Utilização do utilitário CA do Servidor HTTP

  • Visão Geral de opções de autoridade do certificado
  • Antes de começar
  • Instale o WebSphere Application Server
  • Assegure que os tipos MIME requeridos estejam no arquivo de configuração do servidor
  • Crie bancos de dados de chaves e certificados utilizando IKEYMAN
  • Copie o banco de dados de chaves CA e certificados no diretório do utilitário CA
  • Exporte o banco de dados de chaves CA no utilitário CA
  • Acesso do utilitário CA a partir do HTTP Server
  • Utilização do utilitário CA do Servidor HTTP para processar certificados do cliente e do servidor
  • Visão geral do processo CA
  • Tarefas do Administrador
  • Exportação do banco de dados de chaves CA
  • Processo de um pedido de certificado
  • Tarefas do usuário
  • Download de um certificado CA em um navegador da Web
  • Pedido de um certificado do navegador
  • Recepção de um certificado aprovado do navegador
  • Tarefas do Webmaster
  • Download de um certificado CA para outro servidor
  • Solicitação de um certificado do servidor
  • Recepção de um certificado aprovado do servidor
  • Informações Relacionadas
  • Visão Geral de opções de autoridade do certificado

    Para conduzir transações comerciais na Internet, recomendamos a aquisição de um certificado de servidor protegido de uma autoridade de certificação externa (CA) como VeriSign. Para obter uma lista de CAs suportados, consulte Autoridades de certificação.

    Se você agir como sua própria CA, poderá assinar seus próprios pedidos de certificados ou qualquer outro. Esta é uma boa opção se você só precisar de certificados dentro de sua rede Web privada e não para comércio externo na Internet. Os clientes devem ter navegadores, como Netscape Navigator ou Microsoft Internet Explorer, que possam receber seu certificado CA e designar você como uma CA confiável.

    Para agir como sua própria CA, é possível utilizar os utilitários de gerenciamento de chave do servidor (CA de IKEYMAN e HTTP Server) ou adquirir o software de autoridade de certificados de um provedor de CA.

    Nota: Se pretende administrar mais de 250 certificados, é necessário considerar a compra do software de um provedor de CA. Este limite é baseado no número de pedidos de certificados que podem ser armazenados no banco de dados de chaves CA. Após armazenar 250 pedidos de certificado, o desempenho do utilitário é muito lento.

    Antes de começar

    Instale o WebSphere Application Server

    Antes de utilizar a CA do HTTP Server, você deve instalar o WebSphere Application Server como seu mecanismo de servlets.

    Para obter instruções de instalação, consulte Início do WebSphere Application Server V2 Você também pode acessar este manual e outras documentações do Application Server indo até o site Web do WebSphere Application Server.

    Assegure que os tipos MIME requeridos estejam no arquivo de configuração do servidor

    Para que os certificados de clientes sejam transferidos por donwload corretamente, devem ser incluídas as seguintes diretrizes AddType e tipos MIME no arquivo de configuração do servidor:

    AddType .cer application/x-x509-user-cert 7bit   0.5 #Certificado do usuário
    AddType .der application/x-x509-ca-cert   binary 1.0 #Certificado CA do navegador
    

    Estes tipos MIME estão incluídos no arquivo de configuração do servidor padrão.

    Crie bancos de dados de chaves e certificados utilizando IKEYMAN

    Antes de utilizar o utilitário CA, crie seu servidor e bancos de dados de chaves CA, certificado do servidor e certificado CA auto-assinado através de IKEYMAN. Para instruções, consulte Criação de um certificado auto-assinado.

    Nota: Como Administrador, você pode optar por ter os pedidos de certificados CA processados automaticamente após serem submetidos. O processamento automático elimina a necessidade de processar manualmente cada pedido de certificado. Se você quiser processamento automático, crie um arquivo stash para a senha do banco de dados de chaves CA quando configurá-lo através de IKEYMAN.

    Copie o banco de dados de chaves CA e certificados no diretório do utilitário CA

    Após criar o banco de dados de chaves CA e o certificado CA auto-assinado, copie o arquivo cakey.kdb para dentro do diretório de utilitários CA.

