Utilizzo del programma di utilità HTTP Server CA

  • Panoramica delle opzioni relative all'autorità di certificazione
  • Cenni preliminari
  • Installazione di WebSphere Application Server
  • Verifica che i tipi MIME richiesti siano inclusi nel file di configurazione del server
  • Creazione dei database di chiavi e dei certificati mediante l'utilizzo di IKEYMAN
  • Copia del database di chiavi CA e dei certificati nella directory del programma di utilità CA
  • Esportazione del database di chiavi CA nel programma di utilità CA
  • Accesso al programma di utilità CA HTTP Server
  • Utilizzo del programma di utilità CA HTTP Server per l'elaborazione di certificati client e server
  • Panoramica del processo CA
  • Attività dell'amministratore
  • Esportazione del database di chiavi CA
  • Elaborazione di una richiesta di certificato
  • Attività dell'utente
  • Scaricamento di un certificato CA in un browser Web
  • Richiesta di un certificato del browser
  • Ricezione di un certificato del browser approvato
  • Attività del Webmaster
  • Scaricamento di un certificato CA per un altro server
  • Richiesta di un certificato server
  • Ricezione di un certificato server approvato
  • Informazioni correlate
  • Panoramica delle opzioni relative alle autorità di certificazione

    Per trattare affari commerciali su Internet, è preferibile acquistare un certificato server da un'autorità di certificazione (CA) esterna, ad esempio VeriSign. Per un elenco di CA supportate, consultare la sezione Autorità di certificazione.

    Se si agisce come CA, è possibile firmare la propria richiesta di certificato o quella di altri utenti. Questa scelta è valida se i certificati sono necessari solo all'interno della rete Web privata e non per trattative su Internet. E' necessario che i client dispongano di un browser, ad esempio Netscape Navigator o Microsoft Internet Explorer, che siano in grado di ricevere il certificato CA e che identifichino il creatore di tale certificato come una CA sicura.

    Per agire come CA, è possibile utilizzare i programmi di utilità per la gestione delle chiavi del server (IKEYMAN e CA HTTP Server) oppure acquistare un software di autorità di certificazione da un fornitore CA.

    Nota: L'acquisto di un software è consigliabile se si desidera gestire più di 250 certificati. Tale limite si basa sul numero di richieste di certificati che possono essere memorizzate in un database di chiavi CA. Dopo aver memorizzato 250 richieste di certificato, il programma di utilità verrà eseguito molto lentamente.

    Cenni preliminari

    Installazione di WebSphere Application Server

    Prima di utilizzare HTTP Server CA, è necessario installare WebSphere Application Server come motore servlet.

    Per le istruzione sull'installazione, consultare la pubblicazione WebSphere Application Server - Introduzione - V2. E' possibile accedere a questa pubblicazione e ad altra documentazione relativa ad Application Server dal sito Web WebSphere Application Server.

    Verifica che i tipi MIME richiesti siano inclusi nel file di configurazione del server

    Affinché i certificati del client siano scaricati in modo corretto, è necessario aggiungere le seguenti istruzioni AddType e tipi MIME al file di configurazione del server:

    AddType .cer application/x-x509-user-cert 7bit   0.5 #User certificate
    AddType .der application/x-x509-ca-cert   binary 1.0 #Browser CA certificate
    

    Questi tipi MIME sono inclusi nel file di configurazione del server predefinito.

    Creazione dei database di chiavi e dei certificati mediante l'utilizzo di IKEYMAN

    Prima di utilizzare il programma di utilità CA, creare il database di chiavi CA e il database di chiavi del server, il certificato server e l'autocertificazione CA con IKEYMAN. Per le istruzioni, vedere Creazione di un'autocertificazione.

    Nota: In qualità di Amministratore, è possibile scegliere che le richieste di certificato vengano elaborate automaticamente dopo la consegna. Grazie all'elaborazione automatica non è più necessario elaborare manualmente ciascuna richiesta di certificato. Se si desidera avviare l'elaborazione automatica, durante l'impostazione del database di chiavi CA effettuata utilizzando IKEYMAN, creare un file stash per la password del database.

