Per trattare affari commerciali su Internet, è preferibile acquistare un certificato server da un'autorità di certificazione (CA) esterna, ad esempio VeriSign. Per un elenco di CA supportate, consultare la sezione Autorità di certificazione.
Se si agisce come CA, è possibile firmare la propria richiesta di certificato o quella di altri utenti. Questa scelta è valida se i certificati sono necessari solo all'interno della rete Web privata e non per trattative su Internet. E' necessario che i client dispongano di un browser, ad esempio Netscape Navigator o Microsoft Internet Explorer, che siano in grado di ricevere il certificato CA e che identifichino il creatore di tale certificato come una CA sicura.
Per agire come CA, è possibile utilizzare i programmi di utilità per la gestione delle chiavi del server (IKEYMAN e CA HTTP Server) oppure acquistare un software di autorità di certificazione da un fornitore CA.
Nota: | L'acquisto di un software è consigliabile se si desidera gestire più di 250 certificati. Tale limite si basa sul numero di richieste di certificati che possono essere memorizzate in un database di chiavi CA. Dopo aver memorizzato 250 richieste di certificato, il programma di utilità verrà eseguito molto lentamente. |
Prima di utilizzare HTTP Server CA, è necessario installare WebSphere Application Server come motore servlet.
Per le istruzione sull'installazione, consultare la pubblicazione WebSphere Application Server - Introduzione - V2. E' possibile accedere a questa pubblicazione e ad altra documentazione relativa ad Application Server dal sito Web WebSphere Application Server.
Affinché i certificati del client siano scaricati in modo corretto, è necessario aggiungere le seguenti istruzioni AddType e tipi MIME al file di configurazione del server:
AddType .cer application/x-x509-user-cert 7bit 0.5 #User certificate AddType .der application/x-x509-ca-cert binary 1.0 #Browser CA certificate
Questi tipi MIME sono inclusi nel file di configurazione del server predefinito.
Prima di utilizzare il programma di utilità CA, creare il database di chiavi CA e il database di chiavi del server, il certificato server e l'autocertificazione CA con IKEYMAN. Per le istruzioni, vedere Creazione di un'autocertificazione.
Nota: | In qualità di Amministratore, è possibile scegliere che le richieste di certificato vengano elaborate automaticamente dopo la consegna. Grazie all'elaborazione automatica non è più necessario elaborare manualmente ciascuna richiesta di certificato. Se si desidera avviare l'elaborazione automatica, durante l'impostazione del database di chiavi CA effettuata utilizzando IKEYMAN, creare un file stash per la password del database. |
Dopo aver creato il database di chiavi CA e l'autocertificazione CA, copiare il file cakey.kdb nella directory del programma di utilità CA.
E' possibile memorizzare la password codificata del database di chiavi in un file stash. Se questo file è contenuto nella stessa directory in cui è ubicato il file di database di chiavi CA (cakey.kdb), tutti i certificati inviati per essere firmati dal programma di utilità CA, verranno approvati automaticamente. Se si crea un file stash (cakey.sth), copiare il file nella stessa directory del file cakey.kdb.
E' necessario esportare il file cakey.kdb presente sul server nel programma di utilità CA in un formato utilizzabile dai client e dai server. Per istruzioni più dettagliate, consultare la sezione Esportazione del database di chiavi CA.
Per accedere al programma di utilità HTTP Server CA, andare all'URL:
http://your.server.name/CAServlet/Welcome.html
L'attività di una CA consiste nello stabilire la necessità di emettere un certificato per un client o per un server. E' necessario verificare che la persona che effettua la richiesta, abbia i requisiti necessari per ottenerla. Dopo aver controllato tali requisiti, è possibile creare il certificato firmato mediante HTTP Server CA.
L'input di questo processo è costituito da una richiesta di certificato da un client o da un server. L'output sarà un certificato firmato con la propria chiave privata.