    Você pode escolher armazenar opcionalmente a senha criptografada do banco de dados de chaves CA em um arquivo stash. Se o arquivo stash estiver no mesmo diretório que o arquivo do banco de dados de chaves CA (cakey.kdb), todos os certificados que foram enviados para assinatura pelo utilitário CA serão aprovados automaticamente. Se você criar um arquivo stash (cakey.sth), copie-o no mesmo diretório que o arquivo cakey.kdb.

    Exporte o banco de dados de chaves CA para o utilitário CA

    O arquivo cakey.kdb no servidor deve ser exportado para o utilitário CA em um formato que possa ser utilizado por clientes e servidores. Para obter instruções detalhadas, consulte Exportação do banco de dados de chaves CA.

    Acesso do utilitário CA a partir do HTTP Server

    Para acessar o utilitário CA a partir do HTTP Server, vá para a URL:

     http://nome.do.servidor/CAServlet/Welcome.html
    

    Utilização do CA do HTTP Server para processar certificados do cliente e do servidor

    Visão geral do processo CA

    Sua função como CA é verificar se um certificado deve ser emitido para um cliente ou um servidor. Você precisa ter certeza de que a pessoa que está fazendo o pedido possua uma reivindicação legítima para pedir o certificado. Após verificar a reivindicação da pessoa, você pode criar certificados assinados com a CA do HTTP Server.

    A entrada para este processo é um pedido de certificado do cliente ou do servidor. A saída será um certificado assinado com sua chave privada.

    Depois de você processar o certificado do cliente ou do servidor:

    1. Você notificará o cliente ou o servidor para fazer o download do certificado de CA. Etapas detalhadas são mostradas em Download de um certificado CA em um navegador da Web e Download de um certificado CA para outro servidor.

    2. Você notificará o cliente ou o servidor para fazer o download do certificado que você assinou (certificado assinado por CA) e recebê-lo no banco de dados de chaves operacional do cliente ou servidor. Etapas detalhadas são mostradas em Recepção de um certificado de navegador aprovado e Recepção de um certificado de servidor aprovado.

    Depois de concluir estas etapas, o cliente ou o servidor podem utilizar seu certificado assinado por CA para comunicar-se com segurança com outros Servidores HTTP e navegadores Web em sua rede Web privada.

    Tarefas do Administrador

    Exportação do banco de dados de chaves CA

    Utilize estas etapas para exportar o banco de dados de chaves CA (cakey.kdb) no servidor em um formato que possa ser utilizado por navegadores e servidores. Não é necessário repetir estas etapas após a configuração inicial da autoridade de certificados.

    Nota: O arquivo cakey.kdb deve ser criado através de IKEYMAN antes que o utilitário CA possa ser utilizado. Para instruções, consulte Criação de um certificado auto-assinado.

    Para exportar o arquivo do banco de dados de chaves CA para navegadores e servidores:

    1. Vá para a URL:
      http://nome.do.servidor/CAServlet/Welcome.html
      

    2. Na Primeira Página do utilitário, clique em Administração para acessar a página Tarefas de Administração.

    3. Selecione Exportar chaves CA para navegadores e forneça sua senha de banco de dados de chaves CA.

    4. Clique em Processar Agora. É criado um arquivo chamado cakey.der. Você receberá uma mensagem confirmando que a chave CA foi exportada com sucesso.

    5. Na página Tarefas de Administração, selecione Exportar chaves CA para servidores e forneça sua senha de banco de dados de chaves CA.

    6. Clique em Processar Agora. É criado um arquivo chamado cakey.txt. Você receberá uma mensagem confirmando que a chave CA foi exportada com sucesso.

    Processo de um pedido de certificado

    Observações:

    1. Se você criou um arquivo stash para a senha do banco de dados de chaves CA (cakey.sth), todos os pedidos do navegador e do servidor serão aprovados automaticamente.

