Tivoli Public Key Infrastructure -...

Tivoli Public Key InfrastructureEinführungVersion 3 Release 7.1

Tivoli Public Key Infrastructure Einführung

Copyright Notice

Copyright © 1999, 2001 IBM Corp., einschließlich dieser Dokumentation und aller Software.Alle Rechte vorbehalten. Kann nur gemäß der Softwarelizenzvereinbarung von Tivoli Sys-tems bzw. IBM oder dem Anhang für Tivoli-Produkte der IBM Nutzungsbedingungen ver-wendet werden. Diese Veröffentlichung darf ohne vorherige schriftliche Genehmigung derIBM Corp. weder ganz noch in Auszügen auf irgendeine Weise - elektronisch, mechanisch,magnetisch, optisch, chemisch, manuell u. a. - vervielfältigt, übertragen, aufgezeichnet, aufeinem Abrufsystem gespeichert oder in eine andere Computersprache übersetzt werden. DieIBM Corp. gestattet Ihnen in begrenztem Umfang, eine Hardcopy oder eine Reproduktioneiner maschinenlesbaren Dokumentation für den eigenen Gebrauch zu erstellen, unter derVoraussetzung, dass jede dieser Reproduktionen mit dem Copyrightvermerk der IBM Corp.versehen ist. Weitere das Copyright betreffende Rechte werden nur nach vorheriger schriftli-cher Genehmigung durch die IBM Corp. gewährt. Die Veröffentlichung dient nicht zuProduktionszwecken.Die in diesem Dokument aufgeführten Beispiele sollen lediglich zurVeranschaulichung und zu keinem anderen Zweck dienen.

BemerkungenDie vorliegenden Informationen wurden für Produkte und Services entwickelt, die auf demdeutschen Markt angeboten werden. Möglicherweise bietet IBM die in dieser Dokumentationbeschriebenen Produkte, Services oder Funktionen in anderen Ländern nicht an. Informatio-nen über die gegenwärtig im jeweiligen Land verfügbaren Produkte und Services sind beimIBM Ansprechpartner erhältlich. Hinweise auf IBM Lizenzprogramme oder andere IBM Pro-dukte bedeuten nicht, daß nur Programme, Produkte oder Dienstleistungen von IBM verwen-det werden können. Anstelle der IBM Produkte, Programme oder Dienstleistungen könnenauch andere ihnen äquivalente Produkte, Programme oder Dienstleistungen verwendet wer-den, solange diese keine gewerblichen Schutzrechte der IBM verletzen. Die Verantwortungfür den Betrieb der Produkte, Programme und Dienstleistungen in Verbindung mit Fremd-produkten liegt beim Kunden, soweit solche Verbindungen nicht ausdrücklich von IBM bestä-tigt sind.

Für in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oderPatentanmeldungen geben. Mit der Auslieferung dieses Handbuchs ist keine Lizenzierungdieser Patente verbunden. Lizenzanforderungen sind schriftlich an IBM Europe, Director ofLicensing, 92066 Paris La Defense Cedex, France, zu richten. Anfragen an obige Adressemüssen auf englisch formuliert werden.

Marken

AIX, DB2, DB2 Universal Database, IBM, RS/6000, SecureWay, Tivoli and WebSphere sindin gewissen Ländern eingetragene Marken der International Business Machines Corp. odervon Tivoli Systems Inc.

Das Programm Tivoli PKI (im folgenden als″Programm″ bezeichnet) enthält Komponentenvon IBM WebSphere Application Server und IBM HTTP Web Server (″IBM Server″). Diesedürfen nur zusammen mit dem Programm installiert und entsprechend der für das Programmgeltenden Lizenzvereinbarungen in Kombination mit diesem verwendet werden. Die IBMServer müssen auf derselben Maschine wie das Programm installiert sein. Sie sind nichtberechtigt, sie unabhängig vom Programm zu installieren und zu verwenden.

Das Programm Tivoli PKI (im folgenden als″Programm″ bezeichnet) enthält Komponentenvon DB2 Universal Database. Diese Komponenten dürfen nur zusammen mit dem Programminstalliert und entsprechend der für das Programm geltenden Lizenzvereinbarungen in Kom-bination mit diesem verwendet werden, um Daten zu speichern und zu verwalten, die vomProgramm verwendet oder generiert werden. Für andere Datenverwaltungsoperationen ist derEinsatz nicht gestattet. Diese Lizenz gilt z. B. nicht für eingehende Verbindungen zur Daten-bank, die von anderen Anwendungen aus für Abfragen und Berichtserstellungsoperationenhergestellt werden. Sie sind lediglich zur Installation und Verwendung dieser Komponentenauf der gleichen Maschine berechtigt, auf der auch das Programm installiert und verwendetwird.

Das Programm enthält Komponenten des IBM WebSphere Application Server und des IBMHTTP Web Server (″IBM Server″). Sie sind nicht berechtigt, die IBM Server zu anderenZwecken als in Verbindung mit der lizenzgerechten Verwendung des Programms zu benutzen.Die IBM Server müssen auf derselben Maschine wie das Programm installiert sein. Sie sindnicht berechtigt, sie unabhängig vom Programm zu installieren und zu verwenden.

Java und alle auf Java basierenden Marken und Logos sind in gewissen Ländern Marken derSun Microsystems, Inc.

Microsoft, Windows, Windows NT und das Windows-Logo sind in gewissen Ländern Markender Microsoft Corporation.

UNIX ist eine eingetragene Marke und wird ausschließlich von der X/Open CompanyLimited lizenziert.

Pentium ist in gewissen Ländern eine Marke der Intel Corporation.

iiiTivoli PKI Einführung

Dieses Programm enthält Sicherheitssoftware von RSA Data Security, Inc.Copyright © 1994 RSA Data Security, Inc. Alle Rechte vorbehalten.

Dieses Programm enthält STL-Software (STL = Standard Template Library) von Hewlett-Packard Company. Copyright (c) 1994.

¶ Die Berechtigung zum Verwenden, Kopieren, Ändern, Verteilen und Verkaufen dieserSoftware sowie der zugehörigen Dokumentation für die gewünschten Zwecke wird hier-mit gebührenfrei erteilt. Voraussetzung hierfür ist allerdings, daß der o. a. Copyright-vermerk auf allen Kopien erscheint, und daß sowohl dieser Copyrightvermerk als auchdieser Berechtigungshinweis in der zugehörigen Dokumentation aufgeführt werden.Hewlett-Packard Company macht keine Angaben zur Eignung dieser Software fürbestimmte Zwecke. Sie wird ohne Modifikationen und ohne Gewährleistung bereitge-stellt.

Dieses Programm enthält STL-Software (STL = Standard Template Library) von SiliconGraphics Computer Systems, Inc. Copyright (c) 1996 - 1999.

¶ Die Berechtigung zum Verwenden, Kopieren, Ändern, Verteilen und Verkaufen dieserSoftware sowie der zugehörigen Dokumentation für die gewünschten Zwecke wird hier-mit gebührenfrei erteilt. Voraussetzung hierfür ist allerdings, daß der o. a. Copyright-vermerk auf allen Kopien erscheint, und daß sowohl dieser Copyrightvermerk als auchdieser Berechtigungshinweis in der zugehörigen Dokumentation aufgeführt werden. Sili-con Graphics macht keine Angaben zur Eignung dieser Software für bestimmte Zwecke.Sie wird ohne Modifikationen und ohne Gewährleistung bereitgestellt.

Andere Namen von Unternehmen, Produkten oder Dienstleistungen können Marken oderDienstleistungsmarken anderer Unternehmen sein.

iv Version 3 Release 7.1

Inhaltsverzeichnis

Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiZielgruppe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Referenzinformationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii

Inhalt des Handbuchs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv

Neuerungen im aktuellen Release. . . . . . . . . . . . . . . . . . . . . . . . . . . . xv

In diesem Handbuch verwendete Konventionen. . . . . . . . . . . . . . . . . . . . . . xvi

Kontaktaufnahme zur Kundenunterstützung. . . . . . . . . . . . . . . . . . . . . . . . . xvi

Webinformationen zu Tivoli PKI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xvii

Kapitel 1. Tivoli PKI - Einführung . . . . . . . . . . . . . . . . . . . . . . . . . 1Tivoli PKI - Produktbeschreibung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Komponenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Tivoli PKI-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Registrierungsstelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Zertifikatsaussteller. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Prüfsubsystem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Webserver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Datenbanksystem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Directory-Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

IBM 4758 PCI Cryptographic Coprocessor. . . . . . . . . . . . . . . . . . . . . 15

Funktion zur Schlüsselsicherung und -wiederherstellung. . . . . . . . . . . . 17

Funktion für die Massenzertifikatsausstellung. . . . . . . . . . . . . . . . . . . . 18

Architektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Public Key Infrastructure (PKI). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

PKIX CMP-Protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

LDAP-Protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Objektspeicher. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

vTivoli PKI Einführung

||

||

||

||

||

||

||

||

||

||

Trust-Modell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Codeunterzeichnung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Nachrichtenunterzeichnung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Datenverschlüsselung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Schlüsselspeicher (KeyStores). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Unterstützte Standards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Zertifikate gemäß X.509 Version 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Kapitel 2. Systemvoraussetzungen . . . . . . . . . . . . . . . . . . . . . . 27Softwarevoraussetzungen für den Server. . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Hardwarevoraussetzungen für den Server. . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Voraussetzungen für den Setup Wizard. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Client-Voraussetzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Kapitel 3. Tivoli PKI - Planung . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Prüfliste für die Installationsplanung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

System sichern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Firewall-Techniken verwenden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Mit Tivoli PKI-Datenbanken arbeiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

IP-Aliasnamen für den Webserver konfigurieren. . . . . . . . . . . . . . . . . . . . . . 44

Mit dem Directory arbeiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Directory-Schema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Directory-Zugriffssteuerung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Mit dem IBM 4758 PCI Cryptographic Coprocessor arbeiten. . . . . . . . . . . . 49

CA- oder RA-Schlüssel in der Hardware speichern. . . . . . . . . . . . . . . 50

Integration mit dem Policy Director. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Unterstützte Serverkonfigurationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Hinweise zu länderübergreifenden Umgebungen. . . . . . . . . . . . . . . . . . . . . . 54

Tivoli PKI-Datenträgerpaket. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

vi Version 3 Release 7.1

||

Kapitel 4. Tivoli PKI unter AIX installieren . . . . . . . . . . . . . . 57AIX konfigurieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Dateien prüfen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Ausreichende Paging-Bereiche prüfen. . . . . . . . . . . . . . . . . . . . . . . . . 60

Fix-Version auf AIX anwenden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

AIX-Datenträgergruppen und -Dateisysteme konfigurieren. . . . . . . . . . 61

CD-ROM-Dateisystem erstellen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Anzahl der AIX-Systembenutzer ändern. . . . . . . . . . . . . . . . . . . . . . . . 63

Hostnamensauflösung sicherstellen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Systemimage erstellen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Datenbanksoftware installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

DB2 installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

IBM Directory installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Directory-Software installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Java installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

WebSphere Application Server-Datenbank erstellen. . . . . . . . . . . . . . . . . . . 71

Webserversoftware installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

WebSphere Application Server installieren. . . . . . . . . . . . . . . . . . . . . . 72

Upgrade für WebSphere Application Server ausführen. . . . . . . . . . . . . 75

Funktion für automatisches Starten des IBM HTTP Server inaktivieren. . . . 75

WebSphere Application Server starten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

IBM 4758 PCI Cryptographic Coprocessor installieren. . . . . . . . . . . . . . . . . 77

Tivoli PKI installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

KeyWorks installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Serversoftware installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Richtlinien für die Installation auf mehreren Maschinen. . . . . . . . . . . . 82

Bootwerte ändern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Konfigurationsprogramm für den Installationsabschluss ausführen. . . . 90

viiTivoli PKI Einführung

||

||

||

||

||

||

Prüfliste für den Installationsabschluss. . . . . . . . . . . . . . . . . . . . . . . . . 91

Backup-Dienstprogramm ausführen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Kapitel 5. Tivoli PKI unter Windows NT installieren . . . . 95Windows NT konfigurieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

Datenbanksoftware installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Webserversoftware installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

JDK installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

IBM HTTP Server installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

WebSphere Application Server installieren. . . . . . . . . . . . . . . . . . . . . 104

IP-Aliasnamen definieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

IBM Directory installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Directory-Software installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Directory unter Tivoli PKI verwenden. . . . . . . . . . . . . . . . . . . . . . . . 107

Systemeinstellungen bestätigen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Tivoli PKI installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Serversoftware installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Bootwerte ändern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Konfigurationsprogramm für den Installationsabschluss ausführen 115

Prüfliste für den Installationsabschluss. . . . . . . . . . . . . . . . . . . . . . . . 116

Backup-Dienstprogramm ausführen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Kapitel 6. Tivoli PKI konfigurieren . . . . . . . . . . . . . . . . . . . . . . 119

Kapitel 7. Erste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Systemverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

RA-Verwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Registrierung und Zertifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Anpassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

viii Version 3 Release 7.1

||

Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

ixTivoli PKI Einführung

x Version 3 Release 7.1

Vorwort

Das vorliegende Handbuch enthält die Informationen, die Sie benöti-gen, um mit einem Tivoli Public Key Infrastructure-System (TivoliPKI) produktiv zu arbeiten. Es umfasst die folgenden Themen:

¶ Einsatz von Tivoli PKI in Ihrem Unternehmen für die verschlüs-selte, authentifizierte und vertrauliche Ausführung von Transakti-onen über das Internet. Mit Hilfe der Registrierungsfunktion vonTivoli PKI können Sie auf einfache Weise digitale Zertifikate angesicherte Personen und Einheiten ausstellen und steuern, ob einZertifikat erneuert oder widerrufen werden soll.

¶ Richtlinien für die Tivoli PKI-Planung, beispielsweise für dieIntegration von Tivoli PKI-Komponenten mit anderen, an IhremStandort installierten Produkten.

¶ Prozeduren zum Installieren des Produkts auf einer IBM AIX-Plattform oder unter Microsoft Windows NT.

¶ Verweise auf andere Dokumente, die Sie bei der Verwendung derTivoli PKI-Benutzerschnittstellen und der -Verwaltungs-Toolsunterstützen.

Anmerkung: Das aktuelle Release des Produkts wird nur auf AIX-Plattformen unterstützt. Alle Informationen zur Ver-wendung unter Microsoft Windows können aus diesemGrund ignoriert werden.

ZielgruppeDas vorliegende Handbuch ist für eine breit gefächerte Zielgruppekonzipiert.

¶ Marketing-Managern bietet das vorliegende Handbuch Informati-onen zur Integration von Tivoli PKI in die e-business-StrategieIhres Unternehmens.

¶ Sicherheitsmanagern bietet das vorliegende Handbuch Informati-onen zur Integration von Tivoli PKI in die Netzsicherheits-strategie Ihres Unternehmens.

xiTivoli PKI Einführung

|

|||

||||||

|||

||

|||

||||

|

||

|||

|||

¶ Bei den Informationen für Systemadministratoren wird im vorlie-genden Handbuch davon ausgegangen, dass Sie mit der Installa-tion und Konfiguration von Produkten in einer Netzumgebungvertraut sind. Sie sollten über Erfahrung in folgenden Bereichenverfügen:

v Hardwareinstallation und -konfiguration

v Internet-Übertragungsprotokolle, vor allem TCP/IP und SSL(Secure Sockets Layer)

v Verwaltung von Web-Servern

v PKI-Technologie (PKI = Public Key Infrastructure) ein-schließlich Directory-Schemata, X.509 Version 3-Standardund Lightweight Directory Access Protocol (LDAP)

v Relationale Datenbanksysteme und hier insbesondere IBMDB2 Universal Database

ReferenzinformationenDie Tivoli PKI-Produktdokumentation ist im PDF- und HTML-For-mat auf der Tivoli-Website verfügbar. HTML-Versionen für einigeVeröffentlichungen werden zusammen mit dem Produkt installiert.Auf diese kann über die Benutzerschnittstellen zugegriffen werden.

Bitte beachten Sie, dass seit der Veröffentlichung dieser Dokumenta-tionen möglicherweise Änderungen am Produkt vorgenommen wur-den. Die neuesten Produktinformationen sowie Informationen zumZugriff auf eine Veröffentlichung in der gewünschten Sprache undim gewünschten Format finden Sie in den Release-Informationen.Die neueste Version der Release-Informationen ist auf der Websitevon Tivoli Public Key Infrastructure unter folgender Adresse verfüg-bar:http://www.tivoli.com/support

Zur Tivoli PKI-Bibliothek gehören die folgenden Dokumentationen:

EinführungDieses Buch enthält eine Übersicht über das Produkt. Es lis-tet die Produktvoraussetzungen auf, enthält die Installations-

xii Version 3 Release 7.1

|||||

|

||

|

|||

||

|

||||

||||||||

|

|

|||

http://www.tivoli.com/support

prozeduren und bietet Informationen zum Zugriff auf dieOnline-Hilfe, die für die einzelnen Produktkomponenten zurVerfügung steht. Dieses Buch wird in gedruckter Formzusammen mit dem Produkt ausgeliefert.

SystemverwaltungDieses Buch enthält allgemeine Informationen zur Verwal-tung des Tivoli PKI-Systems. Es umfasst Prozeduren für dasStarten und Stoppen der Server, für das Ändern von Kenn-wörtern, das Verwalten der Server-Komponenten, die Durch-führung von Prüfoperationen sowie das Überprüfen derDatenintegrität.

KonfigurationDieses Buch enthält Informationen zur Verwendung desSetup Wizard für die Konfiguration eines Tivoli PKI-Sys-tems. Sie können auf die HTML-Version dieses Handbuchszugreifen, während Sie die Online-Hilfe für den SetupWizard anzeigen.

Registration Authority DesktopDieses Buch enthält Informationen zur Verwendung des RADesktop für die Verwaltung von Zertifikaten während dergesamten Gültigkeitsdauer. Sie können auf die HTML-Ver-sion dieses Handbuchs zugreifen, während Sie die Online-Hilfe für den Desktop anzeigen.

BenutzerhandbuchDieses Buch enthält Informationen zum Abrufen und Verwal-ten von Zertifikaten. Es umfasst Prozeduren für die Verwen-dung der Browser-Registrierungsformulare von Tivoli PKIfür das Anfordern, Erneuern und Widerrufen von Zertifika-ten. Darüber hinaus wird in diesem Buch beschrieben, wieeine Vorabregistrierung für PKIX-kompatible Zertifikatedurchgeführt wird.

Anpassungbuch enthält Informationen zum Anpassen der Tivoli PKI-Registrierungsfunktion, mit der die Registrierungs- und Zerti-fizierungszielsetzungen Ihres Unternehmens wirkungsvollunterstützt werden können.

xiiiTivoli PKI Einführung

||||

|||||||

||||||

||||||

||||||||

|||||

Sie erfahren z. B., wie HTML- und Java Server-Seiten,Benachrichtigungsbriefe, Zertifikatsprofile und Regel-Exitsangepasst werden können.

Inhalt des HandbuchsDieses Handbuch enthält die folgenden Informationen:

¶ „Tivoli PKI - Einführung” auf Seite 1 enthält eine kurzeBeschreibung der Funktionen und des Leistungsumfangs vonTivoli PKI, seiner Komponenten sowie der verwendeten Archi-tektur und der unterstützten Standards.

¶ „Systemvoraussetzungen” auf Seite 27 enthält die Hardware- undSoftwarevoraussetzungen, die zur erfolgreichen Installation vonTivoli PKI sowie zum Betrieb des Systems erforderlich sind.

¶ „Tivoli PKI - Planung” auf Seite 33 enthält allgemeine Informati-onen zu den Funktionen von Tivoli PKI sowie detaillierte Infor-mationen zu den zu konfigurierenden Komponenten.

¶ „Tivoli PKI unter AIX installieren” auf Seite 57 enthält Informa-tionen zur Vorgehensweise bei der Installation von Tivoli PKIauf einer AIX-Plattform.

¶ „Tivoli PKI unter Windows NT installieren” auf Seite 95 enthältInformationen zur Vorgehensweise bei der Installation von TivoliPKI auf einer Windows NT-Maschine.

¶ „Tivoli PKI konfigurieren” auf Seite 119 enthält einen Überblicküber den Konfigurationsprozess und die Dokumentation, die zurAusführung der Konfigurationsaufgaben verwendet werden kann.

¶ „Erste Schritte” auf Seite 121 enthält Erläuterungen zu Themen,Verfahren und Tools, die zum Verwalten und Anpassen verschie-dener Komponenten und Funktionen von Tivoli PKI verwendetwerden können.

¶ „Glossar” auf Seite 127 enthält Definitionen der in diesem Hand-buch verwendeten Termini und Abkürzungen, die möglicher-weise neu oder unbekannt und von Bedeutung sind.

xiv Version 3 Release 7.1

|||

|

|

||||

|||

|||

|||

|||

|||

||||

|||

Neuerungen im aktuellen ReleaseTivoli PKI 3.7.1 umfasst die folgenden neuen Einrichtungen undFunktionen:

¶ Massenzertifikatsausstellung (BCI). Diese Funktion dient zurBereitstellung eines sicheren Verfahrens für authentifizierteBenutzer, mit dessen Hilfe diese mehrere digitale Zertifikate übereinen einzigen Tivoli PKI-Aufruf anfordern können.

¶ Certificate Management Protocol (CMP) Version 2. Durchdiesen Upgrade auf CMP Version 2 wird für Tivoli PKI eine ver-besserte Zuverlässigkeit bei CMP-Statustransaktionen sowie einhöheres Sicherheitsniveau erzielt, als dies unter der zuvor inTivoli PKI implementierten CMP Version 1 möglich war.

¶ Rollover von Root-CA-Schlüsseln. Diese Funktion ermöglichtdem Zertifikatsaussteller (CA) die Umstellung von einem nichtbeschädigten CA-Schlüsselpaar auf das nächste CA-Schlüssel-paar. (Diese Operation wird auch als Aktualisierung desCA-Schlüssels bezeichnet.)

¶ Kompatibilität zu LDAP Version 3 . Diese Funktion dient zurGewährleistung der Schemakompatibilität mit LDAP (Light-weight Directory Access Protocol) Version 3. Sie bietet insbeson-dere die Möglichkeit, mit Hilfe des in RFC 2256 definiertenDirectory-Schemas Attribute unter LDAP zu publizieren. Die aufPKIX LDAP Version 2 basierenden Schemata werden weiterhinunterstützt.

¶ HSM-Speicherung für RA-Schlüssel. Diese Funktion erlaubtdas Speichern von RA-Schlüsseln in einer HSM-Komponente(HSM = Hardware Security Module) und bietet ein erweitertesSicherheitsspektrum für RA-Unterschriftsschlüssel.

Änderungen in der Dokumentation des aktuellen Releases werden amRand mit einer Änderungsmarkierung gekennzeichnet.

Anmerkung: Tivoli PKI 3.7.1 wird nur unter AIX unterstützt. Imaktuellen Release wurde keine Windows NT-Unterstüt-zung implementiert.

xvTivoli PKI Einführung

|

||

||||

|||||

|||||

|||||||

||||

||

|||

In diesem Handbuch verwendete KonventionenIm vorliegenden Handbuch werden verschiedene Schriftbilder zurDarstellung spezieller Termini und Komponenten verwendet. DieseKonventionen haben folgende Bedeutung:

Konvention Bedeutung

FettdruckBefehle, Schlüsselwörter, Optionen und sonstige Informa-tionen, die exakt so verwendet werden müssen wie darge-stellt, werden inFettdruck hervorgehoben.

Kursivdruck

Variablen, die von Ihnen angegeben werden müssen,sowie neue Termini werden inKursivdruckdargestellt.Wörter und Textsegmente, die hervorgehoben werden sol-len, erscheinen ebenfalls inKursivdruck.

Monospace-Schrift

Codebeispiele, Ausgabedaten und Systemnachrichten wer-den inMonospace-Schrift dargestellt.

Kontaktaufnahme zur KundenunterstützungWenn bei der Verwendung von Tivoli-Produkten Schwierigkeitenauftreten, können Sie unter der Adressehttp://www.support.tivoli.com die Homepage der Tivoli-Unter-stützungsfunktion aufrufen. Nach der Herstellung der Verbindungund der Übergabe des Kundenregistrierungsformulars können Sieauf zahlreiche Kundenunterstützungsservices im Web zugreifen.

Kunden in Deutschland, Österreich oder der Schweiz können eineder folgenden Telefonnummern anrufen:

¶ Deutschland:01805-00-1242

¶ Österreich:01-1706-6000

¶ Schweiz:0800-555454

Unter diesen Nummern erreichen Sie das Telefonservicecenter derTivoli-Kundenunterstützung.

xvi Version 3 Release 7.1

|

|||

|||

||||

|

||||

|||||

|

||||||

||

|

|

|

||


Wir sind an Ihren Erfahrungen mit Tivoli-Produkten und der zugehö-rigen Dokumentation sehr interessiert. Ihre Verbesserungsvorschlägenehmen wir gerne entgegen. Wenn Sie Kommentare oder Vorschlägezur vorliegenden Dokumentation haben, senden Sie diese bitte viaE-Mail an [email protected].

Webinformationen zu Tivoli PKITivoli- sowie IBM Tivoli-Kunden können Onlineinformationen füralle Tivoli-Sicherheitsprodukte sowie Tivoli PKI im Web abrufen.

Wichtige Informationen zu den aktuellsten Produktaktualisierungenund Serviceinformationen zu Tivoli PKI finden Sie über die folgendeWebsite:http://www.tivoli.com/support/secure_download_bridge.html

Informationen zum Produkt Tivoli Public Key Infrastructure findenSie auf folgender Website:http://www.tivoli.com/products/index/secureway_public_key/

Informationen zu anderen Tivoli-Sicherheitsverwaltungsproduktenfinden Sie auf folgender Website:http://www.tivoli.com/products/solutions/security/

xviiTivoli PKI Einführung

|||||

|

||

||||

|||

|||

http://www.tivoli.com/support/secure_download_bridge.html

http://www.tivoli.com/products/index/secureway_public_key/

http://www.tivoli.com/products/solutions/security/

xviii Version 3 Release 7.1

Tivoli PKI - Einführung

Das vorliegende Kapitel enthält eine Übersicht über Tivoli PublicKey Infrastructure (Tivoli PKI). Es enthält eine kurze Beschreibungder Funktionen und des Leistungsumfangs von Tivoli PKI, seinerKomponenten sowie der verwendeten Architektur und der unterstütz-ten Standards.

Tivoli PKI - ProduktbeschreibungTivoli Public Key Infrastructure stellt Anwendungen zur Verfügung,mit denen Benutzer authentifiziert werden können und die gesicherteÜbertragung von Daten gewährleistet werden kann. Im Folgendensind einige Funktionen von Tivoli PKI aufgeführt:

¶ Das Produkt ermöglicht es Unternehmen, digitale Zertifikateihren Registrierungs- und Zertifizierungsstrategien entsprechendauszustellen, zu publizieren und zu verwalten.

¶ Die Unterstützung für die Verschlüsselungsstandards Public KeyInfrastructure für X.509 Version 3 (PKIX) und Common DataSecurity Architecture (CDSA) ermöglicht die Interoperabilitätzwischen verschiedenen Lieferanten.

¶ Digitale Unterschriften und sichere Protokolle bieten die Mög-lichkeit, alle Teilnehmer einer Transaktion zu authentifizieren.

¶ Browserbasierte Registrierungsfunktionen bieten optimale Flexi-bilität.

¶ Verschlüsselte Kommunikation und gesicherte Speicherung vonRegistrierungsinformationen stellen die Vertraulichkeit sicher.

1

1Tivoli PKI Einführung

||

1.TivoliP

KI

-E

inführung

Ein Tivoli PKI-System kann auf Serverplattformen unter IBMAIX/6000 (AIX) und Microsoft Windows NT ausgeführt werden.Das Produkt umfasst die folgenden Hauptmerkmale:

¶ Einen zuverlässigen Zertifikatsaussteller (CA), der die gesamteGültigkeitsdauer einer digitalen Zertifizierung verwaltet. Um dieAuthentizität eines Zertifikats zu belegen, unterzeichnet der CAjedes ausgestellte Zertifikat digital. Darüber hinaus werden vomCA auch Zertifikatswiderrufslisten (CRLs) unterzeichnet, umzu bestätigen, dass ein Zertifikat nicht länger gültig ist. Um sei-nen Unterschriftsschlüssel zusätzlich zu schützen, können SieVerschlüsselungshardware wie z. B. den IBM 4758 PCI Crypto-graphic Coprocessor verwenden.

¶ Eine Registrierungsstelle (RA) führt die administrativen Aufga-ben zur Benutzerregistrierung aus. Sie stellt sicher, dass nur sol-che Zertifikate ausgestellt werden, die Ihre Geschäftsaktivitätenunterstützen, und dass diese Zertifikate ausschließlich an berech-tigte Benutzer ausgegeben werden. Diese Verwaltungsaufgabenkönnen mit Hilfe eines automatisierten Prozesses oder durchMitarbeiter anhand eines entsprechenden Entscheidungsprozessesausgeführt werden. Ähnlich wie der CA kann die RA auch Ver-schlüsselungshardwareeinheiten wie z. B. den IBM 4758 PCICryptographic Coprocessor verwenden, um ihren Unterschrifts-schlüssel zusätzlich zu schützen.

¶ Eine webbasierte Registrierungsschnittstelle erleichtert das Abru-fen von Zertifikaten für Browser, Server, VPNs (Virtual PrivateNetworks), Smart-Cards und die gesicherte Übertragung vonE-Mails.

¶ Die webbasierte Verwaltungsschnittstelle RA Desktop ermöglichtberechtigten Registratoren das Genehmigen oder Zurückweisenvon Registrierungsanforderungen sowie das Verwalten vonbereits ausgestellten Zertifikaten.

2 Version 3 Release 7.1

|||||||||||

¶ Ein Prüfsubsystem berechnet einen Nachrichtenauthentifizierung-scode (Message Authentication Code, MAC) für jeden Protokoll-eintrag. Wenn Prüfdaten geändert oder gelöscht werden, nach-dem sie in der Prüfdatenbank aufgezeichnet wurden, kann mitHilfe des MAC der unberechtigte Zugriff festgestellt werden.

¶ Regel-Exits und BPOs (Unternehmensprozessobjekte) ermögli-chen Anwendungsentwicklern die Anpassung des Registrierungs-prozesses.

¶ Integrierte Unterstützung für eine kryptografische Maschine.Um die Kommunikation zu authentifizieren, sind die Haupt-komponenten von Tivoli PKI werksseitig mit einem privatenSchlüssel unterzeichnet. Sicherheitsobjekte, wie beispielsweiseSchlüssel und MACs, sind verschlüsselt und in geschütztenBereichen gespeichert, die als Schlüsselspeicher (KeyStores)bezeichnet werden.

¶ Integrierte Unterstützung für das IBM Directory. Im Directorysind Informationen zu gültigen und widerrufenen Zertifikaten ineinem mit LDAP kompatiblen Format gespeichert.

¶ Integrierte Unterstützung für IBM WebSphere Application Serverund IBM HTTP Server. Der Web-Server kooperiert mit demRA-Server bei der Verschlüsselung von Nachrichten, der Authen-tifizierung von Anforderungen und der Übertragung von Zertifi-katen an den gewünschten Empfänger.

¶ Integrierte Unterstützung für IBM DB2 Universal Database.

KomponentenIm folgenden Diagramm wird ein Tivoli PKI-System dargestellt, beidem die Serverprogramme auf drei unterschiedlichen Maschinen ver-teilt sind. In Ihrem Unternehmen können die drei Server auch aufeiner einzigen Maschine installiert sein.


1.TivoliP

KI

-E

inführung

Tivoli PKI-ServerDer Tivoli PKI-Server ist der zentrale Server, über den die anderenKomponenten miteinander verbunden sind. Dieser Server verwaltetdie Konfigurationsdatenbank und stellt die Dienstprogramme für dieSystemverwaltung zur Verfügung.

RegistrierungsstelleDie Registrierungsstelle (RA) ist die Server-Komponente, die denRegistrierungsprozess verwaltet. Die RA gewährleistet, dass Zertifi-kate nur an genehmigte Entitäten ausgestellt werden. Darüber hinauswird von dieser Instanz sichergestellt, dass die ausgestellten Zertifi-kate nur für autorisierte Zwecke verwendet werden. Die RA dientzur Ausführung der folgenden wichtigen Aufgaben:

¶ Bestätigen der Identität der anfordernden Entität

RA-Objekt-speicher

CA-Objekt-speicher

CA-Datenbank

DB / Datei

Registrierungs-datenbank

Konfigurations-datenbank

Prüf-datenbank

CA- undPrüf-

server

Directory-Server

HTTP/S

HTTP/SPKIX-CMP via TCP

LDAP

Directory-Datenbank

4758-Karte

4758-KarteRegistrie-

rungs-browser

RADesktop

HTTP

SERVER

Tivoli PKIund

RA-Server

Abbildung 1. Komponentenkonfiguration bei Tivoli PKI


||||||

¶ Überprüfen, ob der Antragsteller über die Berechtigung für einZertifikat verfügt, das die angeforderten Attribute und Berechti-gungen enthält

¶ Genehmigen und Zurückweisen von Anforderungen zur Erstel-lung, Erneuerung oder zum Widerrufen von Zertifikaten

¶ Überprüfen, ob eine Entität, die auf eine gesicherte Anwendungoder Ressource zugreifen möchte, über den privaten Schlüsselverfügt, der dem öffentlichen Schlüssel für das verwendete Zerti-fikat zugeordnet ist

Ähnlich wie der Tivoli PKI-CA kann die RA auch Verschlüsselungs-hardwareeinheiten wie z. B. den IBM 4758 PCI CryptographicCoprocessor verwenden, um ihre Unterschriftsschlüssel zusätzlichzu schützen.

Bei Tivoli PKI stellt die auf dem RA-Server installierte Registrie-rungsfunktion die Basis zur Verfügung, auf der eine breite Palettevon Registrierungsaktivitäten unterstützt wird. Während der Konfigu-ration des Systems wird eine Registrierungsdomäne eingerichtet, diedie Geschäfts- und Zertifikatsregeln sowie die Ressourcen in Über-einstimmung mit den bevorzugten Registrierungs- und Zertifizie-rungsstrategien Ihres Unternehmens steuert.

RegistrierungDie RA bietet Unterstützung für eine Vielzahl verschiedenerRegistrierungsprotokolle und Zertifikatstypen. Die Registrierungs-funktionen umfassen folgendes:

¶ Verwendung einer DB2-Datenbank für die Protokollierung ver-schlüsselter Registrierungs- und Zertifikatsdaten.

¶ Unterstützung für manuelle und automatische Prozesse zurRegistrierungsgenehmigung.

¶ Eine Gruppe von Registrierungsformularen auf Java-Basis, mitdenen Benutzer Zertifikate über die eigenen Web-Browser anfor-dern und abrufen können. Durch den Registrierungsprozess wirddie Identität des Clients und des Servers authentifiziert, und dieZertifikate werden an genehmigte Entitäten übergeben, wobeialle angeforderten Daten während der gesamten Kommunikation


||||

||||||

1.TivoliP

KI

-E

inführung

zwischen Absender und Empfänger verschlüsselt werden. DerRegistrierungsprozess umfasst Folgendes:

v Die Übergabe von Zertifikaten über SSL (Secure SocketsLayer) zur Verwendung bei Anwendungen, auf die über einenWeb-Browser oder einen Web-Server zugegriffen wird.

v Die Übergabe von Zertifikaten über PKIX CMP (CertificateManagement Protocol) zur Verwendung in PKIX-Client-An-wendungen oder zum Speichern auf Smart-Cards.

v Die Übergabe von Zertifikaten, die den IPSec-Standard(IPSec = Internet Protocol Security) unterstützen, zur Verwen-dung bei sicheren VPN-Anwendungen oder IPSec-fähigenEinheiten.

v Die Übergabe von Zertifikaten, die S/MIME (Secure Multi-purpose Internet Mail Extensions) unterstützen, zur Verwen-dung bei sicheren E-Mail-Anwendungen.

v Die Übergabe von Benachrichtigungsschreiben, in denen derAntragsteller über die Genehmigung bzw. die Ablehnungeiner Anforderung informiert wird.

¶ Eine Gruppe von Zertifikatsprofilen, die das Abrufen desgewünschten Zertifikatstyps für den Benutzer vereinfachen.In den Profilen sind der geplante Verwendungszweck und derGültigkeitszeitraum des Zertifikats definiert. Auf der Basis derInformationen in der Schablone kann die RA ein Zertifikat imkorrekten Format mit dem erforderlichen Zertifikatsinhalt zurVerfügung stellen.

Informationen zu den Zertifikatstypen und Zertifikatser-weiterungen, die von der RA unterstützt werden, finden Sie inden Abschnitten „Unterstützte Standards” auf Seite 23 und „Zer-tifikate gemäß X.509 Version 3” auf Seite 24.

¶ Unterstützung für die Vorabregistrierung, einen Prozess, der eseinem Benutzer - normalerweise einem Administrator - ermög-licht, ein PKIX-kompatibles Zertifikat für einen anderen Benut-zer anzufordern.

¶ Unterstützung für Regel-Exits und BPOs (Unternehmensprozess-objekte). Mit diesen Komponenten können Unternehmen wäh-


||

|||

|||

||||

|||

|||

||||

||

rend des Registrierungsprozesses eigene Programme aufrufen.Die RA enthält einen Beispielregel-Exit, der die automatischeGenehmigungsverarbeitung ausführt.

Informationen zum Entwickeln und Anpassen von Unter-nehmensprozessobjekten (BPOs) an Ihre individuellen Unter-nehmensanforderungen finden Sie im IBM RedbookWorkingwith Business Process Objects for Tivoli SecureWay PKI, IBMForm SG24-6043-00.

Vollständige Informationen zur Verwendung eines Webbrowsers fürdie Zertifikatsregistrierung finden Sie imTivoli PKI Benutzer-handbuch. Dieses Buch enthält darüber hinaus eine Beschreibung derZertifikatstypen, die mit der Standardinstallation von Tivoli PKI zurVerfügung stehen.

VerwaltungMit dem Applet RA Desktop können berechtigte Administratoren(Registratoren) Zertifikatsanträge überprüfen, Anforderungen geneh-migen oder zurückweisen, Zertifikate erneuern und permanent odertemporär widerrufen. Das Applet unterstützt die folgenden Aufgaben:

¶ Anstehende Registrierungsanforderungen abrufen.

¶ Die Registrierungsdatenbank abfragen, um Datenbanksätze abzu-rufen, die bestimmten Kriterien entsprechen, und um die entspre-chenden Aktionen für diese Sätze auszuführen.

¶ Detaillierte Informationen zu einem Zertifikat oder einerZertifikatsanforderung überprüfen, wie beispielsweise das Proto-koll für alle Aktionen, die seit der ersten Übergabe einer Anfor-derung ausgeführt wurden.

¶ Den Gültigkeitszeitraum für ein Zertifikat definieren.

¶ Einen Datenbanksatz mit Anmerkungen versehen, um eineAktion zu begründen.

Der RA Desktop ist ein sicheres Applet. Ein Benutzer kann lediglichals berechtigter Registrator darauf zugreifen. Tivoli PKI stellt einTool zur Verfügung, durch das dieser Prozess vereinfacht wird. Es


|||

|||||

1.TivoliP

KI

-E

inführung

kann eine beliebige Anzahl von Registratoren hinzugefügt werden,um das Arbeitsaufkommen an Registrierungen zu bearbeiten.

Wenn Sie einen Registrator hinzufügen, müssen Sie die entspre-chende Registrierungsdomäne definieren und die Berechtigungen fürdiesen Benutzer angeben. So können Sie beispielsweise einen Regist-rator ausschließlich für das Genehmigen und Ablehnen von Anforde-rungen berechtigen, während Sie einem anderen Registrator darüberhinaus die Berechtigung für das Widerrufen von Zertifikaten erteilen.

¶ Informationen dazu, wie Sie das Applet RA Desktop installierenund verwenden sowie auf dieses zugreifen können, finden Sie imHandbuchTivoli PKI RA Desktop.

¶ Informationen zum Berechtigen von Registratoren finden Sie imHandbuchTivoli PKI Systemverwaltung.

AnpassungSie können die zum Lieferumfang von Tivoli PKI gehörendeRegistrierungsfunktion verwenden, ohne sie anzupassen. Möglicher-weise sollen jedoch einige der Registrierungsformulare oder -pro-zesse angepasst werden, um der speziellen Zielsetzung des jeweili-gen Unternehmens für die digitale Zertifizierung zu entsprechen. Sokann beispielsweise das Firmenlogo auf dem Browser-Registrie-rungsformular angezeigt werden. Darüber hinaus ist es möglich, dieZertifikatsprofile so zu ändern, dass sie die Zertifikatserweiterungenunterstützen, die für die zu registrierenden Benutzer-, Server- oderEinheitenklassen relevant sind.

