Tivoli PKI Cómo empezar - IBMpublib.boulder.ibm.com/.../es_ES/PDF/iaugmst.pdfAvisos El hecho de que...

Tivoli Public Key InfrastructureCómo empezar

Versión 3 Release 7.1

GC10-3562-01

10 Octubre 2001

Tivoli Public Key InfrastructureCómo empezarVersión 3 Release 7.1

Tivoli Public Key Infrastructure Cómo empezar

Aviso sobre el Copyright

Copyright © 1999, 2001 de Tivoli Systems Inc., empresa de IBM, incluidos estadocumentación y todo el software. Reservados todos los derechos. Sólo puede utilizarse deconformidad con un Contrato de Licencia de Software de Tivoli Systems o con una Adendarelativa a los Productos Tivoli de un Contrato de Usuario o de Licencia de IBM. Estáprohibida la reproducción, transmisión o transcripción de cualquier parte o fragmento de estapublicación, así como su almacenamiento en sistemas de recuperación de información y sutraducción a lenguajes informáticos, ya sea por métodos o medios electrónicos, mecánicos,magnéticos, ópticos, químicos, manuales o mediante cualquier otro procedimiento, sin elaviso previo por escrito de Tivoli Systems. Tivoli Systems le concede permiso limitado paraefectuar copias impresas u otras reproducciones de cualquier documentación legible pormáquina para su propio uso, siempre que esta reproducción lleve el aviso de Copyright deTivoli Systems. No se conceden otros derechos de Copyright sin el aviso previo por escritode Tivoli Systems. Este documento no está destinado a la producción y se suministra “talcual” sin garantía de ningún tipo.

Declinamos por el presente cualquier concesión de garantía sobre este documento,incluidas todas aquellas garantías de comercialización e idoneidad para un findeterminado.

Marcas registradas

Los nombres de producto siguientes son marcas registradas de Tivoli Systems Inc. ode International Business Machines Corp. en Estados Unidos o en otros países: AIX,DB2, DB2 Universal Database, IBM, Netfinity, RS/6000, SecureWay, Tivoli,WebSphere.

El Programa Tivoli PKI (″el Programa″) incluye partes de IBM WebSphereApplication Server e IBM HTTP Web Server (″Servidores IBM″). No está autorizadoa instalar o utilizar los Servidores IBM si no es en conexión con el uso que concedela licencia del Programa. Los Servidores IBM deben ubicarse en el mismo equipoque el Programa. Además, el Cliente no está autorizado para instalar o utilizar losServidores IBM independientemente del programa.

El Programa incluye partes de DB2 Universal Database. Está autorizado a instalar yutilizar dichos componentes sólo en asociación con el uso que concede la licenciadel Programa y de IBM WebSphere Application Server para el almacenamiento y lagestión de los datos utilizados o generados por el Programa y por IBM WebSphereApplication Server, y no para otros propósitos de gestión de datos. Por ejemplo, estalicencia no incluye conexiones con la base de datos desde otras aplicaciones pararealizar consultas o generar informes. Está autorizado a instalar y utilizar dichoscomponentes solamente con y en la misma máquina donde se encuentra el Programa.

Microsoft, Internet Explorer, Windows, Windows NT y el logotipo de Windows sonmarcas registradas de Microsoft Corporation.

UNIX es una marca registrada en Estados Unidos y en otros países, bajo licenciaexclusiva de The Open Group.

Java y todas las marcas registradas y logotipos basados en Java son marcasregistradas de Sun Microsystems, Inc.

Pentium es una marca comercial de Intel Corporation en Estados Unidos o en otrospaíses.

iiiTivoli PKI Cómo empezar

Este programa contiene software de seguridad de from RSA DataSecurity, Inc. Copyright © 1994 RSA Data Security, Inc. Reservados todos losderechos.

Este programa contiene software STL (Standard Template Library) deHewlett-Packard Company. Copyright (c) 1994.

¶ Los permisos para utilizar, copiar, modificar, distribuir y vender este software ysu documentación para cualquier finalidad se conceden sin coste alguno, siempreque la información de copyright anterior aparezca en todas las copias y que lainformación de copyright y esta información sobre permisos aparezca en ladocumentación de soporte. Hewlett-Packard Company no tiene representaciónalguna sobre la adecuación de este software para propósito alguno. Seproporciona″tal cual″ sin garantía explícita ni implícita.

Este programa contiene software STL (Standard Template Library) de SiliconGraphics Computer Systems, Inc. Copyright (c) 1996–1999.

¶ Los permisos para utilizar, copiar, modificar, distribuir y vender este software ysu documentación para cualquier finalidad se conceden sin coste alguno, siempreque la información de copyright anterior aparezca en todas las copias y que lainformación de copyright y esta información sobre permisos aparezca en ladocumentación de soporte. Silicon Graphics no tiene representación alguna sobrela adecuación de este software para cualquier propósito. Se proporciona″talcual″ sin garantía explícita ni implícita.

Otros nombres de empresas, productos y nombres de servicio pueden ser marcascomerciales o marcas de servicio de otros.

iv Versión 3 Release 7.1

AvisosEl hecho de que esta publicación incluya referencias a productos, programas o servicios deTivoli Systems o de IBM no implica que éstos vayan a comercializarse en todos los paísesen los que operan Tivoli Systems o IBM. Cualquier referencia a dichos productos, programaso servicios no implica que sólo puedan utilizarse los productos, programas o servicios deTivoli Systems o de IBM. Cualquier otro producto, programa o servicio funcionalmenteequivalente, sujeto a la propiedad intelectual vigente o a otros derechos bajo protección legalde Tivoli Systems o de IBM, puede ser utilizado en lugar del producto, programa o servicioa que se haga referencia explícita. La evaluación y verificación del funcionamiento con otrosproductos distintos de los expresamente designados por Tivoli Systems o por IBM sonresponsabilidad del usuario.

Tivoli Systems o IBM puede tener patentes o solicitudes de patente pendientes que serefieran a algunos de los temas presentados en este documento. La posesión de estedocumento no confiere ninguna licencia sobre dichas patentes. Puede hacer consultas sobrelicencias, por escrito, a: IBM Director of Licensing, IBM Corporation, North Castle Drive,Armonk, New York 10504-1785, EE.UU.

El siguiente párrafo no es aplicable al Reino Unido ni a ningún otro país en el quedichas provisiones sean incompatibles con la legislación local:

INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA ESTAPUBLICACIÓN “TAL CUAL” SIN GARANTÍAS DE NINGÚN TIPO, NI EXPLÍCITAS NIIMPLÍCITAS, INCLUYENDO, PERO NO LIMITÁNDOSE A ELLAS, LAS GARANTÍASIMPLÍCITAS DE FALTA DE CUMPLIMIENTO, COMERCIALIZACIÓN OADECUACIÓN PARA UN OBJETIVO CONCRETO. Algunas legislaciones no contemplanla exclusión de garantías, ni implícitas ni explícitas, por lo que puede haber usuarios a losque no les afecte dicha declaración.

Es posible que esta publicación contenga imprecisiones técnicas o errores tipográficos.Periódicamente se efectúan cambios en la información aquí contenida; dichos cambios seincorporarán en nuevas ediciones de la publicación. IBM puede efectuar mejoras o cambiosen los productos o programas descritos en esta información en cualquier momento y sinprevio aviso.

Las referencias en esta información a sitios Web que no sean de IBM se proporcionansolamente a efectos prácticos y no significa que IBM apruebe dichos sitios Web. El materialque puede encontrar en estos sitios Web no forma parte del material de este producto de IBMy su uso es responsabilidad del usuario.

vTivoli PKI Cómo empezar

vi Versión 3 Release 7.1

Contenido

Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiiiA quién va dirigido este manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xiii

Información relacionada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv

Contenido de este manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi

Novedades de este release. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi

Convenios utilizados en este manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . .xviii

Cómo ponerse en contacto con el soporte al cliente. . . . . . . . . . . . . . . . . .xviii

Información Web de Tivoli PKI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix

Capítulo 1. Información acerca de Tivoli PKI . . . . . . . . . . . . 1¿Qué es Tivoli PKI?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Componentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Servidor de Tivoli PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Autoridad de registro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Autoridad de certificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Subsistema de auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Servidor Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Sistema de base de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Servidor del Directorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

4758 Cryptographic Coprocessor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Recurso de recuperación y copia de seguridad de clave. . . . . . . . . . . . 16

Recurso de emisión masiva de certificados. . . . . . . . . . . . . . . . . . . . . . 17

Arquitectura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Infraestructura de claves públicas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Protocolo PKIX CMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Protocolo LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Almacenes de objetos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

viiTivoli PKI Cómo empezar

Modelo de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Firma de código. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Firma de mensajes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Cifrado de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Almacenes de claves. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Estándares soportados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Certificado X.509 Versión 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Capítulo 2. Requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . 25Requisitos del software de servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Requisitos del hardware del servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Requisitos del Asistente para la configuración. . . . . . . . . . . . . . . . . . . . . . . 28

Requisitos del cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Capítulo 3. Planificación para Tivoli PKI . . . . . . . . . . . . . . . . 31Lista de comprobación de planificación de la instalación. . . . . . . . . . . . . . . 32

Cómo asegurar el sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Utilización de la tecnología de cortafuegos. . . . . . . . . . . . . . . . . . . . . 39

Trabajo con bases de datos de Tivoli PKI. . . . . . . . . . . . . . . . . . . . . . . . . . 40

Configuración de alias IP para el servidor Web. . . . . . . . . . . . . . . . . . . . . . 42

Trabajo con el Directorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Esquema del Directorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Controles de acceso del Directorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Trabajo con el coprocesador 4758. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Almacenamiento de las claves de la CA y la RA en el hardware. . . . . 47

Integración con Policy Director. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Configuraciones de servidor soportadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Consideraciones sobre el entorno internacional. . . . . . . . . . . . . . . . . . . . . . . 50

Paquete de distribución de Tivoli PKI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

viii Versión 3 Release 7.1

Capítulo 4. Instalación de Tivoli PKI en AIX . . . . . . . . . . . . 53Configuración de AIX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Verificación de conjuntos de archivos. . . . . . . . . . . . . . . . . . . . . . . . . 55

Verificación de los espacios de paginación adecuados. . . . . . . . . . . . . . 56

Aplicación del nivel de arreglo a AIX. . . . . . . . . . . . . . . . . . . . . . . . . 57

Configuración de grupos de volúmenes y sistemas de archivos de AIX 57

Creación de un sistema de archivos en CD-ROM. . . . . . . . . . . . . . . . . 58

Cambio del número de usuarios del sistema AIX. . . . . . . . . . . . . . . . . 59

Cómo asegurar la resolución de nombres de sistema principal. . . . . . . 59

Creación de una imagen del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . 60

Instalación del software de bases de datos. . . . . . . . . . . . . . . . . . . . . . . . . . 60

Instalación de DB2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Instalación de IBM Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Instalación del software del Directorio. . . . . . . . . . . . . . . . . . . . . . . . . 63

Instalación de Java. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Creación de la base de datos de WebSphere Application Server. . . . . . . . . . 66

Instalación del software de servidor Web. . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Instalación de WebSphere Application Server. . . . . . . . . . . . . . . . . . . . 67

Actualización de WebSphere Application Server. . . . . . . . . . . . . . . . . . 69

Inhabilitación del inicio automático de IBM HTTP Server. . . . . . . . . . . . . . 70

Inicio de WebSphere Application Server. . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Instalación del coprocesador 4758. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Instalación de Tivoli PKI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Instalación de KeyWorks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Instalación del software de servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Directrices para la instalación en varios equipos. . . . . . . . . . . . . . . . . . 75

Cambio de los valores bootstrap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Ejecución del programa de configuración posterior a la instalación. . . . 83

ixTivoli PKI Cómo empezar

Lista de comprobación posterior a la instalación. . . . . . . . . . . . . . . . . 84

Ejecución de la utilidad de copia de seguridad. . . . . . . . . . . . . . . . . . . . . . . 85

Capítulo 5. Instalación de Tivoli PKI en Windows NT 87Configuración de Windows NT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Instalación del software de bases de datos. . . . . . . . . . . . . . . . . . . . . . . . . . 91

Instalación del software de servidor Web. . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Instalación del JDK. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Instalación de IBM HTTP Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Instalación de WebSphere Application Server. . . . . . . . . . . . . . . . . . . . 94

Configuración de alias IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

Instalación de IBM Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

Instalación del software del Directorio. . . . . . . . . . . . . . . . . . . . . . . . . 96

Utilización del Directorio con Tivoli PKI. . . . . . . . . . . . . . . . . . . . . . . 97

Confirmación de la configuración del sistema. . . . . . . . . . . . . . . . . . . . . . . 97

Instalación de Tivoli PKI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Instalación del software de servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Cambio de los valores bootstrap. . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

Ejecución del programa de configuración posterior a la instalación 104

Lista de comprobación posterior a la instalación. . . . . . . . . . . . . . . . . 105

Ejecución de la utilidad de copia de seguridad. . . . . . . . . . . . . . . . . . . . . . 106

Capítulo 6. Configuración de Tivoli PKI . . . . . . . . . . . . . . . 109

Capítulo 7. Iniciación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Administración del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Administración de RA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Registro y certificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

Personalización. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

x Versión 3 Release 7.1

Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

xiTivoli PKI Cómo empezar

xii Versión 3 Release 7.1

Prefacio

Este manual proporciona la información necesaria para mejorar elrendimiento con un sistema Tivoli Public Key Infrastructure (TivoliPKI). Se abordan los siguientes temas:

¶ Cómo puede utilizar su organización Tivoli PKI para realizartransacciones cifradas, autenticadas y confidenciales por Internet.Mediante el recurso de registro de Tivoli PKI puede emitircertificados digitales con facilidad para terceros de confianza ycontrolar si un certificado se renueva o revoca.

¶ Instrucciones para la planificación de Tivoli PKI, como porejemplo cómo integrar componentes de Tivoli PKI con otrosproductos ya instalados en el puesto de trabajo.

¶ Procedimientos para instalar el producto en una plataforma IBMAIX o en Microsoft Windows NT.

¶ Referencias a otros documentos que pueden resultar útiles parautilizar las interfaces de usuario de Tivoli PKI y las herramientasde administración.

Nota: Este release del producto sólo da soporte a plataformas AIX.Debe ignorar todo el material que haga referencia a MicrosoftWindows.

A quién va dirigido este manualEste manual va dirigido a un público muy variado.

¶ Si es un director de marketing, este manual le servirá para sabercómo incorporar Tivoli PKI a la estrategia e-business de laorganización.

¶ Si es un director de seguridad, le servirá para saber cómoincorporar Tivoli PKI a la estrategia de seguridad de la red de laorganización.

xiiiTivoli PKI Cómo empezar

¶ Si es un administrador de sistemas, el manual presupone quetiene experiencia en la instalación y configuración de productosde un entorno de red. Debería estar familiarizado con lossiguientes conceptos:

v Instalación y configuración de hardware

v Protocolos de comunicación de Internet, en especial TCP/IP ySSL (Secure Sockets Layer)

v Administración de servidores Web

v Tecnología de infraestructura de claves públicas (PKI),incluidos los esquemas del Directorio, la versión 3 estándarde X.509 y el protocolo LDAP (Lightweight Directory AccessProtocol)

v Sistemas de bases de datos relacionales, en especial IBMDB2 Universal Database

Información relacionadaLa documentación del producto Tivoli PKI está disponible enformato PDF (Portable Document Format) y formato HTML en elsitio Web de Tivoli. Las versiones HTML de algunas publicacionesse instalan con el producto y se puede acceder a ellas desde lasinterfaces de usuario.

Tenga en cuenta que el producto puede haber cambiado desde laproducción de las publicaciones. Para obtener informaciónactualizada sobre el producto y sobre cómo acceder a unapublicación en el idioma y formato elegidos, consulte las notas delrelease. La última versión de las notas del release está disponible enel sitio Web de Tivoli Public Key Infrastructure:http://www.tivoli.com/support

La biblioteca de Tivoli PKI incluye la siguiente documentación:

Cómo empezarEsta publicación proporciona una visión general delproducto. Lista los requisitos del producto, incluye losprocedimientos de instalación y proporciona información

xiv Versión 3 Release 7.1

http://www.tivoli.com/support

acerca de cómo acceder a la ayuda en línea disponible paracada componente del producto. Este manual está impreso yse distribuye con el producto.

Guía de administración del sistemaEsta publicación contiene información general sobre laadministración del sistema Tivoli PKI. Incluyeprocedimientos para iniciar y detener los servidores,modificar las contraseñas, administrar los componentes deservidor, realizar auditorías y ejecutar las comprobacionesacerca de la integridad de los datos.

Guía de configuraciónEste manual contiene información sobre cómo utilizar elAsistente para la configuración para configurar un sistemaTivoli PKI. Puede tener acceso a la versión HTML de estaguía y visualizar la ayuda en pantalla del asistentesimultáneamente.

Guía de Registration Authority DesktopEste manual contiene información sobre cómo utilizar RADesktop para administrar los certificados durante su ciclo devida. Puede tener acceso a la versión HTML de esta guía yvisualizar la ayuda en pantalla del escritoriosimultáneamente.

Guía del usuarioEste manual contiene información sobre cómo obtener ygestionar certificados. Proporciona los procedimientos parautilizar los formularios de inscripción de navegador de TivoliPKI para solicitar, renovar y revocar certificados. Tambiéndescribe cómo pre-registrarse para obtener certificadoscompatibles con PKIX.

Guía de personalizaciónEste manual le enseñará a personalizar el recurso de registrode Tivoli PKI para soportar los objetivos de registro ycertificación de las políticas de gestión. Por ejemplo, puedeaprender a personalizar páginas de servidor HTML y Javacartas de notificación, perfiles de certificado y salidas depolítica.

xvTivoli PKI Cómo empezar

Contenido de este manualEsta guía contiene la información siguiente:

¶ “Información acerca de Tivoli PKI” en la página 1 describebrevemente las características y posibilidades de Tivoli PKI, suscomponentes, arquitectura y estándares soportados.

¶ “Requisitos del sistema” en la página 25 describe los requisitosde hardware y software necesarios para instalar y trabajar conTivoli PKI de forma satisfactoria.

¶ “Planificación para Tivoli PKI” en la página 31 presentainformación general sobre las características de Tivoli PKI einformación detallada sobre los componentes que debeconfigurar.

¶ “Instalación de Tivoli PKI en AIX” en la página 53 proporcionainformación sobre procedimientos relativos a la instalación deTivoli PKI en una plataforma AIX.

¶ “Instalación de Tivoli PKI en Windows NT” en la página 87proporciona información sobre procedimientos relativos a lainstalación de Tivoli PKI en una máquina en la que se ejecuteWindows NT.

¶ “Configuración de Tivoli PKI” en la página 109 ofrece unavisión general del proceso de configuración y la documentaciónque se utiliza para llevar a cabo las tareas de configuración.

¶ “Iniciación” en la página 111 explicar temas, procedimientos yherramientas que se utilizan para administrar y personalizardiversos aspectos de Tivoli PKI.

¶ “Glosario” en la página 117 define los términos y abreviaturas deesta publicación y puede tratarse de términos nuevos o que no leresulten familiares pero sí interesantes.

Novedades de este releaseTivoli PKI 3.7.1 incluye las siguientes características y funcionesnuevas:

xvi Versión 3 Release 7.1

¶ Emisión masiva de certificados. Esta función proporciona unmétodo seguro para que un usuario autenticado solicite varioscertificados digitales con una llamada a Tivoli PKI.

¶ Certificate Management Protocol (CMP) Versión 2. Estaactualización a CMP Versión 2 proporciona a Tivoli PKI unamayor fiabilidad durante las transacciones del estado de CMP asícomo un mayor nivel de seguridad que CMP Versión 1,implementado anteriormente en Tivoli PKI.

¶ Key Rollover de CA de raíz. Esta característica permite a laAutoridad de certificación (CA) efectuar una renovación de unpar de claves de CA que no estén en peligro al par de claves deCA siguiente (que se conoce como actualización de CA).

¶ Compatibilidad con LDAP Versión 3. Esta función ofrececompatibilidad de esquema con LDAP (Lightweight DirectoryAccess Protocol) Versión 3. Más concretamente, proporciona lacapacidad de publicar atributos a LDAP utilizando el esquemade directorios definido por RFC 2256. Todavía se da soporte alos esquemas procedentes de PKIX LDAP Versión 2.

¶ Almacenamiento HSM para claves de RA. Esta funciónpermite almacenar los pares de claves de RA en un componenteHSM (módulo de seguridad de hardware), que ofrece una mayorcapacidad de seguridad para las claves de firma de RA.

Los cambios efectuados en la documentación para este release seidentifican mediante una barra de revisión junto al margen.

Nota: Tivoli PKI 3.7.1 sólo da soporte a AIX. No da soporte aWindows NT en este release.

xviiTivoli PKI Cómo empezar

Convenios utilizados en este manualEn esta guía se utilizan convenios tipográficos diferentes paraacciones y términos especiales. Los convenios tienen el significadosiguiente:

Convenio Significado

NegritaLos mandatos, palabras clave, distintivos u otrasinformaciones que el usuario deba utilizar literalmente,aparecen ennegrita.

CursivaLas variables que el usuario debe proporcionar y losnuevos términos aparecen encursiva. Las palabras yfrases resaltadas también aparecen encursiva.

MonoespaciadoLos ejemplos de códigos, pantallas de salida y mensajesdel sistema aparecen en un fuentemonoespaciado.

Cómo ponerse en contacto con el soporte al clienteSi tiene dificultades con algún producto Tivoli, puede acceder a ladirección de Internethttp://www.support.tivoli.com para ver lapágina de presentación del servicio de soporte de Tivoli. Después deacceder al formulario de registro de cliente, cumplimentarlo yenviarlo, podrá acceder a muchos servicios de soporte al cliente enla Web.

Utilice los números de teléfono siguientes para ponerse en contactocon el soporte al cliente en Estados Unidos: el número de Tivoli es–800–848–6548 (1-800–TIVOLI8) y el número de IBM® es1–800–237–5511 (pulse o diga 8 después de acceder a este número).Ambos números le ponen en contacto con el Centro de llamadas desoporte al cliente de Tivoli.

Estamos muy interesados en conocer sus experiencias con productosy documentaciones de Tivoli. Agradeceremos que nos haga llegar sussugerencias. Si tiene algún comentario o sugerencia sobre estadocumentación, envíe un mensaje de correo electrónico [email protected].

xviii Versión 3 Release 7.1


Información Web de Tivoli PKILos clientes de Tivoli e IBM Tivoli pueden encontrar información enlínea sobre Tivoli PKI y cualquier producto de seguridad de Tivoli.

Para obtener información importante de última hora referente aactualizaciones de productos e información sobre servicios y TivoliPKI, visite este sitio Web:http://www.tivoli.com/support/secure_download_bridge.html

Para obtener información sobre el producto Tivoli Public KeyInfrastructure, visite este sitio Web:http://www.tivoli.com/products/index/secureway_public_key/

Para obtener información sobre otros productos de gestión deseguridad de Tivoli, visite este sitio Web:http://www.tivoli.com/products/solutions/security/

xixTivoli PKI Cómo empezar

http://www.tivoli.com/support/secure_download_bridge.html

http://www.tivoli.com/products/index/secureway_public_key/

http://www.tivoli.com/products/solutions/security/

xx Versión 3 Release 7.1

Información acerca de Tivoli PKI

Este capítulo ofrece una descripción general de Tivoli Public KeyInfrastructure (Tivoli PKI). Describe las características yposibilidades de Tivoli PKI, sus componentes, arquitectura yestándares soportados.

¿Qué es Tivoli PKI?Tivoli Public Key Infrastructure proporciona a las aplicaciones losmedios necesarios para autenticar usuarios y garantizar lascomunicaciones de confianza. A continuación se indican algunas delas características de Tivoli PKI:

¶ Permite que las organizaciones emitan, publiquen y administrencertificados digitales según sus políticas de registro ycertificación.

¶ La compatibilidad con la infraestructura de claves públicasX.509 versión 3 (PKIX) y los estándares criptográficos deCommonData Security Architecture (CDSA) permiten lainteroperatividad entre distintos proveedores.

¶ La tecnología de firmas digitales y los protocolos de seguridadofrecen los medios necesarios para autenticar a todas las partesde una transacción.

¶ Las posibilidades de registro basadas en navegador ofrecen lamáxima flexibilidad.

¶ Las comunicaciones cifradas y el almacenamiento seguro de lainformación de registro ayudan a garantizar la confidencialidad.

1

1Tivoli PKI Cómo empezar

1.Inform

aciónacerca

deTivoliP

KI

Un sistema Tivoli PKI puede ejecutarse en plataformas de servidorde IBM AIX/6000 (AIX) y de Microsoft Windows NT. Susprincipales características son:

¶ Una Autoridad de certificación (CA) de confianza administra elciclo de la certificación digital. Para validar la autenticidad de uncertificado, la CA firma digitalmente cada certificado que emite.La CA también firma las listas de revocación de certificados(CRL) para confirmar que un certificado ha dejado de ser válido.Para proteger aún más la clave de firma de la CA, se puedeutilizar hardware criptográfico, como IBM 4758 PCICryptographic Coprocessor.

¶ Una Autoridad de registro (RA) maneja las tareas administrativasde registro de usuarios. La RA garantiza que sólo se emitirán loscertificados que soporten sus actividades específicas de gestión,y dichos certificados sólo se emitirán a usuarios autorizados. Lastareas administrativas pueden manejarse mediante procesosautomatizados o tomas de decisiones humanas. Parecida a la CA,la RA también puede utilizar hardware criptográfico, como IBM4758 PCI Cryptographic Coprocessor para proteger aún más suclave de firma.

¶ Una interfaz de inscripciones basada en Web facilita la obtenciónde certificados para navegadores, servidores, dispositivos pararedes privadas virtuales (VPN), Smart Cards y correo electrónicoseguro.

¶ Una interfaz de administración basada en Web, RA Desktop,permite que los responsables de registros autorizados aprueben odenieguen las solicitudes de inscripción y que administren loscertificados tras emitirlos.

¶ Un subsistema de auditoría genera un código de autenticación demensajes (MAC) para cada registro de auditoría. Si se manipulano eliminan los datos de auditoría después de escribirlos en labase de datos de auditoría, el código MAC permite detectar siexisten intrusiones.

¶ Las salidas de política y los Objetos de proceso de negocio(BPO) permiten a los desarrolladores de aplicacionespersonalizar los procesos de registro.

2 Versión 3 Release 7.1

¶ Soporte integrado para motor criptográfico. Para autenticar lascomunicaciones, los componentes centrales de Tivoli PKI sefirman mediante una clave privada generada por la empresa. Losobjetos de seguridad, como las claves y los códigos MAC, secifran y almacenan en áreas protegidas denominadas Almacenesde claves.

¶ Soporte integrado para IBM Directory. En el Directorio sealmacena información sobre los certificados válidos y revocadosen un formato compatible LDAP.

¶ Soporte integrado para IBM WebSphere Application Server eIBM HTTP Server. El servidor Web trabaja con el servidor RApara cifrar mensajes, autenticar solicitudes y transferircertificados al destinatario deseado.

¶ Soporte integrado para IBM DB2 Universal Database.

ComponentesEn el siguiente diagrama se muestra un sistema Tivoli PKI en el quelos programas del servidor se distribuyen en tres equipos. En laorganización del usuario, los tres servidores pueden coexistir en unúnico equipo.


1.Inform

aciónacerca

deTivoliP

KI

Servidor de Tivoli PKIEl servidor de Tivoli PKI es el servidor central que vincula al restode los componentes. Mantiene la base de datos de configuración yproporciona las utilidades necesarias para administrar el sistema.

Autoridad de registroLa Autoridad de registro (RA) es el componente de servidor que seencarga de administrar el proceso de registro. La RA garantiza quelos certificados se emitan solamente a entidades aprobadas. La RAtambién garantiza que los certificados se utilicen sólo para finesaprobados. Las tareas principales de una RA incluyen:

¶ Confirmar la identidad de la entidad solicitante

¶ Verificar que el solicitante dispone de un certificado quecontiene los atributos y permisos necesarios

RA ObjectStore

CA ObjectStore

CADatabase

DB / File

RegistrationDatabase

ConfigurationDatabase

AuditDatabase

CA andAudit

Servers

DirectoryServer

HTTP/S

HTTP/SPKIX CMP via TCP

LDAP

DirectoryDatabase

4758Card

4758Card

EnrollmentBrowser

RADesktop

HTTP

SERVER

Tivoli PKIand

RA Servers

Figura 1. Configuración de componentes de Tivoli PKI


¶ Aprobar o rechazar solicitudes para crear, renovar o revocarcertificados

¶ Verificar que una entidad que intenta tener acceso a unaaplicación o un recurso seguros conserva la clave privadaasociada con la clave pública del certificado

Parecida a la CA de Tivoli PKI, la RA puede utilizar hardwarecriptográfico como, por ejemplo, IBM 4758 PCI CryptographicCoprocessor para proporcionar seguridad agregada a sus claves defirma.