    Copia del database di chiavi CA e dei certificati nella directory del programma di utilità CA

    Dopo aver creato il database di chiavi CA e l'autocertificazione CA, copiare il file cakey.kdb nella directory del programma di utilità CA.

    E' possibile memorizzare la password codificata del database di chiavi in un file stash. Se questo file è contenuto nella stessa directory in cui è ubicato il file di database di chiavi CA (cakey.kdb), tutti i certificati inviati per essere firmati dal programma di utilità CA, verranno approvati automaticamente. Se si crea un file stash (cakey.sth), copiare il file nella stessa directory del file cakey.kdb.

    Esportazione del database di chiavi CA nel programma di utilità CA

    E' necessario esportare il file cakey.kdb presente sul server nel programma di utilità CA in un formato utilizzabile dai client e dai server. Per istruzioni più dettagliate, consultare la sezione Esportazione del database di chiavi CA.

    Accesso al programma di utilità CA HTTP Server

    Per accedere al programma di utilità HTTP Server CA, andare all'URL:

     http://your.server.name/CAServlet/Welcome.html
    

    Utilizzo del programma di utilità CA HTTP Server per l'elaborazione di certificati client e server

    Panoramica del processo CA

    L'attività di una CA consiste nello stabilire la necessità di emettere un certificato per un client o per un server. E' necessario verificare che la persona che effettua la richiesta, abbia i requisiti necessari per ottenerla. Dopo aver controllato tali requisiti, è possibile creare il certificato firmato mediante HTTP Server CA.

    L'input di questo processo è costituito da una richiesta di certificato da un client o da un server. L'output sarà un certificato firmato con la propria chiave privata.

    Dopo aver elaborato il certificato client o del server:

    1. Comunicare al client o al server di scaricare il certificato CA. Nelle sezioni Scaricamento di un certificato CA in un browser Web e Scaricamento di un certificato CA per un altro server, sono riportate le operazioni da eseguire.

    2. Comunicare al client o al server di scaricare il certificato firmato e di riceverlo nel rispettivo database di chiavi operativo. Nelle sezioni Ricezione di un certificato del browser approvato e Ricezione di un certificato server approvato, sono riportate le operazioni da effettuare.

    Dopo aver completato queste operazioni, il client o il server sarà in grado di utilizzare il rispettivo certificato CA firmato per comunicare in modo sicuro con altri HTTP Server e browser Web nella rete Web privata.

    Attività dell'amministratore

    Esportazione del database di chiavi CA

    Effettuare le operazioni riportate di seguito per esportare il database di chiavi CA (cakey.kdb) presente sul server in un formato utilizzabile dai browser e dai server. Non sarà necessario ripetere tali operazioni dopo aver eseguito l'impostazione iniziale dell'autorità di certificazione.

    Nota: Prima di utilizzare il programma di utilità CA, è necessario creare il file cakey.kdb mediante IKEYMAN.Per le istruzioni, vedere Creazione di un'autocertificazione.

    Per esportare il file di database di chiavi CA per i browser e i server, procedere come segue:

    1. Andare all'URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. Dalla pagina principale del programma di utilità, selezionare Administration per accedere alla pagina relativa alle attività dell'amministratore.

    3. Selezionare Export CA keys for browsers ed immettere la password del database di chiavi CA.

    4. Fare clic su Process Now. In questo modo verrà creato il file cakey.der. Se l'operazione avrà esito positivo, verrà visualizzato un messaggio in cui si conferma che la chiave CA è stata esportata.

    5. Nella pagina relativa alle attività dell'amministratore, selezionareExport CA keys for servers ed immettere la password del database di chiavi CA.

    6. Fare clic su Process Now. Verrà creato il file cakey.txt. Se l'operazione avrà esito positivo, verrà visualizzato un messaggio in cui si conferma che la chiave CA è stata esportata.

    Elaborazione di una richiesta di certificato

    Note:

    1. Se viene creato un file stash per la password del database di chiavi CA (cakey.sth), tutte le richieste di certificato per i browser e per i server verranno approvate automaticamente.

    2. Verificare che le richieste di certificato vengano elaborate attraverso una connessione sicura.

    Per elaborare le richieste di certificato da browser e server:

    1. Andare all'URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. Dalla pagina principale del programma di utilità, selezionare Administration per accedere alla pagina relativa alle attività dell'amministratore.