Nach der Installation und Konfiguration von Tivoli PKI können Sieeine größere Anzahl der Dateien kopieren, durch die Ihre Registie-rungsdomäne definiert wird, und sie für Ihre Unternehmensstrategieanpassen. Erstellen Sie vor der Änderung einer Datei unbedingt eineSicherungskopie.

Sie können die nachfolgend aufgeführten Dateien der Registrierungs-funktion kopieren oder aktualisieren. Während der Konfigurationwerden diese Dateien in dem Verzeichnispfad erstellt, der für IhreRegistrierungsdomäne definiert wurde.


¶ Die Konfigurationsdateien (Dateityp .cfg), die im Unterverzeich-nis etc installiert sind. In diesen Dateien können beispielsweisedie Laufzeiteinstellungen für den RA-Server oder RA Desktopangepasst werden.

¶ Die Beispiele für Benachrichtigungsschreiben (Dateityp .ltr),die im Unterverzeichnis etc installiert sind. Tivoli PKI stelltBeispieltext für Benachrichtigungsschreiben zur Verfügung, indenen Benutzer darüber informiert werden, wenn eine Anforde-rung genehmigt oder widerrufen wurde. Sie können jedoch auchein eigenes Schreiben verfassen.

¶ Die HTML- (Dateityp .html), Grafik- (Dateityp .gif) und JavaServer Pages-Dateien (Dateityp .jsp), die im Unterverzeichnis’webpages’ installiert sind. Sie können beispielsweise den Textund die Grafiken ändern, die in den Browser-Registrierungs-formularen angezeigt werden. Außerdem können Sie ein vorhan-denes Zertifikatsprofil anpassen oder ein neues Profil definieren,das den Zertifikatsregeln Ihres Unternehmens entspricht.

¶ Der Regel-Exit (policy_exit), der im Unterverzeichnis bin instal-liert ist. Tivoli PKI stellt diesen Exit als Beispiel dafür zur Ver-fügung, wie die automatische Genehmigungsverarbeitung zuimplementieren ist. Sie können andere Exits schreiben, durch diedie Registrierungsverarbeitung in andere Anwendungen integriertwird, oder durch die eigene Registrierungsaktionen verarbeitetwerden.

Informationen zu den Änderungen, die Sie an den Registrierungs-und Zertifizierungsprozessen vornehmen können, sowie Anweisungenzur Vorgehensweise finden Sie im HandbuchTivoli PKI Anpassung.

Zusätzliche Informationen zur Anpassung finden Sie im IBM Red-book Working with Business Process Objects for Tivoli SecureWayPKI, IBM Form SG24-6043-00. Diese Veröffentlichung enthält Emp-fehlungen zum Entwickeln und Anpassen von BPOs (Unternehmens-prozessobjekten) an die individuellen Anforderungen Ihres Unterneh-mens.


||||||

1.TivoliP

KI

-E

inführung

ZertifikatsausstellerDer Zertifikatsaussteller (CA) ist die Server-Komponente, die denZertifizierungsprozess verwaltet. Er stellt dabei eine anerkannte drittePartei für die Benutzer dar, die e-business-Aktionen ausführen undbürgt über die von ihm ausgestellten Zertifikate für die Identität vonBenutzern. Das Zertifikat weist nicht nur die Identität des Benutzersnach, es enthält außerdem einen öffentlichen Schlüssel, mit dem derBenutzer die Kommunikation prüfen und verschlüsseln kann.

Die Vertrauenswürdigkeit der einzelnen Parteien hängt von der Aner-kennung des CAs ab, der die verwendeten Zertifikate ausgestellt hat.Um die Integrität eines Zertifikats sicherzustellen, wird dieses vomCA digital unterzeichnet. Durch Versuche, ein Zertifikat zu ändern,wird die Unterschrift ungültig und das Zertifikat unbrauchbar.

Der Tivoli PKI-CA stellt mit Hilfe der folgenden Methoden einesichere Transaktionsumgebung zur Verfügung:

¶ Sicherstellen der Eindeutigkeit eines Zertifikats. Der CA gene-riert eine Seriennummer für alle neuen sowie alle erneuertenZertifikate. Diese Seriennummer ist eine eindeutige Kennung,die nicht als Teil des registrierten Namens (Distinguished Name,DN) im Zertifikat gespeichert wird.

¶ Protokollieren der ausgestellten Zertifikate. Der CA verwalteteine Liste der ausgestellten Zertifikate (ICL). Mit der ICL wirdeine (über Seriennummern indexierte) sichere Kopie jedes Zerti-fikats in einer DB2-Datenbank gespeichert.

¶ Protokollieren widerrufener Zertifikate. Der CA erstellt und aktu-alisiert Zertifikatswiderrufslisten (CRLs). Der CA und die RAtauschen Nachrichten aus, sobald ein Zertifikat widerrufen wird;so kann die RA das Directory bei der nächsten regelmäßigenAktualisierung entsprechend aktualisieren. Alle Zertifikats-widerrufslisten werden vom CA digital unterzeichnet, um derenIntegrität zu überprüfen.

¶ Gewährleisten eines Schutzes gegen die Manipulation von Daten.Der CA generiert für alle in die Datenbank geschriebenen Sätzeeinen Nachrichtenauthentifizierungscode (MAC). Mit Hilfe desMAC kann festgestellt werden, wenn Daten in der Datenbank


geändert oder gelöscht wurden. Auf diese Weise wird dieDatenbankintegrität sichergestellt.

¶ Schützen der CA-Unterschrift. Der CA kann mit dem IBM 4758PCI Cryptographic Coprocessor integriert werden. Der IBM4758 PCI Cryptographic Coprocessor verwendet einen festgespeicherten Chiffrierschlüssel, um den Unterschriftsschlüsseldes CA zu verschlüsseln und damit zu schützen.

¶ Unterstützen der Aktualisierung (Rollover) des CA-Schlüssel-paares und des zugehörigen Zertifikats zur Verhinderung desAblaufens.

¶ Unterstützen der Funktionen zur Überprüfung und Daten-wiederherstellung. Der CA generiert für zahlreiche überprüfbareEreignisse Prüfsätze. Der Prüfserver speichert diese Sätze ineiner DB2-Datenbank.

¶ Wenn in Ihrem Unternehmen diskrete Anwendungen verwendetwerden, für die ein einzelner CA ausreicht, unterstützt TivoliPKI selbstunterzeichnete CA-Zertifikate. In diesem Szenario istder CA für die gesamte Zertifizierung innerhalb seiner Verwal-tungsdomäne verantwortlich.

¶ Wenn in Ihrem Unternehmen verzahnte oder hierarchischeBerechtigungsketten vorliegen, können sie den CA so konfigu-rieren, dass er mit anderen CAs zusammenarbeitet.

v Ein Tivoli PKI-CA kann zusammen mit einem anderen CAeine gegenseitige Zertifizierung durchführen und vereinbaren,dass die vom jeweiligen Partner-CA unterzeichneten Zertifi-kate als Authentizitätsbeleg akzeptiert werden. Die gegensei-tige Zertifizierung ermöglicht Entitäten in der Verwaltungs-domäne eines CAs die sichere Kommunikation mit denEntitäten in der Verwaltungsdomäne eines anderen CAs.

v Ein Tivoli PKI-CA kann als Root-CA andere CA-Zertifikateunterzeichnen. Darüber hinaus unterstützt er Anforderungenvon anderen CAs, die dessen CA-Zertifikat unterzeichnenmöchten. Dadurch kann der CA in eine Sicherheitshierarchieintegriert werden. Er akzeptiert Zertifikate, die von einem


|||

1.TivoliP

KI

-E

inführung

beliebigen, in der Hierarchie über ihm stehenden CA unter-zeichnet wurden, als Authentizitätsnachweis.

Solche Sicherheitsmodelle empfehlen sich beispielsweise bei derUnterteilung von geographischen Bereichen oder Organisations-einheiten in bestimmte Verwaltungsdomänen. Auf diese Weisekönnen außerdem verschiedene Zertifikatsregeln für unterschied-liche Unternehmensbereiche angewandt werden.

¶ Wenn Sie in Ihrem Unternehmen Zertifikate für Zwecke benöti-gen, die nicht bereits durch die Tivoli PKI-Zertifikatsprofileunterstützt werden, kann der CA Zertifikate mit kundendefi-nierten Erweiterungen generieren und auf ihre Gültigkeit hinüberprüfen.

Das HandbuchTivoli PKI Anpassungenthält Informationen zurDefinition neuer Zertifikatsprofile sowie zur Definition vonZertifikatserweiterungen.

Ausführlichere Informationen zum Tivoli PKI-CA finden Sie imHandbuchTivoli PKI Systemverwaltung. Dieses Buch enthält Richtli-nien zum Anpassen der Laufzeitoptionen für den CA-Server sowieProzeduren zum Herstellen von gegenseitig zertifizierten und hierar-chisch strukturierten CA-Trust-Modellen.

PrüfsubsystemIn Tivoli PKI stellt das Prüfsubsystem Unterstützung für die Proto-kollierung sicherheitsrelevanter Aktionen zur Verfügung. Der Prüf-Server führt die folgenden Aktionen im Rahmen der Prüfungs-aktivität aus:

¶ Empfangen von Prüfereignissen von Prüf-Clients wie z. B. vonder Registrierungsstelle und dem Zertifikatsaussteller.

¶ Aufzeichnen von Ereignissen in einem Prüfprotokoll, das norma-lerweise in einer DB2-Datenbank gespeichert wird. (Das Proto-koll kann wahlweise auch als Datendatei gespeichert werden.)Das Protokoll enthält für jedes Prüfereignis einen Protokoll-eintrag.

¶ Ermöglichen der Verwendung einer Maske, mit der Prüf-Clientsbestimmte Prüfereignisse abschirmen können. Zwar werden


einige Ereignisse stets protokolliert, für andere kann jedoch mitHilfe einer Maske die Aufzeichnung verhindert werden. Dadurchkönnen Sie die Größe der Prüfprotokolle steuern und sicherstel-len, dass nur die Ereignisse protokolliert werden, die relevantsind.

¶ Berechnen eines Nachrichtenauthentifizierungscodes (MAC)für alle Prüfsätze. Mit Hilfe des MAC kann die Integrität desDatenbankinhalts gewährleistet werden. So können Sie beispiels-weise anhand des MAC feststellen, ob ein Eintrag seit seinerProtokollierung geändert, unbefugt manipuliert oder gelöschtwurde.

¶ Bereitstellen eines Tools zur Durchführung von Integritäts-prüfungen der Prüfdatenbank und der archivierten Prüfsätze.

¶ Bereitstellen eines Tools zum Archivieren und Unterzeichnen desaktuellen Status der Prüfdatenbank. Aus Sicherheitsgründen soll-ten Sie die Prüfdatenbank regelmäßig archivieren und separatspeichern. Durch die Archivierung der Datenbank kann auch eineLeistungsverbesserung erzielt und Plattenspeicherplatz gespartwerden.

Der Prüf-Server muss auf derselben Maschine installiert sein wie derZertifikatsaussteller. Nach der Installation und Konfiguration desSystems finden Sie im HandbuchTivoli PKI SystemverwaltungInfor-mationen zur Verwendung der Prüf-Tools sowie zur Verwaltung desPrüf-Servers.

WebserverTivoli PKI verwendet den IBM WebSphere Application Server, umeine gesicherte Basis für Netztransaktionen bereitzustellen. BeiWebSphere handelt es sich um eine Gruppe von Produkten, beidenen die Gewährleistung der System- und Datensicherheit von zen-traler Bedeutung ist. Diese Produktgruppe umfasst den IBM HTTPServer, der die Implementierung von hoch entwickelten e-business-Anwendungen unterstützt.

In einem Tivoli PKI-System muss die Web-Server-Software auf der-selben Maschine installiert werden wie die Registrierungsstelle. Aufdieses Weise wird eine sichere Grenze zwischen den geschützten


1.TivoliP

KI

-E

inführung

Programmen und den Benutzern eingerichtet, die auf diese Pro-gramme zugreifen möchten. Mit Hilfe der HTTP-, HTTPS- und SSL-Technologie kann der Web-Server die Kommunikation zwischen denClients und dem Server verschlüsseln. Er kann darüber hinaus dieVerbindungen authentifizieren, um unberechtigten Zugriff oder unbe-fugtes Ändern von Daten zu verhindern.

Der Web-Server verwendet verschiedene Anschlüsse, um unter-schiedliche Anforderungstypen zu verarbeiten:

¶ Einen öffentlichen Anschluss für Anforderungen, für die keineVerschlüsselung oder Authentifizierung erforderlich ist.

¶ Einen gesicherten Anschluss für Anforderungen, für die eine Ver-schlüsselung und eine Server-Authentifizierung erforderlich sind.

¶ Einen gesicherten Anschluss für Anforderungen, für die eine Ver-schlüsselung, eine Server-Authentifizierung und eine Client-Au-thentifizierung erforderlich ist.

In einem Tivoli PKI-System verarbeitet der Web-Server alle Anfor-derungen, die er von einem Web-Browser erhält. Hierzu gehörenAnforderungen für neue Zertifikate, Anforderungen für die Erneue-rung oder den Widerruf vorhandener Zertifikate sowie Anforderun-gen für die Ausführung sicherer Applets. Falls erforderlich, führt derWeb-Server eine Authentifizierung durch, bevor er den Informations-austausch zulässt.

DatenbanksystemIBM DB2 Universal Database (DB2) dient bei Tivoli PKI als dasgrundlegende System zur Datenspeicherung. Die Server-Komponen-ten verwalten separate Datenbanken für Konfigurationsdaten,Registrierungsdaten, Zertifikatsdaten, Prüfdaten und Directory-Daten.DB2 bietet umfassende Sicherheitseinrichtungen und verfügt übereine hohe Speicherkapazität. So ermöglicht DB2 beispielsweiseTivoli PKI, Registrierungsdaten im verschlüsselten Format zu spei-chern und Integritätsprüfungen für gespeicherte Prüfsätze durchzu-führen.

Die DB2-Version, die unter Tivoli PKI benötigt wird, ist in demTivoli PKI-Datenträgerpaket enthalten. Vor der Installation des Tivoli


PKI-Server-Codes muss sichergestellt werden, dass die Datenbank-software auf allen Maschinen zur Verfügung steht, auf denen eineServer-Komponente installiert werden soll. Während der Installationund Konfiguration werden die erforderlichen Datenbanken von TivoliPKI erstellt.

Directory-ServerDas IBM Directory verwaltet Zertifikatsinformationen an zentralerStelle. Durch die Integration mit IBM DB2 kann das Directory Milli-onen von Verzeichniseinträgen unterstützen. Darüber hinaus ermög-licht es Client-Anwendungen, wie beispielsweise Tivoli PKI, Trans-aktionen zum Speichern in der Datenbank, zum Aktualisieren derDatenbank und zum Abrufen von Informationen aus der Datenbankdurchzuführen.

In Tivoli PKI publiziert der RA-Server die folgenden Informationenim Directory:

¶ Zertifikate für öffentliche Schlüssel, die zur Verschlüsselung undAuthentifizierung verwendet werden

¶ Die einem registrierten Namen (DN) zugeordneten Attribute (dieAufgabenbereiche und Berechtigungen des Eigners)

¶ Zertifikatswiderrufslisten, die die Seriennummern aller widerru-fenen Zertifikate enthalten

¶ Informationen zu dem CA, der die Zertifikate unterzeichnet, ein-schließlich der Unternehmens- und Zertifikatsregeln, die demZertifikat zugeordnet sind

IBM 4758 PCI Cryptographic CoprocessorWenn ein CA ein Zertifikat ausstellt, wird durch die Unterschriftdes CA bestätigt, dass der Benutzer berechtigt ist, auf die Serviceszuzugreifen, für die er registriert ist. Der Unterschriftsschlüssel desCA muss geschützt werden, um zu verhindern, dass unbefugteBenutzer Zertifikate erhalten und auf sensible Ressourcen zugreifenkönnen. Ähnliche Sicherheitsfaktoren gelten auch für die von der RAgenerierten Schlüsselpaare.


|||||||

1.TivoliP

KI

-E

inführung

Durch die Anwendung von Verschlüsselungsverfahren könnenSoftwarelösungen einen hohen Grad an Sicherheit für Unterschrifts-schlüssel bieten. Da die Schlüssel jedoch unverschlüsselt vorliegenmüssen, um die zugehörige Unterschrift zu generieren, sind diesedamit dem Zugriff durch nicht berechtigte Benutzer ausgesetzt.

Beim IBM 4758 PCI Cryptographic Coprocessor handelt es sich umeine spezielle Hardwareeinheit, die in einem Tivoli PKI-System dazuverwendet werden kann, CA- und RA-Schlüssel zu schützen. Er imp-lementiert umfassende RSA- und DES-gestützte Verschlüsselungs-funktionen innerhalb eines geschlossenen, manipulationssicherenHochsicherheitsprozessors, der in die Hardware integriert ist. DerKoprozessor gewährleistet den Datenschutz durch die Anwendungvon Verschlüsselungsverfahren und bietet darüber hinaus Funktionenfür die Schlüsselverwaltung und Unterstützung für angepassteAnwendungen. Er unterstützt außerdem die MD5- und SHA-1-Hash-Algorithmen. Diese Funktionen gewährleisten, dass der IBM 4758PCI Cryptographic Coprocessor den brancheninternen Anforderungenfür Standards und Anwendungen entspricht, die über HSM-Funktio-nen (HSM = Hardware Security Module) verfügen müssen.

Bei einer Tivoli PKI-Installation, bei der alle Komponenten auf einereinzigen Maschine implementiert sind, können für CA und RAjeweils eigene 4758-Koprozessorkarten benutzt oder es kann eineKarte gemeinsam verwendet werden. Sie können bei der Ausführungdes Setup Wizard angeben, wie die Karte konfiguriert werden soll.

Anmerkung: Die Unterstützung für den IBM 4758 PCI Cryptogra-phic Coprocessor steht nur in der AIX-Version vonTivoli PKI zur Verfügung.

Das HandbuchTivoli PKI Systemverwaltungund die Produkt-dokumentation enthalten zusätzliche Informationen zum IBM 4758PCI Cryptographic Coprocessor.


||||||||||||||

EmpfehlungDer IBM 4758 PCI Cryptographic Coprocessor ist zwar keineerforderliche Komponente, es wird jedoch von IBM empfohlen,ihn auf demselben Server zu installieren, auf dem auch derZertifikatsaussteller installiert werden soll. Wenn Sie für denSchutz der CA-Schlüssel die Softwareverschlüsselung verwen-den, können Sie die Hardwareunterstützung nicht zu einem spä-teren Zeitpunkt installieren, ohne die Tivoli PKI-Softwareebenfalls erneut zu installieren.

Funktion zur Schlüsselsicherung und -wiederherstel-lung

Tivoli PKI stellt eine Funktion bereit, mit der Anforderungen zumSichern und Wiederherstellen von Schlüsseln verarbeitet werden kön-nen. Mit dieser Funktion können Endentitätszertifikate sowie entspre-chende, von Tivoli PKI zertifizierte private Schlüssel gesichert undwiederhergestellt werden.

Diese Funktion ermöglicht die Wiederherstellung verlorener, verges-sener oder aus anderen Gründen nicht mehr verfügbarer Zertifikateund privater Schlüssel. Beispiel: Ein Mitarbeiter ist für die routine-mäßige Erstellung von Sicherungskopien für Zertifikate und privateSchlüssel verantwortlich und scheidet unvorhergesehener Weise ausdem Unternehmen aus. Hierbei versäumt er, alle privaten Schlüsselzurückzugeben, die für den Zugriff auf die Zertifikate erforderlichsind. Durch die Ausgabe einer Wiederherstellungsanforderung kön-nen diese Informationen wieder bereitgestellt werden.

Für den Sicherungsprozess muss der Benutzer eine PKCS #12-Dateierstellen. Diese Datei enthält das Zertifikat sowie den privatenSchlüssel des Benutzers. Der Benutzer gibt über einen unterstütztenBrowser eine Sicherungsanforderung aus und verwendet hierbei diePKCS #12-Datei als Eingabe. Die Datenbank für die Schlüssel-wiederherstellung (krbdb) wird daraufhin aktualisiert und enthält nundie Zugriffsinformationen. Bei der Wiederherstellung von Schlüsselnwird ähnlich vorgegangen. Sie geben eine Wiederherstellungsan-


1.TivoliP

KI

-E

inführung

forderung aus und definieren hierbei das Kennwort für die PKCS#12-Datei, die gesichert wurde. Nach der Genehmigung der Anforde-rung durch den RA-Administrator können Sie diese Datei herunter-laden.

Funktion für die MassenzertifikatsausstellungTivoli PKI bietet eine Funktion für die Massenzertifikatsausstellung,mit der der Kunde eine große Anzahl von Endentitätszertifikaten ineinem einzigen, automatisierten Arbeitsgang registrieren, erstellenund an LDAP (Lightweight Directory Access Protocol) übertragenkann. Für diese Funktion ist eine korrekt formatierte Eingabedateierforderlich, in der Zertifikatsinformationen einschließlich der Anga-ben zum öffentlichen Schlüssel gespeichert sind. Während des Pro-zesses wird die Eingabe in die Registrierungsdatenbank eingelesen.Anschließend werden die Anforderungen zur Generierung des benö-tigten Zertifikats an den CA gesendet und danach werden dieBenutzerdaten und das Zertifikat an das Directory gesendet. DieFunktion für die Massenzertifikatsausstellung kann als Einzelprozessausgeführt oder in separate Prozesse aufgeteilt werden. Welches Ver-fahren hierbei ausgewählt wird, hängt vom Unternehmensmodell desjeweiligen Kunden ab. Detaillierte Informationen zu dieser Funktionfinden Sie im HandbuchTivoli PKI Systemverwaltung.

ArchitekturDie folgenden Abschnitte enthalten Informationen zum Architektur-gerüst von Tivoli PKI sowie zu den unterstützten Protokollen.

Public Key Infrastructure (PKI)PKI (Public Key Infrastructure) stellt Anwendungen ein Gerüst fürdie Durchführung der folgenden Sicherheitsaktivitäten zur Verfü-gung:¶ Authentifizierung aller Teilnehmer an elektronischen Transaktio-

nen¶ Erteilen von Zugriffsberechtigungen für sensible Systeme und

Repositories¶ Überprüfen der Autoren aller Nachrichten mit Hilfe der digitalen

Unterschrift¶ Verschlüsseln des Inhalts der gesamten Kommunikation


|

||||||||||||||||

Der PKIX-Standard wurde auf der Basis von PKI entwickelt, um dieInteroperabilität von e-business-Anwendungen zu unterstützen. DerHauptvorteil dieses Standards liegt darin, dass er Unternehmenermöglicht, gesicherte elektronische Transaktionen unabhängig vonder verwendeten Betriebsumgebung oder Anwendungssoftwaredurchzuführen.

Die PKIX-Implementierung in Tivoli PKI basiert auf der CommonData Security Architecture (CDSA) von Intel. CDSA unterstützt eineVielzahl von Sicherheitsmodellen, Zertifikatsformaten, Verschlüsse-lungsalgorithmen und Zertifikats-Repositories. Unternehmen könnenmit Hilfe dieser Architektur Anwendungen erstellen, die dem PKI-Standard entsprechen und ihre Unternehmensstrategien unterstützen.Diese Fähigkeit stellt den Hauptvorteil von CDSA dar.

PKIX CMP-ProtokollTivoli PKI verwendet das PKIX Certificate Management Protocol(CMP) für die Kommunikation zwischen den RA- und CA-Servernsowie für die Kommunikation zwischen dem RA-Server und denClients. CMP verwendet als primäres Übertragungsprotokoll TCP/IP,es steht jedoch auch eine Abstraktionsebene oberhalb der Sockets-Schicht zur Verfügung. Dies ermöglicht die Unterstützung für zusätz-liche Datenübertragungsoperationen mit Sendeaufrufen (Polling).

CMP definiert Nachrichtenformate für die gesamte Gültigkeitsdauereines Zertifikats. Darüber hinaus definiert CMP, wie der Nach-richtenschutz unabhängig vom Übertragungsprotokoll ausgeführtwerden soll.

CMP Version 2, das im aktuellen Release von Tivoli PKI unterstütztwird, trägt zur Verbesserung der Interoperabilität bei und ermöglichtden Einsatz von CAs unterschiedlicher Hersteller bei der Ausführungverschiedenster Funktionen wie z. B. der Ausstellung, Überarbeitungund dem Widerruf von digitalen Zertifikaten. Diese Unterstützungs-funktion bietet auch einen höheren Sicherheitsstandard und die Mög-lichkeit zur Übertragung umfangreicherer Nachrichten.


|

|||||||

||||

|||||||

1.TivoliP

KI

-E

inführung

LDAP-ProtokollDas IBM Directory unterstützt LDAP (Lightweight Directory AccessProtocol), um Anwendungen den Zugriff auf seine zentralen Server-dienste zu ermöglichen. LDAP ist ein Protokoll, das auf dem X.500-Standard basiert. Es wird über TCP/IP ausgeführt und steuert denVerzeichniszugriff durch die Verwendung von registrierten Namen(DNs) und Kennwörtern. Da LDAP SSL-Verbindungen unterstützt,können über dieses Protokoll auch Nachrichten verschlüsselt undClients und Server gegenseitig authentifiziert werden.

Bei Tivoli PKI verwendet der RA-Server LDAP für die Kommunika-tion mit dem Directroy-Server. Die RA publiziert Zertifikate, Zerti-fikatswiderrufslisten sowie andere Informationen zu registriertenEntitäten und Zertifizierungsregeln in regelmäßigen Abständen imDirectory.

Im aktuellen Release von Tivoli PKI wird die Kompatibilität mitden Objektklassen und Schemata von LDAP Version 3 unterstützt.Bereits vorhandene Tivoli PKI-Anwendungen, die mit Schemata vonPKIX LDAP Version 2 arbeiten, können vorhandene Schemata undObjektklassen weiterhin nutzen.

ObjektspeicherJede Tivoli PKI-Komponente verfügt über einen Objektspeicher.Beim Objektspeicher handelt es sich um ein auf einer Platteneinheitangelegtes Repository für permanente Objekte. Es dient zum Spei-chern von momentan ausgeführten Transaktionen sowie Status-informationen zu diesen Transaktionen. Bei den Objekten kann essich um aktive Steuerobjekte (z. B. Zertifikate, Anforderungen undCRLs) oder um Ersatzobjekte handeln. Als Ersatzobjekt bezeichnetman einen Bereich, in dem Statusinformationen zu dem zugehörigenObjekt gespeichert werden.

Da Objekte im Objektspeicher im ASN.1-Format gespeichert werden,ist das Abrufen und Speichern relativ aufwendig. Der Objektspeicherspeichert Änderungen an den Objekten im Cache und aktualisiert denPlattenspeicher erst dann, wenn sich der Objektstatus ändert oder dasObjekt durch eine Benutzerschnittstelle geändert wird.


|||||

Um den Aufwand durch die ASN.1-Syntaxanalyse so gering wiemöglich zu halten, verwendet Tivoli PKI für den Objektspeicher eineübergeordnete Objekt-Cache-Schicht, über die die im Objektspeichergespeicherten Objekte im Durchschreibmodus übergeben werdenkönnen. Hierdurch wird die Syntaxanalyse eines Objekts nur dannerforderlich, wenn zum ersten Mal nach dem Serverneustart auf die-ses verwiesen wird.

Die Objekt-Cache-Schicht bietet einen zusätzlichen Speicherbereichfür Objekte, der keinen Plattenspeicherplatz belegt. Tivoli PKI ver-wendet diesen Bereich zum Speichern temporärer, sicherheits-relevanter Daten wie z. B. des Kennworts, durch das ein Vorab-registrierungssatz geschützt wird. Der Objekt-Cache kann auch zumSperren von Datensatzobjekten verwendet werden, um den gleichzei-tigen Zugriff durch mehrere Threads zu verhindern.

Trust-ModellDie Sicherheit in einem Tivoli PKI-System wird durch die Code-und Nachrichtenunterzeichnung, die Datenverschlüsselung sowie dassichere Speichern von Schlüsseln und Kennwörtern gewährleistet.

CodeunterzeichnungDer Hauptcode von Tivoli PKI wird bei der Herstellung unterzeich-net. Wenn der Code werksseitig mit einem privaten Schlüssel unter-zeichnet wird, wird er als statisches, geschütztes Objekt definiert. Erkann nicht geändert oder ersetzt werden, ohne dass dies festgestelltwerden kann. Andere Codeobjekte können den entsprechendenöffentlichen Schlüssel und die interne Prüfbibliothek verwenden, umdie Kommunikation zu authentifizieren, bevor ein Datenaustauschstattfindet.

NachrichtenunterzeichnungUm noch weiter reichende Authentifizierungsservices zur Verfügungzu stellen, werden durch den Konfigurationsprozess Unterschrifts-schlüssel für den RA-, CA- und Prüfserver generiert. Hierdurch kannsichergestellt werden, dass alle Kommunikationsoperationen zwi-schen den einzelnen Komponenten nur mit einer entsprechendenUnterschrift ausgeführt werden können. So können beispielsweise


1.TivoliP

KI

-E

inführung

alle Nachrichten, die zwischen der RA und dem CA ausgetauschtwerden, auf der Basis der Unterschrift der jeweiligen Komponenteauthentifiziert werden.

DatenverschlüsselungAlle in Schlüsselspeichern (KeyStores) gespeicherten Informationenwerden verschlüsselt. Darüber hinaus verschlüsselt DB2 einen Groß-teil der Informationen, die in den Tivoli PKI-Datenbanken gespei-chert werden.

Schlüsselspeicher (KeyStores)Tivoli PKI stellt Unterstützung für Schlüsselspeicher (KeyStores) zurVerfügung. Hierbei handelt es sich um sichere Bereiche, in denenprivate Schlüssel, Zertifikate, Nachrichtenauthentifizierungscodes(MAC) und andere sicherheitsrelevante Objekte gespeichert werden.Für die CA- und Prüfkomponenten sowie für eine Reihe von Server-Agenten, die die Ausführung von Server-Transaktionen unterstützen,sind verschiedene Schlüsselspeicher vorhanden. Die Informationen inden einzelnen Schlüsselspeichern werden verschlüsselt, so dass derZugriff ausschließlich über ein Kennwort möglich ist, das für denjeweiligen Schlüsselspeicher definiert wird.

Dieses Sicherheitsmodell trägt zur Gewährleistung der System-integrität bei, indem es Objekte schützt, die im Schlüsselspeichergespeichert sind. Darüber hinaus stellt dieses Modell die Vertraulich-keit dieser Objekte sicher, indem es ausschließlich gesichertenSystemkomponenten - d. h. Systemkomponenten, die werksseitigmit einem Schlüssel unterzeichnet wurden - den Zugriff auf dieSchlüsselspeicher und die darin gespeicherten verschlüsselten Datengewährt.

Während der Konfiguration werden zwei Kennwörter definiert.Hierbei handelt es sich um das cfguser- und das Steuerprogramm-kennwort. Diese Kennwörter können identisch sein oder voneinanderabweichen. Nach der Konfiguration muss für jeden Schlüsselspeicherein eindeutiges Kennwort definiert werden. Informationen zumDurchführen dieser Änderungen mit dem Dienstprogramm für dieKennwortänderung (Change Password) finden Sie im HandbuchTivoli PKI Systemverwaltung.


Unterstützte StandardsTivoli Public Key Infrastructure unterstützt die folgenden Standardsfür die Verschlüsselung mit öffentlichen Schlüsseln:

Komponente Standard

Registrierungs-stelle

¶ Secure Sockets Layer (SSL) Version 2 und Version 3 mit Client-Authentifizierung

¶ PKCS #10-Format für Browser- und Server-Zertifikate mit einerBase64-codierten PKCS #7-Antwort

¶ PKIX CMP-Zertifikatsformat mit einer PKIX CMP-Antwort¶ IPSec-Zertifikatsformat¶ S/MIME-Zertifikatsformat¶ Browser-Zertifikate für:v Microsoft Internet Explorer Versionen 4.x und 5.xv Netscape Navigator und Netscape Communicator Version 6.x

¶ Server-Zertifikate für:v Netscape Enterprise Serverv Microsoft Internet Information Server

¶ Smart-Card-Zertifikate (PKCS #11-Schnittstelle) für Netscape Navi-gator und Netscape Communicator Version 6.x

¶ LDAP-Standard für die Kommunikation mit dem Directory¶ PKIX CMP via TCP/IP für die Kommunikation mit dem Zertifikats-

aussteller

Zertifikats-aussteller

¶ X.509v3-Zertifikate¶ Zertifikatswiderrufslisten (CRLv2)¶ Schlüssellängen von bis zu 1024 Bit für die Verschlüsselung und

Schlüssel für den Schlüsselaustausch¶ Schlüssellängen von bis zu 2048 Bit für CA-Unterschriftsschlüssel¶ RSA-Algorithmen für die Verschlüsselung und die Unterzeichnung¶ MD5- und SHA-1-Hash-Algorithmen¶ PKIX CMP via TCP/IP für die Kommunikation mit der

Registrierungsstelle

IBM Directory LDAP Version 3.2 mit RFC 1779-Syntax


|||

||

1.TivoliP

KI

-E

inführung

Komponente Standard

IBM 4758 PCICryptographicCoprocessor(Hardware)

¶ FIPS 140 Stufe 4-Anforderungen für den Schutz gegen physischeBeschädigung

¶ Unterstützung für branchenübliche Verschlüsselungsstandards:v DES für die Verschlüsselung und Entschlüsselungv RSA für die Unterzeichnung und Unterschriftsprüfungv PKCS #1-Blocktyp 00v PKCS #1-Blocktyp 01v PKCS #1-Blocktyp 02v MD5- und SHA-1-Hash-Algorithmenv X9.9 und X9.23 ANSIv ISO 9796

IBM CCACryptographicCoprocessor Sup-port Program

Dieses Unterstützungsprogramm stellt Services für den IBM 4758 PCICryptographic Coprocessor zur Verfügung, einschließlich der sicherenGenerierung von RSA-Schlüsselpaaren mit Modulus-Längen bis zu 2048Bit sowie folgenden Funktionen:¶ SET (Secure Electronic Transaction)¶ DES für die Verschlüsselung und Entschlüsselung¶ RSA für die Unterzeichnung und Unterschriftsprüfung¶ MD5- und SHA-1-Hash-Algorithmen

Zertifikate gemäß X.509 Version 3Tivoli PKI-Zertifikate unterstützen die meisten Felder und Erweite-rungen, die im Standard X.509 Version 3 (X.509v3) definiert sind.Durch diese Unterstützung können die Zertifikate für die meistenVerschlüsselungsoperationen verwendet werden, wie beispielsweiseSSL, IPSec, VPN und S/MIME.

Tivoli PKI-Zertifikate können die folgenden Erweiterungstypen ent-halten:

StandarderweiterungenDie Standard-X.509v3-Zertifikatserweiterungen, z. B.Schlüsselverwendung, Verwendungszeitraum privater Schlüs-sel, Alternativname des Zertifikatsgegenstands, Basis-einschränkungen und Namenseinschränkungen.


Allgemeine ErweiterungenErweiterungen, die ausschließlich bei Tivoli PKI vorhandensind, wie beispielsweise die Host-Identitätszuordnung. DieseErweiterung ordnet den Zertifikatsgegenstand einer entspre-chenden Identität auf einem Host-System zu.

Private ErweiterungenErweiterungen, die eine Anwendung dazu verwenden kann,einen Online-Prüfservice zu identifizieren, der den ausstel-lenden CA unterstützt.

Zur Unterstützung der Registrierungsregeln des jeweiligen Unter-nehmens bietet Tivoli PKI auch die Möglichkeit, die Zertifikatser-weiterungen anzupassen und zu definieren. So können Sie beispiels-weise die Erweiterungen, die in den Standardzertifikatsprofilen ange-geben sind, ändern oder Profile erstellen, die Zertifikate mit anderenErweiterungen zurückgeben.

Umfassende Informationen zum Erstellen und Anpassen von Zerti-fikatserweiterungen und Zertifikatsprofilen finden Sie im HandbuchTivoli PKI Anpassung.


1.TivoliP

KI

-E

inführung

Systemvoraussetzungen

Die verwendete Betriebsumgebung muss die Software- und Hard-warevoraussetzungen erfüllen, die in den folgenden Abschnittenerläutert werden. Die neuesten Informationen zu den Systemvoraus-setzungen finden Sie in den Release-Informationen zu Tivoli PublicKey Infrastructure (PKI). Diese Datei kann Informationen enthalten,die die entsprechenden Angaben in den Produktveröffentlichungenersetzen.

Die aktuellste Version dieses Dokuments können Sie über die Web-site von Tivoli Public Key Infrastructure abrufen.

Softwarevoraussetzungen für den ServerUm die Arbeitsbelastung auf mehrere Prozessoren zu verteilen unddie vorhandene Systemkonfiguration in Ihrem Unternehmen zu unter-stützen, können Sie die Tivoli PKI-Server-Programme auf mehrerenMaschinen installieren. Eine Erläuterung zu den unterschiedlichenMöglichkeiten, Tivoli PKI in der jeweiligen Umgebung zu installie-ren, finden Sie im Abschnitt „Unterstützte Serverkonfigurationen” aufSeite 53.

In der folgenden Tabelle sind die Betriebssystem- und Softwarevor-aussetzungen für Tivoli PKI aufgeführt.

2


2.S

ystemvoraussetzungen


Produkt Anmerkungen

Eines der folgenden Betriebssys-teme:¶ IBM AIX/6000 (AIX), Version

4.3.3 Wartungsstufe 6¶ Microsoft Windows NT, Version

4.0 mit Service Pack 5

¶ Erforderlich.¶ Alle Tivoli PKI-Server-Pro-

gramme müssen auf derselbenPlattform installiert werden.AIX- und Windows NT-Maschi-nen dürfen nicht gleichzeitig inderselben Tivoli PKI-Installationverwendet werden.

IBM DB2 Universal Database, Ver-sion 6.1 Fix Pack 4

¶ Erforderlich; im Tivoli PKI-Datenträgerpaket enthalten.

¶ Für jede Tivoli PKI-Server-Komponente ist eine eindeutigeDatenbank vorhanden. Vor derInstallation von Tivoli PKI mussDB2 auf jeder Maschine instal-liert werden, die als Tivoli PKI-Server verwendet werden soll.

IBM WebSphere Application Server,Standard Edition, Version 3.5 Pro-gram Temporary Fix (PTF) 4. Die-ses Produkt umfasst IBM HTTPServer, Version 1.3.12.3 und SunJava Development Kit (JDK), Ver-sion 1.2.2 Program Temporary Fix(PTF) 8

¶ Erforderlich; im Tivoli PKI-Datenträgerpaket enthalten.

¶ Vor der Installation von TivoliPKI muss die Web-Server-Soft-ware auf derselben Maschineinstalliert werden, auf der auchdie Registrierungsstelle instal-liert werden soll.

IBM Directory, Version 3.1.1.5 ¶ Erforderlich; im Tivoli PKI-Datenträgerpaket enthalten.

¶ Vor der Installation von TivoliPKI muss die Directory-Soft-ware installiert werden. DieDirectory-Software kann aufderselben Maschine wie TivoliPKI oder auf einer fernenMaschine installiert werden.


||

||||||||

||||||||

Produkt Anmerkungen

¶ IBM 4758 PCI CryptographicCoprocessor

¶ IBM 4758 CCA Support Pro-gram, Version 2.2.1.0

¶ Optional und lediglich für AIX-Systeme verfügbar. Dieses Pro-dukt muss über die üblichenIBM Vertriebskanäle bestelltwerden.

¶ Vor der Installation von TivoliPKI müssen der IBM 4758 PCICryptographic Coprocessor unddas zugehörige Unterstützungs-programm auf dem Serverinstalliert werden, auf dem derZertifikatsaussteller und dieRegistrierungsstelle installiertwerden sollen.

¶ Für die Verschlüsselungskarteder Einheit IBM 4758 ist einPCI-Bus auf dem RS/6000-Sys-tem erforderlich.

Hardwarevoraussetzungen für den ServerDie Maschinenkonfiguration, die Sie für Tivoli PKI verwenden, istabhängig von der erwarteten Geschäftsaktivität und davon, ob TivoliPKI unter AIX oder Windows NT verwendet werden soll.

¶ Wenn Sie Tivoli PKI auf einem AIX-System ausführen möchten,müssen Sie das Produkt auf einer IBM RISC System/6000-Ma-schine (RS/6000

®

) installieren.

¶ Wenn Sie Tivoli PKI auf einem Windows NT-System ausführenwollen, empfiehlt IBM, das Produkt auf einem IBM Netfinity

®

-Server zu installieren.


|||||||||

2.S


Verwenden Sie die folgenden Definitionen als Richtlinie für dieBerechnung der Kapazitäts- und Durchsatzanforderungen:

Kleine Produktions- oder TestumgebungEin Standort, an dem Hunderte von Zertifikaten pro Tag aus-gestellt werden. Dabei kann es sich um ein System handeln,das für die Ausstellung von Zertifikaten an Mitarbeiter überein Intranet eingerichtet wird, oder um ein System, das zuTestzwecken oder zur Anwendungsentwicklung konfiguriertist.