En Tivoli PKI, el recurso de registro instalado en el servidor RAproporciona la infraestructura para soportar un amplio rango deactividades de registro. Al configurar el sistema deberá definirse undominio de registro que rija las políticas empresariales y decertificados y los recursos en función de las prácticas de registro ycertificación preferidas de su organización.

InscripciónLa RA ofrece soporte para una gran variedad de protocolos deinscripción y tipos de certificado. Las funciones de inscripciónincluyen:

¶ El uso de la base de datos DB2 para registrar los datos cifradosde registro y certificados.

¶ Soporte para procesos de aprobación de registros automáticos ymanuales.

¶ Un conjunto de formularios de inscripción basados en Javamediante los cuales los usuarios pueden solicitar y obtenercertificados a través de sus propios navegadores Web. El procesode inscripción autentica las identidades del cliente y el servidory emite certificados para las entidades aprobadas con cifrado deextremo a extremo de todos los datos solicitados. El proceso deinscripción incluye:

v La entrega de certificados a través de SSL (Secure SocketsLayer) para su uso con aplicaciones a las que se obtieneacceso desde un navegador o un servidor Web.


1.Inform

aciónacerca

deTivoliP

KI

v La entrega de certificados a través del protocolo CMP(Certificate Management Protocol) PKIX para su uso enaplicaciones cliente PKIX o para almacenarlos en SmartCards.

v La entrega de certificados compatibles con el estándar IPSec(Internet Protocol Security) para su uso con aplicaciones deVPN seguras o dispositivos habilitados para IPSec.

v La entrega de certificados compatibles con S/MIME(Extensiones multipropósito seguras de Internet Mail, SecureMultipurpose Internet Mail Extensions) para su uso conaplicaciones de correo electrónico seguras.

v La entrega de cartas de notificación que informen a lossolicitantes acerca de la aprobación o denegación de unasolicitud.

¶ Un conjunto de perfiles de certificados que facilitan a losusuarios la obtención del tipo de certificado que precisan. Losperfiles definen el propósito del certificado y su período devalidez. Según la información de la plantilla, la RA podrá emitirun certificado en el formato correcto con el contenido necesario.

Para obtener información acerca de los tipos y las extensiones decertificado compatibles con la RA, consulte los apartados“Estándares soportados” en la página 21 y “Certificado X.509Versión 3” en la página 23.

¶ Soporte para pre-registro, un proceso que permite a un usuario,normalmente el administrador, solicitar un certificado compatiblecon PKIX para otro usuario.

¶ Soporte para salidas de política y Objetos de proceso de negocio(BPO), que permiten a las organizaciones llamar a sus propiosprogramas durante el proceso de inscripción. La RA incluye unasalida de política de ejemplo que lleva a cabo un proceso deaprobación automático.

Consulte el libro rojo de IBMWorking with Business ProcessObjects for Tivoli SecureWay PKI, SG24-6043-00 para obtenerinstrucciones sobre el desarrollo y la personalización de Objetos


de proceso de negocio (BPO) para que se ajusten a susrequisitos específicos de negocio.

Para obtener información completa acerca de cómo utilizar unnavegador Web para inscribir certificados, consulte la publicaciónTivoli PKI Guía del usuario. En este manual encontrará unadescripción de los tipos de certificados que se suministran con lainstalación por omisión de Tivoli PKI.

AdministraciónLa aplicación Registration Authority Desktop (RA Desktop) permitea los administradores autorizados (también conocidos comoresponsables de registros) revisar los certificados de las aplicaciones,aprobar o rechazar solicitudes, renovar certificados o revocarlos deforma temporal o permanente. Soporta tareas como:

¶ Recuperar solicitudes de inscripción pendientes

¶ Realizar consultas en la base de datos de registro para recuperary trabajar con registros que coincidan con determinados criterios

¶ Revisar información detallada acerca de un certificado o unasolicitud, como el historial de todas las acciones realizadas desdeque se envió la solicitud por primera vez

¶ Definir el período de validez de un certificado

¶ Anotar un registro para explicar los motivos de la acciónrealizada

RA Desktop es una aplicación segura. Para tener acceso a la misma,los usuarios deben ser responsables de registros autorizados. TivoliPKI incluye una herramienta que facilita este proceso. Puede añadircualquier número de responsables de registros a fin de poder hacerfrente a la carga de trabajo de registro.

Cuando agrega un responsable de registros es preciso identificar eldominio de registro y especificar los privilegios del usuario. Porejemplo, puede permitir que un responsable de registros solamenteapruebe y rechace solicitudes pero que otro responsable de registrostambién pueda revocarlas.


1.Inform

aciónacerca

deTivoliP

KI

¶ Para obtener información acerca de cómo instalar, tener acceso yutilizar la aplicación RA Desktop, consulte la publicaciónTivoliPKI Guía de RA Desktop.

¶ Para obtener información sobre cómo autorizar responsables deregistro, consulte la publicaciónTivoli PKI Guía deadministración del sistema.

PersonalizaciónPuede utilizar el recurso de registro proporcionado con Tivoli PKIsin necesidad de personalizarlo. Sin embargo, es posible que deseemodificar los formularios o los procesos de inscripción para reflejarlos objetivos específicos de su organización con relación a lacertificación digital. Por ejemplo, quizás desee mostrar el logotipo dela empresa en el formulario de inscripción de navegador. O quizásdesee modificar los perfiles de certificados para soportar extensionesrelevantes para las clases de usuarios, servidores o dispositivos quedesee inscribir.

Una vez instalado y configurado Tivoli PKI, puede copiar la mayoríade los archivos que definen su dominio de registro y personalizarlospara adaptarlos a los propósitos de su empresa. Asegúrese de realizaruna copia de seguridad antes de modificar los archivos.

Puede copiar o actualizar los siguientes archivos del recurso deregistro. Durante la configuración, estos archivos se crean en la víade acceso de directorio definida para el dominio de registro.

¶ Los archivos de configuración (tipo de archivo .cfg) instaladosen el subdirectorio /etc. Por ejemplo, es posible que deseeajustar la configuración de ejecución del servidor RA o de RADesktop.

¶ Las cartas de notificación de ejemplo (tipo de archivo .ltr)instaladas en el subdirectorio /etc. Tivoli PKI ofrece textos deejemplo para informar a los usuarios de cuándo una solicitud seaprueba o rechaza, pero es posible que desee crear su propiotexto.

¶ Los archivos HTML (tipo de archivo .html), los gráficos (tipo dearchivo .gif) y las páginas de servidor Java (tipo de archivo .jsp)


instalados en el subdirectorio /webpages. Por ejemplo, es posibleque desee cambiar el texto y los gráficos que aparecen en losformularios de inscripción de navegador. También puedepersonalizar el perfil del certificado existente o definir unonuevo para adaptarlo a las políticas de certificados de suorganización.

¶ La salida de política (policy_exit) instalada en el subdirectoriobin. Tivoli PKI proporciona esta salida como un ejemplo decómo administrar el proceso de aprobación automático. Puedeescribir otras salidas para integrar el proceso de registro con susotras aplicaciones o para procesar sus propias acciones deregistro.

Para obtener información acerca de los cambios que puedenrealizarse en los procesos de registro y certificación o para obtenerinstrucciones sobre cómo hacerlo, consulte la publicaciónTivoli PKIGuía de personalización.

Para obtener información sobre los temas de personalización,consulte el libro rojo de IBMWorking with Business Process Objectsfor Tivoli SecureWay PKI, SG24-6043-00, en el que podrá obtenerinstrucciones sobre el desarrollo y la personalización de Objetos deproceso de negocio (BPO), a fin de que se ajusten a sus requisitosespecíficos de negocio.

Autoridad de certificaciónLa Autoridad de certificación (CA) es el componente de servidor quese encarga de administrar el proceso de certificación. La CA actúacomo una tercera parte de confianza para los usuarios que realizanoperaciones de e-business. La CA valida la identidad de los usuariosmediante los certificados que emite. Además de ofrecer la identidaddel usuario, el certificado incluye una clave pública que permite alusuario comprobar y cifrar las comunicaciones.

La confianza de las partes se basa en la confianza que depositan enla CA que emite el certificado. Para garantizar la integridad de uncertificado, la CA lo firma digitalmente. Los intentos para alterar elcertificado anulan la firma y harán que aquél deje de ser válido.


1.Inform

aciónacerca

deTivoliP

KI

La CA de Tivoli PKI proporciona un entorno de transaccionesseguro al realizar lo siguiente:

¶ Garantizar la univocidad de un certificado. La CA genera unnúmero de serie para cada certificado nuevo y para cadacertificado que se renueve. Este número de serie es unidentificador exclusivo que no se almacena como parte delnombre distintivo (DN) del certificado.

¶ Realizar un seguimiento de los certificados que emite. La CAmantiene una lista de certificados emitidos (ICL). La lista ICLguarda una copia segura de cada certificado, indexada por elnúmero de serie, en una base de datos DB2.

¶ Realizar un seguimiento de los certificados revocados. La CAcrea y actualiza listas de revocación de certificados (CRL). LaCA y la RA intercambian mensajes tan pronto como tiene lugaruna revocación, lo que permite que la RA actualice el Directoriodurante la próxima actualización periódica. La CA firmadigitalmente todas las listas CRL para dar fe de su integridad.

¶ Evitar la manipulación de los datos. La CA genera un código deautenticación de mensajes (MAC) para cada registro que seescribe en la base de datos. El código MAC ayuda a garantizarla integridad de la base de datos gracias a la posibilidad queofrece de detectar los datos que se han alterado o eliminado.

¶ Proteger la firma de la CA. Se puede integrar la CA con IBM4758 PCI Cryptographic Coprocessor. El coprocesador 4758utiliza una clave criptográfica almacenada en el hardware paracifrar y proteger la clave de firma de la CA.

¶ Soportar la actualización (renovación) del certificado y el par declaves de la CA para evitar la caducidad.

¶ Soportar la recuperación de datos y las auditorías. La CA generaregistros de auditoría para muchos sucesos susceptibles de sersometidos a una auditoría. El servidor de auditoría almacenaestos registros en una base de datos DB2.

¶ Si su organización dispone de aplicaciones modestas para las quebastaría una sola CA, Tivoli PKI admite certificados de CA


autofirmados. En este tipo de casos, la CA es responsable detoda la actividad de certificación que se realice en el dominio deadministración.

¶ Si su organización consta de cadenas de autoridad jerárquicas ointerdependientes, puede configurar la CA para que trabaje conotras CA.

v Una CA de Tivoli PKI puede emitir certificados cruzados conotras CA y acordar aceptar certificados firmados por dichasCA como prueba de autenticidad. La certificación cruzadapermite que las entidades de un dominio de administración deCA se comuniquen de forma segura con las entidades deotros dominios de administración de CA.

v Una CA de Tivoli PKI puede servir como raíz CA parafirmar certificados de otras CA. También ofrece soporte parasolicitudes de otras CA que deseen firmar su certificado deCA. Esta política permite que la CA forme parte de unajerarquía de confianza; la CA se compromete a aceptarcertificados firmados por cualquier CA superior de lajerarquía como prueba de autenticidad.

Dichos modelos de confianza son útiles, por ejemplo, paraseparar áreas geográficas y unidades organizativas en distintosdominios de administración. También le permite aplicar distintaspolíticas de certificados a diferentes secciones de laorganización.

¶ Si su organización necesita certificados para propósitos todavíano soportados con los perfiles de certificados de Tivoli PKI, laCA puede generar y validar certificados con extensionesdefinidas por el usuario.

Consulte la publicaciónTivoli PKI Guía de personalizaciónparaobtener información sobre cómo definir nuevos perfiles yextensiones de certificados.

Para obtener información detallada acerca de la CA de Tivoli PKI,consulte la publicaciónTivoli PKI Guía de administración delsistema. Este manual contiene instrucciones para ajustar las opciones


1.Inform

aciónacerca

deTivoliP

KI

de ejecución del servidor CA y los procedimientos que debenseguirse para establecer modelos de confianza de certificadoscruzados y CA jerárquicas.

Subsistema de auditoríaEn Tivoli PKI, el subsistema de auditoría proporciona soporte pararegistrar acciones de seguridad importantes. El servidor de auditoríagestiona la siguiente actividad de auditoría:

¶ Recibe sucesos de auditoría desde los clientes de auditoría, comola Autoridad de registro y la Autoridad de certificación.

¶ Escribe los sucesos en un registro de auditoría que suelealmacenarse en una base de datos DB2 (también puedealmacenarse en un archivo de datos). Existe un registro en elarchivo de registro por suceso de auditoría.

¶ Permite que los clientes de auditoría creen máscaras para lossucesos de auditoría. Aunque algunos sucesos se registransiempre, puede recurrir a las máscaras para evitar que semantenga un registro de determinados sucesos. Esta posibilidadpermite controlar el tamaño de los registros de auditoría ygarantizar que los sucesos registrados son de interés en suentorno.

¶ Calcula un código de autenticación de mensajes (MAC) paracada registro de auditoría. El código MAC ayuda a garantizar laintegridad del contenido de la base de datos. Por ejemplo, esposible determinar si un registro se ha alterado, manipulado oeliminado desde que se registró.

¶ Proporciona una herramienta para realizar comprobaciones deintegridad en la base de datos de auditoría y los registros deauditoría archivados.

¶ Proporciona una herramienta para archivar y firmar el estadoactual de la base de datos de auditoría. Por motivos deseguridad, debería archivar la base de datos de auditoría yalmacenarla fuera del sitio de forma periódica. El archivado delas bases de datos también puede proporcionar beneficios derendimiento y conservar espacio de disco.


El servidor de auditoría debe instalarse en el mismo equipo que laAutoridad de certificación. Tras instalar y configurar el sistema,consulte la publicaciónTivoli PKI Guía de administración delsistemapara obtener información sobre cómo utilizar lasherramientas de auditoría y administrar el servidor de auditoría.

Servidor WebTivoli PKI utiliza IBM WebSphere Application Server paraproporcionar una base de confianza para las transacciones de red.WebSphere es un conjunto de productos de seguridad, incluido IBMHTTP Server, que soporta el desarrollo de aplicaciones e-businessavanzadas.

En un sistema Tivoli PKI, debe instalarse el software de servidorWeb en el mismo equipo que la Autoridad de registro. Proporcionaun vínculo seguro entre los programas protegidos y los usuarios queintenten obtener acceso a los mismos. Mediante los protocolos detransferencia de hipertexto (HTTP y HTTPS) y la tecnología SSL(Secure Sockets Layer), el servidor Web puede cifrar lascomunicaciones entre los clientes y el servidor. También puedeautenticar las conexiones para evitar el acceso no autorizado o lamanipulación de datos.

El servidor Web utiliza distintos puertos para administrar diferentestipos de solicitudes:

¶ Un puerto público para solicitudes que no precisan cifrado oautenticación.

¶ Un puerto seguro para solicitudes que precisan cifrado yautenticación de servidor.

¶ Un puerto seguro para solicitudes que precisan cifrado,autenticación de servidor y autenticación de cliente.

En un sistema Tivoli PKI, el servidor Web se encarga de todas lassolicitudes que recibe del navegador Web. Ello incluye lassolicitudes de certificados nuevos, solicitudes para renovar o revocarcertificados existentes y solicitudes para ejecutar aplicacionesseguras. Si es necesario, también lleva a cabo la autenticación antesde permitir cualquier tipo de intercambio de información.


1.Inform

aciónacerca

deTivoliP

KI

Sistema de base de datosIBM DB2 Universal Database (DB2) es la base de almacenamientode Tivoli PKI. Los componentes de servidor conservan varias basesde datos para los datos de configuración, los de registro, decertificado, de auditoría y del Directorio. DB2 ofrece ampliascaracterísticas de seguridad y capacidad de almacenamiento. Porejemplo, DB2 habilita Tivoli PKI para almacenar datos de registroen formato cifrado y para realizar comprobaciones de integridad delos registros de auditoría almacenados.

La versión de DB2 necesaria para Tivoli PKI se incluye en elpaquete de distribución de Tivoli PKI. Antes de instalar el código delservidor de Tivoli PKI, compruebe que el software de bases de datosesté disponible en todos los equipos en los que desee instalar uncomponente de servidor. Durante la instalación y la configuración,Tivoli PKI crea las bases de datos necesarias.

Servidor del DirectorioIBM Directory mantiene información acerca de los certificados enuna ubicación centralizada. Mediante la integración con IBM DB2,el Directorio puede ofrecer soporte para millones de entradas dedirectorio. También permite que las aplicaciones cliente como TivoliPKI lleven a cabo transacciones de almacenamiento, actualización yrecuperación de bases de datos.

En Tivoli PKI, el servidor RA publica la siguiente información en elDirectorio:

¶ Certificados de clave pública, que se utilizan para el cifrado y laautenticación.

¶ Los atributos asociados con un nombre distintivo (las funcionesy los privilegios del propietario).

¶ Listas de revocación de certificados que incluyen los números deserie de todos los certificados revocados.

¶ Información acerca de la CA que firma los certificados, incluidaslas políticas empresariales y de certificados asociadas con elcertificado.


4758 Cryptographic CoprocessorCuando una CA emite un certificado, la firma de la CA certifica queel usuario está autorizado para tener acceso a los servicios para losque está registrado. Para evitar que usuarios no autorizados obtengancertificados y tengan acceso a recursos importantes, es precisoproteger la clave de firma de la CA. Se aplican consideraciones deseguridad similares respecto a los pares de claves generados por laRA.

Las soluciones de software pueden ofrecer un elevado nivel deseguridad a la clave de firma mediante el cifrado. Sin embargo, dadoque la clave debe exponerse para generar la firma, este enfoque ponela clave al alcance de usuarios no autorizados.

IBM 4758 PCI Cryptographic Coprocessor es un hardware especialque puede utilizarse en un sistema Tivoli PKI para proteger lasclaves de CA y RA. El coprocesador 4758 realiza funcionescriptográficas basadas en RSA y DES en un procesador de altaseguridad cerrado, habilitado para detectar manipulaciones de laplaca. El coprocesador proporciona protección criptográfica de losdatos, administración de claves y soporte para aplicacionespersonalizadas. También proporciona algoritmos hash MD5 ySHA-1. Estas funciones permiten que el coprocesador 4758 cumplalos requisitos industriales respecto a estándares y aplicaciones querequieren la capacidad de módulo de seguridad de hardware (HSM).

En una instalación de Tivoli PKI de una sola máquina, es posibleque la CA y la RA tengan cada una de ellas su propia tarjeta decoprocesador 4758, o pueden compartir una única tarjeta decoprocesador 4758. Al ejecutar el Asistente para la configuración seespecifica cómo está configurada la tarjeta.

Nota: La compatibilidad con el procesador 4758 sólo está disponibleen la versión AIX de Tivoli PKI.

Consulte la publicaciónTivoli PKI Guía de administración delsistemay la documentación del producto para obtener informaciónadicional sobre el coprocesador 4758.


1.Inform

aciónacerca

deTivoliP

KI

RecomendaciónA pesar de que el coprocesador 4758 no es necesario, IBMrecomienda instalarlo en el mismo servidor donde desee instalarla Autoridad de certificación. Si trabaja con software deprotección de claves de CA, no podrá instalar después elsoporte para hardware sin tener que volver a instalar elsoftware de Tivoli PKI.

Recurso de recuperación y copia de seguridad declave

Tivoli PKI proporciona un recurso de recuperación y copia deseguridad de clave que permite recuperar y efectuar la copia deseguridad de certificados de entidad y sus claves privadascorrespondientes certificadas por Tivoli PKI.

Este recurso permite recuperar un certificado y una clave privadaperdidos, olvidados o que no pueden obtenerse. Observe el ejemplosiguiente: un empleado efectúa la copia de seguridad de suscertificados y claves privadas de forma rutinaria y, repentinamente,abandona la empresa y no puede devolver todas las claves privadaspara acceder a dicha información. Al emitir una solicitud derecuperación, puede recuperar dicha información.

El proceso de copia de seguridad requiere que el usuario cree unarchivo PKCS #12. Este archivo contiene el certificado y la claveprivada del usuario. El usuario emite una solicitud de copia deseguridad desde un navegador soportado usando el archivo PKCS#12 como entrada. La base de datos de recuperación de claves,krbdb, se actualiza y contiene la información de acceso. Larecuperación de claves funciona de forma parecida: el usuario emiteuna solicitud de recuperación en la que se especifica la contraseñadel archivo PKCS #12 del cual ha efectuado la copia de seguridad.Después de que el Administrador de la RA ha aprobado la solicitud,ya puede bajar el archivo.


Recurso de emisión masiva de certificadosTivoli PKI proporciona un recurso de emisión masiva de certificadosque permite al cliente inscribir, crear y actualizar en LDAP(Lightweight Directory Access Protocol) muchos certificados deentidad final en un único proceso automatizado. Este recursorequiere un archivo de entrada, con el formato adecuado, quecontenga los datos del certificado, incluida la clave pública. Elproceso lee la entrada de la CA de inscripción, envía las solicitudesa la CA para la generación del certificado y finalmente actualiza elcertificado y los datos del usuario en el Directorio. El recurso deemisión masiva de certificados puede ejecutarse como un únicoproceso o puede separase como en los procesos individuales,dependiendo del modelo de empresa del cliente. Este recurso sedescribe de forma detallada en la publicaciónTivoli PKI Guía deadministración del sistema.

ArquitecturaLas siguientes secciones abordan la infraestructura jerárquica deTivoli PKI y los protocolos con los que es compatible.

Infraestructura de claves públicasLa infraestructura de claves públicas (PKI) proporciona aplicacionescon una infraestructura adecuada para realizar los siguientes tipos deactividades de seguridad:¶ Autenticar todas las partes que participen en transacciones

electrónicas.¶ Autorizar el acceso a sistemas sensibles y repositorios.¶ Verificar el autor de cada mensaje mediante su firma digital.¶ Cifrar el contenido de las comunicaciones.

El estándar de PKIX es resultado de la evolución de PKI para darsoporte a la interoperatividad de aplicaciones e-business. La principalventaja de este sistema consiste en que permite a las organizacionesrealizar transacciones electrónicas seguras independientemente de laplataforma operativa o software de aplicación.

La implementación de PKIX en Tivoli PKI se basa en la arquitecturaCommon Data Security Architecture (CDSA) de Intel. CDSA soporta


1.Inform

aciónacerca

deTivoliP

KI

varios modelos de confianza, formatos de certificado, algoritmoscriptográficos y repositorios de certificado. La principal ventaja deeste sistema consiste en que permite a las organizaciones escribiraplicaciones compatibles con PKI que den soporte a sus políticasempresariales.

Protocolo PKIX CMPTivoli PKI utiliza el protocolo CMP de PKIX para lascomunicaciones entre los servidores RA y CA y para lacomunicación entre el servidor y los clientes RA. A pesar de queCMP utiliza el protocolo TCP/IP como mecanismo de transporteprincipal, también existe una capa de abstracción sobre el socket. Deeste modo se habilita el soporte para transportes de sondeoadicionales.

CMP define los formatos de mensaje para que soporten todo el ciclode vida de un certificado. También especifica cómo se debe llevar acabo la administración de la protección de mensajesindependientemente del mecanismo de transporte.

CMP Versión 2, soportado en este Tivoli PKI, ayuda a promover lainteroperatividad entre las autoridades CA de varios proveedores yaque realizan funciones como, por ejemplo, emisión, revisión yrevocación de certificados digitales. Este soporte tambiénproporciona una seguridad y unos tamaños de mensaje mayores.

Protocolo LDAPPara proporcionar a las aplicaciones acceso a los servicios deservidor centralizados, IBM Directory soporta el protocolo LDAP(Lightweight Directory Access Protocol). LDAP es un protocoloderivado del estándar X.500. LDAP usa TCP/IP y controla el accesoal directorio mediante el uso de nombres distintivos y contraseñas.Puesto que es compatible con conexiones SSL, LDAP puede cifrarmensajes y realizar autenticación mutua de clientes y servidores.

En Tivoli PKI, el servidor RA utiliza LDAP para comunicarse con elservidor del Directorio. La RA publica certificados, listas de


revocación de certificados y otras informaciones acerca de lasentidades registradas y las políticas de certificación del Directorio deforma periódica y planificada.

En este release de Tivoli PKI se proporciona compatibilidad con losesquemas y clases de objetos de LDAP Versión 3. Las aplicacionesexistentes de Tivoli PKI que utilicen los esquemas de PKIX LDAPVersión 2 pueden seguir utilizando los esquemas y clases de objetoexistentes.

Almacenes de objetosCada componente de Tivoli PKI tiene un almacén de objetos. Elalmacén de objetos es un repositorio basado en disco para objetospermanentes. Almacena transacciones en proceso e información deestado acerca de dichas transacciones. Los objetos pueden serobjetos de control activo (como por ejemplo certificados, solicitudesy CRL), o bien sustitutos. Un sustituto es un área donde se guardanlos datos de estado del objeto.

Como los objetos del almacén de objetos se guardan en un formatocon codificación ASN.1, las operaciones de recuperación yalmacenamiento pueden ser relativamente caras. El almacén deobjetos guarda en antememoria las modificaciones realizadas en losobjetos y no actualiza el almacenamiento del disco hasta que seproduce un cambio en el estado de un objeto, o bien hasta que unainterfaz de usuario altera el objeto.

Para minimizar los gastos generales asociados con el análisis ASN.1,Tivoli PKI utiliza una capa de antememoria de objetos por encimadel almacén de objetos que realiza un almacenamiento enantememoria de escritura simultánea de los objetos del almacén deobjetos. Como consecuencia de ello, un objeto sólo debe analizarsela primera vez que se hace referencia al mismo después de reiniciarel servidor.

La capa de antememoria de objetos proporciona un área dealmacenamiento adicional por objeto que no se basa en disco. TivoliPKI utiliza esta área para almacenar información transitoriarelacionada con la seguridad, como por ejemplo la contraseña que


1.Inform

aciónacerca

deTivoliP

KI

protege un informe de pre-registro. La antememoria de objetostambién puede bloquear objetos de registro para protegerse delacceso simultáneo de varios threads.

Modelo de confianzaLa seguridad en un sistema Tivoli PKI se lleva a cabo mediante lautilización de firma de código, firma de mensajes, cifrado de datos yalmacenamiento seguro de claves y contraseñas.

Firma de códigoEl código de tipo core de Tivoli PKI se firma durante su fabricación.Cuando el código se firma con una clave privada generada enfábrica, se convierte en un objeto estático y protegido. No puedealterarse ni reemplazarse sin que se detecte. Otros objetos del códigopueden utilizar la clave pública correspondiente así como labiblioteca de verificación interna para autenticar la comunicaciónantes de que tenga lugar un intercambio de datos.

Firma de mensajesPara ofrecer todavía mayores servicios de autenticación, el procesode configuración genera claves de firma para los servidores RA, CAy de auditoría, garantizando que se firmen todas las comunicacionesestablecidas entre los componentes. Por ejemplo, todos los mensajesintercambiados entre los servidores RA y CA pueden autenticarsesegún la firma de cada componente.

Cifrado de datosToda la información almacenada en los Almacenes de claves estácifrada. DB2 también cifra gran parte de la información almacenadaen las bases de datos de Tivoli PKI.

Almacenes de clavesTivoli PKI proporciona soporte para los Almacenes de claves, áreasseguras que almacenan claves privadas, certificados, códigos deautenticación de mensajes (MAC) y otros objetos de interés encuanto a la seguridad. Existen Almacenes de claves distintos para loscomponentes de RA y de auditoría así como para varios agentes deservidor que ayudan a llevar a cabo transacciones de servidor. La


información de cada Almacén de claves está cifrada y sólo se puedeacceder a la misma mediante una contraseña que está establecidapara cada Almacén de claves.