    3. Selezionare Process pending requests o Process all requests, quindi fare clic su Process Now.

      Se sono presenti richieste in attesa, procedere come segue:

      E' possibile elaborare una o più richieste.

    4. Fare clic su Process. Se l'operazione avrà esito positivo, verrà visualizzato un messaggio in cui si conferma che il database dei certificati è stato aggiornato.

    Per istruzioni più dettagliate, fare clic su Help.

    Attività dell'utente

    Scaricamento di un certificato CA in un browser Web

    Prima di accettare un certificato del browser firmato da HTTP Server CA, è necessario, innanzitutto, scaricare il certificato CA che identifica HTTP Server CA come autorità di certificazione sicura sul browser utilizzato.

    Per scaricare un certificato CA procedere come segue:

    1. Andare all'URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. Nel pannello relativo ai certificati del browser, fare clic su Download CA certificate from the Webserver.

    3. Seguire le istruzioni relative allo scaricamento del file cakey.der sulla stazione di lavoro.

    Dopo aver scaricato il certificato CA, indicare il certificato come sicuro sul browser utilizzato e contrassegnare il certificato come predefinito nel database di chiavi operativo. Dopo aver indicato il certificato CA come CA sicura sul browser, non sarà necessario ripetere ulteriormente l'operazione.

    Richiesta di un certificato del browser

    Procedere come indicato di seguito per richiedere un certificato del browser dalla CA della rete privata utilizzata:

    1. Andare all'URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. Nel pannello relativo ai certificati del browser, fare clic su Request a browser certificate.

    3. Nel campo relativo al nome, specificare il nome desiderato. Prendere nota di tale nome, in quanto sarà necessario successivamente, quando il certificato firmato verrà ricevuto.

    4. Immettere la password nel campo Challenge Phrase. Sarà necessario specificare la stessa password successivamente, quando il certificato approvato verrà scaricato.

    5. Completare tutti i campi richiesti. Per ulteriori informazioni, fare clic su Help.

    6. Fare clic su Submit Requests per inviare il modulo completato alla CA per l'approvazione. Il processo di creazione della chiave privata sarà avviato sul browser. Questa chiave privata verrà utilizzata con il certificato richiesto.

    7. Fare clic su OK sul browser per creare la chiave privata.

    In base all'impostazione effettuata dall'amministratore, la richiesta sarà approvata automaticamente oppure dopo una verifica dello stesso Amministratore. Se la richiesta viene approvata automaticamente, non sarà visualizzato alcun messaggio di conferma dell'approvazione della richiesta. E' possibile passare direttamente alla sezione Ricezione di un certificato del browser approvato e completare le operazioni.

    Se l'amministratore ha deciso di approvare manualmente le richieste di certificato, verrà ricevuto un messaggio in cui viene indicato che la richiesta è stata approvata. Rivolgersi all'amministratore per stabilire quando l'approvazione sarà elaborata. I certificati approvati saranno inviati direttamente alla directory del database HTTP Server CA.

    Ricezione di un certificato del browser approvato

    Prima di ricevere un certificato del browser approvato, è necessario scaricare il certificato CA (cakey.der). Per le istruzioni, consultare la sezione Scaricamento di un certificato CA in un browser Web.

    Per ricevere un certificato del browser firmato da una CA, procedere come segue:

    1. Andare all'URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. Nel pannello relativo ai certificati del browser, fare clic su Receive the approved certificate.

    3. Immettere il nome specificato nel modulo di richiesta di certificato.
      Nota: Se viene visualizzato un messaggio che indica che non è possibile individuare il nome specificato, è probabile che il nome immesso non sia corretto. Se non si ricorda il nome specificato nel modulo, rivolgersi all'amministratore.

    4. Immettere la password nel campo Challenge Phrase, quindi fare clic su Submit Request.
      Nota: Se viene visualizzato un messaggio che indica che non è possibile individuare la password specificata, è probabile che la password immessa non sia corretta. Se non si ricorda la password specificata nel modulo, rivolgersi all'amministratore.

    5. Dopo aver individuato il certificato, verrà visualizzata la pagina Download Certificate da cui sarà possibile scaricarlo. Per avviare questa operazione, fare clic su Click here to download your certificate.