Dopo aver elaborato il certificato client o del server:
Dopo aver completato queste operazioni, il client o il server sarà in grado di utilizzare il rispettivo certificato CA firmato per comunicare in modo sicuro con altri HTTP Server e browser Web nella rete Web privata.
Effettuare le operazioni riportate di seguito per esportare il database di chiavi CA (cakey.kdb) presente sul server in un formato utilizzabile dai browser e dai server. Non sarà necessario ripetere tali operazioni dopo aver eseguito l'impostazione iniziale dell'autorità di certificazione.
Nota: | Prima di utilizzare il programma di utilità CA, è necessario creare il file cakey.kdb mediante IKEYMAN.Per le istruzioni, vedere Creazione di un'autocertificazione. |
Per esportare il file di database di chiavi CA per i browser e i server, procedere come segue:
http://your.server.name/CAServlet/Welcome.html
Note:
Per elaborare le richieste di certificato da browser e server:
http://your.server.name/CAServlet/Welcome.html
Se sono presenti richieste in attesa, procedere come segue:
E' possibile elaborare una o più richieste.
Per istruzioni più dettagliate, fare clic su Help.
Prima di accettare un certificato del browser firmato da HTTP Server CA, è necessario, innanzitutto, scaricare il certificato CA che identifica HTTP Server CA come autorità di certificazione sicura sul browser utilizzato.
Per scaricare un certificato CA procedere come segue:
http://your.server.name/CAServlet/Welcome.html
Dopo aver scaricato il certificato CA, indicare il certificato come sicuro sul browser utilizzato e contrassegnare il certificato come predefinito nel database di chiavi operativo. Dopo aver indicato il certificato CA come CA sicura sul browser, non sarà necessario ripetere ulteriormente l'operazione.
Procedere come indicato di seguito per richiedere un certificato del browser dalla CA della rete privata utilizzata:
http://your.server.name/CAServlet/Welcome.html
In base all'impostazione effettuata dall'amministratore, la richiesta sarà approvata automaticamente oppure dopo una verifica dello stesso Amministratore. Se la richiesta viene approvata automaticamente, non sarà visualizzato alcun messaggio di conferma dell'approvazione della richiesta. E' possibile passare direttamente alla sezione Ricezione di un certificato del browser approvato e completare le operazioni.
Se l'amministratore ha deciso di approvare manualmente le richieste di certificato, verrà ricevuto un messaggio in cui viene indicato che la richiesta è stata approvata. Rivolgersi all'amministratore per stabilire quando l'approvazione sarà elaborata. I certificati approvati saranno inviati direttamente alla directory del database HTTP Server CA.
Prima di ricevere un certificato del browser approvato, è necessario scaricare il certificato CA (cakey.der). Per le istruzioni, consultare la sezione Scaricamento di un certificato CA in un browser Web.
Per ricevere un certificato del browser firmato da una CA, procedere come segue:
http://your.server.name/CAServlet/Welcome.html
Nota: | Se viene visualizzato un messaggio che indica che non è possibile individuare il nome specificato, è probabile che il nome immesso non sia corretto. Se non si ricorda il nome specificato nel modulo, rivolgersi all'amministratore. |
Nota: | Se viene visualizzato un messaggio che indica che non è possibile individuare la password specificata, è probabile che la password immessa non sia corretta. Se non si ricorda la password specificata nel modulo, rivolgersi all'amministratore. |
Nel caso in cui il certificato non venga individuato, rivolgersi all'amministratore delle CA per sapere quando questo verrà elaborato.
Prima di elaborare eventuali certificati CA firmati da HTTP Server CA su un altro server Web, è necessario memorizzare il proprio certificato HTTP Server CA nel database di chiavi operativo del server Web di destinazione.
