, seleccione en0 Standard Ethernet Network
Interface (Interfaz de red Ethernet estándar en0).
f. Verifique que el valor HOSTNAME tenga el formato
correcto.
Verificación de conjuntos de archivos
Después de instalar AIX y reiniciar el sistema, compruebe que estén
instalados los siguientes conjuntos de archivos:
bos.adt.base
bos.adt.debug
bos.adt.graphics
bos.adt.include
bos.adt.lib
bos.adt.libm
bos.adt.prof
bos.adt.prt_tools
bos.adt.samples
bos.adt.sccs
bos.adt.syscalls
bos.adt.utils
bos.adt.data
X11.adt.bitmaps
X11.adt.ext
X11.adt.imake
X11.adt.include
X11.adt.lib
X11.adt.motif
X11.apps.aixterm
X11.apps.clients
X11.apps.config
X11.apps.custom
X11.apps.msmit
X11.apps.rte
X11.apps.util
X11.apps.xterm
X11.base.common
X11.base.lib
X11.base.rte
X11.base.smt
X11.compat.lib.X11R5
X11.fnt.coreX
X11.fnt.defaultFonts
X11.fnt.iso1
X11.motif.lib
X11.motif.mwm
ifor_ls.base.cli
Tivoli PKI Cómo empezar
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.0.0
4.3.0.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.0.0
4.3.2.0
4.3.3.0
4.3.3.0
4.3.3.0
4.3.3.0
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
Base Application Development
Base Application Development
Base Application Development
Base Application Development
Base Application Development
Base Application Development
Base Profiling Support
Printer Support Development
Base Operating System Samples
SCCS Application Development
System Calls Application
Base Application Development
Base Application Development
AIXwindows Application
AIXwindows Application
AIXwindows Application
AIXwindows Application
AIXwindows Application
AIXwindows Application
AIXwindows aixterm Application
AIXwindows Client Applications
AIXwindows Configuration
AIXwindows Customizing Tool
AIXwindows msmit Application
AIXwindows Runtime
AIXwindows Utility
AIXwindows xterm Application
AIXwindows Runtime Common
AIXwindows Runtime Libraries
AIXwindows Runtime Environment
AIXwindows Runtime Shared
AIXwindows X11R5 Compatibility
AIXwindows X Consortium Fonts
AIXwindows Default Fonts
AIXwindows Latin 1 Fonts
AIXwindows Motif Libraries
AIXwindows Motif Window
License Use Management Runtime
55
ifor_ls.client.base
ifor_ls.client.gui
ifor_ls.msg.en_US.base.cli
ifor_ls.base.cli
ifor_ls.client.base
xlC.cpp
Java.rte.bin
Java.rte.classes
Java.rte.lib
4.3.3.0
4.3.3.0
COMMITTED
COMMITTED
License Use Management Client
License Use Management Client
4.3.3.0
4.3.3.0
4.3.0.1
1.1.8.0
1.1.8.0
1.1.8.0
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
License Use Management Runtime
License Use Management Client
C for AIX Preprocessor
Java Runtime Environment
Java Runtime Environment
Java Runtime Environment
Si no están instalados todos estos conjuntos de archivos, instálelos
antes de proseguir con la instalación.
Verificación de los espacios de paginación adecuados
Debe haber al menos 768 MB de espacio de paginación. Efectúe los
pasos siguientes para verificar que exista el espacio de paginación
adecuado:
1. Escriba smitty.
2. Seleccione System Storage Management (Physical & Logical
Storage) (Gestión del almacenamiento del sistema
(Almacenamiento físico y lógico)).
3. Seleccione Logical Volume Manager (Gestor de volúmenes
lógicos).
4. Seleccione Paging Space (Espacio de paginación).
5. Seleccione List All Paging Spaces (Listar todos los espacios de
paginación).
6. Si el tamaño total es inferior a 768 MB, efectúe lo siguiente:
a. Pulse F3 o Cancelar.
b. Seleccione Change/Show Characteristics of a Paging Space
(Cambiar/mostrar características de un espacio de
paginación).
c. Seleccione el nombre del espacio de paginación que desee
aumentar.
d. Agregue el número de particiones lógicas adicionales
necesarias para aumentar el espacio de paginación hasta
alcanzar los 768 MB.
56
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
Aplicación del nivel de arreglo a AIX
Después de verificar los conjuntos de archivos para AIX, instale el
nivel de arreglo ML 4330–06. Consiga el parche ML 4330–06 de
nivel de arreglo de AIX e instálelo tal como se indique en la
documentación adjunta. Debe reiniciar la máquina después de aplicar
ML 4330-06.
Configuración de grupos de volúmenes y sistemas de
archivos de AIX
Configure los siguientes sistemas de archivos con ayuda de la
herramienta de interfaz de administración del sistema (SMIT) de
AIX. Esta configuración recomendad se basa en el uso de dos
unidades de disco con 4,5 GB de espacio disponible para los grupos
de volúmenes rootvg y datavg.
Nota: En la siguiente información se asume que se instalan todos
los componentes de servidor en el mismo equipo. Si instala la
Autoridad de certificación y el subsistema de auditoría en un
equipo independiente del servidor de Autoridad de registro,
deberá ajustar el proceso.
¶
¶
Para la partición rootvg:
v
Establezca la partición raíz (/) en 64 MB (128.000 bloques de
512 bytes).
v
Establezca la partición /en 3 GB (6.000.000 de bloques de
512 bytes).
v
Establezca la partición /tmp en 200 MB (400.000 bloques de
512 bytes).
v
Establezca la partición /var en 500 MB (1.000.000 de bloques
de 512 bytes).
v
Establezca la partición /home en 200 MB (400.000 bloques
de 512 bytes).
Para la partición datavg:
v
Establezca la partición /local en 2 GB (4.000.000 de bloques
de 512 bytes).
Tivoli PKI Cómo empezar
57
v
Cree una partición /dbfsibm y establézcala en 500 MB
(1.000.000 de bloques de 512 bytes).
Éste es el sistema de archivos por omisión de la CA de Tivoli
PKI. Debe tener presente que puede ser necesario ajustar el
tamaño en función del número de certificados que se emitan.
v
Cree una partición /dbfspkrf y establézcala en 300 MB
(600.000 bloques de 512 bytes).
Sistema de archivos por omisión del recurso de registro.
Debe tener presente que puede ser necesario ajustar el tamaño
en función del número de usuarios que se registren para
solicitar certificados.
v
Cree una partición /dbfsadt y establézcala en 300 MB
(600.000 bloques de 512 bytes).
Éste es el sistema de archivos por omisión para el subsistema
de auditoría. Debe tener presente que puede ser necesario
ajustar el tamaño en función del número de sucesos de
auditoría que se registren.
v
Cree una partición /dbfskrb y establézcala en 300 MB
(600.000 bloques de 512 bytes).
Éste es el sistema de archivos por omisión para el recurso de
recuperación y copia de seguridad de clave. Debe tener
presente que puede ser necesario ajustar el tamaño en función
del número de solicitudes de copia de seguridad de clave que
se emitan.
Creación de un sistema de archivos en CD-ROM
Para instalar Tivoli PKI y los productos necesarios para ejecutarlo es
preciso montar el sistema de archivos en CD-ROM como /cdrom. Si
es necesario, utilice el siguiente mandato para crear una definición
para el sistema de archivos:
crfs -v cdrfs -d /dev/cd0 -m /cdrom -p ro -A no
También puede utilizar la herramienta SMIT para crear el sistema de
archivos:
smitty crcdrfs
58
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
Cambio del número de usuarios del sistema AIX
Escriba el siguiente mandato para cambiar el número de usuarios del
sistema AIX. Debe reiniciar el sistema para que el mandato surta
efecto.
chlicense -u 100
Cómo asegurar la resolución de nombres de sistema
principal
Efectúe los pasos siguientes para configurar AIX de modo que
servidor local pueda resolver nombres de sistema principal
correctamente:
1. Cree un archivo en el directorio /etc con el nombre netsvc.conf
que contenga sólo la siguiente línea (no debe haber espacios en
la sentencia):
hosts=local,bind4
Puede crear este archivo mediante un editor de texto como vi o
escribiendo el siguiente mandato:
echo hosts=local,bind4 > netsvc.conf
2. Edite el archivo /etc/hosts y compruebe que el archivo hace
referencia al servidor que esté configurando. Por ejemplo:
127.0.0.1
192.40.168.20
loopback
taserver.company.com
localhost
taserver
La segunda línea del ejemplo anterior identifica la dirección IP,
el nombre de sistema principal totalmente cualificado y el
nombre de sistema principal abreviado del servidor AIX que está
configurando.
3. Cree o modifique el archivo /etc/resolv.conf para que sólo
contenga las siguientes líneas:
domain
nameserver
empresa.com
10.10.10.90
La primera línea del ejemplo anterior identifica el nombre de
dominio del servidor que se configura. La segunda línea
identifica la dirección IP del servidor de nombres DNS.
Tivoli PKI Cómo empezar
59
Creación de una imagen del sistema
Aunque no es necesario, antes de continuar con la instalación de
Tivoli PKI se recomienda realizar una copia de seguridad de la
configuración del sistema AIX. El hecho de disponer de una imagen
de copia de seguridad permite restaurar el sistema en caso de que
surja algún problema.
Para crear una imagen del sistema, escriba los siguientes mandatos
como root y seleccione las opciones preferidas:
smitty mksysb
smitty savevg
Instalación del software de bases de datos
Tivoli PKI utiliza el software IBM DB2 Universal Database para
administrar los datos. El software IBM DB2 Universal Database se
proporciona con IBM WebSphere Application Server Standard
Edition versión 3.5.0. El software IBM DB2 Universal Database
proporcionado con IBM WebSphere Application Server está
concebido sólo para su uso con aplicaciones de Tivoli PKI. Si desea
personalizar el software de bases de datos o utilizarlo para otros
propósitos, distintos de Tivoli PKI, deberá adquirir una licencia para
una versión completa de IBM DB2 Enterprise Edition, versión 6.1.
En las secciones que figuran a continuación se describen los
procedimientos para instalar el software de bases de datos. Si desea
instalar Tivoli PKI en una configuración de varios equipos, debe
instalar el software de bases de datos en todos los equipos en los que
desee instalar un componente de servidor de Tivoli PKI. Tenga en
cuenta las siguientes instrucciones:
60
¶
Durante la configuración, Tivoli PKI crea de forma automática
las bases de datos necesarias para los programas del servidor.
Salvo que ya exista una base de datos del Directorio, Tivoli PKI
también crea una base de datos para el Directorio.
¶
Antes de instalar Tivoli PKI debe comprobar que esté instalada
la versión necesaria del software de bases de datos en todos los
equipos en los que desee instalar un componente de servidor de
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
Tivoli PKI. Es preciso comprobar que el sistema de la base de
datos funcione correctamente por sí mismo antes de instalar
Tivoli PKI.
Instalación de DB2
Siga este procedimiento para instalar el software de bases de datos.
1. Inicie la sesión como root.
2. Coloque el CD de IBM WebSphere Application Server para AIX
en la unidad de CD-ROM. Escriba el siguiente mandato para
montar el CD:
mount /cdrom
3. Escriba el siguiente mandato para cambiar al directorio /Db2 del
CD:
cd /cdrom/Db2
4. Escriba el siguiente mandato para ejecutar el script de la
instalación de la base de datos:
./db2setup
Durante la instalación, el script de instalación de la base de
datos comprobará si ya está instalada una versión anterior de
DB2 en el sistema y si el equipo tiene espacio de disco
suficiente. Si no hay espacio suficiente, el sistema de archivos
/usr se amplía hasta tener 400 MB de espacio libre.
5. Seleccione DB2 UDB Enterprise Edition.
6. Seleccione DB2 Product Messages (Mensajes del producto
DB2).
7. Seleccione el idioma adecuado para su región y, a continuación,
seleccione Bien.
8. Seleccione DB2 Product Library (Biblioteca de productos
DB2).
9. Seleccione el idioma adecuado para su región y, a continuación,
seleccione Bien.
10. Seleccione Bien.
Tivoli PKI Cómo empezar
61
11. En Create DB2 Services (Crear servicios DB2), seleccione
Create a DB2 Instance (Crear una instancia de DB2).
12. Pulse Intro.
13. Establezca User Name (Nombre de usuario) en db2inst1 y
Home Directory (Directorio inicial) en /home/db2inst1. Deje
los demás valores establecidos en su valor por omisión.
14. Especifique valores para Password (Contraseña) y Verify
Password (Verificar contraseña).
15. Seleccione Properties (Propiedades).
16. Pulse Intro.
17. Para Authentication Type (Tipo de autenticación), seleccione
Client (Cliente).
18. Seleccione Bien.
19. Seleccione Bien.
20. Para Authentication (Autenticación), especifique los valores
Password (Contraseña) y Verify Password (Verificar
contraseña) para el nombre de usuario db2fenc1.
21. Seleccione Bien.
22. Seleccione Bien.
23. Seleccione Bien.
Nota: no tenga en cuenta el mensaje de advertencia.
24. Seleccione Continue (Continuar).
25. Seleccione Bien.
En este punto comienza la instalación de DB2.
26. Seleccione Bien.
27. Seleccione Bien para salir o ver el registro.
28. Seleccione Close (Cerrar).
29. Seleccione Bien.
30. Seleccione Bien.
62
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
En este punto finaliza esta parte de la instalación.
31. Escriba el siguiente mandato para desmontar el soporte de
Tivoli PKI:
umount /cdrom
32. Escriba el siguiente mandato para cambiar de directorio:
cd /usr/lpp/db2_06_01/cfg
33. Escriba el siguiente mandato para establecer las variables de
entorno:
./db2ln
34. Para proseguir con la instalación, consulte el apartado
“Instalación de IBM Directory” en la página 63.
Instalación de IBM Directory
Tivoli PKI utiliza IBM Directory para almacenar y mantener
información acerca de los certificados emitidos a través del recurso
de registro. Utilice los procedimientos que se describen en las
siguientes secciones para instalar y configurar el software del
Directorio. Puede instalar el software en un equipo remoto o en el
mismo equipo donde desee instalar un componente de servidor de
Tivoli PKI.
Instalación del software del Directorio
Como root, efectúe los pasos siguientes:
1. Coloque el CD del servidor del Directorio versión 3.1.1.5 en la
unidad de CD-ROM del sistema. Escriba el siguiente mandato
para montar el CD:
mount /cdrom
2. Escriba el siguiente mandato para cambiar de directorio:
cd /cdrom/usr/sys/inst.images
3. Escriba el siguiente mandato:
smitty install
4. Seleccione Install and Update Software (Instalar y actualizar
el software).
Tivoli PKI Cómo empezar
63
5. Seleccoine Install and Update from LATEST Available
Software (Instalar y actualizar desde el último software
disponible).
6. Seleccione . (punto) para la opción INPUT device / directory
for software (dispositivo de entrada / directorio de software).
7. En Install and Update from LATEST Available Software
(Instalar y actualizar desde el último software disponible), pulse
F4 para ver una lista de los conjuntos de archivos disponibles
para su instalación.
8. Utilice F7 para seleccionar el conjunto de archivos ldap.client
para su instalación.
9. Una vez instalado el conjunto de archivos, en Install and
Update from LATEST Available Software (Instalar y
actualizar desde el último software disponible), pulse F4 para
ver una lista de los conjuntos de archivos disponibles para su
instalación.
10. Utilice F7 para seleccionar los conjuntos de archivos siguientes
para su instalación:
¶ ldap.server
¶ ldap.html.es_ES
Nota: Debe seleccionar los conjuntos de archivos de idioma
adecuados para la instalación que lleva a cabo.
11. Escriba los siguientes mandatos para desmontar el soporte del
Directorio. No puede haber ningún proceso que acceda al
directorio /cdrom cuando ejecute estos mandatos.
umount /cdrom
Nota: En una configuración de varios equipos, cada servidor de
Tivoli PKI debe tener instalado el software cliente del
Directorio antes de ejecutar la aplicación de configuración de
Tivoli PKI. Para instalar el software, seleccione la opción
ldap.client del CD del servidor del Directorio en cada uno de
los equipos, salvo en el que instale únicamente el software de
servidor del Directorio. Existe un archivo que es
imprescindible instalar: libldap.a.
64
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
Al finalizar, se habrán instalado los archivos siguientes:
ldap.client.adt
ldap.client.rte
ldap.html.en_US.config
ldap.html.en_US.man
ldap.msg.en_US
ldap.server.admin
ldap.server.com
ldap.server.rte
ldap.client.rte
ldap.server.admin
ldap.server.com
3.1.1.5
3.1.1.5
3.1.1.0
3.1.1.0
3.1.1.0
3.1.1.5
3.1.1.5
3.1.1.5
3.1.1.5
3.1.1.5
3.1.1.5
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
SecureWay
SecureWay
SecureWay
SecureWay
SecureWay
SecureWay
SecureWay
SecureWay
SecureWay
SecureWay
SecureWay
Directory
Directory
Directory
Directory
Directory
Directory
Directory
Directory
Directory
Directory
Directory
Client SDK
Client
Man Pages
Messages Server
Server
Server
Client
Server
Server
Instalación de Java
Para instalar Java, efectúe los pasos siguientes:
1. Coloque el CD de Tivoli PKI para AIX en la unidad de
CD-ROM del sistema. Escriba el siguiente mandato para montar
el CD:
mount /cdrom
2. Escriba el siguiente mandato para cambiar de directorio:
cd /cdrom/aix/Java_1.2.2.ptf8
3. Escriba el siguiente mandato:
smitty install
4. Seleccione Install and Update Software (Instalar y actualizar
el software).
5. Seleccione Install and Update from LATEST Available
Software (Instalar y actualizar desde el último software
disponible).
6. Seleccione . (punto) para la opción INPUT device / directory
for software (dispositivo de entrada / directorio de software).
7. Pulse Intro.
8. Pulse Intro.
9. Pulse F10.
10. Escriba los siguientes mandatos para desmontar el soporte de
Tivoli PKI. No puede haber ningún proceso que acceda al
directorio /cdrom cuando ejecute este mandato.
umount /cdrom
Tivoli PKI Cómo empezar
65
Al finalizar, se habrán instalado los archivos siguientes:
Java_dev2.adt.debug
Java_dev2.adt.includes
Java_dev2.adt.src
Java_dev2.rte.bin
Java_dev2.rte.lib
1.2.2.9 COMMITTED Java Application Development
1.2.2.0 COMMITTED Java Application Development
1.2.2.9 COMMITTED Java Classes Source Code
1.2.2.9 COMMITTED Java Runtime Environment
1.2.2.9 COMMITTED Java Runtime Environment
Creación de la base de datos de WebSphere
Application Server
Antes de instalar WebSphere Application Server, debe crear una base
de datos de DB2 para el mismo. Para crear una base de datos,
efectúe los pasos siguientes:
1. Inicie la sesión como root.
2. Escriba el siguiente mandato:
su - db2inst1
3. Inicie la consola de DB2 mediante el mandato siguiente:
db2
4. Cree y configure la base de datos para WebSphere Application
Server escribiendo los mandatos siguientes:
create database was_db
update db cfg for was_db using applheapsz 256
5. Salga de la consola de DB2 escribiendo quit.
6. Detenga DB2 escribiendo db2stop.
7. Inicie DB2 escribiendo db2start.
8. Escriba el mandato exit.
Instalación del software de servidor Web
Tivoli PKI utiliza IBM WebSphere Application Server e IBM HTTP
Server para dar soporte a las funciones basadas en Web. Para
garantizar que los programas del servidor Web se instalan de forma
correcta para su uso con Tivoli PKI, siga este procedimiento para
instalar el software en una plataforma AIX. Es preciso instalar el
software en un equipo en el que se vaya a instalar el componente
Autoridad de registro.
66
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
Tenga en cuenta que a pesar de que WebSphere dispone de una
interfaz de administración para administrar aplicaciones, no es
posible ni es necesario utilizarla para administrar las aplicaciones de
Tivoli PKI.
Después de instalar Tivoli PKI, un programa de postinstalación
actualiza el servidor Web con la información necesaria para Tivoli
PKI. Al iniciar el servidor Web, el programa utiliza el archivo de
configuración que crea Tivoli PKI para este propósito.