Mittlere ProduktionsumgebungEin Standort, an dem Tausende von Zertifikaten pro Tag aus-gestellt werden. Dabei kann es sich um ein System handeln,das von kleinen und mittleren Unternehmen eingerichtetwird, um Zertifikate über das Internet auszustellen.

Große ProduktionsumgebungEin Standort, an dem Tausende von Zertifikaten pro Tag aus-gestellt werden. Dabei kann es sich um ein System handeln,das von einem großen Unternehmen für die Ausstellung vonZertifikaten über das Internet eingerichtet wird. Es kann sichauch um ein System handeln, das als unabhängiger DritterCA-Services für andere Unternehmen zur Verfügung stellt.

Die folgende Tabelle enthält eine Übersicht zu den Mindesthardware-voraussetzungen in einer kleinen Produktionsumgebung. Sie solltendie Konfiguration der physischen Maschinen an die erwartetenVerarbeitungsanforderungen anpassen.

Platt-form

Maschinen-typ

Prozesso-ren

Plattenspeicherplatz Haupt-speicher

AIX RS/6000 1 (233MHz)

4 GB 256 MB

NT PC 1 (IntelPentium300 MHz)

2 GB 256 MB


|

Voraussetzungen für den Setup WizardIBM empfiehlt für die Ausführung des Konfigurations-Applets vonTivoli PKI (Setup Wizard) die folgende Workstation-Konfiguration.

¶ Folgende physische Maschinenkonfiguration:v Intel Pentium-Prozessor mit mindestens 64 MB Arbeitsspei-

cherv Ein Computerbildschirm, der Auflösungen von 1024 x 768

oder höher mit 65536 Farben unterstützt

¶ Eines der folgenden Betriebssysteme:v Microsoft Windows 95v Microsoft Windows 98v Microsoft Windows NT

¶ Ein Webbrowser, der Applets auf der Basis von JDK 1.1 unter-stützt, z. B. die nachfolgend aufgeführten Webbrowser:v Netscape Navigator oder Netscape Communicator, nur Ver-

sion 4.7x.

Anmerkung: Netscape Navigator oder Netscape Communi-cator, Version 6 wird für das Konfigurations-Applet oder RA Desktop nicht unterstützt.Netscape Navigator oder Netscape Communi-cator, Version 6 wird nur bei der Ausführungvon Zertifikatsoperationen wie z. B. demRegistrieren, Erneuern und Widerrufen sowiebei der Sicherung und Wiederherstellung unter-stützt.

v Microsoft Internet Explorer, ab Version 5.0

Sie müssen die offizielle, von Netscape oder Microsoft vertrie-bene Version des Browsers installieren. Bei Versionen andererLieferanten werden Informationen möglicherweise nicht korrektangezeigt, vor allem dann, wenn nicht die englische Version desApplets ausgeführt wird.


||||

||||

||||||||||

|||||

2.S


Umfassende Informationen zum Ausführen des Setup Wizard und zurKonfiguration des Tivoli PKI-Systems finden Sie im HandbuchTivoli PKI Konfiguration.

Client-VoraussetzungenInformationen dazu, ob Ihre Workstation die Anforderungen zumEinsatz eines Browsers für die Anforderung und Verwaltung vonZertifikaten erfüllt, finden Sie imTivoli PKI Benutzerhandbuch.

Informationen dazu, ob Ihre Workstation die Anforderungen zur Aus-führung von Tivoli PKI RA Desktop erfüllt, finden Sie im HandbuchTivoli PKI RA Desktop.


|||

Tivoli PKI - Planung

Das vorliegende Kapitel enthält Informationen zur interaktiven Kom-munikation von Tivoli Public Key Infrastructure mit den Program-men, die für den Betrieb des Systems erforderlich sind. Vor derInstallation der verschiedenen Softwareprodukte oder der Konfigura-tion des Systems sollten Sie die Prüfliste im Abschnitt „Prüfliste fürdie Installationsplanung” auf Seite 34 durcharbeiten. Nachdem Siesich vergewissert haben, dass alle in dieser Prüfliste aufgeführtenVoraussetzungen erfüllt sind, sollten Sie die restlichen Abschnittedieses Kapitels lesen. Es enthält auch Richtlinien zur Vorbereitungder Betriebsumgebung für den Einsatz von Tivoli PKI und behandeltdie folgenden Themen:

¶ Vorgehensweise zum physischen Sichern des Systems und zumSchutz des Systems gegen unbefugten elektronischen Zugriff.

¶ Vorgehensweise zum Konfigurieren von IP-Aliasnamen für denWeb-Server zum Unterstützen der Firewall-Anforderungen IhresUnternehmens.

¶ Vorgehensweise von Tivoli PKI zum Erstellen und Verwendenvon Datenbanken.

¶ Vorgehensweise von Tivoli PKI zur Interaktion mit dem Direc-tory.

¶ Vorgehensweise von Tivoli PKI zur Interaktion mit dem IBM4758 PCI Cryptographic Coprocessor.

¶ Vorgehensweise von Tivoli PKI zur Interaktion mit Policy Direc-tor.

3


3.TivoliP

KI

-P

lanung

¶ Empfohlene Server-Konfigurationen zur Ausführung von TivoliPKI in einer Umgebung mit mehreren Maschinen.

¶ Überlegungen zur Landessprache zur Ausführung von Tivoli PKImit den länderspezifischen Angaben Ihres Unternehmens.

¶ Übersicht zu den CDs, die im Tivoli PKI-Produktverteilerpaketenthalten sind.

Prüfliste für die InstallationsplanungIn der folgenden Prüfliste sind die Voraussetzungen aufgeführt, diezur erfolgreichen Ausführung der Tivoli PKI-Installation erfüllt wer-den müssen. Prüfen Sie diese Voraussetzungen und markieren Siediese mit einem Haken (U), nachdem Sie sie erfüllt haben.

Voraussetzung Beschreibung Kommentare Erfüllt?U

ProduktspezifischeSchulung

Tivoli PKI Weitere Einzelheitenerfahren Sie vomzuständigen IBM oderTivoli-Ansprechpartner.

IBM 4758 PCICryptographicCoprocessor

Weitere Einzelheitenerfahren Sie vomzuständigen IBM oderTivoli-Ansprechpartner.


|

||||

|||||

|||||||

|

|||

||||

|


Softwarevorausset-zungen für den Server

Eines der folgendenBetriebssysteme:¶ IBM AIX/6000

(AIX), Version 4.3.3Wartungsstufe 6

¶ Microsoft WindowsNT, Version 4.0 mitService Pack 5

IBM DB2 UniversalDatabase Version 6.1Fix Pack 4

Erforderlich; im TivoliPKI-Datenträgerpaketenthalten.

IBM WebSphereApplication Server,Standard Edition Version3.5 Program TemporaryFix 4. Dieses Produktumfasst IBM HTTP Ser-ver Version 1.3.12.3 undSun Java DevelopmentKit (JDK) Version 1.2.2Program Temporary Fix(PTF) 8.


IBM Directory Version3.1.1.5


IBM Global Security KitSSL Runtime Toolkit(GSKit) Version4.0.3.116


IBM KeyWorks Version1.1.3.1


¶ IBM 4758 PCICryptographicCoprocessor

¶ IBM 4758 CCASupport Program,Version 2.2.1.0.

Optional und lediglichfür AIX-Systeme verfüg-bar. Dieses Produktmuss über die üblichenIBM Vertriebskanälebestellt werden.


||||

||||||||||

||

|||

|||

|

|||||||||||

|||

|

|||||

|

||||

|||

|

|||||

|

||||||

||||||

|

3.TivoliP

KI

-P

lanung


Hardwarevorausset-zungen für den Server

Eine der folgendenPlattformen:

¶ AIX: IBM RISCSystem/6000

¶ Windows NT: IBMNetfinity-Server

¶ 4 GB Platten-speicherplatz

¶ 256 MB Hauptspei-cher

¶ Ein 233-MHz-Pro-zessor (AIX) oder

¶ ein 300-MHz-IntelPentium-Prozessor(Windows NT)


||||

||||

||

||

||

|||||||||

||


Voraussetzungen fürden Setup Wizard

¶ Intel Pentium-Pro-zessor mit mindes-tens 64 MBArbeitsspeicher

¶ Ein Computer-bildschirm, der Auf-lösungen von 1024x 768 oder höhermit 65536 Farbenunterstützt

Eines der folgendenBetriebssysteme:¶ Microsoft

Windows 95¶ Microsoft


Windows NT

Ein Webbrowser, derApplets auf der Basisvon JDK 1.1 unterstützt,z. B. die nachfolgendaufgeführtenWebbrowser:¶ Netscape Navigator

oder NetscapeCommunicator, Ver-sion 4.7x (nur fürWindows-Plattfor-men)

¶ Microsoft InternetExplorer, ab Version5.0

Sie müssen die offizi-elle, von Netscape oderMicrosoft vertriebeneVersion des Browsersinstallieren. Bei Versio-nen anderer Lieferantenwerden Informationenmöglicherweise nichtkorrekt angezeigt, vorallem dann, wenn nichtdie englische Versiondes Applets ausgeführtwird.


||||

||||||||||||

||

||||||||

||

|||||||||||||||

|||||||||||||

|

3.TivoliP

KI

-P

lanung


Voraussetzungen fürRA Desktop

¶ Intel Pentium-Pro-zessor mit mindes-tens 64 MBArbeitsspeicher





Windows NT

Einer der folgendenWebbrowser:¶ Netscape Navigator

oder NetscapeCommunicator, nurRelease 4.7x

¶ Microsoft InternetExplorer, ab Release5.0

Sie müssen die offizi-elle, von Netscape oderMicrosoft bereitgestellteVersion des Browsersinstallieren.

Für den Internet Explo-rer müssen Sie überJava Virtual Machine(JVM), Release 5.00, abBuild 3167 verfügen.


||||

||||||||||||

||

||||||||

||

|||||||||

|||||

|||||

|


Client-Voraussetzungen ¶ Intel Pentium-Pro-zessor mit mindes-tens 64 MBArbeitsspeicher

Darüber hinaus ist Fol-gendes erforderlich:





Windows NT

Ein Webbrowser wiez. B. die folgenden Pro-dukte:¶ Netscape Navigator

oder NetscapeCommunicator, abVersion 4.7 fürWindows-Plattfor-men

¶ Microsoft InternetExplorer, ab Version5.0

Sie müssen die offizi-elle, von Netscape oderMicrosoft bereitgestellteVersion des Browsersinstallieren.


||||

|||||

||

||||||

||

||||||||

||

||||||||||||

|||||

|

||

3.TivoliP

KI

-P

lanung

System sichernTivoli PKI verwendet die Verschlüsselung, digitale Unterschriftenund digitale Zertifikate, um Transaktionen zu schützen und Ihre Res-sourcen gegen unberechtigten Zugriff zu sichern. Die Sicherheit desTivoli PKI-Servers ist jedoch abhängig von der Sicherheit der zu-grundeliegenden Betriebsumgebung.

Dieser Abschnitt enthält Vorschläge zur Sicherung der physischenUmgebung des Systems, um die Möglichkeit unbefugten Zugriffs aufein Minimum zu reduzieren, bevor Sie mit der Installation der TivoliPKI-Software beginnen.

Im Folgenden sind einige Faktoren aufgeführt, die bei der Sicherungdes Systems berücksichtigt werden sollten:

Isolierter BereichRichten Sie den Server in einem isolierten Raum ein, derausschließlich CA-Aktivitäten dient. Wenn möglich, sollteder Raum über verstärkte Wände, eine einzige Massivholz-oder -stahltür und eine stabile Decke ohne herausnehmbareElemente verfügen. Darüber hinaus sollte der Raum übereinen doppelten Boden zum Schutz gegen Entladungen imFalle eines Feuers verfügen.

Verwalteter BereichDer Raum sollte über eine unterbrechungsfreie Stromversor-gung (UPS) verfügen, die von den Computern, der Beleuch-tung, den Bewegungsmeldern sowie den Heizungs- undKühlungssystemen verwendet wird. Überwachen Sie dieTemperatursteuerung, um sicherzustellen, dass die Belüftungausreicht, um die von den Geräten erzeugte Wärme auszu-gleichen.

ZugangskontrolleDer Zugang zum Serverbereich kann auf unterschiedlicheWeise kontrolliert werden, beispielsweise durch Ausweiseoder durch Türschlösser, für die Zugangscodes über eine Tas-tatur eingegeben werden müssen. Um die Manipulationdurch eine einzelne Person zu verhindern, sollten Kontrolleneingerichtet werden, bei denen von mindestens zwei vertrau-


enswürdigen Mitarbeitern die entsprechenden Identitätsnach-weise vorgelegt werden müssen.

Darüber hinaus sollten Sie den Raum überwachen, um zuprotokollieren, wann jemand den Sicherheitsbereich betrittund um wen es sich handelt. Maximale Sicherheit kanndurch die Installation von Bewegungsmeldern innerhalb desRaumes und vor der Tür erreicht werden.

KommunikationskontrolleAm Tivoli PKI-Server sollten keine freien, aktiven An-schlüsse zur Verfügung stehen. Konfigurieren Sie das Systemso, dass es nur an den Anschlüssen auf Anforderungen war-tet, die explizit aktiven Tivoli PKI-Anwendungen zugeordnetsind.

Firewall-Techniken verwendenIBM empfiehlt dringend die Installation einer Firewall, wie beispiels-weise IBM Firewall, um das Tivoli PKI-System gegen unbefugtenZugriff über einen anderen Teil des Netzes zu schützen. Eine Fire-wall bietet die folgenden Möglichkeiten für den Schutz des Systems:

¶ Steuerung der Anwendungen, die via Internet auf das interneNetz zugreifen können.

¶ Steuerung der Adressen im internen Netz, auf die eine berech-tigte Anwendung zugreifen kann.

¶ Verhinderung des Zugriffs interner Anwendungen auf das externeNetz (Internet).

¶ Authentifizierung der Identität der Quellen für alle eingehendenAnforderungen und Genehmigung bzw. Verweigerung desZugriffs auf der Basis der Prüfungsergebnisse.

Um die Zugriffseinschränkungen umzusetzen, müssen die TivoliPKI-Server hinter der Firewall konfiguriert werden. Die installierteFirewall muss mindestens die folgenden Funktionen zur Verfügungstellen:

¶ Einen Überwachungs-Router, mit dem Datenpakete den in IhremUnternehmen gültigen Regeln entsprechend selektiv geblocktwerden können. So sollte es die Firewall beispielsweise ermögli-


3.TivoliP

KI

-P

lanung

chen, Steuerfunktionen einzurichten, mit denen die Kommunika-tion auf bestimmte IP-Adressen und Anschlüsse begrenzt werdenkann.

¶ Einen Proxy-Server, der als Vermittler zwischen Client/Server-Anforderungen eingesetzt werden kann. So sollte es die Firewallbeispielsweise ermöglichen, FTP- oder HTTP-Anforderungenvon Benutzern abzufangen, bevor sie an den entsprechenden Ser-ver-Prozess weitergeleitet werden. Auf diese Weise wird diedirekte Kommunikation zwischen dem Client und dem Serververhindert.

¶ Ein Peripherienetz, das einen zusätzlichen Puffer bietet, der dasinterne Netz abschirmen und schützen kann, falls im externenNetz ein Fehler auftritt.

Bitte beachten Sie, dass Sie die Tivoli PKI-Serverprogramme aufmehreren Maschinen installieren können; dieses Konzept bietet eineReihe von Vorteilen. So können Sie beispielsweise die Leistung ver-bessern, indem Sie die Arbeitsmenge auf mehrere Prozessoren vertei-len, separate Datensicherungszeitpläne definieren und den Zugriff aufverschiedene Prozesse über die IP-Adressenzuordnung steuern. Umdie Sicherheit für diese Programme sicherzustellen, müssen dieseServer hinter der Firewall konfiguriert werden. Wenden Sie dieselbenVorsichtsmaßnahmen an, die Sie auch für den Hauptserver imple-mentiert haben.

Mit Tivoli PKI-Datenbanken arbeitenTivoli PKI verwendet zum Verwalten von Daten IBM DB2 UniversalDatabase. Die im Paket mit den Tivoli PKI-Datenträgern enthalteneDB2-Version wird ausschließlich für die Verwendung durch TivoliPKI-Anwendungen zur Verfügung gestellt. Wenn Sie die Datenbank-software anpassen oder zusammen mit anderen Anwendungen alsTivoli PKI verwenden wollen, müssen Sie eine Lizenz für eine Voll-version von IBM DB2 Enterprise Edition kaufen.

Wenn Sie Tivoli PKI in einer Konfiguration mit mehreren Maschineninstallieren wollen, müssen Sie auf allen Maschinen, auf denen eine


Serverkomponente von Tivoli PKI installiert werden soll, zuerst dieTivoli PKI-Datenbanksoftware installieren.

Im Rahmen der Ausführung eines Konfigurationsprogramms für denInstallationsabschluss erstellt Tivoli PKI die Datenbank ’cfgdb’ fürKonfigurationsdaten und füllt sie mit Standardkonfigurationswerten.

Während der Konfiguration erstellt Tivoli PKI die folgenden Daten-banken für CA-, Registrierungs- und Prüfdaten sowie für Daten zurSchlüsselsicherung und -wiederherstellung. Wenn Sie Tivoli PKIunter AIX installieren, müssen Sie Plattenpartitionen für diese Da-tenbanken erstellen, bevor Sie den Installationsprozess starten.Der Abschnitt „AIX-Datenträgergruppen und -Dateisystemekonfigurieren” auf Seite 61 enthält Einzelheiten hierzu.¶ ibmdb¶ pkrfdb¶ adtdb¶ krbdb

Darüber hinaus erstellt Tivoli PKI die Datenbank ’ldapdb’ für dasDirectory, falls diese nicht bereits vorhanden ist:

Wenn Sie alle Serverkomponenten auf derselben Maschine installie-ren, erstellen die Konfigurationsprogramme die Datenbanken im Hin-tergrund. Wenn Sie die CA-, Prüf- oder Directory-Komponente auffernen Maschinen installieren, müssen Sie während der Konfigura-tion bestimmte Schritte ausführen, um sicherzustellen, dass dieExemplare für die Datenbanken korrekt erstellt werden. Erläuterun-gen zu diesen fernen Konfigurationsprozeduren finden Sie im Hand-buchTivoli PKI Konfiguration.

Wenn Sie Tivoli PKI unter AIX installieren, werden die Konfigurati-ons-, CA-, Registrierungs- und Prüfdatenbank sowie die Datenbankfür die Schlüsselsicherung und -wiederherstellung unter dem Exemp-lar ’cfguser’ erstellt. Wenn noch keine Datenbank für das Directoryerstellt wurde, wird diese ebenfalls unter dem Exemplar mit demNamen ’cfguser’ generiert.


|||||||||||

||||||

3.TivoliP

KI

-P

lanung

Bei der Installation von Tivoli PKI unter Windows NT entspricht derExemplarname für die Tivoli PKI-Datenbanken dem Benutzernamen,unter dem Sie das Produkt installieren. (Der empfohlene Wert lautet’cfguser’, in Ihrer Installation wurde jedoch möglicherweise einanderer Wert gewählt.) Wenn noch keine Datenbank für das Direc-tory erstellt wurde, wird diese unter dem Exemplar mit dem Namen’ldapInst’ generiert.

Zur Unterstützung von Sicherungs- und Wiederherstellungsope-rationen ermöglicht Tivoli PKI die Erstellung von Prüfprotokollenfür Registrierungs- und Zertifizierungsereignisse. Das HandbuchTivoli PKI Systemverwaltungenthält Richtlinien zur Archivierung derPrüfprotokolle sowie zum Sichern und Zurückschreiben des Systems.Zusätzliche Informationen zum Sichern und Zurückschreiben derDatenbanken erhalten Sie beim zuständigen DB2-Datenbank-administrator.

IP-Aliasnamen für den Webserver konfigurierenDas Datenträgerpaket von Tivoli Public Key Infrastructure ent-hält die für Tivoli PKI erforderliche Web-Server-Software: IBMWebSphere Application Server, IBM HTTP Server sowie Sun JavaDevelopment Kit (JDK). Nach der Installation dieser Software kön-nen Sie bestimmte Ports für die Verarbeitung öffentlicher und gesi-cherter Anforderungen konfigurieren.

In einem Tivoli PKI-System muss der Webserver die folgendenAnforderungstypen unterstützen:

¶ Nicht-SSL-Anforderungen (SSL = Secure Sockets Layer) oderöffentliche Anforderungen

¶ Sichere SSL-Anforderungen ohne Client-Authentifizierung

¶ Sichere SSL-Anforderungen mit Client-Authentifizierung

In der Standardkonfiguration ordnet Tivoli PKI Ports auf dem Web-Server zu, die zur Verarbeitung der verschiedenen Anforderungsartendienen. Auf diese Weise können Sie das System so verwenden, wiees installiert wurde, ohne spezielle Anpassungen an Ihrer Netz-konfiguration vorzunehmen.


Die folgende Tabelle enthält eine Übersicht zu dieser Architektur undden für die Ports verwendeten Standardwerten:

Protokoll SSL

Server-Authentifi-

zierung

Client-Authentifi-

zierungAnschluss-nummer

HTTP Nein Nein Nein 80

HTTPS Ja Ja Nein 443

HTTPS Ja Ja Ja 1443

In vielen gesicherten Systemen können nur die Ports 80 und 443über die Firewall geöffnet sein und nur der Port 443 kann für dieHerstellung von SSL-Verbindungen genutzt werden. Wenn dies auchauf Ihr Unternehmen zutrifft, müssen Sie den Webserver so konfigu-rieren, dass die unterschiedlichen Anforderungstypen über denselbenPort verarbeitet werden können. Das System kann beispielsweise sokonfiguriert werden, dass die beiden sicheren Server am Port 443Anforderungen empfangen.

Um für eine einzelne Maschine mehrere Zugriffspunkte über densel-ben Port bereitzustellen, müssen Namen für virtuelle Hosts definiertund diese Namen IP-Adressen zugeordnet werden, bei denen es sichum Aliasnamen der tatsächlichen IP-Adresse der Maschine handelt.Dieses Konzept, das als IP-Aliasnamenumsetzung bezeichnet wird,ermöglicht es, mehrere unabhängige Server auf einer einzelnenMaschine auszuführen.

Anmerkung: Wenn Sie nicht beabsichtigen, die Standardkonfi-gurationswerte für Web-Server-Ports zu verwenden,müssen Sie die IP-Aliasnamen konfigurieren,bevorSie das Konfigurations-Applet von Tivoli PKI ausfüh-ren. Die Konfigurationsprogramme verwenden dieseWerte bei der Erstellung des CA-Zertifikats für IhrSystem.


3.TivoliP

KI

-P

lanung

IP-Aliasnamen werden in TCP/IP DNS (Domain Name Services =Domänennamenservices) definiert. Gehen Sie unter Tivoli PKI fol-gendermaßen vor, um zwei Aliasnamen zu konfigurieren:

¶ Konfigurieren Sie DNS und geben Sie den Host-Namen und dieIP-Adresse der Maschine an. Verwenden Sie diesen Eintrag fürden öffentlichen Server, der Nicht-SSL-Anforderungen amAnschluss 80 empfängt.

¶ Fügen Sie einen (virtuellen) Host-Aliasnamen und eine IP-Alias-adresse hinzu. Verwenden Sie diesen Eintrag für den sicherenWeb-Server, der SSL-Anforderungen ohne Client-Authentifizie-rung am Anschluss 443 empfängt.

¶ Fügen Sie einen zweiten Host-Aliasnamen und eine zweite IP-Aliasadresse hinzu. Verwenden Sie diesen Eintrag für den siche-ren Web-Server, der SSL-Anforderungen mit Client-Authentifi-zierung am Anschluss 443 empfängt.

Bitte beachten Sie, dass diese Host-Aliasnamen und IP-Aliasadresseneindeutig und derselben physischen Maschine zugeordnet sein müs-sen.

Informationen zur Konfiguration virtueller Host-Namen und IP-Aliasnamen finden Sie in der Dokumentation zum verwendetenDNS-Produkt. Weitere Informationen erhalten Sie in der Dokumenta-tion für den IBM HTTP Server. Sie können beispielsweise auf dieInformationen zur Benutzerunterstützung zugreifen, die über die fol-gende IBM Website für IBM HTTP Server zur Verfügung steht:http://www.ibm.com/software/webservers/httpservers/library.html

Mit dem Directory arbeitenDas Datenträgerpaket von Tivoli Public Key Infrastructure enthältdie für die Installation des IBM Directory erforderliche Software. Siekönnen die mit Tivoli PKI zur Verfügung gestellte Software installie-ren und speziell für die Verwendung mit Tivoli PKI konfigurierenoder Tivoli PKI mit einem bereits vorhandenen IBM Directory ver-wenden. Bei der Installation der Tivoli PKI-Server-Software aktuali-sieren die Installationsprogramme das Directory mit Informationen,die für die Tivoli PKI-Komponenten erforderlich sind.


Währen der Konfiguration werden von Tivoli PKI Einträge erstellt,die das Programm für Bindevorgänge im Directory und für dasPublizieren von Informationen benötigt. So erstellt das Konfigu-rationsprogramm beispielsweise einen Eintrag für den Tivoli PKI-CAund ordnet ihm die entsprechenden Directory-Zugriffsberechtigungenzu.

Wenn Sie alle Serverkomponenten auf derselben Maschine installie-ren, aktualisieren die Konfigurationsprogramme das Directory imHintergrund. Wenn Sie das Directory auf einer fernen Maschineinstallieren, müssen Sie während der Konfiguration bestimmteSchritte ausführen, um sicherzustellen, dass es korrekt konfiguriertwird. Das HandbuchTivoli PKI Konfigurationenthält Erläuterungenzu dieser Prozedur.

Directory-SchemaJeder Eintrag im Directory stellt ein einzelnes Objekt dar, wie bei-spielsweise eine Person, Firma oder Einheit, das durch einen eindeu-tigen registrierten Namen (Distinguished Name, DN) identifiziertwird. Das Directory-Schema definiert die Regeln für registrierteNamen, wie beispielsweise deren Deklaration sowie die Art derInformationen, die sie enthalten können oder müssen.

Der registrierte Name enthält eine Gruppe von Attributen, durch diedas Objekt eindeutig identifiziert werden kann und mit denen diedem Objekt zugeordneten Berechtigungen definiert werden können.Attribute können z. B. die Position eines Objekts, das Unternehmen,dem das Objekt zugeordnet ist, oder den Namen des Objekts ange-ben.

Um Sie bei der Definition der für Tivoli PKI erforderlichen Directo-ry-Einträge zu unterstützen, stellt das Konfigurations-Applet einegrafische Benutzerschnittstelle (GUI) bereit. Der DN-Editor ermög-licht es Ihnen, DN-Attribute anzugeben, ohne die Anforderungen desDirectory-Schemas im Einzelnen zu berücksichtigen.


3.TivoliP

KI

-P

lanung

Directory-ZugriffssteuerungAlle Directory-Einträge sind logisch in eine hierarchische Strukturintegriert. Diese Struktur wird als Directory-Informationsbaum-struktur (Directory Information Tree, DIT) bezeichnet. DieseVerzeichnisbaumstruktur verfügt über eine Root-Ebene und einebeliebige Anzahl von weiteren, untergeordneten Knoten. Jeder Kno-ten entspricht einem Directory-Eintrag, der durch ein DN-Attributidentifiziert wird.

Das Directory ermöglicht die Definition von Zugriffssteuerungsbe-rechtigungen für einzelne Einträge oder für Einträge und ihre gesam-ten Unterverzeichnisstrukturen. Bei der Konfiguration von Tivoli PKIwerden automatisch die entsprechenden Berechtigungen für die ein-zelnen DN-Einträge von Tivoli PKI angewendet. Hierbei gilt folgen-des:

¶ Der CA muss auf alle Einträge zugreifen können, die sich in derDirectory-Hierarchie auf seinem DN-Eingangspunkt oder darun-ter befinden. Bei Objekten auf der CA-Basisebene bzw. unter-halb der CA-Basisebene handelt es sich um Objekte, die derVerwaltungsdomäne des CA zugeordnet sind. Diese stellen dieEntitäten dar, die berechtigt sind, öffentliche Schlüssel und Zerti-fikate zu erhalten, die vom CA zertifiziert wurden.

¶ Da der Tivoli PKI-CA keine direkten Bindevorgänge für dasDirectory ausführt, verwendet er einen Agenten, der als Directo-ry-Administrator bezeichnet wird. Der Directory-Administratorführt Anforderungen zwischen dem CA, der RA und dem Direc-tory aus. Er ist berechtigt, alle Einträge in der Unterverzeichnis-baumstruktur des CA im Directory zu aktualisieren. Zu dieserBerechtigung gehört die Fähigkeit, Directory-Einträge hinzuzufü-gen, zu löschen, zu ändern, zu lesen, zu suchen und zu verglei-chen.


¶ Jedes Tivoli PKI-System definiert einen Directory-Root-DN. DerRoot-DN ist eine konfigurierte Entität, die in der Directory-Verzeichnisbaumstruktur nicht tatsächlich vorhanden ist. AlsRoot-Administrator ist der Root-DN berechtigt, alle Knoten imDirectory zu aktualisieren, nicht nur die Knoten in der Unter-verzeichnisbaumstruktur eines bestimmten CA.

Die Attribute im Root-DN beschreiben die Protokolle undSteuerelemente, die vom Directory unterstützt werden. Dadurchkönnen Clients wie beispielsweise Tivoli PKI grundlegendeInformationen zum Server und zur Directory-Verzeichnisbaum-struktur abrufen. Darüber hinaus ermöglicht es Tivoli PKI,Bindevorgänge für das Directory auszuführen, um Änderungenvorzunehmen.

Mit dem IBM 4758 PCI Cryptographic Coprocessorarbeiten

Dieses Produkt ist zwar optional, es wird jedoch empfohlen, denIBM 4758 PCI Cryptographic Coprocessor zu verwenden, um dieoptimale Sicherheit für CA- und RA-Unterschriftsschlüssel zugewährleisten. Schäden auf Grund von Missbrauch durch System-administratoren oder unbefugtes Eindringen in das System können soauf ein Minimum reduziert werden.

Anmerkung: Die Unterstützung für den IBM 4758 PCI Cryptogra-phic Coprocessor steht nur in der AIX-Version vonTivoli PKI zur Verfügung.

Der IBM 4758 PCI Cryptographic Coprocessor verwendet dieAnwendungsprogrammierschnittstelle (API) der Common Cryptogra-phic Architecture (CCA) von IBM, um leistungsfähige Verschlüsse-lungsservices zur Verfügung zu stellen. Die gesamte Verschlüsse-lungsverarbeitung findet innerhalb der sicheren Begrenzung der phy-sischen Verschlüsselungskarte statt.


||||||

3.TivoliP

KI

-P

lanung

Während der Installation generiert das IBM 4758-Konfigurations-programm einen Hauptschlüssel und speichert diesen in der Hard-ware. In einem Tivoli PKI-System kann der Koprozessor diesenHauptschlüssel und einen RSA-Algorithmus verwenden, um den CA-oder RA-Unterschriftsschlüssel dreifach zu verschlüsseln. DieserSchritt bietet eine weitere Sicherheitsebene gegen Versuche, die CA-oder RA-Unterschrift zu manipulieren oder zu entschlüsseln.

Zusätzlich zur Verschlüsselungsfunktion bietet der IBM 4758 PCICryptographic Coprocessor die Möglichkeit, unberechtigten Zugriffauf die Hardware oder den Hauptschlüssel, Unregelmäßigkeiten beider Spannung und Temperatur sowie zu hohe Strahlung festzustellen.Wird eine solche Unregelmäßigkeit festgestellt, werden die Schlüs-sel, die für den Zugriff auf die im Modul gesicherten Daten erforder-lich sind, zerstört.

Anmerkung: Informationen zum Installieren, Konfigurieren undKlonen des IBM 4758 PCI Cryptographic Coprocessorfinden Sie in der Produktdokumentation zur EinheitIBM 4758.

CA- oder RA-Schlüssel in der Hardware speichernWenn Sie den IBM 4758 PCI Cryptographic Coprocessor verwendenmöchten, müssen Sie ihn auf der Maschine installieren, auf der auchder Tivoli PKI-CA-Server oder Tivoli PKI-RA-Server installiert ist,bevor Sie das Tivoli PKI-System konfigurieren. Bei der Konfigura-tion des CA bzw. der RA können Sie angeben, ob der Koprozessorzum Speichern des Unterschriftsschlüssels verwendet werden soll.

Bei den meisten Tivoli PKI-Systemen wird der CA- bzw.RA-Schlüssel physisch nicht zusammen mit dem Hauptschlüsselgespeichert. Eine Konfigurationsoption ermöglicht Ihnen jedoch, die-sen Standardwert zu überschreiben. Dies wird von IBM aber nichtempfohlen. Wenn in der Hardware des IBM 4758 PCI CryptographicCoprocessor ein Fehler auftritt, müssen sofort die geeigneten Maß-nahmen zur Behebung dieses Fehlers durchgeführt werden.


|||||||

||||||

|||||||

http://www.ibm.com/security/cryptocards/


Wenn Sie den CA- bzw. RA-Schlüssel fest in der Hardware spei-chern wollen, sollten Sie einen Fehlerbehebungsplan ausarbeiten.Die folgenden Risiken und die entsprechenden Fehlerbehebungs-maßnahmen sind beim festen Speichern des Schlüssels in der Hard-ware zu beachten:

¶ Wenn der IBM 4758 PCI Cryptographic Coprocessor gesichertwird, wird lediglich für den Hauptschlüssel, jedoch nicht für dieanderen, auf der Hardwarekarte gespeicherten Schlüssel, eineSicherungskopie erstellt. Wenn die Karte beschädigt wird oderein anderer Hardwarefehler auftritt, geht der CA- bzw. RA-Unterschriftsschlüssel verloren.

¶ Wenn der CA- oder RA-Schlüssel verloren geht oder beschädigtwird, müssen Sie den CA bzw. die RA schließen und mit einemneuen Schlüssel erneut starten. Während der CA oder die RAnicht verfügbar sind, können Benutzer, deren Zertifikate vom CAbzw. von der RA unterzeichnet wurden, diese nicht verwenden,da sie nicht geprüft werden können.

¶ Da die Zertifikate, die mit dem ursprünglichen Schlüssel des CAoder der RA unterzeichnet wurden, nicht mehr gültig sind, müs-sen nach dem erneuten Einrichten des CA oder der RA neue Zer-tifikate ausgestellt werden, die mit dem neuen CA- bzw. RA-Schlüssel unterzeichnet sind.

Weitere Informationen zum IBM 4758 PCI Cryptographic Coproces-sor finden Sie im HandbuchTivoli PKI Systemverwaltung.

Integration mit dem Policy DirectorDer Tivoli Policy Director bietet umfassende Endpunkt-zu-Endpunkt-Sicherheitsfunktionen für Ressourcen, die in Intranets und Extranetsüber größere Entfernungen hinweg verteilt sind. Er enthält umfas-sende Unterstützung für die Authentifizierung, Berechtigung, Daten-sicherheit und Ressourcenverwaltung. Durch die Integration desPolicy Director in Tivoli PKI können Sie eine sichere, durch Zertifi-kate geschützte Umgebung für Ihre e-business-Aktivitäten erstellen.


||||||

||||||

|||||

3.TivoliP

KI

-P

lanung

Der Policy Director stellt einen einzelnen Steuerungspunkt für Web-Umgebungen zur Verfügung. Wenn ein Benutzer versucht, auf einesichere Site zuzugreifen, kann der Policy Director eine separateAnmeldung für jeden Web-Benutzer anfordern, die Identität desBenutzers authentifizieren und die Berechtigung des Benutzers fürden Zugriff auf einen geschützten Bereich überprüfen. Der PolicyDirector kann so konfiguriert werden, dass er als Teil diesesPrüfungsvorgangs Tivoli PKI-Zertifikate auswertet. So können Sieden Policy Director beispielsweise so konfigurieren, dass er lediglichdie Zertifikate akzeptiert, die von einem zuverlässigen CA unter-zeichnet wurden, d. h. von einem CA, der dem Policy Directorbekannt ist. Indem Sie dem Policy Director ein Tivoli PKI-CA-Zerti-fikat zur Verfügung stellen, können Sie problemlos eine Sperre zwi-schen nicht berechtigten Benutzern und den Ressourcen einrichten,die geschützt werden müssen.

Informationen zur Verwendung der Tivoli PKI-Zertifikate in einerPolicy Director-Umgebung finden Sie im IBM RedbookTivoli Secu-reWay Policy Director Centrally Managing e-business Security,IBM Form SG24-6008–00.

Tivoli PKI kann durch den Einsatz von BPOs (Unternehmens-prozessobjekten) so angepasst werden, dass eine weitere Integrationmit dem Policy Director erzielt werden kann. Es ist z. B. möglich,ein BPO zu schreiben, mit dem nach der Genehmigung einerZertifikatsanforderung eine Policy Director-Benutzer-ID erstellt wer-den kann. Auf diese Weise wird eine Bindung zwischen dem Zertifi-kat und dem ePerson-Objekt von Policy Director erstellt, das inLDAP generiert wurde. Die Bereitstellung eines BPOs mit dieserFunktionalität hat den zusätzlichen Vorteil, dass ein webbasierterRegistrierungsmechanismus für Policy Director zur Verfügunggestellt wird.

Informationen zum Entwickeln und Anpassen von Unternehmens-prozessobjekten (BPOs) an Ihre individuellen Unternehmensan-forderungen finden Sie im IBM RedbookWorking with BusinessProcess Objects for Tivoli SecureWay PKI, IBM Form SG24-6043-00.


||||

|||||||||||

Unterstützte ServerkonfigurationenSie könne alle Tivoli PKI-Server-Komponenten auf einer einzigenMaschine installieren oder die Verarbeitung auf mehrere Maschinenverteilen. Hierbei müssen allerdings die folgenden Einschränkungenberücksichtigt werden:

¶ Der Webserver, WebSphere und der Hauptserver von Tivoli PKI,der den RA-Server sowie die Datenbanken mit den Konfigurati-ons- und Registrierungsdaten umfasst, müssen auf der selbenMaschine ausgeführt werden.

¶ Der CA- und der Prüfserver sowie die zugehörigen Datenbankenmüssen ebenfalls auf einer Maschine installiert werden.

¶ Der Directory-Server und die zugehörige Datenbank müssen sichauf der selben Maschine befinden.

Die Konfiguration des Servernetzes ist abhängig vom erwartetenArbeitsaufkommen in Ihrem Unternehmen sowie von der Verwen-dung einer bestimmten Maschine für verschiedene Zwecke. WennSie beispielsweise das Directory bereits installiert haben und mitanderen Anwendungen verwenden, empfiehlt es sich möglicherweise,diesen Server nicht für die anderen Tivoli PKI-Komponenten zu kon-figurieren.

Nachfolgend sind die Konfigurationsmöglichkeiten für die Verteilungder Serverkomponenten zusammengefasst:

¶ Der Haupt-Server von Tivoli PKI, der CA- und Prüf-Server undder Directory-Server auf einer Maschine.

¶ Der Haupt-Server von Tivoli PKI, der CA- und Prüf-Server undder Directory-Server auf drei separaten Maschinen.

¶ Der Haupt-Server von Tivoli PKI auf einer Maschine; der CA-und Prüf-Server und der Directory-Server auf einer zweitenMaschine.


||||

||||

||

||

3.TivoliP

KI

-P

lanung

¶ Der Haupt-Server von Tivoli PKI und der CA- und Prüf-Serverauf einer Maschine; der Directory-Server auf einer zweitenMaschine.

¶ Der Haupt-Server von Tivoli PKI und der Directory-Server aufeiner Maschine; der CA- und Prüf-Server auf einer zweitenMaschine.

Hinweise zu länderübergreifenden UmgebungenDie Tivoli PKI-Komponenten unterstützen den Einsatz in einerländerübergreifenden Umgebung:

¶ Nachrichtendateien und grafische Benutzerschnittstellen (GUIs)wurden übersetzt und stellen Unterstützung in den folgendenLandessprachen zur Verfügung: Englisch, Französisch, Deutsch,Italienisch, Spanisch, brasilianisches Portugiesisch, Japanisch,Koreanisch, vereinfachtes Chinesisch und traditionelles Chine-sisch.

¶ Alle Texteingabefelder unterstützen Unicode über die UTF-8-Verschlüsselung.

¶ Alle registrierten Namen (DN) unterstützen Unicode über dieUTF-8-Verschlüsselung.

Unter Tivoli PKI stehen alle Verzeichnispfade in den Konfigurations-dateien ausschließlich in Englisch zur Verfügung und müssen imASCII-Format angegeben werden.