Per scaricare un certificato CA per un altro server:
http://your.server.name/CAServlet/Welcome.html
Procedere come indicato di seguito per richiedere un certificato server dalla CA della rete privata utilizzata:
http://your.server.name/CAServlet/Welcome.html
Utilizzare tale modulo per inviare una richiesta di certificato server alla CA della rete privata in modo che HTTP Server sarà riconosciuto come sicuro dagli altri browser e HTTP Server presenti nella rete. Se nella rete sono presenti altri server Web, è possibile eseguire questa attività al posto del server Web remoto.
RICERCA DEL FILE SULLA STAZIONE DI LAVOROQuando viene visualizzato il file *.arm, copiarne il contenuto negli appunti. Quindi, passare al browser Web ed incollare il file nella sezione del modulo Please copy your certificate requests into the following area. Incollare in quest'area il file di richiesta di certificato operativo (*.arm). Questo file sarà inviato alla HTTP Server CA per l'approvazione.
Se l'amministratore delle CA ha deciso di approvare manualmente le richieste di certificato, verrà ricevuto un messaggio sul browser in cui viene indicato che la richiesta è stata approvata.
Prima di ricevere un certificato server approvato, è necessario scaricare il certificato CA (cakey.txt). Per le istruzioni, consultare la sezione Scaricamento di un certificato CA per un altro server.
Per ricevere un certificato server firmato da una CA, procedere come segue:
http://your.server.name/CAServlet/Welcome.html
Nota: | Se viene visualizzato un messaggio che indica che non è possibile individuare il nome specificato, è probabile che il nome del server immesso non sia corretto. Se non si ricorda il nome del server specificato nel modulo, rivolgersi all'amministratore. |
Nota: | Se viene visualizzato un messaggio che indica che non è possibile individuare la password specificata, è probabile che la password immessa non sia corretta. Se non si ricorda la password specificata nel modulo, rivolgersi all'amministratore. |
Nel caso in cui il certificato non venga individuato, rivolgersi all'amministratore delle CA per sapere quando questo verrà elaborato.
Note:
Se indicato come server di enti finanziari o bancari, l'edizione nord americana di HTTP Server può usufruire delle alte potenzialità di codifica delle versioni nazionali e internazionali di Netscape Navigator 4.x e Microsoft Internet Explorer 4.x. Per utilizzare questa funzione, è necessario acquistare un certificato digitale particolare da VeriSign, chiamato Global Server ID.
Per transazioni Web regolari, i browser per l'esportazione Netscape e Microsoft possono utilizzare la codifica a 40 bit solo per le transazioni SSL (Secure Sockets Layer). Tuttavia, se il server utilizza un ID VeriSign Global Server per il certificato, i browser per l'esportazione possono utilizzare livelli di codifica di 128 bit o superiori. In questo modo un server che dispone di un ID Global Server sarà in grado di comunicare al livello di codifica SSL superiore con le versioni sia nazionali che internazionali dei browser Netscape e Microsoft.
I clienti degli enti finanziari e bancari di HTTP Server che desiderano utilizzare questa funzione, possono rivolgersi all'IBM per ottenere la licenza relativa all'utilizzo dell'edizione nord americana di HTTP Server.
Affinché un browser di esportazione stabilisca una connessione SSL mediante una codifica a 128 bit, procedere come segue:
Tabella 2. Requisiti del browser dell'ID Global
server
Browser | Nazionale | Di esportazione |
---|---|---|
Netscape Navigator | Tutte le funzioni funzionano se vengono rilevati tutti i requisiti elencati nella sezione Requisiti per i certificati e per l'URL. | La versione 4.04 è l'unica che supporta la codifica a 128 bit |
Internet Explorer | Tutte le funzioni funzionano se vengono rilevati tutti i requisiti elencati nella sezione Requisiti per i certificati e per l'URL. | La versione 4.0, con aggiornamento 4.72.3110.8, è l'unica che supporta la codifica a 128 bit. Per controllare il numero di aggiornamento, fare clic su Guida, quindi su Informazioni su Internet Explorer. |
Per le informazioni più aggiornate sul supporto di codifica e sui requisiti del browser, consultare il sito Web HTTP Server.