      Nel caso in cui il certificato non venga individuato, rivolgersi all'amministratore delle CA per sapere quando questo verrà elaborato.

    6. Dopo aver ricevuto il certificato approvato, il browser sarà riconosciuto come sicuro dagli altri client e server collegati alla rete privata utilizzata.

    Attività del Webmaster

    Scaricamento di un certificato CA per un altro server

    Prima di elaborare eventuali certificati CA firmati da HTTP Server CA su un altro server Web, è necessario memorizzare il proprio certificato HTTP Server CA nel database di chiavi operativo del server Web di destinazione.

    Per scaricare un certificato CA per un altro server:

    1. Andare all'URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. Nel pannello relativo ai certificati del server, fare clic su Download CA certificate from the Webserver. Viene visualizzato il file cakey.txt.

    3. Per importare la chiave CA, creare un file *.txt sul sistema e copiare il file del certificato (cakey.txt) negli appunti.

    4. Incollare il file del certificato dagli appunti nel nuovo file *.txt creato.

    5. Memorizzare questo certificato CA (*.txt file) nel database di chiavi operativo sul server Web di destinazione utilizzando IKEYMAN. Per istruzioni più dettagliate, consultare la sezione Memorizzazione di un certificato CA.

    Richiesta di un certificato server

    Procedere come indicato di seguito per richiedere un certificato server dalla CA della rete privata utilizzata:

    1. Andare all'URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. Nel pannello relativo ai certificati del server, fare clic su Request a server certificate. Viene visualizzato il modulo per la richiesta del certificato server.

      Utilizzare tale modulo per inviare una richiesta di certificato server alla CA della rete privata in modo che HTTP Server sarà riconosciuto come sicuro dagli altri browser e HTTP Server presenti nella rete. Se nella rete sono presenti altri server Web, è possibile eseguire questa attività al posto del server Web remoto.

    3. Nel campo relativo al nome del server, specificare il nome desiderato. Prendere nota di tale nome, in quanto sarà necessario successivamente, quando il certificato approvato dovrà essere scaricato.

    4. Nel campo relativo alla Società, specificare il nome desiderato.

    5. Immettere la password nel campo Challenge Phrase. Sarà necessario specificare la stessa password successivamente, quando il certificato approvato verrà scaricato.

    6. Completare tutti i campi richiesti. Per ulteriori informazioni, fare clic su Help.

    7. Ricercare il file di richiesta di certificato operativo (*.arm) nel server Web.
      RICERCA DEL FILE SULLA STAZIONE DI LAVORO
      
      Quando viene visualizzato il file *.arm, copiarne il contenuto negli appunti. Quindi, passare al browser Web ed incollare il file nella sezione del modulo Please copy your certificate requests into the following area. Incollare in quest'area il file di richiesta di certificato operativo (*.arm). Questo file sarà inviato alla HTTP Server CA per l'approvazione.

    8. Fare clic su Submit Requests per inviare il modulo completato alla CA per l'approvazione.

    9. Se l'amministratore delle CA ha impostato la funzione per l'approvazione automatica dei certificati, è possibile fare clic sull'opzione Click here to download your certificate per avviare l'elaborazione. Se la richiesta viene approvata automaticamente, non sarà visualizzato alcun messaggio di conferma dell'approvazione della richiesta. E' possibile passare direttamente alla sezione Ricezione di un certificato server approvato e completare le operazioni.

      Se l'amministratore delle CA ha deciso di approvare manualmente le richieste di certificato, verrà ricevuto un messaggio sul browser in cui viene indicato che la richiesta è stata approvata.

    Ricezione di un certificato server approvato

    Prima di ricevere un certificato server approvato, è necessario scaricare il certificato CA (cakey.txt). Per le istruzioni, consultare la sezione Scaricamento di un certificato CA per un altro server.

    Per ricevere un certificato server firmato da una CA, procedere come segue:

    1. Andare all'URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. Nel pannello relativo ai certificati del server, fare clic su Receive the approved certificate.

    3. Immettere il nome del server specificato nel modulo di richiesta di certificato.
      Nota: Se viene visualizzato un messaggio che indica che non è possibile individuare il nome specificato, è probabile che il nome del server immesso non sia corretto. Se non si ricorda il nome del server specificato nel modulo, rivolgersi all'amministratore.