Nota: asegúrese de leer la información sobre cómo Tivoli PKI
configura los puertos del servidor Web, que encontrará en el
apartado “Configuración de alias IP para el servidor Web” en
la página 42. Si desea configurar los puertos de otra manera,
deberá hacerlo antes de configurar Tivoli PKI.
Instalación de WebSphere Application Server
1. Inicie la sesión como root.
2. Coloque el CD de WebSphere Application Server para AIX en la
unidad de CD-ROM. Escriba el siguiente mandato para montar el
CD:
mount /cdrom
3. Si efectúa la instalación de forma remota, debe instalar
WebSphere en un entorno X11 gráfico. Escriba el siguiente
mandato para exportar la variable de entorno DISPLAY adecuada
para que el programa de instalación de WebSphere se abra,
donde su_sis_pral:0.0 es el valor correcto para el sistema:
export DISPLAY=su_sis_pral:0.0
4. Instale WebSphere:
a. Escriba el siguiente mandato para cambiar de directorio:
cd /cdrom/aix
b. Escriba el siguiente mandato para ejecutar el script install.sh.
./install.sh
c. En la ventana de bienvenida, pulse Siguiente.
Tivoli PKI Cómo empezar
67
d. En la ventana Install Options (Opciones de instalación),
seleccione Custom installation (Instalación personalizada) y
pulse Siguiente.
e. En la primera ventana Choose Application Server
Components (Seleccionar componentes del servidor de
aplicaciones), seleccione All Components (Todos los
componentes) y pulse Siguiente.
f. En la segunda ventana Choose Application Server
Components (Seleccionar componentes del servidor de
aplicaciones), seleccione IBM HTTP Server plug-in
(Complemento de IBM HTTP Server) y pulse Siguiente.
g. En la ventana Database Options (Opciones de base de datos)
seleccione DB2 de la lista desplegable Database Type (Tipo
de base de datos) y rellene los campos siguientes tal como se
indica a continuación:
Database Name (Nombre base datos): was_db
DB Home (Directorio inicial base datos): /home/db2inst1
Database User ID (ID usuario base datos): db2inst1
Database Password (Contraseña base de datos): su_contraseña
Confirm Password (Confirmar contraseña): su_contraseña
Donde su_contraseña es la contraseña db2inst1 especificada
al ejecutar db2setup.
h. En la ventana Security Information (Información de
seguridad), escriba la contraseña del usuario root del sistema,
confírmela y pulse Siguiente.
i. En la ventana Select Destination Directory (Seleccionar
directorio de destino), pulse Siguiente.
j. En la ventana Install Options Selected (Instalar opciones
seleccionadas), pulse Siguiente.
k. En la siguiente ventana, pulse Bien para iniciar la instalación
del producto.
Nota: Este paso tarda varios minutos en completarse.
l. En la ventana Setup Complete (Instalación completa), pulse
Finish (Finalizar).
68
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
5. Escriba los siguientes mandatos para desmontar el soporte de
WebSphere. No puede haber ningún proceso que acceda al
directorio /cdrom cuando ejecute este mandato.
cd /
umount /cdrom
Al finalizar, se habrán instalado los archivos siguientes:
IBMWebAS.base.IBMApache
IBMWebAS.base.ITJ.Info
IBMWebAS.base.WASicon
IBMWebAS.base.admin
IBMWebAS.base.samples
IBMWebAS.base.server
IBMWebAS.base.tivoli
3.5.0.0
1.0.0.0
3.5.0.0
3.5.0.0
3.5.0.0
3.5.0.0
3.5.0.0
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
COMMITTED
IBMWebAS.base
IBMWebAS.base
IBMWebAS.base
IBMWebAS.base
IBMWebAS.base
IBMWebAS.base
IBMWebAS.base
-
IBMApache
ITJ Info
WASicon
admin
samples
server
tivoli
Actualización de WebSphere Application Server
Para actualizar WebSphere Application Server al PFT (Arreglo
temporal del programa) 4, efectúe lo siguiente:
1. Coloque el CD de Tivoli PKI para AIX en la unidad de
CD-ROM del sistema. Escriba el siguiente mandato para montar
el CD:
mount /cdrom
2. Escriba el siguiente mandato para cambiar de directorio:
cd /cdrom/aix/WebSphere-Standard-ptf4
3. Copie todos los archivos del PTF4 de WebSphere del CD a un
directorio del sistema para el que disponga de permiso de
escritura como root.
4. Escriba el siguiente mandato para ejecutar el script install.sh:
./install.sh
5. Cuando el sistema lo solicite, especifique el directorio inicial de
WebSphere. Normalmente, este directorio es
/usr/WebSphere/AppServer.
6. Cuando el sistema lo solicite, responda ″y″ (Sí) al mensaje
″Please enter whether you want to install IHS WebServer
PTF (y/n)″ (Indique si desea instalar el PTF de IHS WebServer
(s/n)).
Tivoli PKI Cómo empezar
69
7. Cuando el sistema lo solicite, especifique la vía de acceso inicial
de los documentos del servidor Web. Normalmente, este
directorio es /usr/HTTPServer/htdocs/en_US. Responda ″y ″ (Sí)
a la confirmación.
Inhabilitación del inicio automático de IBM HTTP
Server
Para inhabilitar la función de inicio automático del servicio de IBM
HTTP Server, efectúe los pasos siguientes como root.
1. Escriba el siguiente mandato para cambiar al directorio /etc:
cd /etc
2. Edite el archivo inittab y suprima la entrada de ihshttpd. Guarde
el archivo inittab después de suprimir la entrada.
3. Detenga el servicio de IBM HTTP Server que WebSphere ya
pueda haber iniciado. Para ello, efectúe lo siguiente:
a. Escriba el siguiente mandato para ver una lista de los
procesos que se hayan iniciado:
ps -ef | grep http
b. Identifique el proceso /usr/HTTPServer/bin/httpd.
c. Busque el ID de proceso padre (el segundo campo de la
izquierda).
d. Detenga el proceso padre escribiendo el mandato kill. Por
ejemplo,
kill pid
donde pid es el ID del proceso padre.
Inicio de WebSphere Application Server
Antes de instalar Tivoli PKI, debe iniciar WebSphere Application
Server. Efectúe los pasos siguientes para iniciar WebSphere
Application Server:
1. Escriba el siguiente mandato para cambiar de directorio:
cd /usr/WebSphere/AppServer/bin
70
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
2. Escriba el siguiente mandato:
./startupServer.sh &
3. Escriba el siguiente mandato para cambiar de directorio:
cd /usr/WebSphere/AppServer/logs
4. Escriba el siguiente mandato y observe el archivo de rastreo:
tail -f archivo_rastreo
Cuando vea el mensaje A WebSphere Administration Server
open for e-business (Un servidor de administración abierto para
e-business), significa que WebSphere Application Server ya está
iniciado.
Nota: Este paso tarda varios minutos en completarse.
5. Pulse Control + C para salir del mandato tail.
Instalación del coprocesador 4758
Debe decidir si desea utilizar la tarjeta criptográfica IBM 4758 para
proteger las claves de firma de la CA o RA. Si la utiliza, instale el
hardware del 4758 y el programa de soporte criptográfico
correspondiente en el servidor donde desee instalar la Autoridad de
certificación o la Autoridad de registro respectivamente. Si la CA y
la RA residen en el mismo equipo, el hardware del 4758 se puede
compartir.
Para obtener más información acerca de cómo instalar y configurar
el coprocesador 4758, consulte la documentación del producto 4758.
Instalación de Tivoli PKI
Antes de empezar la instalación de Tivoli PKI, lea la última versión
del archivo Notas del release del producto. Puede descargar la
versión más actual del sitio Web de Tivoli PKI.
Siga las siguientes directrices para instalar los componentes del
producto Tivoli PKI:
Tivoli PKI Cómo empezar
71
¶
Instale todos los programas de servidor en la misma plataforma
(en este caso en AIX).
¶
Si ha instalado IBM KeyWorks Versión 1.1.1 con anterioridad,
deberá instalar Tivoli PKI en otro equipo o eliminar el software
de KeyWorks y cualquier aplicación asociada antes de iniciar el
programa de instalación de Tivoli PKI.
¶
Si configura Tivoli PKI en un entorno de varios equipos, debe
repetir los procedimientos de instalación hasta que instale los
componentes correctos del servidor en los equipos que desee.
Consulte el apartado “Directrices para la instalación en varios
equipos” en la página 75 para obtener más información.
¶
Cuando instale la aplicación RA Desktop, primero debe instalar
una imagen de instalación. A continuación, distribuya la imagen
o póngala a disposición de los usuarios de la red para que
puedan ejecutar el programa de instalación desde un equipo local
en el que se ejecute Windows. Para obtener instrucciones sobre
cómo instalar, configurar o desinstalar estos programas, consulte
la publicación Tivoli PKI Guía de RA Desktop.
¶
Si no reinició el sistema después de instalar el software
necesario, hágalo ahora. Compruebe que las variables de entorno
son correctas antes de instalar Tivoli PKI.
¶
Utilice PING o cualquier otra herramienta de conectividad de
red para verificar que los nombres de sistema principal y las
direcciones IP son válidas y conocidas por el servidor DNS
(Servicio de nombres de dominio) de la red.
Instalación de KeyWorks
Para instalar IBM KeyWorks, efectúe los pasos siguientes:
1. Inicie la sesión como root.
2. Coloque el CD de Tivoli PKI para AIX en la unidad de
CD-ROM del sistema. Escriba el siguiente mandato para montar
el CD:
mount /cdrom
3. Escriba el siguiente mandato para cambiar de directorio:
cd /cdrom/kw
72
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
4. Escriba el siguiente mandato para instalar KeyWorks:
smitty install_latest
5. Seleccione . (punto) para la opción INPUT device / directory
for software (dispositivo de entrada / directorio de software).
6. En Install and Update from LATEST Available Software
(Instalar y actualizar desde el último software disponible), pulse
Intro.
7. Si prosigue con la instalación de Tivoli PKI, puede saltarse este
paso. En caso contrario, escriba el siguiente mandato para
desmontar la unidad de CD-ROM.
umount /cdrom
Al finalizar, se habrán instalado los conjuntos de archivos siguientes:
sway.adt
sway_vr.cst
1.1.3.1
1.1.3.1
COMMITTED
COMMITTED
IBM KeyWorks
Domestic (US) customization
Instalación del software de servidor
Para instalar el software de servidor, efectúe los pasos siguientes:
1. Inicie la sesión como root.
2. Coloque el CD de Tivoli PKI para AIX en la unidad de
CD-ROM. Escriba el siguiente mandato para montar el CD:
mount /cdrom
3. Escriba el siguiente mandato para cambiar de directorio:
cd /cdrom/usr/sys/inst.images
4. Escriba el siguiente mandato:
smitty
5. Seleccione Software Installation and Maintenance
(Instalación y mantenimiento de software).
6. Seleccione Install and Update Software (Instalar y actualizar
el software).
7. Seleccione Install and Update from LATEST Available
Software (Instalar y actualizar desde el último software
disponible).
Tivoli PKI Cómo empezar
73
8. Seleccione . (punto) para la opción INPUT device / directory
for software (dispositivo de entrada / directorio de software).
9. En SOFTWARE para instalar, pulse F4 para ver una lista de
los conjuntos de archivos disponibles para ser instalados.
10. Utilice como referencia la siguiente tabla, seleccione el
componente o los componentes que desee instalar en el equipo
y pulse la tecla Intro.
El conjunto de archivos ta.doc contiene archivos de ayuda en
formato HTML y la documentación de Tivoli PKI relativa a:
¶ Tivoli PKI Guía de configuración
¶ Tivoli PKI Guía de Registration Authority Desktop
El
:
¶
¶
¶
¶
¶
¶
conjunto de archivos ta.srvr contiene los elementos siguientes
Soporte para el coprocesador 4758
Autoridad de certificación
Archivos de imagen en memoria
GUI de instalación
Herramientas de instalación
Autoridad de registro
Nota: No seleccione el soporte para el coprocesador 4758 si el
equipo no contiene el hardware del 4758. Pulse F7 para
instalar de forma selectiva los conjuntos de archivos que
necesite.
74
Nombre de
archivo
Componente
Descripción
tpki.srvr.ra
Servidor de
Autoridad de
registro
Instala el software del servidor de
Autoridad de registro, incluidos los
archivos necesarios para el recurso de
registro.
tpki.srvr.ca
Servidor de
Autoridad de
certificación y
de auditoría
Instala la Autoridad de certificación y
los programas del subsistema de
auditoría.
tpki.srvr.core
Tivoli PKI
Instala las bibliotecas principales de
Tivoli PKI.
Versión 3
Release 7.1
Componente
tpki.srvr.ic
Herramientas de Instala las herramientas de instalación
instalación
de Tivoli PKI.
tpki.srvr.icg
GUI de
instalación
Instala la GUI de instalación de Tivoli
PKI.
RADInst.exe
Registration
Authority
Desktop
Instala una imagen de la instalación
para la aplicación RA Desktop de
Tivoli PKI. (Sólo Windows NT.)
4. Instalación de Tivoli
PKI en AIX
Nombre de
archivo
Descripción
11. En este punto, la instalación de Tivoli PKI ha finalizado.
Escriba el siguiente mandato para desmontar la unidad de
CD-ROM:
cd /umount /cdrom
Al finalizar, se habrán instalado los conjuntos de archivos siguientes:
tpki.srvr.ca
3.7.1.0 COMMITTED IBM
tpki.srvr.core
3.7.1.0 COMMITTED
Archivos de imagen en memoria
tpki.srvr.ic
3.7.1.0 COMMITTED
tpki.srvr.icg
3.7.1.0 COMMITTED
tpki.srvr.ra
3.7.1.0 COMMITTED
tpki.doc.cfg
3.7.1.0 COMMITTED
tpki.doc.rad
3.7.1.0
COMMITTED
tpki.doc.usr
3.7.1.0
COMMITTED
Trust Authority
IBM Trust Authority
IBM
IBM
IBM
IBM
Trust Authority
Trust Authority
Trust Authority
Trust Authority
Config
IBM Trust Authority
RA Desktop
IBM Trust User Guide
Directrices para la instalación en varios equipos
En esta sección se explican las directrices que debe tener en cuenta
cuando instale Tivoli PKI para ejecutarlo en una configuración de
varios equipos. Las configuraciones que se tratan son las siguientes:
¶
Ejemplo 1 — Servidor RA en un equipo; servidores CA, de
auditoría y del Directorio en un equipo distinto
¶
Ejemplo 2 — Servidores RA y del Directorio en un equipo;
servidores CA y de auditoría en un equipo distinto
¶
Ejemplo 3 — Servidores RA, de auditoría y CA en un equipo;
servidor del Directorio en un equipo distinto
Tivoli PKI Cómo empezar
75
¶
Ejemplo 4 — Servidor RA en un equipo; servidores CA y de
auditoría en un equipo distinto; servidor del Directorio en un
tercer equipo
Utilice las directrices de instalación siguientes en función de la
configuración de equipo de Tivoli PKI que tenga.
Ejemplo 1 — Servidor RA en un equipo; servidores CA, de
auditoría y del Directorio en un equipo distinto
El
¶
¶
¶
¶
¶
¶
¶
¶
¶
¶
¶
servidor RA requiere que se instale el software siguiente:
AIX 4.3.3.0
AIX 4.3.3.0 Nivel de mantenimiento 6
IBM DB2 Universal Database versión 6.1 FP 4
IBM Directory Client
IBM Developer Kit for AIX, Java Technology Edition, versión
1.2.2 PTF 8
IBM WebSphere Application Server Standard Edition versión 3.5
Actualizar IBM WebSphere Application Server Standard Edition
a la versión 3.5 PTF 4
Inhabilitar el inicio automático de IBM HTTP Server
Iniciar WebSphere Application Server
IBM KeyWorks
Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic,
tpki.srvr.icg, tpki.srvr.ra
Los servidores CA, de auditoría y del Directorio requieren que se
instale el software siguiente:
¶ AIX 4.3.3.0
¶ AIX 4.3.3.0 Nivel de mantenimiento 6
¶ IBM DB2 Universal Database versión 6.1 FP 4
¶ IBM Directory Server versión 3.1.1.5
¶ IBM Developer Kit for AIX, Java Technology Edition, versión
1.2.2 PTF 8
¶ IBM KeyWorks
¶ Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic,
tpki.srvr.ca
76
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
Ejemplo 2 — Servidores RA y del Directorio en un equipo;
servidores CA y de auditoría en un equipo distinto
Los servidores RA y del Directorio, auditoría y del Directorio
requieren que se instale el software siguiente:
¶ AIX 4.3.3.0
¶ AIX 4.3.3.0 Nivel de mantenimiento 6
¶ IBM DB2 Universal Database versión 6.1 FP 4
¶ IBM Directory Server versión 3.1.1.5
¶ IBM Developer Kit for AIX, Java Technology Edition, versión
1.2.2 PTF 8
¶ IBM WebSphere Application Server Standard Edition versión 3.5
¶ Actualizar IBM WebSphere Application Server Standard Edition
a la versión 3.5 PTF 4
¶ Inhabilitar el inicio automático de IBM HTTP Server
¶ Iniciar WebSphere Application Server
¶ IBM KeyWorks
¶ Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic,
tpki.srvr.icg, tpki.srvr.ra
Los servidores CA y de auditoría requieren que se instale el software
siguiente:
¶ AIX 4.3.3.0
¶ AIX 4.3.3.0 Nivel de mantenimiento 6
¶ IBM DB2 Universal Database versión 6.1 FP 4
¶ IBM Directory Client
¶ IBM Developer Kit for AIX, Java Technology Edition, versión
1.2.2 PTF 8
¶ IBM KeyWorks
¶ Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic,
tpki.srvr.ca
Ejemplo 3 — Servidores RA, de auditoría y CA en un equipo;
servidor del Directorio en un equipo distinto
Los servidores RA, de auditoría y CA requieren que se instale el
software siguiente:
¶ AIX 4.3.3.0
¶ AIX 4.3.3.0 Nivel de mantenimiento 6
Tivoli PKI Cómo empezar
77
¶
¶
¶
¶
¶
¶
¶
¶
¶
IBM DB2 Universal Database versión 6.1 FP 4
IBM Directory Client
IBM Developer Kit for AIX, Java Technology Edition, versión
1.2.2 PTF 8
IBM WebSphere Application Server Standard Edition versión 3.5
Actualizar IBM WebSphere Application Server Standard Edition
a la versión 3.5 PTF 4
Inhabilitar el inicio automático de IBM HTTP Server
Iniciar WebSphere Application Server
IBM KeyWorks
Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic,
tpki.srvr.icg, tpki.srvr.ra, tpki.srvr.ca
El servidor del Directorio requiere que se instale el software
siguiente:
¶ AIX 4.3.3.0
¶ AIX 4.3.3.0 Nivel de mantenimiento 6
¶ IBM DB2 Universal Database versión 6.1 FP 4
¶ IBM Directory Server versión 3.1.1.5
¶ IBM Developer Kit for AIX, Java Technology Edition, versión
1.2.2 PTF 8
¶ IBM KeyWorks
¶ Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic
Ejemplo 4 — Servidor RA en un equipo; servidores CA y de
auditoría en un equipo distinto; servidor del Directorio en un
tercer equipo
El
¶
¶
¶
¶
¶
servidor RA requiere que se instale el software siguiente:
AIX 4.3.3.0
AIX 4.3.3.0 Nivel de mantenimiento 6
IBM DB2 Universal Database versión 6.1 FP 4
IBM Directory Client
IBM Developer Kit for AIX, Java Technology Edition, versión
1.2.2 PTF 8
¶ IBM WebSphere Application Server Standard Edition versión 3.5
¶ Actualizar IBM WebSphere Application Server Standard Edition
a la versión 3.5 PTF 4
¶ Inhabilitar el inicio automático de IBM HTTP Server
78
Versión 3
Release 7.1
4. Instalación de Tivoli
PKI en AIX
¶
¶
¶
Iniciar WebSphere Application Server
IBM KeyWorks
Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic,
tpki.srvr.icg, tpki.srvr.ra
Los servidores CA y de auditoría requieren que se instale el software
siguiente:
¶ AIX 4.3.3.0
¶ AIX 4.3.3.0 Nivel de mantenimiento 6
¶ IBM DB2 Universal Database versión 6.1 FP 4
¶ IBM Directory Client
¶ IBM Developer Kit for AIX, Java Technology Edition, versión
1.2.2 PTF 8
¶ IBM KeyWorks
¶ Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic,
ta.srvr.ca
El servidor del Directorio requiere que se instale el software
siguiente:
¶ AIX 4.3.3.0
¶ AIX 4.3.3.0 Nivel de mantenimiento 6
¶ IBM DB2 Universal Database versión 6.1 FP 4
¶ IBM Directory Server versión 3.1.1.5
¶ IBM Developer Kit for AIX, Java Technology Edition, versión
1.2.2 PTF 8
¶ IBM KeyWorks
¶ Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic
Cambio de los valores bootstrap
Utilice este procedimiento sólo si desea cambiar alguno de los
valores de configuración por omisión (valores que no puede cambiar
al ejecutar la aplicación de configuración o después de haber
configurado el sistema). Realice todos los cambios bootstrap antes de
ejecutar el programa de configuración posterior a la instalación de
Tivoli PKI. Si no desea cambiar los valores bootstrap, prosiga con el
apartado “Ejecución del programa de configuración posterior a la
instalación” en la página 83.