Aufgrund von Exportbestimmungen der US-Regierung wird dasTivoli PKI-Produkt in verschiedenen Verschlüsselungsstufen(Encryption Editions) ausgeliefert. Die für US-Kunden (USA, US-Niederlassungen und Kanada) verfügbare Verschlüsselungsstufe ent-hält einen stärkeren Verschlüsselungsalgorithmus als die internationalverfügbare Ausgabe. Die Verschlüsselungsalgorithmen sind imProduktcode vorab festgelegt und können bei der Installation, Konfi-guration oder Verwendung des Produkts nicht geändert werden.


|||

Tivoli PKI-DatenträgerpaketDie Software für Tivoli PKI wird in einem Datenträgerpaket ausge-liefert, das die folgenden CDs enthält:

¶ CD für IBM WebSphere Application Server for AIX StandardEdition V3.5 Application Server und IBM HTTP Server

Diese CD enthält die Webserversoftware, die für Tivoli PKIerforderlich ist. Darüber hinaus enthält sie WebSphere Applica-tion Server und IBM HTTP Server.

¶ CD für IBM WebSphere Application Server for AIX StandardEdition V3.5 IBM Directory

Diese CD enthält die für Tivoli PKI erforderliche Datenbank-und Directory-Software.

¶ CD 1 für Tivoli Public Key Infrastructure für AIX V 3.7.1

Diese CD enthält die für Tivoli PKI erforderliche Datenbank-software und folgende Komponenten:

v Die Tivoli PKI-RA, den Zertifikatsaussteller und den Prüf-Server, die Directory-Software sowie Programme für dieInstallation, Konfiguration und Verwaltung des Produkts.

v Installations-Image für das Applet Tivoli PKI RA Desktop.

Plattformspezifische CDs stehen für das Betriebssystem AIX zurVerfügung.

¶ CD 2 für Tivoli Public Key Infrastructure für AIX V 3.7.1

Diese CD enthält die für Tivoli PKI erforderliche Software undverschiedene Programmkorrekturen.

¶ Tivoli Public Key Infrastructure Einführung

¶ Release-Informationen für Tivoli Public Key Infrastructure


|

||

|||

|

||

|

||

|

3.TivoliP

KI

-P

lanung

Tivoli PKI unter AIX installieren

Das vorliegende Kapitel enthält Prozeduren zum Installieren vonTivoli Public Key Infrastructure (PKI) sowie der für den Betrieberforderlichen Produkte auf einer AIX-Plattform.

Vor dem Installieren der Tivoli PKI-Software sollten Sie unbedingtdie neueste Version der Release-Informationen für das Produkt lesen.Die aktuellste Version der Release-Informationen können Sie überdie Website von Tivoli Public Key Infrastructure abrufen:http://www.tivoli.com/support

Installieren Sie die Software für Tivoli PKI in der folgenden Reihen-folge:

1. Betriebssystem AIX Version 4.3.3.

2. Wartungsstufe 6 des Betriebssystems AIX (mit anschließendemWarmstart der Maschine).

3. IBM DB2 Universal Database Version 6.1 Fix Pack 4.

4. IBM Directory Server Version 3.1.1.5

5. IBM Developer Kit für AIX, Java Technology Edition, Version1.2.2 PTF 8

6. IBM WebSphere Application Server Standard Edition Version3.5

7. Führen Sie ein Upgrade für IBM WebSphere Application ServerStandard Edition Version 3.5 PTF 4 durch.

4


|

|

|

4.TivoliP

KI

unterA

IXinstallieren


8. Inaktivieren Sie die Funktion für den automatischen Start vonIBM HTTP Server.

9. Starten Sie WebSphere Application Server.

10. IBM KeyWorks Version 1.1.3.1.

11. Tivoli PKI-Serversoftware.

AIX konfigurierenGehen Sie anhand der folgenden Richtlinien vor, wenn Sie die AIX-Software auf der Maschine bzw. den Maschinen installieren, aufder/denen die Tivoli PKI-Software installiert werden soll. Wenn SieAIX bereits installiert haben, können Sie diese Richtlinien alsPrüfliste verwenden, um sicherzustellen, dass alle Dateien installiertwurden, die für die Tivoli PKI-Komponenten erforderlich sind.

Wenn Sie Tivoli PKI in einer Konfiguration mit mehreren Maschineninstallieren wollen, müssen Sie auf allen Maschinen, auf denen eineServer-Komponente von Tivoli PKI installiert werden soll, zuerstAIX installieren.

Gehen Sie wie folgt vor, um den Installationsprozess zu starten:

1. Führen Sie eine Neuinstallation (Neu installieren und über-schreiben), keine Erhaltungsinstallation (Installation mit Erhal-ten) durch.

Anmerkung: Installieren Sie zu diesem Zeitpunkt keine Fix-Versionen. Dieser Arbeitsschritt wird in einer spä-teren Phase des Installationsprozesses ausgeführt.

2. Stellen Sie sicher, dass für die länderspezifischen Angaben derMaschine die Sprache definiert ist, in der Sie die Tivoli PKI-Anwendungen ausführen möchten.

3. Tivoli PKI unterstützt AIX TCB (Trusted Computing Base =gesicherte Computerbasis). Wenn Sie diese Funktion verwendenmöchten, die die Sicherheit des verwendeten Betriebssystemsweiter erhöht, wählen Sie diese Option aus, um sie bei der Instal-lation von AIX zu aktivieren.


|

|

4. Bei der TCP/IP-Konfiguration müssen Sie den Kurznamen desSystems als Hostnamen angeben. Geben Sie z. B.hostnameanStelle von “hostname.mycompany.com” ein. Gehen Sie nach derAIX-Installation wie folgt vor, um die korrekte Angabe desNamens zu prüfen:

a. Geben Siesmitty ein.

b. Wählen Sie die Option fürNetzkommunikation und -An-wendungenaus.

c. Wählen Sie die Option fürTCP/IP aus.

d. Wählen Sie die OptionMindestkonfiguration & System-start aus.

e. Wählen Sie in der Liste der verfügbaren Netzschnittstellenden gewünschten Eintrag aus. Verwenden Sie z. B.en0 Stan-dard Ethernet Network Interface .

f. Prüfen Sie, ob der für HOSTNAME angegebene Wert daskorrekte Format aufweist.

Dateien prüfenNach der Installation von AIX und dem Neustart des Systems müs-sen Sie prüfen, ob die folgenden Dateien erfolgreich installiert wur-den:

bos.adt.base 4.3.3.0 COMMITTED Base Application Developmentbos.adt.debug 4.3.3.0 COMMITTED Base Application Developmentbos.adt.graphics 4.3.3.0 COMMITTED Base Application Developmentbos.adt.include 4.3.3.0 COMMITTED Base Application Developmentbos.adt.lib 4.3.3.0 COMMITTED Base Application Developmentbos.adt.libm 4.3.3.0 COMMITTED Base Application Developmentbos.adt.prof 4.3.3.0 COMMITTED Base Profiling Supportbos.adt.prt_tools 4.3.3.0 COMMITTED Printer Support Developmentbos.adt.samples 4.3.3.0 COMMITTED Base Operating System Samplesbos.adt.sccs 4.3.3.0 COMMITTED SCCS Application Developmentbos.adt.syscalls 4.3.3.0 COMMITTED System Calls Applicationbos.adt.utils 4.3.3.0 COMMITTED Base Application Developmentbos.adt.data 4.3.0.0 COMMITTED Base Application DevelopmentX11.adt.bitmaps 4.3.0.0 COMMITTED AIXwindows ApplicationX11.adt.ext 4.3.3.0 COMMITTED AIXwindows ApplicationX11.adt.imake 4.3.3.0 COMMITTED AIXwindows ApplicationX11.adt.include 4.3.3.0 COMMITTED AIXwindows ApplicationX11.adt.lib 4.3.3.0 COMMITTED AIXwindows ApplicationX11.adt.motif 4.3.3.0 COMMITTED AIXwindows ApplicationX11.apps.aixterm 4.3.3.0 COMMITTED AIXwindows aixterm ApplicationX11.apps.clients 4.3.3.0 COMMITTED AIXwindows Client ApplicationsX11.apps.config 4.3.3.0 COMMITTED AIXwindows ConfigurationX11.apps.custom 4.3.3.0 COMMITTED AIXwindows Customizing ToolX11.apps.msmit 4.3.3.0 COMMITTED AIXwindows msmit ApplicationX11.apps.rte 4.3.3.0 COMMITTED AIXwindows Runtime


|||||

|

||

|

||

|||

||

|||||||||||||||||||||||||

4.TivoliP

KI

unterA

IXinstallieren

X11.apps.util 4.3.3.0 COMMITTED AIXwindows UtilityX11.apps.xterm 4.3.3.0 COMMITTED AIXwindows xterm ApplicationX11.base.common 4.3.3.0 COMMITTED AIXwindows Runtime CommonX11.base.lib 4.3.3.0 COMMITTED AIXwindows Runtime LibrariesX11.base.rte 4.3.3.0 COMMITTED AIXwindows Runtime EnvironmentX11.base.smt 4.3.3.0 COMMITTED AIXwindows Runtime SharedX11.compat.lib.X11R5 4.3.3.0 COMMITTED AIXwindows X11R5 CompatibilityX11.fnt.coreX 4.3.0.0 COMMITTED AIXwindows X Consortium FontsX11.fnt.defaultFonts 4.3.2.0 COMMITTED AIXwindows Default FontsX11.fnt.iso1 4.3.3.0 COMMITTED AIXwindows Latin 1 FontsX11.motif.lib 4.3.3.0 COMMITTED AIXwindows Motif LibrariesX11.motif.mwm 4.3.3.0 COMMITTED AIXwindows Motif Windowifor_ls.base.cli 4.3.3.0 COMMITTED License Use Management Runtimeifor_ls.client.base 4.3.3.0 COMMITTED License Use Management Clientifor_ls.client.gui 4.3.3.0 COMMITTED License Use Management Clientifor_ls.msg.en_US.base.cliifor_ls.base.cli 4.3.3.0 COMMITTED License Use Management Runtimeifor_ls.client.base 4.3.3.0 COMMITTED License Use Management ClientxlC.cpp 4.3.0.1 COMMITTED C for AIX PreprocessorJava.rte.bin 1.1.8.0 COMMITTED Java Runtime EnvironmentJava.rte.classes 1.1.8.0 COMMITTED Java Runtime EnvironmentJava.rte.lib 1.1.8.0 COMMITTED Java Runtime Environment

Wenn nicht alle diese Dateien installiert sind, müssen Sie die fehlen-den Dateien nachinstallieren, bevor Sie die Installation fortsetzen.

Ausreichende Paging-Bereiche prüfenAls Paging-Bereich müssen mindestens 768 MB zur Verfügung ste-hen. Führen Sie die folgenden Arbeitsschritte aus, um zu prüfen, obein ausreichender Paging-Bereich vorhanden ist:

1. Geben Siesmitty ein.

2. Wählen Sie die Option fürSystemspeicherverwaltung (physi-scher und logischer Speicher)aus.

3. Wählen Sie die Option für denLogical Volume Manager aus.

4. Wählen Sie die Option für denPaging-Bereichaus.

5. Wählen Sie die Option fürPaging-Bereiche auflistenaus.

6. Gehen Sie wie folgt vor, wenn als Gesamtgröße nicht mindestens768 MB angegeben wird:

a. Drücken Sie die TasteF3 oderAbbrechen.

b. Wählen Sie die Option fürMerkmale eines Paging-Bereichsändern / anzeigenaus.

c. Wählen Sie den Namen des Paging-Bereichs aus, dessenGröße erhöht werden soll.


||||||||||||||||||||||

|

|||

|

||

|

|

|

||

|

||

||

d. Fügen Sie die Anzahl der zusätzlichen logischen Partitionenhinzu, die erforderlich sind, um den Paging-Bereich auf 768MB zu vergrößern.

Fix-Version auf AIX anwendenNach der Prüfung der Dateien für AIX müssen Sie die Fix-VersionML 4330–06 installieren. Fordern Sie die Programmkorrektur AIXFix-Version ML 4330–06 an, und installieren Sie diese entsprechendder zugehörigen Dokumentation. Nach der Anwendung dieser Fix-Version müssen Sie die Maschine erneut starten.

AIX-Datenträgergruppen und -Dateisysteme konfigu-rieren

Verwenden Sie das AIX System Management Interface Tool (SMIT),um die folgenden Dateisysteme zu konfigurieren. Dieser Konfigu-rationsvorschlag basiert auf der Verwendung von zwei Plattenlauf-werken mit 4,5 GB freiem Speicherplatz für die Datenträger-gruppen rootvg und datavg.

Anmerkung: Bei diesen Konfigurationsvorschlägen wird davon aus-gegangen, dass alle Server-Komponenten auf dersel-ben Maschine installiert werden. Wenn Sie denZertifikatsaussteller und das Prüfsubsystem auf einerMaschine installieren, bei der es sich nicht um denRA-Server handelt, müssen Sie die Prozedur entspre-chend anpassen.

¶ Für die rootvg-Partition:

v Definieren Sie für die Root-Partition (/) 64 MB (128.000512-Byte-Blöcke).

v Definieren Sie für die /usr-Partition 3 GB (6.000.000512-Byte-Blöcke).

v Definieren Sie für die /tmp-Partition 200 MB (400.000512-Byte-Blöcke).

v Definieren Sie für die /var-Partition 500 MB (1.000.000512-Byte-Blöcke).


|||

|

|||||

|||||

|||||||

|

4.TivoliP

KI

unterA

IXinstallieren

v Definieren Sie für die /home-Partition 200 MB (400.000512-Byte-Blöcke).

¶ Für die datavg-Partition:

v Definieren Sie für die /local-Partition 2 GB (4.000.000512-Byte-Blöcke).

v Erstellen Sie eine /dbfsibm-Partition, und definieren Sie fürdiese 500 MB (1.000.000 512-Byte-Blöcke).

Dies ist das Standarddateisystem für den Tivoli PKI-CA.Möglicherweise muss die Größe angepasst werden, um derAnzahl der ausgestellten Zertifikate zu entsprechen.

v Erstellen Sie eine /dbfspkrf-Partition, und definieren Sie fürdiese 300 MB (600.000 512-Byte-Blöcke).

Dies ist das Standarddateisystem für die Registrierungs-funktion. Beachten Sie hierbei, dass die Größe möglicher-weise entsprechend der Anzahl der Benutzer angepasst wer-den muss, die eine Zertifikatsregistrierung durchführen.

v Erstellen Sie eine /dbfsadt-Partition, und definieren Sie fürdiese 300 MB (600.000 512-Byte-Blöcke).

Dies ist das Standarddateisystem für das Prüfsubsystem.Beachten Sie hierbei, dass die Größe möglicherweise entspre-chend der Anzahl der Prüfereignisse angepasst werden muss,die protokolliert werden sollen.

v Erstellen Sie eine /dbfskrb-Partition, und definieren Sie fürdiese 300 MB (600.000 512-Byte-Blöcke).

Dies ist das Standarddateisystem für die Funktion zurSchlüsselsicherung und -wiederherstellung. Beachten Sie hier-bei, dass die Größe möglicherweise entsprechend der Anzahlder ausgegebenen Anforderungen für die Schlüsselsicherungangepasst werden muss.


CD-ROM-Dateisystem erstellenWenn Sie Tivoli PKI sowie die hierfür erforderlichen Produkteinstallieren wollen, müssen Sie ein CD-ROM-Dateisystem als’/cdrom’ anhängen. Bei Bedarf können Sie mit dem folgendenBefehl eine Definition für dieses Dateisystem erstellen:crfs -v cdrfs -d /dev/cd0 -m /cdrom -p ro -A no

Alternativ hierzu können Sie für die Erstellung des Dateisystemsauch SMIT verwenden:smitty crcdrfs

Anzahl der AIX-Systembenutzer ändernGeben Sie den folgenden Befehl ein, um die Anzahl der AIX-Systembenutzer zu ändern. Sie müssen anschließend einen Neustartfür das System durchführen, damit dieser Befehl wirksam wird.chlicense -u 100

Hostnamensauflösung sicherstellenGehen Sie wie folgt vor, um AIX so zu konfigurieren, dass Ihr loka-ler Server Hostnamen korrekt auflösen kann:

1. Erstellen Sie im Verzeichnis ’/etc’ eine Datei mit dem Namen’netsvc.conf’, die nur die folgende Zeile enthält, und beachtenSie hierbei, dass in dieser Anweisung keine Leerzeichen enthal-ten sind:hosts=local,bind4

Sie können diese Datei mit einem Texteditor wie z. B. ’vi’ oderdurch Eingabe des folgenden Befehls erstellen:echo hosts=local,bind4 > netsvc.conf

2. Editieren Sie die Datei ’/etc/hosts’, und prüfen Sie hierbei, ob inder Datei auf den Server verwiesen wird, den Sie momentan kon-figurieren. Beispiel:127.0.0.1 loopback localhost192.40.168.20 taserver.company.com taserver

Die zweite Zeile im vorherigen Beispiel enthält die IP-Adresse,den vollständig qualifizierten Hostnamen sowie den Hostkurzna-men des AIX-Servers, den Sie momentan konfigurieren.


4.TivoliP

KI

unterA

IXinstallieren

3. Erstellen Sie die Datei ’/etc/resolv.conf’, oder ändern Sie dieseso, dass sie lediglich die folgenden Zeilen enthält:domain company.comnameserver 10.10.10.90

Die erste Zeile im vorherigen Beispiel enthält den Domänen-namen des Servers, den Sie momentan konfigurieren. Die zweiteZeile enthält die IP-Adresse des DNS-Namens-Servers.

Systemimage erstellenObwohl dies nicht zwingend erforderlich ist, empfiehlt IBM, dieAIX-Systemkonfiguration zu sichern, bevor die Installation vonTivoli PKI fortgesetzt wird. Mit Hilfe eines Sicherungs-Images kanndas System wiederhergestellt werden, falls Probleme auftreten.

Geben Sie folgende Befehle als Root ein und wählen Sie diegewünschten Optionen aus, um ein System-Image zu erstellen:smitty mksysbsmitty savevg

Datenbanksoftware installierenTivoli PKI verwendet zum Verwalten von Daten IBM DB2 UniversalDatabase. Die Software von IBM DB2 Universal Database wirdzusammen mit IBM WebSphere Application Server Standard EditionVersion 3.5.0 bereitgestellt. Die Software von IBM DB2 UniversalDatabase, die zusammen mit IBM WebSphere Application Serverbereitgestellt wird, dient nur zur Verwendung durch Tivoli PKI-An-wendungen. Wenn Sie die Datenbanksoftware anpassen oder zusam-men mit anderen Anwendungen als Tivoli PKI verwenden wollen,müssen Sie eine Lizenz für eine Vollversion von IBM DB2 Enter-prise Edition, Version 6.1 kaufen.

Die folgenden Abschnitte enthalten eine Beschreibung der Prozedu-ren für die Installation der Datenbanksoftware. Wenn Sie Tivoli PKIin einer Konfiguration mit mehreren Maschinen installieren wollen,müssen Sie auf allen Maschinen, auf denen eine Serverkomponentevon Tivoli PKI installiert werden soll, zuerst die Datenbanksoftwareinstallieren. Beachten Sie hierbei die folgenden Richtlinien:


||||||

¶ Während der Konfiguration erstellt Tivoli PKI automatisch dieDatenbanken, die für die Server-Programme erforderlich sind.Auch die Directory-Datenbank wird von Tivoli PKI erstellt, fallssie nicht bereits vorhanden ist.

¶ Vor der Installation von Tivoli PKI muss sichergestellt werden,dass die erforderliche Version der Datenbanksoftware auf allenMaschinen installiert ist, auf denen eine Tivoli PKI-Server-Kom-ponente installiert werden soll. Stellen Sie darüber hinaus sicher,dass das Datenbanksystem eigenständig korrekt ausgeführt wird,bevor Sie Tivoli PKI installieren.

DB2 installierenFühren Sie die nachfolgend beschriebene Prozedur aus, um dieDatenbank-Basissoftware zu installieren.

1. Melden Sie sich als Benutzer mit Root-Berechtigung an.

2. Legen Sie die CD vonIBM WebSphere Application Server fürAIX in das CD-ROM-Laufwerk ein. Geben Sie den folgendenBefehl ein, um die CD anzuhängen:mount /cdrom

3. Geben Sie den folgenden Befehl ein, um in das Verzeichnis/Db2 auf der CD zu wechseln:cd /cdrom/Db2

4. Geben Sie folgenden Befehl ein, um das Script für dieDatenbankinstallation auszuführen:./db2setup

Während der Installation prüft das Datenbankinstallations-Script,ob bereits eine vorherige Version von DB2 auf dem Systeminstalliert ist und ob auf der gewünschten Maschine genügendPlattenspeicherplatz zur Verfügung steht. Steht auf der Maschinenicht ausreichend Speicherplatz zur Verfügung, wird der freieSpeicherplatz für das Dateisystem ’/usr’ auf 400 MB erhöht.

5. Wählen SieDB2 UDB Enterprise Edition aus.

6. Wählen SieDB2-Produktnachrichten aus.


||||

||||||

||

|

|

||||||

4.TivoliP

KI

unterA

IXinstallieren

7. Wählen Sie die gewünschte Sprache aus, und klicken Sieanschließend aufOK .

8. Wählen SieDB2-Produktbibliothek aus.

9. Wählen Sie die gewünschte Sprache aus, und klicken Sieanschließend aufOK .

10. Wählen SieOK aus.

11. Wählen Sie unterDB2-Services erstellendie OptionDB2-Ex-emplar erstellen aus.

12. Drücken Sie dieEingabetaste.

13. Geben Sie alsBenutzernamedie Zeichenfolgedb2inst1 undals Benutzerverzeichnisdas Verzeichnis/home/db2inst1an.Übernehmen Sie für alle anderen Werte die Standardein-stellungen.

14. Geben Sie Werte für dasKennwort und dasPrüfkennwort ein.

15. Wählen SieMerkmale aus.


17. Wählen Sie alsIdentifikationsüberprüfungsart den WertCli-ent aus.



20. Geben Sie für dieAuthentifizierung Werte fürKennwort undPrüfkennwort des Benutzernamens db2fenc1 ein.




Anmerkung: Ignorieren Sie die Warnung.

24. Wählen SieWeiter aus.


Die DB2-Installation wird nun gestartet.


|

|

|


27. Wählen SieOK aus, um die Verarbeitung zu beenden oder dasProtokoll anzuzeigen.

28. Wählen SieSchließenaus.



Diese Phase der Installation ist nun abgeschlossen.

31. Geben Sie den folgenden Befehl ein, um den Tivoli PKI-Daten-träger abzuhängen:umount /cdrom

32. Geben Sie den folgenden Befehl ein, um in das entsprechendeVerzeichnis zu wechseln:cd /usr/lpp/db2_06_01/cfg

33. Geben Sie den folgenden Befehl ein, um die Umgebungs-variablen zu definieren:./db2ln

34. Setzen Sie die Installation fort, und lesen Sie hierzu die Infor-mationen im Abschnitt „IBM Directory installieren” auf Seite67.

IBM Directory installierenTivoli PKI verwendet das IBM Directory , um Informationen zu Zer-tifikaten, die von der Registrierungsfunktion ausgestellt wurden, zuspeichern und zu verwalten. Verwenden Sie die in den folgendenAbschnitten beschriebenen Prozeduren, um die Directory-Softwarezu installieren und zu konfigurieren. Sie können diese Software aufeiner fernen Maschine oder auf der Maschine installieren, auf derauch eine Tivoli PKI-Server-Komponente installiert werden soll.

Directory-Software installierenFühren Sie mit Root-Berechtigung die folgenden Arbeitsschritte aus:


|

|

4.TivoliP

KI

unterA

IXinstallieren

1. Legen Sie die CD für Directory Server Version 3.1.1.5 in dasCD-ROM-Laufwerk Ihres Systems ein. Geben Sie den folgen-den Befehl ein, um die CD anzuhängen:mount /cdrom

2. Geben Sie den folgenden Befehl ein, um in das entsprechendeVerzeichnis zu wechseln:cd /cdrom/usr/sys/inst.images


|||

|

||

|

|

3. Geben Sie den folgenden Befehl ein:smitty install

4. Wählen SieSoftware installieren und aktualisieren aus.

5. Wählen SieNeueste verfügbare Software installieren undaktualisieren aus.

6. Wählen Sie für die OptionEINGABE-Einheit/Verzeichnis fürSoftware . (Punkt) aus.

7. Drücken Sie unterNeueste verfügbare Software installierenund aktualisieren die TasteF4, um eine Liste der für dieInstallation verfügbaren Dateien anzuzeigen.

8. Drücken Sie die TasteF7, um die Datei ’ldap.client’ für dieInstallation auszuwählen.

9. Drücken Sie nach der Installation dieser Datei unterNeuesteverfügbare Software installieren und aktualisierendie TasteF4, um eine Liste der für die Installation verfügbaren Dateienanzuzeigen.

10. Drücken Sie die TasteF7, um die folgenden Dateien für dieInstallation auszuwählen:¶ ldap.server¶ ldap.html.en_US

Anmerkung: Sie müssen die korrekten Sprachdateien für IhreInstallation auswählen.

11. Geben Sie die folgenden Befehle ein, um den Directory-Daten-träger abzuhängen. Wenn Sie diese Befehle eingeben, kann keinProzess auf Teile der Verzeichnisbaumstruktur von ’/cdrom’zugreifen:umount /cdrom

Anmerkung: In einer Konfiguration mit mehreren Maschinen müs-sen Sie auf jedem Tivoli PKI-Server die Directory-Client-Software installieren, bevor Sie das Konfigura-tions-Applet für Tivoli PKI ausführen. Zum Installie-ren dieser Software müssen Sie die Option ’ldap.cli-ent’ von der CD für den Directory Server auf allen


|

|

|

||

||

|||

||

||||

||||

||

||||

|

||||||

4.TivoliP

KI

unterA

IXinstallieren

Maschinen außer auf der Einheit installieren, auf dersoeben die Directory-Server-Software installiertwurde. Der Name der wichtigen Datei, die auf allenMaschinen installiert werden muss, lautet ’libldap.a’.

Nach Abschluss dieser Arbeitsschritte sind die folgenden Dateieninstalliert:ldap.client.adt 3.1.1.5 COMMITTED SecureWay Directory Client SDKldap.client.rte 3.1.1.5 COMMITTED SecureWay Directory Clientldap.html.en_US.config 3.1.1.0 COMMITTED SecureWay Directoryldap.html.en_US.man 3.1.1.0 COMMITTED SecureWay Directory Man Pagesldap.msg.en_US 3.1.1.0 COMMITTED SecureWay Directory Messages -ldap.server.admin 3.1.1.5 COMMITTED SecureWay Directory Serverldap.server.com 3.1.1.5 COMMITTED SecureWay Directory Serverldap.server.rte 3.1.1.5 COMMITTED SecureWay Directory Serverldap.client.rte 3.1.1.5 COMMITTED SecureWay Directory Clientldap.server.admin 3.1.1.5 COMMITTED SecureWay Directory Serverldap.server.com 3.1.1.5 COMMITTED SecureWay Directory Server

Java installierenGehen Sie wie folgt vor, um Java zu installieren:

1. Legen Sie die CD vonTivoli PKI für AIX in das CD-ROM-Laufwerk Ihres Systems ein. Geben Sie den folgenden Befehlein, um die CD anzuhängen:mount /cdrom

2. Geben Sie den folgenden Befehl ein, um in das entsprechendeVerzeichnis zu wechseln:cd /cdrom/aix/Java_1.2.2.ptf8

3. Geben Sie den folgenden Befehl ein:smitty install






||||

||

|||||||||||

|

|

|||

|

||

|

|

|

|

||

||

|


9. Drücken Sie die TasteF10.

10. Geben Sie die folgenden Befehle ein, um den Tivoli PKI-Daten-träger abzuhängen. Wenn Sie diesen Befehl eingeben, kann keinProzess auf Teile der Verzeichnisbaumstruktur von ’/cdrom’zugreifen:umount /cdrom

Nach Abschluss dieser Arbeitsschritte sind die folgenden Dateieninstalliert:Java_dev2.adt.debug 1.2.2.9 COMMITTED Java Application DevelopmentJava_dev2.adt.includes 1.2.2.0 COMMITTED Java Application DevelopmentJava_dev2.adt.src 1.2.2.9 COMMITTED Java Classes Source CodeJava_dev2.rte.bin 1.2.2.9 COMMITTED Java Runtime EnvironmentJava_dev2.rte.lib 1.2.2.9 COMMITTED Java Runtime Environment

WebSphere Application Server-Datenbank erstellenVor der Installation von WebSphere Application Server müssen Siedie zugehörige DB2-Datenbank erstellen. Gehen Sie hierzu wie folgtvor:1. Melden Sie sich als Benutzer mit Root-Berechtigung an.2. Geben Sie den folgenden Befehl ein:

su - db2inst13. Starten Sie die DB2-Konsole mit dem folgenden Befehl:

db24. Erstellen und konfigurieren Sie die Datenbank für WebSphere

Application Server mit den folgenden Befehlen:create database was_dbupdate db cfg for was_db using applheapsz 256

5. Verlassen Sie die DB2-Konsole durch Eingabe vonquit.6. Stoppen Sie DB2 durch Eingabe vondb2stop.7. Starten Sie DB2 durch Eingabe vondb2start.8. Geben Sie den folgenden Befehl ein:exit.


|

|

||||

|

||

|||||

|

|

4.TivoliP

KI

unterA

IXinstallieren

Webserversoftware installierenTivoli PKI verwendet zur Unterstützung seiner Web-basierten Funkti-onen IBM WebSphere Application Server und IBM HTTP Server.Befolgen Sie beim Installieren der Software auf einer AIX-Plattformdie angegebene Prozedur, um sicherzustellen, dass die Web-Server-Programme für den Einsatz mit Tivoli PKI korrekt installiert sind.Sie müssen die Software auf der Maschine installieren, auf der auchdie RA-Komponente installiert werden soll.

Obwohl WebSphere über eine Verwaltungsschnittstelle zum Verwal-ten von Servlets verfügt, ist es weder möglich noch erforderlich,Tivoli PKI-Servlets mit dieser Schnittstelle zu verwalten.

Nach der Installation von Tivoli PKI aktualisiert ein Installationsab-schlussprogramm den Web-Server mit den für Tivoli PKI erforderli-chen Informationen. Wenn Sie den Web-Server starten, verwendetdieser die Konfigurationsdatei, die Tivoli PKI zu diesem Zweckerstellt hat.

Anmerkung: Lesen Sie unbedingt die Informationen dazu, wieTivoli PKI Ports auf dem Web-Server konfiguriert, diein „IP-Aliasnamen für den Webserver konfigurieren”auf Seite 44 enthalten sind. Wenn Sie die Ports aufIhrem System anders konfigurieren wollen, müssenSie dies vor der Konfiguration von Tivoli PKI tun.

WebSphere Application Server installieren1. Melden Sie sich als Benutzer mit Root-Berechtigung an.

2. Legen Sie die CD vonWebSphere Application Server für AIXindas CD-ROM-Laufwerk ein. Geben Sie den folgenden Befehlein, um die CD anzuhängen:mount /cdrom

3. Bei einer fernen Installation müssen Sie WebSphere in einer gra-fischen X11-Umgebung installieren. Geben Sie den folgendenBefehl ein, um die korrekte Umgebungsvariable ’DISPLAY’ zu


|

|||

|

|||

exportieren, die durch das WebSphere-Installationsprogrammgeöffnet werden muss. Hierbei stehtyourhost:0.0für den richti-gen Wert für Ihr System:export DISPLAY=yourhost:0.0

4. Installieren Sie WebSphere, und gehen Sie hierzu wie folgt vor:

a. Geben Sie den folgenden Befehl ein, um in das entsprechendeVerzeichnis zu wechseln:cd /cdrom/aix

b. Geben Sie folgenden Befehl ein, um das Script ’install.sh’auszuführen../install.sh

c. Klicken Sie im Eingangsfenster aufWeiter.

d. Wählen Sie im Fenster mit den Installationsoptionen dieOption für dieAngepasste Installationaus, und klicken Sieanschließend aufWeiter.

e. Wählen Sie im ersten Fenster zur Auswahl der Anwendungs-serverkomponenten die Option fürAlle Komponenten aus,und klicken Sie anschließend aufWeiter.

f. Wählen Sie im zweiten Fenster zur Auswahl derAnwendungsserverkomponenten die Option für dieIBMHTTP Server-Plug-ins aus, und klicken Sie dann aufWeiter.

g. Wählen Sie im Fenster mit den Datenbankoptionen in derDrop-down-Liste für den Datenbanktyp die Option fürDB2aus, und geben Sie in den folgenden Feldern die u. a. Wertean:Datenbankname: was_dbDB-Benutzerverzeichnis: /home/db2inst1Benutzer-ID für Datenbank: db2inst1Datenbankkennwort: yourpasswordKennwort bestätigen: yourpassword

Hierbei stehtyourpasswordfür das Kennwort von db2inst1,das bei der Ausführung von db2setup eingegeben wurde.


|||

|

|

||

|

||

|

|

|||

|||

|||

||||

|||||

||

4.TivoliP

KI

unterA

IXinstallieren

h. Geben Sie im Fenster mit den Sicherheitsinformationen dasRoot-Kennwort für das System ein, bestätigen Sie dieses, undklicken Sie anschließend aufWeiter.

i. Klicken Sie im Fenster zur Auswahl des Zielverzeichnissesauf Weiter.

j. Klicken Sie im Fenster mit den ausgewählten Installations-optionen aufWeiter.

k. Klicken Sie im nächsten Fenster aufOK , um mit der Installa-tion des Produktes zu beginnen.

Anmerkung: Die Ausführung dieses Schrittes kann mehrereMinuten dauern.

l. Klicken Sie im Fenster für den Installationsabschluss auf dieOption für Beenden.

5. Geben Sie die folgenden Befehle ein, um den WebSphere-Daten-träger abzuhängen. Wenn Sie diesen Befehl eingeben, kann keinProzess auf Teile der Verzeichnisbaumstruktur von ’/cdrom’zugreifen:cd /umount /cdrom

Nach Abschluss dieser Arbeitsschritte sind die folgenden Dateieninstalliert:IBMWebAS.base.IBMApache 3.5.0.0 COMMITTED IBMWebAS.base - IBMApacheIBMWebAS.base.ITJ.Info 1.0.0.0 COMMITTED IBMWebAS.base - ITJ InfoIBMWebAS.base.WASicon 3.5.0.0 COMMITTED IBMWebAS.base - WASiconIBMWebAS.base.admin 3.5.0.0 COMMITTED IBMWebAS.base - adminIBMWebAS.base.samples 3.5.0.0 COMMITTED IBMWebAS.base - samplesIBMWebAS.base.server 3.5.0.0 COMMITTED IBMWebAS.base - serverIBMWebAS.base.tivoli 3.5.0.0 COMMITTED IBMWebAS.base - tivoli


|||

||

||

||

||

||

||||

||

|

Upgrade für WebSphere Application Server ausführenGehen Sie wie folgt vor, um für WebSphere Application Server einenUpgrade auf die vorläufige Programmkorrektur (PTF) 4 durchzufüh-ren:

1. Legen Sie die CD vonTivoli PKI für AIX in das CD-ROM-Lauf-werk Ihres Systems ein. Geben Sie den folgenden Befehl ein, umdie CD anzuhängen:mount /cdrom

2. Geben Sie den folgenden Befehl ein, um in das entsprechendeVerzeichnis zu wechseln:cd /cdrom/aix/WebSphere-Standard-ptf4

3. Kopieren Sie alle WebSphere-PTF4-Dateien von der CD in einVerzeichnis auf Ihrem System, auf das Sie über Root-Schreib-berechtigung verfügen.

4. Geben Sie den folgenden Befehl ein, um das Script ’install.sh’auszuführen:./install.sh

5. Geben Sie das WebSphere-Stammverzeichnis an, wenn Sie vomSystem hierzu aufgefordert werden. Standardmäßig wird alsStammverzeichnis /usr/WebSphere/AppServer verwendet.

6. Geben Sie auf die entsprechende Systemanfrage hin die Antwort″Ja″ auf die Frage ein, ob SieIHS WebServer PTF installierenwollen.

7. Geben Sie den Stammverzeichnispfad für das WebServer-Doku-ment an, wenn Sie vom System hierzu aufgefordert werden.Standardmäßig wird das Verzeichnis/usr/HTTPServer/htdocs/en_US verwendet. Bestätigen Sie dieAuswahl durch Eingabe von″Ja″.

Funktion für automatisches Starten des IBM HTTPServer inaktivieren

Zum Inaktivieren der Funktion für das automatische Starten des IBMHTTP Server-Dienstes müssen Sie mit Root-Berechtigung die folgen-den Arbeitsschritte ausführen:


|

|||

|||

|

||

|

|||

||

|

|||

|||

|||||

|

|

|||

4.TivoliP

KI

unterA

IXinstallieren

1. Geben Sie den folgenden Befehl ein, um in das Verzeichnis ’/etc’zu wechseln:cd /etc

2. Editieren Sie die Datei inittab, und löschen Sie hierbei den Ein-trag für ihshttpd. Speichern Sie die Datei ’inittab’ nach demLöschen des Eintrags.

3. Stoppen Sie den IBM HTTP Server-Dienst, der von WebSpheremöglicherweise bereits gestartet wurde. Gehen Sie hierzu wiefolgt vor:

a. Geben Sie den folgenden Befehl ein, um die eventuell aktivenProzesse aufzulisten:ps -ef | grep http

b. Lokalisieren Sie den Prozess/usr/HTTPServer/bin/httpd .

c. Suchen Sie die ID des Elternprozesses (zweites Feld vonlinks).

d. Stoppen Sie den Elternprozess mit dem Befehlkill . Beispiel:kill pid

Hierbei stehtpid für die ID des Elternprozesses.

WebSphere Application Server startenVor der Installation von Tivoli PKI müssen Sie WebSphere Applica-tion Server starten. Gehen Sie hierzu wie folgt vor:

1. Geben Sie den folgenden Befehl ein, um in das entsprechendeVerzeichnis zu wechseln:cd /usr/WebSphere/AppServer/bin

2. Geben Sie den folgenden Befehl ein:./startupServer.sh &

3. Geben Sie den folgenden Befehl ein, um in das entsprechendeVerzeichnis zu wechseln:cd /usr/WebSphere/AppServer/logs

4. Geben Sie den folgenden Befehl ein, und überwachen Sie dieTracedatei:


||

|

|||

|||

||

|

|

||

|

|

|

tail -f tracefile

Wenn die NachrichtA WebSphere Administration Server openfor e-businessausgegeben wird, wurde WebSphere ApplicationServer gestartet.

Anmerkung: Die Ausführung dieses Schrittes kann mehrereMinuten dauern.

5. Drücken Sie die TastenkombinationStrg + C, um den Befehltail zu beenden.

IBM 4758 PCI Cryptographic Coprocessor installierenSie müssen entscheiden, ob Sie die Einheit IBM 4758 zum Schutzvon CA- und RA-Unterschriftsschlüsseln verwenden möchten. Wenndies der Fall ist, müssen Sie die Hardware der Einheit IBM 4758sowie das zugehörige Unterstützungsprogramm für die Verschlüsse-lung auf dem Server installieren, auf dem der Zertifikatsausstelleroder die Registrierungsstelle installiert werden soll. Befinden sichCA und RA auf der selben Maschine, kann der IBM 4758 PCI Cryp-tographic Coprocessor gemeinsam verwendet werden.

Informationen zum Installieren und Konfigurieren des IBM 4758 PCICryptographic Coprocessor finden Sie in der Produktdokumentationzur Einheit IBM 4758

Tivoli PKI installierenVor dem Installieren von Tivoli PKI sollten Sie unbedingt die neu-este Version der Release-Informationen für das Produkt lesen. Dieaktuellste Version dieses Dokuments können Sie über die Websitevon Tivoli PKI abrufen.

Verwenden Sie die folgenden Richtlinien, um die Produkt-komponenten von Tivoli PKI zu installieren:

¶ Installieren Sie alle Serverprogramme auf der selben Plattform(im vorliegenden Fall also unter AIX).


||||||||

|||

4.TivoliP

KI

unterA

IXinstallieren




¶ Wurde zuvor IBM KeyWorks Version 1.1.1 installiert, müssenSie Tivoli PKI entweder auf einer anderen Maschine installierenoder die KeyWorks-Software und alle zugehörigen Anwendungenentfernen, bevor Sie das Installationsprogramm von Tivoli PKIstarten.

¶ Wenn Sie Tivoli PKI in einer Konfiguration mit mehrerenMaschinen installieren wollen, müssen Sie die Installations-prozeduren auf den gewünschten Maschinen wiederholen, bisalle Serverkomponenten installiert sind. Weitere Informationenhierzu finden Sie im Abschnitt „Richtlinien für die Installationauf mehreren Maschinen” auf Seite 82.

¶ Wenn Sie das RA Desktop-Applet installieren wollen, müssenSie zuerst ein Installationsimage installieren. Anschließend mussdas Image verteilt oder über das Netz zur Verfügung gestelltwerden, damit die Benutzer das Installationsprogramm über einelokale Windows-Maschine ausführen können. Instruktionen zumInstallieren, Konfigurieren und Deinstallieren dieser Programmefinden Sie in der VeröffentlichungTivoli PKI RA Desktop.

¶ Wenn Sie das System nach der Installation der Softwarevoraus-setzungen nicht erneut gestartet haben, müssen Sie jetzt einenNeustart durchführen. Stellen Sie sicher, dass die Umgebungs-variablen korrekt definiert sind, bevor Sie Tivoli PKI installieren.

