Para conduzir transações comerciais na Internet, recomendamos a aquisição de um certificado de servidor protegido de uma autoridade de certificação externa (CA) como VeriSign. Para obter uma lista de CAs suportados, consulte Autoridades de certificação.
Se você agir como sua própria CA, poderá assinar seus próprios pedidos de certificados ou qualquer outro. Esta é uma boa opção se você só precisar de certificados dentro de sua rede Web privada e não para comércio externo na Internet. Os clientes devem ter navegadores, como Netscape Navigator ou Microsoft Internet Explorer, que possam receber seu certificado CA e designar você como uma CA confiável.
Para agir como sua própria CA, é possível utilizar os utilitários de gerenciamento de chave do servidor (CA de IKEYMAN e HTTP Server) ou adquirir o software de autoridade de certificados de um provedor de CA.
Nota: | Se pretende administrar mais de 250 certificados, é necessário considerar a compra do software de um provedor de CA. Este limite é baseado no número de pedidos de certificados que podem ser armazenados no banco de dados de chaves CA. Após armazenar 250 pedidos de certificado, o desempenho do utilitário é muito lento. |
Antes de utilizar a CA do HTTP Server, você deve instalar o WebSphere Application Server como seu mecanismo de servlets.
Para obter instruções de instalação, consulte Início do WebSphere Application Server V2 Você também pode acessar este manual e outras documentações do Application Server indo até o site Web do WebSphere Application Server.
Para que os certificados de clientes sejam transferidos por donwload corretamente, devem ser incluídas as seguintes diretrizes AddType e tipos MIME no arquivo de configuração do servidor:
AddType .cer application/x-x509-user-cert 7bit 0.5 #Certificado do usuário AddType .der application/x-x509-ca-cert binary 1.0 #Certificado CA do navegador
Estes tipos MIME estão incluídos no arquivo de configuração do servidor padrão.
Antes de utilizar o utilitário CA, crie seu servidor e bancos de dados de chaves CA, certificado do servidor e certificado CA auto-assinado através de IKEYMAN. Para instruções, consulte Criação de um certificado auto-assinado.
Nota: | Como Administrador, você pode optar por ter os pedidos de certificados CA processados automaticamente após serem submetidos. O processamento automático elimina a necessidade de processar manualmente cada pedido de certificado. Se você quiser processamento automático, crie um arquivo stash para a senha do banco de dados de chaves CA quando configurá-lo através de IKEYMAN. |
Após criar o banco de dados de chaves CA e o certificado CA auto-assinado, copie o arquivo cakey.kdb para dentro do diretório de utilitários CA.
Você pode escolher armazenar opcionalmente a senha criptografada do banco de dados de chaves CA em um arquivo stash. Se o arquivo stash estiver no mesmo diretório que o arquivo do banco de dados de chaves CA (cakey.kdb), todos os certificados que foram enviados para assinatura pelo utilitário CA serão aprovados automaticamente. Se você criar um arquivo stash (cakey.sth), copie-o no mesmo diretório que o arquivo cakey.kdb.
O arquivo cakey.kdb no servidor deve ser exportado para o utilitário CA em um formato que possa ser utilizado por clientes e servidores. Para obter instruções detalhadas, consulte Exportação do banco de dados de chaves CA.
Para acessar o utilitário CA a partir do HTTP Server, vá para a URL:
http://nome.do.servidor/CAServlet/Welcome.html
Sua função como CA é verificar se um certificado deve ser emitido para um cliente ou um servidor. Você precisa ter certeza de que a pessoa que está fazendo o pedido possua uma reivindicação legítima para pedir o certificado. Após verificar a reivindicação da pessoa, você pode criar certificados assinados com a CA do HTTP Server.
A entrada para este processo é um pedido de certificado do cliente ou do servidor. A saída será um certificado assinado com sua chave privada.
Depois de você processar o certificado do cliente ou do servidor:
Depois de concluir estas etapas, o cliente ou o servidor podem utilizar seu certificado assinado por CA para comunicar-se com segurança com outros Servidores HTTP e navegadores Web em sua rede Web privada.
Utilize estas etapas para exportar o banco de dados de chaves CA (cakey.kdb) no servidor em um formato que possa ser utilizado por navegadores e servidores. Não é necessário repetir estas etapas após a configuração inicial da autoridade de certificados.
Nota: | O arquivo cakey.kdb deve ser criado através de IKEYMAN antes que o utilitário CA possa ser utilizado. Para instruções, consulte Criação de um certificado auto-assinado. |
Para exportar o arquivo do banco de dados de chaves CA para navegadores e servidores:
http://nome.do.servidor/CAServlet/Welcome.html
Observações:
Para processar pedidos de certificado de navegadores e de servidores:
http://nome.do.servidor/CAServlet/Welcome.html
Se houver pedidos em espera:
Você pode agir em um pedido ou em múltiplos pedidos.
Para obter instruções mais detalhadas, clique em Ajuda.
Antes de aceitar um certificado do navegador assinado pela CA do HTTP Server, você deve fazer primeiro o download do certificado CA que identifica a CA do HTTP Server como uma autoridade de certificado confiável do seu navegador.
Para fazer o download de um certificado CA:
http://nome.do.servidor/CAServlet/Welcome.html
Após fazer o download do certificado CA, atribua o certificado como confiável pelo seu navegador e marque-o como padrão no banco de dados de chaves operacional. Uma vez designado como confiável por seu navegador, não é necessário executar este procedimento novamente.