Tivoli PKI Cómo empezar
79
Tivoli PKI ejecuta un programa bootstrap como parte del proceso
posterior a la instalación. La entrada del programa bootstrap es un
script SQL denominado createconfig_start.sql que carga la base de
datos de configuración con los valores por omisión y crea
definiciones para la tabla de la base de datos en la tabla de base de
datos ConfigDataTbl. Esta tabla contiene los datos de configuración
del sistema para todos los componentes de Tivoli PKI. Existen varios
valores del script SQL que no se pueden cambiar tras iniciar el
proceso de configuración.
Nota: en circunstancias críticas, en las que un valor por omisión
puede provocar un problema en el entorno operativo, puede
cambiar los archivos de plantilla de Tivoli PKI antes de
iniciar la configuración. Para obtener más información,
póngase en contacto con su representante del servicio técnico
de IBM.
Para cambiar un valor bootstrap, modifique el archivo
createconfig_start.sql. La ubicación por omisión del archivo es
/usr/lpp/iau/bin.
Utilice la siguiente tabla como guía para realizar los cambios:
80
¶
Para cambiar el valor de DATABASE PATHNAME, especifique
la vía de acceso completa de la nueva ubicación. Por ejemplo,
/local/dbfsibm.
¶
Los nombres distintivos (DN) para la RA de Tivoli PKI, el
administrador del Directorio y el subsistema de auditoría son
transparentes para el usuario. Si desea cambiarlos, asegúrese de
cambiar sólo el atributo del nombre común (CN). La base del
DN de la CA que especifique durante la configuración se
aplicará al CN que seleccione.
Versión 3
Release 7.1
Descripción
Valor por omisión
0
Tamaño de la clave
keyring del servidor
Web. Opciones 0-3, tal
como se definen en la
enumeración de
KeySize, que figura a
continuación:
¶ 0 = 512
¶ 1 = 768
¶ 2 = 1024
¶ 3 = 2048
DATABASE_
PATHNAME
Vía de acceso completa dbfsibm
donde reside
físicamente la instancia
de la base de datos de
la CA (el componente
CA).
DATABASE_
PATHNAME
Vía de acceso completa dbfsadt
donde reside
físicamente la instancia
de la base de datos de
auditoría (componente
del subsistema de
auditoría).
DATABASE_
PATHNAME
Vía de acceso completa dbfspkrf
donde reside
físicamente la instancia
de la base de datos de
registro (componente
de la RA).
APP_DN
El DN de la RA de
/C=US/O=
Tivoli PKI. Sólo se
Su_organizapuede modificar el CN. ción/OU=Tivoli
PKI/CN=Tivoli PKI
RA
Tivoli PKI Cómo empezar
4. Instalación de Tivoli
PKI en AIX
Nombre de campo
WS_RO_KEYSIZE
81
Nombre de campo
82
Descripción
Valor por omisión
APP_CERT
_LIFETIME
36
La vida útil de los
certificados de la RA
Este valor debe ser
en el sistema,
especificados en meses. múltiplo de 12.
APP_LDAP _DIR
ADMIN_DN
El DN del
administrador del
Directorio. Sólo se
puede modificar el CN.
APP_COMM
_PORT
29783
El puerto de
comunicación que se
encarga de la
comunicación entre la
infraestructura del
recurso de registro y la
RA de Tivoli PKI.
APP_SEC_MECH
0
El mecanismo de
seguridad de la
aplicación. El valor por
omisión inhabilita el
cifrado de la base de
datos de RA. Si se
establece el valor en 1,
se habilita el cifrado de
la base de datos.
CA_IBM_CA_CERT
_LIFETIME
La duración del
certificado de CA de
Tivoli PKI,
especificada en meses.
/C=US/O=
Su_organización/
OU=Tivoli
PKI/CN=DirAdmin
360
Este valor debe ser
múltiplo de 12.
Versión 3
Release 7.1
Descripción
4. Instalación de Tivoli
PKI en AIX
Nombre de campo
Valor por omisión
1835
CA_IBM_ADMIN
_PORT
El puerto
administrativo de la
CA de Tivoli PKI. El
valor que especifique
también debe
especificarse en la
entrada PORT del
archivo,
irgAutoCA.ini.tpl, que
se encuentra en el
directorio cfg.
ADT_DN
El DN del subsistema /C=US/O=
de auditoría. Sólo se
Su_organización/
puede modificar el CN. OU=Tivoli PKI/
CN=Tivoli PKI Audit
Ejecución del programa de configuración posterior a
la instalación
Después de instalar el software del servidor de Tivoli PKI, ejecute el
programa de configuración posterior a la instalación, CfgPostInstall
en el servidor principal de Tivoli PKI que contiene el servidor
HTTP, WebSphere y la RA. Debe ejecutar este programa antes de
ejecutar el Asistente para la configuración para configurar Tivoli
PKI.
Este programa crea el archivo de configuración del servidor Web
(httpd.conf), que permite que dicho servidor se inicie con los
parámetros necesarios de Tivoli PKI. También prepara el servidor
Web para que ejecute la aplicación de configuración, crea la cuenta
de usuario de configuración de Tivoli PKI (cfguser), crea la base de
datos de configuración y la llena con los datos de configuración por
omisión.
Para ejecutar el programa de configuración, efectúe los pasos
siguientes:
1. Inicie la sesión como root escribiendo el siguiente mandato:
su - root
Tivoli PKI Cómo empezar
83
2. Escriba el siguiente mandato para cambiar de directorio:
cd /usr/lpp/iau/bin
3. Escriba el siguiente mandato:
./CfgPostInstall -i
4. Cuando se le solicite, defina la contraseña y confírmela para la
cuenta cfguser.
5. Cuando se le solicite, defina la contraseña y confírmela para el
Programa de control.
6. Seleccione db2inst1 como el nombre de la instancia de DB2.
Escriba el valor 1, que corresponde a db2inst1.
Nota: Este procedimiento tarda varios minutos en completarse.
Lista de comprobación posterior a la instalación
Utilice la siguiente lista de comprobación para asegurarse de que ya
puede configurar Tivoli PKI. Para obtener información sobre cómo
ejecutar el Asistente para la configuración, consulte la publicación
Tivoli PKI Guía de configuración.
1. Inicie una sesión como root y escriba los siguientes mandatos
para crear una imagen del sistema de copia de seguridad:
smitty mksysb
smitty savevg
2. Para agilizar la resolución de posibles problemas, cree una lista
de todo el software que esté instalado en cada servidor. Inicie la
sesión como root y escriba el siguiente mandato:
#lslpp -al >tmp/sys_software.txt
3. Si no desea utilizar los valores de configuración por omisión para
los puertos del servidor Web, configure los alias IP antes de
ejecutar el Asistente para la configuración. Los programas de
configuración se basan en estos valores para crear el certificado
de CA del sistema. En el apartado “Configuración de alias IP
para el servidor Web” en la página 42, encontrará información
sobre cómo Tivoli PKI configura y utiliza los puertos del
servidor Web para las transacciones seguras y no seguras.
84
Versión 3
Release 7.1
5. Rellene el formulario Tivoli PKI Configuration Data Form
incluido con la publicación Tivoli PKI Guía de configuración
para familiarizarse con la información de la que debe disponer
antes de configurar el sistema. Utilice el formulario para anotar
información del sistema, como los nombres de sistema principal
del servidor y los nombres distintivos que prefiera.
Ejecución de la utilidad de copia de seguridad
La utilidad de copia de seguridad de Tivoli PKI (ta-backup) es una
herramienta para guardar los datos de configuración que no se
almacenan en ninguna base de datos DB2. También se guardan los
datos del archivo subordinado como los permisos de archivo. Use las
utilidades de DB2 para efectuar copias de seguridad de las bases de
datos de DB2.
La utilidad de copia de seguridad acepta un parámetro que identifica
el directorio donde se escriben los datos de la copia de seguridad.
Este directorio de copia de seguridad es el directorio raíz utilizado
para guardar todos los archivos de datos. Para evitar conflictos de
nombres en el directorio de copia de seguridad, la utilidad de copia
de seguridad guarda los archivos con la misma estructura de
directorio que existe en el sistema en que se guarda.
En el siguiente ejemplo se ilustra la sintaxis del programa:
ta-backup -d directorio_copia_seguridad
donde directorio_copia_seguridad es el directorio que se utiliza para
la copia de seguridad de los datos. La vía de acceso por omisión es
/usr/lpp/iau/backup.
Tivoli PKI Cómo empezar
85
4. Instalación de Tivoli
PKI en AIX
4. Decida los nombres completos que desee utilizar para la CA de
Tivoli PKI y sus agentes, el administrador del Directorio y la raíz
del Directorio. Estos DN deben ser únicos.
Repase las directrices de la publicación Tivoli PKI Guía de
configuración para asegurarse de que los DN de dichos objetos
son compatibles con la jerarquía de certificados que pretende
utilizar.
Lleve a cabo estos pasos para ejecutar la utilidad ta-backup sin
conexión:
1. Inicie la sesión como root.
2. Si lo desea, cree el directorio de copia de seguridad para los
datos de configuración de Tivoli PKI. Por ejemplo:
mkdir /usr/lpp/iau/mi_copia_seguridad
3. Vaya al directorio /bin de Tivoli PKI. La vía de acceso por
omisión es /usr/lpp/iau/bin.
4. Escriba el siguiente mandato para especificar dónde desea que se
realice la copia de seguridad de los datos:
ta-backup -d /usr/lpp/iau/mi_copia_seguridad
5. Especifique la contraseña del Programa de control cuando se le
solicite.
86
Versión 3
Release 7.1
5
En este capítulo se describen los procedimientos de instalación de
Tivoli Public Key Infrastructure (PKI) y los productos que es preciso
instalar con anterioridad en una plataforma Windows NT.
Nota: Tivoli PKI versión 3.7.1 no es compatible con Windows NT.
Esta información se ha incluido sólo como referencia.
Antes de instalar el software de Tivoli PKI, lea la última versión del
archivo Notas del release del producto. Puede descargar la versión
más actual del sitio Web de Tivoli Public Key Infrastructure.
Nota: Los procedimientos principales que se describen en este
capítulo presuponen que Tivoli PKI se instala por primera
vez.Antes de instalar Tivoli PKI, se recomienda
encarecidamente que realice una copia de seguridad de los
archivos de datos. Consulte las instrucciones del apartado
“Ejecución de la utilidad de copia de seguridad” en la
página 106 para efectuar la copia de seguridad de los archivos
de datos. Después de realizar la copia de seguridad, ejecute
CfgUnInstall desde la línea de mandatos y prosiga con la
instalación de Tivoli PKI.
Instale el software de Tivoli PKI en el orden siguiente:
1. Sistema operativo Microsoft Windows NT versión 4.0 con
Service Pack 5.
Tivoli PKI Cómo empezar
87
5. Instalación de Tivoli PKI
en Windows NT
Instalación de Tivoli PKI en
Windows NT
2. Software de bases de datos de Tivoli PKI (IBM DB2 Universal
Database para Tivoli PKI).
3. Kit de desarrollo de Sun Java (JDK) versión 1.1.6 o superior.
4. IBM HTTP Server (IHS) versión 1.3.3.1, incluido el kit Global
Services Kit (GSK)
5. IBM WebSphere Application Server versión 2.0.3.1.
6. IBM Directory Server versión 3.1.1.
7. El software de servidor de Tivoli PKI, que incluye los programas
del servidor central y las imágenes de instalación para la
aplicación cliente y RA Desktop.
Configuración para varios equipos
Si no instala todo el software de servidor en el mismo equipo,
deberá repetir los procedimientos que se describen a
continuación para instalar Windows NT y el software de bases
de datos de Tivoli PKI en cada equipo componente.
Configuración de Windows NT
Siga las directrices que se detallan a continuación para instalar el
software de Windows NT en el equipo o los equipos donde desee
instalar el software de Tivoli PKI software. En caso de que haya
instalado Windows NT con anterioridad, las instrucciones le servirán
como guía de verificación para comprobar que ha instalado todos los
archivos necesarios para los componentes de Tivoli PKI.
Si configura Tivoli PKI en un entorno de varios equipos, deberá
instalar Windows NT en cada uno de los equipos donde desee
instalar un componente de servidor de Tivoli PKI.
¶
88
Deberá instalar el protocolo TCP/IP cuando instale Windows NT.
No puede utilizar el DHCP (Protocolo de configuración dinámica
de sistema principal) a menos que tenga un servidor DNS
(Servicio de nombres de dominio) dinámico.
Versión 3
Release 7.1
¶
Compruebe los siguientes requisitos para habilitar la
conectividad:
v Asegúrese de que las direcciones IP y los nombres de sistema
principal están asignados y fijados.
v Asegúrese de que dispone de conectividad IP. Por ejemplo,
pruebe la posibilidad de ejecutar mandato PING con otro
equipo.
5. Instalación de Tivoli PKI
en Windows NT
v Asegúrese de que el DNS y el DNS inverso funcionan de
forma correcta. Por ejemplo, compruebe que el mandato ping
nombre_sis_pral resuelve la dirección IP correcta y que el
mandato ping -a dirección_IP resuelve el nombre de
sistema principal correcto.
¶ Asegúrese de que el equipo tiene un directorio \temp. Si no
existe un directorio \temp, créelo. Para comprobar si existe, o
para crearlo, escriba el mandato md %temp%. Si existe el
directorio, el sistema mostrará el mensaje ″Ya existe un
directorio o archivo unidad:\TEMP″. De lo contrario, el sistema
creará el directorio temp.
¶
Establezca la memoria virtual del equipo en un mínimo de 400
MB:
1. Seleccione Inicio → Configuración → Panel de control.
2. Pulse dos veces Sistema y seleccione la ficha Rendimiento.
3. En el área de Memoria virtual, pulse Cambiar.
4. Cambie el valor del Tamaño inicial a 400 MB y establezca
el Tamaño máximo en 500 MB.
5. Pulse Establecer.
6.
Pulse Aceptar para cerrar el cuadro de diálogo.
7. Pulse Aceptar para cerrar la ventana Propiedades del
sistema.
8. Pulse Sí para reiniciar el equipo.
¶
Cree un usuario de Windows NT que sirva como usuario de
configuración de Tivoli PKI. Los programas de configuración
Tivoli PKI Cómo empezar
89
utilizan este nombre de usuario y contraseña para crear las bases
de datos necesarias y configurar el sistema. Utilice las
Herramientas administrativas de Windows NT para configurar
este usuario como se indica a continuación:
1. Desde el grupo de programas Herramientas administrativas,
ejecute Administrador de usuarios.
2. Agregue la cuenta cfguser. Para hacerlo, copie la cuenta
Administrador (resalte la entrada Administrador y pulse F8).
El usuario debe tener privilegios de administrador de
Windows NT.
3. Escriba una contraseña para cfguser, vuelva a escribir la
contraseña para confirmarla.
4. Deseleccione El usuario debe cambiar la contraseña en el
siguiente inicio de sesión.
5. Pulse Aceptar.
La contraseña que asigne a este nombre de usuario debe
tener ocho caracteres como máximo. Para optimizar la
seguridad, debe especificar una cadena que no contenga
ninguna palabra real. La contraseña debe ser una mezcla de
caracteres en mayúsculas y minúsculas e incluir un número
como mínimo.
v Asegúrese de recordar el nombre de usuario y la contraseña.
Deberá especificarla al instalar y configurar el sistema y
puede que la necesite para ejecutar determinadas herramientas
de administración de sistema Tivoli PKI.
v
Si desea instalar Tivoli PKI en una configuración de varios
equipos, asegúrese de definir el mismo nombre de usuario y
contraseña en cada equipo.
Se recomienda efectuar una copia de seguridad del sistema Windows
NT antes de continuar con la instalación de Tivoli PKI. El hecho de
disponer de una imagen de copia de seguridad permite restaurar el
sistema en caso de que surja algún problema. Puede utilizar el
programa de copia de seguridad que se suministra con Herramientas
90
Versión 3
Release 7.1
administrativas de Windows NT para crear una imagen del sistema.
También puede utilizar cualquier otro programa compatible con
Windows.
Instalación del software de bases de datos
5. Instalación de Tivoli PKI
en Windows NT
Tivoli PKI utiliza el software IBM DB2 Universal Database para
administrar los datos. El software suministrado con Tivoli PKI se
proporciona únicamente para su uso con aplicaciones de Tivoli PKI.
Si desea personalizar el software de bases de datos o utilizarlo para
otros propósitos, distintos de Tivoli PKI, deberá adquirir una licencia
para una versión completa de IBM DB2 Enterprise Edition, versión
5.2 y aplicar el FixPack 10.
Siga este procedimiento para instalar el software de bases de datos.
Si desea instalar Tivoli PKI en una configuración de varios equipos,
debe instalar el software de bases de datos de Tivoli PKI en todos
los equipos en los que desee instalar un componente de servidor de
Tivoli PKI.
1. Coloque el CD de Tivoli Public Key Infrastructure para NT en
la unidad de CD-ROM.
2. Seleccione Inicio → Ejecutar.
3. Pulse Examinar para cambiar a la unidad de CD-ROM.
4. Ejecute el archivo setup.exe.
5. En la ventana Seleccionar idioma de instalación, seleccione el
idioma en el que desea instalar el producto y pulse Aceptar.
6. Revise la información de la ventana de bienvenida y pulse
Siguiente.
Nota: si DB2 ya está instalado en el equipo y se halla en el
nivel adecuado, el programa irá avanzando hasta la
ventana Instalación finalizada. Llegado este punto, pulse
Finalizar para completar la instalación.
7. En la ventana Seleccionar ubicación de destino, pulse Siguiente
para utilizar la vía de acceso de instalación por omisión o
seleccione la unidad y la carpeta de destino donde desea instalar
Tivoli PKI Cómo empezar
91
el software y, a continuación, pulse Siguiente. (La vía de
acceso por omisión, c:\Archivos de programa\IBM\Trust
Authority, puede servir.)
8. En la ventana Especificar administrador de base de datos,
escriba un nombre de usuario y una contraseña para el
administrador de la base de datos y vuelva a escribir la
contraseña para confirmarla. Finalmente, pulse Siguiente. El
valor sugerido es db2admin para ambas entradas.
9. El programa empezará a instalar el software de bases de datos.
El proceso puede tardar algunos minutos.
10. En la ventana Instalación completa, pulse Finalizar para
completar la instalación.
Instalación del software de servidor Web
Tivoli PKI utiliza IBM WebSphere Application Server e IBM HTTP
Server para dar soporte a las funciones basadas en Web. Para
garantizar que los programas del servidor Web se instalan
correctamente para su uso con Tivoli PKI, siga estos procedimientos
para instalar el software en una plataforma Windows NT. Es preciso
instalar el software en un equipo en el que se vaya a instalar el
componente Autoridad de registro.
Tivoli PKI incluye una versión actualizada de WebSphere
Application Server en el CD de Tivoli PKI para AIX y NT. Utilice el
CD-ROM de WebSphere Application Server versión 2.02 para
instalar IBM HTTP Server, y el CD de Tivoli PKI para instalar
WebSphere Application Server.