    2. Assegure que os pedidos de certificado sejam processados em uma conexão protegida.

    Para processar pedidos de certificado de navegadores e de servidores:

    1. Vá para a URL:
      http://nome.do.servidor/CAServlet/Welcome.html
      

    2. Na Primeira Página do utilitário, clique em Administração para acessar a página Tarefas de Administração.

    3. Selecione Processar pedidos pendentes ou Processar todos os pedidos, em seguida, clique em Processar Agora.

      Se houver pedidos em espera:

      Você pode agir em um pedido ou em múltiplos pedidos.

    4. Clique em Processar. Você receberá uma mensagem confirmando que o banco de dados de certificado foi atualizado com sucesso.

    Para obter instruções mais detalhadas, clique em Ajuda.

    Tarefas do usuário

    Download de um certificado CA em um navegador da Web

    Antes de aceitar um certificado do navegador assinado pela CA do HTTP Server, você deve fazer primeiro o download do certificado CA que identifica a CA do HTTP Server como uma autoridade de certificado confiável do seu navegador.

    Para fazer o download de um certificado CA:

    1. Vá para a URL:
      http://nome.do.servidor/CAServlet/Welcome.html
      

    2. Em Certificados do Navegador, clique em Fazer o download do certificado CA a partir do servidor Web.

    3. Siga as instruções para fazer o download do arquivo cakey.der em sua estação de trabalho.

    Após fazer o download do certificado CA, atribua o certificado como confiável pelo seu navegador e marque-o como padrão no banco de dados de chaves operacional. Uma vez designado como confiável por seu navegador, não é necessário executar este procedimento novamente.

    Pedido de um certificado do navegador

    Utilize as etapas a seguir para solicitar um certificado do navegador pela CA de sua rede privada:

    1. Vá para a URL:
      http://nome.do.servidor/CAServlet/Welcome.html
      

    2. Em Certificados do Navegador, clique em Solicitar um certificado do navegador.

    3. No campo Nome Comum, especifique um nome de sua escolha. Anote este nome porque precisará dele mais tarde quando receber o certificado assinado.

    4. Digite sua senha no campo Frase de Desafio. Será necessário especificar esta senha mais tarde quando você carregar o certificado aprovado.

    5. Preencha todos os campos necessários. Para obter informações adicionais, clique em Ajuda.

    6. Clique em Enviar Pedidos para enviar o formulário preenchido à CA para aprovação. O processo de gerar uma chave privada será iniciado em seu navegador. Esta chave privada será utilizada com o certificado que você estiver solicitando.

    7. Clique em OK no navegador para criar a chave privada.

    Dependendo da configuração do Administrador, o pedido será aprovado automaticamente ou após a revisão pelo Administrador. Se ocorrer a aprovação automática, você não receberá nenhuma mensagem confirmando se o pedido foi aprovado. Você pode ir diretamente para Recepção de um certificado aprovado do navegador e concluir esse procedimento.

    Se o Administrador possuir aprovação manual configurada, você receberá uma mensagem confirmando que o pedido do certificado foi aceito. Verifique com o Administrador para determinar quando a aprovação será processada. Os certificados aprovados são enviados para o diretório de banco de dados da CA do HTTP Server.

    Recepção de um certificado aprovado do navegador

    Antes de receber um certificado aprovado do navegador, você deve fazer download do certificado de CA (cakey.der). Para obter instruções, consulte Download de um certificado CA em um navegador da Web.

    Utilize as seguintes etapas para receber um certificado aprovado do navegador assinado por CA:

    1. Vá para a URL:
      http://nome.do.servidor/CAServlet/Welcome.html
      

    2. Em Certificados do Navegador, clique em Receber o certificado aprovado.

    3. Digite o Nome Comum especificado no formulário de pedido do certificado.
      Nota: Se receber uma mensagem informando que nenhum registro foi encontrado, é possível que tenha digitado o nome comum incorretamente. Se esqueceu o Nome Comum fornecido, verifique com seu Administrador.

    4. Digite a senha no campo Frase de Desafio, em seguida, clique em Enviar Pedido.
      Nota: Se receber uma mensagem informando que nenhum registro foi encontrado, é possível que tenha digitado a senha incorretamente. Se esqueceu sua senha, verifique com seu Administrador.

    5. Se o certificado for encontrado, a página Download do Certificado será exibida e você poderá fazer o download do certificado. Para iniciar o processo de download, clique em Clicar aqui para fazer download seu certificado.