Utilize as etapas a seguir para solicitar um certificado do navegador pela CA de sua rede privada:
http://nome.do.servidor/CAServlet/Welcome.html
Dependendo da configuração do Administrador, o pedido será aprovado automaticamente ou após a revisão pelo Administrador. Se ocorrer a aprovação automática, você não receberá nenhuma mensagem confirmando se o pedido foi aprovado. Você pode ir diretamente para Recepção de um certificado aprovado do navegador e concluir esse procedimento.
Se o Administrador possuir aprovação manual configurada, você receberá uma mensagem confirmando que o pedido do certificado foi aceito. Verifique com o Administrador para determinar quando a aprovação será processada. Os certificados aprovados são enviados para o diretório de banco de dados da CA do HTTP Server.
Antes de receber um certificado aprovado do navegador, você deve fazer download do certificado de CA (cakey.der). Para obter instruções, consulte Download de um certificado CA em um navegador da Web.
Utilize as seguintes etapas para receber um certificado aprovado do navegador assinado por CA:
http://nome.do.servidor/CAServlet/Welcome.html
Nota: | Se receber uma mensagem informando que nenhum registro foi encontrado, é possível que tenha digitado o nome comum incorretamente. Se esqueceu o Nome Comum fornecido, verifique com seu Administrador. |
Nota: | Se receber uma mensagem informando que nenhum registro foi encontrado, é possível que tenha digitado a senha incorretamente. Se esqueceu sua senha, verifique com seu Administrador. |
Se não encontrado, verifique com o Administrador de CA para descobrir quando o certificado será processado.
Antes de processar qualquer certificado assinado da CA de HTTP em outro servidor Web, você deve primeiro armazenar o certificado CA do HTTP Server no banco de dados de chaves operacional do servidor Web de destino.
Para carregar um certificado CA em outro servidor:
http://nome.do.servidor/CAServlet/Welcome.html
Utilize as etapas a seguir para solicitar um certificado do servidor a partir da CA de sua rede privada:
http://nome.do.servidor/CAServlet/Welcome.html
Utilize-o para enviar um pedido de certificado do servidor à CA de sua rede privada para que este HTTP Server seja de confiança dos navegadores e outros HTTP Servers na rede. Se houver outros servidores Web em sua rede, será possível executar esta tarefa em nome dos servidores Web remotos.
PERGUNTA: COMO PESQUISAR ESTE ARQUIVO NA ESTAÇÃO DE TRABALHO?Quando o arquivo *.arm estiver exibido em sua tela, copie seu conteúdo para a área de transferência. Em seguida, vá para o navegador da Web e cole este arquivo na seção do formulário que indica: Copie os pedidos do certificado na seguinte área. Você deve colar o arquivo de pedido de certificado operacional (*.arm) neste espaço. Este é o arquivo que é enviado à CA do HTTP para ser assinado.
Se o Administrador de CA possuir aprovação manual configurada, você receberá uma mensagem no navegador confirmando que o pedido do certificado foi aceito.
Antes de receber um certificado aprovado do servidor, você deve carregar o certificado de CA (cakey.txt). Para obter instruções, consulte Download de um certificado CA para outro servidor.
Utilize as seguintes etapas para receber um certificado aprovado do servidor assinado por CA:
http://nome.do.servidor/CAServlet/Welcome.html
Nota: | Se receber uma mensagem informando que nenhum registro foi encontrado, é possível que tenha digitado o nome do servidor incorretamente. Se esqueceu o Nome do Servidor fornecido, verifique com seu Administrador. |
Nota: | Se receber uma mensagem informando que nenhum registro foi encontrado, é possível que tenha digitado a senha incorretamente. Se esqueceu sua senha, verifique com seu Administrador. |
Se não encontrado, verifique com o Administrador de CA para descobrir quando o certificado será processado.
Observações:
Quando designado como servidor Web financeiro ou bancário, a edição norte-americana do HTTP Server pode explorar os recursos reforçados de criptografia em versões nacionais e internacionais do Netscape Navigator 4.x e do Microsoft Internet Explorer 4.x. Para utilizar esta função, você deve adquirir um certificado digital especial da VeriSign chamado Global Server ID.
Para transações normais na web, os navegadores de exportação Netscape e Microsoft podem utilizar criptografia de 40 bits somente para transações com o Secure Sockets Layer (SSL). No entanto, quando o servidor usa um ID do VeriSign Global Server para seu certificado SSL, os navegadores de exportação podem utilizar níveis mais reforçados de criptografia de 128 bits ou acima disso. Isto permite que um servidor com um ID do Global Server comunique-se com o nível mais alto de criptografia de SSL com versões nacional e internacional dos navegadores Netscape e Microsoft.
Os clientes da área financeira e bancária internacional do HTTP Server que desejam utilizar esta função devem entrar em contato com a IBM para uma licença de exportação para obter e utilizar a edição norte-americana do HTTP Server.
Para que um navegador de exportação estabeleça uma conexão SSL utilizando a criptografia de 128 bits:
Tabela 2. Requisitos do navegador da ID do servidor Global
Navegador | Nacional | Exportação |
---|---|---|
Netscape Navigator | Todas as versões funcionam quando os requisitos relacionados em Requisitos de Certificado e URL são atendidos. | A versão 4.04 é a única que suporta criptografia de 128 bits. |
Internet Explorer | Todas as versões funcionam quando os requisitos relacionados em Requisitos de Certificado e URL são atendidos. | A versão 4.0, atualização 4.72.3110.8, é a única que suporta criptografia de 128 bits. Para verificar o número de atualização, clique em Ajuda, em seguida, sobre Internet Explorer. |
Para obter as informações mais atuais sobre suporte de criptografia e requisitos de navegador, consulte o site na Web do HTTP Server.