Tenga en cuenta que a pesar de que WebSphere dispone de una
interfaz de administración para administrar aplicaciones, no es
posible ni es necesario utilizarla para administrar las aplicaciones de
Tivoli PKI.
Instalación del JDK
Para instalar el JDK, efectúe los pasos siguientes:
92
Versión 3
Release 7.1
1. Coloque el CD de WebSphere Application Server versión 2.0.2
en la unidad de CD-ROM.
2. Vaya al directorio \NT\jdk y ejecute el programa setup.exe de
JDK.
3. En la ventana de bienvenida, pulse Siguiente.
4. En la ventana del contrato de licencia de software, lea el contrato
y pulse Sí para aceptarlo.
5. Instalación de Tivoli PKI
en Windows NT
5. En la ventana Seleccionar componentes, acepte las opciones por
omisión (Archivos de programa, Biblioteca y archivos de
cabecera y Aplicaciones de demostración). Pulse Siguiente para
utilizar la vía de acceso de instalación por omisión, o seleccionar
la unidad y carpeta de destino donde desea instalar el JDK y
pulse Siguiente. (La vía de acceso por omisión debería servir.)
6. En la ventana Iniciar copia de archivos, compruebe las opciones
seleccionadas efectuadas y pulse Siguiente para continuar.
7. En la ventana Instalación completa, pulse Finalizar.
8. Cuando aparezca el archivo Léame, es recomendable leerlo.
Instalación de IBM HTTP Server
Para instalar IBM HTTP Server, efectúe los pasos siguientes:
1. Coloque el CD de WebSphere Application Server versión 2.0.2
en la unidad de CD-ROM.
2. Vaya al directorio \NT\httpd y ejecute el programa setup.exe de
IHS.
3. En la ventana de bienvenida, pulse Siguiente.
4. En la ventana del contrato de licencia de software, lea el
contrato y pulse Sí para aceptarlo.
5. En la ventana Seleccionar ubicación de destino, elija la vía de
acceso por omisión o bien especifique otra.
6. Pulse Siguiente.
7. En la ventana Tipo de instalación, seleccione Personalizada y
pulse Siguiente.
Tivoli PKI Cómo empezar
93
8. Aparecerá la ventana Seleccionar componentes, que contiene
dos paneles: en el panel izquierdo se muestra una lista de los
nombres de los conjuntos de componentes; en el derecho se
muestra la lista de componentes que conforman un determinado
conjunto. Seleccione Base en la izquierda y deseleccione la
opción Apache Source en la derecha. Si no desea instalar la
Documentación, deselecciónela. Pulse Siguiente para continuar.
9. En el menú Seleccionar carpeta de programas, pulse Siguiente
para aceptar la carpeta de programas por omisión, o escriba el
nombre de la carpeta que desee utilizar y pulse Siguiente.
10. En la ventana Información para la instalación de servicios,
escriba cfguser para el ID de usuario, escriba la contraseña
que haya definido para esta cuenta, confirme la contraseña y
pulse Siguiente.
11. En la ventana Instalación completa tiene la posibilidad de
reiniciar el equipo en ese momento o más tarde. Seleccione
hacerlo posteriormente (No) y pulse Finalizar.
Nota: una vez instalado IBM HTTP Server, debe configurar el
servicio manualmente para que el servidor no se inicie como
un servicio. Efectúe los pasos siguientes:
1. Seleccione Inicio → Configuración → Panel de control.
2. Pulse dos veces Servicios y seleccione el servicio IBM
HTTP Server.
a. Pulse Detener (sólo si el servicio ya se ha iniciado).
b. Pulse Iniciar y cambie el Tipo de inicio a Manual.
c. Pulse Aceptar.
d. Pulse Cerrar y salga del Panel de control.
Instalación de WebSphere Application Server
Para instalar WebSphere Application Server, efectúe los pasos
siguientes:
1. Coloque el CD de Tivoli Public Key Infrastructure para AIX y
NT en la unidad de CD-ROM.
94
Versión 3
Release 7.1
2. Vaya al directorio \WinNT\WebSphereAS-2031 y ejecute el
programa was2031.exe.
3. En la ventana WebSphere Application Server, pulse Siguiente.
Puede ignorar la advertencia acerca de detener el servidor
HTTP.
5. En la ventana Seleccionar componentes del servidor de
aplicaciones también puede deseleccionar las opciones
Documentación y Ejemplos; el resto de los componentes son
necesarios. Pulse Siguiente para continuar.
6. En la ventana Seleccionar kit de desarrollo Java o Entorno de
ejecución, compruebe que esté seleccionado el Kit de
desarrollo Java 1.1.6 y pulse Siguiente.
7. En la ventana Seleccionar complementos del servidor de
aplicaciones, seleccione IBM HTTP Server Versión 1.3.3.x y,
a continuación, pulse Siguiente.
8. En la ventana Seleccionar carpeta de programas, pulse
Siguiente para aceptar la carpeta de programas por omisión, o
escriba el nombre de la carpeta que desee utilizar y pulse
Siguiente.
9. En la ventana Configurar IBM HTTP Server, compruebe que
aparece la vía de acceso correcta de la ubicación de su servidor
IBM HTTP instalado en el directorio \conf y pulse Aceptar.
10. En la ventana Instalación completa, pulse Finalizar.
11. Cuando aparezca el archivo Léame, es recomendable leerlo.
12. En la ventana Reiniciar Windows tiene la posibilidad de
reiniciar el equipo en ese momento o más tarde. Seleccione Sí
para reiniciarlo ahora y pulse Aceptar.
Tivoli PKI Cómo empezar
95
5. Instalación de Tivoli PKI
en Windows NT
4. En la ventana Seleccionar directorio de destino, pulse Siguiente
para aceptar la vía de acceso de instalación por omisión o
seleccione la unidad y la carpeta de destino donde desea instalar
el software y, a continuación, pulse Siguiente.
Configuración de alias IP
En el apartado “Configuración de alias IP para el servidor Web” en
la página 42, encontrará información sobre cómo configura Tivoli
PKI los puertos del servidor Web para procesar transacciones seguras
y no seguras. Si desea utilizar una configuración distinta, utilice alias
de direcciones IP para definir los puertos.
Instalación de IBM Directory
Tivoli PKI utiliza IBM Directory para almacenar y mantener
información acerca de los certificados emitidos a través del recurso
de registro. Utilice los procedimientos que se describen en las
siguientes secciones para instalar y configurar el software del
Directorio. Puede instalar el software en un equipo remoto o en el
mismo equipo donde desee instalar un componente de servidor de
Tivoli PKI.
Instalación del software del Directorio
Para instalar el software del Directorio, efectúe los pasos siguientes:
1. Coloque el CD del IBM servidor del Directorio en la unidad de
CD-ROM y ejecute el programa setup.exe.
2. En la ventana Choose the Language of the installation
(Seleccionar el idioma de instalación), seleccione el idioma de
instalación y pulse Siguiente.
3. En la ventana de bienvenida, pulse Siguiente.
4. En la ventana Seleccionar componentes, seleccione Install the
SecureWay Directory and Client SDK (Instalar el Directorio
de SecureWay y el cliente SDK) y pulse Siguiente.
5. En la ventana Choose Destination Location (Seleccionar
ubicación de destino), pulse Siguiente para utilizar la vía de
acceso de instalación por omisión o especifique una ubicación
distinta y pulse Siguiente. Si aparece un mensaje informando de
que la partición de la instalación no es una partición NTFS,
pulse Aceptar para continuar.
96
Versión 3
Release 7.1
6. En la ventana Selección de la carpeta, pulse Siguiente para
aceptar la carpeta de programas por omisión o especifique un
nombre de carpeta distinto y pulse Siguiente.
7. En la ventana Configurar, desactive todos los cuadros y pulse
Siguiente.
8. En la ventana Iniciar copia de archivos para SecureWay
Directory y cliente SDK, compruebe las opciones seleccionadas
y pulse Siguiente.
10. En la ventana Instalación completa tiene la posibilidad de
reiniciar el equipo en ese momento o más tarde. Seleccione Sí
para reiniciar el equipo ahora y, a continuación, pulse Finalizar.
Nota: En una configuración de varios equipos, cada servidor de
Tivoli PKI debe tener instalado el software cliente del
Directorio antes de ejecutar la aplicación de configuración de
Tivoli PKI. Para instalar el software, seleccione la opción del
cliente del Directorio del CD-ROM del servidor del
Directorio en cada uno de los equipos, salvo en el que acaba
de instalar el software del servidor del Directorio. Existen dos
archivos que es imprescindible instalar: ldap.dll y
ldaploc1.dll.
Utilización del Directorio con Tivoli PKI
Antes de instalar o configurar los componentes de servidor de Tivoli
PKI, es preciso entender cómo interactúa Tivoli PKI con el
Directorio. Consulte la publicación Tivoli PKI Guía de configuración
para conocer los requisitos de esquema del Directorio y saber cómo
configurar el mismo para Tivoli PKI.
Confirmación de la configuración del sistema
Antes de instalar Tivoli PKI, efectúe lo siguiente para comprobar
que los servicios se encuentren en los estados que se indican a
continuación.
Tivoli PKI Cómo empezar
97
5. Instalación de Tivoli PKI
en Windows NT
9. Cuando el sistema lo solicite, pulse Sí para ver el archivo
Léame. Cuando lo haya leído, cierre la ventana.
1. Inicie una sesión en Windows NT como usuario de configuración
de Tivoli PKI (normalmente, cfguser).
2. Seleccione Inicio → Configuración → Panel de control.
3. Pulse dos veces Servicios y confirme los siguientes estados. La
configuración de los dos servicios que aparecen resaltados es
fundamental:
DB2 - DB2
Iniciado
DB2 - DB2DAS00
Iniciado
Gobernador DB2
Servidor aplicaciones JDBC DB2
Servidor de seguridad DB2
IBM HTTP Server
WebSphere Servlet Service
Automático
Automático
Manual
Manual
Manual
Manual
Manual
4. Pulse Cerrar y salga del Panel de control.
Instalación de Tivoli PKI
Siga las siguientes directrices para instalar los componentes del
producto Tivoli PKI.
98
¶
Debe instalar todos los programas de servidor en la misma
plataforma, en este caso en Windows NT.
¶
Si ha instalado IBM KeyWorks Versión 1.1.1 con anterioridad,
deberá instalar Tivoli PKI en otro equipo o eliminar el software
de KeyWorks y cualquier aplicación asociada antes de iniciar el
programa de instalación de Tivoli PKI.
¶
Si configura Tivoli PKI en un entorno de varios equipos, debe
repetir los procedimientos de instalación hasta que instale todos
los componentes de servidor en los equipos que desee.
¶
Cuando instale la aplicación RA Desktop, primero debe instalar
una imagen de instalación. A continuación, distribuya la imagen
o póngala a disposición de los usuarios de la red para que
puedan ejecutar el programa de instalación desde un equipo local
en el que se ejecute Windows.. Para obtener instrucciones sobre
cómo instalar, configurar o desinstalar estos programas, consulte
la publicación Tivoli PKI Guía de RA Desktop.
Versión 3
Release 7.1
¶
Si no reinició el sistema después de instalar el software
necesario, hágalo ahora. Compruebe que las variables de entorno
son correctas antes de instalar Tivoli PKI.
¶
Utilice PING o cualquier otra herramienta de conectividad de
red para verificar que los nombres de sistema principal y las
direcciones IP son válidas y conocidas por el servidor DNS de la
red.
Instalación del software de servidor
5. Instalación de Tivoli PKI
en Windows NT
Para instalar el software de servidor, efectúe los pasos siguientes:
1. Inicie una sesión en Windows NT mediante el nombre de
usuario y la contraseña que haya definido para este propósito
(normalmente, cfguser). Si es necesario, consulte el apartado
“Configuración de Windows NT” en la página 88 para obtener
ayuda.
2. Cierre todos los programas activos.
3. Coloque el CD de Tivoli Public Key Infrastructure para AIX y
NT en una unidad de CD-ROM local.
4. Seleccione Inicio → Ejecutar, pulse Examinar para ir a la
unidad de CD-ROM y ejecute setup.exe. Por ejemplo:
unidad:\WinNT\TrustAuthority\setup
Si ejecuta el programa de instalación en un equipo que disponga
de más de 256 MB de memoria, deberá añadir el conmutador /z
para inhabilitar la comprobación de memoria. Por ejemplo:
unidad:\WinNT\TrustAuthority\setup /z
5. En la ventana Seleccionar idioma de instalación, seleccione el
idioma en el que desea instalar el producto y pulse Aceptar. El
valor predeterminado es Inglés.
6. Revise la información de la ventana de bienvenida y pulse
Siguiente.
7. Si ha instalado una versión independiente de IBM DB2 en lugar
de la versión proporcionada con Tivoli PKI, aparecerá la
ventana Seleccionar ubicación de destino. Pulse Siguiente si
desea instalar el software en la ubicación por omisión
Tivoli PKI Cómo empezar
99
(c:\Archivos de programa\IBM\Tivoli PKI). De lo contrario,
pulse Examinar para seleccionar la carpeta de destino o
escríbala y pulse Siguiente.
8. En la ventana Seleccionar componentes, utilice la siguiente
tabla como guía. Seleccione los componentes que desee instalar,
deseleccione los que no desee instalar y pulse Siguiente.
Componente
Descripción
Tivoli PKI y servidor Instala los programas principales de Tivoli PKI y
de Autoridad de
el software del servidor de Autoridad de registro,
registro
incluidos los archivos necesarios para el recurso de
registro.
Servidor de Autoridad Instala la Autoridad de certificación y los
de certificación y de programas del subsistema de auditoría.
auditoría
servidor del
Directorio
Instala el software que necesitan los componentes
de Tivoli PKI para interactuar con el Directorio.
Registration Authority Instala una imagen de la instalación para la
Desktop
aplicación RA Desktop de Tivoli PKI.
Notas:
100
¶
En este punto, el programa de instalación determina si el
software necesario para los componentes seleccionados está
instalado con el nivel de versión correcto. Si alguno de los
programas necesarios no está disponible, el programa de
instalación finalizará. Instale el software necesario y vuelva
a iniciar el procedimiento de instalación.
¶
Para preparar la configuración de la base de datos, el
programa de instalación también valida el nombre de
usuario con el que se ha iniciado la sesión. Si el nombre de
usuario contiene más de ocho caracteres, el programa de
instalación finalizará. Inicie una sesión con un nombre de
usuario distinto que tenga ocho o menos caracteres y vuelva
a iniciar el procedimiento de instalación.
¶
Si selecciona Tivoli PKI y servidor de autoridad de
registro y el programa de instalación detecta que está
Versión 3
Release 7.1
disponible más de una versión de IBM WebSphere
Application Server o IBM HTTP Server, el sistema le
pedirá que seleccione la versión que desee utilizar.
9. En la ventana Seleccionar carpeta de programas, pulse
Siguiente si desea crear un icono de programa en la carpeta de
programas por omisión (Tivoli PKI). De lo contrario, escriba o
seleccione el nombre de la carpeta que desee utilizar y pulse
Siguiente.
11. Una vez instalado el software, reinicie el sistema.
Cambio de los valores bootstrap
Utilice este procedimiento sólo si desea cambiar alguno de los
valores de configuración por omisión (valores que no puede cambiar
al ejecutar la aplicación de configuración o después de haber
configurado el sistema). Realice todos los cambios bootstrap antes de
ejecutar el programa de configuración posterior a la instalación de
Tivoli PKI.
Tivoli PKI ejecuta un programa bootstrap como parte del proceso
posterior a la instalación. La entrada del programa bootstrap es un
script SQL denominado createconfig_start.sql que carga la base de
datos de configuración con los valores por omisión y crea
definiciones para la tabla de la base de datos en la tabla de base de
datos ConfigDataTbl. Esta tabla contiene los datos de configuración
del sistema para todos los componentes de Tivoli PKI. Existen varios
valores del script SQL que no se pueden cambiar tras iniciar el
proceso de configuración.
Nota: En circunstancias críticas, en las que un valor por omisión
puede provocar un problema en el entorno operativo, puede
cambiar los archivos de plantilla de Tivoli PKI antes de
iniciar la configuración. Para obtener más información,
póngase en contacto con su representante del servicio técnico
de IBM.
Tivoli PKI Cómo empezar
101
5. Instalación de Tivoli PKI
en Windows NT
10. En la ventana Instalación completa, pulse Finalizar para iniciar
el proceso de instalación. El sistema copiará los archivos en las
ubicaciones especificadas y ejecutará varios programas para
completar la instalación de Tivoli PKI.
Para cambiar un valor bootstrap, modifique el archivo
createconfig_start.sql. La ubicación por omisión de este archivo es
c:\Archivos de programa\IBM\Trust Authority\bin.
Utilice la siguiente tabla como guía para realizar los cambios:
¶
En Windows NT no se pueden cambiar los valores DATABASE
PATHNAME.
¶
Los nombres distintivos (DN) para la RA de Tivoli PKI, el
administrador del Directorio y el subsistema de auditoría son
transparentes para el usuario. Si desea cambiarlos, asegúrese de
cambiar sólo el atributo del nombre común (CN). La base del
DN de la CA (Autoridad de certificación) que especifique
durante la configuración se aplicará al CN que seleccione.
Nombre de campo
WS_RO_KEYSIZE
APP_DN
102
Descripción
Valor por omisión
0
Tamaño de la clave
keyring del servidor
Web. Opciones 0-3, tal
como se definen en la
enumeración de
KeySize, que figura a
continuación:
¶
0 = 512
¶
1 = 768
¶
2 = 1024
¶
3 = 2048
El DN de la RA de
/C=US/O=
Tivoli PKI. Sólo puede Su_organización/
modificar el CN.
OU= Tivoli PKI/CN=
Tivoli PKI RA
Versión 3
Release 7.1
Nombre de campo
APP_CERT_LIFETIME
Descripción
Valor por omisión
APP_LDAP _DIRADMIN El DN del
_DN
administrador del
Directorio. Sólo puede
modificar el CN.
/C=US/O=
Su_organización/ OU
=Tivoli PKI/CN=
DirAdmin
APP_COMM_PORT
29783
El puerto de
comunicación que se
encarga de la
comunicación entre la
infraestructura del
recurso de registro y la
RA de Tivoli PKI.
APP_SEC_MECH
El mecanismo de
seguridad de la
aplicación. El valor
por omisión inhabilita
el cifrado de la base
de datos de RA. Si se
establece en 1, se
habilita el cifrado de
la base de datos.
CA_IBM_CA_CERT
_LIFETIME
La duración del
360
certificado de CA de
Tivoli PKI,
especificada en meses.
Tivoli PKI Cómo empezar
5. Instalación de Tivoli PKI
en Windows NT
36
La duración de
cualquier certificado
que no sea CA en el
sistema (como los
certificados de usuario,
servidor o RA),
especificada en meses.
El valor que
especifique también
debe especificarse en
los archivos
jonahca.ini.tpl y
jonahra.ini.tpl.
0
103
Nombre de campo
Descripción
Valor por omisión
1835
CA_IBM_ADMIN_PORT El puerto
administrativo de CA
de Tivoli PKI. El valor
que especifique
también debe
especificarse en la
entrada PORT del
archivo,
irgAutoCA.ini.tpl, que
se encuentra en el
directorio cfg.
ADT_DN
El DN del subsistema
de auditoría. Sólo
puede modificar el
CN.
/C=US/O=
Su_organización/ OU
=Tivoli PKI/ CN
=Tivoli PKI Audit
Ejecución del programa de configuración posterior a
la instalación
Después de instalar el software del servidor de Tivoli PKI, ejecute el
programa de configuración posterior a la instalación, CfgPostInstall.
Debe ejecutar este programa antes de ejecutar el Asistente para la
configuración para configurar Tivoli PKI.
Este programa crea el archivo de configuración del servidor Web
(httpd.conf), que permite que dicho servidor se inicie con los
parámetros necesarios de Tivoli PKI. También prepara el servidor
Web para que ejecute la aplicación de configuración, crea la base de
datos de configuración y llena la base de datos con los datos de
configuración por omisión.
Para ejecutar el programa de configuración posterior a la instalación:
1. Inicie la sesión como usuario de configuración de Tivoli PKI,
cfguser.
