WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Certificados Digitais

Certificados fornecem uma maneira de autenticar usuários. Em vez de exigir que cada participante em um aplicativo autentique todos os usuários, a autenticação de terceiros confia no uso de certificados digitais.

Um certificado digital é equivalente a um RG eletrônico. O certificado tem duas finalidades:

Certificados são emitidos por terceiros confiáveis, chamados autoridades de certificação (CAs). Estas autoridades podem ser empreendimentos comerciais ou entidades locais, dependendo dos requisitos de seu aplicativo. A CA é confiável para autenticar adequadamente usuários antes de emitir certificados. Uma CA emite certificados com assinaturas digitais. Quando um usuário apresenta um certificado, o destinatário do certificado faz sua validação utilizando a assinatura digital. Se a assinatura digital validar o certificado, este é reconhecido como intacto e autêntico. Os participantes em um aplicativo precisam apenas validar certificados; eles não precisam autenticar usuários. O fato do usuário poder apresentar um certificado válido prova que o CA autenticou o usuário. A designação "terceiros confiáveis" indica que o sistema depende da fidelidade das CAs.

Os certificados e chaves privadas são armazenados em arquivos chamados keystores e truststores.

Conteúdo de um Certificado Digital

Um certificado contém várias partes de informações, incluindo informações sobre o proprietário do certificado, e o CA autenticador. Especificamente, um certificado inclui:
  • O nome distinto (DN) do proprietário. Um DN é um identificador exclusivo, um nome completo incluindo não apenas o nome comum (CN) do proprietário mas também a organização do proprietário e outras informações peculiares.
  • Chave pública do usuário.
  • A data em que o certificado foi emitido.
  • A data de expiração do certificado.
  • O nome distinto da CA emitente.
  • A assinatura digital do CA emissor. A função de compilação de mensagens cria uma assinatura com base em todos os campos listados anteriormente.

A ideia de um certificado é que uma CA use a chave pública do proprietário, assine a chave pública com sua chave privada e retorne as informações ao proprietário como um certificado. Quando o proprietário distribui o certificado para outra parte, ele assina o certificado com sua chave privada. O receptor pode extrair o certificado que contém a assinatura da CA com a chave pública do proprietário. Utilizando a chave pública da CA e a assinatura da CA no certificado extraído, o receptor pode validar a assinatura da CA. Se for válida, a chave pública utilizada para extrair o certificado será considerada confiável. A assinatura do proprietário é validada e, se a validação for bem-sucedida, o proprietário será autenticado com êxito para o receptor.

As informações adicionais em um certificado ajudam um aplicativo a determinar se considerará o certificado. Com a data de expiração, o aplicativo poderá determinar se o certificado ainda é válido. Como o nome da CA emissora, o aplicativo pode verificar se a CA é considerada confiável pelo site.

Um aplicativo que precisa autenticar-se deve fornecer seu certificado pessoal, aquele contendo sua chave pública, e o certificado da CA que assinou seu certificado, chamado de certificado de assinante. Em casos nos quais cadeias de confiança são estabelecidas, vários certificados de signatários podem estar envolvidos.

Pedido de certificados

Para obter um certificado, envie um pedido de certificado à CA. O pedido de certificado inclui:
  • O nome distinto do proprietário ou do usuário para quem o certificado é solicitado
  • A chave pública do proprietário
  • A assinatura digital do proprietário

A função do compilação de mensagens cria uma assinatura baseada em todos os campos listados anteriormente.

O CA verifica a assinatura com a chave pública no pedido para assegurar que o pedido esteja intacto e que seja autêntico. Em seguida, a CA autentica o proprietário. O conteúdo exato da autenticação depende de um acordo anterior entre o CA e a organização solicitadora. Se o proprietário no pedido for autenticado com êxito, a CA emitirá um certificado para esse proprietário.

Utilizando Certificados: Cadeia de Confiança e Certificado Auto-assinado

Para verificar a assinatura digital de um certificado, você deve ter a chave pública do CA emissor. As chaves públicas são distribuídas em certificados, portanto, você deve ter um certificado para a CA de emissão que é assinada pelo emissor. Um CA pode certificar outros CAs, para que uma cadeia de CAs possa emitir certificados para outros CAs, dos quais você precisa de todas as chaves públicas. Finalmente, você alcança uma CA raiz que emite a si própria um certificado auto-assinado. Para validar um certificado de usuário, você precisa de certificados para todos os participantes intermediários até a CA raiz. Você terá então as chaves públicas de que precisa para validar cada certificado, incluindo o certificado de usuário.

Um certificado auto-assinado contém a chave pública do emissor e é assinado com a chave privada. A assinatura digital é validada como qualquer outra e, se o certificado for válido, a chave pública que ele contém é utilizada para verificar a validade de outros certificados emitidos pela CA. No entanto, qualquer um pode gerar um certificado auto-assinado. De fato, você pode provavelmente gerar certificados auto-assinados para fins de teste antes de instalar certificados de produção. O fato de que um certificado autoassinado contém uma chave pública válida não significa que o emissor é uma autoridade de certificação confiável. Para assegurar que certificados autoassinados sejam gerados por CAs confiáveis, tais certificados devem ser distribuídos por meios seguros; por exemplo, entrega manual em discos flexíveis, download a partir de sites seguros, etc.

Os aplicativos que utilizam certificados armazenam estes certificados em um arquivo de armazenamento de certificados. Esse arquivo geralmente contém os certificados pessoais necessários, seus certificados de assinatura e sua chave privada. A chave privada é utilizada pelo aplicativo para criar assinaturas digitais. Os servidores sempre têm certificados pessoais em seus arquivos keystore. Um cliente requer certificado pessoal somente se o cliente precisar se autenticar para o servidor quando a autenticação mútua estiver ativada.

Para permitir que um cliente autentique um servidor, um arquivo keystore do servidor contém a chave privada e o certificado do servidor e os certificados de sua CA. Um arquivo de armazenamento confiável do cliente deve conter os certificados de assinante das CAs de cada servidor, os quais o cliente deve autenticar. O diagrama a seguir ilustra como um cliente autentica um servidor.

Este diagrama mostra como um cliente autentica um servidor e é descrito no texto precedente.

Se for necessária autenticação mútua, o arquivo keystore do cliente precisa conter a chave privada e o certificado do cliente. O arquivo truststore do servidor requer uma cópia do certificado da CA do cliente. O diagrama a seguir ilustra a autenticação mútua.

Este diagrama ilustra a autenticação mútua e está descrito no texto precedente.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:28:42


Tópico de ConceitoTópico de Conceito | Versão 8.0.0.5 | ac55140_