      Se não encontrado, verifique com o Administrador de CA para descobrir quando o certificado será processado.

    6. Após receber o certificado aprovado, seu navegador será aceito por outros clientes e servidores em sua rede privada.

    Tarefas do webmaster

    Download de um certificado de CA para outro servidor

    Antes de processar qualquer certificado assinado da CA de HTTP em outro servidor Web, você deve primeiro armazenar o certificado CA do HTTP Server no banco de dados de chaves operacional do servidor Web de destino.

    Para carregar um certificado CA em outro servidor:

    1. Vá para a URL:
      http://nome.do.servidor/CAServlet/Welcome.html
      

    2. Em Certificados do Servidor, clique em Carregar certificado CA a partir do servidor Web. O arquivo cakey.txt é exibido.

    3. Para importar a chave CA, crie um arquivo *.txt em seu sistema, em seguida, copie o arquivo do certificado (cakey.txt) em sua área de transferência.

    4. Cole o arquivo do certificado de sua área de transferência no novo arquivo *.txt criado.

    5. Armazene este certificado CA (arquivo *.txt) no banco de dados de chaves operacional do servidor Web de destino utilizando IKEYMAN. Para obter instruções detalhadas, consulte Armazenamento de um certificado CA.

    Solicitação de um certificado do servidor

    Utilize as etapas a seguir para solicitar um certificado do servidor a partir da CA de sua rede privada:

    1. Vá para a URL:
      http://nome.do.servidor/CAServlet/Welcome.html
      

    2. Em Certificados do Servidor, clique em Solicitar um certificado do servidor. O formulário Pedido de Certificado do Servidor aparece.

      Utilize-o para enviar um pedido de certificado do servidor à CA de sua rede privada para que este HTTP Server seja de confiança dos navegadores e outros HTTP Servers na rede. Se houver outros servidores Web em sua rede, será possível executar esta tarefa em nome dos servidores Web remotos.

    3. No campo Nome do Servidor, especifique um nome de sua escolha. Anote este nome porque precisará dele mais tarde quando carregar o certificado aprovado.

    4. No campo Organização, especifique um nome de organização de sua escolha.

    5. Digite sua senha no campo Frase de Desafio. Será necessário especificar esta senha mais tarde quando você carregar o certificado aprovado.

    6. Preencha todos os campos necessários. Para obter informações adicionais, clique em Ajuda.

    7. Procure o arquivo de pedido do certificado operacional do servidor Web (*.arm).
      PERGUNTA: COMO PESQUISAR ESTE ARQUIVO NA ESTAÇÃO DE TRABALHO?
      
      Quando o arquivo *.arm estiver exibido em sua tela, copie seu conteúdo para a área de transferência. Em seguida, vá para o navegador da Web e cole este arquivo na seção do formulário que indica: Copie os pedidos do certificado na seguinte área. Você deve colar o arquivo de pedido de certificado operacional (*.arm) neste espaço. Este é o arquivo que é enviado à CA do HTTP para ser assinado.

    8. Clique em Enviar Pedidos para enviar o formulário preenchido à CA para aprovação.

    9. Se o Administrador CA possuir aprovação automática, clique na opção Clicar aqui para carregar o certificado para iniciar o processo. Se ocorrer a aprovação automática, você não receberá nenhuma mensagem confirmando se o pedido foi aprovado. Você pode ir diretamente para Recepção de um certificado aprovado do servidor e concluir esse procedimento.

      Se o Administrador de CA possuir aprovação manual configurada, você receberá uma mensagem no navegador confirmando que o pedido do certificado foi aceito.

    Recepção de um certificado aprovado do servidor

    Antes de receber um certificado aprovado do servidor, você deve carregar o certificado de CA (cakey.txt). Para obter instruções, consulte Download de um certificado CA para outro servidor.