2. Asegúrese de que existe un directorio \temp en el servidor y de
que esté definido mediante la variable de entorno %TEMP%.
104
Versión 3
Release 7.1
3. Seleccione Inicio → Programas → Tivoli Public Key
Infrastructure → Configuración posterior a la instalación.
4. Escriba exit para cerrar la ventana.
Lista de comprobación posterior a la instalación
Utilice la siguiente lista de comprobación para asegurarse de que ya
puede empezar a configurar Tivoli PKI. Para obtener información
sobre cómo ejecutar el Asistente para la configuración, consulte la
publicación Tivoli PKI Guía de configuración:
1. Utilice sus herramientas de Windows NT preferidas para realizar
una copia de seguridad del sistema actual.
2. Para agilizar la resolución de posibles problemas, cree una copia
de seguridad del Registro de Windows para comprobar que tiene
una lista de todo el software instalado.
3. Si no desea utilizar los valores de configuración por omisión para
los puertos del servidor Web, configure los alias IP antes de
ejecutar el Asistente para la configuración. Los programas de
configuración se basan en estos valores para crear el certificado
de CA del sistema. En el apartado “Configuración de alias IP
para el servidor Web” en la página 42, encontrará información
sobre cómo Tivoli PKI configura y utiliza los puertos del
servidor Web para las transacciones seguras y no seguras.
4. Decida los nombres distintivos (DN) que desee utilizar para la
CA de Tivoli PKI y sus agentes, el administrador del Directorio
y la raíz del Directorio.
Tivoli PKI Cómo empezar
105
5. Instalación de Tivoli PKI
en Windows NT
CfgPostInstall le solicita que verifique la contraseña de la cuenta
cfguser, que se estableció en el momento de crear la cuenta y, a
continuación, le solicita que establezca y confirme la contraseña del
Programa de control. La contraseña para cfguser controla el acceso a
la cuenta cfguser y a la página del asistente CfgApplet. La
contraseña para el Programa de control restringe el acceso al mismo.
Se recomienda que la contraseña para el Programa de control sea
distinta a la contraseña para cfguser. La contraseña cfguser creada
debe ser una contraseña válida del sistema, con ocho caracteres de
longitud como máximo.
Repase las directrices de la publicación Tivoli PKI Guía de
configuración para asegurarse de que los DN de dichos objetos
son compatibles con la jerarquía de certificados que pretende
utilizar.
5. Rellene el formulario Tivoli PKI Configuration Data Form
incluido con la publicación Tivoli PKI Guía de configuración
para familiarizarse con la información de la que debe disponer
antes de configurar el sistema. Utilice el formulario para anotar
información del sistema, como los nombres de sistema principal
del servidor y los nombres distintivos que prefiera.
6. Para obtener ayuda acerca de la configuración, siga estos pasos
para configurar un entorno MS-DOS amplio y con una barra de
desplazamiento en el equipo donde desee ejecutar Asistente para
la configuración. En un entorno habitual, la ventana de DOS no
tiene ninguna barra de desplazamiento y sólo muestra 24 líneas
de información:
a. Inicie la sesión como usuario de configuración de Tivoli PKI
(normalmente cfguser).
b. Seleccione Inicio → Configuración → Panel de control.
c. Pulse dos veces la Consola de MS-DOS.
d. Seleccione la ficha Presentación.
e. En la sección Tamaño del almacenamiento intermedio de
pantalla, establezca el valor de Alto en 1000 como mínimo
(puede especificar cualquier número hasta 9999) y pulse
Aceptar.
Ejecución de la utilidad de copia de seguridad
La utilidad de copia de seguridad de Tivoli PKI (ta-backup) es una
herramienta para guardar los datos de configuración que no se
almacenan en ninguna base de datos DB2. También se guardan los
datos del archivo subordinado como los permisos de archivo. Use las
utilidades de DB2 para efectuar copias de seguridad de las bases de
datos de DB2.
106
Versión 3
Release 7.1
La utilidad de copia de seguridad acepta un parámetro que identifica
el directorio donde se escriben los datos de la copia de seguridad.
Este directorio de copia de seguridad es el directorio raíz utilizado
para guardar todos los archivos de datos. Para evitar conflictos de
nombres en el directorio de copia de seguridad, la utilidad de copia
de seguridad guarda los archivos con la misma estructura de
directorio que la del sistema que se guarda.
En el siguiente ejemplo se ilustra la sintaxis del programa:
donde -d directorio_copia_seguridad es el directorio que se
utiliza para la copia de seguridad de los datos. La vía de acceso por
omisión es /usr/lpp/iau/backup.
Efectúe los pasos siguientes para ejecutar la utilidad ta-backup sin
conexión:
1. Inicie la sesión como cfguser.
2. Si lo desea, puede crear un directorio donde desee realizar la
copia de seguridad de los datos de configuración de Tivoli PKI.
Por ejemplo:
mkdir "c:\Archivos de programa\IBM\Trust Authority\mi_copia_seguridad"
3. Vaya al directorio \bin de Tivoli PKI. La vía de acceso por
omisión es c:\Archivos de programa\IBM\Trust Authority\bin.
4. Escriba el siguiente mandato y especifique la vía de acceso
absoluta donde desee que se realice la copia de seguridad de los
datos:
ta-backup -d "c:\Archivos de programa\IBM\
Trust Authority\mi_copia_seguridad"
Tivoli PKI Cómo empezar
107
5. Instalación de Tivoli PKI
en Windows NT
ta-backup -d directorio_copia_seguridad
108
Versión 3
Release 7.1
6
Configuración de Tivoli PKI
Tras la instalación del software de servidor de Tivoli Public Key
Infrastructure (PKI), debe especificar los valores de configuración
para controlar el modo en que los componentes se configuran en el
sitio. Por ejemplo, quizás desee identificar las ubicaciones de los
programas del servidor, especificar nombres distintivos (DN) y
configurar el dominio de registro.
El producto Tivoli PKI incluye el Asistente para la configuración,
una aplicación que le ayudará a especificar las opciones de
configuración. Antes de empezar la configuración del sistema Tivoli
PKI, es preciso que comprenda cómo funciona el proceso de
configuración y que decida cómo desea configurar el sistema en su
entorno. También debe tener determinada información disponible
cuando ejecute el Asistente para la configuración. Además, debe
asegurarse de que el sistema está correctamente configurado antes de
utilizarlo.
En la publicación Tivoli PKI Guía de configuración se describe
cómo preparar la configuración, cómo especificar las opciones de
Tivoli PKI Cómo empezar
109
6. Configuración de Tivoli
PKI
Durante la configuración, el sistema guarda los valores en un archivo
exportable. Esta característica resulta útil para configurar varias
instancias de Tivoli PKI que utilicen la misma plataforma y tengan
configuraciones similares. Cuando instala una nueva instancia de
Tivoli PKI, puede importar los valores guardados para utilizarlos
como referencia para configurar el nuevo sistema.
configuración y cómo preparar el sistema para su uso en un entorno
de producción. Por ejemplo, incluye:
¶
Hojas de trabajo para recopilar información antes de iniciar el
Asistente para la configuración.
¶
Instrucciones para utilizar el editor de nombres distintivos para
especificar un nombre distintivo válido.
¶
Recomendaciones para los pasos que deben seguirse antes de
utilizar Tivoli PKI en su comunidad de usuarios. Tenga en
cuenta que algunos pasos, como el cambio de las contraseñas del
servidor y la copia de seguridad del sistema recién configurado
son fundamentales.
¶
Procedimientos para desinstalar el software.
La publicación Guía de configuración, diseñada para un entorno
Web, proporciona:
¶
Información sobre tareas como, por ejemplo, “Cómo configurar
componentes remotos” o “Cómo verificar la configuración”.
¶
Información conceptual como “Información acerca de los
dominios de registro” o “Información acerca del Directorio”.
¶
Información de referencia como descripciones detalladas de los
valores que se pueden especificar mediante el Asistente para la
configuración.
Puede acceder a la publicación Guía de configuración de cualquiera
de las siguientes maneras:
¶
¶
Tras iniciar el Asistente para la configuración, pulse el botón
Ayuda y, a continuación, en el icono del libro mientras visualiza
la ayuda en pantalla.
Desde el sitio Web de Tivoli Public Key Infrastructure:
http://www.tivoli.com/support
110
Versión 3
Release 7.1
7. Iniciación
7
Iniciación
Después de instalar y configurar el sistema Tivoli Public Key
Infrastructure (PKI), debe aprender a administrarlo y a utilizar sus
interfaces gráficas de usuario. Las secciones siguientes incluyen
referencias útiles para empezar a trabajar con Tivoli PKI. Lea estos
documentos para aprender a realizar las siguientes tareas:
¶
Operaciones de ajuste del sistema, ya sea para mejorar la
seguridad de las operaciones o para realizar ajustes de
rendimiento de forma continuada.
¶
Ejecutar RA Desktop para administrar los certificados emitidos y
las solicitudes de certificados.
¶
Obtener certificados mediante los formularios de inscripción de
navegador proporcionados con el recurso de registro.
¶
Personalizar los procesos de registro, como modificar los
formularios HTML para inscripciones o incluir soporte para
distintos tipos de certificados.
Administración del sistema
Tivoli Public Key Infrastructure proporciona varias herramientas para
administrar el sistema. Incluye:
¶
Una utilidad para iniciar y detener los componentes de servidor
de forma segura y con protección por contraseña.
¶
Una utilidad para definir contraseñas seguras para programas con
componentes de confianza.
Tivoli PKI Cómo empezar
111
¶
Una utilidad para autorizar a los usuarios administrativos a
utilizar RA Desktop.
¶
Una utilidad que permite a la Autoridad de certificación (CA) de
Tivoli PKI emitir certificados cruzados con otras CA o establecer
jerarquías de CA.
¶
Una utilidad para comprobar la integridad de la base de datos de
auditoría y de los registros de auditoría archivados.
¶
Una utilidad para archivar y firmar la base de datos de auditoría.
¶
Una utilidad que provoca que una clave de raíz de CA se
renueve de un par de claves que no estén en peligro al par de
claves de CA siguiente.
¶
Un conjunto de utilidades que proporcionan un método seguro
para que un usuario autenticado solicite varios certificados
digitales con una llamada a Tivoli PKI.
En la publicación Tivoli PKI Guía de administración del sistema,
encontrará información sobre estas utilidades e instrucciones
administrativas. Por ejemplo, podrá encontrar recomendaciones para
administrar los componentes de servidor y sus bases de datos
correspondientes. También podrá tener acceso a los pasos que debe
seguir para finalizar la configuración del sistema y mejorar la
seguridad a fin de utilizarlo en un entorno de producción.
La publicación Guía de administración del sistema, diseñada para un
entorno Web, proporciona:
¶
Información sobre tareas como, por ejemplo, “Cómo detener el
sistema” o “Cómo archivar la base de datos de auditoría”.
¶
Información conceptual como “Información acerca de los
certificados cruzados”, “Información acerca de la CA de Tivoli
PKI” o “Información acerca de sucesos de auditoría”.
¶
Información de referencia como descripciones detalladas de los
parámetros de los archivos de configuración.
Para acceder a la publicación Guía de administración del sistema,
visite el sitio Web de Tivoli Public Key Infrastructure:
112
Versión 3
Release 7.1
http://www.tivoli.com/support
El servidor RA almacena registros sobre solicitudes de inscripción y
certificados emitidos en una base de datos de registro cifrada. La
evaluación de las solicitudes de inscripción y la administración de
los registros de bases de datos son tareas que pueden llevarse a cabo
mediante programación o personalmente por medio de un
administrador.
Tivoli PKI proporciona una aplicación, RA Desktop, que facilita el
proceso de solicitud de certificados que tienen que seguir los
responsables de registros autorizados, así como las medidas que
deben tomarse para los certificados ya emitidos.
RA Desktop admite los siguientes tipos de tareas administrativas:
¶ Trabajar con solicitudes de inscripción en espera de aprobación
¶ Cambiar el período de validez de los certificados que están a
punto de caducar
¶ Determinar si un certificado puede renovarse
¶ Suspender certificados de forma temporal
¶ Revocar certificados de forma permanente
En la publicación Tivoli PKI Guía de Registration Authority Desktop
se describe el applet RA Desktop.
La publicación Guía de RA Desktop, diseñada para un entorno Web,
proporciona:
¶
Información sobre tareas como, por ejemplo, “Cómo instalar RA
Desktop”, “Cómo recuperar un conjunto de certificados que
están a punto de caducar” o “Cómo visualizar un histórico de las
acciones llevadas a cabo con un certificado”.
¶
Información conceptual como “Información acerca de los
dominios de registro” o “Información acerca del período de
validez de un certificado”.
Tivoli PKI Cómo empezar
113
7. Iniciación
Administración de RA
¶
Información de referencia como descripciones detalladas de los
valores que puede especificar un responsable de registros si
utiliza RA Desktop.
Puede acceder a la publicación Guía de RA Desktop de varias
maneras:
¶
¶
Tras iniciar RA Desktop, pulse el botón Ayuda y, a
continuación, en el icono del libro mientras visualiza la ayuda en
pantalla.
Desde el sitio Web de Tivoli Public Key Infrastructure:
http://www.tivoli.com/support
Registro y certificación
Mediante los formularios de inscripción de navegador
proporcionados junto con el recurso de registro, puede registrar con
facilidad certificados de navegador, servidor y dispositivo. Una vez
aprobada la solicitud, el certificado se descarga de forma automática.
También puede utilizar los formularios de navegador para realizar
pre-registros que puedan utilizarse con una aplicación PKIX. Cuando
se aprueba la solicitud de pre-registro, se proporciona la información
necesaria para obtener el certificado en el momento oportuno.
En la publicación Tivoli PKI Guía del usuario se describen los
formularios de inscripción y se incluye lo siguiente:
¶
Información sobre tareas como, por ejemplo, “Cómo efectuar
una inscripción para un certificado de navegador” o “Cómo
renovar los certificados que están a punto de caducar”.
¶
Información conceptual como “Información acerca del
pre-registro” o “Información acerca de los certificados de
servidor”.
Puede tener acceso a la publicación Guía del usuario desde el sitio
Web de Tivoli Public Key Infrastructure:
http://www.tivoli.com/support
114
Versión 3
Release 7.1
Personalización
7. Iniciación
Tivoli PKI proporciona la flexibilidad necesaria para implementar
procesos de registro para la organización. Por ejemplo, permite
controlar los siguientes tipos de actividades:
¶
El aspecto y el idioma utilizados en los formularios de
inscripción de navegador
¶
Políticas de certificación
¶
El contenido de las cartas de notificación enviadas a los usuarios
que se registran para obtener certificados
¶
Salidas de política para administrar distintos tipos de
procesamientos automáticos
En la publicación Tivoli PKI Guía de personalización se describen
los distintos métodos existentes para personalizar el recurso de
registro.
¶
Información sobre tareas como, por ejemplo, “Cómo añadir un
campo de inscripción” o “Cómo cambiar un perfil de
certificado”.
¶
Información conceptual como “Información acerca del
pre-registro”, “Información sobre política de gestión” o
“Información sobre controles de acceso”.
¶
Información de referencia como descripciones detalladas de tipos
de certificados y el archivo de configuración del recurso de
registro.
Para acceder a la publicación Guía de personalización, visite el sitio
Web de Tivoli Public Key Infrastructure:
http://www.tivoli.com/support
Tivoli PKI Cómo empezar
115
116
Versión 3
Release 7.1
Glosario
Es este glosario se definen los términos y abreviaturas de esta
publicación que son términos nuevos o que no le resulten familiares
pero sí interesantes. Comprende términos y definiciones de:
¶
El IBM Dictionary of Computing, New York: McGraw-Hill,
1994.
¶
El American National Standard Dictionary for Information
Systems, ANSI X3.172–1990, American National Standards
Institute (ANSI), 1990.
¶
Las Answers to Frequently Asked Questions, Version 3.0,
California: RSA Data Security, Inc., 1998.
Números
4758 PCI Cryptographic Coprocessor
Tarjeta bus PCI criptográfica programable que responde a irregularidades y ofrece
proceso criptográfico DES y RSA de alto rendimiento. Los procesos criptográficos
ocurren dentro de un alojamiento seguro de la tarjeta. La tarjeta cumple los
requisitos rigurosos del estándar FIPS PUB 140-1 de nivel 4. El software puede
ejecutarse dentro del alojamiento seguro. Por ejemplo, el proceso de transacciones
de tarjetas de crédito puede utilizar el estándar SET.
A
Abstract Syntax Notation One (ASN.1)
Notación ITU que se utiliza para definir la sintaxis de los datos de información.
Define un número de tipos de datos simple y especifica una notación para
identificar estos tipos y especificar valores de estos tipos. Estas notaciones se
pueden aplicar siempre que sea necesario definir la sintaxis abstracta de información
sin limitar la manera en que se codificará la información para ser transmitida.
ACL
Lista de control de accesos.
Glosario
Agencia nacional de seguridad (NSA)
Cuerpo de seguridad oficial del gobierno de los EE.UU.
Algoritmo de firma digital (DSA)
Algoritmo de clave pública que se utiliza como parte del Estándar de firma digital.
No puede utilizarse para cifrado, sólo para firmas digitales.
Tivoli PKI Cómo empezar
117
almacén de claves
DL para almacenar credenciales del componente Tivoli PKI, como claves y
certificados, en formato cifrado.
American National Standard Code for Information Interchange (ASCII)
Código estándar que se utiliza para intercambiar información a través de sistemas de
proceso de datos, sistemas de comunicación de datos y el equipo asociado. El
estándar ASCII utiliza un conjunto de caracteres que consta de caracteres
codificados en 7 bits (8 bits si se incluye un bit para la comprobación de paridad).
El conjunto de caracteres consta de caracteres de control y caracteres gráficos.
American National Standards Institute (ANSI)
Organización que establece los procedimientos mediante los cuales las
organizaciones acreditadas crean y mantienen estándares industriales voluntarios en
Estados Unidos. Lo forman fabricantes, consumidores y grupos de interés general.
ANSI
American National Standards Institute.
anti-rechazo
Utilización de una clave privada digital para evitar que el firmante de un documento
niegue falsamente haberlo firmado.
aplicación
Programa de sistema que está escrito en Java y se ejecuta dentro de un navegador
Web compatible con Java. También conocido como un applet Java.
Applet Java
Véase applet. Compárese con aplicación de Java.
ASCII
American National Standard Code for Information Interchange.
ASN.1
Abstract Syntax Notation One.
atributo de inscripción
Variable de inscripción contenida en un formulario de inscripción. Su valor refleja la
información que se consigue durante la inscripción. El valor del atributo de
inscripción permanece sin cambios durante la vida útil de la credencial.
autenticación
Proceso de determinación fiable de la identidad de un comunicante.
autenticación de usuario
Proceso para validar que el autor de un mensaje es el propietario identificable y
legítimo del mensaje. También valida que se está realizando una comunicación con
el usuario final o el sistema que se esperaba.
118
Versión 3
Release 7.1
Autoridad de certificación (CA)
Software responsable de seguir las políticas de seguridad de una empresa y asignar
identidades electrónicas seguras en forma de certificados. La CA procesa las
solicitudes de las RA para emitir, renovar y revocar certificados. La CA interactúa
con la RA para emitir certificados y las CRL en el Directorio. Véase también
certificado digital.
Autoridad de registro (RA)
Software que administra los certificados digitales para garantizar que se aplican las
políticas de gestión de una organización desde la entrada inicial de una solicitud de
inscripción hasta la revocación de certificados.
autorización
Permiso para acceder a un recurso.
B
base de datos de registro
Contiene información sobre las solicitudes de certificados y los certificados
emitidos. La base de datos almacena los datos de inscripción y todos los cambios en
los datos del certificado durante su ciclo de vida. La base de datos puede
actualizarse mediante los procesos de la RA y las salidas de política o por los
administradores de la RA.
base informática de confianza (TCB)
Elementos de software y hardware que conjuntamente hacen respetar la política de
seguridad informática de una organización. Cualquier elemento o parte de un
elemento que pueda tener efecto en hacer cumplir la política de seguridad es de
importancia en la seguridad y forma parte de la TCB. La TCB es un objeto que está
delimitado por el perímetro de seguridad. Los mecanismos que llevan a cabo la
política de seguridad no deben ser eludibles y deben evitar que los programas
consigan acceder a los privilegios del sistema por aquellos que no estén autorizados.