¶ Verwenden Sie PING oder ein anderes Netzkonnektivitäts-Tool,um zu überprüfen, ob die Hostnamen und IP-Adressen gültigund auf dem DNS-Server (DNS = Domain Name Services) IhresNetzes definiert sind.

KeyWorks installierenGehen Sie wie folgt vor, um IBM KeyWorks zu installieren:


2. Legen Sie die CD vonTivoli PKI für AIX in das CD-ROM-Lauf-werk Ihres Systems ein. Geben Sie den folgenden Befehl ein, umdie CD anzuhängen:mount /cdrom

3. Geben Sie den folgenden Befehl ein, um in das entsprechendeVerzeichnis zu wechseln:


||||||

|||||||

cd /cdrom/kw

4. Geben Sie den folgenden Befehl ein, um KeyWorks zu installie-ren:smitty install_latest


6. Drücken Sie unterNeueste verfügbare Software installierenund aktualisieren die Eingabetaste.

7. Wenn Sie mit der Installation von Tivoli PKI fortfahren, könnenSie diesen Arbeitsschritt überspringen. Andernfalls müssen Sieden folgenden Befehl eingeben, um das CD-ROM-Laufwerkabzuhängen:umount /cdrom

Nach Abschluss dieser Arbeitsschritte sind die folgenden Dateieninstalliert:sway.adt 1.1.3.1 COMMITTED IBM KeyWorkssway_vr.cst 1.1.3.1 COMMITTED Domestic (US) customization

Serversoftware installierenGehen Sie wie folgt vor, um die Serversoftware zu installieren:


2. Legen Sie die CD vonTivoli PKI für AIX in das CD-ROM-Laufwerk ein. Geben Sie den folgenden Befehl ein, um die CDanzuhängen:mount /cdrom

3. Geben Sie den folgenden Befehl ein, um in das entsprechendeVerzeichnis zu wechseln:cd /cdrom/usr/sys/inst.images

4. Geben Sie den folgenden Befehl ein:smitty

5. Wählen SieSoftwareinstallation und Wartung aus.



||

|

|

||||

|

||

||

|

|

|

|||

|

||

|

|

|

|

|

4.TivoliP

KI

unterA

IXinstallieren



9. Drücken Sie unterSOFTWARE, die installiert werden soll dieTasteF4, um eine Liste der Dateien anzuzeigen, die für dieInstallation zur Verfügung stehen.

10. Verwenden Sie die folgende Tabelle als Richtlinie und wählenSie die Komponente oder Komponenten aus, die Sie auf dieserMaschine installieren möchten; drücken Sie anschließend dieEingabetaste.

Die Datei ’ta.doc’ enthält HTML-Hilfedateien und die TivoliPKI-Dokumentation für die folgenden Bereiche:¶ Tivoli PKI-Konfiguration¶ Tivoli PKI Registration Authority Desktop

Die Datei ’ta.srvr’ enthält Folgendes:¶ Unterstützung für IBM 4758 PCI Cryptographic Coproces-

sor¶ Zertifikatsaussteller (CA = Certificate Authority)¶ Kerndateien¶ Grafische Benutzerschnittstelle (GUI) für die Installation¶ Installations-Tools¶ Registrierungsstelle (RA = Registration Authority)

Anmerkung: Die Option für die Unterstützung des IBM 4758PCI Cryptographic Coprocessor darf nicht ausge-wählt werden, wenn auf der verwendetenMaschine diese Einheit nicht installiert ist. Mitder TasteF7 können Sie die zu installierendenDateien auswählen.

Dateiname Komponente Beschreibung

tpki.srvr.ra RA-Server Installation der RA-Serversoftware,einschließlich aller Dateien, die für dieRegistrierungsfunktion erforderlichsind.


||

||

|||

||||

||||

||||||||

||||||

||||

||||||

Dateiname Komponente Beschreibung

tpki.srvr.ca CA- undPrüfserver

Installation der CA- undPrüfsubsystemprogramme.

tpki.srvr.core Tivoli PKI Installation der wichtigsten TivoliPKI-Bibliotheken.

tpki.srvr.ic Installations-Tools

Installation der Installations-Tools vonTivoli PKI.

tpki.srvr.icg GrafischeBenutzer-schnittstelle(GUI) für dieInstallation

Installation der grafischenInstallationsbenutzerschnittstelle (GUI)von Tivoli PKI.

RADInst.exe RA Desktop Installation eines Installations-Imagesfür das RA Desktop-Applet von TivoliPKI (nur Windows NT).

11. Nach Beendigung dieser Arbeitsschritte ist die Tivoli PKI-Instal-lation abgeschlossen. Geben Sie die folgenden Befehle ein, umdas CD-ROM-Laufwerk abzuhängen:cd /umount /cdrom

Nach Abschluss dieser Arbeitsschritte sind die folgenden Dateieninstalliert:tpki.srvr.ca 3.7.1.0 COMMITTED IBM Trust Authoritytpki.srvr.core 3.7.1.0 COMMITTED IBM Trust Authority

Core Filestpki.srvr.ic 3.7.1.0 COMMITTED IBM Trust Authoritytpki.srvr.icg 3.7.1.0 COMMITTED IBM Trust Authoritytpki.srvr.ra 3.7.1.0 COMMITTED IBM Trust Authoritytpki.doc.cfg 3.7.1.0 COMMITTED IBM Trust Authority

Configtpki.doc.rad 3.7.1.0 COMMITTED IBM Trust Authority

RA Desktoptpki.doc.usr 3.7.1.0 COMMITTED IBM Trust User Guide


|||

|||||

||||

|||||

||||||

|||

||||||

|||

||

||

|||||||||||

|

4.TivoliP

KI

unterA

IXinstallieren

Richtlinien für die Installation auf mehreren Maschi-nen

Im vorliegenden Abschnitt werden die Richtlinien erläutert, die beider Installation von Tivoli PKI in einer Konfiguration mit mehrerenMaschinen berücksichtigt werden müssen. Hierbei werden die fol-genden Konfigurationen erläutert:

¶ Szenario 1 - RA-Server auf einer Maschine; CA-, Prüf- undDirectory-Server auf einer anderen Maschine

¶ Szenario 2 - RA- und Directory-Server auf einer Maschine;CA- und Prüfserver auf einer anderen Maschine

¶ Szenario 3 - RA-, Prüf- und CA-Server auf einer Maschine;Directory-Server auf einer anderen Maschine

¶ Szenario 4 - RA-Server auf einer Maschine; CA- und Prüfserverauf einer anderen Maschine; Directory-Server auf einer drittenMaschine

Verwenden Sie die folgenden Installationsrichtlinien gemäß denAnforderungen Ihrer Tivoli PKI-Maschinenkonfiguration.

Szenario 1 - RA-Server auf einer Maschine; CA-, Prüf- undDirectory-Server auf einer anderen Maschine

Für den RA-Server müssen folgende Softwarekomponenten installiertbzw. folgende Arbeitsschritte ausgeführt werden:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Wartungsstufe 6¶ IBM DB2 Universal Database Version 6.1 Fix Pack 4¶ IBM Directory Client¶ IBM Developer Kit für AIX, Java Technology Edition, Version

1.2.2 PTF 8¶ IBM WebSphere Application Server Standard Edition Version 3.5¶ Führen Sie einen Upgrade von IBM WebSphere Application Ser-

ver Standard Edition auf Version 3.5 PTF 4 aus.¶ Inaktivieren Sie die Funktion für automatisches Starten des IBM

HTTP Server.¶ Starten Sie WebSphere Application Server.


|

|

||||

||

||

||

|||

||

||

||||||||||||||

¶ IBM Key Works¶ Tivoli PKI-Dateien: tpki.srvr.core, tpki.srvr.ic, tpki.srvr.icg,

tpki.srvr.ra

Für den CA-, Prüf- und Directory-Server müssen folgende Software-komponenten installiert werden:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Wartungsstufe 6¶ IBM DB2 Universal Database Version 6.1 Fix Pack 4¶ IBM Directory Server Version 3.1.1.5¶ IBM Developer Kit für AIX, Java Technology Edition, Version

1.2.2 PTF 8¶ IBM Key Works¶ Tivoli PKI-Dateien: tpki.srvr.core, tpki.srvr.ic, tpki.srvr.ca

Szenario 2 - RA- und Directory-Server auf einer Maschine;CA- und Prüfserver auf einer anderen Maschine

Für den RA- und Directory-Server müssen folgende Software-komponenten installiert bzw. folgende Arbeitsschritte ausgeführt wer-den:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Wartungsstufe 6¶ IBM DB2 Universal Database Version 6.1 Fix Pack 4¶ IBM Directory Server Version 3.1.1.5¶ IBM Developer Kit für AIX, Java Technology Edition, Version



HTTP Server.¶ Starten Sie WebSphere Application Server.¶ IBM Key Works¶ Tivoli PKI-Dateien: tpki.srvr.core, tpki.srvr.ic, tpki.srvr.icg,

tpki.srvr.ra

Für den CA- und Prüfserver müssen folgende Softwarekomponenteninstalliert werden:


|||

||||||||||

||

||||||||||||||||||

||

4.TivoliP

KI

unterA

IXinstallieren

¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Wartungsstufe 6¶ IBM DB2 Universal Database Version 6.1 Fix Pack 4¶ IBM Directory Client¶ IBM Developer Kit für AIX, Java Technology Edition, Version

1.2.2 PTF 8¶ IBM Key Works¶ Tivoli PKI-Dateien: tpki.srvr.core, tpki.srvr.ic, tpki.srvr.ca

Szenario 3 - RA-, Prüf- und CA-Server auf einer Maschine;Directory-Server auf einer anderen Maschine

Für den RA-, Prüf- und CA-Server müssen folgende Software-komponenten installiert bzw. folgende Arbeitsschritte ausgeführt wer-den:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Wartungsstufe 6¶ IBM DB2 Universal Database Version 6.1 Fix Pack 4¶ IBM Directory Client¶ IBM Developer Kit für AIX, Java Technology Edition, Version




tpki.srvr.ra, tpki.srvr.ca

Für den Directory-Server müssen folgende Softwarekomponenteninstalliert werden:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Wartungsstufe 6¶ IBM DB2 Universal Database Version 6.1 Fix Pack 4¶ IBM Directory Server Version 3.1.1.5¶ IBM Developer Kit für AIX, Java Technology Edition, Version

1.2.2 PTF 8


||||||||

||

||||||||||||||||||

||||||||

¶ IBM Key Works¶ Tivoli PKI-Dateien: tpki.srvr.core, tpki.srvr.ic

Szenario 4 - RA-Server auf einer Maschine; CA- und Prüfserverauf einer anderen Maschine; Directory-Server auf einer drittenMaschine

Für den RA-Server müssen folgende Softwarekomponenten installiertbzw. folgende Arbeitsschritte ausgeführt werden:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Wartungsstufe 6¶ IBM DB2 Universal Database Version 6.1 Fix Pack 4¶ IBM Directory Client¶ IBM Developer Kit für AIX, Java Technology Edition, Version




tpki.srvr.ra

Für den CA- und Prüfserver müssen folgende Softwarekomponenteninstalliert werden:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Wartungsstufe 6¶ IBM DB2 Universal Database Version 6.1 Fix Pack 4¶ IBM Directory Client¶ IBM Developer Kit für AIX, Java Technology Edition, Version

1.2.2 PTF 8¶ IBM Key Works¶ Tivoli PKI-Dateien: tpki.srvr.core, tpki.srvr.ic, ta.srvr.ca

Für den Directory-Server müssen folgende Softwarekomponenteninstalliert werden:¶ AIX 4.3.3.0


||

|||

|||||||||||||||||

||||||||||

|||

4.TivoliP

KI

unterA

IXinstallieren

¶ AIX 4.3.3.0 Wartungsstufe 6¶ IBM DB2 Universal Database Version 6.1 Fix Pack 4¶ IBM Directory Server Version 3.1.1.5¶ IBM Developer Kit für AIX, Java Technology Edition, Version

1.2.2 PTF 8¶ IBM Key Works¶ Tivoli PKI-Dateien: tpki.srvr.core, tpki.srvr.ic

Bootwerte ändernVerwenden Sie diese Prozedur nur, wenn Sie einen der standard-mäßigen Konfigurationswerte ändern wollen. Hierbei handelt es sichum die Werte, die bei der Ausführung des Konfigurations-Appletsoder nach der Konfiguration des Systems nicht geändert werden kön-nen. Sie müssen alle Boot-Änderungen vornehmen, bevor Sie dasTivoli PKI-Konfigurationsprogramm für den Installationsabschlussausführen. Wenn die Bootwerte nicht geändert werden sollen, könnenSie mit Abschnitt „Konfigurationsprogramm für den Installationsab-schluss ausführen” auf Seite 90 fortfahren.

Tivoli PKI führt im Rahmen des Installationsabschlussprozesses einBoot-Programm aus. Als Eingabe für dieses Boot-Programm wird einSQL-Script mit dem Namen ’createconfig_start.sql’ verwendet, dasStandardwerte in die Konfigurationsdatenbank lädt und in derDatenbanktabelle ’ConfigDataTbl’ Definitionen für Datenbank-tabellen erstellt. Diese Tabelle enthält die Daten für die System-konfiguration aller Tivoli PKI-Komponenten. Verschiedene Werte indiesem SQL-Script können nach dem Starten des Konfigurations-prozesses nicht mehr geändert werden.

Anmerkung: In kritischen Situationen, in denen ein Standardwertzu Problemen in der Betriebsumgebung führen würde,können Sie vor der Konfiguration auch die Schablo-nendateien von Tivoli PKI ändern. Wenn Sie weitereInformationen hierzu benötigen, wenden Sie sich bittean den zuständigen IBM Ansprechpartner.

Wenn Sie einen Boot-Wert ändern wollen, müssen Sie die Datei ’cre-ateconfig_start.sql’ editieren. Diese Datei wird standardmäßig imVerzeichnis ’/usr/lpp/iau/bin’ gespeichert.


|||||||

Verwenden Sie die folgende Tabelle als Richtlinie für die Durchfüh-rung von Änderungen:

¶ Wenn Sie den Wert von DATABASE PATHNAME ändern wol-len, müssen Sie den vollständigen Pfad für die neue Adresseangeben. Beispiel: /local/dbfsibm.

¶ Die registrierten Namen (DNs) für die Tivoli PKI-Registrie-rungsstelle, den Directory-Administrator und das Prüfsubsystemsind für den Benutzer transparent. Wenn Sie diese ändern wol-len, müssen Sie darauf achten, dass nur das Attribut für den all-gemeinen Namen (CN) geändert wird. Der DN-Basiswert für denZertifikatsaussteller (CA), den Sie während der Konfigurationangegeben haben, wird auch für den von Ihnen ausgewählten all-gemeinen Namen (CN) angewendet.

Feldname Beschreibung Standardwert

WS_RO_KEYSIZE Schlüsselgröße fürden Schlüsselring desWeb-Servers. DieOptionen 0 - 3, die inder KeySize-Aufzäh-lung definiert sind,sind wie folgt zuge-ordnet:¶ 0 = 512¶ 1 = 768¶ 2 = 1024¶ 3 = 2048

0

DATABASE_PATHNAME

Der vollständig quali-fizierte Pfad für dieAdresse, an der dasExemplar der CA-Datenbank (dieCA-Komponente)physisch gespeichertist.

dbfsibm


4.TivoliP

KI

unterA

IXinstallieren


DATABASE_PATHNAME

Der vollständig quali-fizierte Pfad für dieAdresse, an der dasExemplar derPrüfdatenbank (diePrüfsubsystemkompo-nente) physischgespeichert ist.

dbfsadt

DATABASE_PATHNAME

Der vollständig quali-fizierte Pfad für dieAdresse, an der dasExemplar derRegistrierungs-datenbank (dieRA-Komponente)physisch gespeichertist.

dbfspkrf

APP_DN Der registrierteName (DN) derRegistrierungsstelle(RA) von Tivoli PKI.Sie können lediglichden allgemeinenNamen (CN) ändern.

/C=US/O=IhrUnternehmen/OU=TivoliPKI/CN=Tivoli PKI-RA

APP_CERT_LIFETIME

Die in Monaten ange-gebene Lebensdauerder RA-Zertifikateeines Systems.

36

Dieser Wert muss einMehrfaches von 12 sein.

APP_LDAP _DIRADMIN_DN

Der registrierteName (DN) desDirectory-Administra-tors. Sie könnenlediglich den allge-meinen Namen (CN)ändern.

/C=US/O=IhrUnternehmen/OU=TivoliPKI/CN=DirAdmin


||||


APP_COMM_PORT

Der Kommunikations-Port, der zur Durch-führung derKommunikation zwi-schen dem Gerüst derRegistrierungs-funktion und derRegistrierungsstellevon Tivoli PKI ver-wendet wird.

29783

APP_SEC_MECH Der Sicherheits-mechanismus derAnwendung.Standardmäßig wirddie RA-Datenbank-verschlüsselung inak-tiviert. Wenn Sie denWert auf 1 setzen,wird die Datenbank-verschlüsselung akti-viert.

0

CA_IBM_CA_CERT_LIFETIME

Die in Monaten ange-gebene Lebensdauerdes CA-Zertifikatsvon Tivoli PKI.

36

Dieser Wert muss einMehrfaches von 12 sein.

CA_IBM_ADMIN_PORT

Der Verwaltungs-Portdes Zertifikats-ausstellers (CA) vonTivoli PKI. Der ange-gebene Wert mussauch für den PORT-Eintrag in der Datei(irgAutoCA.ini.tpl)definiert werden, dieim Verzeichnis ’cfg’gespeichert ist.

1835


||

4.TivoliP

KI

unterA

IXinstallieren


ADT_DN Der registrierte Name(DN) desPrüfsubsystems. Siekönnen lediglich denallgemeinen Namen(CN) ändern.

/C=US/O=IhrUnternehmen/OU=TivoliPKI/CN=Tivoli PKI-Prüfsubsystem

Konfigurationsprogramm für den Installationsab-schluss ausführen

Nach der Installation der Tivoli PKI-Serversoftware müssen Sie dasKonfigurationsprogramm ’CfgPostInstall’ für den Installationsab-schluss auf dem Tivoli PKI-Hauptserver ausführen, auf dem die RA,WebSphere sowie der HTTP-Server installiert sind. Sie müssen die-ses Programm ausführen, bevor Sie Tivoli PKI mit dem SetupWizard konfigurieren.

Von diesem Programm wird eine Webserver-Konfigurationsdatei (htt-pd.conf) erstellt, die das Starten des Webservers mit den für TivoliPKI erforderlichen Parametern ermöglicht. Es bereitet darüber hinausden Web-Server für die Ausführung des Konfigurations-Applets vor,erstellt einen Benutzereintrag für die Tivoli PKI-Konfiguration (cfg-user) sowie die Konfigurationsdatenbank und füllt die Datenbank mitden Standardkonfigurationsdaten.

Gehen Sie wie folgt vor, um das Konfigurationsprogramm für denInstallationsabschluss auszuführen:

1. Melden Sie sich als Root an, und geben Sie hierzu den folgendenBefehl ein:su - root

2. Geben Sie den folgenden Befehl ein, um in das entsprechendeVerzeichnis zu wechseln:cd /usr/lpp/iau/bin

3. Geben Sie den folgenden Befehl ein:./CfgPostInstall -i


|

|

4. Definieren Sie, wenn Sie vom System hierzu aufgefordert wer-den, das Kennwort für den Benutzereintrag ’cfguser’ und bestäti-gen Sie dieses.

5. Definieren Sie, wenn Sie vom System hierzu aufgefordert wer-den, das Kennwort für das Steuerprogramm und bestätigen Siedieses.

6. Wählen Sie als Name für das DB2-Exemplar ’db2inst1’ aus.Geben Sie den Wert1 ein, der dem Namen ’db2inst1’ zugeordnetist.

Anmerkung: Die Ausführung dieses Schrittes kann mehrere Minu-ten dauern.

Prüfliste für den InstallationsabschlussVerwenden Sie die folgenden Prüfliste, um sicherzustellen, dass alleVoraussetzungen erfüllt sind, um mit der Konfiguration von TivoliPKI zu beginnen. Informationen zum Ausführen des Setup Wizardfinden Sie im HandbuchTivoli PKI Konfiguration.

1. Melden Sie sich mit Root-Berechtigung an und geben Sieanschließend die folgenden Befehle ein, um eine Sicherungskopiedes System-Images zu erstellen:smitty mksysbsmitty savevg

2. Erstellen Sie zur Unterstützung bei der späteren Fehlerbehebungeine Liste der gesamten Software, die auf den einzelnen Serverninstalliert ist. Melden Sie sich mit Root-Berechtigung an undgeben Sie anschließend den folgenden Befehl ein:#lslpp -al >tmp/sys_software.txt

3. Wenn Sie nicht beabsichtigen, die Standardkonfigurationswertefür Web-Server-Ports zu verwenden, müssen Sie die IP-Alias-namen konfigurieren, bevor Sie den Setup Wizard ausführen. DieKonfigurationsprogramme verwenden diese Werte bei der Erstel-lung des CA-Zertifikats für Ihr System. Informationen dazu, wieTivoli PKI Ports auf dem Web-Server konfiguriert und verwen-det, um gesicherte und nicht gesicherte Transaktionen zu verar-beiten, finden Sie in „IP-Aliasnamen für den Webserverkonfigurieren” auf Seite 44.


|

4.TivoliP

KI

unterA

IXinstallieren

4. Entscheiden Sie, welche registrierten Namen (DN) für den TivoliPKI-CA und die zugehörigen Agenten, den Directory-Administra-tor und den Directory-Root verwendet werden sollen. Dieseregistrierten Namen (DNs) müssen eindeutig sein.

Prüfen Sie die Richtlinien im HandbuchTivoli PKI Konfigura-tion, um sicherzustellen, dass die registrierten Namen (DNs) fürdiese Objekte die gewünschte Zertifizierungshierarchie auchunterstützen.

5. Füllen Sie dasTivoli PKI-Konfigurationsdatenformularaus, dasim HandbuchTivoli PKI Konfigurationenthalten ist, um sich mitden Informationen vertraut zu machen, die Sie für die Konfigura-tion des Systems bereithalten müssen. Verwenden Sie dieses For-mular, um Informationen zum jeweiligen System aufzuzeichnen,wie beispielsweise die Server-Host-Namen und die bevorzugtenregistrierten Namen (DN).

Backup-Dienstprogramm ausführenDas Backup-Dienstprogramm von Tivoli PKI (ta-backup) ist ein Toolzum Sichern von Konfigurationsdaten, die in keiner der DB2-Daten-banken gespeichert sind. Die zugehörigen Dateiinformationen wiez. B. Dateiberechtigungen etc. werden ebenfalls gesichert. Verwen-den Sie zum Sichern von DB2-Datenbanken die entsprechendenDB2-Dienstprogramme.

Das Backup-Dienstprogramm akzeptiert einen Parameter, der dasVerzeichnis angibt, in das Backup-Daten geschrieben werden sollen.Dieses Backup-Verzeichnis ist das Stammverzeichnis, das zum Spei-chern aller Datendateien eingesetzt wird. Um Namensunverträglich-keiten innerhalb des Backup-Verzeichnisses zu verhindern, speichertdas Backup-Dienstprogramm Dateien mit derselben Verzeichnis-struktur, die auch auf dem gesicherten System definiert wurde.

Das folgende Beispiel illustriert die Programmsyntax:ta-backup -d backup_directory


||||

|||||||

Hierbei stehtbackup_directoryfür das Verzeichnis, das für dieDatensicherung verwendet werden soll. Der Standardpfad lautet’/usr/lpp/iau/backup’.

Führen Sie die folgenden Arbeitsschritte aus, um das Dienst-programm ’ta-backup’ im Offline-Modus auszuführen:


2. Erstellen Sie optional das Backup-Verzeichnis für die Tivoli PKI-Konfigurationsdaten. Beispiel:mkdir /usr/lpp/iau/my_tabackup

3. Wechseln Sie in das Verzeichnis ’bin’ von Tivoli PKI. DerStandardpfad lautet ’/usr/lpp/iau/bin’.

4. Geben Sie den folgenden Befehl ein, um zu definieren, wo dieDaten gesichert werden sollen:ta-backup -d /usr/lpp/iau/my_tabackup

5. Geben Sie nach einer entsprechenden Systemanfrage das Kenn-wort des Steuerprogramms an.


||

4.TivoliP

KI

unterA

IXinstallieren

Tivoli PKI unter Windows NTinstallieren

Das vorliegende Kapitel enthält Prozeduren zum Installieren vonTivoli Public Key Infrastructure (PKI) sowie der für den Betrieberforderlichen Produkte auf einer Windows NT-Plattform.

Anmerkung: Tivoli PKI Version 3.7.1 bietet keine Unterstützungfür Windows NT. Diese Informationen wurden nurzu Referenzzwecken aufgeführt.

Vor dem Installieren der Tivoli PKI-Software sollten Sie unbedingtdie neueste Version der Release-Informationen für das Produkt lesen.Die aktuellste Version dieses Dokuments können Sie über die Web-site von Tivoli Public Key Infrastructure abrufen.

Anmerkung: Bei den wichtigsten Prozeduren in diesem Kapitelwird davon ausgegangen, dass Sie Tivoli PKI zumersten Mal installieren. Vor der Installation von TivoliPKI sollten Sie unbedingt eine Sicherungskopie IhrerDatendateien erstellen. Informationen zur Erstellungvon Sicherungskopien für Ihre Datendateien finden Sieim Abschnitt „Backup-Dienstprogramm ausführen” aufSeite 117. Führen Sie nach dem Backup über dieBefehlszeile das Programm ’CfgUnInstall’ aus, undsetzen Sie anschließend die Installation von TivoliPKI fort.

5


5.TivoliP

KI

unterW

indows

NT

installieren


Installieren Sie die Software für Tivoli PKI in der folgenden Reihen-folge:

1. Betriebssystem Microsoft Windows NT, Version 4.0 mit ServicePack 5.

2. Tivoli PKI-Datenbank-Software (IBM DB2 Universal Databasefür Tivoli PKI).

3. Sun Java Development Kit (JDK) ab Version 1.1.6.

4. IBM HTTP Server (IHS) Version 1.3.3.1 einschließlich GlobalServices Kit (GSK).

5. IBM WebSphere Application Server Version 2.0.3.1.

6. IBM Directory Server Version 3.1.1

7. Tivoli PKI-Serversoftware einschließlich der zentralen Server-programme und Installations-Images für die Client-Anwendungund RA Desktop.

Konfiguration mit mehreren MaschinenWenn nicht die gesamte Server-Software auf einer Maschineinstalliert werden soll, müssen Sie die folgenden Prozedurenzur Installation von Windows NT und der Datenbanksoftwarevon Tivoli PKI auf allen beteiligten Maschinen wiederholen.

Windows NT konfigurierenGehen Sie anhand der folgenden Richtlinien vor, wenn Sie die Win-dows NT-Software auf der Maschine bzw. den Maschinen installie-ren, auf der/denen die Tivoli PKI-Software installiert werden soll.Wenn Sie Windows NT bereits installiert haben, können Sie dieseRichtlinien als Prüfliste verwenden, um sicherzustellen, dass alleDateien installiert wurden, die für die Tivoli PKI-Komponentenerforderlich sind.


Wenn Sie Tivoli PKI in einer Konfiguration mit mehreren Maschineninstallieren wollen, müssen Sie auf allen Maschinen, auf denen eineServerkomponente von Tivoli PKI installiert werden soll, zuerst Win-dows NT installieren.

¶ Bei der Installation von Windows NT müssen Sie auch das Pro-tokoll TCP/IP installieren. DHCP (Dynamic Host ConfigurationProtocol) kann nur verwendet werden, wenn Sie über einendynamischen DNS-Server (DNS = Domain Name Services) ver-fügen.

¶ Verwenden Sie die folgenden Richtlinien, um die Konnektivitätzu aktivieren:

v Prüfen Sie, ob die IP-Adressen und Host-Namen zugeordnetund fest definiert sind.

v Prüfen Sie, ob Sie über IP-Konnektivität verfügen. Hierzukönnen Sie z. B. feststellen, ob Sie ein PING-Signal an eineandere Maschine absetzen können.

v Prüfen Sie, ob DNS und die zugehörige Umkehrfunktion kor-rekt arbeiten. Hierzu können Sie z. B. feststellen, ob derBefehl ping hostname in die korrekte IP-Adresse und derBefehl ping -a IPaddress in den korrekten Host-Namenaufgelöst wird.

¶ Prüfen Sie, ob auf der Maschine ein Verzeichnis ’temp’ definiertwurde. Falls dies nicht der Fall ist, müssen Sie dieses Verzeich-nis erstellen. Geben Sie den Befehlmd %temp% ein, um zu prü-fen, ob das Verzeichnis ’temp’ vorhanden ist oder um dieses zuerstellen. Wenn das Verzeichnis bereits vorhanden ist, gibt dasSystem eine Nachricht aus, in der Sie darüber informiert werden,dass ein entsprechendes Unterverzeichnis bzw. eine entspre-chende Datei bereits existiert. Andernfalls erstellt das System dasVerzeichnis ’temp’.

¶ Definieren Sie für den virtuellen Speicher der Maschine mindes-tens 400 MB und gehen Sie hierzu wie folgt vor:

1. Wählen SieStart → Einstellungen → Systemsteuerungaus.

2. Klicken SieSystemdoppelt an und wählen Sie anschließenddie IndexzungeLeistungsmerkmaleaus.


5.TivoliP

KI

unterW

indows

NT

installieren

3. Klicken Sie im BereichVirtueller Arbeitsspeicher aufÄndern.

4. Ändern Sie den Wert fürAnfangsgrößeauf 400 MB undden Wert fürMaximale Größe auf 500 MB.

5. Klicken Sie aufSetzen.

6. Klicken Sie aufOK , um das Dialogfenster zu schließen.

7. Klicken Sie aufOK , um das Fenster ’Systemeigenschaften’zu schließen.

8. Klicken Sie aufJa, um einen Neustart des Computers durch-zuführen.

¶ Erstellen Sie einen Windows NT-Benutzereintrag, der als Eintragfür den Tivoli PKI-Konfigurationsbenutzer eingesetzt werdenkann. Die Konfigurationsprogramme verwenden diesen Benut-zernamen und das zugehörige Kennwort, um die erforderlichenDatenbanken zu erstellen und das System zu konfigurieren. Ver-wenden Sie die Verwaltungs-Tools von Windows NT, um diesenBenutzereintrag wie folgt zu definieren:

1. Führen Sie in der Programmgruppe der Verwaltungs-Toolsdas ProgrammBenutzer-Manager aus.

2. Fügen Sie den Benutzereintragcfguser hinzu, und kopierenSie hierzu den Benutzereintrag für den Administrator (indemSie diesen hervorheben und anschließend die TasteF8 drü-cken). Der Benutzer muss über Administratorberechtigungenfür Windows NT verfügen.

3. Geben Sie ein Kennwort für ’cfguser’ ein, und bestätigen Siedieses, indem Sie es erneut eingeben.

4. Nehmen Sie die Auswahl vonBenutzer muss Kennwort beinächster Anmeldung ändernzurück.

5. Klicken Sie aufOK .

Das Kennwort, das diesem Benutzernamen zugeordnet ist,muss genau 8 Zeichen lang sein. Um die Sicherheitsvorkeh-rungen zu optimieren, sollte eine Zeichenfolge angegebenwerden, die kein tatsächliches Wort darstellt. Das Kennwort


sollte darüber hinaus eine Mischung aus Groß- und Klein-buchstaben und mindestens eine Zahl enthalten.

v Diesen Benutzernamen und das zugehörige Kennwort müssenSie bei der Installation und Konfiguration des Systems ange-ben; möglicherweise ist er auch für die Ausführung bestimm-ter Systemverwaltungs-Tools in Tivoli PKI erforderlich.

v Wenn Sie Tivoli PKI in einer Konfiguration mit mehrerenMaschinen installieren wollen, müssen Sie den selbenBenutzernamen sowie das zugehörige Kennwort auf allenMaschinen erstellen.

Sie sollten vor der Fortsetzung der Tivoli PKI-Installation Ihr Win-dows NT-System sichern. Mit Hilfe eines Sicherungs-Images kanndas System wiederhergestellt werden, falls Probleme auftreten.Siekönnen das Sicherungsprogramm verwenden, das über die Verwal-tungs-Tools von Windows NT zur Verfügung steht, um ein System-Image zu erstellen. Alternativ dazu können Sie auch ein anderes, mitWindows kompatibles Sicherungsprogramm verwenden.

Datenbanksoftware installierenTivoli PKI verwendet zum Verwalten von Daten IBM DB2 Univer-sal Database. Die Software, die zum Lieferumfang von Tivoli PKIgehört, darf nur zusammen mit Tivoli PKI-Anwendungen eingesetztwerden. Wenn Sie die Datenbanksoftware anpassen oder zusammenmit anderen Anwendungen als Tivoli PKI verwenden wollen, müssenSie eine Lizenz für eine Vollversion von IBM DB2 Enterprise Edi-tion, Version 5.2 kaufen und anschließend das Fix-Pack 10 anwen-den.

Führen Sie die nachfolgend beschriebene Prozedur aus, um dieDatenbanksoftware zu installieren. Wenn Sie Tivoli PKI in einerKonfiguration mit mehreren Maschinen installieren wollen, müssenSie auf allen Maschinen, auf denen eine Server-Komponente vonTivoli PKI installiert werden soll, zuerst die Datenbanksoftwareinstallieren.


5.TivoliP

KI

unterW

indows

NT

installieren

1. Legen Sie die CD vonTivoli Public Key Infrastructure für NTin das CD-ROM-Laufwerk ein.

2. Wählen SieStart → Ausführen aus.

3. Klicken Sie aufDurchsuchen, um zum CD-ROM-Laufwerk zuwechseln.

4. Führen Sie die Dateisetup.exe aus.

5. Wählen Sie im Fenster für die Auswahl der Setup-Sprache eineSprache für die aktuelle Installation aus, und klicken Sie dannauf OK .

6. Lesen Sie die Informationen im Eingangsfenster und klicken Sieanschließend aufWeiter.

Anmerkung: Wurde auf der Maschine bereits DB2 in der kor-rekten Version installiert, ruft das Programm dasFenster ’Setup abgeschlossen’ auf. Klicken Sieim Fenster aufBeenden, um die Installationabzuschließen.

7. Klicken Sie im Fenster ’Zielpfad wählen’ aufWeiter, wenn Sieden Standardinstallationspfad verwenden wollen. Wählen Sieandernfalls das gewünschte Laufwerk und den gewünschtenZielordner aus, in dem die Software installiert werden soll, undklicken Sie anschließend aufWeiter. (Im vorliegenden Fallkann der Standardpfad ’c:\Program Files\IBM\Trust Authority’verwendet werden.)

8. Geben Sie im Fenster zur Angabe des Datenbankadministratorseinen Benutzernamen und ein Kennwort für den Datenbank-administrator ein. Bestätigen Sie das Kennwort, indem Sie die-ses erneut eingeben, und klicken Sie anschließend aufWeiter.Der empfohlene Wert für beide Einträge lautetdb2admin.

9. Das Programm beginnt mit der Installation der Datenbank-software. Die Ausführung dieses Prozesses kann einige Minutendauern.

10. Klicken Sie im Fenster ’Setup abgeschlossen’ aufBeenden, umdie Installation abzuschließen.


Webserversoftware installierenTivoli PKI verwendet zur Unterstützung seiner Web-basierten Funkti-onen IBM WebSphere Application Server und IBM HTTP Server.Befolgen Sie beim Installieren der Software auf einer WindowsNT-Plattform die angegebene Prozedur, um sicherzustellen, dass dieWebserverprogramme für den Einsatz mit Tivoli PKI korrekt instal-liert sind. Sie müssen die Software auf der Maschine installieren, aufder auch die RA-Komponente installiert werden soll.

Zum Lieferumfang von Tivoli PKI gehört eine aktualisierte Versiondes WebSphere Application Server, die sich auf der CD vonTivoliPKI für AIX und NTbefindet. Sie können die CD von WebSphereApplication Server Version 2.02 zum Installieren des IBM HTTPServer und die Tivoli PKI-CD zum Installieren des WebSphereApplication Server verwenden.

Obwohl WebSphere über eine Verwaltungsschnittstelle zum Verwal-ten von Servlets verfügt, ist es weder möglich noch erforderlich,Tivoli PKI-Servlets über diese Schnittstelle zu verwalten.

JDK installierenGehen Sie wie folgt vor, um JDK zu installieren:

1. Legen Sie die CD für WebSphere Application Server Version2.0.2 in das CD-ROM-Laufwerk Ihres Systems ein.

2. Wechseln Sie in das Verzeichnis ’\NT\jdk’ und führen Sie dasJDK-Programm ’setup.exe’ aus.

3. Klicken Sie im Eingangsfenster aufWeiter.

4. Lesen Sie die Informationen im Fenster mit den Softwarelizenz-vereinbarungen, und klicken Sie anschließend aufJa, um diesezu akzeptieren.

5. Akzeptieren Sie im Fenster ’Komponenten wählen’ die Standard-auswahloptionen (Programmdateien, Bibliothek, Header-Dateienund Demo-Applets). Klicken Sie aufWeiter, um den Standard-installationspfad zu verwenden. Wählen Sie andernfalls dasgewünschte Laufwerk und den gewünschten Zielordner aus, in


5.TivoliP

KI

unterW

indows

NT

installieren

dem JDK installiert werden soll, und klicken Sie anschließendauf Weiter. (Im vorliegenden Fall kann der Standardpfad ver-wendet werden.)

6. Überprüfen Sie im Fenster ’Kopiervorgang starten’ die ausge-wählten Optionen, und klicken Sie anschließend aufWeiter,um die Verarbeitung fortzusetzen.

7. Klicken Sie im Fenster für den Installationsabschluss auf dieOption für Beenden.

8. Wenn die Readme-Datei angezeigt wird, lesen Sie die darin ent-haltenen Informationen.

IBM HTTP Server installierenGehen Sie wie folgt vor, um IBM HTTP Server zu installieren:

1. Legen Sie die CD für WebSphere Application Server Version2.0.2 in das CD-ROM-Laufwerk Ihres Systems ein.

2. Wechseln Sie in das Verzeichnis ’\NT\httpd’ und führen Sie dasIHS-Programm ’setup.exe’ aus.


4. Lesen Sie die Informationen im Fenster mit den Softwarelizenz-vereinbarungen, und klicken Sie anschließend aufJa, um diesezu akzeptieren.

5. Akzeptieren Sie im Fenster ’Zielpfad wählen’ den Standard-installationspfad, oder geben Sie den gewünschten Pfad an.

6. Klicken Sie aufWeiter.

7. Wählen Sie im Fenster ’Setup-Typ’ die Option fürAngepasstaus und klicken Sie anschließend aufWeiter.

8. Im Fenster ’Komponenten wählen’ sind zwei Teilfenster enthal-ten. Auf der linken Seite werden die Namen der Komponenten-gruppen, auf der rechten Seite die Komponenten aufgelistet, ausdenen diese Komponentengruppen bestehen. Wählen Sie linksden Eintrag fürBasisaus und nehmen Sie rechts die Auswahlfür Apache-Quellezurück.


Wenn Sie dieDokumentation nicht installieren wollen, nehmenSie die Auswahl des entsprechenden Eintrags ebenfalls zurück.Klicken Sie aufWeiter, um die Verarbeitung fortzusetzen.

9. Klicken Sie im Menü ’Programmordner auswählen’ aufWeiter,um den Standardprogrammordner zu akzeptieren. Geben Sieandernfalls den gewünschten Ordnernamen ein, und klicken Siedann aufWeiter.

10. Geben Sie im Fenster mit den Informationen für den Dienst-Setup alsBenutzer-ID den Wertcfguser sowie das Kennwortein, das Sie für diesen Benutzereintrag erstellt haben, bestätigenSie das Kennwort, und klicken Sie anschließend aufWeiter.

11. Im Fenster ’Setup abgeschlossen’ können Sie nun auswählen, obSie das System sofort oder zu einem späteren Zeitpunkt erneutbooten wollen. Wählen Sie die Option für ein späteres Booten(Nein) aus und klicken Sie anschließend aufBeenden.

Anmerkung: Nach der Installation des IBM HTTP Server müssenSie für den Server-Dienst den manuellen Modus defi-nieren, damit der Server nicht als Dienst gestartetwird. Gehen Sie hierzu wie folgt vor:

1. Wählen SieStart → Einstellungen → Systemsteue-rung aus.

2. Klicken SieDienstedoppelt an und wählen Sieanschließend den DienstIBM HTTP Server aus.

a. Klicken Sie aufBeenden(wenn die Verarbei-tung bereits gestartet wurde).

b. Klicken Sie aufStarten und definieren Sie fürdie OptionStartart die EinstellungManuell.

c. Klicken Sie aufOK .

d. Klicken Sie aufSchließenund verlassen Siedie Systemsteuerung.