    Utilize as seguintes etapas para receber um certificado aprovado do servidor assinado por CA:

    1. Vá para a URL:
      http://nome.do.servidor/CAServlet/Welcome.html
      

    2. Em Certificados do Servidor, clique em Receber o certificado aprovado.

    3. Digite o Nome do Servidor especificado no formulário de pedido do certificado.
      Nota: Se receber uma mensagem informando que nenhum registro foi encontrado, é possível que tenha digitado o nome do servidor incorretamente. Se esqueceu o Nome do Servidor fornecido, verifique com seu Administrador.

    4. Digite a senha no campo Frase de Desafio, em seguida, clique em Enviar Pedido.
      Nota: Se receber uma mensagem informando que nenhum registro foi encontrado, é possível que tenha digitado a senha incorretamente. Se esqueceu sua senha, verifique com seu Administrador.

    5. Se o certificado for encontrado, a página Download do Certificado será exibida e você poderá fazer o download do certificado. Para iniciar o processo de download, clique em Clicar aqui para fazer download seu certificado.

      Se não encontrado, verifique com o Administrador de CA para descobrir quando o certificado será processado.

    6. Após a conclusão do processo, será exibido um arquivo de pedido do certificado assinado no navegador da Web. Utilize a função colar e copiar para copiar este arquivo na área de transferência. Cole o certificado assinado em um arquivo *.cert em seu servidor.

    7. Receba o certificado assinado no banco de dados de chaves operacional do servidor (*.kdb) utilizando IKEYMAN. Para obter instruções detalhadas, consulte Recepção de um certificado assinado por uma CA confiável.

    8. Após receber o certificado aprovado, seu servidor será aceito por outros Servidores HTTP e navegadores da Web em sua rede privada.

    Informações Relacionadas

    Observações:

    1. Se você estiver usando as listas de revogação de certificados (CRLs) para autenticação do cliente, você deverá adquirir o software CA em IBM Registry e emitir seus próprios certificados.

    2. Instituições financeiras e bancárias têm a opção de compra de um certificado digital especial que permite que edições para exportação do servidor utilizem níveis de criptografia com 128 ou mais bits. Para obter mais informações, consulte Opção de criptografia reforçada para servidores Web de instituições financeiras e bancárias.

    Opção de criptografia reforçada para servidores Web de instituições financeiras e bancárias

    Quando designado como servidor Web financeiro ou bancário, a edição norte-americana do HTTP Server pode explorar os recursos reforçados de criptografia em versões nacionais e internacionais do Netscape Navigator 4.x e do Microsoft Internet Explorer 4.x. Para utilizar esta função, você deve adquirir um certificado digital especial da VeriSign chamado Global Server ID.

    Para transações normais na web, os navegadores de exportação Netscape e Microsoft podem utilizar criptografia de 40 bits somente para transações com o Secure Sockets Layer (SSL). No entanto, quando o servidor usa um ID do VeriSign Global Server para seu certificado SSL, os navegadores de exportação podem utilizar níveis mais reforçados de criptografia de 128 bits ou acima disso. Isto permite que um servidor com um ID do Global Server comunique-se com o nível mais alto de criptografia de SSL com versões nacional e internacional dos navegadores Netscape e Microsoft.

    Os clientes da área financeira e bancária internacional do HTTP Server que desejam utilizar esta função devem entrar em contato com a IBM para uma licença de exportação para obter e utilizar a edição norte-americana do HTTP Server.

    Requisitos de Certificado e URL

    Para que um navegador de exportação estabeleça uma conexão SSL utilizando a criptografia de 128 bits:

    Requisitos do navegador


    Tabela 2. Requisitos do navegador da ID do servidor Global

    Navegador Nacional Exportação
    Netscape Navigator Todas as versões funcionam quando os requisitos relacionados em Requisitos de Certificado e URL são atendidos. A versão 4.04 é a única que suporta criptografia de 128 bits.
    Internet Explorer Todas as versões funcionam quando os requisitos relacionados em Requisitos de Certificado e URL são atendidos. A versão 4.0, atualização 4.72.3110.8, é a única que suporta criptografia de 128 bits. Para verificar o número de atualização, clique em Ajuda, em seguida, sobre Internet Explorer.

    Para obter as informações mais atuais sobre suporte de criptografia e requisitos de navegador, consulte o site na Web do HTTP Server.

    Parte Superior da Página