Basic Encoding Rules (BER)
Reglas especificadas en la ISO 8825 para codificar unidades de datos descritas en la
notación de sintaxis abstracta 1 (ASN.1). Las reglas especifican la técnica de
codificación, no la sintaxis abstracta.
BER
Basic Encoding Rules.
Glosario
C
CA
Autoridad de certificación.
Tivoli PKI Cómo empezar
119
cadena de confianza
Un conjunto de certificados que consta de la jerarquía de confianza que abarca
desde el certificado del usuario hasta el certificado autofirmado o root.
CAST-64
Algoritmo cifrado en bloques que utiliza un tamaño de bloques de 64 bits y una
clave de 6 bits. Fue diseñado por Carlisle Adams y Stafford Tavares.
CA superior
CA que se encuentra en la parte superior de la jerarquía de CA de la PKI.
CCA
IBM Common Cryptographic Architecture.
CDSA
Common Data Security Architecture.
certificación
El proceso durante el cual una tercera parte de confianza emite una credencial
electrónica que asegura una identidad individual, empresarial u organizativa.
certificación cruzada
Modelo de fiabilidad mediante el cual una CA emite un certificado a otra CA, el
cual contiene la clave pública asociada a la clave de firma privada. Un certificado
con certificación cruzada permite que los sistemas cliente o entidades finales de un
dominio administrativo se comuniquen de forma segura con sistemas cliente o
entidades finales de otro dominio.
certificación digital
Véase certificación.
certificado de CA
Certificado aceptado por el navegador Web, bajo petición, procedente de una CA
que no reconoce. El navegador puede utilizar este certificado para autenticar las
comunicaciones con los servidores que mantienen los certificados emitidos por dicha
CA.
certificado del servidor
Certificado digital, emitido por una CA para permitir a un servidor Web que realice
transacciones basadas en SSL. Cuando un navegador conecta con el servidor
mediante el protocolo SSL, el servidor envía al navegador su clave pública. Esto
permite la autenticación de la identidad del servidor. También permite enviar
información cifrada al servidor. Véase también certificado de CA, certificado digital
y certificado de navegador.
certificado de navegador
Certificado digital que también recibe el nombre de certificado para el cliente. Lo
emite una CA a través de un servidor Web habilitado para SSL. Las claves de un
120
Versión 3
Release 7.1
archivo cifrado permiten que el poseedor del certificado cifre, descifre y firme
datos. Normalmente el navegador Web almacena estas claves. Ciertas aplicaciones
permiten el almacenamiento de las claves en Smart Cards u otros soportes. Véase
también certificado digital.
certificado de sitio
Parecido a un certificado de CA, pero sólo es válido para un sitio Web específico.
Véase también certificado de CA.
certificado digital
Credencial electrónica que emitió una tercera parte de confianza a una persona o
entidad. Cada certificado se firma con la clave privada de la CA. Asegura una
identidad individual, empresarial u organizativa.
En función del rol de la CA, el certificado puede confirmar a la autoridad del
portador que ha conducido el e-business a través de Internet. En cierto modo, un
certificado digital desempeña un papel parecido al de un permiso de conducir o un
diploma médico. Certifica que el titular de la clave privada correspondiente tiene
autoridad para realizar determinadas actividades de e-business.
Un certificado contiene información sobre la entidad que él certifica, ya sea una
persona, máquina o programa de sistema. Incluye la clave pública certificada de
dicha entidad.
Certificado X.509
Estándar de certificado muy aceptado que fue diseñado para soportar la gestión y
distribución segura de certificados firmados digitalmente a través de redes Internet
seguras. El certificado X.509 define las estructuras de datos que alojan a los
procedimientos que distribuyen las claves públicas firmadas digitalmente por
terceros de confianza.
Certificado X.509 Versión 3
El certificado X.509v3 tiene estructuras de datos extendidas para almacenar y
recuperar información de la aplicación de certificados, información de distribución
del certificado, información de revocación del certificado, información de políticas y
firmas digitales.
Los procesos de X.509v3 crean las CRL con impresión de la hora para todos los
certificados. Cada vez que se utiliza un certificado, las posibilidades del X.509v3
permiten que la aplicación compruebe la validez del certificado. También permite a
la aplicación determinar si el certificado está en la CRL. Las CRL de X.509v3
pueden construirse para un período de validez específico. También pueden basarse
en las otras circunstancias que pueden invalidar un certificado. Por ejemplo, si un
empleado deja la organización, su certificado se pondría en la CRL.
Glosario
CGI
Interfaz de gateway común.
Tivoli PKI Cómo empezar
121
cifrado/descifrado
Utilización de la clave pública del destinatario para cifrar los datos que van
dirigidos a dicha persona, quien posteriormente utiliza la clave privada del par para
descifrar los datos.
cifrar
Codificar información para que sólo la persona que disponga del código de
descifrado apropiado pueda obtener la información original mediante su descifrado.
clase
En diseño o programación orientados a objetos, grupo de objetos que comparten una
definición común y que, además, comparten propiedades, operaciones y
comportamientos comunes.
Clase Java
Unidad de código de programa Java.
clave
Cantidad utilizada en criptografía para cifrar y descifrar información.
clave de cifrado de documentos (DEK)
Normalmente, clave de cifrado/descifrado simétrico, como DES.
clave privada
Clave en un par de claves pública/privada que está disponible solamente para su
propietario. Permite al propietario recibir una transacción privada o estampar una
firma digital. Los datos firmados con una clave privada sólo pueden verificarse con
la clave pública correspondiente. Compárese con clave pública. Véase también par
de claves pública/privada.
clave pública
Clave en un par de claves pública/privada que está disponible para otros. Permite
dirigir una transacción hacia el propietario de la clave o verificar la firma digital.
Los datos cifrados con la clave pública sólo pueden descifrarse con la clave privada
correspondiente. Compárese con clave privada. Véase también par de claves
pública/privada.
clave simétrica
Clave que puede utilizarse para cifrar y descifrar. Véase también criptografía
simétrica.
cliente
(1) Unidad funcional que recibe servicios compartidos de un servidor. (2) Equipo o
programa que solicita un servicio de otro equipo o programa.
cliente de auditoría
Cualquier cliente en el sistema que envía eventos de auditoría al servidor de
auditoría de Tivoli PKI. Antes de que el cliente de auditoría envíe un evento al
122
Versión 3
Release 7.1
Servidor de auditoría, establece una conexión con el servidor de auditoría. Después
de establecerse la conexión, el cliente utiliza la biblioteca cliente del subsistema de
auditoría para entregar los eventos al servidor de auditoría.
cliente/servidor
Modelo del proceso distribuido en el que un programa de un sitio envía una
solicitud a un programa de otro sitio y espera una respuesta. El programa solicitante
se denomina cliente; el que contesta se denomina servidor.
CMP PKIX
Protocolo de gestión de certificados PKIX.
codificación base64
Medio habitual de transportar datos binarios con MIME.
código de autenticación de mensajes (MAC)
Clave secreta compartida entre el remitente y el destinatario. El remitente autentica
y el destinatario verifica. En Tivoli PKI, las claves MAC se guardan en el almacén
de claves de la CA y de los componentes de auditoría.
código de byte
Código independiente del tipo de máquina generado por el compilador Java y
ejecutado por el intérprete de Java.
Common Cryptographic Architecture (CCA)
Software de IBM que permite un enfoque coherente de la criptografía de las
principales plataformas de sistemas informáticos de IBM. Soporta software de
aplicaciones que esté escrito en una gran variedad de lenguajes de programación. El
software de aplicaciones puede llamar a servicios CCA para llevar a cabo un gran
número de funciones criptográficas, incluido el cifrado DES y RSA.
Common Data Security Architecture (CDSA)
Una iniciativa para definir un enfoque completo del servicio de seguridad y de la
gestión de la seguridad de las aplicaciones de seguridad basadas en equipos. Fue
diseñada por Intel para que las plataformas de equipos fueran más seguras para las
aplicaciones.
Common Gateway Interface (CGI)
Método estándar de transmisión de información entre páginas Web y servidores
Web.
Glosario
comprobación de integridad
Comprobación de los registros de auditoría resultantes de las transacciones con
componentes externos.
comunicación asíncrona
Modo de comunicación que no necesita que el remitente y el destinatario estén
presentes los dos a la vez.
Tivoli PKI Cómo empezar
123
condensación de mensajes
Función irreversible que toma un mensaje de tamaño arbitrario y produce una
cantidad de longitud fija. MD5 es un ejemplo de algoritmo de condensación de
mensajes.
Conectividad abierta de bases de datos (ODBC)
Estándar para acceder a diferentes sistemas de base de datos.
confidencialidad
Propiedad de no divulgación a partes no autorizadas.
correo con privacidad mejorada (PEM)
Estándar de correo con privacidad mejorada de Internet, que adoptó el Comité de
arquitectura Internet (IAB) para proporcionar correo electrónico seguro en Internet.
Los protocolos PEM proporcionan cifrado, autenticación, integridad de mensajes y
gestión de claves.
cortafuegos
Gateway entre redes que restringe el flujo de información entre redes. Normalmente,
el propósito de un cortafuegos es proteger las redes internas del uso no autorizado
procedente del exterior.
credencial
Información confidencial utilizada para probar la identidad de alguien en un
intercambio de autenticación. En entornos de redes, el tipo más común de
credenciales es un certificado que una CA ha creado y firmado.
criptografía
En seguridad de equipos, principios, medios y métodos para cifrar texto plano y
descifrar texto cifrado.
criptografía asimétrica
Criptografía que utiliza claves asimétricas diferentes para cifrar y descifrar datos.
Cada usuario recibe un par de claves: una clave pública accesible para todos y una
clave privada que sólo conoce el usuario. Se puede producir una transacción segura
cuando la clave pública y la correspondiente clave privada coinciden, habilitando así
el descifrado de la transacción. Este proceso también se conoce como criptografía
de par de claves. Compárese con criptografía simétrica.
criptografía simétrica
Criptografía que utiliza la misma clave para cifrar y descifrar. Su seguridad reside
en la clave; si se revela la clave cualquiera podría cifrar y descifrar los mensajes. La
comunicación es secreta sólo mientras la clave siga siendo secreta. Compárese con
criptografía asimétrica.
criptográfico
Perteneciente a la transformación de datos para ocultar su significado.
124
Versión 3
Release 7.1
CRL
Lista de revocación de certificados.
D
daemon
Programa que realiza tareas de fondo. Se llama implícitamente a este programa
cuando se produce una determinada condición que requiera su ayuda. El usuario no
tiene que estar pendiente del daemon porque el sistema lo utiliza automáticamente.
Un daemon puede durar siempre o el sistema puede regenerarlo a intervalos.
El término (pronunciado demon) procede de la mitología. Posteriormente, se
racionalizó como acrónimo DAEMON: Disk And Execution MONitor.
Data Encryption Standard (DES)
Cifra de un bloque de cifrado definida y endosada por el gobierno de los EE.UU. en
1977 como estándar oficial. IBM lo desarrolló originalmente. DES se ha estudiado
ampliamente desde su publicación y es un sistema criptográfico bien conocido y
muy utilizado.
DES es un sistema criptográfico simétrico. Cuando se utiliza para comunicaciones,
tanto el emisor como el receptor deben conocer la misma clave secreta. Esta clave
se utiliza para cifrar y descifrar el mensaje. DES también se puede utilizar para un
simple cifrado de usuario, como por ejemplo para almacenar archivos en un disco
duro en formato de cifrado. DES tiene un tamaño de bloques de 64 bits y utiliza
una clave de 56 bits durante el cifrado. Originalmente se diseñó para su
implementación en el hardware. NIST ha ratificado la certificación de DES como
estándar de cifrado del gobierno de los EE.UU. cada cinco años.
Data Storage Library (DL)
Módulo que proporciona acceso a datos permanentes almacenados de certificados,
CRL, claves, políticas y otros objetos relacionados con la seguridad.
DEK
Clave de descifrado de documentos.
DER
Reglas de codificación distintivas.
DES
Estándar de cifrado de datos.
descifrado
Para deshacer el proceso de cifrado.
Glosario
destino
Origen de datos designado o seleccionado.
Tivoli PKI Cómo empezar
125
DES triple
Algoritmo simétrico que cifra el texto plano tres veces. Aunque existen muchas
formas de hacerlo, la forma más segura de cifrado múltiple es DES triple con tres
claves distintas.
Diffie-Hellman
Método para establecer una clave compartida en un medio inseguro, que recibe el
nombre de sus inventores (Diffie y Hellman).
Directorio
Estructura jerárquica utilizada como repositorio global para la información
relacionada con las comunicaciones (como el correo electrónico o los intercambios
criptográficos). En el directorio se almacenan elementos específicos esenciales para
la estructura PKI, entre los que se incluyen claves públicas, certificados y listas de
revocación de certificados.
Los datos del Directorio están organizados jerárquicamente en forma de árbol, con
la raíz en la parte superior del árbol. A menudo, las organizaciones de nivel más
alto representan a individuos, gobiernos o compañías. Los usuarios y los
dispositivos están representados normalmente como hojas de cada árbol. Estos
usuarios, organizaciones, localidades, países y dispositivos tienen cada uno su propia
entrada. Cada entrada consta de atributos de tipo. Éstos proporcionan información
sobre el objeto que representa la entrada.
Cada entrada del Directorio está enlazada con un nombre distintivo (DN). Éste es
único cuando la entrada incluye un atributo que se sabe que es único en el objeto
del mundo real. Observe el siguiente DN de ejemplo. En él, el país (C) es US, la
organización (O) es IBM, la unidad organizativa (OU) es Trust y el nombre común
(CN) es CA1.
C=US/O=IBM/OU=Trust/CN=CA1
DL
Biblioteca de almacenamiento de datos.
DN
Nombre distintivo.
dominio
Véase dominio de seguridad y dominio de registro.
dominio de confianza
Conjunto de entidades cuyos certificados han sido certificados por la misma CA.
dominio de registro
Conjunto de recursos, políticas y opciones de configuración relacionados con
procesos específicos de registro de certificados. El nombre del dominio es un
subconjunto del URL utilizado para ejecutar recursos de registro.
126
Versión 3
Release 7.1
dominio de seguridad
Grupo (compañía, grupo de trabajo o equipo, docente o gubernamental) cuyos
certificados han sido certificados por la misma CA. Los usuarios con certificados
firmados por una CA pueden confiar en la identidad de otro usuario que tiene un
certificado firmado por la misma CA.
DSA
Algoritmo de firma digital.
E
e-business
Transacciones comerciales sobre redes y mediante sistemas. Incluye la compra y
venta de mercancías y servicios. También incluye la transferencia de fondos
mediante comunicaciones digitales.
e-commerce
Transacciones inter-comerciales. Incluye la compra y venta de mercancías y
servicios (con clientes, distribuidores, proveedores y otros) en Internet. Es un
elemento primario del e-business.
entidad final
Sujeto de un certificado que no sea una CA.
esquema
En lo que se refiere al Directorio, estructura interna que define las relaciones entre
los diferentes tipos de objeto.
Estándares de criptografía de clave pública (PKCS)
Estándares informales entre proveedores desarrollados en 1991 por los RSA
Laboratories con representantes de varios proveedores de sistemas. Estos estándares
contemplan el cifrado RSA, el acuerdo Diffie-Hellman, el cifrado basado en
contraseña, la sintaxis de certificados extendidos, la sintaxis de mensajes
criptográficos, la sintaxis de la información de clave privada y la sintaxis de
certificación.
PKCS #1 describe un método para cifrar los datos utilizando el sistema
criptográfico de clave pública RSA. Se utiliza para la construcción de firmas y
sobres digitales.
¶
PKCS #7 especifica el formato general de los mensajes criptográficos.
¶
PKCS #10 especifica la sintaxis estándar de las solicitudes de certificación.
¶
PKCS #11 define la interfaz de programación independiente de la tecnología
para los dispositivos criptográficos como Smart Cards.
¶
PKCS #12 especifica el formato portátil para almacenar o transportar las claves
privadas, los certificados, secretos varios, etc., del usuario.
Tivoli PKI Cómo empezar
127
Glosario
¶
estructura interna
Véase esquema.
extensión de certificado
Dispositivo opcional del formato de certificado X.509v3 que se proporciona para
incluir campos adicionales en el certificado. Hay extensiones estándar y extensiones
definidas por el usuario. Las extensiones estándar sirven para varios fines, incluida
la información de política y claves, atributos del sujeto y del emisor, y limitaciones
de la vía de acceso de certificación.
extranet
Derivada de Internet que utiliza una tecnología similar. Las compañías están
empezando a aplicar publicaciones Web, comercio electrónico, transmisión de
mensajes y groupware en múltiples comunidades de clientes, asociados y personal
interno.
F
firma de código
Técnica para firmar programas ejecutables mediante firmas digitales. El proceso de
firma de código se ha diseñado para mejorar la fiabilidad del software que se
distribuye en Internet.
firma digital
Mensaje codificado añadido a un documento o datos que garantiza la identidad del
remitente.
Una firma digital puede proporcionar mayor nivel de seguridad que una firma física.
La razón por la que esto ocurre es que una firma digital no es un nombre cifrado o
una serie de códigos de identificación sencillos. En realidad es un resumen cifrado
del mensaje que se firma. De este modo, al añadir una firma digital a un mensaje se
proporciona un medio sólido de identificación del remitente. Solamente la clave del
remitente puede crear la firma. También se asegura el contenido del mensaje que se
firma (el resumen cifrado del mensaje debe coincidir con el contenido del mensaje o
la firma no será válida). De este modo, una firma digital no puede copiarse de un
mensaje y aplicarse en otro, porque el resumen, o dato de control (hash), no
coincidiría. Cualquier modificación del mensaje firmado también invalidaría la
firma.
firmar
Utilizar la clave privada para generar una firma. La firma es un medio de probar
que se es responsable del mensaje que se firma y que se aprueba.
firma/verificación
Firmar es utilizar una clave digital privada para generar una firma. Verificar es
utilizar la clave pública correspondiente para verificar la firma.
128
Versión 3
Release 7.1
FTP
Protocolo de transferencia de archivos.
G
gateway
Unidad funcional que permite que las redes o aplicaciones incompatibles se
comuniquen entre ellas.
H
hipertexto
Texto que contiene palabras, frases o gráficos sobre los que el lector puede pulsar
con el ratón para recuperar y visualizar otro documento. Estas palabras, frases o
gráficos se les conoce como hiperenlaces. Recuperarlos se conoce como enlazar con
ellos.
historial de acciones
Eventos acumulados durante el ciclo de vida de una credencial.
HTML
Lenguaje de marcas de hipertexto.
HTTP
Protocolo de transferencia de hipertexto.
I
ICL
Lista de certificados emitidos.
ID de solicitud
Valor ASCII de 24 a 32 caracteres que identifica de forma exclusiva una solicitud
de certificado de la RA. Este valor se puede utilizar en la transacción de solicitud
del certificado para recuperar el estado de la solicitud o el certificado con el que
está asociada.
ID de transacción
Identificador proporcionado por la RA como respuesta a una solicitud de inscripción
de pre-registro. Permite al usuario que ejecuta la aplicación cliente de Tivoli PKI
obtener el certificado previo a la aprobación.
Glosario
identificador de objeto (OID)
Valor de datos asignado administrativamente del tipo definido en la notación de
sintaxis abstracta 1 (ASN.1).
Tivoli PKI Cómo empezar
129
IETF (Grupo de trabajo técnico para Internet)
Grupo centrado en la ingeniería y el desarrollo de protocolos para Internet.
Representa una comunidad internacional de diseñadores, operadores, proveedores e
investigadores de redes. El IETF se ocupa del desarrollo de la arquitectura de
Internet y de su uso fluido.
infraestructura de clave pública (PKI)
Estándar para el software de seguridad que está basado en la criptografía de clave
pública. PKI es un sistema de certificados digitales, autoridades de certificación,
autoridades de registro, servicios de gestión de certificados y servicios de directorio
distribuido. Se utiliza para verificar la identidad y autoridad de cada una de las
partes involucradas en cualquier transacción realizada en Internet. En estas
transacciones podrían estar involucradas operaciones en las que se requiere la
verificación de identidad. Por ejemplo, podrían confirmar el origen de los intentos
de propuesta, los autores de los mensajes de correo electrónico o las transacciones
financieras.