Este modelo de confianza ayuda a garantizar la integridad delsistema ya que protege los objetos que están almacenados en losAlmacenes de claves. También ayuda a garantizar la confidencialidadde dichos objetos ya que sólo permite que un componente delsistema de confianza, firmado con una clave generada en fábrica,pueda acceder al Almacén de claves y a los datos cifrados quecontiene.

Durante la configuración, se definen dos contraseñas, la contraseñade cfguser y la contraseña del Programa de control. Estascontraseñas pueden ser la misma o distintas. Después de laconfiguración, se debe establecer una contraseña exclusiva para cadaAlmacén de claves. Consulte la publicaciónTivoli PKI Guía deadministración del sistemapara obtener información sobre cómousar la utilidad Cambiar contraseña para realizar estos cambios.

Estándares soportadosTivoli Public Key Infrastructure soporta los siguientes estándarespara la criptografía de claves públicas.


1.Inform

aciónacerca

deTivoliP

KI

Componente Estándar

Autoridad deregistro

¶ Secure Sockets Layer (SSL) versión 2 y versión 3, con autenticaciónde cliente

¶ Formato de certificados de servidor y de navegador PKCS #10 conuna respuesta PKCS #7 codificada con Base64

¶ Formato de certificados PKIX CMP, con una respuesta PKIX CMP¶ Formato de certificados IPSec¶ Formato de certificados S/MIME¶ Certificados de navegador para:v Microsoft Internet Explorer versiones 4.x y 5.xv Netscape Navigator y Netscape Communicator versiones 6.x

¶ Certificados de servidor para:v Netscape Enterprise Serverv Microsoft Internet Information Server

¶ Certificados de Smart Card (interfaz PKCS #11) para NetscapeNavigator y Netscape Communicator versiones 6.x

¶ Estándar LDAP para las comunicaciones con el Directorio¶ PKIX CMP vía TCP/IP para las comunicaciones con la Autoridad de

certificación

Autoridad decertificación

¶ certificados X.509v3¶ Listas de revocación de certificados (CRLv2)¶ Longitudes de claves de hasta 1024 bits para claves de cifrado y de

intercambio de claves¶ Longitudes de claves de hasta 2048 bits para claves de firma de la

CA¶ Algoritmos RSA para cifrado y firma¶ Algoritmos hash MD5 y SHA-1¶ PKIX CMP vía TCP/IP para las comunicaciones con la Autoridad de

registro

IBM Directory LDAP versión 3.2, con sintaxis RFC 1779


Componente Estándar

Hardware de IBM4758 PCICryptographicCoprocessor

¶ Requisitos de nivel 4 de FIPS 140 para la resistencia a los ataquesfísicos

¶ Soporte para estándares de criptografía aceptados por la industria:v DES para cifrado/descifradov RSA para firmas/verificación de firmasv PKCS #1 tipo de bloque 00v PKCS #1 tipo de bloque 01v PKCS #1 tipo de bloque 02v Algoritmos hash MD5 y SHA-1v ANSI X9.9 y X9.23v ISO 9796

Programa desoporte de IBMCCACryptographicCoprocessor

Proporciona servicios para el coprocesador 4758, como por ejemplo lageneración segura de pares de claves RSA con longitudes de modulus dehasta 2048 bits, así como:¶ SET (Secure Electronic Transaction)¶ DES para cifrado y descifrado¶ RSA para firmas y verificación de firmas¶ Algoritmos hash MD5 y SHA-1

Certificado X.509 Versión 3Los certificados de Tivoli PKI tienen soporte para la mayoría de loscampos y extensiones definidos en el estándar X.509 versión 3(X.509v3). Este soporte permite utilizar los certificados para lamayor parte de usos criptográficos, como por ejemplo SSL, IPSec,VPN y S/MIME.

Los certificados de Tivoli PKI pueden incluir los siguientes tipos deextensión:

Extensiones estándarLas extensiones de certificados X.509v3 estándar son: uso declaves, período de uso de claves privadas, nombre alternativode asunto, restricciones básicas y restricciones de nombres.

Extensiones comunesSon las extensiones que son exclusivas a Tivoli PKI, comopor ejemplo la correlación de identidad de sistema principal.


1.Inform

aciónacerca

deTivoliP

KI

Esta extensión asocia el asunto de un certificado con unaidentidad correspondiente de un sistema principal.

Extensiones privadasSon las extensiones que puede utilizar una aplicación paraidentificar un servicio de validación en línea que tienesoporte para la CA emisora.

Para dar soporte a las políticas de registro de una organización,Tivoli PKI también proporciona los medios para personalizar ydefinir extensiones de certificados. Por ejemplo, se pueden modificarlas extensiones especificadas en los perfiles de certificados poromisión o bien crear perfiles que devuelven certificados conextensiones distintas.

Para obtener información detallada sobre cómo crear o personalizarextensiones de certificados o perfiles de certificados, consulte lapublicaciónTivoli PKI Guía de personalización.


Requisitos del sistema

El sistema operativo que vaya a utilizar debe cumplir los requisitosde software y hardware que se especifican en las siguientessecciones. Para obtener la información más actualizada acerca de losrequisitos del sistema, consulte el archivo Notas del release de TivoliPublic Key Infrastructure (PKI). El archivo Notas del release puedecontener información más actualizada que la de la documentacióndel producto.

Para obtener el último archivo Notas del release, acceda al sitio Webde Tivoli Public Key Infrastructure.

Requisitos del software de servidorPara distribuir la carga de trabajo entre los procesadores y parasoportar la configuración existente del sistema de la organización,instale los programas del servidor de Tivoli PKI en varios equipos.Si desea obtener información sobre las diferentes maneras deconfigurar Tivoli PKI en su entorno, consulte el apartado“Configuraciones de servidor soportadas” en la página 49.

En la tabla siguiente se muestran las principales características delsistema operativo de Tivoli PKI y los requisitos de software.

2


2.R

equisitosdelsistem

a


Producto Notas

Uno de los siguientes sistemasoperativos:¶ IBM AIX/6000 (AIX), versión

4.3.3 Nivel de mantenimiento 6¶ Microsoft Windows NT, versión

4.0 con Service Pack 5

¶ Obligatorio¶ Debe instalar todos los

programas del servidor de TivoliPKI en la misma plataforma. Nopuede mezclar equipos AIX yWindows NT en una mismainstalación de Tivoli PKI.

IBM DB2 Universal Database,versión 6.1 FixPack 4

¶ Obligatorio; suministrado en elpaquete de distribución deTivoli PKI.

¶ Existe una base de datos únicapara cada componente deservidor de Tivoli PKI. Antes deinstalar Tivoli PKI, debe instalarDB2 en todos los equipos en losque tenga previsto utilizar elservidor de Tivoli PKI.

IBM WebSphere Application Server,Standard Edition, version 3.5Arreglo temporal del programa(PTF) 4. Incluye IBM HTTP Server,versión 1.3.12.3 y Sun JavaDevelopment Kit (JDK), versión1.2.2 Arreglo temporal del programa(PTF) 8

¶ Obligatorio; suministrado en elpaquete de distribución deTivoli PKI.

¶ Antes de instalar Tivoli PKIdebe instalar el software deservidor Web en el mismoequipo en el que vaya a instalarla Autoridad de registro.

IBM Directory versión 3.1.1.5 ¶ Obligatorio; suministrado en elpaquete de distribución deTivoli PKI.

¶ Antes de instalar Tivoli PKIdebe instalar el software delDirectorio. Puede instalarlo enel mismo equipo con Tivoli PKIo en un equipo remoto.


Producto Notas

¶ IBM 4758 PCI CryptographicCoprocessor

¶ IBM 4758 CCA SupportProgram, versión 2.2.1.0

¶ Opcional; disponible sólo parasistemas AIX; debe solicitar esteproducto a través de los canalesde pedido habituales de IBM.

¶ Antes de instalar Tivoli PKIdebe instalar el hardware delcoprocesador 4758 y elprograma de compatibilidad enel servidor donde vaya a instalarla Autoridad de certificación ola Autoridad de registro.

¶ La tarjeta criptográfica 4758precisa un bus PCI en máquinasRS/6000.

Requisitos del hardware del servidorLa configuración del equipo que seleccione para Tivoli PKI dependede la actividad empresarial prevista y de si se desea utilizar TivoliPKI en AIX o en Windows NT.

¶ Si desea ejecutar Tivoli PKI en un sistema AIX, debe instalarloen una máquina IBM RISC System/6000 (RS/6000

®

).

¶ Si desea ejecutar Tivoli PKI en un sistema Windows NT, IBMrecomienda que lo instale en un servidor IBM Netfinity

®

.

Utilice las siguientes definiciones como instrucciones para valorarlos requisitos de capacidad y rendimiento:

Entorno de producción pequeño o de pruebaUna ubicación que emite centenares de certificados al día.Puede ser un sistema configurado para emitir certificadospara empleados a través de una intranet o un sistemaconfigurado para pruebas y desarrollo de aplicaciones.

Entorno de producción medianoUbicación que emite miles de certificados al día. Puede serun sistema configurado para que pequeñas y medianasempresas emitan certificados por Internet.


2.R

equisitosdelsistem

a

Entorno de producción masivaUbicación que emite miles de certificados al día. Puede serun sistema configurado para que grandes empresas emitancertificados por Internet. También puede ser un sistema queproporcione servicios CA de terceros a otras organizaciones.

En la siguiente tabla se resumen los requisitos recomendados delequipo para un entorno de producción pequeño. Deberá adaptar laconfiguración física del equipo según sus necesidades deprocesamiento.

Plataforma Tipo deequipo

Procesadores Espacio en disco Memoria

AIX RS/6000 1 (233 MHz) 4 GB 256 MB

NT PC 1 (IntelPentium 300MHz)

2 GB 256 MB

Requisitos del Asistente para la configuraciónIBM recomienda la siguiente configuración para que la estación detrabajo ejecute la aplicación de configuración de Tivoli PKI (elAsistente para la configuración).

¶ Configuración física del equipo:v Procesador Intel Pentium con un mínimo de 64 MB de RAMv Un monitor con resolución de 1024x768 o superior con

65536 colores

¶ Uno de los siguientes sistemas operativos:v Microsoft Windows 95v Microsoft Windows 98v Microsoft Windows NT

¶ Un navegador Web compatible con applets basados en JDK 1.1,como los que figuran a continuación:v Netscape Navigator o Netscape Communicator, versiones 4.7x

solamente.


Nota: Netscape Navigator o Netscape Communicator, versión6 no es compatible con el applet de configuración ocon RA Desktop. Netscape Navigator o NetscapeCommunicator, versión 6 sólo es compatible con lasoperaciones de certificados como, por ejemplo,inscripción, renovación, revocación, copia deseguridad y recuperación.

v Microsoft Internet Explorer, versión 5.0 o posterior

Debe instalar la versión oficial del navegador distribuida porNetscape o Microsoft. Las versiones de proveedores externospueden presentar problemas de visualización de la información,en especial al ejecutar la aplicación en un idioma que no sea elinglés.

Consulte la publicaciónTivoli PKI Guía de configuraciónparaobtener información completa sobre cómo ejecutar el Asistente parala configuración y configurar el sistema Tivoli PKI.

Requisitos del clientePara determinar si la estación de trabajo cumple los requisitosnecesarios para utilizar un navegador con el que solicitar yadministrar certificados, consulte la publicaciónTivoli PKI Guía delusuario.

Para determinar si la estación de trabajo cumple los requisitos paraejecutar RA Desktop de Tivoli PKI, consulte la publicaciónTivoliPKI Guía de RA Desktop.


2.R

equisitosdelsistem

a

Planificación para Tivoli PKI

En este capítulo se aborda la interacción de Tivoli Public KeyInfrastructure (PKI) con los productos que se presentan comorequisitos previos. Antes de intentar instalar el software o configurarel sistema, consulte la lista de comprobación del apartado “Lista decomprobación de planificación de la instalación” en la página 32.Después de asegurarse de que se cumplan los requisitos de dichalista de comprobación, repase los temas restantes de este capítulo. Eneste capítulo también encontrará directrices para preparar el entornooperativo para utilizar Tivoli PKI. En este capítulo se incluyen lossiguientes temas:

¶ Cómo asegurar el sistema físicamente y protegerlo de intrusioneselectrónicas no autorizadas

¶ Cómo configurar alias IP para que el servidor Web seacompatible con los requisitos de cortafuegos de la organización

¶ Cómo Tivoli PKI crea y utiliza bases de datos

¶ Cómo Tivoli PKI interactúa con el Directorio

¶ Cómo Tivoli PKI interactúa con el coprocesador 4758

¶ Cómo Tivoli PKI interactúa con Policy Director

¶ Configuraciones de servidor recomendadas para ejecutar TivoliPKI en un entorno de varios equipos

¶ Consideraciones de idiomas nacionales para ejecutar Tivoli PKIen el idioma local de la organización

3


3.P

lanificaciónpara

TivoliP

KI

¶ Un resumen de los CD proporcionados con elpaquete dedistribución de Tivoli PKI

Lista de comprobación de planificación de lainstalación

En la lista de comprobación siguiente se identifican los elementosque necesita para que la instalación de Tivoli PKI resultesatisfactoria. Repase los elementos de esta lista de comprobación yseñálelos (U) cuando haya satisfecho los requisitos.

Elemento Descripción Comentarios ¿Completado?U

Formación delproducto

Tivoli PKI Póngase en contacto consu representante de IBM oTivoli para obtenerdetalles.

IBM 4758 PCICryptographic Coprocessor

Póngase en contacto consu representante de IBM oTivoli para obtenerdetalles.



Requisitos delsoftware deservidor

Uno de los siguientessistemas operativos:¶ IBM AIX/6000

(AIX), versión 4.3.3Nivel demantenimiento 6

¶ Microsoft WindowsNT, versión 4.0 conService Pack 5

IBM DB2 UniversalDatabase versión 6.1FixPack 4

Obligatorio; suministradoen el paquete dedistribución de Tivoli PKI.

IBM WebSphereApplication Server,Standard Edition version3.5 Arreglo temporal delprograma 4. Incluye IBMHTTP Server versión1.3.12.3 y Sun JavaDevelopment Kit (JDK)version 1.2.2 Arreglotemporal del programa 8.


IBM Directory versión3.1.1.5


IBM Global Security KitSSL Runtime Toolkit(GSKit) versión 4.0.3.116


IBM KeyWorks versión1.1.3.1


¶ IBM 4758 PCICryptographicCoprocessor

¶ IBM 4758 CCASupport Program,versión 2.2.1.0.

Opcional; disponible sólopara sistemas AIX; debesolicitar este producto através de los canales depedido habituales de IBM.


3.P

lanificaciónpara

TivoliP

KI


Requisitos delhardware delservidor

Una de los siguientesplataformas:

¶ AIX: IBM RISCSystem/6000

¶ Windows NT: ServidorIBM Netfinity

¶ 4 GB de espacio endisco

¶ 256 MB de memoria¶ Un procesador a 233

MHz (AIX), o¶ Un procesador a 300

MHz Intel Pentium(Windows NT)



Requisitos delAsistente para laconfiguración

¶ Procesador IntelPentium con unmínimo de 64 MB deRAM

¶ Un monitor conresolución de1024x768 o superiorcon 65536 colores

Uno de los siguientessistemas operativos:¶ Microsoft Windows 95¶ Microsoft Windows 98¶ Microsoft Windows

NT

Un navegador Webcompatible con appletsbasados en JDK 1.1, comolos que figuran acontinuación:¶ Netscape Navigator o

NetscapeCommunicator, versión4.7x sólo paraplataformas Windows

¶ Microsoft InternetExplorer, versión 5.0 oposterior

Debe instalar la versiónoficial del navegadordistribuida por Netscape oMicrosoft. Las versionesde proveedores externospueden presentarproblemas de visualizaciónde la información, enespecial al ejecutar laaplicación en un idiomaque no sea el inglés.


3.P

lanificaciónpara

TivoliP

KI


Requisitos de RADesktop




NT

Uno de los siguientesnavegadores Web:¶ Netscape Navigator o

Communicator, release4.7x solamente

¶ Microsoft InternetExplorer, release 5.0 oposterior

Debe instalar la versiónoficial del productodistribuida por Netscape oMicrosoft.

Con Internet Explorer,debe disponer de JVM(Máquina virtual de Java)release 5.00, build 3167 oposterior.



Requisitos delcliente


Además,



NT

Un navegador Web comolos siguientes:¶ Netscape Navigator o

NetscapeCommunicator, versión4.7 o posterior paraplataformas Windows

¶ Microsoft InternetExplorer, versión 5.0 oposterior

Debe instalar la versiónoficial del productodistribuida por Netscape oMicrosoft.

Cómo asegurar el sistemaTivoli PKI utiliza la técnica de cifrado, las firmas y los certificadosdigitales para proteger las transacciones y los recursos contraintrusiones no autorizadas. Sin embargo, la seguridad del servidor deTivoli PKI es dependiente de la seguridad del entorno operativosubyacente.


3.P

lanificaciónpara

TivoliP

KI

En esta sección se incluyen recomendaciones para dotar de seguridadal entorno físico del sistema a fin de minimizar la intrusión deusuarios no autorizados antes de empezar a instalar el software deTivoli PKI.

A continuación se indican algunos de los elementos de seguridad quedebe tener en cuenta:

Área aisladaConfigure el servidor en una sala aislada y destinadaexclusivamente a la actividad de Autoridad de certificación(CA). Si es posible, la sala debería estar dotada de paredesreforzadas, de una sola puerta de madera maciza o acero yun techo sólido en el que no haya paneles que puedandesprenderse. La sala también debería tener un suelo elevadoa fin de evitar descargas en caso de incendio.

Área mantenidaLa sala debería proporcionar sistemas de alimentaciónininterrumpible (SAI) para los equipos ligeros, sistemas,detectores de movimiento y sistemas de calefacción yrefrigeración. Es necesario supervisar los controles detemperatura para garantizar que haya suficiente aire frío paradisipar el calor que generan los equipos.

Acceso controladoPuede restringir el acceso al área física de varios modos,utilizando identificadores o bloqueos de puertas controladospor teclado, por ejemplo. Para evitar manipulacionesfraudulentas por parte de cualquier persona, debería instalarcontroles que exijan la presentación de las credencialesnecesarias de dos empleados de confianza como mínimo.

También debería supervisar la sala para realizar unseguimiento de las veces y las personas que tienen acceso ala sala de seguridad. Para obtener una máxima seguridad,instale sensores de movimiento tanto en la parte interiorcomo en la exterior de la puerta.

Comunicación controladaNo debería haber puertos abiertos en el servidor de Tivoli


PKI. Debe configurarse el sistema de modo que escucheúnicamente las solicitudes de los puertos que se asignen deforma explícita a las aplicaciones activas de Tivoli PKI.

Utilización de la tecnología de cortafuegosIBM recomienda instalar un cortafuegos, como IBM Firewall, paraproteger el sistema Tivoli PKI de intrusiones procedentes de otrasubicaciones de la red. Los cortafuegos permiten dotar de seguridadal sistema de los siguientes modos:

¶ Controlar las aplicaciones que pueden tener acceso a la redinterna desde Internet.

¶ Controlar las direcciones de la red interna a las que puede teneracceso una aplicación autorizada.

¶ Evitar que las aplicaciones internas tengan acceso a la redexterna (Internet).

¶ Autenticar las fuentes de todas las solicitudes entrantes yconceder o denegar el acceso según se crea conveniente.

Para ejecutar las restricciones de acceso, debería configurar losservidores de Tivoli PKI ubicados detrás del cortafuegos. Elcortafuegos que instale debe proporcionar la siguiente funcionalidadcomo mínimo:

¶ Un direccionador de filtros para bloquear de forma selectiva lospaquetes de datos según las preferencias de su política. Porejemplo, el cortafuegos debería permitir establecer controles querestrinjan las comunicaciones para puertos y direcciones IPespecíficos.

¶ Un servidor proxy que actúe como intermediario entre lassolicitudes cliente/servidor. Por ejemplo, el cortafuegos debepermitir interceptar las solicitudes FTP o HTTP de los usuariosantes de direccionarlas al proceso de servidor adecuado. De estemodo se evita que el cliente y el servidor se comuniquen entre sídirectamente.


3.P

lanificaciónpara

TivoliP

KI

¶ Una red de perímetro que proporcione un almacenamientointermedio adicional que pueda aislar y proteger la red internaen caso de que la seguridad de la red externa presenteproblemas.

Tenga en cuenta que puede instalar los programas del servidor deTivoli PKI en varios equipos, una solución que presenta numerososbeneficios. Por ejemplo, puede obtener mejoras de rendimientodistribuyendo la carga de trabajo entre varios procesadores,estableciendo copias de seguridad planificadas independientes ycontrolando el acceso a los distintos procesos mediante la asignaciónde direcciones IP. A fin de garantizar la seguridad de dichosprogramas, sin embargo, deberá configurar los servidores detrás delcortafuegos. Deben tomarse las mismas medidas de precaución paraprotegerlos que las adoptadas para el servidor principal.

Trabajo con bases de datos de Tivoli PKITivoli PKI utiliza el software IBM DB2 Universal Database paraadministrar los datos. La versión de DB2 que incluyen el paquete dedistribución de Tivoli PKI está concebida exclusivamente para suuso con aplicaciones de Tivoli PKI. Si desea personalizar el softwarede bases de datos o utilizarlo para otros propósitos, distintos deTivoli PKI, deberá adquirir una licencia para una versión completade IBM DB2 Enterprise Edition.

Para configurar Tivoli PKI en un entorno de varios equipos, debeinstalar el software de bases de datos de Tivoli PKI en cada equipoen el que desee instalar un componente de servidor de Tivoli PKI.

Como parte de la ejecución del programa de configuración posteriora la instalación, Tivoli PKI crea la base de datos cfgdb y la llena conlos valores de configuración por omisión:

Durante la configuración, Tivoli PKI crea las siguientes bases dedatos para los datos de CA, datos de registro, datos de auditoría ydatos de recuperación y copia de seguridad. Si instala Tivoli PKI enun sistema AIX, debe crear particiones de disco para las bases dedatos antes de iniciar el proceso de instalación. Consulte el apartado


“Configuración de grupos de volúmenes y sistemas de archivos deAIX” en la página 57 para obtener información más detallada.¶ ibmdb¶ pkrfdb¶ adtdb¶ krbdb

Tivoli PKI también crea la base de datos ldapdb para el Directorio,salvo que ya exista una:

Si instala todos los componentes de servidor en el mismo equipo, losprogramas de configuración crean las bases de datos en segundoplano. Si instala los componentes de la CA, auditoría o delDirectorio en equipos remotos, deberá seguir los siguientes pasosdurante la configuración para garantizar que las bases de datos seinicien de forma correcta. En la publicaciónTivoli PKI Guía deconfiguraciónse describen los procesos de configuración remota.

Si instala Tivoli PKI en sistemas AIX, las bases de datos deconfiguración, CA, registro y auditoría se crearán en una instanciadenominada cfguser. Salvo que haya creado una base de datos parael Directorio anteriormente, también se crea en una instancia cfguser.

Si instala Tivoli PKI en Windows NT, el nombre de la instancia delas bases de datos de Tivoli PKI coincidirá con el nombre de usuarioen el que instale el producto (el valor que se sugiere es cfguser, peropuede variar según la instalación). Salvo que haya creado una basede datos para el Directorio anteriormente, se creará una en unainstancia denominada ldapInst.

A fin dar soporte a las funciones de copia de seguridad yrecuperación, Tivoli PKI habilita el registro cronológico de auditoríapara sucesos de registro y certificación. Consulte la publicaciónTivoli PKI Guía de administración del sistemapara conocer lasdirectrices sobre cómo archivar los registros de auditoría y cómorealizar copias de seguridad y restaurar el sistema. Si desea obtenerinformación adicional sobre cómo realizar copias de seguridad de lasbases de datos y cómo restaurarlas, póngase en contacto con eladministrador de bases de datos de DB2.


3.P

lanificaciónpara

TivoliP

KI

Configuración de alias IP para el servidor WebEl paquete de distribución de Tivoli Public Key Infrastructureincluye el software de servidor Web que necesita para Tivoli PKI:IBM WebSphere Application Server, IBM HTTP Server y el kit dedesarrollo de Sun Java (JDK). Una vez instalado el software, puedeque desee configurar puertos específicos para procesar solicitudespúblicas y de seguridad.

En un sistema Tivoli PKI, el servidor Web debe ser compatible conlos siguientes tipos de solicitudes:

¶ Solicitudes públicas o que no sean SSL (Secure Sockets Layer)

¶ Solicitudes SSL seguras sin autenticación de cliente

¶ Solicitudes SSL seguras con autenticación de cliente

En la configuración por omisión, Tivoli PKI designa puertos en elservidor Web para administrar cada tipo de solicitud. De este modose puede utilizar el sistema tal como viene instalado sin necesidad derealizar ajustes en la configuración de red.

En la siguiente tabla se resumen esta arquitectura y los valores depuerto por omisión:

Protocolo SSLAutenticaciónde servidor

Autenticaciónde cliente

Número depuerto

HTTP No No No 80

HTTPS Sí Sí No 443

HTTPS Sí Sí Sí 1443

En muchos sistemas seguros, sólo los puertos 80 y 443 pueden serabiertos mediante el cortafuegos y únicamente el puerto 443 puedeutilizarse para conexiones SSL. Si su organización presenta unasituación como ésta, deberá configurar el servidor Web de modo queun mismo puerto pueda procesar distintos tipos de solicitudes. Porejemplo, quizás desee configurar el sistema para que ambosservidores de seguridad escuchen solicitudes en el puerto 443.


Para proporcionar varios puntos de acceso al mismo equipo a travésdel mismo puerto, debe definir los nombres de los sistemasprincipales virtuales y asociarlos con las direcciones IP que son aliasde la dirección IP real del equipo. Este concepto, conocido comoalias IP, permite ejecutar varios servidores independientes en unmismo equipo.

Nota: Si no desea utilizar los valores de configuración por omisiónpara los puertos del servidor Web, debe configurar los alias IPantesde ejecutar el applet de configuración de Tivoli PKI.Los programas de configuración se basan en estos valorespara crear el certificado de CA del sistema.

Los alias IP se definen en su DNS (Servicio de nombres de dominio)TCP/IP. Para Tivoli PKI, haga lo siguiente para configurar dos alias:

¶ Configure el DNS y especifique el nombre de sistema principaly la dirección IP del equipo. Utilice esta entrada para el servidorpúblico que escucha solicitudes no SSL en un puerto 80.

¶ Agregue un alias de nombre de sistema principal (virtual) y unalias de dirección IP. Utilice esta entrada para el servidor Webseguro que escucha solicitudes SSL sin autenticación de clienteen el puerto 443.

¶ Agregue un segundo alias de nombre de sistema principal y unsegundo alias de dirección IP. Utilice esta entrada para elservidor Web seguro que escucha solicitudes SSL conautenticación de cliente en el puerto 443.

Observe que estos alias de nombres de sistema principal ydirecciones IP deben ser exclusivos y deben asignarse al mismoequipo físico.

Para obtener información sobre cómo configurar nombres desistemas principales virtuales y alias IP, consulte la documentaciónque se proporciona con el producto de DNS. También puedeconsultar la documentación disponible acerca del servidor IBMHTTP Server. Consulte, por ejemplo, la información de soporte alusuario que encontrará en el siguiente sitio Web de IBM HTTPServer:


3.P

lanificaciónpara

TivoliP

KI

http://www.ibm.com/software/webservers/httpservers/library.html

Trabajo con el DirectorioEl paquete de distribución de Tivoli Public Key Infrastructureincluye el software necesario para instalar IBM Directory. Puedeinstalar el software proporcionado con Tivoli PKI y configurarlo deforma específica para su uso con Tivoli PKI, o utilizar Tivoli PKIcon un IBM Directory existente. Cuando instala el software deservidor de Tivoli PKI, los programas de instalación actualizan elDirectorio con la información necesaria para los componentes deTivoli PKI.

Durante la configuración, Tivoli PKI crea las entradas necesariaspara crear un vínculo con el Directorio y la información depublicación. Por ejemplo, el programa de configuración crea unaentrada para la CA de Tivoli PKI y asigna los permisos de accesonecesarios para el Directorio.

Si instala todos los componentes de servidor en el mismo equipo, losprogramas de configuración actualizan el Directorio en segundoplano. Si instala el Directorio en un equipo remoto, deberá realizarestos pasos durante la configuración a fin de garantizar que dichoproceso sea correcto. Encontrará más información en la publicaciónTivoli PKI Guía de configuración.