5.TivoliP

KI

unterW

indows

NT

installieren

WebSphere Application Server installierenGehen Sie wie folgt vor, um WebSphere Application Server zuinstallieren:

1. Legen Sie die CD vonTivoli Public Key Infrastructure für AIXund NTin das CD-ROM-Laufwerk ein.

2. Wechseln Sie in das Verzeichnis ’\WinNT\WebSphereAS-2031’und führen Sie das Programm ’was2031.exe’ aus.

3. Klicken Sie im WebSphere Application Server-Fenster aufWei-ter. Die Warnung zum Stoppen des IBM HTTP Server könnenSie ignorieren.

4. Klicken Sie im Fenster für die Auswahl des Zielverzeichnissesauf Weiter, wenn Sie den Standardinstallationspfad verwendenwollen. Wählen Sie andernfalls das gewünschte Laufwerk undden gewünschten Zielordner aus, in dem die Software installiertwerden soll, und klicken Sie anschließend aufWeiter.

5. Im Fenster für die Auswahl der Anwendungsserverkomponentenkönnen Sie die Auswahl derDokumentation und derBeispielezurücknehmen. Alle anderen Komponenten sind jedoch erforder-lich. Klicken Sie aufWeiter, um die Verarbeitung fortzusetzen.

6. Stellen Sie im Fenster für die Auswahl von JDK (Java Develop-ment Kit) oder der Laufzeitumgebung (Runtime Environment)sicher, dassJava Development Kit 1.1.6ausgewählt ist, undklicken Sie anschließend aufWeiter.

7. Wählen Sie im Fenster für die Auswahl der Anwendungsserver-Plug-insIBM HTTP Server Version 1.3.3.x aus, und klickenSie anschließend aufWeiter.

8. Klicken Sie im Fenster ’Programmordner auswählen’ aufWei-ter, um den Standardprogrammordner zu akzeptieren. Geben Sieandernfalls den gewünschten Ordnernamen ein, und klicken Siedann aufWeiter.

9. Stellen Sie im Fenster für die Konfiguration des IBM HTTPServer sicher, dass der korrekte Pfad für die Adresse angezeigt


wird, unter der das Verzeichnis ’\conf’ des installierten IBMHTTP Server definiert ist, und klicken Sie anschließend aufOK .

10. Klicken Sie im Fenster für den Installationsabschluss auf dieOption für Beenden.

11. Wenn die Readme-Datei angezeigt wird, lesen Sie die darin ent-haltenen Informationen.

12. Im Fenster für den Neustart von Windows können Sie nun aus-wählen, ob Sie das System sofort oder zu einem späteren Zeit-punkt erneut booten wollen. Wählen Sie die Option für dassofortige Booten (Ja) aus, und klicken Sie anschließend aufOK .

IP-Aliasnamen definierenIm Abschnitt „IP-Aliasnamen für den Webserver konfigurieren” aufSeite 44 finden Sie Informationen dazu, wie Tivoli PKI Ports aufdem Webserver konfiguriert, um gesicherte und nicht gesicherteTransaktionen zu verarbeiten. Wenn Sie mit einer anderen Konfigu-ration arbeiten wollen, müssen Sie zum Definieren dieser Ports IP-Aliasnamen verwenden.

IBM Directory installierenTivoli PKI verwendet das IBM Directory, um Informationen zu Zer-tifikaten, die von der Registrierungsfunktion ausgestellt wurden, zuspeichern und zu verwalten. Verwenden Sie die in den folgendenAbschnitten beschriebenen Prozeduren, um die Directory-Softwarezu installieren und zu konfigurieren. Sie können diese Software aufeiner fernen Maschine oder auf der Maschine installieren, auf derauch eine Tivoli PKI-Server-Komponente installiert werden soll.

Directory-Software installierenGehen Sie wie folgt vor, um die Directory-Software zu installieren:

1. Legen Sie die CD von IBM Directory Server in das CD-ROM-Laufwerk Ihres Systems ein, und führen Sie das Programm’setup.exe’ aus.


5.TivoliP

KI

unterW

indows

NT

installieren

2. Wählen Sie im Fenster zurAuswahl der Sprache für dieInstallation die Installationssprache aus, und klicken Sieanschließend aufWeiter.


4. Wählen Sie im Fenster ’Komponenten wählen’ die OptionSecureWay Directory und Client SDK installieren aus, undklicken Sie anschließend aufWeiter.

5. Klicken Sie im Fenster ’Zielpfad wählen’ aufWeiter, wennSie den Standardinstallationspfad verwenden wollen. WählenSie andernfalls einen anderen Zielpfad aus, und klicken Sieanschließend aufWeiter. Wenn Sie eine Nachricht erhalten,in der Sie darüber informiert werden, dass es sich bei derInstallationspartition nicht um eine NTFS-Partition handelt,klicken Sie aufOK , um die Verarbeitung fortzusetzen.

6. Klicken Sie im Fenster ’Auswahl des Ordners’ aufWeiter, umden Standardprogrammordner zu akzeptieren. Geben Sie andern-falls den gewünschten Ordnernamen ein, und klicken Sie dannauf Weiter.

7. Löschen Sie im Fenster ’Konfigurieren’ die Auswahl allerMarkierungsfelder, und klicken Sie anschließend aufWeiter.

8. Überprüfen Sie im Fenster ’Kopieren der Dateien für Secure-Way Directory und Client SDK starten’ die ausgewählten Optio-nen, und klicken Sie anschließend aufWeiter.

9. Klicken Sie aufJa, um die Readme-Datei anzuzeigen, wenn Sievom System dazu aufgefordert werden. Schließen Sie dann dasFenster.

10. Im Fenster ’Setup abgeschlossen’ können Sie nun auswählen,ob Sie das System sofort oder zu einem späteren Zeitpunkterneut booten wollen. Wählen Sie die Option für das sofortigeBooten (Ja) aus, und klicken Sie anschließend aufBeenden.

Anmerkung: In einer Konfiguration mit mehreren Maschinen müs-sen Sie auf jedem Tivoli PKI-Server die Directory-Client-Software installieren, bevor Sie das Konfigura-tions-Applet für Tivoli PKI ausführen. Zum Instal-


lieren dieser Software müssen Sie die Directory-Cli-ent-Option von der Directory Server-CD auf allenMaschinen außer der Einheit installieren, auf der soe-ben die Directory-Server-Software installiert wurde.Die Namen der wichtigen Dateien, die auf allenMaschinen installiert werden müssen, lauten ’ldap.dll’und ’ldaploc1.dll’.

Directory unter Tivoli PKI verwendenVor der Installation oder Konfiguration der Tivoli PKI-Server-Kom-ponenten müssen Sie verstehen, wie Tivoli PKI mit dem Directoryzusammenarbeitet. Informationen zu den Directory-Schemavorausset-zungen und zur Konfiguration des Directories für den Einsatz unterTivoli PKI finden Sie im HandbuchTivoli PKI Konfiguration.

Systemeinstellungen bestätigenVor der Installation von Tivoli PKI sollten Sie mit der folgendenProzedur sicherstellen, dass die u. a. Services sich im angezeigtenStatus befinden.

1. Melden Sie sich unter Windows NT als Konfigurationsbenutzervon Tivoli PKI an. (Diesem ist normalerweise der Benutzer-eintrag ’cfguser’ zugeordnet.)

2. Wählen SieStart → Einstellungen → Systemsteuerungaus.

3. Klicken Sie doppelt aufDiensteund bestätigen Sie die folgendenStatuswerte. Die beiden hervorgehoben dargestellten Dienstein-stellungen sind hierbei von besonderer Bedeutung:DB2 - DB2 Gestartet AutomatischDB2 - DB2DAS00 Gestartet AutomatischDB2 Governor ManuellDB2 JDBC Applet Server ManuellDB2 Security Server ManuellIBM HTTP Server ManuellWebSphere Servlet Service Manuell

4. Klicken Sie aufSchließenund verlassen Sie die Systemsteue-rung.


5.TivoliP

KI

unterW

indows

NT

installieren

Tivoli PKI installierenVerwenden Sie die folgenden Richtlinien, um die Produkt-komponenten von Tivoli PKI zu konfigurieren:

¶ Bitte beachten Sie, dass alle Serverprogramme auf derselbenPlattform installiert werden müssen, im vorliegenden Fall alsounter Windows NT.

¶ Wurde zuvor IBM KeyWorks Version 1.1.1 installiert, müssenSie Tivoli PKI entweder auf einer anderen Maschine installierenoder die KeyWorks-Software und alle zugehörigen Anwendungenentfernen, bevor Sie das Installationsprogramm von Tivoli PKIstarten.

¶ Wenn Sie Tivoli PKI in einer Konfiguration mit mehrerenMaschinen installieren wollen, müssen Sie die Installations-prozeduren auf den gewünschten Maschinen wiederholen, bisalle Server-Komponenten installiert sind.

¶ Wenn Sie das RA Desktop-Applet installieren wollen, müssenSie zuerst ein Installationsimage installieren. Anschließend mussdas Image verteilt oder über das Netz zur Verfügung gestelltwerden, damit die Benutzer das Installationsprogramm über einelokale Windows-Maschine ausführen können. Instruktionen zumInstallieren, Konfigurieren und Deinstallieren dieser Programmefinden Sie in der VeröffentlichungTivoli PKI RA Desktop.

¶ Wenn Sie das System nach der Installation der Softwarevoraus-setzungen nicht erneut gestartet haben, müssen Sie jetzt einenNeustart durchführen. Stellen Sie sicher, dass die Umgebungs-variablen korrekt definiert sind, bevor Sie Tivoli PKI installieren.

¶ Verwenden Sie PING oder ein anderes Netzkonnektivitäts-Tool,um zu überprüfen, ob die Host-Namen und IP-Adressen gültigund auf dem DNS-Server Ihres Netzes definiert sind.


Serversoftware installierenGehen Sie wie folgt vor, um die Serversoftware zu installieren:

1. Melden Sie sich bei Windows NT mit dem Benutzernamen unddem Kennwort an, die Sie für diesen Zweck definiert haben(normalerweise ’cfguser’). Falls erforderlich, lesen Sie die Infor-mationen im Abschnitt „Windows NT konfigurieren” auf Sei-te 96.

2. Beenden Sie alle aktiven Programme.

3. Legen Sie die CD vonTivoli Public Key Infrastructure für AIXund NTin ein lokal angeschlossenes CD-ROM-Laufwerk ein.

4. Wählen SieStart → Ausführen aus und klicken Sie anschlie-ßend aufDurchsuchen, um zum CD-ROM-Laufwerk zu wech-seln. Führen Sie dann die Datei ’setup.exe’ aus. Beispiel:drive:\WinNT\TrustAuthority\setup

Wenn Sie das Konfigurationsprogramm auf einer Maschine aus-führen, die mit mehr als 256 MB Hauptspeicherplatz ausgerüstetist, müssen Sie die Option ’/z’ hinzufügen, um die Speicher-prüfung zu inaktivieren. Beispiel:drive:\WinNT\TrustAuthority\setup /z

5. Wählen Sie im Fenster für die Auswahl der Setup-Sprache eineSprache für die aktuelle Installation aus, und klicken Sie dannauf OK . Der Standardwert istEnglish.

6. Lesen Sie die Informationen im Eingangsfenster und klicken Sieanschließend aufWeiter.

7. Wenn Sie anstelle der zum Lieferumfang von Tivoli PKI gehö-renden Version eine eigenständige Version von IBM DB2 instal-liert haben, wird das Fenster ’Zielpfad wählen’ aufgerufen. Kli-cken Sie aufWeiter, wenn Sie die Software im Standardpfad(c:\Program Files\IBM\Tivoli PKI) installieren wollen. KlickenSie andernfalls aufDurchsuchen, um einen anderen Zielordnerauszuwählen oder einzugeben, und klicken Sie anschließend aufWeiter.


5.TivoliP

KI

unterW

indows

NT

installieren

8. Verwenden Sie im Fenster ’Komponenten wählen’ die folgendeTabelle als Richtlinie. Markieren Sie die Komponenten, die Sieinstallieren möchten, nehmen Sie die Auswahl für die Kompo-nenten zurück, die Sie nicht installieren möchten, und klickenSie aufWeiter.

Komponente Beschreibung

Tivoli PKI- undRA-Server

Installation der Tivoli PKI-Hauptprogramme undder RA-Server-Software, einschließlich allerDateien, die für die Registrierungsfunktion erfor-derlich sind.

CA- und Prüf-Server Installation der CA- und Prüfsubsystemprogramme.

Directory-Server Installation der Software, die die Tivoli PKI-Kom-ponenten benötigen, um mit dem Directory zuinteragieren.

RA Desktop Installation eines Installations-Images für das RADesktop-Applet von Tivoli PKI.

Anmerkungen:

¶ Zu diesem Zeitpunkt stellt das Konfigurationsprogrammfest, ob die für die ausgewählten Komponenten erforderli-che Software installiert ist und die korrekte Version auf-weist. Wenn ein erforderliches Programm nicht verfügbarist, wird das Konfigurationsprogramm beendet. InstallierenSie die erforderliche Software und starten Sie die Installa-tionsprozedur erneut.

¶ Zur Vorbereitung der Datenbankkonfiguration überprüft dasKonfigurationsprogramm auch den Benutzernamen, mit demSie sich angemeldet haben. Wenn der Benutzername längerals acht Zeichen ist, wird das Konfigurationsprogrammbeendet. Melden Sie sich mit einem Benutzernamen an,der maximal acht Zeichen lang ist, und starten Sie dieInstallationsprozedur erneut.


¶ Wenn Sie die Option fürTivoli PKI und RA-Server aus-wählen und das Konfigurationsprogramm feststellt, dassmehr als eine Version von IBM WebSphere Application Ser-ver oder IBM HTTP Server vorhanden ist, werden Sie dazuaufgefordert, die gewünschte Version auszuwählen.

9. Klicken Sie im Fenster ’Programmordner auswählen’ aufWei-ter, wenn Sie ein Programmsymbol im Standardprogramm-ordner (Tivoli PKI) erstellen möchten. Geben Sie andernfallsden Namen des Ordners an, der verwendet werden soll, oderwählen Sie den Namen aus. Klicken Sie anschließend aufWei-ter.

10. Klicken Sie im Fenster ’Setup abgeschlossen’ aufBeenden, umden Installationsprozess zu starten. Das System kopiert dieDateien an die angeforderten Positionen und führt eine Reihevon Programmen aus, um die Installation von Tivoli PKI abzu-schließen.

11. Führen Sie nach der Installation der Software einen Neustart desSystems durch.

Bootwerte ändernVerwenden Sie diese Prozedur nur, wenn Sie einen der standard-mäßigen Konfigurationswerte ändern wollen. Hierbei handelt es sichum die Werte, die bei der Ausführung des Konfigurations-Appletsoder nach der Konfiguration des Systems nicht geändert werden kön-nen. Sie müssen alle Boot-Änderungen vornehmen, bevor Sie dasTivoli PKI-Konfigurationsprogramm für den Installationsabschlussausführen. Tivoli PKI führt im Rahmen des Installationsab-schlussprozesses ein Boot-Programm aus. Als Eingabe für diesesBoot-Programm wird ein SQL-Script mit dem Namen ’createconfig-_start.sql’ verwendet, das Standardwerte in die Konfigurations-datenbank lädt und in der Datenbanktabelle ’ConfigDataTbl’ Defini-tionen für Datenbanktabellen erstellt. Diese Tabelle enthält die Datenfür die Systemkonfiguration aller Tivoli PKI-Komponenten. Ver-schiedene Werte in diesem SQL-Script können nach dem Starten desKonfigurationsprozesses nicht mehr geändert werden.


5.TivoliP

KI

unterW

indows

NT

installieren

Anmerkung: In kritischen Situationen, in denen ein Standardwertzu Problemen in der Betriebsumgebung führen würde,können Sie vor der Konfiguration auch die Schablo-nendateien von Tivoli PKI ändern. Wenn Sie weitereInformationen hierzu benötigen, wenden Sie sich bittean den zuständigen IBM Ansprechpartner.

Wenn Sie einen Boot-Wert ändern wollen, müssen Sie die Datei ’cre-ateconfig_start.sql’ editieren. Diese Datei wird standardmäßig imVerzeichnis ’c:\Program Files\IBM\Trust Authority\bin’ gespeichert.

Verwenden Sie die folgende Tabelle als Richtlinie für die Durchfüh-rung von Änderungen:¶ Bei Windows NT können die Werte für DATABASE PATH-

NAME nicht geändert werden.¶ Die registrierten Namen (DNs) für die Tivoli PKI-Registrie-

rungsstelle, den Directory-Administrator und das Prüfsubsystemsind für den Benutzer transparent. Wenn Sie diese ändern wol-len, müssen Sie darauf achten, dass nur das Attribut für den all-gemeinen Namen (CN) geändert wird. Der DN-Basiswert für denZertifikatsaussteller (CA), den Sie während der Konfigurationangegeben haben, wird auch für den von Ihnen ausgewählten all-gemeinen Namen (CN) angewendet.


WS_RO_KEYSIZE Schlüsselgröße für denSchlüsselring desWeb-Servers. DieOptionen 0 - 3, die inder KeySize-Aufzäh-lung definiert sind,sind wie folgt zuge-ordnet:¶ 0 = 512¶ 1 = 768¶ 2 = 1024¶ 3 = 2048

0



APP_DN Der registrierteName (DN) derRegistrierungsstelle(RA) von Tivoli PKI.Sie können lediglichden allgemeinenNamen (CN) ändern.

/C=US/O=IhrUnternehmen/OU=Tivoli PKI/CN=Tivoli PKI RA

APP_CERT_LIFETIME Die in Monaten ange-gebene Lebensdauereines Nicht-CA-Zerti-fikats (z. B. einesBenutzer-, Server-oder RA-Zertifikats)im System. Der ange-gebene Wert mussauch in den Dateien’jonahca.ini.tpl’ und’jonahra.ini.tpl’ defi-niert werden.

36

APP_LDAP _DIRADMIN_DN

Der registrierte Name(DN) des Directory-Administrators. Siekönnen lediglich denallgemeinen Namen(CN) ändern.

/C=US/O=IhrUnternehmen/OU=Tivoli PKI/CN=DirAdmin

APP_COMM_PORT Der Kommunikations-Port, der zur Durch-führung derKommunikation zwi-schen dem Gerüst derRegistrierungsfunktionund der Registrie-rungsstelle von TivoliPKI verwendet wird.

29783


5.TivoliP

KI

unterW

indows

NT

installieren


APP_SEC_MECH Der Sicherheits-mechanismus derAnwendung. Standard-mäßig wird dieRA-Datenbank-verschlüsselung inakti-viert. Wenn Sie denWert auf 1 setzen,wird die Datenbank-verschlüsselung akti-viert.

0

CA_IBM_CA_CERT_LIFETIME

Die in Monaten ange-gebene Lebensdauerdes CA-Zertifikats vonTivoli PKI.

36

CA_IBM_ADMIN_PORT Der Verwaltungs-Portdes Zertifikats-ausstellers (CA) vonTivoli PKI. Der ange-gebene Wert mussauch für den PORT-Eintrag in der Datei(irgAutoCA.ini.tpl)definiert werden, dieim Verzeichnis ’cfg’gespeichert ist.

1835

ADT_DN Der registrierte Name(DN) des Prüfsub-systems. Sie könnenlediglich den allgemei-nen Namen (CN)ändern.

/C=US/O=IhrUnternehmen/OU=Tivoli PKI/CN=Tivoli PKI Audit


Konfigurationsprogramm für den Installationsab-schluss ausführen

Nach der Installation der Tivoli PKI-Server-Software müssen Siedas Konfigurationsprogramm ’CfgPostInstall’ für den Installationsab-schluss ausführen. Sie müssen dieses Programm ausführen, bevor SieTivoli PKI mit dem Setup Wizard konfigurieren.

Von diesem Programm wird eine Web-Server-Konfigurationsdatei(httpd.conf) erstellt, die das Starten des Web-Servers mit den fürTivoli PKI erforderlichen Parametern ermöglicht. Es bereitet darüberhinaus den Web-Server für die Ausführung des Konfigurations-App-lets vor, erstellt die Konfigurationsdatenbank und füllt die Datenbankmit den Standardkonfigurationsdaten.

Gehen Sie wie folgt vor, um das Konfigurationsprogramm für denInstallationsabschluss auszuführen:

1. Melden Sie sich als Konfigurationsbenutzer von Tivoli PKI an.(Diesem ist der Benutzereintrag ’cfguser’ zugeordnet.)

2. Prüfen Sie, ob auf dem Server ein Verzeichnis ’temp’ vorhandenist und ob es mit Hilfe der Umgebungsvariablen ’%TEMP%’definiert wurde.

3. Wählen SieStart → Programme → Tivoli Public Key Infra-structure → Konfiguration zum Installationsabschlussaus.

4. Geben Sieexit ein, um das Fenster zu schließen.

CfgPostInstall fordert Sie zum Prüfen des Kennworts für denBenutzereintrag ’cfguser’ und anschließend zum Definieren undBestätigen des Kennworts für das Steuerprogramm (CP) auf. DasKennwort für ’cfguser’ steuert den Zugriff auf den Benutzereintrag’cfguser’ und auf die CfgApplet-Wizard-Seite. Das Steuerprogramm-kennwort schränkt den Zugriff auf das Steuerprogramm ein. Es wirdempfohlen, für das Steuerprogramm und den Benutzereintrag ’cfgu-ser’ unterschiedliche Kennwörter zu definieren. Bei dem von Ihnenerstellten Kennwort für ’cfguser’ muss es sich um ein gültigesSystemkennwort handeln, dessen Länge maximal acht Zeichen betra-gen darf.


5.TivoliP

KI

unterW

indows

NT

installieren

Prüfliste für den InstallationsabschlussVerwenden Sie die folgenden Prüfliste, um sicherzustellen, dass alleVoraussetzungen erfüllt sind, um mit der Konfiguration von TivoliPKI zu beginnen. Informationen zum Ausführen des Setup Wizardfinden Sie im HandbuchTivoli PKI Konfiguration:

1. Verwenden Sie die entsprechenden Windows NT-Tools, um eineSicherungskopie des aktuellen Systems zu erstellen.

2. Erstellen Sie zur Unterstützung bei der späteren Fehlerbehebungeine Sicherungskopie der Windows-Registrierung, um sicherzu-stellen, dass eine Liste der gesamten installierten Software zurVerfügung steht.

3. Wenn Sie nicht beabsichtigen, die Standardkonfigurationswertefür Web-Server-Ports zu verwenden, müssen Sie die IP-Alias-namen konfigurieren, bevor Sie den Setup Wizard ausführen. DieKonfigurationsprogramme verwenden diese Werte bei der Erstel-lung des CA-Zertifikats für Ihr System. Informationen dazu, wieTivoli PKI Ports auf dem Web-Server konfiguriert und verwen-det, um gesicherte und nicht gesicherte Transaktionen zu verar-beiten, finden Sie in „IP-Aliasnamen für den Webserverkonfigurieren” auf Seite 44.

4. Entscheiden Sie, welche registrierten Namen (DNs) für denTivoli PKI-CA und die zugehörigen Agenten, den Directory-Ad-ministrator und den Directory-Root verwendet werden sollen.

Prüfen Sie die Richtlinien im HandbuchTivoli PKI Konfigura-tion, um sicherzustellen, dass die registrierten Namen (DNs) fürdiese Objekte die gewünschte Zertifizierungshierarchie auchunterstützen.

5. Füllen Sie dasTivoli PKI-Konfigurationsdatenformularaus, dasim HandbuchTivoli PKI Konfigurationenthalten ist, um sich mitden Informationen vertraut zu machen, die Sie für die Konfigura-tion des Systems bereithalten müssen. Verwenden Sie dieses For-mular, um Informationen zum jeweiligen System aufzuzeichnen,wie beispielsweise die Server-Host-Namen und die bevorzugtenregistrierten Namen (DN).


6. Zur Unterstützung der Konfiguration sollten Sie die folgendenArbeitsschritte ausführen, um auf der Maschine, auf der derSetup Wizard ausgeführt werden soll, eine umfangreiche MSDOS-Umgebung mit Schiebeleisten zu definieren. In einer nor-malen Umgebung verfügt das DOS-Fenster nicht über Schiebe-leisten und enthält nur 24 Zeilen an Daten.

a. Melden Sie sich als Konfigurationsbenutzer von Tivoli PKIan. (Diesem ist normalerweise der Benutzereintrag ’cfguser’zugeordnet.)

b. Wählen SieStart → Einstellungen → Systemsteuerungaus.

c. Klicken Sie doppelt auf derKonsole von MS DOS.

d. Wählen Sie die IndexzungeLayout aus.

e. Definieren Sie im AbschnittFensterpuffergröße für Höhemindestens den Wert 1000 (der Maximalwert beträgt 9999)und klicken Sie dann aufOK .

Backup-Dienstprogramm ausführenDas Backup-Dienstprogramm von Tivoli PKI (ta-backup) ist ein Toolzum Sichern von Konfigurationsdaten, die in keiner der DB2-Daten-banken gespeichert sind. Die zugehörigen Dateiinformationen wiez. B. Dateiberechtigungen etc. werden ebenfalls gesichert. Verwen-den Sie zum Sichern von DB2-Datenbanken die entsprechendenDB2-Dienstprogramme.

Das Backup-Dienstprogramm akzeptiert einen Parameter, der dasVerzeichnis angibt, in das Backup-Daten geschrieben werden sollen.Dieses Backup-Verzeichnis ist das Stammverzeichnis, das zum Spei-chern aller Datendateien eingesetzt wird. Um Namensunverträglich-keiten innerhalb des Backup-Verzeichnisses zu verhindern, speichertdas Backup-Dienstprogramm Dateien mit derselben Verzeichnis-struktur, die auch auf dem gesicherten System definiert wurde.


5.TivoliP

KI

unterW

indows

NT

installieren

Das folgende Beispiel illustriert die Programmsyntax:ta-backup -d backup_directory

Hierbei steht-d backup_directory für das Verzeichnis, das für dieDatensicherung verwendet werden soll. Der Standardpfad lautet’/usr/lpp/iau/backup’.

Gehen Sie wie folgt vor, um das Dienstprogramm ’ta-backup’ imOfflinemodus auszuführen:

1. Melden Sie sich mit dem Benutzereintrag ’cfguser’ an.

2. Erstellen Sie (optional) das Verzeichnis, in dem dieKonfigurationsdaten von Tivoli PKI gesichert werden sollen.Beispiel:mkdir "c:\Program Files\IBM\Trust Authority\my_tabackup"

3. Wechseln Sie in das Verzeichnis ’bin’ von Tivoli PKI. DerStandardpfad lautet ’c:\Program Files\IBM\Trust Authority\bin’.

4. Geben Sie den folgenden Befehl ein und definieren Sie den abso-luten Pfad für das Verzeichnis, in dem die Daten gesichert wer-den sollen:ta-backup -d "c:\Program Files\IBM\Trust Authority\my_tabackup"


Tivoli PKI konfigurieren

Nach der Installation der Serversoftware von Tivoli Public KeyInfrastructure (PKI) müssen Sie Konfigurationswerte angeben, umzu steuern, wie die Komponenten an Ihrem Standort konfiguriertwerden. So müssen Sie beispielsweise die Position für die Server-programme definieren, registrierte Namen (DNs) angeben und dieRegistrierungsdomäne einrichten.

Während der Konfiguration sichert das System die angegebenenWerte in einer exportierbaren Datei. Diese Funktion ist nützlich,wenn mehrere Exemplare von Tivoli PKI konfiguriert werden sollen,die dieselbe Plattform verwenden und ähnlich konfiguriert sind.Wenn Sie ein neues Tivoli PKI-Exemplar installieren, können Sie diegesicherten Werte importieren und als Basis für die Konfigurationdes neuen Systems verwenden.

Tivoli PKI enthält den Setup Wizard, ein Applet für die Angabe vonKonfigurationsoptionen. Bevor Sie mit der Konfiguration des TivoliPKI-Systems beginnen, sollten Sie sich mit dem Konfigurations-prozess vertraut machen und festlegen, wie das System in der ver-wendeten Umgebung eingerichtet werden soll. Stellen Sie die Infor-mationen zu Ihrem System bereit, so dass sie bei der Ausführung desSetup Wizard schnell verfügbar sind. Darüber hinaus muss sicherge-stellt werden, dass das System korrekt konfiguriert ist, bevor Sie eseinsetzen.

Das HandbuchTivoli PKI Konfigurationenthält Informationen zurKonfigurationsvorbereitung, zur Angabe von Konfigurationsoptionen

6


6.TivoliP

KI

konfigurieren

sowie zur Vorbereitung des Systems für die Verwendung in einerProduktionsumgebung. Die folgenden Informationen sind beispiels-weise in diesem Handbuch enthalten:

¶ Arbeitsblätter, die Sie beim Zusammenstellen von Informationenvor dem Starten des Setup Wizard unterstützen.

¶ Richtlinien für die Verwendung des DN-Editors zur Angabeeines gültigen registrierten Namens (DN).

¶ Empfehlungen für die Schritte, die ausgeführt werden sollten,bevor Tivoli PKI den beteiligten Benutzern zur Verfügunggestellt wird. Bitte beachten Sie, dass einige Schritte, wie bei-spielsweise das Ändern der Server-Kennwörter und das Sicherndes soeben konfigurierten Systems, kritisch sind.

¶ Prozeduren für die Deinstallation der Software.

Das HandbuchKonfiguration ist für die Verwendung in einer Web-Umgebung konzipiert und bietet Folgendes:

¶ Taskorientierte Informationen wie z. B. Anweisungen zum Kon-figurieren ferner Komponenten oder zur Prüfung der Konfigura-tion.

¶ Konzeptionelle Informationen wie z. B. eine Erläuterung zuRegistrierungsdomänen oder eine Beschreibung zum Directory.

¶ Referenzinformationen wie z. B. ausführliche Beschreibungen zuden Werten, die bei der Verwendung des Setup Wizard angege-ben werden können.

Für den Zugriff auf das HandbuchKonfigurationstehen folgendeMöglichkeiten zur Verfügung:

¶ Klicken Sie nach dem Starten des Setup Wizard auf einen belie-bigen KnopfHilfe und anschließend auf das Buchsymbol, wäh-rend Sie die Online-Hilfe anzeigen.

¶ Über die Website von Tivoli Public Key Infrastructure unter fol-gender Adresse:http://www.tivoli.com/support



Erste Schritte

Nach der Installation und Konfiguration des Tivoli PKI-Systems(PKI = Public Key Infrastructure) benötigen Sie Informationen zurVerwaltung des Systems sowie zur Verwendung der grafischenBenutzerschnittstellen, die vom System zur Verfügung gestellt wer-den. Die folgenden Abschnitte enthalten Verweise auf Dokumentatio-nen, die Sie bei den ersten Schritten mit Tivoli PKI unterstützen.Lesen Sie die Informationen in diesen Dokumenten, um folgendeAufgaben auszuführen:

¶ Feinabstimmung des Systembetriebs, um beispielsweise das Sys-tem für die Produktion zu sichern oder um fortlaufendeLeistungsanpassungen vorzunehmen.

¶ Ausführen des RA Desktop für die Verwaltung von ausgestelltenZertifikaten und Zertifikatsanforderungen.

¶ Abrufen von Zertifikaten mit den Browserregistrierungsformula-ren der Registrierungsfunktion.

¶ Anpassen von Registrierungsprozessen, z. B. Ändern der HTML-Formulare für die Registrierung oder Unterstützung unterschied-licher Zertifikatstypen.

7


7.E

rsteS

chritte

SystemverwaltungTivoli Public Key Infrastructure stellt eine Reihe von Tools zur Ver-fügung, die Sie bei der Systemverwaltung unterstützen. Er umfasstfolgendes:

¶ Ein Dienstprogramm zum Starten und Stoppen der Server-Kom-ponenten in einem sicheren, durch Kennwörter geschütztenModus.

¶ Ein Dienstprogramm zur Definition von gesicherten Kennwör-tern für die gesicherten Komponentenprogramme.

¶ Ein Dienstprogramm, mit dem Benutzern mit Verwaltungsauf-gaben die Berechtigung zur Verwendung des RA Desktop erteiltwerden kann.

¶ Ein Dienstprogramm, das dem Tivoli PKI-CA die gegenseitigeZertifizierung mit einem anderen CA bzw. das Einrichten einerCA-Hierarchie ermöglicht.

¶ Ein Dienstprogramm zur Integritätsprüfung für die Prüfdaten-bank und für archivierte Prüfsätze.

¶ Ein Dienstprogramm für die Archivierung und Unterzeichnungder Prüfdatenbank.

¶ Ein Dienstprogramm, das zum Ausführen einer Rolloverope-ration für den Root-CA-Schlüssel von einem nicht beschädigtenSchlüsselpaar zum nächsten CA-Schlüsselpaar dient.

¶ Eine Gruppe von Dienstprogrammen, die zur Bereitstellung einessicheren Verfahrens für authentifizierte Benutzer dient, mit des-sen Hilfe diese mehrere digitale Zertifikate über einen einzigenTivoli PKI-Aufruf anfordern können.

Das HandbuchTivoli PKI Systemverwaltungenthält eine Beschrei-bung dieser Dienstprogramme und Richtlinien zur Durchführung vonVerwaltungsaufgaben.So enthält das Handbuch beispielsweise Emp-fehlungen zur Verwaltung der Server-Komponenten und der zugehö-rigen Datenbanken.


|||

||||

Darüber hinaus werden die Schritte dokumentiert, die ausgeführtwerden müssen, um die Systemkonfiguration abzuschließen und dasSystem für die Verwendung in einer Produktionsumgebung zusichern.

Das HandbuchSystemverwaltungist für die Verwendung in einerWeb-Umgebung konzipiert und bietet Folgendes:

¶ Taskorientierte Informationen wie z. B. Anweisungen zum Stop-pen des Systems oder zum Archivieren der Prüfdatenbank.

¶ Konzeptionelle Informationen wie z. B. eine Erläuterung zurgegenseitigen Zertifizierung, eine Beschreibung des Tivoli PKI-CAs oder Einzelheiten zu Prüfereignissen.

¶ Referenzinformationen wie beispielsweise eine detaillierteBeschreibung der Konfigurationsdateiparameter.

Um auf das HandbuchSystemverwaltungzuzugreifen, müssen Siedie Website von Tivoli Public Key Infrastructure unter folgenderAdresse aufrufen:http://www.tivoli.com/support

RA-Verwaltung

Auf dem RA-Server werden Datensätze zu Registrierungsanforde-rungen und ausgestellten Zertifikaten in einer verschlüsselten Regis-trierungsdatenbank gespeichert. Die Auswertung von Registrie-rungsanforderungen und die Verwaltung von Datenbanksätzen sindAufgaben, die von Programmen oder von Mitarbeitern mitAdministratorberechtigung ausgeführt werden können.

Tivoli PKI stellt das RA Desktop-Applet zur Verfügung, das die Ver-arbeitung von Zertifikatsanforderungen und das Ausführen von Akti-onen für ausgestellte Zertifikate durch berechtigte RA-Administrato-ren vereinfacht.


7.E

rsteS

chritte


Der RA Desktop unterstützt die folgenden typischen Administrator-aufgaben:¶ Registrierungsanforderungen bearbeiten, deren Genehmigung

ansteht.¶ Den Gültigkeitszeitraum für Zertifikate ändern, deren Gültigkeit

demnächst abläuft.¶ Für Zertifikate feststellen, ob diese erneuert werden können.¶ Zertifikate vorübergehend aussetzen.¶ Zertifikate permanent widerrufen.

Im Tivoli PKI Registration Authority Desktopwird das RA Desktop-Applet beschrieben.

Das HandbuchRA Desktopist für die Verwendung in einer Web-Umgebung konzipiert und bietet Folgendes:

¶ Taskorientierte Informationen wie z. B. Anweisungen zumInstallieren von RA Desktop und zum Abrufen einer Gruppe vonZertifikaten, deren Gültigkeitszeitraum demnächst abläuft, oderzum Anzeigen des Protokolls der bisher für ein Zertifikat ausge-führten Aktionen.

¶ Konzeptionelle Informationen wie z. B. eine Erläuterung zuRegistrierungsdomänen oder zur Gültigkeitsdauer eines Zertifi-kats.

¶ Referenzinformationen wie z. B. ausführliche Beschreibungen zuden Werten, die ein Registrator bei der Verwendung von RADesktop angeben kann.

Für den Zugriff auf dasRA Desktopstehen folgende Möglichkeitenzur Verfügung:

¶ Klicken Sie nach dem Starten des RA Desktop auf einen beliebi-gen KnopfHilfe und anschließend auf das Buchsymbol, währendSie die Online-Hilfe anzeigen.

¶ Über die Website von Tivoli Public Key Infrastructure unter fol-gender Adresse:http://www.tivoli.com/support



Registrierung und ZertifizierungVerwenden Sie die mit der Registrierungsanwendung zur Verfügungstehenden Browser-Registrierungsformulare, um auf einfache Weiseeine Registrierung für Browser-, Server- und Einheitenzertifikatedurchzuführen. Wenn Ihre Anforderung genehmigt wird, wird dasZertifikat automatisch heruntergeladen. Darüber hinaus können Siedie Browser-Formulare verwenden, um eine Vorabregistrierung fürZertifikate durchzuführen, die mit einer PKIX-Anwendung verwen-det werden können. Wenn die Vorabregistrierungsanforderung geneh-migt wird, erhalten Sie Informationen, mit denen Sie das Zertifikatzu einem geeigneten Zeitpunkt abrufen können.

DasTivoli PKI Benutzerhandbuchenthält eine Beschreibung derBrowserregistrierungsformulare und enthält Folgendes:

¶ Taskorientierte Informationen wie z. B. Anweisungen zum Regis-trieren für ein Browserzertifikat oder zum Verlängern von Zerti-fikaten, deren Gültigkeitszeitraum demnächst abläuft.

¶ Konzeptionelle Informationen wie z. B. eine Erläuterung zurVorabregistrierung oder zu Serverzertifikaten.

Um auf dasBenutzerhandbuchzuzugreifen, müssen Sie die Websitevon Tivoli Public Key Infrastructure unter folgender Adresse aufru-fen:http://www.tivoli.com/support


|

||||||||||

||

|||

||

|||

|

|

7.E

rsteS

chritte


AnpassungTivoli PKI bietet Ihnen flexible Möglichkeiten zum Implementierenvon Registrierungsprozessen in Ihrem Unternehmen. Sie können mitdiesem Produkt z. B. die folgenden Aktivitäten steuern:

¶ Die Darstellung der Browserregistrierungsformulare sowie diehierbei verwendete Sprache

¶ Zertifizierungsregeln

¶ Inhalt von Benachrichtigungsbriefen, die an Benutzer gesendetwerden, die sich für Zertifikate registrieren lassen

¶ Regel-Exits zur Steuerung verschiedener automatischerVerarbeitungsoperationen

Das HandbuchTivoli PKI Anpassungenthält eine Beschreibung derverschiedenen Möglichkeiten, die bei der Anpassung derRegistrierungsfunktion zur Verfügung stehen und umfasst Folgendes:

¶ Taskorientierte Informationen wie z. B. Anweisungen zum Hin-zufügen eines Registrierungsfeldes oder zum Ändern einesZertifikatsprofils.

¶ Konzeptionelle Informationen wie z. B. eine Erläuterung zurVorabregistrierung, zu Unternehmensregeln oder zur Zugriffs-steuerung.

¶ Referenzinformationen, wie beispielsweise eine detaillierteBeschreibung der Zertifikatstypen und der Konfigurationsdateider Registrierungsfunktion.

Um auf das HandbuchAnpassungzuzugreifen, müssen Sie die Web-site von Tivoli Public Key Infrastructure unter folgender Adresseaufrufen:http://www.tivoli.com/support


||


Glossar

In diesem Glossar werden alle Termini und Abkürzungen definiert,die in diesem Handbuch verwendet werden und die möglicherweiseneu oder unbekannt und von Bedeutung sind.

A

Abstract Syntax Notation One (ASN.1)Eine ITU-Notation, die zum Definieren der Syntax von Informationsdaten benutztwird. Sie definiert eine Reihe einfacher Datentypen und gibt eine Notation für dieIdentifizierung dieser Typen und die Angabe von Werten für diese Typen an. DieseNotationen können verwendet werden, wenn es erforderlich ist, die abstrakte Syntaxvon Informationen zu definieren, ohne damit die Art der Verschlüsselung dieserInformationen für die Übertragung zu beeinträchtigen.

ACLAccess Control List - Zugriffssteuerungsliste.

AktionsprotokollDie Aufzeichnung aller Ereignisse, die während der gesamten Gültigkeitsdauer einesIdentitätsnachweises aufgetreten sind.

American National Standard Code for Information Interchange (ASCII)Der Standardcode, der für den Austausch von Informationen zwischenDatenverarbeitungssystemen, DFV-Systemen und zugehöriger Hardware verwendetwird. ASCII verwendet einen codierten Zeichensatz, der aus Zeichen von 7 BitLänge (bzw. 8 Bit bei Paritätsprüfung) besteht. Der Zeichensatz besteht hierbei ausSteuerzeichen und Schriftzeichen.