PKI hace que las claves de cifrado públicas y los certificados estén disponibles para
la autenticación a través de un individuo u organización válido. Proporciona
directorios en línea que contienen las claves de cifrado públicas y los certificados
que se utilizan para verificar los certificados digitales, credenciales y firmas
digitales.
PKI ofrece un medio para obtener respuestas rápidas y eficaces a las consultas de
verificación y las solicitudes de claves de cifrado públicas. También avisa al sistema
de los peligros potenciales de seguridad y mantiene los recursos necesarios para
tratar las violaciones de seguridad. Por último, PKI proporciona un servicio de
impresión de la hora digital para las transacciones comerciales importantes.
IniEditor
En Tivoli PKI, herramienta utilizada para editar los archivos de configuración.
inscripción
En Tivoli PKI, proceso para obtener las credenciales a utilizar en Internet. La
inscripción engloba la solicitud, renovación y revocación de certificados.
instancia
En DB2, una instancia es un entorno lógico de gestión de base de datos para
almacenar datos y ejecutar aplicaciones. Permite definir un conjunto común de
parámetros de configuración para bases de datos múltiples.
integridad
Un sistema protege la integridad de los datos si evita modificaciones no autorizadas
(a diferencia de proteger la confidencialidad de los datos, que evita su revelación no
autorizada).
Interconexión de sistemas abiertos (OSI)
Nombres de los estándares para redes informáticas aprobados por ISO.
130
Versión 3
Release 7.1
Internet
Grupo de redes a nivel mundial que proporciona conexión electrónica entre
sistemas. Esto les permite comunicarse entre ellos mediante dispositivos de software
como son el correo electrónico y los navegadores Web. Por ejemplo, algunas
universidades forman una red que a su vez enlaza con otras redes similares para
formar Internet.
intervalo de publicación de la CRL
Definido en el archivo de configuración de la CA, intervalo de tiempo entre
publicaciones periódicas de la CRL en el Directorio.
intranet
Red dentro de una empresa que suele residir detrás de los cortafuegos. Es una
derivada de Internet y utiliza una tecnología similar. Técnicamente, una intranet es
una mera extensión de Internet. HTML y HTTP son algunos de los elementos que
comparten.
IPSec
Estándar de Seguridad del protocolo de Internet desarrollado por el IETF. IPSec es
un protocolo de capa de red, diseñado para proporcionar servicios criptográficos de
seguridad que soportan de forma flexible combinaciones de autenticación,
integridad, control de acceso y confidencialidad. Por sus fuertes características de
autenticación, ha sido adoptado por muchos proveedores de productos VPN como
protocolo para establecer conexiones seguras punto a punto en Internet.
ISO
Organización internacional de estándares.
ITU
Unión internacional de telecomunicaciones.
J
Java
Programa autónomo escrito en lenguaje Java. Se ejecuta fuera del contexto de un
navegador Web.
Java
Conjunto de tecnologías de sistemas sin plataforma específica preparado para redes
y desarrollado por Sun Microsystems, Incorporated. El entorno Java consta del
sistema operativo Java, máquinas virtuales para distintas plataformas, lenguaje de
programación Java orientado a objetos y varias bibliotecas de clases.
Tivoli PKI Cómo empezar
131
Glosario
jerarquía
Organización de Autoridades de certificación (CA) en una cadena de confianza, que
empieza con la CA autofirmada o el administrador de administradores y que acaba
con la CA que emite los certificados a los usuarios finales.
jerarquía de CA
En Tivoli PKI, estructura de confianza en la que en la parte superior de la estructura
se encuentra una CA y por debajo se encuentran cuatro niveles de la CA
subordinados. Cuando los usuarios o servidores se registran en una CA, reciben de
esa CA un certificado firmado y heredan la jerarquía de certificación de los niveles
superiores.
L
LDAP
Lightweight Directory Access Protocol.
Lenguaje de marcas de hipertexto (HTML)
Lenguaje de marcas para codificar las páginas Web. Está basado en SGML.
Lenguaje estandarizado de marcas general (SGML)
Estándar para describir los lenguajes de marcas. HTML está basado en SGML.
Lenguaje Java
Lenguaje de programación, desarrollado por Sun Microsystems, diseñado
específicamente para ser utilizado en applets y aplicaciones agente.
Lightweight Directory Access Protocol (LDAP )
Protocolo utilizado para acceder al Directorio.
lista de certificados emitidos (ICL)
Lista completa de certificados que han sido emitidos y su estado actual. Los
certificados están indexados por número de serie y estado. La CA mantiene esta
lista y se almacena en la base de datos de la CA.
lista de control de accesos (ACL)
Mecanismo para limitar el uso de un recurso específico a los usuarios autorizados.
lista de revocación de certificados (CRL)
Lista con firma digital e impresión de la fecha y hora de los certificados que la
Autoridad de certificación ha revocado. Los certificados de esta lista se deben
considerar no aceptables. Véase también certificado digital.
Localizador uniforme de recursos (URL)
Esquema para direccionar recursos en Internet. El URL especifica el protocolo, el
nombre del sistema principal o la dirección IP. También incluye el número de
puerto, la vía de acceso y los detalles de los recursos que son necesarios para
acceder a un recurso desde una máquina concreta.
132
Versión 3
Release 7.1
M
MAC
Código de autenticación de mensajes.
Máquina virtual de Java (JVM)
Parte del entorno de ejecución de Java responsable de interpretar los códigos de
byte.
MD5
Función de control de condensación de mensajes de sentido único, diseñada por Ron
Rivest. Es una versión mejorada de MD4. MD5 procesa el texto de entrada en
bloques de 512 bits, divididos en 16 sub-bloques de 32 bits. La salida del algoritmo
es un conjunto de cuatro bloques de 32 bits, que se concatenan para formar un
único valor de control de 128 bits. También se utiliza junto con MD2 en los
protocolos PEM.
MD4
Función de control de condensación de mensajes de 128 bits, diseñada por Ron
Rivest. Es varias veces más rápida que MD2.
MD2
Función de control de condensación de mensajes de 128 bits, diseñada por Ron
Rivest. Se utiliza con MD5 en los protocolos PEM.
MIME (Extensiones multipropósito de correo de Internet)
Conjunto de especificaciones disponible libremente que permite intercambiar texto
entre idiomas con juegos de caracteres diferentes. También permite el correo
electrónico multimedia entre gran variedad de sistemas informáticos diferentes que
utilizan los estándares de correo Internet. Por ejemplo, los mensajes de correo
electrónico pueden contener juegos de caracteres distintos a US-ASCII, texto
enriquecido, imágenes y sonidos.
modelo de confianza
Convenio de estructuración que determina la forma en que las autoridades de
certificación certifican a otras autoridades de certificación.
modulus
Tivoli PKI Cómo empezar
133
Glosario
En el sistema criptográfico de clave pública RSA, producto (n) de dos números
primos grandes: p y q. El mejor tamaño para un modulus RA depende de las
necesidades de cada uno. Cuanto más grande sea el modulus, mayor será la
seguridad. Los tamaños de clave recomendados actualmente por los RSA
Laboratories dependen del uso al que vaya destinada la clave: 768 bits para uso
personal, 1024 bits para uso corporativo y 2048 bits para claves de gran valor como
el par de claves de una CA. Se supone que una clave de 768 bits será segura como
mínimo hasta el año 2004.
N
navegador
Véase navegador Web.
navegador Web
Software cliente que se ejecuta en un PC de sobremesa y que permite al usuario
examinar la World Wide Web o las páginas HTML locales. Es una herramienta de
recuperación que proporciona acceso universal a la inmensa colección de material
hipermedia disponible en la Web e Internet. Algunos navegadores pueden mostrar
texto y gráficos, pero algunos sólo pueden mostrar texto. La mayoría de los
navegadores pueden manejar las principales formas de comunicación de Internet,
como las transacciones FTP.
NIST
Instituto nacional de estándares y tecnología, conocido anteriormente como NBS
(Agencia nacional de estándares). Promueve los estándares abiertos y la
interoperatividad en las industrias basadas en sistemas informáticos.
NLS
Soporte de idioma nacional.
nombre distintivo (DN)
Nombre único de una entrada de datos que se almacena en el Directorio. El DN
identifica de forma única la posición de una entrada en la estructura jerárquica del
Directorio.
nonce
Cadena de caracteres enviada por un servidor o aplicación solicitando la
autorización del usuario. El usuario al que se le solicita autenticación firma el nonce
con una clave privada. La clave pública del usuario y el nonce firmado se envían de
vuelta al servidor o aplicación que solicitó la autenticación. Luego el servidor
intenta descifrar el nonce firmado con la clave pública del usuario. Si el nonce
descifrado es el mismo que el original que se envió, el usuario es autenticado.
Normas distintivas de codificación (DER)
Establece restricciones sobre las BER. Las DER seleccionan un solo tipo de
codificación de todos los que permiten las normas de codificación, eliminando todas
las opciones del remitente.
NSA
Agencia nacional de seguridad.
134
Versión 3
Release 7.1
O
objeto
En diseño o programación orientados a objetos, abstracción que encapsula los datos
y las operaciones asociadas a dichos datos. Véase también clase.
Objetos de proceso empresarial
Código utilizado para realizar una determinada operación de registro, como por
ejemplo la comprobación del estado de una solicitud de inscripción o la verificación
de que se ha enviado una clave pública.
ODBC
Conectividad abierta de bases de datos.
Organización internacional de estándares (ISO)
Organización internacional que tiene como cometido desarrollar y publicar
estándares.
OSI
Interconexión de sistemas abiertos.
oyente PKIX
Servidor HTTP público que utiliza un dominio de registro particular para escuchar
las solicitudes procedentes de la aplicación cliente de Tivoli PKI.
P
par de claves
Claves correspondientes que se utilizan en criptografía asimétrica. Una clave se
utiliza para cifrar y otra para descifrar.
Tivoli PKI Cómo empezar
135
Glosario
par de claves pública/privada
El par de claves pública/privada es parte del concepto de la criptografía de par de
claves (introducido en 1976 por Diffie y Hellman para resolver el problema de la
gestión de claves). Según su concepto, cada persona obtiene un par de claves,
denominadas clave pública y clave privada. La clave pública de cada persona se
hace pública mientras que la clave privada se mantiene en secreto. El remitente y el
receptor no necesitan compartir la información secreta: en todas las comunicaciones
sólo se ven involucradas las claves públicas, y la clave privada nunca se transmite o
comparte. Ya no es necesario confiar en que algún canal de comunicación sea
seguro contra escuchas o revelaciones. El único requisito es que las claves públicas
deben estar asociadas con sus usuarios mediante una relación de confianza
(autenticadas), como por ejemplo en un directorio de confianza. Cualquiera puede
enviar un mensaje confidencial utilizando información pública. Sin embargo, el
mensaje solamente puede descifrarse con una clave privada, que está en posesión
exclusiva del destinatario al que va dirigido. Es más, la criptografía de par de claves
no sólo puede utilizarse por motivos de privacidad (cifrado), sino también para
autenticación (firmas digitales).
PEM
Correo con privacidad mejorada.
perfil de certificado
Conjunto de características que definen el tipo de certificado que se desea (por
ejemplo certificados SSL o certificados IPSec). El perfil facilita la gestión de las
especificaciones y el registro de los certificados. El emisor puede cambiar los
nombres de los perfiles y especificar características del certificado que se desee, por
ejemplo el período de validez, el uso de claves, las limitaciones DN, etcétera.
pista de auditoría
Datos, en forma de vía de acceso lógica, que enlazan una secuencia de eventos. La
pista de auditoría permite rastrear transacciones o el historial de una actividad
determinada.
PKCS
Estándares de criptografía de clave pública.
PKCS #12
Véase Estándares de criptografía de clave pública.
PKCS #1
Véase Estándares de criptografía de clave pública.
PKCS #10
Véase Estándares de criptografía de clave pública.
PKCS #11
Véase Estándares de criptografía de clave pública.
PKCS #7
Véase Estándares de criptografía de clave pública.
PKI
Infraestructura de clave pública.
PKIX
PKI basada en X.509v3.
plantilla de proceso empresarial
Conjunto de Objetos de proceso empresarial que se ejecutan en un orden
especificado.
136
Versión 3
Release 7.1
política de certificados
Conjunto de reglas con nombre que indica el grado de aplicación de un certificado
en una clase determinada de aplicaciones que tienen requisitos de seguridad
comunes. Por ejemplo, una política de certificado puede indicar si un cierto tipo de
certificación permite que un usuario realice transacciones de productos en un rango
de precios determinado.
pre-registro
En Tivoli PKI, proceso que permite a un usuario, normalmente un administrador,
inscribir a otros usuarios. Si la solicitud es aprobada, la RA proporciona la
información que más tarde permite al usuario obtener el certificado utilizando la
aplicación cliente de Tivoli PKI.
privacidad
Protección contra la revelación no autorizada de datos.
proceso de registro
En Tivoli PKI, pasos para validar a un usuario, para que el usuario y la clave
pública del usuario puedan ser certificados y participen en transacciones. Este
proceso puede ser local o basado en Web, y puede estar automatizado o ser
administrado por interacción del hombre.
protocolo
Convenio acordado para las comunicaciones entre sistemas.
Protocolo de control de transporte/Protocolo Internet (TCP/IP)
Conjunto de protocolos de comunicaciones que soportan funciones de conectividad
de igual a igual para redes locales y de área amplia.
protocolo de gestión de certificados PKIX (CMP)
Protocolo que permite las conexiones con aplicaciones compatibles PKIX. El CMP
PKIX utiliza TCP/IP como mecanismo de transporte principal, pero existe una capa
de abstracción sobre zócalos. Esto permite soportar transportes de sondeo
adicionales.
Protocolo de transferencia de archivos (FTP)
Protocolo cliente/servidor de Internet que se utiliza para transferir archivos entre
sistemas.
Protocolo de transferencia de hipertexto (HTTP)
Protocolo cliente/servidor de Internet para transferir archivos de hipertexto a través
de la Web.
Tivoli PKI Cómo empezar
Glosario
Protocolo simple de transferencia de correo (SMTP)
Protocolo que transfiere correo electrónico por Internet.
137
R
RA
Autoridad de registro.
RA Desktop
Applet Java que proporciona a las RA una interfaz gráfica para procesar las
solicitudes de credenciales y administrarlas durante su vida útil.
RC2
Cifrado de bloques con tamaño de clave variable, diseñado por Ron Rivest para la
Seguridad de datos RSA. RC significa Ron’s Code (código de Ron) o Rivest’s
Cipher (cifrado de Rivest). Es más rápido que DES y está diseñado para sustituir a
DES a corto plazo. Puede ser más o menos seguro que DES contra la búsqueda
exhaustiva de claves utilizando los tamaños de clave apropiados. Tiene un tamaño
de bloque de 64 bits y, en cuanto al software, es dos o tres veces más rápido que
DES. RC2 puede utilizarse con las mismas modalidades que DES.
Un acuerdo entre la Asociación de editores de software (SPA) y el gobierno de los
EE.UU. da a RC2 una posición especial. Esto hace más sencillo y rápido el proceso
de aprobación de exportación que el proceso de exportación criptográfico habitual.
Sin embargo, para permitir la aprobación de exportación rápida, el producto debe
limitar el tamaño de la clave RC2 a 40 bits con algunas excepciones. Se puede
utilizar una cadena de caracteres adicional para burlar a los atacantes que intenten
precalcular una tabla de búsqueda de gran tamaño de posibles cifrados.
rechazar
Desestimar como falso; por ejemplo, negar que se ha enviado un mensaje específico
o que se ha enviado una solicitud específica.
Recuperación y copia de seguridad de clave
Esta función de Tivoli PKI le permite efectuar copias de seguridad y recuperar los
certificados de entidad final y sus claves privadas y públicas correspondientes
certificadas por Tivoli PKI. El certificado y las claves se almacenan en un archivo
PKCS #12. Este archivo está protegido mediante una contraseña. Ésta se define en
el momento en que se efectúa la copia de seguridad del certificado y de las claves.
Red privada virtual (VPN)
Red privada de datos que utiliza Internet en lugar de líneas telefónicas para
establecer conexiones remotas. Las organizaciones pueden reducir significativamente
los costes de acceso remoto si los usuarios acceden a los recursos de las redes de la
empresa mediante un Proveedor de servicios Internet (ISP) en lugar de hacerlo a
través de una compañía telefónica. Una VPN también mejora la seguridad de los
intercambios de datos. En la tecnología de cortafuegos tradicional, el contenido del
mensaje puede cifrarse, pero no las direcciones origen y destino. En la tecnología
VPN, los usuarios pueden establecer una conexión por túnel en la que el paquete
completo de información (contenido y cabecera) está cifrado y encapsulado.
138
Versión 3
Release 7.1
responsable de registros
Usuario que ha sido autorizado a acceder a RA Desktop, para administrar
certificados y solicitudes de certificados.
recurso de registro
Infraestructura de aplicación de Tivoli PKI que proporciona recursos especializados
de entidades de inscripción (como navegadores, direccionadores, correo electrónico
y aplicaciones cliente seguras) y gestión de certificados durante su ciclo de vida.
registro de auditoría
En Tivoli PKI, tabla en una base de datos que almacena un registro por cada evento
de auditoría.
RSA
Algoritmo criptográfico de clave pública que lleva el nombre de sus inventores
(Rivest, Shamir y Adelman). Se utiliza para cifrado y firmas digitales.
S
salida de política
En un recurso de registro, programa definido por una organización que es llamado
por la aplicación de registro. Las normas especificadas en una política de salida
aplican las preferencias de gestión y seguridad de la organización en los procesos de
inscripción.
Secure Sockets Layer (SSL)
Protocolo de comunicaciones estándar IETF con servicios de seguridad incorporados
que son lo más transparente posibles para el usuario final. Proporciona un canal de
comunicación digitalmente seguro.
Un servidor con capacidad SSL normalmente acepta solicitudes de conexión SSL en
un puerto diferente al solicitado en las solicitudes HTTP estándar. SSL crea una
sesión durante la cual el intercambio de señales para establecer la comunicación
entre dos módems debe producirse una sola vez. Después de eso, se cifra la
comunicación. La comprobación de integridad de los mensajes continúa hasta que
finaliza la sesión SSL.
servidor
(1) En una red, estación de datos que proporciona funciones a otras estaciones; por
ejemplo, un servidor de archivos. (2) En TCP/IP, sistema en una red que maneja las
solicitudes de un sistema en otra ubicación, denominado cliente/servidor.
servidor de auditoría
Servidor de Tivoli PKI que recibe eventos de auditoría de los clientes de auditoría y
los escribe en un registro de auditoría.
Tivoli PKI Cómo empezar
139
Glosario
servidor CA
Servidor para el componente Autoridad de certificación (CA) de Tivoli PKI.
Servidor del Directorio
En Tivoli PKI, IBM Directory. Este Directorio soporta estándares LDAP y utiliza
DB2 como base.
servidor HTTP
Servidor que maneja las comunicaciones basadas en Web con navegadores y otros
programas en una red.
servidor proxy
Intermediario entre el sistema que solicita acceso (sistema A) y el sistema al que se
accede (sistema B). Así, si un usuario final solicita un recurso al sistema A, la
solicitud se dirige al servidor proxy. El servidor proxy hace la solicitud, obtiene la
respuesta del sistema B y luego reenvía la respuesta al usuario final. Los servidores
proxy son de utilidad para acceder a los recursos de la World Wide Web desde
detrás de un cortafuegos.
servidor RA
Servidor del componente Autoridad de registro de Tivoli PKI.
Servidor Web
Programa servidor que responde a las solicitudes de recursos de información
procedentes de los programas navegadores. Véase también servidor.
servlet
Programa de la parte servidor que proporciona funcionalidad adicional a los
servidores preparados para Java.
SET
Transacción electrónica segura.
SGML
Lenguaje estandarizado de marcas general.
Smart Card
Pieza de hardware, normalmente del tamaño de una tarjeta de crédito, para
almacenar las claves digitales del usuario. Una Smart Card puede estar protegida
con contraseña.