Esquema del DirectorioCada entrada del Directorio representa un único objeto, como unapersona, una organización o un dispositivo, que se identificamediante un nombre distintivo (DN) único y que no sea ambiguo. Elesquema del Directorio define las reglas de los nombres distintivoscomo, por ejemplo, cómo declararlos y el tipo de información quepuede o debe incluirse en un DN.

El DN contiene un conjunto de atributos que ayuda a identificar demanera exclusiva el objeto y diseñar los privilegios de los objetos.Por ejemplo, pueden identificar la ubicación del objeto, laorganización a la que está asociado y el nombre por el que seconoce el objeto.


Para ayudarle a definir las entradas del Directorio necesarias paraTivoli PKI, la aplicación de configuración proporciona una interfazgráfica de usuario (GUI). El Editor de nombres distintivos permiteespecificar los atributos de los DN sin necesidad de conocer losrequisitos de esquema del Directorio.

Controles de acceso del DirectorioTodas las entradas del Directorio se organizan de forma lógica enuna estructura jerárquica denominada Árbol de información delDirectorio (DIT). Este árbol tiene una sola raíz y un númeroilimitado de nodos en cascada. Cada nodo corresponde a una entradadel Directorio que se identifica mediante un atributo distinguido.

El Directorio permite definir privilegios de control de acceso paracada una de las entradas o para una entrada y todo el subárbol queengloba. Al configurar Tivoli PKI, se aplican de modo automáticolos privilegios apropiados para cada entrada DN de Tivoli PKI. Enresumen:

¶ La CA debe poder tener acceso a todas las entradas que seencuentren en el nivel de su DN, o en un nivel inferior, de lajerarquía del Directorio. Los objetos que se hallan en el nivelbase de la CA o en niveles inferiores son miembros del dominioadministrativo de la CA. Representan las entidades que tienenautorización para recibir una clave pública y un certificado porla CA.

¶ Dado que la CA de Tivoli PKI no se enlaza directamente con elDirectorio, utiliza un agente denominado administrador delDirectorio. El administrador del Directorio se encarga de lassolicitudes existentes entre la CA, la RA y el Directorio. Estáautorizado para actualizar todas las entradas en el subárbol de laCA del Directorio. Esto incluye la posibilidad de agregar,eliminar, cambiar, leer, buscar y comparar entradas delDirectorio.

¶ Cada sistema Tivoli PKI define un DN raíz del Directorio. ElDN raíz es una entidad configurada que no existe realmente enel árbol del Directorio. Como administrador root, tiene autoridadpara actualizar todos los nodos del Directorio, no sólo los de unsubárbol específico de la CA.


3.P

lanificaciónpara

TivoliP

KI

Los atributos del DN raíz describen los protocolos y loscontroles compatibles con el Directorio. Con ello es posible queclientes como Tivoli PKI determinen la información básicaacerca del servidor y el árbol del Directorio. Además, permiteque Tivoli PKI se enlace directamente con el Directorio pararealizar cambios en éste.

Trabajo con el coprocesador 4758A pesar de que este producto es opcional, se recomienda utilizarIBM 4758 PCI Cryptographic Coprocessor para maximizar laseguridad de las claves de firma de la CA y la RA. De este modo esposible reducir al mínimo la exposición del sistema a posibles dañoscausados por los administradores del sistema o por infiltrados delsistema.

Nota: La compatibilidad con el procesador 4758 sólo está disponibleen la versión AIX de Tivoli PKI.

El coprocesador 4758 utiliza la API de la arquitectura criptográficacomún de IBM para proporcionar sólidos servicios criptográficos.Todo el proceso criptográfico se lleva a cabo en los límites segurosde la tarjeta criptográfica física.

Durante la instalación, el programa de configuración del 4758 generauna clave maestra y la almacena en el hardware. En un sistemaTivoli PKI, el coprocesador utiliza dicha clave maestra y unalgoritmo RSA para cifrar por partida triple la clave de firma de laCA o RA. Este paso proporciona una capa adicional de seguridadcontra intentos para comprometer o descifrar de algún modo la firmade la CA o RA.

Además de la inteligencia criptográfica, el coprocesador 4758 puededetectar intentos de manipulación del hardware o la clave maestra,irregularidades en el voltaje y la temperatura o excesos de radiación.Al detectarlos, las claves necesarias para tener acceso a los datosseguros del módulo se destruyen.


Nota: Para obtener más información acerca de cómo instalar,configurar y clonar el coprocesador 4758, consulte ladocumentación del producto IBM 4758.

Almacenamiento de las claves de la CA y la RA en elhardware

Si decide utilizar el coprocesador 4758, deberá instalarlo en elequipo en el que instale el servidor CA de Tivoli PKI o el servidorRA de Tivoli PKI antes de configurar el sistema Tivoli PKI. Alconfigurar la CA o RA, debe especificar si debe utilizarse o no elcoprocesador para almacenar la clave de firma.

En la mayoría de los sistemas Tivoli PKI, la clave de CA o RA nose almacena físicamente con la clave maestra. Sin embargo, existeuna opción de configuración que permite anular este valor poromisión, una acción que IBM no recomienda. Si el hardware delcoprocesador 4758 genera errores, debe estar preparado para tomarmedidas correctivas de inmediato.

Si decide almacenar las claves de CA o RA en el hardware, deberíapreparar un plan de recuperación en caso de desastre. Debe serconsciente de los riesgos y las acciones correctivas asociadas a estadecisión:

¶ Al realizar una copia de seguridad del coprocesador 4758, sólose efectúa copia de seguridad de la clave maestra, pero no delresto de las claves almacenadas en la tarjeta de hardware. Por lotanto, si la tarjeta está dañada o se produce algún otro tipo deerror de hardware, perderá la clave de firma de la CA o RA.

¶ Si pierde la clave de CA o RA, o su integridad se ve en peligro,deberá desactivar la CA o RA y volverla a activar con una nuevaclave. Mientras la CA o RA no están disponibles, los usuarioscuyos certificados hayan firmado no podrán utilizarlos puestoque no existe otro medio para validarlos.

¶ Puesto que los certificados firmados con la clave original de CAo RA dejan de ser válidos, deben emitirse nuevos certificadosfirmados con la nueva clave de CA o RA tras restablecer la CAo RA.


3.P

lanificaciónpara

TivoliP

KI

http://www.ibm.com/security/cryptocards/

Consulte la publicaciónTivoli PKI Guía de administración delsistemapara obtener información adicional sobre el coprocesador4758.

Integración con Policy DirectorTivoli Policy Director proporciona seguridad de extremo a extremopara los recursos que se hallan dispersos geográficamente porintranets y extranets. Ello incluye soporte amplio para autenticación,autorización, seguridad de datos y administración de recursos. Alintegrar Policy Director con Tivoli PKI, puede crear un entornoseguro y protegido mediante certificados para las actividades dee-business.

Policy Director proporciona un único punto de control para entornosWeb. Cuando un usuario intenta tener acceso a un sitio seguro,Policy Director puede exigir un único inicio de sesión para cadausuario Web, autenticar su identidad y verificar su autoridad paratener acceso a un área protegida. Como parte del proceso devalidación, Policy Director puede configurarse para evaluarcertificados de Tivoli PKI.

Por ejemplo, puede configurar Policy Director para que acepte sóloaquellos certificados que haya firmado una CA autenticada, unaconocida por Policy Director. Si se proporciona a Policy Director uncertificado de CA de Tivoli PKI, podrá establecer con facilidad unabarrera entre los usuarios no autorizados y los recursos que deseeproteger.

Para obtener información acerca de cómo utilizar certificados deTivoli PKI en un entorno de Policy Director, consulte el libro rojode IBM, Tivoli SecureWay Policy Director Centrally Managinge-business Security,SG24-6008–00.

Tivoli PKI puede personalizarse para integrarse aún más con PolicyDirector, utilizando los Objetos de proceso de negocio (BPO). Porejemplo, puede escribir que un BPO puede crear un ID de usuario dePolicy Director tras aprobarse una solicitud de certificado. De estaforma, el certificado están enlazado con el objeto ePerson de Policy


Director creado en LDAP. Proporcionar un BPO que realice estafunción tiene la ventaja añadida de ofrecer también un mecanismo deinscripción basado en Web para Policy Director.

Consulte el libro rojo de IBMWorking with Business ProcessObjects for Tivoli SecureWay PKI, SG24-6043-00 para obtenerinstrucciones sobre el desarrollo y la personalización de los BPOpara que se ajusten a sus requisitos específicos de negocio.

Configuraciones de servidor soportadasPuede instalar todos los componentes de servidor de Tivoli PKI enun solo equipo o distribuir el proceso entre varios equipos. Noobstante, deben cumplirse las restricciones siguientes:

¶ El servidor Web, WebSphere, y el servidor principal de TivoliPKI, que incluye el servidor RA y las bases de datos donde sehallan los datos de configuración y registro deben coexistir en lamisma máquina.

¶ El servidor CA y el servidor de auditoría, y sus bases de datosdeben coexistir en la misma máquina.

¶ El servidor del Directorio y su base de datos deben coexistir enla misma máquina.

La configuración de la red del servidor depende de la carga detrabajo prevista de la organización y de si se utiliza algún tipo deequipo determinado para propósitos múltiples. Por ejemplo, si instalópreviamente el Directorio y lo utilizó con otras aplicaciones, quizásdesee mantener dicho servidor aislado de los otros componentes deTivoli PKI.

Las siguientes configuraciones resumen los posibles modos dedistribución de los componentes de servidor:

¶ El servidor de Tivoli PKI principal, los servidores CA y deauditoría y el servidor del Directorio en un único equipo.

¶ El servidor de Tivoli PKI principal, los servidores CA y deauditoría y el servidor del Directorio en distintos equipos.


3.P

lanificaciónpara

TivoliP

KI

¶ El servidor de Tivoli PKI principal en un equipo y los servidoresCA y de auditoría y el servidor del Directorio en un segundoequipo.

¶ El servidor de Tivoli PKI principal y los servidores CA y deauditoría en un equipo y el servidor del Directorio en unsegundo equipo.

¶ El servidor de Tivoli PKI principal y el servidor del Directorioen un equipo y los servidores CA y de auditoría en un segundoequipo.

Consideraciones sobre el entorno internacionalLos componentes de Tivoli PKI están habilitados para serdistribuidos en un entorno internacional:

¶ Los archivos de mensaje y las interfaces gráficas de usuario(GUI) están traducidas y proporcionan soporte de idiomanacional en los siguientes los idiomas siguientes: inglés, francés,alemán, italiano, español, portugués de Brasil, japonés, coreano,chino simplificado y chino tradicional.

¶ Todos los campos de entrada de texto son compatibles con lacodificación de Unicode y UTF-8.

¶ Todos los nombres distintivos son compatibles con lacodificación de Unicode y UTF-8.

En Tivoli PKI, todas las vías de acceso de los archivos deconfiguración están disponibles sólo en inglés y deben especificarseen formato ASCII.

Debido a las regulaciones de exportación de los gobiernos, TivoliPKI se distribuye en ediciones de cifrado diferentes. La edicióndisponible para los clientes nacionales (EE.UU., subsidiarios deEE.UU. y Canadá) incluye un algoritmo de cifrado más potente queel de la edición distribuida para los clientes internacionales. Losalgoritmos criptográficos vienen por omisión en el código deproducto y no pueden modificarse al instalar, configurar o utilizar elproducto.


Paquete de distribución de Tivoli PKIEl software de Tivoli PKI se distribuye en un paquete que contienevarios CD:

¶ CD de IBM WebSphere Application Server para AIX StandardEdition V3.5 Application Server e IBM HTTP Server

Este CD contiene el software de servidor Web necesario paraTivoli PKI. Incluye WebSphere Application Server e IBM HTTPServer.

¶ IBM WebSphere Application Server for AIX Standard EditionV3.5 IBM Directory

Este CD contiene el software de la base de datos y delDirectorio necesario para Tivoli PKI.

¶ Tivoli Public Key Infrastructure for AIX V 3.7.1, CD 1

Este CD contiene el software de bases de datos necesario paraTivoli PKI e incluye lo siguiente:

v La Autoridad de registro, la Autoridad de certificación y losprogramas del servidor de auditoría de Tivoli PKI; elsoftware del Directorio y los programas para instalar,configurar y administrar el producto.

v Una imagen de instalación para el applet RegistrationAuthority Desktop de Tivoli PKI.

Los CD específicos para la plataforma se proporcionan paraAIX.

¶ Tivoli Public Key Infrastructure for AIX V 3.7.1, CD 2

Este CD contiene el software necesario para Tivoli PKI y losarreglos de programa.

¶ Tivoli Public Key Infrastructure Cómo empezar

¶ Tivoli Public Key Infrastructure Notas del release


3.P

lanificaciónpara

TivoliP

KI

Instalación de Tivoli PKI en AIX

En este capítulo se describen los procedimientos de instalación deTivoli Public Key Infrastructure (PKI) y los productos que es precisoinstalar con anterioridad en una plataforma AIX.

Antes de instalar el software de Tivoli PKI, lea la última versión delarchivo Notas del release del producto. Puede descargar la versiónmás actual del archivo Notas del release del sitio Web de TivoliPublic Key Infrastructure:http://www.tivoli.com/support

Instale el software de Tivoli PKI en el orden siguiente:

1. Sistema operativo AIX versión 4.3.3.

2. Sistema operativo AIX Nivel de mantenimiento 6 (debereiniciarse la máquina tras su instalación).

3. IBM DB2 Universal Database versión 6.1. FixPack 4

4. IBM Directory Server versión 3.1.1.5.

5. IBM Developer Kit for AIX, Java Technology Edition, versión1.2.2 Arreglo temporal del programa 8

6. IBM WebSphere Application Server Standard Edition versión3.5.

7. Actualice a IBM WebSphere Application Server StandardEdition versión 3.5 Arreglo temporal del programa 4.

8. Inhabilite el inicio automático de IBM HTTP Server.

4


4.Instalación

deTivoli

PK

Ien

AIX



9. Inicie WebSphere Application Server.

10. IBM KeyWorks versión 1.1.3.1.

11. Software de servidor de Tivoli PKI

Configuración de AIXSiga las directrices que se detallan a continuación para instalar elsoftware de AIX en el equipo o los equipos donde desee instalar elsoftware de Tivoli PKI. En caso de que haya instalado AIX conanterioridad, las instrucciones le servirán como guía de verificaciónpara comprobar que ha instalado todos los archivos necesarios paralos componentes de Tivoli PKI.

Si configura Tivoli PKI en un entorno de varios equipos, deberáinstalar AIX en cada uno de los equipos en los que desee instalar uncomponente de servidor de Tivoli PKI.

Para comenzar el proceso de instalación, efectúe los pasossiguientes:

1. Lleve a cabo una instalaciónNueva y completaen vez de unainstalaciónConservación.

Nota: No instale ningún nivel de arreglo ahora. Lo hará mástarde durante el proceso de instalación.

2. Compruebe que el idioma local del equipo se establece en elidioma en el que desea ejecutar el resto de las aplicaciones deTivoli PKI.

3. Tivoli PKI es compatible con AIX Trusted Computing Base(TCB). Si desea utilizar esta característica, que amplía todavíamás la seguridad del sistema operativo, seleccione esta opciónpara habilitarla al instalar AIX.

4. Al configurar TCP/IP, escriba el nombre breve del sistema comoHOSTNAME. Por ejemplo, escribanombre_sis_pralen lugar de“nombre_sis_pral.mi_empresa.com”. Efectúe los pasos siguientesdespués de instalar AIX para verificar que haya especificado elnombre correctamente:


a. Escribasmitty.

b. SeleccioneCommunications Applications and Services(Servicios y aplicaciones de comunicaciones).

c. SeleccioneTCP/IP.

d. SeleccioneMinimum Configuration and Startup(Configuración mínima e inicio).

e. Seleccione la interfaz de red adecuada de la listaAvailableNetwork Interfaces (Interfaces de red disponibles). Porejemplo, seleccioneen0 Standard Ethernet NetworkInterface (Interfaz de red Ethernet estándar en0).

f. Verifique que el valor HOSTNAME tenga el formatocorrecto.

Verificación de conjuntos de archivosDespués de instalar AIX y reiniciar el sistema, compruebe que esténinstalados los siguientes conjuntos de archivos:bos.adt.base 4.3.3.0 COMMITTED Base Application Developmentbos.adt.debug 4.3.3.0 COMMITTED Base Application Developmentbos.adt.graphics 4.3.3.0 COMMITTED Base Application Developmentbos.adt.include 4.3.3.0 COMMITTED Base Application Developmentbos.adt.lib 4.3.3.0 COMMITTED Base Application Developmentbos.adt.libm 4.3.3.0 COMMITTED Base Application Developmentbos.adt.prof 4.3.3.0 COMMITTED Base Profiling Supportbos.adt.prt_tools 4.3.3.0 COMMITTED Printer Support Developmentbos.adt.samples 4.3.3.0 COMMITTED Base Operating System Samplesbos.adt.sccs 4.3.3.0 COMMITTED SCCS Application Developmentbos.adt.syscalls 4.3.3.0 COMMITTED System Calls Applicationbos.adt.utils 4.3.3.0 COMMITTED Base Application Developmentbos.adt.data 4.3.0.0 COMMITTED Base Application DevelopmentX11.adt.bitmaps 4.3.0.0 COMMITTED AIXwindows ApplicationX11.adt.ext 4.3.3.0 COMMITTED AIXwindows ApplicationX11.adt.imake 4.3.3.0 COMMITTED AIXwindows ApplicationX11.adt.include 4.3.3.0 COMMITTED AIXwindows ApplicationX11.adt.lib 4.3.3.0 COMMITTED AIXwindows ApplicationX11.adt.motif 4.3.3.0 COMMITTED AIXwindows ApplicationX11.apps.aixterm 4.3.3.0 COMMITTED AIXwindows aixterm ApplicationX11.apps.clients 4.3.3.0 COMMITTED AIXwindows Client ApplicationsX11.apps.config 4.3.3.0 COMMITTED AIXwindows ConfigurationX11.apps.custom 4.3.3.0 COMMITTED AIXwindows Customizing ToolX11.apps.msmit 4.3.3.0 COMMITTED AIXwindows msmit ApplicationX11.apps.rte 4.3.3.0 COMMITTED AIXwindows RuntimeX11.apps.util 4.3.3.0 COMMITTED AIXwindows UtilityX11.apps.xterm 4.3.3.0 COMMITTED AIXwindows xterm ApplicationX11.base.common 4.3.3.0 COMMITTED AIXwindows Runtime CommonX11.base.lib 4.3.3.0 COMMITTED AIXwindows Runtime LibrariesX11.base.rte 4.3.3.0 COMMITTED AIXwindows Runtime EnvironmentX11.base.smt 4.3.3.0 COMMITTED AIXwindows Runtime SharedX11.compat.lib.X11R5 4.3.3.0 COMMITTED AIXwindows X11R5 CompatibilityX11.fnt.coreX 4.3.0.0 COMMITTED AIXwindows X Consortium FontsX11.fnt.defaultFonts 4.3.2.0 COMMITTED AIXwindows Default FontsX11.fnt.iso1 4.3.3.0 COMMITTED AIXwindows Latin 1 FontsX11.motif.lib 4.3.3.0 COMMITTED AIXwindows Motif LibrariesX11.motif.mwm 4.3.3.0 COMMITTED AIXwindows Motif Windowifor_ls.base.cli 4.3.3.0 COMMITTED License Use Management Runtime


4.Instalación

deTivoli

PK

Ien

AIX

ifor_ls.client.base 4.3.3.0 COMMITTED License Use Management Clientifor_ls.client.gui 4.3.3.0 COMMITTED License Use Management Clientifor_ls.msg.en_US.base.cliifor_ls.base.cli 4.3.3.0 COMMITTED License Use Management Runtimeifor_ls.client.base 4.3.3.0 COMMITTED License Use Management ClientxlC.cpp 4.3.0.1 COMMITTED C for AIX PreprocessorJava.rte.bin 1.1.8.0 COMMITTED Java Runtime EnvironmentJava.rte.classes 1.1.8.0 COMMITTED Java Runtime EnvironmentJava.rte.lib 1.1.8.0 COMMITTED Java Runtime Environment

Si no están instalados todos estos conjuntos de archivos, instálelosantes de proseguir con la instalación.

Verificación de los espacios de paginación adecuadosDebe haber al menos 768 MB de espacio de paginación. Efectúe lospasos siguientes para verificar que exista el espacio de paginaciónadecuado:

1. Escribasmitty.

2. SeleccioneSystem Storage Management (Physical & LogicalStorage) (Gestión del almacenamiento del sistema(Almacenamiento físico y lógico)).

3. SeleccioneLogical Volume Manager (Gestor de volúmeneslógicos).

4. SeleccionePaging Space(Espacio de paginación).

5. SeleccioneList All Paging Spaces(Listar todos los espacios depaginación).

6. Si el tamaño total es inferior a 768 MB, efectúe lo siguiente:

a. PulseF3 o Cancelar.

b. SeleccioneChange/Show Characteristics of a Paging Space(Cambiar/mostrar características de un espacio depaginación).

c. Seleccione el nombre del espacio de paginación que deseeaumentar.

d. Agregue el número de particiones lógicas adicionalesnecesarias para aumentar el espacio de paginación hastaalcanzar los 768 MB.


Aplicación del nivel de arreglo a AIXDespués de verificar los conjuntos de archivos para AIX, instale elnivel de arreglo ML 4330–06. Consiga el parche ML 4330–06 denivel de arreglo de AIX e instálelo tal como se indique en ladocumentación adjunta. Debe reiniciar la máquina después de aplicarML 4330-06.

Configuración de grupos de volúmenes y sistemas dearchivos de AIX

Configure los siguientes sistemas de archivos con ayuda de laherramienta de interfaz de administración del sistema (SMIT) deAIX. Esta configuración recomendad se basa en el uso de dosunidades de disco con 4,5 GB de espacio disponible para los gruposde volúmenes rootvg y datavg.

Nota: En la siguiente información se asume que se instalan todoslos componentes de servidor en el mismo equipo. Si instala laAutoridad de certificación y el subsistema de auditoría en unequipo independiente del servidor de Autoridad de registro,deberá ajustar el proceso.

¶ Para la partición rootvg:

v Establezca la partición raíz (/) en 64 MB (128.000 bloques de512 bytes).

v Establezca la partición /en 3 GB (6.000.000 de bloques de512 bytes).

v Establezca la partición /tmp en 200 MB (400.000 bloques de512 bytes).

v Establezca la partición /var en 500 MB (1.000.000 de bloquesde 512 bytes).

v Establezca la partición /home en 200 MB (400.000 bloquesde 512 bytes).

¶ Para la partición datavg:

v Establezca la partición /local en 2 GB (4.000.000 de bloquesde 512 bytes).


4.Instalación

deTivoli

PK

Ien

AIX

v Cree una partición /dbfsibm y establézcala en 500 MB(1.000.000 de bloques de 512 bytes).

Éste es el sistema de archivos por omisión de la CA de TivoliPKI. Debe tener presente que puede ser necesario ajustar eltamaño en función del número de certificados que se emitan.

v Cree una partición /dbfspkrf y establézcala en 300 MB(600.000 bloques de 512 bytes).

Sistema de archivos por omisión del recurso de registro.Debe tener presente que puede ser necesario ajustar el tamañoen función del número de usuarios que se registren parasolicitar certificados.

v Cree una partición /dbfsadt y establézcala en 300 MB(600.000 bloques de 512 bytes).

Éste es el sistema de archivos por omisión para el subsistemade auditoría. Debe tener presente que puede ser necesarioajustar el tamaño en función del número de sucesos deauditoría que se registren.

v Cree una partición /dbfskrb y establézcala en 300 MB(600.000 bloques de 512 bytes).

Éste es el sistema de archivos por omisión para el recurso derecuperación y copia de seguridad de clave. Debe tenerpresente que puede ser necesario ajustar el tamaño en funcióndel número de solicitudes de copia de seguridad de clave quese emitan.

Creación de un sistema de archivos en CD-ROMPara instalar Tivoli PKI y los productos necesarios para ejecutarlo espreciso montar el sistema de archivos en CD-ROM como /cdrom. Sies necesario, utilice el siguiente mandato para crear una definiciónpara el sistema de archivos:crfs -v cdrfs -d /dev/cd0 -m /cdrom -p ro -A no

También puede utilizar la herramienta SMIT para crear el sistema dearchivos:smitty crcdrfs


Cambio del número de usuarios del sistema AIXEscriba el siguiente mandato para cambiar el número de usuarios delsistema AIX. Debe reiniciar el sistema para que el mandato surtaefecto.chlicense -u 100

Cómo asegurar la resolución de nombres de sistemaprincipal

Efectúe los pasos siguientes para configurar AIX de modo queservidor local pueda resolver nombres de sistema principalcorrectamente:

1. Cree un archivo en el directorio /etc con el nombre netsvc.confque contenga sólo la siguiente línea (no debe haber espacios enla sentencia):hosts=local,bind4

Puede crear este archivo mediante un editor de texto como vi oescribiendo el siguiente mandato:echo hosts=local,bind4 > netsvc.conf

2. Edite el archivo /etc/hosts y compruebe que el archivo hacereferencia al servidor que esté configurando. Por ejemplo:127.0.0.1 loopback localhost192.40.168.20 taserver.company.com taserver

La segunda línea del ejemplo anterior identifica la dirección IP,el nombre de sistema principal totalmente cualificado y elnombre de sistema principal abreviado del servidor AIX que estáconfigurando.

3. Cree o modifique el archivo /etc/resolv.conf para que sólocontenga las siguientes líneas:domain empresa.comnameserver 10.10.10.90

La primera línea del ejemplo anterior identifica el nombre dedominio del servidor que se configura. La segunda líneaidentifica la dirección IP del servidor de nombres DNS.


4.Instalación

deTivoli

PK

Ien

AIX

Creación de una imagen del sistemaAunque no es necesario, antes de continuar con la instalación deTivoli PKI se recomienda realizar una copia de seguridad de laconfiguración del sistema AIX. El hecho de disponer de una imagende copia de seguridad permite restaurar el sistema en caso de quesurja algún problema.

Para crear una imagen del sistema, escriba los siguientes mandatoscomo root y seleccione las opciones preferidas:smitty mksysbsmitty savevg

Instalación del software de bases de datosTivoli PKI utiliza el software IBM DB2 Universal Database paraadministrar los datos. El software IBM DB2 Universal Database seproporciona con IBM WebSphere Application Server StandardEdition versión 3.5.0. El software IBM DB2 Universal Databaseproporcionado con IBM WebSphere Application Server estáconcebido sólo para su uso con aplicaciones de Tivoli PKI. Si deseapersonalizar el software de bases de datos o utilizarlo para otrospropósitos, distintos de Tivoli PKI, deberá adquirir una licencia parauna versión completa de IBM DB2 Enterprise Edition, versión 6.1.

En las secciones que figuran a continuación se describen losprocedimientos para instalar el software de bases de datos. Si deseainstalar Tivoli PKI en una configuración de varios equipos, debeinstalar el software de bases de datos en todos los equipos en los quedesee instalar un componente de servidor de Tivoli PKI. Tenga encuenta las siguientes instrucciones:

¶ Durante la configuración, Tivoli PKI crea de forma automáticalas bases de datos necesarias para los programas del servidor.Salvo que ya exista una base de datos del Directorio, Tivoli PKItambién crea una base de datos para el Directorio.

¶ Antes de instalar Tivoli PKI debe comprobar que esté instaladala versión necesaria del software de bases de datos en todos losequipos en los que desee instalar un componente de servidor de


Tivoli PKI. Es preciso comprobar que el sistema de la base dedatos funcione correctamente por sí mismo antes de instalarTivoli PKI.

Instalación de DB2Siga este procedimiento para instalar el software de bases de datos.

1. Inicie la sesión como root.

2. Coloque el CD deIBM WebSphere Application Server para AIXen la unidad de CD-ROM. Escriba el siguiente mandato paramontar el CD:mount /cdrom

3. Escriba el siguiente mandato para cambiar al directorio /Db2 delCD:cd /cdrom/Db2

4. Escriba el siguiente mandato para ejecutar el script de lainstalación de la base de datos:./db2setup

Durante la instalación, el script de instalación de la base dedatos comprobará si ya está instalada una versión anterior deDB2 en el sistema y si el equipo tiene espacio de discosuficiente. Si no hay espacio suficiente, el sistema de archivos/usr se amplía hasta tener 400 MB de espacio libre.