American National Standards Institute (ANSI)Eine Organisation, die die Verfahrensweisen definiert, mit deren Hilfe akkreditierteOrganisationen freiwillig eingehaltene Industriestandards in den Vereinigten Staatenfestlegen und verwalten. Ihr gehören Hersteller, Verbraucher und allgemeineInteressenvertretungen an.

Anforderungs-IDEin aus 24 bis 32 Zeichen bestehender ASCII-Wert, der zur eindeutigen Identifika-tion einer Zertifikatsanforderung gegenüber der RA dient. Dieser Wert kann bei derTransaktion für die Zertifikatsanforderung verwendet werden, um den Status derAnforderung oder des zugehörigen Zertifikats abzurufen.

ANSIAmerican National Standards Institute.


Glossar

AppletEin in der Programmiersprache Java geschriebenes Computerprogramm, das inner-halb eines Java-kompatiblen Webbrowsers ausgeführt werden kann. Wird auch alsJava-Applet bezeichnet.

ArtSieheObjektart.

ASCIIAmerican National Standard Code for Information Interchange.

ASN.1Abstract Syntax Notation One.

Asymmetrische VerschlüsselungEin Verschlüsselungsverfahren, das zur Ver- und Entschlüsselung unterschiedliche,asymmetrische Schlüssel verwendet. Jedem Benutzer wird hierbei ein Schlüsselpaarzugeordnet, das einen allgemeinen, für alle zugänglichen Schlüssel und einen priva-ten Schlüssel umfasst, der nur dem jeweiligen Benutzer bekannt ist. Eine gesicherteTransaktion kann ausgeführt werden, wenn der öffentliche Schlüssel sowie der zuge-hörige private Schlüssel übereinstimmen. In diesem Fall kann die Transaktion ent-schlüsselt werden. Dieses Verfahren wird auch als Verschlüsselung auf der Basis vonSchlüsselpaaren bezeichnet.Gegensatz zuSymmetrische Verschlüsselung.

Asynchrone ÜbertragungEin Übertragungsmodus, bei dem Sender und Empfänger nicht gleichzeitig vorhan-den sein müssen.

AuthentifizierungDer Vorgang, bei dem die Identität eines Teilnehmers an einer Übertragung zuverläs-sig überprüft wird.

B

Base64-VerschlüsselungEin häufig verwendetes Verfahren bei der Übertragung von Binärdaten mit MIME.

Basic Encoding Rules (BER)Die Regeln, die in ISO 8825 für die Verschlüsselung von in ASN.1 beschriebenenDateneinheiten angegeben sind. Die Regeln geben das Verschlüsselungsverfahren,jedoch nicht die abstrakte Syntax an.

BenutzerauthentifizierungDer Prozess, mit dem überprüft wird, ob der Absender einer Nachricht die berech-tigte Person ist, als die er sich ausgibt. Der Prozess überprüft außerdem, ob einKommunikationsteilnehmer auch tatsächlich mit dem erwarteten Endbenutzer oderSystem in Verbindung steht.


BERBasic Encoding Rules.

BerechtigungDie Erlaubnis, auf eine Ressource zuzugreifen.

BestreitenEtwas als unwahr zurückweisen. Dies ist z. B. dann der Fall, wenn ein Benutzerabstreitet, eine bestimmte Nachricht gesendet oder eine bestimmte Anforderungübergeben zu haben.

BrowserSieheWeb-Browser.

Browser-ZertifikatEin digitales Zertifikat, das auch als Zertifikat der Client-Seite bezeichnet wird. Eswird von einem CA über einen für SSL aktivierten Web-Server ausgestellt. DieSchlüssel in einer verschlüsselten Datei ermöglichen dem Inhaber des Zertifikats dasVerschlüsseln, Entschlüsseln und Unterzeichnen von Daten. Normalerweise werdendiese Schlüssel im Web-Browser gespeichert. In bestimmten Anwendungen könnendie Schlüssel auf Smart-Cards oder anderen Speichermedien gespeichert werden.Siehe auchDigitales Zertifikat.

BytecodeMaschinenunabhängiger Code, der mit dem Java-Compiler generiert und mit demJava-Interpreter ausgeführt wird.

C

CACertificate Authority - Zertifikatsaussteller.

CA-HierarchieBei Tivoli PKI eine Sicherungsstruktur, bei der ein CA auf der höchsten Ebene posi-tioniert ist. Anschließend können bis zu vier weitere Ebenen mit untergeordnetenCAs definiert werden. Wenn Benutzer oder Server bei einem Zertifikatsausstellerregistriert werden, wird ihnen ein von diesem Aussteller unterzeichnetes Zertifikatzugeordnet. Außerdem übernehmen sie die Zertifizierungshierarchie der übergeord-neten Ebenen.

CA-ServerDer Server für die CA-Komponente von Tivoli PKI.

CAST-64Ein Block-Cipher-Algorithmus, der mit einer Blockgröße von 64 Bit und einem6-Bit-Schlüssel arbeitet. Er wurde von Carlisle Adams und Stafford Tavares entwi-ckelt.


Glossar

CA-ZertifikatEin Zertifikat, das vom Web-Browser eines Benutzers auf dessen Anforderung hinvon einem nicht identifizierten CA akzeptiert wird. Der Browser kann dann diesesZertifikat verwenden, um für die Kommunikation mit Servern, die über Zertifikatedieses CAs verfügen, eine Authentifizierung durchzuführen.

CCAIBM Common Cryptographic Architecture.

CDSACommon Data Security Architecture.

CGICommon Gateway Interface.

Client(1) Eine Funktionseinheit, die gemeinsam benutzte Services von einem Server emp-fängt. (2) Ein Computer oder Programm, der/das Services von einem anderen Com-puter oder Programm anfordert.

Client/ServerEin Modell für die verteilte Verarbeitung, bei dem ein Programm an einem Standorteine Anforderung an ein Programm an einem anderen Standort sendet und auf eineAntwort wartet. Das anfordernde Programm wird als Client, das antwortende alsServer bezeichnet.

CodeunterzeichnungEin Verfahren zum Unterzeichnen ausführbarer Programme mit einer digitalenUnterschrift. Die Codeunterzeichnung dient zur Verbesserung der Zuverlässigkeitvon Softwarekomponenten, die über das Internet verteilt werden.

Common Cryptographic Architecture (CCA)IBM Software, die einen konsistenten Verschlüsselungsansatz auf den wichtigstenIBM Computerplattformen bietet. Sie unterstützt Anwendungssoftware, die in einerVielzahl von Programmiersprachen geschrieben wurde. Die Anwendungssoftwarekann hierbei die CCA-Services aufrufen, um eine breite Palette kryptografischerFunktionen (einschließlich der DES- und der RSA-Verschlüsselung) auszuführen.

Common Data Security Architecture (CDSA)Eine Initiative zum Definieren eines umfassenden Ansatzes für Sicherheitsservicesund Sicherheitsverwaltungsoperationen bei computerbasierten Sicherheitsan-wendungen. Diese Architektur wurde von Intel entworfen und dient dazu, Computer-plattformen für Anwendungen sicherer zu gestalten.

Common Gateway Interface (CGI)Ein Standardverfahren zum Übertragen von Informationen zwischen Web-Seiten undWebservern.


CRLCertificate Revocation List - Zertifikatswiderrufsliste.

CRL-PublikationsintervallDieses Intervall wird in der CA-Konfigurationsdatei definiert und gibt das Zeit-intervall zwischen zwei Publikationen der Zertifikatswiderrufsliste im Directory an.

D

DämonEin Programm, das Tasks im Hintergrund ausführt. Es wird implizit aufgerufen,wenn eine Bedingung auftritt, die die Hilfe des Dämons erforderlich macht. Es istnicht erforderlich, dass der Benutzer über die Ausführung des Dämons unterrichtetwird, da der Dämon normalerweise vom System automatisch gestartet wird. EinDämon kann über eine unbegrenzte Zeit hinweg ausgeführt oder vom System inbestimmten Zeitintervallen erneut generiert werden.Der Terminus (englischdemon) stammt aus der Mythologie. Später wurde er aberals Akronym für den Ausdruck″Disk And Execution MONitor″ (Platten- und Aus-führungsüberwachungsprogramm) erklärt.

Data Encryption Standard (DES)Eine Verschlüsselungs-Block-Cipher, die 1977 von der US-Regierung als offiziellerStandard definiert und übernommen wurde. Dieser Standard wurde ursprünglich vonIBM entwickelt. DES wurde seit seiner Veröffentlichung umfassend untersucht undstellt ein allgemein bekanntes und häufig verwendetes Verschlüsselungssystem zurVerfügung.Bei DES handelt es sich um ein symmetrisches Verschlüsselungssystem. Um es fürdie Datenübertragung einzusetzen, müssen sowohl der Sender als auch der Empfän-ger den selben, geheimen Schlüssel kennen. Dieser Schlüssel wird zum Ver- undEntschlüsseln der Nachricht verwendet. DES kann außerdem zur Durchführung vonVerschlüsselungsoperationen für einzelne Benutzer eingesetzt werden, z. B. zumSpeichern von verschlüsselten Dateien auf einer Festplatte. DES arbeitet mit einerBlockgröße von 64 Bit und verwendet für die Verschlüsselung einen 56-Bit-Schlüs-sel. Ursprünglich wurde dieser Standard für die Hardwareimplementierung entwi-ckelt. DES wird von NIST alle fünf Jahre erneut als offizieller Verschlüsselungs-standard der US-Regierung zertifiziert.

Datenspeicherbibliothek (DL)Ein Modul, das den Zugriff auf permanente Datenspeicher mit Zertifikaten, CRLs,Schlüsseln, Regeln und anderen sicherheitsrelevanten Objekten ermöglicht.

DEKDocument Encryption Key = Dokumentverschlüsselungsschlüssel.

DERDistinguished Encoding Rules.


Glossar

DESData Encryption Standard.

Diffie-HellmanEin Verfahren zur Datenverschlüsselung, das auf der Verwendung eines gemeinsa-men Schlüssels auf einem nicht gesicherten Medium basiert und nach seinen Erfin-dern (Whitfield Diffie und Martin Hellman) benannt wurde.

Digitales ZertifikatEin elektronischer Identitätsnachweis, der von einer zuverlässigen Stelle für einePerson oder Entität ausgestellt wird. Jedes Zertifikat ist mit dem privaten Schlüsseldes CAs unterzeichnet. Es bürgt für die Identität einer Person, eines Unternehmensoder einer Organisation.Abhängig vom Aufgabenbereich des CAs kann das Zertifikat die Berechtigung sei-nes Inhabers bestätigen, e-Business-Transaktionen über das Internet auszuführen. Ingewisser Weise hat ein digitales Zertifikat eine ähnliche Funktion wie ein Führer-schein oder ein Meisterbrief. Es bestätigt, dass der Inhaber des entsprechenden pri-vaten Schlüssels berechtigt ist, bestimmte e-Business-Aktivitäten auszuführen.Ein Zertifikat enthält Informationen über die Entität, die von ihm zertifiziert wird,gibt an, ob es sich um eine Person, eine Maschine oder ein Computerprogrammhandelt und enthält als Teil dieser Informationen den zertifizierten öffentlichenSchlüssel dieser Entität.

Digitale UnterschriftEine codierte Nachricht, die an Dokumente oder Daten angefügt wird, und die Iden-tität des Absenders nachweist.Eine digitale Unterschrift gewährleistet ein höheres Maß an Sicherheit als eine phy-sische Unterschrift, da es sich hierbei nicht lediglich um einen verschlüsseltenNamen oder eine Reihe einfacher Identifikationscodes handelt. Eine digitale Unter-schrift enthält eine verschlüsselte Zusammenfassung der unterzeichneten Nachricht.Durch das Anfügen einer digitalen Unterschrift an eine Nachricht lässt sich derAbsender also zweifelsfrei feststellen. (Die Unterschrift kann nur mit Hilfe desSchlüssels des Absenders erstellt werden.) Außerdem ermöglicht sie die Absicherungdes Inhalts der unterzeichneten Nachricht, da die verschlüsselte Nachrichten-zusammenfassung mit dem Nachrichteninhalt übereinstimmen muss. Andernfallswird die Unterschrift nicht als gültig identifiziert. Eine digitale Unterschrift kannalso nicht von einer Nachricht kopiert und für eine andere Nachricht verwendet wer-den, da sonst die Zusammenfassung (Hash-Code) nicht übereinstimmen würde. AlleÄnderungen an der unterzeichneten Nachricht führen automatisch zum Verlust derGültigkeit der Unterschrift.

Digitale ZertifizierungSieheZertifizierung.


Digital Signature Algorithm (DSA)Ein auf öffentlichen Schlüsseln basierender Algorithmus, der zum Standard für digi-tale Unterschriften (Digital Signature Standard = DSS) gehört. Er kann nur für digi-tale Unterschriften, jedoch nicht für die Verschlüsselung verwendet werden.

DirectoryEine hierarchische Struktur, die als globales Repository für Informationen zurDatenkommunikation (wie beispielsweise E-Mail oder Austausch von verschlüssel-ten Daten) konzipiert ist. Im Directory werden bestimmte Elemente gespeichert, diefür die PKI-Struktur (PKI = Public Key Infrastructure) unbedingt erforderlich sind.Hierzu gehören die folgenden Elemente: öffentliche Schlüssel, Zertifikate undZertifikatswiderrufslisten (CRLs).Die Daten im Directory sind hierarchisch in einer Baumstruktur organisiert, wobeidie oberste Ebene der Baumstruktur das Root-Verzeichnis ist. Häufig stehen Organi-sationen einer höheren Ebene für einzelne Länder, Regierungen oder Unternehmen.Benutzer oder Einheiten werden im Allgemeinen als″Blätter″ einer solchen Baum-struktur dargestellt. Diese Benutzer, Organisationen, Standorte, Länder und Einheitenhaben jeweils ihren eigenen Eintrag. Jeder Eintrag besteht aus Attributen, denen ver-schiedene Typen zugewiesen sind. Diese enthalten Informationen zu den Objekten,für die der jeweilige Eintrag steht.Jeder Eintrag im Directory ist mit einem zugeordneten registrierten Namen (DN =Distinguished Name) verbunden. Dieser ist eindeutig, wenn der Eintrag ein Attributumfasst, das für das tatsächliche Objekt als eindeutig bekannt ist. Im folgenden DN-Beispiel wurde als Land (C = Country) US, als Unternehmen (O = Organization)IBM, als Unternehmenseinheit (OU = Organization Unit) Trust und als allgemeinerName (CN = Common Name) der Wert CA1 angegeben.

C=US/O=IBM/OU=Trust/CN=CA1

Directory-ServerIn Tivoli PKI das IBM Directory. Dieses Directory unterstützt die LDAP-Standardsund verwendet DB2 als Basissystem.

Distinguished Encoding Rules (DER)Durch DER werden bestimmte Einschränkungen für BER definiert. Mit DER kanngenau ein bestimmter Verschlüsselungstyp aus den verfügbaren und auf der Basisder Verschlüsselungsregeln als zulässig definierten Typen ausgewählt werden. Hier-durch werden alle Senderoptionen eliminiert.

DLData Storage Library = Datenspeicherbibliothek.

DNDistinguished Name - Registrierter Name.

Dokumentverschlüsselungsschlüssel (DEK)Normalerweise ein symmetrischer Ver-/Entschlüsselungsschlüssel, z. B. DES.


Glossar

DomäneSieheSicherheitsdomäneund Registrierungsdomäne.

DSADigital Signature Algorithm.

E

e-BusinessDas Durchführen geschäftlicher Transaktionen über Netze und Computer, z. B. derKauf und Verkauf von Waren und Dienstleistungen sowie der Transfer von Zah-lungsmitteln mit Hilfe der digitalen Kommunikation.

e-CommerceUnternehmensübergreifende Transaktionen wie beispielsweise der Kauf und Verkaufvon Waren und Dienstleistungen (zwischen Unternehmen und ihren Kunden, Liefe-ranten, Subunternehmen und anderen) über das Internet. E-Commerce stellt einenKernbestandteil des e-Business dar.

EndentitätDer Gegenstand eines Zertifikats, bei dem es sich nicht um einen CA handelt.

EntschlüsselnDen Verschlüsselungsprozess rückgängig machen.

ExemplarBei DB2 bezeichnet man als Exemplar eine logische Datenbankverwaltungs-umgebung zum Speichern von Daten und Ausführen von Anwendungen. Es ermög-licht die Definition einer allgemeinen Gruppe von Konfigurationsparametern für ver-schiedene Datenbanken.

ExtranetEin Netz, das auf dem Internet basiert und eine ähnliche Technologie einsetzt.Unternehmen beginnen momentan mit dem Einsatz des Web Publishings, elektroni-schen Handels und der Nachrichtenübertragung sowie der Verwendung von Group-ware für verschiedene Gruppen von Kunden, Partnern und internen Mitarbeitern.

F

File Transfer Protocol (FTP)Ein Client/Server-Protokoll im Internet, das zum Übertragen von Dateien zwischenComputern benutzt wird.


FirewallEin Gateway zwischen Netzen, der den Informationsfluss zwischen diesen ein-schränkt. Normalerweise dienen Firewalls dem Schutz interner Netze gegen dienicht berechtigte Verwendung durch externe Personen.

FTPFile Transfer Protocol.

G

GatewayEine Funktionseinheit, mit deren Hilfe nicht kompatible Netze oder AnwendungenDaten austauschen können.

Gegenseitige ZertifizierungEin Trust-Modell, bei dem ein CA für einen anderen CA ein Zertifikat ausstellt, dasden öffentlichen Schlüssel enthält, der dem entsprechenden privaten Unterschrifts-schlüssel zugeordnet ist. Ein gegenseitig zertifiziertes Zertifikat ermöglicht Client-Systemen oder Endentitäten in einer Verwaltungsdomäne die sichere Kommunika-tion mit Client-Systemen oder Endentitäten in einer anderen Domäne.

Gesicherte Computerbasis (TCB)Die Software- und Hardwareelemente, die zur Umsetzung der Computersicherheits-regeln eines Unternehmens verwendet werden. Alle Elemente oder Teilelemente, diezur Implementierung der Sicherheitsregeln eingesetzt werden können, sindsicherheitsrelevant und Bestandteil der TCB. Bei der TCB handelt es sich um einObjekt, das durch die Sicherheitsperipherie begrenzt wird. Die Mechanismen, diezur praktischen Umsetzung der Sicherheitsregeln eingesetzt werden, dürfen nichtumgangen werden können und müssen verhindern, dass Programme Zugriff aufSystemprivilegien erlangen können, für die sie nicht berechtigt sind.

H

HierarchieDie Organisation von Zertifikatsausstellern (CAs) innerhalb einer Trust-Kette. Diesebeginnt mit einem selbst unterzeichnenden CA oder übergeordneten Root-CA, dersich an der höchsten Position befindet, und endet mit dem CA, der Zertifikate fürEndbenutzer ausstellt.

Höchster CADer CA, der innerhalb der PKI-CA-Hierarchie die höchste Position einnimmt.

HTMLHypertext Markup Language.


Glossar

HTTPHypertext Transaction Protocol.

HTTP-ServerEin Server, der die Web-gestützte Kommunikation mit Browsern und anderen Pro-grammen im Netz steuert.

HypertextTextsegmente, die einzelne oder mehrere Wörter umfassen oder Bilder enthalten, aufdie der Leser mit der Maus klicken kann, um ein anderes Dokument aufzurufen undanzuzeigen. Diese Textsegmente werden als Hyperlinks bezeichnet. Ruft der Leserdiese anderen Dokumente auf, stellt er zu diesen eine Hyperlink-Verbindung her.

Hypertext Markup Language (HTML)Eine Formatierungssprache für das Codieren von Web-Seiten. HTML basiert aufSGML (Standard Generalized Markup Language).

Hypertext Transaction Protocol (HTTP)Ein Client/Server-Protokoll für das Internet, mit dem Hypertext-Dateien im Webübertragen werden.

I

ICLIssued Certificate List - Liste der ausgestellten Zertifikate.

IdentitätsnachweisVertrauliche Informationen, die verwendet werden, um beim Austausch von Datenwährend der Authentifizierung die eigene Identität zu belegen. In Network Compu-ting-Umgebungen ist die am häufigsten verwendete Form des Identitätsnachweisesein Zertifikat, das von einem CA erstellt und unterzeichnet wurde.

IniEditorBei Tivoli PKI ein Tool, mit dem Konfigurationsdateien editiert werden können.

IntegritätEin System schützt seine Datenintegrität, wenn es die Änderung dieser Daten durchnicht berechtigte Personen verhindert. (Im Gegensatz hierzu versteht man unter demSchutz der Vertraulichkeit von Daten, wenn verhindert wird, dass diese unberechtig-ten Personen zugänglich gemacht werden.)

IntegritätsprüfungDie Prüfung der Protokolleinträge, die für Transaktionen mit externen Komponentenaufgezeichnet wurden.


International Standards Organization (ISO)Eine internationale Organisation, die sich mit der Entwicklung und Veröffentlichungvon Standards befasst.

International Telecommunication Union (ITU)Eine internationale Organisation, in der Verwaltungs- und private Industriebereicheglobale Datenfernübertragungsnetze und -services koordinieren. Bei der Veröffentli-chung von Informationen zur Datenfernübertragungstechnologie sowie den entspre-chenden Regelwerken und Standards nimmt sie eine führende Position ein.

Interne StrukturSieheSchema.

InternetEin weltweiter Verbund von Netzen, die die elektronische Verbindung zwischenComputern und die Kommunikation zwischen den Computern über Softwareein-richtungen wie elektronische Post (E-Mail) oder Web-Browser ermöglichen. So sindbeispielsweise die meisten Universitäten in ein Netz eingebunden, das seinerseitseine Verbindung zu anderen ähnlichen Netzen hat, die zusammen das Internet bil-den.

Internet Engineering Task Force (IETF)Eine Gruppe, die sich schwerpunktmäßig mit dem Entwickeln und Definieren vonProtokollen für das Internet befasst. Sie repräsentiert eine internationale Gruppe vonNetzdesignern, -bedienern, -herstellern und -forschern. Die Aufgabe der IETF ist dieEntwicklung der Internet-Architektur sowie die Gewährleistung der reibungslosenVerwendung des Internets.

IntranetEin Netz innerhalb eines Unternehmens, das sich im Allgemeinen hinter Firewallsbefindet. Es basiert auf dem Internet und setzt eine ähnliche Technologie ein. Vomtechnischen Standpunkt aus ist ein Intranet eine Erweiterung des Internets. Zu denin beiden Netzen benutzten Komponenten gehören z. B. HTML und HTTP.

IPSecEin von der IETF entwickelter IPS-Standard (IPS = Internet Protocol Security).IPSec ist ein Protokoll der Vermittlungsschicht, das entwickelt wurde, um Servicesfür die Gewährleistung der Sicherheit bei der Verschlüsselung zur Verfügung zu stel-len, die kombinierte Funktionen zur Authentifizierung, Sicherung der Integrität,Zugriffssteuerung und Wahrung der Vertraulichkeit flexibel unterstützen. Aufgrundseiner leistungsfähigen Funktionen bei der Authentifizierung wurde dieser Standardvon vielen Lieferanten von VPN-Produkten als Protokoll zum Aufbau sichererPunkt-zu-Punkt-Verbindungen im Internet übernommen.

ISOInternational Standards Organization.


Glossar

ITUInternational Telecommunication Union.

J

JavaVon Sun Microsystems, Incorporated, entwickelte plattformunabhängige Computer-technologien, die für den Netzbetrieb optimiert sind. Die Java-Umgebung bestehtaus dem Java-Betriebssystem (Java-OS), den virtuellen Maschinen für verschiedenePlattformen, der objektorientierten Java-Programmiersprache und einer Reihe vonKlassenbibliotheken.

Java-AnwendungEin eigenständiges Programm, das in der Programmiersprache Java geschrieben ist.Es wird außerhalb eines Web-Browsers ausgeführt.

Java-AppletSieheApplet. Gegensatz zuJava-Anwendung.

Java-KlasseEine Einheit mit Java-Programmcode.

Java-SpracheEine von Sun Microsystems entwickelte Programmiersprache, die speziell für dieVerwendung in Applet- und Agent-Anwendungen konzipiert wurde.

Java Virtual Machine (JVM)Der Teil der Java-Laufzeitumgebung, der zum Interpretieren von Bytecodes einge-setzt wird.

K

KeyStore (Schlüsselspeicher)Eine DL zum Speichern von Identitätsnachweisen für Tivoli PKI-Komponenten, z.B. Schlüssel und Zertifikate, in einem verschlüsselten Format.

KlartextNicht verschlüsselte Daten.Synonym zuunverschlüsselter Text.

KlasseBeim objektorientierten Entwurf bzw. bei der objektorientierten Programmierungeine Gruppe von Objekten, die über eine gemeinsame Definition verfügen und ausdiesem Grund mit denselben Merkmalen, Verarbeitungsoperationen und Funktions-weisen arbeiten.


KryptographieBei der Sicherung von Computern die Prinzipien, Verfahren und Methoden zur Ver-schlüsselung von unverschlüsseltem und zur Entschlüsselung von verschlüsseltemText.

L

LDAPLightweight Directory Access Protocol.

Lightweight Directory Access Protocol (LDAP)Ein Protokoll, mit dem auf das Directory zugegriffen werden kann.

Liste der ausgestellten Zertifikate (ICL)Eine vollständige Liste der ausgestellten Zertifikate sowie deren aktueller Status.Die Zertifikate sind anhand der Seriennummer und des Status indexiert. Diese Listewird vom CA verwaltet und in der CA-Datenbank gespeichert.

M

MACMessage Authentication Code - Nachrichtenauthentifizierungscode.

MD4Eine Nachrichtenauszugs-Hash-Funktion auf 128-Bit-Basis, die von Ron Rivest ent-wickelt wurde. Ihre Geschwindigkeit übersteigt die von MD2 um ein Mehrfaches.

MD5Eine unidirektionale Nachrichtenauszugs-Hash-Funktion, die von Ron Rivest entwi-ckelt wurde. Sie stellt eine verbesserte Version von MD4 dar. MD5 verarbeitet Ein-gabetext in 512-Bit-Blöcken, die in 16 32-Bit-Unterblöcke aufgeteilt werden. DieAusgabe des Algorithmus ist eine Gruppe von vier 32-Bit-Blöcken, die verkettetwerden und so einen 128-Bit-Hash-Wert bilden. Diese Funktion wird ebenfallszusammen mit MD2 in dem PEM-Protokollen verwendet.

MD2Eine Nachrichtenauszugs-Hash-Funktion auf 128-Bit-Basis, die von Ron Rivest ent-wickelt wurde. Sie wird zusammen mit MD5 in den PEM-Protokollen verwendet.

ModulusIn dem auf öffentlichen Schlüsseln basierenden RSA-Verschlüsselungssystem dasProdukt (n) aus zwei hohen Primzahlen:p und q. Die optimale Größe für einenRSA-Modulus hängt von den individuellen Sicherheitsanforderungen ab. Je größerder Modulus, desto höher die Sicherheit. Die momentan von den RSA Laboratoriesempfohlenen Schlüsselgrößen hängen vom geplanten Einsatz des Schlüssels ab.Hierbei werden 768 Bit für Schlüssel zum persönlichen Gebrauch, 1024 Bit für den


Glossar

Unternehmensbereich und 2048 Bit für extrem wertvolle Schlüssel wie z. B.CA-Schlüsselpaare angegeben. Ein 768-Bit-Schlüssel wird voraussichtlich bis min-destens zum Jahr 2004 sicher sein.

Multipurpose Internet Mail Extensions (MIME)Eine frei verfügbare Gruppe von Spezifikationen, die den Austausch von Text inSprachen mit unterschiedlichen Zeichensätzen ermöglicht. Diese Spezifikationenunterstützen auch den Austausch von Multimedia-E-Mail zwischen unterschiedlichenComputersystemen, die Internet-Mail-Standards verwenden. So können E-Mail-Nachrichten beispielsweise andere Zeichensätze als den US-ASCII-Satz sowieerweiterten Text, Bilder oder Tondaten enthalten.

N

NachrichtenauszugEine irreversible Funktion, bei der auf der Basis einer Nachricht beliebiger Längeeine Datenmenge mit fester Länge generiert wird. Bei MD5 handelt es sich z. B. umeinen Nachrichtenauszugsalgorithmus.

Nachrichtenauthentifizierungscode (MAC)Ein geheimer Schlüssel, der von Sender und Empfänger gemeinsam benutzt wird.Der Sender authentifiziert sich und der Empfänger prüft die hierbei zur Verfügunggestellten Daten. Bei Tivoli PKI werden MAC-Schlüssel für CA- und Prüfkompo-nenten in den KeyStores gespeichert.

National Security Agency (NSA)Die offizielle Sicherheitsbehörde der US-Regierung.

NISTNational Institute of Standards and Technology, früher NBS (National Bureau ofStandards). Aufgabe dieses Instituts ist die Unterstützung offener Standards und derInteroperabilität in den verschiedenen Bereichen der Computerbranche.

NLSNational Language Support - Unterstützung in der Landessprache.

NSANational Security Agency.

O

ObjektBeim objektorientierten Design oder bei der objektorientierten Programmierung eineabstrakte Entität, die zur Abgrenzung bestimmter Daten und der zugehörigen Opera-tionen dient.Siehe auchKlasse.


ObjektartDie Art von Objekt, die im Directory gespeichert werden kann. Beispiele sind eineFirma, ein Konferenzraum, eine Einheit, eine Person, ein Programm oder ein Pro-zess.

Objekt-ID (OID)Ein von einer Verwaltungsfunktion zugeordneter Datenwert, der den in ASN.1 defi-nierten Typ aufweist.

ODBCOpen Database Connectivity.

Öffentlicher SchlüsselIn einem Paar aus einem öffentlichen und einem privaten Schlüssel steht dieserSchlüssel anderen Benutzern zur Verfügung. Er ermöglicht diesen Benutzern dieWeiterleitung einer Transaktion an den Eigner des Schlüssels sowie die Prüfungeiner digitalen Unterschrift. Mit einem öffentlichen Schlüssel verschlüsselte Datenkönnen nur mit dem entsprechenden privaten Schlüssel entschlüsselt werden.Gegen-satz zuPrivater Schlüssel.Siehe auchSchlüsselpaar aus öffentlichem und privatemSchlüssel.

Open Database Connectivity (ODBC)Ein Standard für den Zugriff auf unterschiedliche Datenbanksysteme.

Open Systems Interconnect (OSI)Der Name der von ISO genehmigten Computernetzstandards.

OSIOpen Systems Interconnect.

P

PC-KarteEine mit einer Smart-Card vergleichbare Einheit, die auch als PCMCIA-Kartebezeichnet wird. Sie ist etwas größer als eine Smart-Card und verfügt im Allgemei-nen über eine höhere Kapazität.

4758 PCI Cryptographic CoprocessorEine programmierbare, manipulationssensitive PCI-Bus-Verschlüsselungskarte, diedie Ausführung von DES- und RSA-Verschlüsselungsoperationen mit hoherGeschwindigkeit ermöglicht. Die Verschlüsselungsprozesse werden in einem gesi-cherten und abgegrenzten Bereich auf der Karte ausgeführt. Die Karte entspricht denstrengen Anforderungen des FIPS PUB 140-1 Level 4-Standards. In dem gesichertenund abgegrenzten Bereich kann Software ausgeführt werden. Der SET-Standardkann z. B. zur Verarbeitung von Kreditkartentransaktionen genutzt werden.


Glossar

PEMPrivacy-Enhanced Mail.

PKCSPublic Key Cryptography Standards.

PKCS #1SiehePublic Key Cryptography Standards.





PKIPublic Key Infrastructure.

PKIXPKI auf X.509v3-Basis.

PKIX Certificate Management Protocol (PKIX CMP)Ein Protokoll, das Verbindungen mit PKIX-kompatiblen Anwendungen ermöglicht.PKIX CMP verwendet als primäres Transportverfahren TCP/IP, es ist jedoch eineAbstraktionsebene oberhalb der Sockets-Schicht vorhanden. Dies ermöglicht dieUnterstützung für zusätzliche Datenübertragungsoperationen mit Sendeaufrufen (Pol-ling).

PKIX CMPPKIX Certificate Management Protocol.

PKIX-EmpfangseinheitDer öffentliche HTTP-Server, der von einer bestimmten Registrierungsdomäne ver-wendet wird, um Anforderungen der Client-Anwendung von Tivoli PKI zu empfan-gen.

Privacy-Enhanced Mail (PEM)Der vom Internet Architect Board (IAB) genehmigte Internet-Standard für die ver-besserte Wahrung der Vertraulichkeit, der die sichere Übertragung elektronischerPost (E-Mail) über das Internet ermöglicht. Die PEM-Protokolle regeln Verschlüsse-lung, Authentifizierung, Nachrichtenintegrität und Schlüsselverwaltung.


Privater SchlüsselIn einem Paar aus einem öffentlichen und einem privaten Schlüssel steht dieserSchlüssel nur für seinen Eigner zur Verfügung. Er ermöglicht dem Eigner das Emp-fangen einer privaten Transaktion oder eine digitale Unterschrift. Die mit einem pri-vaten Schlüssel unterzeichneten Daten können nur mit dem entsprechenden öffentli-chen Schlüssel geprüft werden.Gegensatz zuöffentlicher Schlüssel.Siehe auchSchlüsselpaar aus öffentlichem und privatem Schlüssel.

ProtokollEine vereinbarte Konvention für die Kommunikation zwischen Computern.

ProtokollierungssubsystemBei Tivoli PKI ein Subsystem, das die Unterstützungsfunktionen zum Protokollierenvon sicherheitsrelevanten Aktionen bereitstellt. Es entspricht den Empfehlungen, dieim X9.57-Standard unterPublic Key Cryptography for the Financial Services Indus-try definiert wurden.

Proxy-ServerEine Einheit, die zwischen einem Computer, der eine Zugriffsanforderung absetzt(Computer A) und einem Computer, auf den zugegriffen werden soll (Computer B),implementiert ist. Wenn ein Endbenutzer eine Anforderung für eine Ressource überComputer A absetzt, wird diese an den Proxy-Server geleitet. Dieser sendet dieAnforderung an Computer B, erhält von diesem die Antwort und leitet diese an denEndbenutzer weiter. Mit Hilfe eines Proxy-Servers kann über einen Computer, dersich innerhalb einer Firewall befindet, auf das World Wide Web zugegriffen werden.

Prüf-ClientJeder Client im System, der Prüfereignisse an den Tivoli PKI-Prüf-Server sendet.Bevor ein Prüf-Client ein Ereignis an den Prüf-Server sendet, stellt er eine Verbin-dung zu diesem her. Nach der Herstellung der Verbindung verwendet der Client dieClient-Bibliothek des Prüfsubsystems, um Ereignisse an den Prüf-Server zu übertra-gen.

PrüfprotokollDaten in Form eines logischen Pfades, die eine Folge von Ereignissen verbinden.Mit dem Prüfprotokoll können Transaktionen oder der bisherige Verlauf einerbestimmten Aktivität verfolgt werden.

PrüfprotokollBei Tivoli PKI eine Tabelle in einer Datenbank, in der für jedes Prüfereignis einDatensatz gespeichert wird.

Prüf-ServerEin Tivoli PKI-Server, der zum Empfangen von Prüfereignissen von Prüf-Clientsund zum Aufzeichnen dieser Ereignis in einem Prüfprotokoll dient.


Glossar

PrüfzeichenfolgeEine Zeichenfolge, die von einem Server oder einer Anwendung gesendet wird undzum Anfordern der Benutzerberechtigung dient. Der Benutzer, der zur Authentifizie-rung aufgefordert wird, unterzeichnet die Prüfzeichenfolge mit einem privatenSchlüssel. Der öffentliche Schlüssel des Benutzers sowie die unterzeichnete Prüfzei-chenfolge werden zurück an den Server oder die Anwendung gesendet, der bzw. diedie Authentifizierung anforderte. Der Server versucht anschließend, die unterzeich-nete Prüfzeichenfolge mit Hilfe des öffentlichen Schlüssels des Benutzers zu ent-schlüsseln. Wenn die entschlüsselte Prüfzeichenfolge mit der ursprünglich gesende-ten Prüfzeichenfolge übereinstimmt, gilt der Benutzer als authentifiziert.

Public Key Cryptography Standards (PKCS)Informelle, herstellerübergreifende Standards, die im Jahr 1991 von den RSA Labo-ratories in Zusammenarbeit mit Repräsentanten verschiedener Computerherstellerentwickelt wurden. Diese Standards umfassen die RSA-Verschlüsselung, die Diffie-Hellman-Vereinbarung, die kennwortbasierte Verschlüsselung sowie die Syntax fürerweiterte Zertifikate, verschlüsselte Nachrichten, Daten zu privaten Schlüsseln undfür die Zertifizierung.

¶ PKCS #1 beschreibt ein Verfahren zum Verschlüsseln von Daten mit Hilfe desRSA-Verschlüsselungssystems auf der Basis öffentlicher Schlüssel. Er dient zurErstellung digitaler Unterschriften und Briefumschläge.

¶ PKCS #7 definiert ein allgemeines Format für verschlüsselte Nachrichten.

¶ PKCS #10 definiert eine Standardsyntax für Zertifizierungsanforderungen.

¶ PKCS #11 definiert eine Programmierschnittstelle für Verschlüsselungseinheiten,z. B. Smart-Cards, die unabhängig vom verwendeten technologischen Konzeptist.

¶ PKCS #12 definiert ein portierbares Format zum Speichern oder Transportierender privaten Schlüssel, Zertifikate und sonstiger geheimer Daten etc. einesBenutzers.

Public Key Infrastructure (PKI)Ein Standard für Sicherheitssoftware, der auf der Verschlüsselung mit Hilfe öffentli-cher Schlüssel basiert. Bei PKI handelt es sich um ein System digitaler Zertifikate,Zertifikatsaussteller, Registrierungsstellen, Zertifikatverwaltungsservices und verteil-ter Verzeichnisservices. Er dient zum Prüfen der Identität und Berechtigung allerParteien, die an Transaktionen beteiligt sind, die über das Internet ausgeführt wer-den. Diese Transaktionen umfassen möglicherweise Operationen, zu deren Ausfüh-rung eine Identitätsprüfung erforderlich ist. Sie dienen z. B. zur Bestätigung desUrsprungs von Senderechtanforderungen, E-Mail-Nachrichten oder Finanz-transaktionen.PKI stellt öffentliche Chiffrierschlüssel und Benutzerzertifikate für die Authentifizie-rung durch eine berechtigte Einzelperson oder ein berechtigtes Unternehmen zurVerfügung. Er stellt Online-Verzeichnisse bereit, die die öffentlichen Chiffrierschlüs-


sel und Zertifikate enthalten, die zur Überprüfung der digitalen Zertifikate, Identi-tätsnachweise sowie der digitalen Unterschriften verwendet werden.PKI stellt außerdem Funktionen zur schnellen und effizienten Antwort auf Prüfabfra-gen und Anforderungen für öffentliche Chiffrierschlüssel bereit. Der Standard dientdarüber hinaus zur Identifizierung potenzieller Sicherheitslücken im System und zurVerwaltung von Ressourcen zur Bearbeitung von Sicherheitsverletzungen. PKI bietetaußerdem einen digitalen Zeitmarkenservice für wichtige Unternehmenstrans-aktionen.

R

RARegistration Authority - Registrierungsstelle.

RA DesktopEin Java-Applet, das den RAs eine Grafikschnittstelle für die Verarbeitung vonAnforderungen für Identitätsnachweise und zur Verwaltung dieser Nachweise wäh-rend ihrer Gültigkeitsdauer zur Verfügung stellt.

RA-ServerDer Server für die RA-Komponente von Tivoli PKI.

RC2Eine variable Schlüsselgrößen-Block-Cipher, die von Ron Rivest für RSA DataSecurity entwickelt wurde.RC steht fürRon’s CodeoderRivest’s Cipher. Sie arbei-tet schneller als DES und löst diese Block-Cipher ab. Durch die Verwendung geeig-neter Schlüsselgrößen kann sie in Bezug auf eine ausgedehnte Schlüsselsuche flexib-ler als DES gestaltet werden. Sie verfügt über eine Blockgröße von 64 Bit undarbeitet auf Softwareebene zwei- bis dreimal schneller als DES. RC2 kann in den-selben Modi eingesetzt werden wie DES.Durch eine Vereinbarung zwischen SPA (Software Publishers Association) und derUS-Regierung nimmt RC2 einen speziellen Status ein. Hierdurch ist dasGenehmigungsverfahren für den Export einfacher und schneller, als dies bei anderenVerschlüsselungsprodukten der Fall ist. Um die Voraussetzungen für eine rascheExportgenehmigung zu erfüllen, muss ein Produkt mit einigen Ausnahmen die RC2-Schlüsselgröße auf 40 Bit beschränken. Eine zusätzliche Zeichenfolge kann verwen-det werden, um Nichtberechtigte abzuwehren, die versuchen, eine umfangreicheTabelle möglicher Verschlüsselungsvarianten vorauszuberechnen.