    4. Immettere la password nel campo Challenge Phrase, quindi fare clic su Submit Request.
      Nota: Se viene visualizzato un messaggio che indica che non è possibile individuare la password specificata, è probabile che la password immessa non sia corretta. Se non si ricorda la password specificata nel modulo, rivolgersi all'amministratore.

    5. Dopo aver individuato il certificato, verrà visualizzata la pagina Download Certificate da cui sarà possibile scaricarlo. Per avviare questa operazione, fare clic su Click here to download your certificate.

      Nel caso in cui il certificato non venga individuato, rivolgersi all'amministratore delle CA per sapere quando questo verrà elaborato.

    6. Dopo aver completato l'operazione, nel browser Web verrà visualizzato il file di richiesta di certificato firmato. Utilizzare le funzioni di copia e incolla per copiare questo file negli appunti. Incollare il certificato firmato in un file *.cert sul server.

    7. Ricevere il certificato firmato nel database di chiavi operativo del server (*.kdb) utilizzando IKEYMAN. Per istruzioni più dettagliate, consultare la sezione Ricezione di un certificato firmato da una CA sicura.

    8. Dopo aver ricevuto il certificato approvato, il server sarà riconosciuto come sicuro dagli altri HTTP Server e browser Web collegati alla rete privata utilizzata.

    Informazioni correlate

    Note:

    1. Se per l'autentica del client si utilizzano CRL (certificate revocation list), è necessario acquistare un software della CA da IBM Registry ed emettere certificati personali.

    2. Enti finanziari bancari hanno la possibilità di acquistare un certificato digitale particolare che consente di eseguire operazioni di esportazione dal server utilizzando il livello di codifica a 128 bit o superiore. Per ulteriori informazioni, consultare la sezione Opzioni di codifica superiore per server Web di enti finanziari o bancari.

    Opzioni di codifica superiore per server Web di enti finanziari o bancari

    Se indicato come server di enti finanziari o bancari, l'edizione nord americana di HTTP Server può usufruire delle alte potenzialità di codifica delle versioni nazionali e internazionali di Netscape Navigator 4.x e Microsoft Internet Explorer 4.x. Per utilizzare questa funzione, è necessario acquistare un certificato digitale particolare da VeriSign, chiamato Global Server ID.

    Per transazioni Web regolari, i browser per l'esportazione Netscape e Microsoft possono utilizzare la codifica a 40 bit solo per le transazioni SSL (Secure Sockets Layer). Tuttavia, se il server utilizza un ID VeriSign Global Server per il certificato, i browser per l'esportazione possono utilizzare livelli di codifica di 128 bit o superiori. In questo modo un server che dispone di un ID Global Server sarà in grado di comunicare al livello di codifica SSL superiore con le versioni sia nazionali che internazionali dei browser Netscape e Microsoft.

    I clienti degli enti finanziari e bancari di HTTP Server che desiderano utilizzare questa funzione, possono rivolgersi all'IBM per ottenere la licenza relativa all'utilizzo dell'edizione nord americana di HTTP Server.

    Requisiti per i certificati e per l'URL

    Affinché un browser di esportazione stabilisca una connessione SSL mediante una codifica a 128 bit, procedere come segue:

    Requisiti del browser


    Tabella 2. Requisiti del browser dell'ID Global server

    Browser Nazionale Di esportazione
    Netscape Navigator Tutte le funzioni funzionano se vengono rilevati tutti i requisiti elencati nella sezione Requisiti per i certificati e per l'URL. La versione 4.04 è l'unica che supporta la codifica a 128 bit
    Internet Explorer Tutte le funzioni funzionano se vengono rilevati tutti i requisiti elencati nella sezione Requisiti per i certificati e per l'URL. La versione 4.0, con aggiornamento 4.72.3110.8, è l'unica che supporta la codifica a 128 bit. Per controllare il numero di aggiornamento, fare clic su Guida, quindi su Informazioni su Internet Explorer.

    Per le informazioni più aggiornate sul supporto di codifica e sui requisiti del browser, consultare il sito Web HTTP Server.

    Inizio pagina