5. SeleccioneDB2 UDB Enterprise Edition.

6. SeleccioneDB2 Product Messages(Mensajes del productoDB2).

7. Seleccione el idioma adecuado para su región y, a continuación,seleccioneBien.

8. SeleccioneDB2 Product Library (Biblioteca de productosDB2).

9. Seleccione el idioma adecuado para su región y, a continuación,seleccioneBien.

10. SeleccioneBien.


4.Instalación

deTivoli

PK

Ien

AIX

11. EnCreate DB2 Services(Crear servicios DB2), seleccioneCreate a DB2 Instance(Crear una instancia de DB2).

12. PulseIntro .

13. EstablezcaUser Name(Nombre de usuario) endb2inst1 yHome Directory (Directorio inicial) en/home/db2inst1. Dejelos demás valores establecidos en su valor por omisión.

14. Especifique valores paraPassword(Contraseña) yVerifyPassword(Verificar contraseña).

15. SeleccioneProperties (Propiedades).

16. PulseIntro .

17. ParaAuthentication Type (Tipo de autenticación), seleccioneClient (Cliente).

18. SeleccioneBien.

19. SeleccioneBien.

20. ParaAuthentication (Autenticación), especifique los valoresPassword(Contraseña) yVerify Password (Verificarcontraseña) para el nombre de usuario db2fenc1.

21. SeleccioneBien.

22. SeleccioneBien.

23. SeleccioneBien.

Nota: no tenga en cuenta el mensaje de advertencia.

24. SeleccioneContinue (Continuar).

25. SeleccioneBien.

En este punto comienza la instalación de DB2.

26. SeleccioneBien.

27. SeleccioneBien para salir o ver el registro.

28. SeleccioneClose (Cerrar).

29. SeleccioneBien.

30. SeleccioneBien.


En este punto finaliza esta parte de la instalación.

31. Escriba el siguiente mandato para desmontar el soporte deTivoli PKI:umount /cdrom

32. Escriba el siguiente mandato para cambiar de directorio:cd /usr/lpp/db2_06_01/cfg

33. Escriba el siguiente mandato para establecer las variables deentorno:./db2ln

34. Para proseguir con la instalación, consulte el apartado“Instalación de IBM Directory” en la página 63.

Instalación de IBM DirectoryTivoli PKI utiliza IBM Directory para almacenar y mantenerinformación acerca de los certificados emitidos a través del recursode registro. Utilice los procedimientos que se describen en lassiguientes secciones para instalar y configurar el software delDirectorio. Puede instalar el software en un equipo remoto o en elmismo equipo donde desee instalar un componente de servidor deTivoli PKI.

Instalación del software del DirectorioComo root, efectúe los pasos siguientes:

1. Coloque el CD del servidor del Directorio versión 3.1.1.5 en launidad de CD-ROM del sistema. Escriba el siguiente mandatopara montar el CD:mount /cdrom

2. Escriba el siguiente mandato para cambiar de directorio:cd /cdrom/usr/sys/inst.images

3. Escriba el siguiente mandato:smitty install

4. SeleccioneInstall and Update Software (Instalar y actualizarel software).


4.Instalación

deTivoli

PK

Ien

AIX

5. SeleccoineInstall and Update from LATEST AvailableSoftware (Instalar y actualizar desde el último softwaredisponible).

6. Seleccione. (punto) para la opciónINPUT device / directoryfor software (dispositivo de entrada / directorio de software).

7. En Install and Update from LATEST Available Software(Instalar y actualizar desde el último software disponible), pulseF4 para ver una lista de los conjuntos de archivos disponiblespara su instalación.

8. Utilice F7 para seleccionar el conjunto de archivos ldap.clientpara su instalación.

9. Una vez instalado el conjunto de archivos, enInstall andUpdate from LATEST Available Software (Instalar yactualizar desde el último software disponible), pulseF4 paraver una lista de los conjuntos de archivos disponibles para suinstalación.

10. Utilice F7 para seleccionar los conjuntos de archivos siguientespara su instalación:¶ ldap.server¶ ldap.html.es_ES

Nota: Debe seleccionar los conjuntos de archivos de idiomaadecuados para la instalación que lleva a cabo.

11. Escriba los siguientes mandatos para desmontar el soporte delDirectorio. No puede haber ningún proceso que acceda aldirectorio /cdrom cuando ejecute estos mandatos.umount /cdrom

Nota: En una configuración de varios equipos, cada servidor deTivoli PKI debe tener instalado el software cliente delDirectorio antes de ejecutar la aplicación de configuración deTivoli PKI. Para instalar el software, seleccione la opciónldap.client del CD del servidor del Directorio en cada uno delos equipos, salvo en el que instale únicamente el software deservidor del Directorio. Existe un archivo que esimprescindible instalar: libldap.a.


Al finalizar, se habrán instalado los archivos siguientes:ldap.client.adt 3.1.1.5 COMMITTED SecureWay Directory Client SDKldap.client.rte 3.1.1.5 COMMITTED SecureWay Directory Clientldap.html.en_US.config 3.1.1.0 COMMITTED SecureWay Directoryldap.html.en_US.man 3.1.1.0 COMMITTED SecureWay Directory Man Pagesldap.msg.en_US 3.1.1.0 COMMITTED SecureWay Directory Messages -ldap.server.admin 3.1.1.5 COMMITTED SecureWay Directory Serverldap.server.com 3.1.1.5 COMMITTED SecureWay Directory Serverldap.server.rte 3.1.1.5 COMMITTED SecureWay Directory Serverldap.client.rte 3.1.1.5 COMMITTED SecureWay Directory Clientldap.server.admin 3.1.1.5 COMMITTED SecureWay Directory Serverldap.server.com 3.1.1.5 COMMITTED SecureWay Directory Server

Instalación de JavaPara instalar Java, efectúe los pasos siguientes:

1. Coloque el CD deTivoli PKI para AIX en la unidad deCD-ROM del sistema. Escriba el siguiente mandato para montarel CD:mount /cdrom

2. Escriba el siguiente mandato para cambiar de directorio:cd /cdrom/aix/Java_1.2.2.ptf8

3. Escriba el siguiente mandato:smitty install


5. SeleccioneInstall and Update from LATEST AvailableSoftware (Instalar y actualizar desde el último softwaredisponible).


7. PulseIntro .

8. PulseIntro .

9. PulseF10.

10. Escriba los siguientes mandatos para desmontar el soporte deTivoli PKI. No puede haber ningún proceso que acceda aldirectorio /cdrom cuando ejecute este mandato.umount /cdrom


4.Instalación

deTivoli

PK

Ien

AIX

Al finalizar, se habrán instalado los archivos siguientes:Java_dev2.adt.debug 1.2.2.9 COMMITTED Java Application DevelopmentJava_dev2.adt.includes 1.2.2.0 COMMITTED Java Application DevelopmentJava_dev2.adt.src 1.2.2.9 COMMITTED Java Classes Source CodeJava_dev2.rte.bin 1.2.2.9 COMMITTED Java Runtime EnvironmentJava_dev2.rte.lib 1.2.2.9 COMMITTED Java Runtime Environment

Creación de la base de datos de WebSphereApplication Server

Antes de instalar WebSphere Application Server, debe crear una basede datos de DB2 para el mismo. Para crear una base de datos,efectúe los pasos siguientes:


2. Escriba el siguiente mandato:su - db2inst1

3. Inicie la consola de DB2 mediante el mandato siguiente:db2

4. Cree y configure la base de datos para WebSphere ApplicationServer escribiendo los mandatos siguientes:create database was_dbupdate db cfg for was_db using applheapsz 256

5. Salga de la consola de DB2 escribiendoquit.

6. Detenga DB2 escribiendodb2stop.

7. Inicie DB2 escribiendodb2start.

8. Escriba el mandatoexit.

Instalación del software de servidor WebTivoli PKI utiliza IBM WebSphere Application Server e IBM HTTPServer para dar soporte a las funciones basadas en Web. Paragarantizar que los programas del servidor Web se instalan de formacorrecta para su uso con Tivoli PKI, siga este procedimiento parainstalar el software en una plataforma AIX. Es preciso instalar elsoftware en un equipo en el que se vaya a instalar el componenteAutoridad de registro.


Tenga en cuenta que a pesar de que WebSphere dispone de unainterfaz de administración para administrar aplicaciones, no esposible ni es necesario utilizarla para administrar las aplicaciones deTivoli PKI.

Después de instalar Tivoli PKI, un programa de postinstalaciónactualiza el servidor Web con la información necesaria para TivoliPKI. Al iniciar el servidor Web, el programa utiliza el archivo deconfiguración que crea Tivoli PKI para este propósito.

Nota: asegúrese de leer la información sobre cómo Tivoli PKIconfigura los puertos del servidor Web, que encontrará en elapartado “Configuración de alias IP para el servidor Web” enla página 42. Si desea configurar los puertos de otra manera,deberá hacerlo antes de configurar Tivoli PKI.

Instalación de WebSphere Application Server1. Inicie la sesión como root.

2. Coloque el CD deWebSphere Application Server para AIXen launidad de CD-ROM. Escriba el siguiente mandato para montar elCD:mount /cdrom

3. Si efectúa la instalación de forma remota, debe instalarWebSphere en un entorno X11 gráfico. Escriba el siguientemandato para exportar la variable de entorno DISPLAY adecuadapara que el programa de instalación de WebSphere se abra,dondesu_sis_pral:0.0es el valor correcto para el sistema:export DISPLAY=su_sis_pral:0.0

4. Instale WebSphere:

a. Escriba el siguiente mandato para cambiar de directorio:cd /cdrom/aix

b. Escriba el siguiente mandato para ejecutar el script install.sh../install.sh

c. En la ventana de bienvenida, pulseSiguiente.


4.Instalación

deTivoli

PK

Ien

AIX

d. En la ventana Install Options (Opciones de instalación),seleccioneCustom installation (Instalación personalizada) ypulseSiguiente.

e. En la primera ventana Choose Application ServerComponents (Seleccionar componentes del servidor deaplicaciones), seleccioneAll Components (Todos loscomponentes) y pulseSiguiente.

f. En la segunda ventana Choose Application ServerComponents (Seleccionar componentes del servidor deaplicaciones), seleccioneIBM HTTP Server plug-in(Complemento de IBM HTTP Server) y pulseSiguiente.

g. En la ventana Database Options (Opciones de base de datos)seleccioneDB2 de la lista desplegable Database Type (Tipode base de datos) y rellene los campos siguientes tal como seindica a continuación:Database Name (Nombre base datos): was_dbDB Home (Directorio inicial base datos): /home/db2inst1Database User ID (ID usuario base datos): db2inst1Database Password (Contraseña base de datos): su_contraseñaConfirm Password (Confirmar contraseña): su_contraseña

Dondesu_contraseñaes la contraseña db2inst1 especificadaal ejecutar db2setup.

h. En la ventana Security Information (Información deseguridad), escriba la contraseña del usuario root del sistema,confírmela y pulseSiguiente.

i. En la ventana Select Destination Directory (Seleccionardirectorio de destino), pulseSiguiente.

j. En la ventana Install Options Selected (Instalar opcionesseleccionadas), pulseSiguiente.

k. En la siguiente ventana, pulseBien para iniciar la instalacióndel producto.

Nota: Este paso tarda varios minutos en completarse.

l. En la ventana Setup Complete (Instalación completa), pulseFinish (Finalizar).


5. Escriba los siguientes mandatos para desmontar el soporte deWebSphere. No puede haber ningún proceso que acceda aldirectorio /cdrom cuando ejecute este mandato.cd /umount /cdrom

Al finalizar, se habrán instalado los archivos siguientes:IBMWebAS.base.IBMApache 3.5.0.0 COMMITTED IBMWebAS.base - IBMApacheIBMWebAS.base.ITJ.Info 1.0.0.0 COMMITTED IBMWebAS.base - ITJ InfoIBMWebAS.base.WASicon 3.5.0.0 COMMITTED IBMWebAS.base - WASiconIBMWebAS.base.admin 3.5.0.0 COMMITTED IBMWebAS.base - adminIBMWebAS.base.samples 3.5.0.0 COMMITTED IBMWebAS.base - samplesIBMWebAS.base.server 3.5.0.0 COMMITTED IBMWebAS.base - serverIBMWebAS.base.tivoli 3.5.0.0 COMMITTED IBMWebAS.base - tivoli

Actualización de WebSphere Application ServerPara actualizar WebSphere Application Server al PFT (Arreglotemporal del programa) 4, efectúe lo siguiente:


2. Escriba el siguiente mandato para cambiar de directorio:cd /cdrom/aix/WebSphere-Standard-ptf4

3. Copie todos los archivos del PTF4 de WebSphere del CD a undirectorio del sistema para el que disponga de permiso deescritura como root.

4. Escriba el siguiente mandato para ejecutar el script install.sh:./install.sh

5. Cuando el sistema lo solicite, especifique el directorio inicial deWebSphere. Normalmente, este directorio es/usr/WebSphere/AppServer.

6. Cuando el sistema lo solicite, responda″y″ (Sí) al mensaje″Please enter whether you want to install IHS WebServerPTF (y/n)″ (Indique si desea instalar el PTF de IHS WebServer(s/n)).


4.Instalación

deTivoli

PK

Ien

AIX

7. Cuando el sistema lo solicite, especifique la vía de acceso inicialde los documentos del servidor Web. Normalmente, estedirectorio es /usr/HTTPServer/htdocs/en_US. Responda″y ″ (Sí)a la confirmación.

Inhabilitación del inicio automático de IBM HTTPServer

Para inhabilitar la función de inicio automático del servicio de IBMHTTP Server, efectúe los pasos siguientes como root.

1. Escriba el siguiente mandato para cambiar al directorio /etc:cd /etc

2. Edite el archivo inittab y suprima la entrada deihshttpd. Guardeel archivo inittab después de suprimir la entrada.

3. Detenga el servicio de IBM HTTP Server que WebSphere yapueda haber iniciado. Para ello, efectúe lo siguiente:

a. Escriba el siguiente mandato para ver una lista de losprocesos que se hayan iniciado:ps -ef | grep http

b. Identifique el proceso/usr/HTTPServer/bin/httpd .

c. Busque el ID de proceso padre (el segundo campo de laizquierda).

d. Detenga el proceso padre escribiendo el mandatokill . Porejemplo,kill pid

dondepid es el ID del proceso padre.

Inicio de WebSphere Application ServerAntes de instalar Tivoli PKI, debe iniciar WebSphere ApplicationServer. Efectúe los pasos siguientes para iniciar WebSphereApplication Server:

1. Escriba el siguiente mandato para cambiar de directorio:cd /usr/WebSphere/AppServer/bin


2. Escriba el siguiente mandato:./startupServer.sh &

3. Escriba el siguiente mandato para cambiar de directorio:cd /usr/WebSphere/AppServer/logs

4. Escriba el siguiente mandato y observe el archivo de rastreo:tail -f archivo_rastreo

Cuando vea el mensajeA WebSphere Administration Serveropen for e-business(Un servidor de administración abierto parae-business), significa que WebSphere Application Server ya estáiniciado.

Nota: Este paso tarda varios minutos en completarse.

5. PulseControl + C para salir del mandatotail .

Instalación del coprocesador 4758Debe decidir si desea utilizar la tarjeta criptográfica IBM 4758 paraproteger las claves de firma de la CA o RA. Si la utiliza, instale elhardware del 4758 y el programa de soporte criptográficocorrespondiente en el servidor donde desee instalar la Autoridad decertificación o la Autoridad de registro respectivamente. Si la CA yla RA residen en el mismo equipo, el hardware del 4758 se puedecompartir.

Para obtener más información acerca de cómo instalar y configurarel coprocesador 4758, consulte la documentación del producto 4758.

Instalación de Tivoli PKIAntes de empezar la instalación de Tivoli PKI, lea la última versióndel archivo Notas del release del producto. Puede descargar laversión más actual del sitio Web de Tivoli PKI.

Siga las siguientes directrices para instalar los componentes delproducto Tivoli PKI:


4.Instalación

deTivoli

PK

Ien

AIX

http://www.ibm.com/security/cryptocards/


¶ Instale todos los programas de servidor en la misma plataforma(en este caso en AIX).

¶ Si ha instalado IBM KeyWorks Versión 1.1.1 con anterioridad,deberá instalar Tivoli PKI en otro equipo o eliminar el softwarede KeyWorks y cualquier aplicación asociada antes de iniciar elprograma de instalación de Tivoli PKI.

¶ Si configura Tivoli PKI en un entorno de varios equipos, deberepetir los procedimientos de instalación hasta que instale loscomponentes correctos del servidor en los equipos que desee.Consulte el apartado “Directrices para la instalación en variosequipos” en la página 75 para obtener más información.

¶ Cuando instale la aplicación RA Desktop, primero debe instalaruna imagen de instalación. A continuación, distribuya la imageno póngala a disposición de los usuarios de la red para quepuedan ejecutar el programa de instalación desde un equipo localen el que se ejecute Windows. Para obtener instrucciones sobrecómo instalar, configurar o desinstalar estos programas, consultela publicaciónTivoli PKI Guía de RA Desktop.

¶ Si no reinició el sistema después de instalar el softwarenecesario, hágalo ahora. Compruebe que las variables de entornoson correctas antes de instalar Tivoli PKI.

¶ Utilice PING o cualquier otra herramienta de conectividad dered para verificar que los nombres de sistema principal y lasdirecciones IP son válidas y conocidas por el servidor DNS(Servicio de nombres de dominio) de la red.

Instalación de KeyWorksPara instalar IBM KeyWorks, efectúe los pasos siguientes:



3. Escriba el siguiente mandato para cambiar de directorio:cd /cdrom/kw


4. Escriba el siguiente mandato para instalar KeyWorks:smitty install_latest


6. En Install and Update from LATEST Available Software(Instalar y actualizar desde el último software disponible), pulseIntro .

7. Si prosigue con la instalación de Tivoli PKI, puede saltarse estepaso. En caso contrario, escriba el siguiente mandato paradesmontar la unidad de CD-ROM.umount /cdrom

Al finalizar, se habrán instalado los conjuntos de archivos siguientes:sway.adt 1.1.3.1 COMMITTED IBM KeyWorkssway_vr.cst 1.1.3.1 COMMITTED Domestic (US) customization

Instalación del software de servidorPara instalar el software de servidor, efectúe los pasos siguientes:


2. Coloque el CD deTivoli PKI para AIX en la unidad deCD-ROM. Escriba el siguiente mandato para montar el CD:mount /cdrom

3. Escriba el siguiente mandato para cambiar de directorio:cd /cdrom/usr/sys/inst.images

4. Escriba el siguiente mandato:smitty

5. SeleccioneSoftware Installation and Maintenance(Instalación y mantenimiento de software).


7. SeleccioneInstall and Update from LATEST AvailableSoftware (Instalar y actualizar desde el último softwaredisponible).


4.Instalación

deTivoli

PK

Ien

AIX


9. EnSOFTWARE para instalar , pulseF4 para ver una lista delos conjuntos de archivos disponibles para ser instalados.

10. Utilice como referencia la siguiente tabla, seleccione elcomponente o los componentes que desee instalar en el equipoy pulse la teclaIntro .

El conjunto de archivos ta.doc contiene archivos de ayuda enformato HTML y la documentación de Tivoli PKI relativa a:¶ Tivoli PKI Guía de configuración¶ Tivoli PKI Guía de Registration Authority Desktop

El conjunto de archivos ta.srvr contiene los elementos siguientes:¶ Soporte para el coprocesador 4758¶ Autoridad de certificación¶ Archivos de imagen en memoria¶ GUI de instalación¶ Herramientas de instalación¶ Autoridad de registro

Nota: No seleccione el soporte para el coprocesador 4758 si elequipo no contiene el hardware del 4758. PulseF7 parainstalar de forma selectiva los conjuntos de archivos quenecesite.

Nombre dearchivo

Componente Descripción

tpki.srvr.ra Servidor deAutoridad deregistro

Instala el software del servidor deAutoridad de registro, incluidos losarchivos necesarios para el recurso deregistro.

tpki.srvr.ca Servidor deAutoridad decertificación yde auditoría

Instala la Autoridad de certificación ylos programas del subsistema deauditoría.

tpki.srvr.core Tivoli PKI Instala las bibliotecas principales deTivoli PKI.


Nombre dearchivo


tpki.srvr.ic Herramientas deinstalación

Instala las herramientas de instalaciónde Tivoli PKI.

tpki.srvr.icg GUI deinstalación

Instala la GUI de instalación de TivoliPKI.

RADInst.exe RegistrationAuthorityDesktop

Instala una imagen de la instalaciónpara la aplicación RA Desktop deTivoli PKI. (Sólo Windows NT.)

11. En este punto, la instalación de Tivoli PKI ha finalizado.Escriba el siguiente mandato para desmontar la unidad deCD-ROM:cd /umount /cdrom

Al finalizar, se habrán instalado los conjuntos de archivos siguientes:tpki.srvr.ca 3.7.1.0 COMMITTED IBM Trust Authoritytpki.srvr.core 3.7.1.0 COMMITTED IBM Trust AuthorityArchivos de imagen en memoriatpki.srvr.ic 3.7.1.0 COMMITTED IBM Trust Authoritytpki.srvr.icg 3.7.1.0 COMMITTED IBM Trust Authoritytpki.srvr.ra 3.7.1.0 COMMITTED IBM Trust Authoritytpki.doc.cfg 3.7.1.0 COMMITTED IBM Trust Authority

Configtpki.doc.rad 3.7.1.0 COMMITTED IBM Trust Authority

RA Desktoptpki.doc.usr 3.7.1.0 COMMITTED IBM Trust User Guide

Directrices para la instalación en varios equiposEn esta sección se explican las directrices que debe tener en cuentacuando instale Tivoli PKI para ejecutarlo en una configuración devarios equipos. Las configuraciones que se tratan son las siguientes:

¶ Ejemplo 1 — Servidor RA en un equipo; servidores CA, deauditoría y del Directorio en un equipo distinto

¶ Ejemplo 2 — Servidores RA y del Directorio en un equipo;servidores CA y de auditoría en un equipo distinto

¶ Ejemplo 3 — Servidores RA, de auditoría y CA en un equipo;servidor del Directorio en un equipo distinto


4.Instalación

deTivoli

PK

Ien

AIX

¶ Ejemplo 4 — Servidor RA en un equipo; servidores CA y deauditoría en un equipo distinto; servidor del Directorio en untercer equipo

Utilice las directrices de instalación siguientes en función de laconfiguración de equipo de Tivoli PKI que tenga.

Ejemplo 1 — Servidor RA en un equipo; servidores CA, deauditoría y del Directorio en un equipo distinto

El servidor RA requiere que se instale el software siguiente:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Nivel de mantenimiento 6¶ IBM DB2 Universal Database versión 6.1 FP 4¶ IBM Directory Client¶ IBM Developer Kit for AIX, Java Technology Edition, versión

1.2.2 PTF 8¶ IBM WebSphere Application Server Standard Edition versión 3.5¶ Actualizar IBM WebSphere Application Server Standard Edition

a la versión 3.5 PTF 4¶ Inhabilitar el inicio automático de IBM HTTP Server¶ Iniciar WebSphere Application Server¶ IBM KeyWorks¶ Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic,

tpki.srvr.icg, tpki.srvr.ra

Los servidores CA, de auditoría y del Directorio requieren que seinstale el software siguiente:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Nivel de mantenimiento 6¶ IBM DB2 Universal Database versión 6.1 FP 4¶ IBM Directory Server versión 3.1.1.5¶ IBM Developer Kit for AIX, Java Technology Edition, versión

1.2.2 PTF 8¶ IBM KeyWorks¶ Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic,

tpki.srvr.ca


Ejemplo 2 — Servidores RA y del Directorio en un equipo;servidores CA y de auditoría en un equipo distinto

Los servidores RA y del Directorio, auditoría y del Directoriorequieren que se instale el software siguiente:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Nivel de mantenimiento 6¶ IBM DB2 Universal Database versión 6.1 FP 4¶ IBM Directory Server versión 3.1.1.5¶ IBM Developer Kit for AIX, Java Technology Edition, versión




Los servidores CA y de auditoría requieren que se instale el softwaresiguiente:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Nivel de mantenimiento 6¶ IBM DB2 Universal Database versión 6.1 FP 4¶ IBM Directory Client¶ IBM Developer Kit for AIX, Java Technology Edition, versión


tpki.srvr.ca

Ejemplo 3 — Servidores RA, de auditoría y CA en un equipo;servidor del Directorio en un equipo distinto

Los servidores RA, de auditoría y CA requieren que se instale elsoftware siguiente:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Nivel de mantenimiento 6


4.Instalación

deTivoli

PK

Ien

AIX

¶ IBM DB2 Universal Database versión 6.1 FP 4¶ IBM Directory Client¶ IBM Developer Kit for AIX, Java Technology Edition, versión



tpki.srvr.icg, tpki.srvr.ra, tpki.srvr.ca

El servidor del Directorio requiere que se instale el softwaresiguiente:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Nivel de mantenimiento 6¶ IBM DB2 Universal Database versión 6.1 FP 4¶ IBM Directory Server versión 3.1.1.5¶ IBM Developer Kit for AIX, Java Technology Edition, versión

1.2.2 PTF 8¶ IBM KeyWorks¶ Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic

Ejemplo 4 — Servidor RA en un equipo; servidores CA y deauditoría en un equipo distinto; servidor del Directorio en untercer equipo

El servidor RA requiere que se instale el software siguiente:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Nivel de mantenimiento 6¶ IBM DB2 Universal Database versión 6.1 FP 4¶ IBM Directory Client¶ IBM Developer Kit for AIX, Java Technology Edition, versión


a la versión 3.5 PTF 4¶ Inhabilitar el inicio automático de IBM HTTP Server


¶ Iniciar WebSphere Application Server¶ IBM KeyWorks¶ Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic,


Los servidores CA y de auditoría requieren que se instale el softwaresiguiente:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Nivel de mantenimiento 6¶ IBM DB2 Universal Database versión 6.1 FP 4¶ IBM Directory Client¶ IBM Developer Kit for AIX, Java Technology Edition, versión


ta.srvr.ca

El servidor del Directorio requiere que se instale el softwaresiguiente:¶ AIX 4.3.3.0¶ AIX 4.3.3.0 Nivel de mantenimiento 6¶ IBM DB2 Universal Database versión 6.1 FP 4¶ IBM Directory Server versión 3.1.1.5¶ IBM Developer Kit for AIX, Java Technology Edition, versión

1.2.2 PTF 8¶ IBM KeyWorks¶ Conjuntos de archivos de Tivoli PKI: tpki.srvr.core, tpki.srvr.ic

Cambio de los valores bootstrapUtilice este procedimiento sólo si desea cambiar alguno de losvalores de configuración por omisión (valores que no puede cambiaral ejecutar la aplicación de configuración o después de haberconfigurado el sistema). Realice todos los cambios bootstrap antes deejecutar el programa de configuración posterior a la instalación deTivoli PKI. Si no desea cambiar los valores bootstrap, prosiga con elapartado “Ejecución del programa de configuración posterior a lainstalación” en la página 83.


4.Instalación

deTivoli

PK

Ien

AIX

Tivoli PKI ejecuta un programa bootstrap como parte del procesoposterior a la instalación. La entrada del programa bootstrap es unscript SQL denominado createconfig_start.sql que carga la base dedatos de configuración con los valores por omisión y creadefiniciones para la tabla de la base de datos en la tabla de base dedatos ConfigDataTbl. Esta tabla contiene los datos de configuracióndel sistema para todos los componentes de Tivoli PKI. Existen variosvalores del script SQL que no se pueden cambiar tras iniciar elproceso de configuración.

Nota: en circunstancias críticas, en las que un valor por omisiónpuede provocar un problema en el entorno operativo, puedecambiar los archivos de plantilla de Tivoli PKI antes deiniciar la configuración. Para obtener más información,póngase en contacto con su representante del servicio técnicode IBM.

Para cambiar un valor bootstrap, modifique el archivocreateconfig_start.sql. La ubicación por omisión del archivo es/usr/lpp/iau/bin.

Utilice la siguiente tabla como guía para realizar los cambios:

¶ Para cambiar el valor de DATABASE PATHNAME, especifiquela vía de acceso completa de la nueva ubicación. Por ejemplo,/local/dbfsibm.

¶ Los nombres distintivos (DN) para la RA de Tivoli PKI, eladministrador del Directorio y el subsistema de auditoría sontransparentes para el usuario. Si desea cambiarlos, asegúrese decambiar sólo el atributo del nombre común (CN). La base delDN de la CA que especifique durante la configuración seaplicará al CN que seleccione.