S/MIME
Estándar que soporta la firma y el cifrado de correo electrónico transmitido a través
de Internet. Véase MIME.
SMTP
Protocolo simple de transferencia de correo.
140
Versión 3
Release 7.1
Soporte de idioma nacional (NLS)
Soporte dentro de un producto de las diferencias entre entornos nacionales,
incluyendo el idioma, la moneda, los formatos de fecha y hora y la representación
numérica.
SSHA-1 (Algoritmo de dato de control seguro)
Algoritmo diseñado por el NIST y la NSA para utilizarse con el Estándar de firma
digital. El estándar es el Estándar de dato de control seguro; SHA es el algoritmo
utilizado por el estándar. SHA produce un dato de control de 160 bits.
SSL
Secure Sockets Layer.
subsistema de auditoría
En Tivoli PKI, subsistema que proporciona el soporte para registrar
cronológicamente acciones relevantes de seguridad. Cumple las recomendaciones del
estándar X9.57, del conjunto de estándares explicados en Public Key Cryptography
for the Financial Services Industry.
T
tarjeta PC
Similar a una Smart Card, denominada a veces tarjeta PCMCIA. Esta tarjeta es algo
más grande que una Smart Card y suele tener mayor capacidad.
TCP/IP
Protocolo de control de transporte/Protocolo Internet.
texto claro
Datos no cifrados. Sinónimo de texto plano.
texto plano
Datos no cifrados. Sinónimo de texto limpio.
tipo
Véase tipo de objeto.
tipo de objeto
Tipo de objeto que puede almacenarse en el Directorio. Por ejemplo, una
organización, sala de reuniones, dispositivo, persona, programa o proceso.
Tivoli PKI Cómo empezar
141
Glosario
Tivoli PKI
Solución de seguridad IBM integrada que soporta la emisión, renovación y
revocación de certificados digitales. Estos certificados pueden utilizarse en una gran
variedad de aplicaciones Internet, proporcionando un medio para autenticar usuarios
y asegurar comunicaciones de confianza.
TP
Política de confianza.
Transacción electrónica segura (SET)
Estándar del mercado que ofrece seguridad en los pagos mediante tarjeta de crédito
o de débito en redes que no son de confianza. El estándar incorpora autenticación
de los titulares, comerciantes y bancos emisores de tarjetas porque exige la emisión
de certificados.
túnel
En tecnología VPN, conexión punto a punto virtual bajo demanda realizada
mediante Internet. Mientras están conectados, los usuarios remotos pueden utilizar el
túnel para intercambiar información segura, cifrada y encapsulada con los servidores
ubicados en la red privada de la empresa.
U
Unicode
Juego de caracteres de 16 bits definido por ISO 10646. El estándar de codificación
de caracteres Unicode es un código de caracteres internacional para el proceso de
información. El estándar Unicode engloba los principales scripts del mundo y
proporciona los cimientos para la internacionalización y localización del software.
Todo el código fuente del entorno de programación Java está escrito en Unicode.
Unión internacional de telecomunicaciones (ITU)
Organismo internacional en el que los gobiernos y el sector privado coordinan las
redes y servicios de telecomunicaciones globales. Es el editor principal de
información sobre tecnología de comunicaciones, reglamentación y estándares.
URL
Localizador uniforme de recursos.
UTF-8
Formato de transformación. Permite a los sistemas de proceso de información que
manejan juegos de caracteres de 8 bits convertir Unicode de 16 bits a un
equivalente de 8 bits y volver a retroceder sin perder información.
V
validación de cadenas
Validación de todas las firmas de CA de la jerarquía de confianza a través de la cual
se emite el certificado en cuestión. Por ejemplo, si una CA ha emitido su certificado
de firma a través de otra CA, ambas firmas se validan durante el proceso de
validación del certificado que presenta el usuario.
142
Versión 3
Release 7.1
variable de inscripción
Véase atributo de inscripción.
VPN
Red privada virtual.
W
WebSphere Application Server
Producto IBM que facilita a los usuarios el desarrollo y la gestión de sitios Web de
alto rendimiento. Simplifica la transición de publicaciones Web sencillas a
aplicaciones Web de e-business avanzadas. WebSphere Application Server consta de
un motor servlet basado en Java que es independiente del servidor Web y de su
sistema operativo subyacente.
World Wide Web (WWW)
Parte de Internet donde se establece una red de conexiones entre sistemas que
contienen material hipermedia. Este material proporciona información y puede
ofrecer enlaces con otro material de la WWW e Internet. Se accede a los recursos
de la WWW mediante un programa navegador Web.
X
X.500
Estándar para poner en práctica un servicio de directorio multipropósito, distribuido
y reproducido mediante la interconexión de sistemas informáticos. Fue definido
conjuntamente por la Unión internacional de telecomunicaciones (ITU), conocida
anteriormente como CCITT, y la Comisión internacional de electroquímica
(ISO/IEC).
Glosario
Tivoli PKI Cómo empezar
143
144
Versión 3
Release 7.1
Índice
A
Tivoli PKI Cómo empezar
Índice
a quién va dirigido xiv
acerca de esta guía xiii
administrador del Directorio
almacén de claves 20
entrada DN 45
AIX
configuraciones de hardware 28
configurar 54
consideraciones acerca de la seguridad 37
consideraciones acerca del cortafuegos 39
controles de acceso 39
directrices de instalación 71
grupos de volúmenes 57
guía básica de instalación 53
imagen del sistema 60
instalar el coprocesador 4758 71
instalar el servidor del Directorio 63
lista de comprobación posterior a la
instalación 84
nivel del sistema operativo 25
nombre de usuario cfguser 41, 83, 104
plataformas de servidor 25
realizar copias de seguridad 60
requisitos de software 25
resolución de nombres de sistema
principal 59
sistema de archivos en CD-ROM 58
sistemas de archivos 57
usuarios del sistema 59
utilidad de copia de seguridad 85
valores bootstrap 79, 101
verificar conjuntos de archivos 55
ajustar tamaño del sistema
instrucciones 27
recomendado para AIX 28
recomendado para NT 28
algoritmos criptográficos 50
algoritmos de cifrado 50
alias IP
configurar en NT 96
descrito 42
almacenes de claves 20
almacenes de objetos 19
aplicación cliente
documentación para 114
instalar 72, 98
requisitos del sistema 29
archivo createconfig_start.sql 79, 101
archivo httpd.conf 83, 104
archivo PKCS #12, recuperar 16
arquitectura
almacenes de objetos 19
protocolo LDAP 18
protocolo PKIX CMP 18
arquitectura del sistema
configuraciones de servidor 49
diagrama 3
Asistente para la configuración
ayuda para 110
biblioteca swing 29
documentación para 109
requisitos del sistema 28
visión general 109
autenticación de cliente 42
Autoridad de certificación (CA)
almacén de claves 20
almacenar la clave en el hardware 47
base de datos 10
certificación cruzada 11
certificado autofirmado 10
claves de protección 46
coprocesador 4758 10, 15
entrada DN 45
instalar en AIX 73
instalar en NT 99
integración con el coprocesador 4758 46
jerarquía 11
145
Autoridad de certificación (CA) (continuación)
lista de certificados emitidos 10
lista de revocación de certificados 10
MAC 10
número de serie 10
visión general 9
Autoridad de registro (RA)
autenticación de cliente 42
inscripción 5
instalar en AIX 73
instalar en NT 99
integración del servidor Web 13
perfiles de certificados 6
personalizar 8
RA Desktop 7
salidas de política 6
visión general 4
ayuda
para el Asistente para la configuración 110
para la inscripción 115
para RA Desktop 114
B
base de datos de registro 5
bases de datos
copia de seguridad y recuperación 16
datos de auditoría 12
datos de CA 10
datos de registro 5
datos del Directorio 14
directrices de instalación 60
nombres reservados 40
requisitos del sistema 26
visión general 14
biblioteca, sitio Web de Tivoli PKI xiv
biblioteca swing 29
146
C
CD-ROM, producto 51
CDSA 17
certificación cruzada 11
certificado de CA autofirmado 10
certificados
CA autofirmada 10
extensiones 24
jerarquía de confianza 11
masiva 17
soporte para X.509v3 23
certificados de navegador 5
certificados de servidor 5
certificados IPSec 5
certificados PKIX CMP 5
certificados S/MIME 5
certificados SSL 5
certificados VPN 5
certificados X.509v3 23
codificación UTF-8 50
Common Data Security Architecture
(CDSA) 17
configuración
arquitectura de servidor 49
configuración del entorno DOS 106
cortafuegos 39
formulario de colección de datos 85, 106
grupos de volúmenes en AIX 57
preparar para AIX 84, 109
preparar para NT 105, 109
servidor del Directorio 44
servidor Web 42
sistemas de archivos en AIX 57
valores bootstrap en NT 79, 101
visión general del proceso 109
configuraciones de servidor 49
contraseñas
para el Asistente para la configuración 28,
35
para servidores AIX 25
para servidores NT 25
controlar el acceso al servidor 39
controles de acceso
privilegios de administrador del
Directorio 45
Versión 3
Release 7.1
controles de acceso (continuación)
privilegios de CA 45
privilegios de RA Desktop 7
privilegios del Directorio 45
privilegios root para el Directorio 45
sistema 39
convenios xviii
copia de seguridad y recuperación, clave 16
coprocesador 4758
almacén de claves de CA 20
almacenar la clave de CA 47
clave de cifrado CA 46
configurar 46
instalar 47, 71
integración con la CA 46
requisitos del sistema 26
soporte para CA 10, 15
visión general 15
CRL 10
D
Tivoli PKI Cómo empezar
E
edición de cifrado internacional 50
edición de cifrado nacional 50
emisión masiva de certificados
descripción 17
entorno DOS 106
entrada DN raíz 45
espacio de disco
instrucciones para definir el tamaño 27, 57
recomendado para AIX 28
recomendado para NT 28
esquema del Directorio 44
establecer el tamaño de las particiones de disco
en AIX 57
estándares
criptográficos 21
soportados en Tivoli PKI 21
exportabilidad, algoritmos criptográficos 50
extensiones comunes 23
extensiones de certificados
comunes 23
en Tivoli PKI 24
estándar 23
personalizar 24
privadas 24
extensiones de certificados estándar 23
extensiones privadas 24
F
firma de código 20
firma de mensajes 20
FirstSecure
integración con Policy Director 48
planificación e integración 48
formulario de datos de configuración 85, 106
Índice
DB2
base de datos de auditoría 12
base de datos de CA 10
base de datos del Directorio 14
cifrado de datos 20
instalar 61
instalar en AIX 60, 61
instalar en NT 91
nombres reservados 40
requisitos del sistema 26
usuario db2admin 91
ventajas 14
definir particiones de disco en AIX 57
destinatarios xiv
diagrama del sistema 3
directorio temp 88
dispositivo HSM 15
DN, definido 44
DNS 43, 44
dominios de registro
definidas 4
descrito 5
dominios de registro (continuación)
personalizar 8
147
G
grupos de volúmenes, configurar AIX 57
grupos de volúmenes datavg 57
grupos de volúmenes rootvg 57
Guía de administración del sistema
tener acceso 112
visión general 111
Guía de configuración
tener acceso 110
visión general 109
Guía de personalización
tener acceso 115
visión general 115
Guía de RA Desktop
tener acceso 114
visión general 113
Guía del usuario
tener acceso 115
visión general 114
guías básicas
instalación AIX 53
instalación NT 87
I
IBM HTTP Server
instalar en AIX 66
instalar en NT 92, 93
ICL 10
idiomas
compatibles 50
diferencias entre productos 50
imagen del sistema, configurar 60
imágenes de copia de seguridad
AIX 60, 85
NT 90, 106
información del prefacio xiii
iniciación
con administración de RA 113
con administración del sistema 111
con configuración 109
con inscripción 114
con personalización 115
148
iniciación (continuación)
con Tivoli PKI 111
inscripción
cartas de notificación 5
formularios del navegador 5
personalizar 8
pre-registro 6
requisitos del sistema 29
salidas de política 6
tipos de certificados 5
visión general 5
instalación
AIX 54
componentes de servidor en AIX 71
componentes de servidor en NT 98
confirmar el sistema NT 97
coprocesador 4758 en AIX 47, 71
HTTP Server en NT 93
JDK en NT 92
lista de comprobación posterior a la
instalación, AIX 84
lista de comprobación posterior a la
instalación, NT 105
servidor del Directorio en AIX 63
servidor del Directorio en NT 96
servidor Web en AIX 66
servidor Web en NT 92
software de bases de datos en AIX 60, 61
software de bases de datos en NT 91
WebSphere Server en AIX 67
WebSphere Server en NT 94
Windows NT 88
instalación, lista de comprobación de
planificación 32
J
Java
instalar en AIX 65
JDK
instalar en NT 92
nivel necesario 26
jerarquía, CA 11
jerarquía de confianza 11
Versión 3
Release 7.1
K
KeyWorks, instalar
72
L
lista de certificados emitidos (ICL) 10
lista de comprobación, planificación de la
instalación 32
lista de revocación de certificados (CRL) 10
listas de comprobación
postinstalación en AIX 84
postinstalación en NT 105
M
MAC
en Almacenes de claves 20
para registros de auditoría 12
para registros de CA 10
máscaras de suceso de auditoría 12
memoria (RAM)
recomendado para AIX 28
recomendado para NT 28
migración
utilidad de copia de seguridad en AIX 85
utilidad de copia de seguridad en NT 106
modelo de confianza
almacenes de claves 20
cifrado de datos 20
firma de código 20
firma de mensajes 20
módulo de seguridad de hardware 15
N
Tivoli PKI Cómo empezar
44
P
paquete del producto 51
particiones de disco
dbfsadt 58
dbfsibm 58
dbfskrb 58
dbfspkrf 58
para el servidor AIX 57
perfiles de certificados
descritos 6
personalizar 8
personalizar
dominios de registro 8
extensiones de certificados 24
perfiles de certificados 8
salidas de política 9
PKI, definida 17
PKIX, definido 17
planificación de la instalación, lista de
comprobación 32
Policy Director 48
pre-registro
inscripción de navegador 6
procesadores
recomendado para AIX 28
recomendado para NT 28
programa cfgPostInstall 83
programa de configuración posterior a la
instalación 83, 104
programa de instalación, software de
servidor 99
programa installp 73
programa InstallShield, configuración del
servidor 99
programa SMIT 57, 73
protección de integridad
de registros de auditoría 12
de registros de CA 10
protocolo HTTP 42
Índice
nombre de sistema principal de TCP/IP,
especificar 54
nombre de usuario cfguser 41, 83, 89, 104
nombres de bases de datos reservados 40
nombres distintivos (DN), definidos
Notas del release 25
números de serie 10
149
protocolo HTTPS 42
protocolo SSL 42
protocolos
HTTP 42
HTTPS 42
LDAP 18
PKIX CMP 18
soportados en Tivoli PKI 21
SSL 42
publicaciones
descritos xiv
Guía de administración del sistema 111
Guía de configuración 109
Guía de personalización 115
Guía de RA Desktop 113
Guía del usuario 114
productos de seguridad de Tivoli xix
R
RA Desktop
añadir responsable de registros 7
ayuda para 114
documentación para 113
instalar 72, 98
requisitos del sistema 29
utilizar 113
visión general 7
raíz CA 11
recuperación de clave 16
recuperar, clave 16
recurso de registro
descrito 5
personalizar 8
requisitos de hardware
Asistente para la configuración 28
coprocesador 4758 26
servidor, obligatorio 27
servidor, opcional 26
requisitos de servidor
hardware necesario 27
hardware opcional 26
para AIX 28
para Windows NT 28
150
requisitos de servidor (continuación)
software opcional 26
software requerido 25
requisitos de software
Asistente para la configuración 28
CD-ROM del producto 51
coprocesador 4758 26
distribución 51
JDK 26
navegadores Web para el Asistente para la
configuración 29, 35
servidor, opcional 26
servidor, requisito 25
servidor del Directorio 26
servidor Web 26
requisitos del sistema
Asistente para la configuración 28
coprocesador 4758 26
DB2 26
Directorio 26
hardware, servidor 27
hardware opcional, servidor 26
inscripción de navegador 29
RA Desktop 29
software, servidor 25
software de servidor Web 26
software opcional, servidor 26
resolución de nombres de sistema principal,
AIX 59
responsable de registros 7
restricciones, configuración del servidor 49
resumen de
convenios utilizados xviii
RISC System/6000 27
S
salidas de política
definidas 6
personalizar 9
seguridad
cortafuegos 39
física 37
sistema 37
Versión 3
Release 7.1
Tivoli PKI Cómo empezar
sistema Tivoli PKI (continuación)
servidor del Directorio 14
servidor principal 4
servidor Web 13
sistema de base de datos 14
soporte para procesador criptográfico
4758 15
subsistema de auditoría 12
sistemas de archivos
CD-ROM 58
para el servidor AIX 57
verificar 55
sistemas de archivos, configurar AIX 57
sistemas operativos
para el Asistente para la configuración 28,
35
para servidores AIX 25
para servidores NT 25
sitio Web de
información de gestión de seguridad xix
productos de seguridad de Tivoli xix
soporte al cliente de Tivoli xviii
Tivoli Public Key Infrastructure xix
soporte, clientes de Tivoli xviii
soporte al cliente xviii
soporte de esquema 18
soporte para idioma nacional
algoritmos criptográficos 50
diferencias entre idiomas 50
ediciones de cifrado 50
visión general 50
soporte para Unicode 50
subsistema de auditoría
almacén de claves 20
archivado 12
base de datos 12
comprobación de integridad 12
instalar en AIX 73
instalar en NT 99
MAC 12
máscaras de suceso 12
visión general 12
Índice
seguridad de la red 37
seguridad del sistema 37
seguridad física 37
seguridad por cortafuegos 39
servidor del Directorio
configurar 44
controles de acceso 45
DN de administrador del Directorio 45
DN de CA 45
DN raíz 45
esquema 44
instalar en AIX 63, 73
instalar en NT 96, 99
requisitos de software 26
utilizar con Tivoli PKI 97
visión general 14
servidor Web
configurar 42
DNS 43
instalar en AIX 66
instalar en NT 92
protocolo HTTP 42
protocolo HTTPS 42
protocolo SSL 42
publicaciones 43
requisitos de software 26
sistema principal de seguridad 42
sistema principal público 42
visión general 13
servidor Web público 42
servidores Netfinity 27
servidores RS/6000 27
servidores Web de seguridad 42
sistema de archivos en CD-ROM 58
sistema operativo AIX/6000 25
sistema principal de TCP/IP, especificar
nombre 54
sistema Tivoli PKI
características 1
descritas 1
diagrama del sistema 3
estándares criptográficos 21
instalar en AIX 71
instalar en NT 98
servidor de Autoridad de certificación 9
Servidor de Autoridad de registro 4
151
T
TCP/IP, nombre de sistema principal,
verificar 54
tipos de certificados 5
tipos de equipo
recomendado para AIX 28
recomendado para NT 28
Tivoli
información Web de gestión de
seguridad xix
sitios Web de productos de seguridad
soporte al cliente xviii
Tivoli PKI
información Web xix
xix
Windows NT
alias IP 96
configuración necesaria 97
configuraciones de hardware 28
configurar 88
consideraciones acerca de la seguridad 37
consideraciones acerca del cortafuegos 39
controles de acceso 39
directrices de instalación 98
guía básica de instalación 87
instalar el servidor del Directorio 96
lista de comprobación posterior a la
instalación 105
nivel del sistema operativo 25
nombre de usuario cfguser 41, 89
plataformas de servidor 25
requisitos de software 25
utilidad de copia de seguridad 106
U
URL
página de presentación de Tivoli PKI xiv
página de referencia de Tivoli PKI xiv
publicaciones del servidor HTTP 43
usuario db2admin 91
usuario de configuración de Tivoli PKI 89
utilidad ta-backup 85, 106
V
valores bootstrap
en AIX 79
en NT 101
verificar nombre de sistema principal 54
volúmenes, grupos, configurar AIX 57
W
WebSphere Application Server
instalar en AIX 66, 67
instalar en NT 92, 94
WebSphere Application Server, actualizar
152
69
Versión 3
Release 7.1
Número de Programa:
Printed in Denmark by IBM Danmark A/S
GC10-3562-01