Regel-ExitIn einer Registrierungsfunktion ein auf Unternehmensebene definiertes Programm,das von der Registrierungsanwendung aufgerufen wird. Die Regeln eines Regel-Exits implementieren die Unternehmens- und Sicherheitsbenutzervorgaben einesUnternehmens für den Registrierungsprozess.


Glossar

Registrierter Name (DN)Der eindeutige Name eines im Directory gespeicherten Dateneintrags. Der DN dientzur eindeutigen Identifizierung der Position eines Eintrags in der hierarchischenStruktur des Directory.

RegistrierungBei Tivoli PKI das Abrufen von Identitätsnachweisen für die Verwendung über dasInternet. Bei der Registrierung werden Zertifikate angefordert, erneuert und widerru-fen.

RegistrierungsattributEine Registrierungsvariable, die in einem Registrierungsformular enthalten ist. IhrWert gibt die Informationen wider, die während der Registrierung erfasst werden.Der Wert des Registrierungsattributs bleibt während der gesamten Gültigkeitsdauerdes Identitätsnachweises gleich.

RegistratorEin Benutzer, der für den Zugriff auf RA Desktop sowie zur Verwaltung und Anfor-derung von Zertifikaten berechtigt ist.

Registrierungsstelle (RA)Die Software, die zur Verwaltung digitaler Zertifikate verwendet wird und sicher-stellt, dass die Unternehmensregeln vom ersten Empfang einer Registrierungsan-forderung bis zum Zertifikatswiderruf angewendet werden.

RegistrierungsdatenbankDiese Datenbank enthält Informationen zu Zertifikatsanforderungen und ausgestell-ten Zertifikaten. In der Datenbank werden Registrierungsdaten gespeichert und alleÄnderungen aufgezeichnet, die während der Gültigkeitsdauer an einem Zertifikatvorgenommen werden. Die Datenbank kann durch RA-Prozesse und Regel-Exitsoder durch den Registrator aktualisiert werden.

RegistrierungsdomäneEine Gruppe von Ressourcen, Regeln und Konfigurationsoptionen, die sich aufbestimmte Registrierungsprozesse für Zertifikate beziehen. Der Domänenname stellteinen untergeordneten Wert zur URL-Adresse dar, die zur Ausführung derRegistrierungsfunktion eingesetzt wird.

RegistrierungsfunktionEin Tivoli PKI-Anwendungsgerüst, das spezielle Verfahren zur Registrierung vonEntitäten (z. B. Browser, Router, E-Mail-Einheiten und sichere Client-Anwendun-gen) und zur Verwaltung von Zertifikaten während ihrer Gültigkeitsdauer bereitstellt.

RegistrierungsprozessBei Tivoli PKI die Schritte, die zur Überprüfung eines Benutzers ausgeführt werden.Durch den Registrierungsprozess werden Benutzer sowie deren öffentliche Schlüsselzertifiziert, um sie zur Teilnahme an den gewünschten Transaktionen zu berechtigen.


Er kann lokal oder Web-gestützt, automatisch oder von einer tatsächlich mit Perso-nen besetzten Registrierungsstelle ausgeführt werden.

RegistrierungsvariableSieheRegistrierungsattribut.

RSAEin auf öffentlichen Schlüsseln basierender Verschlüsselungsalgorithmus, der nachseinen Erfindern (Rivest, Shamir und Adelman) benannt wurde. Er wird zur Ver-schlüsselung und für digitale Unterschriften verwendet.

S

SchemaBeim Directory die interne Struktur, die zur Definition der Beziehungen zwischenden verschiedenen Objektarten verwendet wird.

SchlüsselBei der Verschlüsselung ein Wert, der zum Ver- und Entschlüsseln von Informatio-nen verwendet wird.

SchlüsselpaarZusammengehörende Schlüssel, die bei der asymmetrischen Verschlüsselung einge-setzt werden. Ein Schlüssel wird zur Verschlüsselung, der andere zur Entschlüsse-lung verwendet.

Schlüsselpaar aus öffentlichem und privatem SchlüsselEin Schlüsselpaar aus öffentlichem und privatem Schlüssel stellt ein grundlegendesElement der Verschlüsselung auf der Basis von Schlüsselpaaren dar. (Diese Formder Verschlüsselung wurde im Jahr 1976 von Whitfield Diffie und Martin Hellmaneingeführt, um Probleme bei der Schlüsselverwaltung zu lösen.) Nach diesem Kon-zept erhält jeder Benutzer ein Schlüsselpaar, bei dem einer als öffentlicher und einerals privater Schlüssel bezeichnet wird. Der öffentliche Schlüssel ist hierbei allge-mein bekannt, der private Schlüssel wird hingegen geheim gehalten. Sender undEmpfänger müssen geheime Daten nicht gemeinsam benutzen. AlleKommunikationsoperationen werden lediglich auf der Basis öffentlicher Schlüsselausgeführt. Die privaten Schlüssel werden niemals übertragen oder gemeinsam ver-wendet. Auf diese Weise ist es nicht mehr notwendig, sich auf die Sicherheit einesÜbertragungskanals gegenüber Manipulationen zu verlassen. Die einzige Anforde-rung ist, dass öffentliche Schlüssel den entsprechenden Benutzern in einer gesicher-ten (authentifizierten) Weise (z. B. in einem gesicherten Verzeichnis) zugeordnetwerden. Jeder Benutzer kann nun mit Hilfe dieser öffentlichen Daten eine vertrauli-che Nachricht senden. Diese Nachricht kann nur mit einem privaten Schlüssel ent-schlüsselt werden, auf den allein der gewünschte Empfänger zugreifen kann. Darü-ber hinaus kann die Verschlüsselung auf der Basis von Schlüsselpaaren nicht nur zur


Glossar

Gewährleistung der Vertraulichkeit (Verschlüsselung), sondern auch für die Authenti-fizierung (digitale Unterschriften) eingesetzt werden.

Schlüsselsicherung und -wiederherstellungDiese Funktion von Tivoli PKI ermöglicht das Sichern und Wiederherstellen vonEndentitätszertifikaten und der zugehörigen, von Tivoli PKI zertifizierten öffentli-chen und privaten Schlüssel. Die Zertifikate und Schlüssel werden in einer PKCS#12-Datei gespeichert. Diese Datei ist kennwortgeschützt. Das Kennwort wird beimSichern des Zertifikats und der Schlüssel gesetzt.

Secure Electronic Transaction (SET)Ein Branchenstandard für die Durchführung sicherer Kredit- oder Kundenkarten-zahlungen über nicht gesicherte Netze. Der Standard formuliert Definitionen für dieAuthentifizierung von Kartenhaltern, Händlern sowie der Banken, durch die die Kar-ten ausgestellt werden, da er die Ausstellung von Zertifikaten anfordert.

Secure Sockets Layer (SSL)Ein IETF-Standardübertragungsprotokoll mit integrierten Sicherheitsservices, die fürden Endbenutzer möglichst transparent sind. Es stellt einen digitalen, sicherenKommunikationskanal zur Verfügung.Ein SSL-fähiger Server empfängt SSL-Verbindungsanforderungen im Allgemeinenan einem anderen Anschluss (Port) als normale HTTP-Anforderungen. SSL erstellteine Sitzung, in der die Austauschsignale zum Herstellen der Kommunikation zwi-schen zwei Modems nur einmal gesendet werden müssen. Anschließend wird dieKommunikation verschlüsselt und die Nachrichtenintegrität wird solange überprüft,bis die SSL-Sitzung abgelaufen ist.

Server(1) In einem Netz eine Datenstation, die anderen Stationen Funktionen zur Verfü-gung stellt, wie beispielsweise ein Datei-Server. (2) In TCP/IP ein System in einemNetz, das die Anforderungen eines Systems an einem anderen Standort verarbeitet.Dieses Konzept wird als Client/Server-Modell bezeichnet.

Server-ZertifikatEin digitales Zertifikat, das von einem CA ausgegeben wird und es einem Web-Ser-ver ermöglicht, SSL-gestützte Transaktionen auszuführen. Wenn ein Browser überdas SSL-Protokoll eine Verbindung zum Server herstellt, sendet der Server seinenöffentlichen Schlüssel an den Browser. Hierdurch kann die Identität des Serversauthentifiziert werden und es können verschlüsselte Daten an den Server gesendetwerden.Siehe auchCA-Zertifikat, Digitales Zertifikatund Browserzertifikat.

ServletEin Server-Programm, das zusätzliche Funktionen für Server zur Verfügung stellt,die Java unterstützen.

SETSecure Electronic Transaction.


SGMLStandard Generalized Markup Language.

SHA-1 (Secure Hash Algorithm)Ein von NIST und NSA entwickelter Algorithmus, der beim DSS (Digital SignatureStandard) verwendet wird. Der Standard wird als Secure Hash Standard bezeichnet;SHA ist der Algorithmus, der von diesem Standard verwendet wird. Er generierteinen 160-Bit-Hash-Code.

SicherheitsdomäneEine Gruppe (z. B. Unternehmen, Arbeitsgruppe, Projektteam), deren Zertifikatevom gleichen CA zertifiziert wurden. Benutzer, die über ein von einem CA unter-zeichnetes Zertifikat verfügen, können der Identität eines anderen Benutzers ver-trauen, der ein Zertifikat besitzt, das vom selben CA unterzeichnet worden ist.

SicherungsmodellEine Organisationskonvention, die regelt, wie Zertifikatsaussteller (CAs) andereZertifikatsaussteller zertifizieren können.

Simple Mail Transfer Protocol (SMTP)Ein Protokoll, mit dem elektronische Post über das Internet übertragen wird.

Site-ZertifikatDieser Zertifikatstyp ist mit einem CA-Zertifikat vergleichbar, gilt jedoch nur füreine bestimmte Website.Siehe auchCA-Zertifikat.

Smart-CardEine Hardwarekomponente, normalerweise in der Größe einer Kreditkarte, auf derdie digitalen Schlüssel eines Benutzers gespeichert werden können. Eine Smart-Cardkann kennwortgeschützt werden.

S/MIMEEin Standard, der das Unterzeichnen und Verschlüsseln von elektronischer Post(E-Mail) unterstützt, die über das Internet übertragen wird.SieheMIME.

SMTPSimple Mail Transfer Protocol.

SSLSecure Sockets Layer.

Standard Generalized Markup Language (SGML)Ein Standard zur Beschreibung von Formatierungssprachen. HTML basiert aufSGML.

Symmetrischer SchlüsselEin Schlüssel, der sowohl für die Verschlüsselung als auch für die Entschlüsselungverwendet werden kann.Siehe auchSymmetrische Verschlüsselung.


Glossar

Symmetrische VerschlüsselungEine Form der Verschlüsselung, bei der sowohl für die Ver- als auch für die Ent-schlüsselung derselbe Schlüssel verwendet wird. Die Sicherheit dieses Verfahrenbasiert auf dem Schlüssel. Wird dieser öffentlich bekannt gegeben, können die mitihm bearbeiteten Nachrichten von jedem Benutzer ver- und entschlüsselt werden.Der Inhalt der übertragenen Daten kann nur dann geheim gehalten werden, wennder Schlüssel nur den jeweils berechtigten Personen bekannt ist.Gegensatz zuAsymmetrische Verschlüsselung.

T

TCP/IPTransmission Control Protocol/Internet Protocol.

TPTrust Policy = Sicherungsregel.

Transaktions-IDEine Kennung, die die RA als Antwort auf eine Anforderung für eine Vorab-registrierung zur Verfügung stellt. Mit dieser ID kann ein Benutzer, der die Client-Anwendung von Tivoli PKI ausführt, ein vorab genehmigtes Zertifikat erhalten.

Transmission Control Protocol/Internet Protocol (TCP/IP)Eine Gruppe von Übertragungsprotokollen, die Peer-zu-Peer-Konnektivitätsfunktio-nen für lokale Netze (LANs) und Weitverkehrsnetze (WANs) unterstützen.

Triple DESEin symmetrischer Algorithmus, bei dem der unverschlüsselte Text dreimal ver-schlüsselt wird. Obwohl für diese Mehrfachverschlüsselung zahlreiche Methodenexistieren, stellt die Triple DES-Verschlüsselung, die auf drei verschiedenen Schlüs-seln basiert, das sicherste dieser Verfahren dar.

Tivoli PKIEine integrierte IBM Sicherheitslösung, die die Ausstellung, Erneuerung und denWiderruf digitaler Zertifikate unterstützt. Diese Zertifikate können für eine breitePalette von Internet-Anwendungen eingesetzt werden und bieten eine Möglichkeitzur Authentifizierung von Benutzern und zur Gewährleistung einer gesichertenKommunikation.

Trust-KetteEine Gruppe von Zertifikaten, die aus der gesicherten Hierarchie vom Benutzer-zertifikat bis zum Root- oder selbstunterzeichneten Zertifikat besteht.

TunnelIn der VPN-Technologie eine virtuelle Punkt-zu-Punkt-Verbindung, die auf Anfrageüber das Internet hergestellt wird. Während der Verbindung können ferne Benutzer


den Tunnel verwenden, um sichere, verschlüsselte und gekapselte Informationen mitServern im privaten Netz eines Unternehmens auszutauschen.

U

UnbestreitbarkeitDie Verwendung eines digitalen, privaten Schlüssels, um zu verhindern, dass derUnterzeichner eines Dokuments dessen Unterzeichnung leugnet.

UnicodeEin 16-Bit-Zeichensatz, der in ISO 10646 definiert ist. Der Unicodestandard für dieVerschlüsselung von Zeichen ist ein internationaler Zeichencode für die Informati-onsverarbeitung. Er umfasst die grundlegenden, weltweit verwendeten Prozedurenund bildet die Basis für die Internationalisierung und Lokalisierung von Software.Der gesamte Quellencode in der Java-Programmierungsumgebung wird in Unicodegeschrieben.

UnternehmensprozessobjekteEine Codegruppe, die zur Ausführung einer bestimmten Registrierungsoperation, z.B. zum Prüfen des Registrierungsstatus oder zur Bestätigung des Sendens einesöffentlichen Schlüssels, verwendet wird.

UnternehmensprozessschabloneEine Gruppe von Unternehmensprozessobjekten, die in einer bestimmten Reihen-folge ausgeführt werden.

Unterstützung in der Landessprache (NLS)Unterstützung für unterschiedliche länderspezifische Angaben in einem Produkt.Hierzu gehören die Sprache, die Währung, das Datums- und Zeitformat und die Dar-stellung von Zahlen.

UnterzeichnenDie Verwendung eines digitalen privaten Schlüssels zum Generieren einer Unter-schrift. Diese Unterschrift dient dazu, zu beweisen, dass ein bestimmter Benutzer fürdie von ihm unterzeichnete Nachricht verantwortlich ist und diese akzeptiert.

Unterzeichnen/PrüfenAls Unterzeichnen wird die Verwendung eines privaten Schlüssels zum Generiereneiner Unterschrift bezeichnet. Unter Prüfen versteht man die Verwendung des ent-sprechenden öffentlichen Schlüssels zur Verifizierung dieser Unterschrift.

Unverschlüsselter TextNicht verschlüsselte Daten.Synonym zuKlartext.

URLUniform Resource Locator - URL-Adresse.


Glossar

URL-AdresseEin Schema für die Adressierung von Ressourcen im Internet. Die URL-Adressegibt das verwendete Protokoll sowie den Host-Namen und die IP-Adresse an. Außer-dem enthält er Angaben zur Anschlussnummer, zum Pfad sowie weitere Ressourcen-details, die erforderlich sind, um über eine bestimmte Maschine auf eine Ressourcezuzugreifen.

UTF-8Ein Umsetzungsformat. Es ermöglicht Informationsverarbeitungssystemen, die nurdie Verarbeitung von 8-Bit-Zeichensätzen unterstützen, die Umsetzung von 16-Bit-Unicode in ein 8-Bit-Äquivalent und umgekehrt, ohne dass hierbei Informationenverloren gehen.

V

VerkettungsprüfungDie Gültigkeitsprüfung aller CA-Unterschriften in der Trust-Hierarchie, über die einbestimmtes Zertifikat ausgestellt wurde. Wenn z. B. das Unterschriftszertifikat einesCA über einen anderen CA ausgestellt wurde, werden bei der Gültigkeitsprüfung desvom Benutzer vorgelegten Zertifikats beide Unterschriften geprüft.

VerschlüsselnDas Umordnen von Informationen, so dass nur Personen, die über den richtigenEntschlüsselungscode verfügen, die ursprünglichen Informationen durch Entschlüsse-lung abrufen können.

VerschlüsseltDie Eigenschaft von Daten, die nach einem bestimmten System umgesetzt wurden,um deren Bedeutung unkenntlich zu machen.

Verschlüsselung/EntschlüsselungDie Verwendung des öffentlichen Schlüssels des gewünschten Empfängers zum Ver-schlüsseln von Daten für diese Person. Der Empfänger verwendet anschließend denprivaten Schlüssel seines Schlüsselpaares, um die Daten zu entschlüsseln.

VertrauensdomäneEine Gruppe von Entitäten, deren Zertifikate vom gleichen CA zertifiziert wurden.

VertraulichkeitDer Schutz von Daten gegen den Zugriff nicht berechtigter Personen.

VertraulichkeitDie Wahrung der Geheimhaltung bestimmter Informationen gegenüber nicht berech-tigten Personen.


Virtual Private Network (VPN)Ein privates Datennetz, das ferne Verbindungen nicht über Telefonleitungen, sondernüber das Internet herstellt. Da der Zugriff der Benutzer auf die Netzressourcen einesUnternehmens nicht über eine Telefongesellschaft, sondern über einen Internet Ser-vice Provider (ISP) erfolgt, können diese durch den Einsatz von VPN deutliche Ein-sparungen bei Fernzugriffen erzielen. Ein VPN erhöht auch die Sicherheit beimDatenaustausch. Bei der herkömmlichen Firewall-Technologie kann zwar der Inhaltder Nachricht verschlüsselt werden, nicht jedoch die Quellen- und Zieladressen. Beider VPN-Technologie können die Benutzer eine Tunnelverbindung herstellen, beider das gesamte Datenpaket (Header- und Datenkomponente) verschlüsselt undgekapselt ist.

VorabregistrierungBei Tivoli PKI ein Prozess, mit dem ein bestimmter Benutzer (normalerweise einAdministrator) andere Benutzer registrieren kann. Wenn die Anforderung genehmigtwird, stellt die RA Informationen zur Verfügung, mit denen der Benutzer später mitHilfe der Client-Anwendung von Tivoli PKI ein Zertifikat erhalten kann.

VPNVirtual Private Network.

W

Web-BrowserAuf einem PC ausgeführte Client-Software, mit der ein Benutzer im World WideWeb navigieren oder lokale HTML-Seiten anzeigen kann. Der Web-Browser ist einAbfrage-Tool, das universellen Zugriff auf die umfangreichen Hypermedia-Daten-sammlungen ermöglicht, die im Web und im Internet zur Verfügung gestellt werden.Manche Browser können Text und Grafik anzeigen, während andere Browser auf dieTextanzeige beschränkt sind. Die meisten Browser unterstützen die Hauptformen derInternet-Kommunikation, z. B. die Ausführung von FTP-Transaktionen.

Web-ServerEin Server-Programm, das auf Anforderungen von Browser-Programmen nachInformationsressourcen antwortet.Siehe auchServer.

WebSphere Application ServerEin IBM Produkt, das Benutzer bei der Entwicklung und Verwaltung von Websitesmit einem hohen Leistungsumfang unterstützt. Es erleichtert den Übergang vom ein-fachen Web Publishing zu komplexen e-business-Anwendungen im Web. DerWebSphere Application Server besteht aus einer Java-Servlet-Maschine, die unab-hängig vom Webserver und dem verwendeten Betriebssystem arbeitet.

World Wide Web (WWW)Der Teil des Internets, in dem ein Netz von Verbindungen zwischen Computern auf-gebaut wird, auf denen Hypermediamaterial gespeichert ist. Dieses Material stellt


Glossar

neben Informationen auch Verbindungen (Hyperlinks) zu anderem Material imWorld Wide Web und Internet zur Verfügung. Der Zugriff auf WWW-Ressourcenerfolgt über einen Web-Browser.

X

X.500Ein Standard für die Implementierung eines multifunktionalen, verteilten und ver-vielfältigten Verzeichnisservices durch die Verbindung von Computersystemen. Die-ser Standard wurde gemeinsam definiert von der bisher als CCITT bekannten Inter-national Telecommunications Union (ITU) sowie der International Organization forStandardization und der International Electro-Chemical Commission (ISO/IEC).

X.509 Version 3-ZertifikatDas X.509v3-Zertifikat verfügt über erweiterte Datenstrukturen für die Speicherungund das Abrufen von Informationen zu Zertifikatsanträgen, zur Zertifikatsverteilungund zu Zertifikatswiderrufen sowie zu Sicherheitsregeln und digitalen Unterschrif-ten.X.509v3-Prozesse dienen zum Erstellen von CRLs mit Zeitmarken für alle Zertifi-kate. Bei jeder Verwendung eines Zertifikats ermöglichen die X.509v3-Funktionender Anwendung, die Gültigkeit des Zertifikats zu überprüfen. Die Anwendung kannaußerdem feststellen, ob sich das Zertifikat auf der Zertifikatswiderrufsliste (CRL)befindet. CRLs unter X.509v3 können für eine bestimmte Gültigkeitsperiode erstelltwerden. Sie können auch auf anderen Kriterien basieren, die zur Aufhebung derGültigkeit eines Zertifikats führen. Wenn z. B. ein Mitarbeiter ein Unternehmen ver-lässt, wird sein Zertifikat in der CRL eingetragen.

X.509-ZertifikatEin weit verbreiteter Zertifikatsstandard, der entwickelt wurde, um die sichere Ver-waltung und Verteilung von digital unterzeichneten Zertifikaten über sichere Inter-net-Netze zu unterstützen. Das X.509-Zertifikat definiert Datenstrukturen, die Proze-duren für die Verteilung öffentlicher Schlüssel unterstützen, die von zuverlässigenStellen digital unterzeichnet sind.

Z

Zertifikatsaussteller (CA)Die Software, die zur Einhaltung der Sicherheitsregeln eines Unternehmens und zurVergabe gesicherter elektronischer Identitäten in Form von Zertifikaten dient. DerCA verarbeitet die Anforderungen von RAs zum Ausstellen, Erneuern und Widerru-fen von Zertifikaten. Er kooperiert mit der RA, um Zertifikate und CRLs im Direc-tory zu publizieren.Siehe auchDigitales Zertifikat.


ZertifikatserweiterungEine Zusatzfunktion des X.509v3-Zertifikatformats, die zur Einbindung zusätzlicherFelder in das Zertifikat dient. Es stehen Standard- und benutzerdefinierte Erweite-rungen zur Verfügung. Die Standarderweiterungen dienen verschiedenen Zweckenund umfassen Schlüssel- und Regelinformationen, Betreff- und Ausstellerattributesowie Einschränkungen, die für den Zertifizierungspfad gelten.

ZertifikatsprofilEine Gruppe von Kenndaten, die den gewünschten Zertifikatstyp definieren (z. B.SSL- oder IPSec-Zertifikate). Das Profil vereinfacht die Zertifikatsspezifikation und-registrierung. Der Aussteller kann die Namen der Profile ändern und Kenndaten desgewünschten Zertifikats angeben. Hierzu zählen z. B. der Gültigkeitszeitraum, dieVerwendung von Schlüsseln, DN-Einschränkungen usw.

ZertifikatsregelEine benannte Gruppe mit Regeln, die angibt, ob ein Zertifikat für eine bestimmteKlasse von Anwendungen mit gemeinsamen Sicherheitsanforderungen anwendbarist. Eine Zertifikatsregel kann z. B. angeben, ob ein bestimmter Zertifizierungstypdem Benutzer die Ausführung von Transaktionen für Waren innerhalb einesbestimmten Preisbereichs ermöglicht.

Zertifikatswiderrufsliste (CRL)Eine digital unterzeichnete, mit Zeitmarken versehene Liste der Zertifikate, die vomZertifikatsaussteller (CA) widerrufen wurden. Die Zertifikate in dieser Liste solltenals nicht akzeptierbar behandelt werden.Siehe auchDigitales Zertifikat.

ZertifizierungDer Prozess, bei dem eine zuverlässige, an der Kommunikation nicht beteiligteStelle (der Zertifikatsaussteller - CA) einen elektronischen Identitätsnachweis aus-stellt, der für die Identität einer Person, eines Unternehmens oder einer Organisationbürgt.

ZielEine benannte oder ausgewählte Datenquelle.

Zugriffssteuerungsliste (ACL)Ein Verfahren, mit dem die Verwendung einer bestimmten Ressource auf berechtigteBenutzer beschränkt werden kann.


Glossar

Index

AAIX

Backup-Dienstprogramm 92Betriebssystemversion 27Boot-Werte 86, 111CD-ROM-Dateisystem 63cfguser, Benutzername 43, 90, 115Dateien prüfen 59Dateisysteme 61Datenträgergruppen 61Directory-Server installieren 67Hardwarekonfigurationen 30Host-Namensauflösung 63IBM 4758 PCI Cryptographic Coprocessor

installieren 77Installationsabschluss, Prüfliste 91Installationsrichtlinien 77Installationsübersicht 57Konfiguration 58Serverplattformen 27Sicherheitsaspekte 40Sichern 64Softwarevoraussetzungen 27Systemabbild 64Systembenutzer 63Überlegungen zur Firewall 41Zugriffssteuerung 41

AIX/6000, Betriebssystem 27Allgemeine Erweiterungen 25Anpassung

Regel-Exits 9Registrierungsdomäne 8Übersicht 126Zertifikatserweiterungen 25Zertifikatsprofile 8Zugriff 126

ArchitekturLDAP-Protokoll 20Objektspeicher 20

Architektur (Forts.)PKIX CMP-Protokoll 19

BBenutzerhandbuch

Übersicht 125Zugriff 125

Betriebssystemefür AIX-Server 27für NT-Server 27für Setup Wizard 31, 37

Bibliothek, Tivoli PKI-Website xiiBoot-Werte

unter AIX 86unter Windows NT 111

Browser-Zertifikate 6

CCD-ROM-Dateisystem 63CD-ROMs, Produkt 55CDSA 19cfgPostInstall, Programm 90cfguser, Benutzername 43, 90, 98, 115Chiffrieralgorithmen 54Client-Anwendung

Dokumentation 125installieren 78, 108Systemvoraussetzungen 32

Client-Authentifizierung 44Codeunterzeichnung 21Common Data Security Architecture

(CDSA) 19createconfig_start.sql, Datei 86, 111


Index

CRL 10

Ddatavg, Datenträgergruppe 61Dateisysteme

CD-ROM 63für den AIX-Server 61prüfen 59

Dateisysteme, unter AIX konfigurieren 61Datenbanken

CA-Daten 10Directory-Daten 15Installationsrichtlinien 64Prüfdaten 12Registrierungsdatum 5reservierte Namen 43Schlüssel sichern und wiederherstellen 17Systemvoraussetzungen 28Übersicht 14

Datenträgergruppen, unter AIX konfigurieren 61DB2

CA-Datenbank 10Datenverschlüsselung 22db2admin-Benutzer 99Directory-Datenbank 15Installation 65Prüfdatenbank 12reservierte Namen 43Systemvoraussetzungen 28unter AIX installieren 64, 65unter Windows NT installieren 99Vorteile 14

db2admin-Benutzer 99Definition von Plattenpartitionen unter AIX 61Directory-Administrator

DN-Eintrag 48Schlüsselspeicher (KeyStore) 22

Directory-Schema 47Directory-Server

CA-DN 48Directory-Administrator, registrierter

Name 48Konfiguration 46

Directory-Server(Forts.)Root-DN 48Schema 47Softwarevoraussetzungen 28Übersicht 15unter AIX installieren 67, 79unter Tivoli PKI verwenden 107unter Windows NT installieren 105, 109Zugriffssteuerung 48

DN, definiert 47DNS 45, 46Domestic Encryption Edition 54DOS-Umgebung 116

EEinschränkungen, Serverkonfiguration 53Erste Schritte

Konfiguration 119mit Anpassung 126RA-Verwaltung 123Registrierung 125Systemverwaltung 122Tivoli PKI 121

Exportierbarkeit, Chiffrieralgorithmen 54

FFirewall-Sicherheit 41FirstSecure

Integration mit dem Policy Director 51Planung und Integration 51

GGegenseitige Zertifizierung 11Größe von Plattenpartitionen unter AIX 61Gruppen von Datenträgern, unter AIX konfigurie-

ren 61


HHandbuchzielgruppe xiiHardware Security Model (HSM) 16Hardwarevoraussetzungen

IBM 4758 PCI Cryptographic Coproces-sor 28

Server, erforderlich 29Server, wahlfrei 28Setup Wizard 31

Hauptspeicher (Arbeitsspeicher)für AIX empfohlen 30für Windows NT empfohlen 30

Hierarchie, CA 11Hilfe

für die Registrierung 125für RA Desktop 124für Setup Wizard 120

Host-Namensauflösung, AIX 63Hostname, für TCP/IP angeben 59HSM-Einheit 16HTTP-Protokoll 44httpd.conf, Datei 90, 115HTTPS-Protokoll 44

IIBM 4758 PCI Cryptographic Coprocessor

CA-Schlüsselspeicher (KeyStore) 22CA-Unterstützung 11, 15installieren 50, 77Integration in den CA 49Konfiguration 49Speichern des CA-Schlüssels 50Systemvoraussetzungen 28Übersicht 15Verschlüsseln des CA-Schlüssels 49

IBM HTTP Serverunter AIX installieren 72unter Windows NT installieren 101, 102

ICL 10Informationen zu diesem Handbuch xiInstallation

AIX 58

Installation (Forts.)bestätigen, Windows NT-System 107Datenbanksoftware unter AIX 64, 65Datenbanksoftware unter Windows NT 99Directory-Server unter AIX 67Directory-Server unter Windows NT 105HTTP-Server unter Windows NT 102IBM 4758 PCI Cryptographic Coprocessor

unter AIX 50, 77JDK unter Windows NT 101Prüfliste für den Installationsabschluss,

AIX 91Prüfliste für den Installationsabschluss, Win-

dows NT 116Server-Komponenten unter AIX 77Server-Komponenten unter Windows

NT 108Web-Server unter AIX 72Web-Server unter Windows NT 101WebSphere Application Server unter AIX 72WebSphere Application Server unter Windows

NT 104Windows NT 96

Installationsabschluss, Konfigurations-programm 90, 115

Installationsplanungsprüfliste 34installp, Programm 79InstallShield, Server-Konfiguration 109Integritätsschutz

von CA-Sätzen 10von Prüfsätzen 13

International Encryption Edition 54IP-Aliasnamen

Beschreibung 44unter Windows NT definieren 105

IPSec-Zertifikate 6

JJava

unter AIX installieren 70JDK

erforderliche Version 28unter Windows NT installieren 101


Index

KKennwörter

für AIX-Server 27für NT-Server 27für Setup Wizard 31, 37

KeyWorks installieren 78Konfiguration

AIX-Dateisysteme 61AIX-Datenträgergruppen 61Boot-Werte unter Windows NT 86, 111Directory-Server 46DOS-Umgebungskonfiguration 116Firewalls 41Formular für die Datenerfassung 92, 116Server-Architektur 53Übersicht 119Übersicht über den Prozess 119unter AIX vorbereiten 91, 119unter Windows NT vorbereiten 116, 119Web-Server 44Zugriff 120

Konfigurationsdatenformular 92, 116Konfigurationsprogramm, Server-Software 109Konventionen xviKundenunterstützung xvi

LListe der ausgestellten Zertifikate (ICL) 10

MMACs

für CA-Sätze 10für Prüfsätze 13in Schlüsselspeichern (KeyStores) 22

Maschinentypenfür AIX empfohlen 30für Windows NT empfohlen 30

Masken für Prüfereignisse 12

Massenausstellung von ZertifikatenBeschreibung 18

MigrationBackup-Dienstprogramm unter AIX 92Backup-Dienstprogramm unter Windows

NT 117

NNachrichtenunterzeichnung 21Name, TCP/IP-Host angeben 59Netfinity-Server 29Netzsicherheit 40

OObjektspeicher 20Öffentlicher Web-Server 44

PPhysische Sicherheit 40PKCS #12-Datei wiederherstellen 17PKI, Definition 18PKIX, Definition 19PKIX CMP-Zertifikate 6Planungsprüfliste, Installation 34Plattenpartitionen

dbfsadt 62dbfsibm 62dbfskrb 62dbfspkrf 62für den AIX-Server 61

Plattenspeicherplatzfür AIX empfohlen 30für Windows NT empfohlen 30Größe, Richtlinien 29, 61

Policy Director 51Private Erweiterungen 25


Produktpaket 55Protokolle

HTTP 44HTTPS 44LDAP 20PKIX CMP 19SSL 44unter Tivoli PKI unterstützt 23

Prozessorenfür AIX empfohlen 30für Windows NT empfohlen 30

Prüfen des Hostnamens 59Prüfliste, Installationsplanung 34Prüflisten

Installationsabschluss unter AIX 91Installationsabschluss unter Windows

NT 116Prüfsubsystem

archivieren 13Datenbank 12Ereignismasken 12Integritätsprüfung 13MACs 13Schlüsselspeicher (KeyStore) 22Übersicht 12unter AIX installieren 79unter Windows NT installieren 109

RRA Desktop

Dokumentation 123Hilfe 124installieren 78, 108Registratoren hinzufügen 7Systemvoraussetzungen 32Übersicht 7, 123verwenden 123Zugriff 124

Regel-ExitsAnpassung 9Definition 6

Registratoren 7Registrierte Namen (DN), definiert 47

RegistrierungAnpassung 8Benachrichtigungsschreiben 6Browser-Formulare 5Regel-Exits 6Systemvoraussetzungen 32Übersicht 5Vorabregistrierung 6Zertifikatstypen 6

Registrierungsdatenbank 5Registrierungsdomäne

Anpassung 8Beschreibung 5Definition 4

RegistrierungsfunktionAnpassung 8Beschreibung 5

Registrierungsstelle (RA)Anpassung 8Client-Authentifizierung 44RA Desktop 7Regel-Exits 6Registrierung 5Übersicht 4unter AIX installieren 79unter Windows NT installieren 109Web-Server-Integration 13Zertifikatsprofile 6

Release-Informationen 27Reservierte Datenbanknamen 43Root-CA 11Root-DN-Eintrag 48rootvg, Datenträgergruppe 61RS/6000 29RS/6000-Server 29

SS/MIME-Zertifikate 6Schemaunterstützung 20Schlüsselspeicher (KeyStores) 22Schlüsselwiederherstellung 17Selbstunterzeichnetes CA-Zertifikat 11Seriennummern 10


Index

Server-Konfigurationen 53Server-Voraussetzungen

erforderliche Hardware 29erforderliche Software 27für AIX 30für Windows NT 30wahlfreie Hardware 28wahlfreie Software 28

Server-Zertifikate 6Setup Wizard

Dokumentation 119Hilfe 120Swing Library 31Systemvoraussetzungen 31Übersicht 119

Sicherer Web-Server 44Sicherheit

Firewalls 41physisch 40System 40

Sicherheitshierarchie 11Sicherung und Wiederherstellung, Schlüssel 17Sicherungsabbilder

AIX 64, 92NT 99, 117

SicherungsmodellCodeunterzeichnung 21Datenverschlüsselung 22Nachrichtenunterzeichnung 21Schlüsselspeicher (KeyStores) 22

SMIT, Programm 61, 79Softwarevoraussetzungen

Directory-Server 28IBM 4758 PCI Cryptographic Coproces-

sor 28JDK 28Produkt-CD-ROMs 55Server, erforderlich 27Server, wahlfrei 28Setup Wizard 31Verteilung 55Web-Browser für Setup Wizard 31, 37Web-Server 28

Sprachenproduktspezifische Unterschiede 54unterstützt 54

SSL-Protokoll 44SSL-Zertifikate 6Standards

unter Tivoli PKI unterstützt 23Verschlüsselung 23

Standardzertifikatserweiterungen 24Steuern des Server-Zugriffs 41Swing Library 31Systemabbild, konfigurieren 64Systemarchitektur

Diagramm 3Server-Konfigurationen 53

Systemdiagramm 3Systemgröße

für AIX empfohlen 30für Windows NT empfohlen 30Richtlinien 29

Systemschutz 40Systemverwaltung

Übersicht 122Zugriff 123

SystemvoraussetzungenBrowser-Registrierung 32DB2 28Directory 28Hardware, Server 29IBM 4758 PCI Cryptographic Coproces-

sor 28RA Desktop 32Setup Wizard 31Software, Server 27wahlfreie Hardware, Server 28wahlfreie Software, Server 28Web-Server-Software 28

Tta-backup, Dienstprogramm 92, 117TCP/IP-Hostname prüfen 59temp, Verzeichnis 96Tivoli

Kundenunterstützung xviWebinformationen zur Sicherheitsverwal-

tung xvii


Tivoli (Forts.)Websites für Sicherheitsprodukte xvii

Tivoli PKIWebinformationen xvii

Tivoli PKI-Konfiguration, Benutzer 98Tivoli PKI-System

Beschreibung 1Datenbanksystem 14Directory-Server 15Funktionen 1Haupt-Server 4IBM 4758 PCI Cryptographic Coproces-

sor 15Prüfsubsystem 12RA-Server 4Systemdiagramm 3unter AIX installieren 77unter Windows NT installieren 108Verschlüsselungsstandards 23Web-Server 13Zertifikatsaussteller-Server 10

UÜberblick

verwendete Konventionen xviÜberblick über die Vorgehensweise

AIX-Installation 57Windows NT-Installation 96

Unicode-Unterstützung 54Unterstützung, für Tivoli-Kunden xviUnterstützung in der Landessprache

Chiffrieralgorithmen 54Encryption Edition 54sprachenspezifische Unterschiede 54Übersicht 54

URL-AdressenIBM HTTP Server-Veröffentlichungen 46Tivoli PKI-Bibliothek, Web-Seite xiiTivoli PKI-Homepage xii

UTF-8-Verschlüsselung 54

VVeröffentlichungen

Anpassung 126Benutzerhandbuch 125Beschreibung xiiKonfiguration 119RA Desktop 123Systemverwaltung 122Tivoli-Sicherheitsprodukte xvii

Verschlüsselungsalgorithmen 54Vorabregistrierung

Browser-Registrierung 6Vorwort, Informationen xiVPN-Zertifikate 6

WWeb-Server

DNS 45HTTP-Protokoll 44HTTPS-Protokoll 44konfigurieren 44öffentlicher Host 44sichere Hosts 44Softwarevoraussetzungen 28SSL-Protokoll 44Übersicht 13unter AIX installieren 72unter Windows NT installieren 101Veröffentlichungen 46

Website fürInformationen zur Sicherheitsverwaltung x-

viiTivoli-Kundenunterstützung xviTivoli Public Key Infrastructure xviiTivoli-Sicherheitsprodukte xvii

WebSphere Application Serverunter AIX installieren 72unter Windows NT installieren 101, 104

WebSphere Application Server, Upgrade ausfüh-ren 75

Wiederherstellung, Schlüssel 17


Index

Windows NTBackup-Dienstprogramm 117Betriebssystemversion 27cfguser, Benutzername 43, 98Directory-Server installieren 105erforderliche Einstellungen 107Hardwarekonfigurationen 30Installationsabschluss, Prüfliste 116Installationsrichtlinien 108Installationsübersicht 96IP-Aliasnamen 105konfigurieren 96Serverplattformen 27Sicherheitsaspekte 40Softwarevoraussetzungen 27Überlegungen zur Firewall 41Zugriffssteuerung 41

XX.509v3-Zertifikate 24

ZZertifikate

Erweiterungen 25Massenausstellung 18selbst unterzeichnender CA 11Sicherheitshierarchie 11X.509v3-Unterstützung 24

Zertifikatsaussteller (CA)Datenbank 10DN-Eintrag 48gegenseitige Zertifizierung 11Hierarchie 11IBM 4758 PCI Cryptographic Coproces-

sor 11, 15Integration in den IBM 4758 PCI Cryptogra-

phic Coprocessor 49Liste der ausgestellten Zertifikate 10MACs 10

Zertifikatsaussteller (CA)(Forts.)Schlüsselspeicher (KeyStore) 22Schutz von Schlüsseln 49selbstunterzeichnetes Zertifikat 11Seriennummer 10Speichern des Schlüssels in Hardware 50Übersicht 10unter AIX installieren 79unter Windows NT installieren 109Zertifikatswiderrufsliste 10

Zertifikatserweiterungenallgemein 25Anpassung 25privat 25Standard 24unter Tivoli PKI 25

ZertifikatsprofileAnpassung 8Beschreibung 6

Zertifikatstypen 6Zertifikatswiderrufsliste (CRL) 10Zielgruppe xiiZugriffssteuerung

CA-Berechtigungen 48Directory-Administratorberechtigungen 48Directory-Berechtigungen 48Directory-Root-Berechtigung 48RA Desktop-Berechtigungen 7System 41


GC12-2916-01

Tivoli Public Key Infrastructure -...

Documents

Transcript of Tivoli Public Key Infrastructure -...