Nombre de campo Descripción Valor por omisión

WS_RO_KEYSIZE Tamaño de la clavekeyring del servidorWeb. Opciones 0-3, talcomo se definen en laenumeración deKeySize, que figura acontinuación:¶ 0 = 512¶ 1 = 768¶ 2 = 1024¶ 3 = 2048

0

DATABASE_PATHNAME

Vía de acceso completadonde residefísicamente la instanciade la base de datos dela CA (el componenteCA).

dbfsibm

DATABASE_PATHNAME

Vía de acceso completadonde residefísicamente la instanciade la base de datos deauditoría (componentedel subsistema deauditoría).

dbfsadt

DATABASE_PATHNAME

Vía de acceso completadonde residefísicamente la instanciade la base de datos deregistro (componentede la RA).

dbfspkrf

APP_DN El DN de la RA deTivoli PKI. Sólo sepuede modificar el CN.

/C=US/O=Su_organiza-ción/OU=TivoliPKI/CN=Tivoli PKIRA


4.Instalación

deTivoli

PK

Ien

AIX


APP_CERT_LIFETIME

La vida útil de loscertificados de la RAen el sistema,especificados en meses.

36

Este valor debe sermúltiplo de 12.

APP_LDAP _DIRADMIN_DN

El DN deladministrador delDirectorio. Sólo sepuede modificar el CN.

/C=US/O=Su_organización/OU=TivoliPKI/CN=DirAdmin

APP_COMM_PORT

El puerto decomunicación que seencarga de lacomunicación entre lainfraestructura delrecurso de registro y laRA de Tivoli PKI.

29783

APP_SEC_MECH El mecanismo deseguridad de laaplicación. El valor poromisión inhabilita elcifrado de la base dedatos de RA. Si seestablece el valor en 1,se habilita el cifrado dela base de datos.

0

CA_IBM_CA_CERT_LIFETIME

La duración delcertificado de CA deTivoli PKI,especificada en meses.

360

Este valor debe sermúltiplo de 12.



CA_IBM_ADMIN_PORT

El puertoadministrativo de laCA de Tivoli PKI. Elvalor que especifiquetambién debeespecificarse en laentrada PORT delarchivo,irgAutoCA.ini.tpl, quese encuentra en eldirectorio cfg.

1835

ADT_DN El DN del subsistemade auditoría. Sólo sepuede modificar el CN.

/C=US/O=Su_organización/OU=Tivoli PKI/CN=Tivoli PKI Audit

Ejecución del programa de configuración posterior ala instalación

Después de instalar el software del servidor de Tivoli PKI, ejecute elprograma de configuración posterior a la instalación, CfgPostInstallen el servidor principal de Tivoli PKI que contiene el servidorHTTP, WebSphere y la RA. Debe ejecutar este programa antes deejecutar el Asistente para la configuración para configurar TivoliPKI.

Este programa crea el archivo de configuración del servidor Web(httpd.conf), que permite que dicho servidor se inicie con losparámetros necesarios de Tivoli PKI. También prepara el servidorWeb para que ejecute la aplicación de configuración, crea la cuentade usuario de configuración de Tivoli PKI (cfguser), crea la base dedatos de configuración y la llena con los datos de configuración poromisión.

Para ejecutar el programa de configuración, efectúe los pasossiguientes:

1. Inicie la sesión como root escribiendo el siguiente mandato:su - root


4.Instalación

deTivoli

PK

Ien

AIX

2. Escriba el siguiente mandato para cambiar de directorio:cd /usr/lpp/iau/bin

3. Escriba el siguiente mandato:./CfgPostInstall -i

4. Cuando se le solicite, defina la contraseña y confírmela para lacuenta cfguser.

5. Cuando se le solicite, defina la contraseña y confírmela para elPrograma de control.

6. Seleccione db2inst1 como el nombre de la instancia de DB2.Escriba el valor1, que corresponde a db2inst1.

Nota: Este procedimiento tarda varios minutos en completarse.

Lista de comprobación posterior a la instalaciónUtilice la siguiente lista de comprobación para asegurarse de que yapuede configurar Tivoli PKI. Para obtener información sobre cómoejecutar el Asistente para la configuración, consulte la publicaciónTivoli PKI Guía de configuración.

1. Inicie una sesión como root y escriba los siguientes mandatospara crear una imagen del sistema de copia de seguridad:smitty mksysbsmitty savevg

2. Para agilizar la resolución de posibles problemas, cree una listade todo el software que esté instalado en cada servidor. Inicie lasesión como root y escriba el siguiente mandato:#lslpp -al >tmp/sys_software.txt

3. Si no desea utilizar los valores de configuración por omisión paralos puertos del servidor Web, configure los alias IP antes deejecutar el Asistente para la configuración. Los programas deconfiguración se basan en estos valores para crear el certificadode CA del sistema. En el apartado “Configuración de alias IPpara el servidor Web” en la página 42, encontrará informaciónsobre cómo Tivoli PKI configura y utiliza los puertos delservidor Web para las transacciones seguras y no seguras.


4. Decida los nombres completos que desee utilizar para la CA deTivoli PKI y sus agentes, el administrador del Directorio y la raízdel Directorio. Estos DN deben ser únicos.

Repase las directrices de la publicaciónTivoli PKI Guía deconfiguraciónpara asegurarse de que los DN de dichos objetosson compatibles con la jerarquía de certificados que pretendeutilizar.

5. Rellene el formularioTivoli PKI Configuration Data Formincluido con la publicaciónTivoli PKI Guía de configuraciónpara familiarizarse con la información de la que debe disponerantes de configurar el sistema. Utilice el formulario para anotarinformación del sistema, como los nombres de sistema principaldel servidor y los nombres distintivos que prefiera.

Ejecución de la utilidad de copia de seguridadLa utilidad de copia de seguridad de Tivoli PKI (ta-backup) es unaherramienta para guardar los datos de configuración que no sealmacenan en ninguna base de datos DB2. También se guardan losdatos del archivo subordinado como los permisos de archivo. Use lasutilidades de DB2 para efectuar copias de seguridad de las bases dedatos de DB2.

La utilidad de copia de seguridad acepta un parámetro que identificael directorio donde se escriben los datos de la copia de seguridad.Este directorio de copia de seguridad es el directorio raíz utilizadopara guardar todos los archivos de datos. Para evitar conflictos denombres en el directorio de copia de seguridad, la utilidad de copiade seguridad guarda los archivos con la misma estructura dedirectorio que existe en el sistema en que se guarda.

En el siguiente ejemplo se ilustra la sintaxis del programa:ta-backup -d directorio_copia_seguridad

dondedirectorio_copia_seguridades el directorio que se utiliza parala copia de seguridad de los datos. La vía de acceso por omisión es/usr/lpp/iau/backup.


4.Instalación

deTivoli

PK

Ien

AIX

Lleve a cabo estos pasos para ejecutar la utilidad ta-backup sinconexión:


2. Si lo desea, cree el directorio de copia de seguridad para losdatos de configuración de Tivoli PKI. Por ejemplo:mkdir /usr/lpp/iau/mi_copia_seguridad

3. Vaya al directorio /bin de Tivoli PKI. La vía de acceso poromisión es /usr/lpp/iau/bin.

4. Escriba el siguiente mandato para especificar dónde desea que serealice la copia de seguridad de los datos:ta-backup -d /usr/lpp/iau/mi_copia_seguridad

5. Especifique la contraseña del Programa de control cuando se lesolicite.


Instalación de Tivoli PKI enWindows NT

En este capítulo se describen los procedimientos de instalación deTivoli Public Key Infrastructure (PKI) y los productos que es precisoinstalar con anterioridad en una plataforma Windows NT.

Nota: Tivoli PKI versión 3.7.1 no es compatible con Windows NT.Esta información se ha incluido sólo como referencia.

Antes de instalar el software de Tivoli PKI, lea la última versión delarchivo Notas del release del producto. Puede descargar la versiónmás actual del sitio Web de Tivoli Public Key Infrastructure.

Nota: Los procedimientos principales que se describen en estecapítulo presuponen que Tivoli PKI se instala por primeravez.Antes de instalar Tivoli PKI, se recomiendaencarecidamente que realice una copia de seguridad de losarchivos de datos. Consulte las instrucciones del apartado“Ejecución de la utilidad de copia de seguridad” en lapágina 106 para efectuar la copia de seguridad de los archivosde datos. Después de realizar la copia de seguridad, ejecuteCfgUnInstall desde la línea de mandatos y prosiga con lainstalación de Tivoli PKI.

Instale el software de Tivoli PKI en el orden siguiente:

1. Sistema operativo Microsoft Windows NT versión 4.0 conService Pack 5.

5


5.Instalación

deTivoliP

KI

enW

indows

NT


2. Software de bases de datos de Tivoli PKI (IBM DB2 UniversalDatabase para Tivoli PKI).

3. Kit de desarrollo de Sun Java (JDK) versión 1.1.6 o superior.

4. IBM HTTP Server (IHS) versión 1.3.3.1, incluido el kit GlobalServices Kit (GSK)

5. IBM WebSphere Application Server versión 2.0.3.1.

6. IBM Directory Server versión 3.1.1.

7. El software de servidor de Tivoli PKI, que incluye los programasdel servidor central y las imágenes de instalación para laaplicación cliente y RA Desktop.

Configuración para varios equiposSi no instala todo el software de servidor en el mismo equipo,deberá repetir los procedimientos que se describen acontinuación para instalar Windows NT y el software de basesde datos de Tivoli PKI en cada equipo componente.

Configuración de Windows NTSiga las directrices que se detallan a continuación para instalar elsoftware de Windows NT en el equipo o los equipos donde deseeinstalar el software de Tivoli PKI software. En caso de que hayainstalado Windows NT con anterioridad, las instrucciones le serviráncomo guía de verificación para comprobar que ha instalado todos losarchivos necesarios para los componentes de Tivoli PKI.

Si configura Tivoli PKI en un entorno de varios equipos, deberáinstalar Windows NT en cada uno de los equipos donde deseeinstalar un componente de servidor de Tivoli PKI.

¶ Deberá instalar el protocolo TCP/IP cuando instale Windows NT.No puede utilizar el DHCP (Protocolo de configuración dinámicade sistema principal) a menos que tenga un servidor DNS(Servicio de nombres de dominio) dinámico.


¶ Compruebe los siguientes requisitos para habilitar laconectividad:

v Asegúrese de que las direcciones IP y los nombres de sistemaprincipal están asignados y fijados.

v Asegúrese de que dispone de conectividad IP. Por ejemplo,pruebe la posibilidad de ejecutar mandato PING con otroequipo.

v Asegúrese de que el DNS y el DNS inverso funcionan deforma correcta. Por ejemplo, compruebe que el mandatopingnombre_sis_pral resuelve la dirección IP correcta y que elmandatoping -a dirección_IP resuelve el nombre desistema principal correcto.

¶ Asegúrese de que el equipo tiene un directorio \temp. Si noexiste un directorio \temp, créelo. Para comprobar si existe, opara crearlo, escriba el mandatomd %temp%. Si existe eldirectorio, el sistema mostrará el mensaje″Ya existe undirectorio o archivounidad:\TEMP″. De lo contrario, el sistemacreará el directorio temp.

¶ Establezca la memoria virtual del equipo en un mínimo de 400MB:

1. SeleccioneInicio → Configuración → Panel de control.

2. Pulse dos vecesSistemay seleccione la fichaRendimiento.

3. En el área deMemoria virtual , pulseCambiar.

4. Cambie el valor delTamaño inicial a 400 MB y establezcael Tamaño máximo en 500 MB.

5. PulseEstablecer.

6. PulseAceptar para cerrar el cuadro de diálogo.

7. PulseAceptar para cerrar la ventana Propiedades delsistema.

8. PulseSí para reiniciar el equipo.

¶ Cree un usuario de Windows NT que sirva como usuario deconfiguración de Tivoli PKI. Los programas de configuración


5.Instalación

deTivoliP

KI

enW

indows

NT

utilizan este nombre de usuario y contraseña para crear las basesde datos necesarias y configurar el sistema. Utilice lasHerramientas administrativas de Windows NT para configurareste usuario como se indica a continuación:

1. Desde el grupo de programas Herramientas administrativas,ejecuteAdministrador de usuarios.

2. Agregue la cuentacfguser. Para hacerlo, copie la cuentaAdministrador (resalte la entrada Administrador y pulseF8).El usuario debe tener privilegios de administrador deWindows NT.

3. Escriba una contraseña para cfguser, vuelva a escribir lacontraseña para confirmarla.

4. DeseleccioneEl usuario debe cambiar la contraseña en elsiguiente inicio de sesión.

5. PulseAceptar.

La contraseña que asigne a este nombre de usuario debetener ocho caracteres como máximo. Para optimizar laseguridad, debe especificar una cadena que no contenganinguna palabra real. La contraseña debe ser una mezcla decaracteres en mayúsculas y minúsculas e incluir un númerocomo mínimo.

v Asegúrese de recordar el nombre de usuario y la contraseña.Deberá especificarla al instalar y configurar el sistema ypuede que la necesite para ejecutar determinadas herramientasde administración de sistema Tivoli PKI.

v Si desea instalar Tivoli PKI en una configuración de variosequipos, asegúrese de definir el mismo nombre de usuario ycontraseña en cada equipo.

Se recomienda efectuar una copia de seguridad del sistema WindowsNT antes de continuar con la instalación de Tivoli PKI. El hecho dedisponer de una imagen de copia de seguridad permite restaurar elsistema en caso de que surja algún problema. Puede utilizar elprograma de copia de seguridad que se suministra con Herramientas


administrativas de Windows NT para crear una imagen del sistema.También puede utilizar cualquier otro programa compatible conWindows.

Instalación del software de bases de datosTivoli PKI utiliza el software IBM DB2 Universal Database paraadministrar los datos. El software suministrado con Tivoli PKI seproporciona únicamente para su uso con aplicaciones de Tivoli PKI.Si desea personalizar el software de bases de datos o utilizarlo paraotros propósitos, distintos de Tivoli PKI, deberá adquirir una licenciapara una versión completa de IBM DB2 Enterprise Edition, versión5.2 y aplicar el FixPack 10.

Siga este procedimiento para instalar el software de bases de datos.Si desea instalar Tivoli PKI en una configuración de varios equipos,debe instalar el software de bases de datos de Tivoli PKI en todoslos equipos en los que desee instalar un componente de servidor deTivoli PKI.

1. Coloque el CD deTivoli Public Key Infrastructure para NTenla unidad de CD-ROM.

2. SeleccioneInicio → Ejecutar.

3. PulseExaminar para cambiar a la unidad de CD-ROM.

4. Ejecute el archivosetup.exe.

5. En la ventana Seleccionar idioma de instalación, seleccione elidioma en el que desea instalar el producto y pulseAceptar.

6. Revise la información de la ventana de bienvenida y pulseSiguiente.

Nota: si DB2 ya está instalado en el equipo y se halla en elnivel adecuado, el programa irá avanzando hasta laventana Instalación finalizada. Llegado este punto, pulseFinalizar para completar la instalación.

7. En la ventana Seleccionar ubicación de destino, pulseSiguientepara utilizar la vía de acceso de instalación por omisión oseleccione la unidad y la carpeta de destino donde desea instalar


5.Instalación

deTivoliP

KI

enW

indows

NT

el software y, a continuación, pulseSiguiente. (La vía deacceso por omisión, c:\Archivos de programa\IBM\TrustAuthority, puede servir.)

8. En la ventana Especificar administrador de base de datos,escriba un nombre de usuario y una contraseña para eladministrador de la base de datos y vuelva a escribir lacontraseña para confirmarla. Finalmente, pulseSiguiente. Elvalor sugerido esdb2admin para ambas entradas.

9. El programa empezará a instalar el software de bases de datos.El proceso puede tardar algunos minutos.

10. En la ventana Instalación completa, pulseFinalizar paracompletar la instalación.

Instalación del software de servidor WebTivoli PKI utiliza IBM WebSphere Application Server e IBM HTTPServer para dar soporte a las funciones basadas en Web. Paragarantizar que los programas del servidor Web se instalancorrectamente para su uso con Tivoli PKI, siga estos procedimientospara instalar el software en una plataforma Windows NT. Es precisoinstalar el software en un equipo en el que se vaya a instalar elcomponente Autoridad de registro.

Tivoli PKI incluye una versión actualizada de WebSphereApplication Server en el CD deTivoli PKI para AIX y NT. Utilice elCD-ROM de WebSphere Application Server versión 2.02 parainstalar IBM HTTP Server, y el CD de Tivoli PKI para instalarWebSphere Application Server.

Tenga en cuenta que a pesar de que WebSphere dispone de unainterfaz de administración para administrar aplicaciones, no esposible ni es necesario utilizarla para administrar las aplicaciones deTivoli PKI.

Instalación del JDKPara instalar el JDK, efectúe los pasos siguientes:


1. Coloque el CD de WebSphere Application Server versión 2.0.2en la unidad de CD-ROM.

2. Vaya al directorio \NT\jdk y ejecute el programa setup.exe deJDK.

3. En la ventana de bienvenida, pulseSiguiente.

4. En la ventana del contrato de licencia de software, lea el contratoy pulseSí para aceptarlo.

5. En la ventana Seleccionar componentes, acepte las opciones poromisión (Archivos de programa, Biblioteca y archivos decabecera y Aplicaciones de demostración). PulseSiguienteparautilizar la vía de acceso de instalación por omisión, o seleccionarla unidad y carpeta de destino donde desea instalar el JDK ypulseSiguiente. (La vía de acceso por omisión debería servir.)

6. En la ventana Iniciar copia de archivos, compruebe las opcionesseleccionadas efectuadas y pulseSiguientepara continuar.

7. En la ventana Instalación completa, pulseFinalizar .

8. Cuando aparezca el archivo Léame, es recomendable leerlo.

Instalación de IBM HTTP ServerPara instalar IBM HTTP Server, efectúe los pasos siguientes:

1. Coloque el CD de WebSphere Application Server versión 2.0.2en la unidad de CD-ROM.

2. Vaya al directorio \NT\httpd y ejecute el programa setup.exe deIHS.


4. En la ventana del contrato de licencia de software, lea elcontrato y pulseSí para aceptarlo.

5. En la ventana Seleccionar ubicación de destino, elija la vía deacceso por omisión o bien especifique otra.

6. PulseSiguiente.

7. En la ventana Tipo de instalación, seleccionePersonalizadaypulseSiguiente.


5.Instalación

deTivoliP

KI

enW

indows

NT

8. Aparecerá la ventana Seleccionar componentes, que contienedos paneles: en el panel izquierdo se muestra una lista de losnombres de los conjuntos de componentes; en el derecho semuestra la lista de componentes que conforman un determinadoconjunto. SeleccioneBaseen la izquierda y deseleccione laopciónApache Sourceen la derecha. Si no desea instalar laDocumentación, deselecciónela. PulseSiguientepara continuar.

9. En el menú Seleccionar carpeta de programas, pulseSiguientepara aceptar la carpeta de programas por omisión, o escriba elnombre de la carpeta que desee utilizar y pulseSiguiente.

10. En la ventana Información para la instalación de servicios,escribacfguser para elID de usuario, escriba la contraseñaque haya definido para esta cuenta, confirme la contraseña ypulseSiguiente.

11. En la ventana Instalación completa tiene la posibilidad dereiniciar el equipo en ese momento o más tarde. Seleccionehacerlo posteriormente (No) y pulseFinalizar .

Nota: una vez instalado IBM HTTP Server, debe configurar elservicio manualmente para que el servidor no se inicie comoun servicio. Efectúe los pasos siguientes:


2. Pulse dos vecesServiciosy seleccione el servicioIBMHTTP Server.

a. PulseDetener (sólo si el servicio ya se ha iniciado).

b. PulseIniciar y cambie elTipo de inicio a Manual.

c. PulseAceptar.

d. PulseCerrar y salga del Panel de control.

Instalación de WebSphere Application ServerPara instalar WebSphere Application Server, efectúe los pasossiguientes:

1. Coloque el CD deTivoli Public Key Infrastructure para AIX yNT en la unidad de CD-ROM.


2. Vaya al directorio \WinNT\WebSphereAS-2031 y ejecute elprograma was2031.exe.

3. En la ventana WebSphere Application Server, pulseSiguiente.Puede ignorar la advertencia acerca de detener el servidorHTTP.

4. En la ventana Seleccionar directorio de destino, pulseSiguientepara aceptar la vía de acceso de instalación por omisión oseleccione la unidad y la carpeta de destino donde desea instalarel software y, a continuación, pulseSiguiente.

5. En la ventana Seleccionar componentes del servidor deaplicaciones también puede deseleccionar las opcionesDocumentacióny Ejemplos; el resto de los componentes sonnecesarios. PulseSiguientepara continuar.

6. En la ventana Seleccionar kit de desarrollo Java o Entorno deejecución, compruebe que esté seleccionado elKit dedesarrollo Java 1.1.6y pulseSiguiente.

7. En la ventana Seleccionar complementos del servidor deaplicaciones, seleccioneIBM HTTP Server Versión 1.3.3.x y,a continuación, pulseSiguiente.

8. En la ventana Seleccionar carpeta de programas, pulseSiguientepara aceptar la carpeta de programas por omisión, oescriba el nombre de la carpeta que desee utilizar y pulseSiguiente.

9. En la ventana Configurar IBM HTTP Server, compruebe queaparece la vía de acceso correcta de la ubicación de su servidorIBM HTTP instalado en el directorio \conf y pulseAceptar.

10. En la ventana Instalación completa, pulseFinalizar .

11. Cuando aparezca el archivo Léame, es recomendable leerlo.

12. En la ventana Reiniciar Windows tiene la posibilidad dereiniciar el equipo en ese momento o más tarde. SeleccioneSípara reiniciarlo ahora y pulseAceptar.


5.Instalación

deTivoliP

KI

enW

indows

NT

Configuración de alias IPEn el apartado “Configuración de alias IP para el servidor Web” enla página 42, encontrará información sobre cómo configura TivoliPKI los puertos del servidor Web para procesar transacciones segurasy no seguras. Si desea utilizar una configuración distinta, utilice aliasde direcciones IP para definir los puertos.

Instalación de IBM DirectoryTivoli PKI utiliza IBM Directory para almacenar y mantenerinformación acerca de los certificados emitidos a través del recursode registro. Utilice los procedimientos que se describen en lassiguientes secciones para instalar y configurar el software delDirectorio. Puede instalar el software en un equipo remoto o en elmismo equipo donde desee instalar un componente de servidor deTivoli PKI.

Instalación del software del DirectorioPara instalar el software del Directorio, efectúe los pasos siguientes:

1. Coloque el CD del IBM servidor del Directorio en la unidad deCD-ROM y ejecute el programa setup.exe.

2. En la ventanaChoose the Language of the installation(Seleccionar el idioma de instalación), seleccione el idioma deinstalación y pulseSiguiente.


4. En la ventana Seleccionar componentes, seleccioneInstall theSecureWay Directory and Client SDK (Instalar el Directoriode SecureWay y el cliente SDK) y pulseSiguiente.

5. En la ventana Choose Destination Location (Seleccionarubicación de destino), pulseSiguientepara utilizar la vía deacceso de instalación por omisión o especifique una ubicacióndistinta y pulseSiguiente. Si aparece un mensaje informando deque la partición de la instalación no es una partición NTFS,pulseAceptar para continuar.


6. En la ventana Selección de la carpeta, pulseSiguienteparaaceptar la carpeta de programas por omisión o especifique unnombre de carpeta distinto y pulseSiguiente.

7. En la ventana Configurar, desactive todos los cuadros y pulseSiguiente.

8. En la ventana Iniciar copia de archivos para SecureWayDirectory y cliente SDK, compruebe las opciones seleccionadasy pulseSiguiente.

9. Cuando el sistema lo solicite, pulseSí para ver el archivoLéame. Cuando lo haya leído, cierre la ventana.

10. En la ventana Instalación completa tiene la posibilidad dereiniciar el equipo en ese momento o más tarde. SeleccioneSípara reiniciar el equipo ahora y, a continuación, pulseFinalizar .

Nota: En una configuración de varios equipos, cada servidor deTivoli PKI debe tener instalado el software cliente delDirectorio antes de ejecutar la aplicación de configuración deTivoli PKI. Para instalar el software, seleccione la opción delcliente del Directorio del CD-ROM del servidor delDirectorio en cada uno de los equipos, salvo en el que acabade instalar el software del servidor del Directorio. Existen dosarchivos que es imprescindible instalar: ldap.dll yldaploc1.dll.

Utilización del Directorio con Tivoli PKIAntes de instalar o configurar los componentes de servidor de TivoliPKI, es preciso entender cómo interactúa Tivoli PKI con elDirectorio. Consulte la publicaciónTivoli PKI Guía de configuraciónpara conocer los requisitos de esquema del Directorio y saber cómoconfigurar el mismo para Tivoli PKI.

Confirmación de la configuración del sistemaAntes de instalar Tivoli PKI, efectúe lo siguiente para comprobarque los servicios se encuentren en los estados que se indican acontinuación.


5.Instalación

deTivoliP

KI

enW

indows

NT

1. Inicie una sesión en Windows NT como usuario de configuraciónde Tivoli PKI (normalmente, cfguser).


3. Pulse dos vecesServiciosy confirme los siguientes estados. Laconfiguración de los dos servicios que aparecen resaltados esfundamental:DB2 - DB2 Iniciado AutomáticoDB2 - DB2DAS00 Iniciado AutomáticoGobernador DB2 ManualServidor aplicaciones JDBC DB2 ManualServidor de seguridad DB2 ManualIBM HTTP Server ManualWebSphere Servlet Service Manual

4. PulseCerrar y salga del Panel de control.

Instalación de Tivoli PKISiga las siguientes directrices para instalar los componentes delproducto Tivoli PKI.

¶ Debe instalar todos los programas de servidor en la mismaplataforma, en este caso en Windows NT.

¶ Si ha instalado IBM KeyWorks Versión 1.1.1 con anterioridad,deberá instalar Tivoli PKI en otro equipo o eliminar el softwarede KeyWorks y cualquier aplicación asociada antes de iniciar elprograma de instalación de Tivoli PKI.

¶ Si configura Tivoli PKI en un entorno de varios equipos, deberepetir los procedimientos de instalación hasta que instale todoslos componentes de servidor en los equipos que desee.

¶ Cuando instale la aplicación RA Desktop, primero debe instalaruna imagen de instalación. A continuación, distribuya la imageno póngala a disposición de los usuarios de la red para quepuedan ejecutar el programa de instalación desde un equipo localen el que se ejecute Windows.. Para obtener instrucciones sobrecómo instalar, configurar o desinstalar estos programas, consultela publicaciónTivoli PKI Guía de RA Desktop.


¶ Si no reinició el sistema después de instalar el softwarenecesario, hágalo ahora. Compruebe que las variables de entornoson correctas antes de instalar Tivoli PKI.

¶ Utilice PING o cualquier otra herramienta de conectividad dered para verificar que los nombres de sistema principal y lasdirecciones IP son válidas y conocidas por el servidor DNS de lared.

Instalación del software de servidorPara instalar el software de servidor, efectúe los pasos siguientes:

1. Inicie una sesión en Windows NT mediante el nombre deusuario y la contraseña que haya definido para este propósito(normalmente, cfguser). Si es necesario, consulte el apartado“Configuración de Windows NT” en la página 88 para obtenerayuda.

2. Cierre todos los programas activos.

3. Coloque el CD deTivoli Public Key Infrastructure para AIX yNT en una unidad de CD-ROM local.

4. SeleccioneInicio → Ejecutar, pulseExaminar para ir a launidad de CD-ROM y ejecute setup.exe. Por ejemplo:unidad:\WinNT\TrustAuthority\setup

Si ejecuta el programa de instalación en un equipo que dispongade más de 256 MB de memoria, deberá añadir el conmutador /zpara inhabilitar la comprobación de memoria. Por ejemplo:unidad:\WinNT\TrustAuthority\setup /z

5. En la ventana Seleccionar idioma de instalación, seleccione elidioma en el que desea instalar el producto y pulseAceptar. Elvalor predeterminado esInglés.

6. Revise la información de la ventana de bienvenida y pulseSiguiente.

7. Si ha instalado una versión independiente de IBM DB2 en lugarde la versión proporcionada con Tivoli PKI, aparecerá laventana Seleccionar ubicación de destino. PulseSiguientesidesea instalar el software en la ubicación por omisión


5.Instalación

deTivoliP

KI

enW

indows

NT

(c:\Archivos de programa\IBM\Tivoli PKI). De lo contrario,pulseExaminar para seleccionar la carpeta de destino oescríbala y pulseSiguiente.

8. En la ventana Seleccionar componentes, utilice la siguientetabla como guía. Seleccione los componentes que desee instalar,deseleccione los que no desee instalar y pulseSiguiente.


Tivoli PKI y servidorde Autoridad deregistro

Instala los programas principales de Tivoli PKI yel software del servidor de Autoridad de registro,incluidos los archivos necesarios para el recurso deregistro.

Servidor de Autoridadde certificación y deauditoría

Instala la Autoridad de certificación y losprogramas del subsistema de auditoría.

servidor delDirectorio

Instala el software que necesitan los componentesde Tivoli PKI para interactuar con el Directorio.

Registration AuthorityDesktop

Instala una imagen de la instalación para laaplicación RA Desktop de Tivoli PKI.

Notas:

¶ En este punto, el programa de instalación determina si elsoftware necesario para los componentes seleccionados estáinstalado con el nivel de versión correcto. Si alguno de losprogramas necesarios no está disponible, el programa deinstalación finalizará. Instale el software necesario y vuelvaa iniciar el procedimiento de instalación.

¶ Para preparar la configuración de la base de datos, elprograma de instalación también valida el nombre deusuario con el que se ha iniciado la sesión. Si el nombre deusuario contiene más de ocho caracteres, el programa deinstalación finalizará. Inicie una sesión con un nombre deusuario distinto que tenga ocho o menos caracteres y vuelvaa iniciar el procedimiento de instalación.

¶ Si seleccionaTivoli PKI y servidor de autoridad deregistro y el programa de instalación detecta que está


disponible más de una versión de IBM WebSphereApplication Server o IBM HTTP Server, el sistema lepedirá que seleccione la versión que desee utilizar.

9. En la ventana Seleccionar carpeta de programas, pulseSiguientesi desea crear un icono de programa en la carpeta deprogramas por omisión (Tivoli PKI). De lo contrario, escriba oseleccione el nombre de la carpeta que desee utilizar y pulseSiguiente.

10. En la ventana Instalación completa, pulseFinalizar para iniciarel proceso de instalación. El sistema copiará los archivos en lasubicaciones especificadas y ejecutará varios programas paracompletar la instalación de Tivoli PKI.

11. Una vez instalado el software, reinicie el sistema.

Cambio de los valores bootstrapUtilice este procedimiento sólo si desea cambiar alguno de losvalores de configuración por omisión (valores que no puede cambiaral ejecutar la aplicación de configuración o después de haberconfigurado el sistema). Realice todos los cambios bootstrap antes deejecutar el programa de configuración posterior a la instalación deTivoli PKI.

Tivoli PKI ejecuta un programa bootstrap como parte del procesoposterior a la instalación. La entrada del programa bootstrap es unscript SQL denominado createconfig_start.sql que carga la base dedatos de configuración con los valores por omisión y creadefiniciones para la tabla de la base de datos en la tabla de base dedatos ConfigDataTbl. Esta tabla contiene los datos de configuracióndel sistema para todos los componentes de Tivoli PKI. Existen variosvalores del script SQL que no se pueden cambiar tras iniciar elproceso de configuración.

Nota: En circunstancias críticas, en las que un valor por omisiónpuede provocar un problema en el entorno operativo, puedecambiar los archivos de plantilla de Tivoli PKI antes deiniciar la configuración. Para obtener más información,póngase en contacto con su representante del servicio técnicode IBM.


5.Instalación

deTivoliP

KI

enW

indows

NT

Para cambiar un valor bootstrap, modifique el archivocreateconfig_start.sql. La ubicación por omisión de este archivo esc:\Archivos de programa\IBM\Trust Authority\bin.

Utilice la siguiente tabla como guía para realizar los cambios:

¶ En Windows NT no se pueden cambiar los valores DATABASEPATHNAME.

¶ Los nombres distintivos (DN) para la RA de Tivoli PKI, eladministrador del Directorio y el subsistema de auditoría sontransparentes para el usuario. Si desea cambiarlos, asegúrese decambiar sólo el atributo del nombre común (CN). La base delDN de la CA (Autoridad de certificación) que especifiquedurante la configuración se aplicará al CN que seleccione.


WS_RO_KEYSIZE Tamaño de la clavekeyring del servidorWeb. Opciones 0-3, talcomo se definen en laenumeración deKeySize, que figura acontinuación:

¶ 0 = 512

¶ 1 = 768

¶ 2 = 1024

¶ 3 = 2048

0

APP_DN El DN de la RA deTivoli PKI. Sólo puedemodificar el CN.

/C=US/O=Su_organización/OU= Tivoli PKI/CN=Tivoli PKI RA



APP_CERT_LIFETIME La duración decualquier certificadoque no sea CA en elsistema (como loscertificados de usuario,servidor o RA),especificada en meses.El valor queespecifique tambiéndebe especificarse enlos archivosjonahca.ini.tpl yjonahra.ini.tpl.

36

APP_LDAP _DIRADMIN_DN

El DN deladministrador delDirectorio. Sólo puedemodificar el CN.

/C=US/O=Su_organización/ OU=Tivoli PKI/CN=DirAdmin

APP_COMM_PORT El puerto decomunicación que seencarga de lacomunicación entre lainfraestructura delrecurso de registro y laRA de Tivoli PKI.

29783

APP_SEC_MECH El mecanismo deseguridad de laaplicación. El valorpor omisión inhabilitael cifrado de la basede datos de RA. Si seestablece en 1, sehabilita el cifrado dela base de datos.

0

CA_IBM_CA_CERT_LIFETIME

La duración delcertificado de CA deTivoli PKI,especificada en meses.

360


5.Instalación

deTivoliP

KI

enW

indows

NT


CA_IBM_ADMIN_PORT El puertoadministrativo de CAde Tivoli PKI. El valorque especifiquetambién debeespecificarse en laentrada PORT delarchivo,irgAutoCA.ini.tpl, quese encuentra en eldirectorio cfg.

1835

ADT_DN El DN del subsistemade auditoría. Sólopuede modificar elCN.

/C=US/O=Su_organización/ OU=Tivoli PKI/ CN=Tivoli PKI Audit

Ejecución del programa de configuración posterior ala instalación

Después de instalar el software del servidor de Tivoli PKI, ejecute elprograma de configuración posterior a la instalación, CfgPostInstall.Debe ejecutar este programa antes de ejecutar el Asistente para laconfiguración para configurar Tivoli PKI.

Este programa crea el archivo de configuración del servidor Web(httpd.conf), que permite que dicho servidor se inicie con losparámetros necesarios de Tivoli PKI. También prepara el servidorWeb para que ejecute la aplicación de configuración, crea la base dedatos de configuración y llena la base de datos con los datos deconfiguración por omisión.

Para ejecutar el programa de configuración posterior a la instalación:

1. Inicie la sesión como usuario de configuración de Tivoli PKI,cfguser.

2. Asegúrese de que existe un directorio \temp en el servidor y deque esté definido mediante la variable de entorno %TEMP%.


3. SeleccioneInicio → Programas → Tivoli Public KeyInfrastructure → Configuración posterior a la instalación.

4. Escribaexit para cerrar la ventana.

CfgPostInstall le solicita que verifique la contraseña de la cuentacfguser, que se estableció en el momento de crear la cuenta y, acontinuación, le solicita que establezca y confirme la contraseña delPrograma de control. La contraseña para cfguser controla el acceso ala cuenta cfguser y a la página del asistente CfgApplet. Lacontraseña para el Programa de control restringe el acceso al mismo.Se recomienda que la contraseña para el Programa de control seadistinta a la contraseña para cfguser. La contraseña cfguser creadadebe ser una contraseña válida del sistema, con ocho caracteres delongitud como máximo.

Lista de comprobación posterior a la instalaciónUtilice la siguiente lista de comprobación para asegurarse de que yapuede empezar a configurar Tivoli PKI. Para obtener informaciónsobre cómo ejecutar el Asistente para la configuración, consulte lapublicaciónTivoli PKI Guía de configuración:

1. Utilice sus herramientas de Windows NT preferidas para realizaruna copia de seguridad del sistema actual.

2. Para agilizar la resolución de posibles problemas, cree una copiade seguridad del Registro de Windows para comprobar que tieneuna lista de todo el software instalado.

3. Si no desea utilizar los valores de configuración por omisión paralos puertos del servidor Web, configure los alias IP antes deejecutar el Asistente para la configuración. Los programas deconfiguración se basan en estos valores para crear el certificadode CA del sistema. En el apartado “Configuración de alias IPpara el servidor Web” en la página 42, encontrará informaciónsobre cómo Tivoli PKI configura y utiliza los puertos delservidor Web para las transacciones seguras y no seguras.

4. Decida los nombres distintivos (DN) que desee utilizar para laCA de Tivoli PKI y sus agentes, el administrador del Directorioy la raíz del Directorio.


5.Instalación

deTivoliP

KI

enW

indows

NT

Repase las directrices de la publicaciónTivoli PKI Guía deconfiguraciónpara asegurarse de que los DN de dichos objetosson compatibles con la jerarquía de certificados que pretendeutilizar.

5. Rellene el formularioTivoli PKI Configuration Data Formincluido con la publicaciónTivoli PKI Guía de configuraciónpara familiarizarse con la información de la que debe disponerantes de configurar el sistema. Utilice el formulario para anotarinformación del sistema, como los nombres de sistema principaldel servidor y los nombres distintivos que prefiera.

6. Para obtener ayuda acerca de la configuración, siga estos pasospara configurar un entorno MS-DOS amplio y con una barra dedesplazamiento en el equipo donde desee ejecutar Asistente parala configuración. En un entorno habitual, la ventana de DOS notiene ninguna barra de desplazamiento y sólo muestra 24 líneasde información:

a. Inicie la sesión como usuario de configuración de Tivoli PKI(normalmente cfguser).

b. SeleccioneInicio → Configuración → Panel de control.

c. Pulse dos veces laConsolade MS-DOS.

d. Seleccione la fichaPresentación.

e. En la secciónTamaño del almacenamiento intermedio depantalla, establezca el valor deAlto en 1000 como mínimo(puede especificar cualquier número hasta 9999) y pulseAceptar.

Ejecución de la utilidad de copia de seguridadLa utilidad de copia de seguridad de Tivoli PKI (ta-backup) es unaherramienta para guardar los datos de configuración que no sealmacenan en ninguna base de datos DB2. También se guardan losdatos del archivo subordinado como los permisos de archivo. Use lasutilidades de DB2 para efectuar copias de seguridad de las bases dedatos de DB2.


La utilidad de copia de seguridad acepta un parámetro que identificael directorio donde se escriben los datos de la copia de seguridad.Este directorio de copia de seguridad es el directorio raíz utilizadopara guardar todos los archivos de datos. Para evitar conflictos denombres en el directorio de copia de seguridad, la utilidad de copiade seguridad guarda los archivos con la misma estructura dedirectorio que la del sistema que se guarda.

En el siguiente ejemplo se ilustra la sintaxis del programa:ta-backup -d directorio_copia_seguridad

donde-d directorio_copia_seguridad es el directorio que seutiliza para la copia de seguridad de los datos. La vía de acceso poromisión es /usr/lpp/iau/backup.

Efectúe los pasos siguientes para ejecutar la utilidad ta-backup sinconexión:

1. Inicie la sesión como cfguser.

2. Si lo desea, puede crear un directorio donde desee realizar lacopia de seguridad de los datos de configuración de Tivoli PKI.Por ejemplo:mkdir "c:\Archivos de programa\IBM\Trust Authority\mi_copia_seguridad"

3. Vaya al directorio \bin de Tivoli PKI. La vía de acceso poromisión es c:\Archivos de programa\IBM\Trust Authority\bin.

4. Escriba el siguiente mandato y especifique la vía de accesoabsoluta donde desee que se realice la copia de seguridad de losdatos:ta-backup -d "c:\Archivos de programa\IBM\Trust Authority\mi_copia_seguridad"


5.Instalación

deTivoliP

KI

enW

indows

NT

Configuración de Tivoli PKI

Tras la instalación del software de servidor de Tivoli Public KeyInfrastructure (PKI), debe especificar los valores de configuraciónpara controlar el modo en que los componentes se configuran en elsitio. Por ejemplo, quizás desee identificar las ubicaciones de losprogramas del servidor, especificar nombres distintivos (DN) yconfigurar el dominio de registro.

Durante la configuración, el sistema guarda los valores en un archivoexportable. Esta característica resulta útil para configurar variasinstancias de Tivoli PKI que utilicen la misma plataforma y tenganconfiguraciones similares. Cuando instala una nueva instancia deTivoli PKI, puede importar los valores guardados para utilizarloscomo referencia para configurar el nuevo sistema.

El producto Tivoli PKI incluye el Asistente para la configuración,una aplicación que le ayudará a especificar las opciones deconfiguración. Antes de empezar la configuración del sistema TivoliPKI, es preciso que comprenda cómo funciona el proceso deconfiguración y que decida cómo desea configurar el sistema en suentorno. También debe tener determinada información disponiblecuando ejecute el Asistente para la configuración. Además, debeasegurarse de que el sistema está correctamente configurado antes deutilizarlo.

En la publicaciónTivoli PKI Guía de configuraciónse describecómo preparar la configuración, cómo especificar las opciones de

6


6.C

onfiguraciónde

TivoliP

KI

configuración y cómo preparar el sistema para su uso en un entornode producción. Por ejemplo, incluye:

¶ Hojas de trabajo para recopilar información antes de iniciar elAsistente para la configuración.

¶ Instrucciones para utilizar el editor de nombres distintivos paraespecificar un nombre distintivo válido.

¶ Recomendaciones para los pasos que deben seguirse antes deutilizar Tivoli PKI en su comunidad de usuarios. Tenga encuenta que algunos pasos, como el cambio de las contraseñas delservidor y la copia de seguridad del sistema recién configuradoson fundamentales.

¶ Procedimientos para desinstalar el software.

La publicaciónGuía de configuración, diseñada para un entornoWeb, proporciona:

¶ Información sobre tareas como, por ejemplo, “Cómo configurarcomponentes remotos” o “Cómo verificar la configuración”.

¶ Información conceptual como “Información acerca de losdominios de registro” o “Información acerca del Directorio”.

¶ Información de referencia como descripciones detalladas de losvalores que se pueden especificar mediante el Asistente para laconfiguración.

Puede acceder a la publicaciónGuía de configuraciónde cualquierade las siguientes maneras:

¶ Tras iniciar el Asistente para la configuración, pulse el botónAyuda y, a continuación, en el icono del libro mientras visualizala ayuda en pantalla.

¶ Desde el sitio Web de Tivoli Public Key Infrastructure:http://www.tivoli.com/support



Iniciación

Después de instalar y configurar el sistema Tivoli Public KeyInfrastructure (PKI), debe aprender a administrarlo y a utilizar susinterfaces gráficas de usuario. Las secciones siguientes incluyenreferencias útiles para empezar a trabajar con Tivoli PKI. Lea estosdocumentos para aprender a realizar las siguientes tareas:

¶ Operaciones de ajuste del sistema, ya sea para mejorar laseguridad de las operaciones o para realizar ajustes derendimiento de forma continuada.

¶ Ejecutar RA Desktop para administrar los certificados emitidos ylas solicitudes de certificados.

¶ Obtener certificados mediante los formularios de inscripción denavegador proporcionados con el recurso de registro.

¶ Personalizar los procesos de registro, como modificar losformularios HTML para inscripciones o incluir soporte paradistintos tipos de certificados.

Administración del sistemaTivoli Public Key Infrastructure proporciona varias herramientas paraadministrar el sistema. Incluye:

¶ Una utilidad para iniciar y detener los componentes de servidorde forma segura y con protección por contraseña.

¶ Una utilidad para definir contraseñas seguras para programas concomponentes de confianza.

7


7.Iniciación

¶ Una utilidad para autorizar a los usuarios administrativos autilizar RA Desktop.

¶ Una utilidad que permite a la Autoridad de certificación (CA) deTivoli PKI emitir certificados cruzados con otras CA o establecerjerarquías de CA.

¶ Una utilidad para comprobar la integridad de la base de datos deauditoría y de los registros de auditoría archivados.

¶ Una utilidad para archivar y firmar la base de datos de auditoría.

¶ Una utilidad que provoca que una clave de raíz de CA serenueve de un par de claves que no estén en peligro al par declaves de CA siguiente.

¶ Un conjunto de utilidades que proporcionan un método seguropara que un usuario autenticado solicite varios certificadosdigitales con una llamada a Tivoli PKI.

En la publicaciónTivoli PKI Guía de administración del sistema,encontrará información sobre estas utilidades e instruccionesadministrativas. Por ejemplo, podrá encontrar recomendaciones paraadministrar los componentes de servidor y sus bases de datoscorrespondientes. También podrá tener acceso a los pasos que debeseguir para finalizar la configuración del sistema y mejorar laseguridad a fin de utilizarlo en un entorno de producción.

La publicaciónGuía de administración del sistema, diseñada para unentorno Web, proporciona:

¶ Información sobre tareas como, por ejemplo, “Cómo detener elsistema” o “Cómo archivar la base de datos de auditoría”.

¶ Información conceptual como “Información acerca de loscertificados cruzados”, “Información acerca de la CA de TivoliPKI” o “Información acerca de sucesos de auditoría”.

¶ Información de referencia como descripciones detalladas de losparámetros de los archivos de configuración.

Para acceder a la publicaciónGuía de administración del sistema,visite el sitio Web de Tivoli Public Key Infrastructure:




Administración de RA

El servidor RA almacena registros sobre solicitudes de inscripción ycertificados emitidos en una base de datos de registro cifrada. Laevaluación de las solicitudes de inscripción y la administración delos registros de bases de datos son tareas que pueden llevarse a cabomediante programación o personalmente por medio de unadministrador.

Tivoli PKI proporciona una aplicación, RA Desktop, que facilita elproceso de solicitud de certificados que tienen que seguir losresponsables de registros autorizados, así como las medidas quedeben tomarse para los certificados ya emitidos.

RA Desktop admite los siguientes tipos de tareas administrativas:¶ Trabajar con solicitudes de inscripción en espera de aprobación¶ Cambiar el período de validez de los certificados que están a

punto de caducar¶ Determinar si un certificado puede renovarse¶ Suspender certificados de forma temporal¶ Revocar certificados de forma permanente

En la publicaciónTivoli PKI Guía de Registration Authority Desktopse describe el applet RA Desktop.

La publicaciónGuía de RA Desktop, diseñada para un entorno Web,proporciona:

¶ Información sobre tareas como, por ejemplo, “Cómo instalar RADesktop”, “Cómo recuperar un conjunto de certificados queestán a punto de caducar” o “Cómo visualizar un histórico de lasacciones llevadas a cabo con un certificado”.

¶ Información conceptual como “Información acerca de losdominios de registro” o “Información acerca del período devalidez de un certificado”.


7.Iniciación

¶ Información de referencia como descripciones detalladas de losvalores que puede especificar un responsable de registros siutiliza RA Desktop.

Puede acceder a la publicaciónGuía de RA Desktopde variasmaneras:

¶ Tras iniciar RA Desktop, pulse el botónAyuda y, acontinuación, en el icono del libro mientras visualiza la ayuda enpantalla.

¶ Desde el sitio Web de Tivoli Public Key Infrastructure:http://www.tivoli.com/support

Registro y certificaciónMediante los formularios de inscripción de navegadorproporcionados junto con el recurso de registro, puede registrar confacilidad certificados de navegador, servidor y dispositivo. Una vezaprobada la solicitud, el certificado se descarga de forma automática.También puede utilizar los formularios de navegador para realizarpre-registros que puedan utilizarse con una aplicación PKIX. Cuandose aprueba la solicitud de pre-registro, se proporciona la informaciónnecesaria para obtener el certificado en el momento oportuno.

En la publicaciónTivoli PKI Guía del usuariose describen losformularios de inscripción y se incluye lo siguiente:

¶ Información sobre tareas como, por ejemplo, “Cómo efectuaruna inscripción para un certificado de navegador” o “Cómorenovar los certificados que están a punto de caducar”.

¶ Información conceptual como “Información acerca delpre-registro” o “Información acerca de los certificados deservidor”.

Puede tener acceso a la publicaciónGuía del usuariodesde el sitioWeb de Tivoli Public Key Infrastructure:http://www.tivoli.com/support




PersonalizaciónTivoli PKI proporciona la flexibilidad necesaria para implementarprocesos de registro para la organización. Por ejemplo, permitecontrolar los siguientes tipos de actividades:

¶ El aspecto y el idioma utilizados en los formularios deinscripción de navegador

¶ Políticas de certificación

¶ El contenido de las cartas de notificación enviadas a los usuariosque se registran para obtener certificados

¶ Salidas de política para administrar distintos tipos deprocesamientos automáticos

En la publicaciónTivoli PKI Guía de personalizaciónse describenlos distintos métodos existentes para personalizar el recurso deregistro.

¶ Información sobre tareas como, por ejemplo, “Cómo añadir uncampo de inscripción” o “Cómo cambiar un perfil decertificado”.

¶ Información conceptual como “Información acerca delpre-registro”, “Información sobre política de gestión” o“Información sobre controles de acceso”.

¶ Información de referencia como descripciones detalladas de tiposde certificados y el archivo de configuración del recurso deregistro.

Para acceder a la publicaciónGuía de personalización, visite el sitioWeb de Tivoli Public Key Infrastructure:http://www.tivoli.com/support


7.Iniciación


Glosario

Es este glosario se definen los términos y abreviaturas de estapublicación que son términos nuevos o que no le resulten familiarespero sí interesantes. Comprende términos y definiciones de:

¶ El IBM Dictionary of Computing, New York: McGraw-Hill,1994.

¶ El American National Standard Dictionary for InformationSystems, ANSI X3.172–1990, American National StandardsInstitute (ANSI), 1990.

¶ Las Answers to Frequently Asked Questions, Version 3.0,California: RSA Data Security, Inc., 1998.

Números

4758 PCI Cryptographic CoprocessorTarjeta bus PCI criptográfica programable que responde a irregularidades y ofreceproceso criptográfico DES y RSA de alto rendimiento. Los procesos criptográficosocurren dentro de un alojamiento seguro de la tarjeta. La tarjeta cumple losrequisitos rigurosos del estándar FIPS PUB 140-1 de nivel 4. El software puedeejecutarse dentro del alojamiento seguro. Por ejemplo, el proceso de transaccionesde tarjetas de crédito puede utilizar el estándar SET.

A

Abstract Syntax Notation One (ASN.1)Notación ITU que se utiliza para definir la sintaxis de los datos de información.Define un número de tipos de datos simple y especifica una notación paraidentificar estos tipos y especificar valores de estos tipos. Estas notaciones sepueden aplicar siempre que sea necesario definir la sintaxis abstracta de informaciónsin limitar la manera en que se codificará la información para ser transmitida.

ACLLista de control de accesos.

Agencia nacional de seguridad (NSA)Cuerpo de seguridad oficial del gobierno de los EE.UU.

Algoritmo de firma digital (DSA)Algoritmo de clave pública que se utiliza como parte del Estándar de firma digital.No puede utilizarse para cifrado, sólo para firmas digitales.


Glosario

almacén de clavesDL para almacenar credenciales del componente Tivoli PKI, como claves ycertificados, en formato cifrado.

American National Standard Code for Information Interchange (ASCII)Código estándar que se utiliza para intercambiar información a través de sistemas deproceso de datos, sistemas de comunicación de datos y el equipo asociado. Elestándar ASCII utiliza un conjunto de caracteres que consta de caracterescodificados en 7 bits (8 bits si se incluye un bit para la comprobación de paridad).El conjunto de caracteres consta de caracteres de control y caracteres gráficos.

American National Standards Institute (ANSI)Organización que establece los procedimientos mediante los cuales lasorganizaciones acreditadas crean y mantienen estándares industriales voluntarios enEstados Unidos. Lo forman fabricantes, consumidores y grupos de interés general.

ANSIAmerican National Standards Institute.

anti-rechazoUtilización de una clave privada digital para evitar que el firmante de un documentoniegue falsamente haberlo firmado.

aplicaciónPrograma de sistema que está escrito en Java y se ejecuta dentro de un navegadorWeb compatible con Java. También conocido como un applet Java.

Applet JavaVéaseapplet.Compárese conaplicación de Java.

ASCIIAmerican National Standard Code for Information Interchange.

ASN.1Abstract Syntax Notation One.

atributo de inscripciónVariable de inscripción contenida en un formulario de inscripción. Su valor refleja lainformación que se consigue durante la inscripción. El valor del atributo deinscripción permanece sin cambios durante la vida útil de la credencial.

autenticaciónProceso de determinación fiable de la identidad de un comunicante.

autenticación de usuarioProceso para validar que el autor de un mensaje es el propietario identificable ylegítimo del mensaje. También valida que se está realizando una comunicación conel usuario final o el sistema que se esperaba.


Autoridad de certificación (CA)Software responsable de seguir las políticas de seguridad de una empresa y asignaridentidades electrónicas seguras en forma de certificados. La CA procesa lassolicitudes de las RA para emitir, renovar y revocar certificados. La CA interactúacon la RA para emitir certificados y las CRL en el Directorio.Véase tambiéncertificado digital.

Autoridad de registro (RA)Software que administra los certificados digitales para garantizar que se aplican laspolíticas de gestión de una organización desde la entrada inicial de una solicitud deinscripción hasta la revocación de certificados.

autorizaciónPermiso para acceder a un recurso.

B

base de datos de registroContiene información sobre las solicitudes de certificados y los certificadosemitidos. La base de datos almacena los datos de inscripción y todos los cambios enlos datos del certificado durante su ciclo de vida. La base de datos puedeactualizarse mediante los procesos de la RA y las salidas de política o por losadministradores de la RA.

base informática de confianza (TCB)Elementos de software y hardware que conjuntamente hacen respetar la política deseguridad informática de una organización. Cualquier elemento o parte de unelemento que pueda tener efecto en hacer cumplir la política de seguridad es deimportancia en la seguridad y forma parte de la TCB. La TCB es un objeto que estádelimitado por el perímetro de seguridad. Los mecanismos que llevan a cabo lapolítica de seguridad no deben ser eludibles y deben evitar que los programasconsigan acceder a los privilegios del sistema por aquellos que no estén autorizados.

Basic Encoding Rules (BER)Reglas especificadas en la ISO 8825 para codificar unidades de datos descritas en lanotación de sintaxis abstracta 1 (ASN.1). Las reglas especifican la técnica decodificación, no la sintaxis abstracta.

BERBasic Encoding Rules.

C

CAAutoridad de certificación.


Glosario

cadena de confianzaUn conjunto de certificados que consta de la jerarquía de confianza que abarcadesde el certificado del usuario hasta el certificado autofirmado o root.

CAST-64Algoritmo cifrado en bloques que utiliza un tamaño de bloques de 64 bits y unaclave de 6 bits. Fue diseñado por Carlisle Adams y Stafford Tavares.

CA superiorCA que se encuentra en la parte superior de la jerarquía de CA de la PKI.

CCAIBM Common Cryptographic Architecture.

CDSACommon Data Security Architecture.

certificaciónEl proceso durante el cual una tercera parte de confianza emite una credencialelectrónica que asegura una identidad individual, empresarial u organizativa.

certificación cruzadaModelo de fiabilidad mediante el cual una CA emite un certificado a otra CA, elcual contiene la clave pública asociada a la clave de firma privada. Un certificadocon certificación cruzada permite que los sistemas cliente o entidades finales de undominio administrativo se comuniquen de forma segura con sistemas cliente oentidades finales de otro dominio.

certificación digitalVéasecertificación.

certificado de CACertificado aceptado por el navegador Web, bajo petición, procedente de una CAque no reconoce. El navegador puede utilizar este certificado para autenticar lascomunicaciones con los servidores que mantienen los certificados emitidos por dichaCA.

certificado del servidorCertificado digital, emitido por una CA para permitir a un servidor Web que realicetransacciones basadas en SSL. Cuando un navegador conecta con el servidormediante el protocolo SSL, el servidor envía al navegador su clave pública. Estopermite la autenticación de la identidad del servidor. También permite enviarinformación cifrada al servidor.Véase tambiéncertificado de CA, certificado digitaly certificado de navegador.

certificado de navegadorCertificado digital que también recibe el nombre de certificado para el cliente. Loemite una CA a través de un servidor Web habilitado para SSL. Las claves de un


archivo cifrado permiten que el poseedor del certificado cifre, descifre y firmedatos. Normalmente el navegador Web almacena estas claves. Ciertas aplicacionespermiten el almacenamiento de las claves en Smart Cards u otros soportes.Véasetambiéncertificado digital.

certificado de sitioParecido a un certificado de CA, pero sólo es válido para un sitio Web específico.Véase tambiéncertificado de CA.

certificado digitalCredencial electrónica que emitió una tercera parte de confianza a una persona oentidad. Cada certificado se firma con la clave privada de la CA. Asegura unaidentidad individual, empresarial u organizativa.En función del rol de la CA, el certificado puede confirmar a la autoridad delportador que ha conducido el e-business a través de Internet. En cierto modo, uncertificado digital desempeña un papel parecido al de un permiso de conducir o undiploma médico. Certifica que el titular de la clave privada correspondiente tieneautoridad para realizar determinadas actividades de e-business.Un certificado contiene información sobre la entidad que él certifica, ya sea unapersona, máquina o programa de sistema. Incluye la clave pública certificada dedicha entidad.

Certificado X.509Estándar de certificado muy aceptado que fue diseñado para soportar la gestión ydistribución segura de certificados firmados digitalmente a través de redes Internetseguras. El certificado X.509 define las estructuras de datos que alojan a losprocedimientos que distribuyen las claves públicas firmadas digitalmente porterceros de confianza.

Certificado X.509 Versión 3El certificado X.509v3 tiene estructuras de datos extendidas para almacenar yrecuperar información de la aplicación de certificados, información de distribucióndel certificado, información de revocación del certificado, información de políticas yfirmas digitales.Los procesos de X.509v3 crean las CRL con impresión de la hora para todos loscertificados. Cada vez que se utiliza un certificado, las posibilidades del X.509v3permiten que la aplicación compruebe la validez del certificado. También permite ala aplicación determinar si el certificado está en la CRL. Las CRL de X.509v3pueden construirse para un período de validez específico. También pueden basarseen las otras circunstancias que pueden invalidar un certificado. Por ejemplo, si unempleado deja la organización, su certificado se pondría en la CRL.

CGIInterfaz de gateway común.


Glosario

cifrado/descifradoUtilización de la clave pública del destinatario para cifrar los datos que vandirigidos a dicha persona, quien posteriormente utiliza la clave privada del par paradescifrar los datos.

cifrarCodificar información para que sólo la persona que disponga del código dedescifrado apropiado pueda obtener la información original mediante su descifrado.

claseEn diseño o programación orientados a objetos, grupo de objetos que comparten unadefinición común y que, además, comparten propiedades, operaciones ycomportamientos comunes.

Clase JavaUnidad de código de programa Java.

claveCantidad utilizada en criptografía para cifrar y descifrar información.

clave de cifrado de documentos (DEK)Normalmente, clave de cifrado/descifrado simétrico, como DES.

clave privadaClave en un par de claves pública/privada que está disponible solamente para supropietario. Permite al propietario recibir una transacción privada o estampar unafirma digital. Los datos firmados con una clave privada sólo pueden verificarse conla clave pública correspondiente.Compárese conclave pública.Véase tambiénparde claves pública/privada.

clave públicaClave en un par de claves pública/privada que está disponible para otros. Permitedirigir una transacción hacia el propietario de la clave o verificar la firma digital.Los datos cifrados con la clave pública sólo pueden descifrarse con la clave privadacorrespondiente.Compárese conclave privada.Véase tambiénpar de clavespública/privada.

clave simétricaClave que puede utilizarse para cifrar y descifrar.Véase tambiéncriptografíasimétrica.

cliente(1) Unidad funcional que recibe servicios compartidos de un servidor. (2) Equipo oprograma que solicita un servicio de otro equipo o programa.

cliente de auditoríaCualquier cliente en el sistema que envía eventos de auditoría al servidor deauditoría de Tivoli PKI. Antes de que el cliente de auditoría envíe un evento al


Servidor de auditoría, establece una conexión con el servidor de auditoría. Despuésde establecerse la conexión, el cliente utiliza la biblioteca cliente del subsistema deauditoría para entregar los eventos al servidor de auditoría.

cliente/servidorModelo del proceso distribuido en el que un programa de un sitio envía unasolicitud a un programa de otro sitio y espera una respuesta. El programa solicitantese denomina cliente; el que contesta se denomina servidor.

CMP PKIXProtocolo de gestión de certificados PKIX.

codificación base64Medio habitual de transportar datos binarios con MIME.

código de autenticación de mensajes (MAC)Clave secreta compartida entre el remitente y el destinatario. El remitente autenticay el destinatario verifica. En Tivoli PKI, las claves MAC se guardan en el almacénde claves de la CA y de los componentes de auditoría.

código de byteCódigo independiente del tipo de máquina generado por el compilador Java yejecutado por el intérprete de Java.

Common Cryptographic Architecture (CCA)Software de IBM que permite un enfoque coherente de la criptografía de lasprincipales plataformas de sistemas informáticos de IBM. Soporta software deaplicaciones que esté escrito en una gran variedad de lenguajes de programación. Elsoftware de aplicaciones puede llamar a servicios CCA para llevar a cabo un grannúmero de funciones criptográficas, incluido el cifrado DES y RSA.

Common Data Security Architecture (CDSA)Una iniciativa para definir un enfoque completo del servicio de seguridad y de lagestión de la seguridad de las aplicaciones de seguridad basadas en equipos. Fuediseñada por Intel para que las plataformas de equipos fueran más seguras para lasaplicaciones.

Common Gateway Interface (CGI)Método estándar de transmisión de información entre páginas Web y servidoresWeb.

comprobación de integridadComprobación de los registros de auditoría resultantes de las transacciones concomponentes externos.

comunicación asíncronaModo de comunicación que no necesita que el remitente y el destinatario esténpresentes los dos a la vez.


Glosario

condensación de mensajesFunción irreversible que toma un mensaje de tamaño arbitrario y produce unacantidad de longitud fija. MD5 es un ejemplo de algoritmo de condensación demensajes.

Conectividad abierta de bases de datos (ODBC)Estándar para acceder a diferentes sistemas de base de datos.

confidencialidadPropiedad de no divulgación a partes no autorizadas.

correo con privacidad mejorada (PEM)Estándar de correo con privacidad mejorada de Internet, que adoptó el Comité dearquitectura Internet (IAB) para proporcionar correo electrónico seguro en Internet.Los protocolos PEM proporcionan cifrado, autenticación, integridad de mensajes ygestión de claves.

cortafuegosGateway entre redes que restringe el flujo de información entre redes. Normalmente,el propósito de un cortafuegos es proteger las redes internas del uso no autorizadoprocedente del exterior.

credencialInformación confidencial utilizada para probar la identidad de alguien en unintercambio de autenticación. En entornos de redes, el tipo más común decredenciales es un certificado que una CA ha creado y firmado.

criptografíaEn seguridad de equipos, principios, medios y métodos para cifrar texto plano ydescifrar texto cifrado.

criptografía asimétricaCriptografía que utiliza claves asimétricas diferentes para cifrar y descifrar datos.Cada usuario recibe un par de claves: una clave pública accesible para todos y unaclave privada que sólo conoce el usuario. Se puede producir una transacción seguracuando la clave pública y la correspondiente clave privada coinciden, habilitando asíel descifrado de la transacción. Este proceso también se conoce como criptografíade par de claves.Compárese concriptografía simétrica.

criptografía simétricaCriptografía que utiliza la misma clave para cifrar y descifrar. Su seguridad resideen la clave; si se revela la clave cualquiera podría cifrar y descifrar los mensajes. Lacomunicación es secreta sólo mientras la clave siga siendo secreta.Compárese concriptografía asimétrica.

criptográficoPerteneciente a la transformación de datos para ocultar su significado.


CRLLista de revocación de certificados.

D

daemonPrograma que realiza tareas de fondo. Se llama implícitamente a este programacuando se produce una determinada condición que requiera su ayuda. El usuario notiene que estar pendiente del daemon porque el sistema lo utiliza automáticamente.Un daemon puede durar siempre o el sistema puede regenerarlo a intervalos.El término (pronunciadodemon) procede de la mitología. Posteriormente, seracionalizó como acrónimo DAEMON: Disk And Execution MONitor.

Data Encryption Standard (DES)Cifra de un bloque de cifrado definida y endosada por el gobierno de los EE.UU. en1977 como estándar oficial. IBM lo desarrolló originalmente. DES se ha estudiadoampliamente desde su publicación y es un sistema criptográfico bien conocido ymuy utilizado.DES es un sistema criptográfico simétrico. Cuando se utiliza para comunicaciones,tanto el emisor como el receptor deben conocer la misma clave secreta. Esta clavese utiliza para cifrar y descifrar el mensaje. DES también se puede utilizar para unsimple cifrado de usuario, como por ejemplo para almacenar archivos en un discoduro en formato de cifrado. DES tiene un tamaño de bloques de 64 bits y utilizauna clave de 56 bits durante el cifrado. Originalmente se diseñó para suimplementación en el hardware. NIST ha ratificado la certificación de DES comoestándar de cifrado del gobierno de los EE.UU. cada cinco años.

Data Storage Library (DL)Módulo que proporciona acceso a datos permanentes almacenados de certificados,CRL, claves, políticas y otros objetos relacionados con la seguridad.

DEKClave de descifrado de documentos.

DERReglas de codificación distintivas.

DESEstándar de cifrado de datos.

descifradoPara deshacer el proceso de cifrado.

destinoOrigen de datos designado o seleccionado.


Glosario

DES tripleAlgoritmo simétrico que cifra el texto plano tres veces. Aunque existen muchasformas de hacerlo, la forma más segura de cifrado múltiple es DES triple con tresclaves distintas.

Diffie-HellmanMétodo para establecer una clave compartida en un medio inseguro, que recibe elnombre de sus inventores (Diffie y Hellman).

DirectorioEstructura jerárquica utilizada como repositorio global para la informaciónrelacionada con las comunicaciones (como el correo electrónico o los intercambioscriptográficos). En el directorio se almacenan elementos específicos esenciales parala estructura PKI, entre los que se incluyen claves públicas, certificados y listas derevocación de certificados.Los datos del Directorio están organizados jerárquicamente en forma de árbol, conla raíz en la parte superior del árbol. A menudo, las organizaciones de nivel másalto representan a individuos, gobiernos o compañías. Los usuarios y losdispositivos están representados normalmente como hojas de cada árbol. Estosusuarios, organizaciones, localidades, países y dispositivos tienen cada uno su propiaentrada. Cada entrada consta de atributos de tipo. Éstos proporcionan informaciónsobre el objeto que representa la entrada.Cada entrada del Directorio está enlazada con un nombre distintivo (DN). Éste esúnico cuando la entrada incluye un atributo que se sabe que es único en el objetodel mundo real. Observe el siguiente DN de ejemplo. En él, el país (C) es US, laorganización (O) es IBM, la unidad organizativa (OU) es Trust y el nombre común(CN) es CA1.

C=US/O=IBM/OU=Trust/CN=CA1

DLBiblioteca de almacenamiento de datos.

DNNombre distintivo.

dominioVéasedominio de seguridady dominio de registro.

dominio de confianzaConjunto de entidades cuyos certificados han sido certificados por la misma CA.

dominio de registroConjunto de recursos, políticas y opciones de configuración relacionados conprocesos específicos de registro de certificados. El nombre del dominio es unsubconjunto del URL utilizado para ejecutar recursos de registro.


dominio de seguridadGrupo (compañía, grupo de trabajo o equipo, docente o gubernamental) cuyoscertificados han sido certificados por la misma CA. Los usuarios con certificadosfirmados por una CA pueden confiar en la identidad de otro usuario que tiene uncertificado firmado por la misma CA.

DSAAlgoritmo de firma digital.

E

e-businessTransacciones comerciales sobre redes y mediante sistemas. Incluye la compra yventa de mercancías y servicios. También incluye la transferencia de fondosmediante comunicaciones digitales.

e-commerceTransacciones inter-comerciales. Incluye la compra y venta de mercancías yservicios (con clientes, distribuidores, proveedores y otros) en Internet. Es unelemento primario del e-business.

entidad finalSujeto de un certificado que no sea una CA.

esquemaEn lo que se refiere al Directorio, estructura interna que define las relaciones entrelos diferentes tipos de objeto.

Estándares de criptografía de clave pública (PKCS)Estándares informales entre proveedores desarrollados en 1991 por los RSALaboratories con representantes de varios proveedores de sistemas. Estos estándarescontemplan el cifrado RSA, el acuerdo Diffie-Hellman, el cifrado basado encontraseña, la sintaxis de certificados extendidos, la sintaxis de mensajescriptográficos, la sintaxis de la información de clave privada y la sintaxis decertificación.

¶ PKCS #1 describe un método para cifrar los datos utilizando el sistemacriptográfico de clave pública RSA. Se utiliza para la construcción de firmas ysobres digitales.

¶ PKCS #7 especifica el formato general de los mensajes criptográficos.

¶ PKCS #10 especifica la sintaxis estándar de las solicitudes de certificación.

¶ PKCS #11 define la interfaz de programación independiente de la tecnologíapara los dispositivos criptográficos como Smart Cards.

¶ PKCS #12 especifica el formato portátil para almacenar o transportar las clavesprivadas, los certificados, secretos varios, etc., del usuario.


Glosario

estructura internaVéaseesquema.

extensión de certificadoDispositivo opcional del formato de certificado X.509v3 que se proporciona paraincluir campos adicionales en el certificado. Hay extensiones estándar y extensionesdefinidas por el usuario. Las extensiones estándar sirven para varios fines, incluidala información de política y claves, atributos del sujeto y del emisor, y limitacionesde la vía de acceso de certificación.

extranetDerivada de Internet que utiliza una tecnología similar. Las compañías estánempezando a aplicar publicaciones Web, comercio electrónico, transmisión demensajes y groupware en múltiples comunidades de clientes, asociados y personalinterno.

F

firma de códigoTécnica para firmar programas ejecutables mediante firmas digitales. El proceso defirma de código se ha diseñado para mejorar la fiabilidad del software que sedistribuye en Internet.

firma digitalMensaje codificado añadido a un documento o datos que garantiza la identidad delremitente.Una firma digital puede proporcionar mayor nivel de seguridad que una firma física.La razón por la que esto ocurre es que una firma digital no es un nombre cifrado ouna serie de códigos de identificación sencillos. En realidad es un resumen cifradodel mensaje que se firma. De este modo, al añadir una firma digital a un mensaje seproporciona un medio sólido de identificación del remitente. Solamente la clave delremitente puede crear la firma. También se asegura el contenido del mensaje que sefirma (el resumen cifrado del mensaje debe coincidir con el contenido del mensaje ola firma no será válida). De este modo, una firma digital no puede copiarse de unmensaje y aplicarse en otro, porque el resumen, o dato de control (hash), nocoincidiría. Cualquier modificación del mensaje firmado también invalidaría lafirma.

firmarUtilizar la clave privada para generar una firma. La firma es un medio de probarque se es responsable del mensaje que se firma y que se aprueba.

firma/verificaciónFirmar es utilizar una clave digital privada para generar una firma. Verificar esutilizar la clave pública correspondiente para verificar la firma.


FTPProtocolo de transferencia de archivos.

G

gatewayUnidad funcional que permite que las redes o aplicaciones incompatibles secomuniquen entre ellas.

H

hipertextoTexto que contiene palabras, frases o gráficos sobre los que el lector puede pulsarcon el ratón para recuperar y visualizar otro documento. Estas palabras, frases ográficos se les conoce como hiperenlaces. Recuperarlos se conoce como enlazar conellos.

historial de accionesEventos acumulados durante el ciclo de vida de una credencial.

HTMLLenguaje de marcas de hipertexto.

HTTPProtocolo de transferencia de hipertexto.

I

ICLLista de certificados emitidos.

ID de solicitudValor ASCII de 24 a 32 caracteres que identifica de forma exclusiva una solicitudde certificado de la RA. Este valor se puede utilizar en la transacción de solicituddel certificado para recuperar el estado de la solicitud o el certificado con el queestá asociada.

ID de transacciónIdentificador proporcionado por la RA como respuesta a una solicitud de inscripciónde pre-registro. Permite al usuario que ejecuta la aplicación cliente de Tivoli PKIobtener el certificado previo a la aprobación.

identificador de objeto (OID)Valor de datos asignado administrativamente del tipo definido en la notación desintaxis abstracta 1 (ASN.1).


Glosario

IETF (Grupo de trabajo técnico para Internet)Grupo centrado en la ingeniería y el desarrollo de protocolos para Internet.Representa una comunidad internacional de diseñadores, operadores, proveedores einvestigadores de redes. El IETF se ocupa del desarrollo de la arquitectura deInternet y de su uso fluido.

infraestructura de clave pública (PKI)Estándar para el software de seguridad que está basado en la criptografía de clavepública. PKI es un sistema de certificados digitales, autoridades de certificación,autoridades de registro, servicios de gestión de certificados y servicios de directoriodistribuido. Se utiliza para verificar la identidad y autoridad de cada una de laspartes involucradas en cualquier transacción realizada en Internet. En estastransacciones podrían estar involucradas operaciones en las que se requiere laverificación de identidad. Por ejemplo, podrían confirmar el origen de los intentosde propuesta, los autores de los mensajes de correo electrónico o las transaccionesfinancieras.PKI hace que las claves de cifrado públicas y los certificados estén disponibles parala autenticación a través de un individuo u organización válido. Proporcionadirectorios en línea que contienen las claves de cifrado públicas y los certificadosque se utilizan para verificar los certificados digitales, credenciales y firmasdigitales.PKI ofrece un medio para obtener respuestas rápidas y eficaces a las consultas deverificación y las solicitudes de claves de cifrado públicas. También avisa al sistemade los peligros potenciales de seguridad y mantiene los recursos necesarios paratratar las violaciones de seguridad. Por último, PKI proporciona un servicio deimpresión de la hora digital para las transacciones comerciales importantes.

IniEditorEn Tivoli PKI, herramienta utilizada para editar los archivos de configuración.

inscripciónEn Tivoli PKI, proceso para obtener las credenciales a utilizar en Internet. Lainscripción engloba la solicitud, renovación y revocación de certificados.

instanciaEn DB2, una instancia es un entorno lógico de gestión de base de datos paraalmacenar datos y ejecutar aplicaciones. Permite definir un conjunto común deparámetros de configuración para bases de datos múltiples.

integridadUn sistema protege la integridad de los datos si evita modificaciones no autorizadas(a diferencia de proteger la confidencialidad de los datos, que evita su revelación noautorizada).

Interconexión de sistemas abiertos (OSI)Nombres de los estándares para redes informáticas aprobados por ISO.


InternetGrupo de redes a nivel mundial que proporciona conexión electrónica entresistemas. Esto les permite comunicarse entre ellos mediante dispositivos de softwarecomo son el correo electrónico y los navegadores Web. Por ejemplo, algunasuniversidades forman una red que a su vez enlaza con otras redes similares paraformar Internet.

intervalo de publicación de la CRLDefinido en el archivo de configuración de la CA, intervalo de tiempo entrepublicaciones periódicas de la CRL en el Directorio.

intranetRed dentro de una empresa que suele residir detrás de los cortafuegos. Es unaderivada de Internet y utiliza una tecnología similar. Técnicamente, una intranet esuna mera extensión de Internet. HTML y HTTP son algunos de los elementos quecomparten.

IPSecEstándar de Seguridad del protocolo de Internet desarrollado por el IETF. IPSec esun protocolo de capa de red, diseñado para proporcionar servicios criptográficos deseguridad que soportan de forma flexible combinaciones de autenticación,integridad, control de acceso y confidencialidad. Por sus fuertes características deautenticación, ha sido adoptado por muchos proveedores de productos VPN comoprotocolo para establecer conexiones seguras punto a punto en Internet.

ISOOrganización internacional de estándares.

ITUUnión internacional de telecomunicaciones.

J

JavaPrograma autónomo escrito en lenguaje Java. Se ejecuta fuera del contexto de unnavegador Web.

JavaConjunto de tecnologías de sistemas sin plataforma específica preparado para redesy desarrollado por Sun Microsystems, Incorporated. El entorno Java consta delsistema operativo Java, máquinas virtuales para distintas plataformas, lenguaje deprogramación Java orientado a objetos y varias bibliotecas de clases.

jerarquíaOrganización de Autoridades de certificación (CA) en una cadena de confianza, queempieza con la CA autofirmada o el administrador de administradores y que acabacon la CA que emite los certificados a los usuarios finales.


Glosario

jerarquía de CAEn Tivoli PKI, estructura de confianza en la que en la parte superior de la estructurase encuentra una CA y por debajo se encuentran cuatro niveles de la CAsubordinados. Cuando los usuarios o servidores se registran en una CA, reciben deesa CA un certificado firmado y heredan la jerarquía de certificación de los nivelessuperiores.

L

LDAPLightweight Directory Access Protocol.

Lenguaje de marcas de hipertexto (HTML)Lenguaje de marcas para codificar las páginas Web. Está basado en SGML.

Lenguaje estandarizado de marcas general (SGML)Estándar para describir los lenguajes de marcas. HTML está basado en SGML.

Lenguaje JavaLenguaje de programación, desarrollado por Sun Microsystems, diseñadoespecíficamente para ser utilizado en applets y aplicaciones agente.

Lightweight Directory Access Protocol (LDAP )Protocolo utilizado para acceder al Directorio.

lista de certificados emitidos (ICL)Lista completa de certificados que han sido emitidos y su estado actual. Loscertificados están indexados por número de serie y estado. La CA mantiene estalista y se almacena en la base de datos de la CA.

lista de control de accesos (ACL)Mecanismo para limitar el uso de un recurso específico a los usuarios autorizados.

lista de revocación de certificados (CRL)Lista con firma digital e impresión de la fecha y hora de los certificados que laAutoridad de certificación ha revocado. Los certificados de esta lista se debenconsiderar no aceptables.Véase tambiéncertificado digital.

Localizador uniforme de recursos (URL)Esquema para direccionar recursos en Internet. El URL especifica el protocolo, elnombre del sistema principal o la dirección IP. También incluye el número depuerto, la vía de acceso y los detalles de los recursos que son necesarios paraacceder a un recurso desde una máquina concreta.


M

MACCódigo de autenticación de mensajes.

Máquina virtual de Java (JVM)Parte del entorno de ejecución de Java responsable de interpretar los códigos debyte.

MD5Función de control de condensación de mensajes de sentido único, diseñada por RonRivest. Es una versión mejorada de MD4. MD5 procesa el texto de entrada enbloques de 512 bits, divididos en 16 sub-bloques de 32 bits. La salida del algoritmoes un conjunto de cuatro bloques de 32 bits, que se concatenan para formar unúnico valor de control de 128 bits. También se utiliza junto con MD2 en losprotocolos PEM.

MD4Función de control de condensación de mensajes de 128 bits, diseñada por RonRivest. Es varias veces más rápida que MD2.

MD2Función de control de condensación de mensajes de 128 bits, diseñada por RonRivest. Se utiliza con MD5 en los protocolos PEM.

MIME (Extensiones multipropósito de correo de Internet)Conjunto de especificaciones disponible libremente que permite intercambiar textoentre idiomas con juegos de caracteres diferentes. También permite el correoelectrónico multimedia entre gran variedad de sistemas informáticos diferentes queutilizan los estándares de correo Internet. Por ejemplo, los mensajes de correoelectrónico pueden contener juegos de caracteres distintos a US-ASCII, textoenriquecido, imágenes y sonidos.

modelo de confianzaConvenio de estructuración que determina la forma en que las autoridades decertificación certifican a otras autoridades de certificación.

modulusEn el sistema criptográfico de clave pública RSA, producto (n) de dos númerosprimos grandes:p y q. El mejor tamaño para un modulus RA depende de lasnecesidades de cada uno. Cuanto más grande sea el modulus, mayor será laseguridad. Los tamaños de clave recomendados actualmente por los RSALaboratories dependen del uso al que vaya destinada la clave: 768 bits para usopersonal, 1024 bits para uso corporativo y 2048 bits para claves de gran valor comoel par de claves de una CA. Se supone que una clave de 768 bits será segura comomínimo hasta el año 2004.


Glosario

N

navegadorVéasenavegador Web.

navegador WebSoftware cliente que se ejecuta en un PC de sobremesa y que permite al usuarioexaminar la World Wide Web o las páginas HTML locales. Es una herramienta derecuperación que proporciona acceso universal a la inmensa colección de materialhipermedia disponible en la Web e Internet. Algunos navegadores pueden mostrartexto y gráficos, pero algunos sólo pueden mostrar texto. La mayoría de losnavegadores pueden manejar las principales formas de comunicación de Internet,como las transacciones FTP.

NISTInstituto nacional de estándares y tecnología, conocido anteriormente como NBS(Agencia nacional de estándares). Promueve los estándares abiertos y lainteroperatividad en las industrias basadas en sistemas informáticos.

NLSSoporte de idioma nacional.

nombre distintivo (DN)Nombre único de una entrada de datos que se almacena en el Directorio. El DNidentifica de forma única la posición de una entrada en la estructura jerárquica delDirectorio.

nonceCadena de caracteres enviada por un servidor o aplicación solicitando laautorización del usuario. El usuario al que se le solicita autenticación firma el noncecon una clave privada. La clave pública del usuario y el nonce firmado se envían devuelta al servidor o aplicación que solicitó la autenticación. Luego el servidorintenta descifrar el nonce firmado con la clave pública del usuario. Si el noncedescifrado es el mismo que el original que se envió, el usuario es autenticado.

Normas distintivas de codificación (DER)Establece restricciones sobre las BER. Las DER seleccionan un solo tipo decodificación de todos los que permiten las normas de codificación, eliminando todaslas opciones del remitente.

NSAAgencia nacional de seguridad.


O

objetoEn diseño o programación orientados a objetos, abstracción que encapsula los datosy las operaciones asociadas a dichos datos.Véase tambiénclase.

Objetos de proceso empresarialCódigo utilizado para realizar una determinada operación de registro, como porejemplo la comprobación del estado de una solicitud de inscripción o la verificaciónde que se ha enviado una clave pública.

ODBCConectividad abierta de bases de datos.

Organización internacional de estándares (ISO)Organización internacional que tiene como cometido desarrollar y publicarestándares.

OSIInterconexión de sistemas abiertos.

oyente PKIXServidor HTTP público que utiliza un dominio de registro particular para escucharlas solicitudes procedentes de la aplicación cliente de Tivoli PKI.

P

par de clavesClaves correspondientes que se utilizan en criptografía asimétrica. Una clave seutiliza para cifrar y otra para descifrar.

par de claves pública/privadaEl par de claves pública/privada es parte del concepto de la criptografía de par declaves (introducido en 1976 por Diffie y Hellman para resolver el problema de lagestión de claves). Según su concepto, cada persona obtiene un par de claves,denominadas clave pública y clave privada. La clave pública de cada persona sehace pública mientras que la clave privada se mantiene en secreto. El remitente y elreceptor no necesitan compartir la información secreta: en todas las comunicacionessólo se ven involucradas las claves públicas, y la clave privada nunca se transmite ocomparte. Ya no es necesario confiar en que algún canal de comunicación seaseguro contra escuchas o revelaciones. El único requisito es que las claves públicasdeben estar asociadas con sus usuarios mediante una relación de confianza(autenticadas), como por ejemplo en un directorio de confianza. Cualquiera puedeenviar un mensaje confidencial utilizando información pública. Sin embargo, elmensaje solamente puede descifrarse con una clave privada, que está en posesión


Glosario

exclusiva del destinatario al que va dirigido. Es más, la criptografía de par de clavesno sólo puede utilizarse por motivos de privacidad (cifrado), sino también paraautenticación (firmas digitales).

PEMCorreo con privacidad mejorada.

perfil de certificadoConjunto de características que definen el tipo de certificado que se desea (porejemplo certificados SSL o certificados IPSec). El perfil facilita la gestión de lasespecificaciones y el registro de los certificados. El emisor puede cambiar losnombres de los perfiles y especificar características del certificado que se desee, porejemplo el período de validez, el uso de claves, las limitaciones DN, etcétera.

pista de auditoríaDatos, en forma de vía de acceso lógica, que enlazan una secuencia de eventos. Lapista de auditoría permite rastrear transacciones o el historial de una actividaddeterminada.

PKCSEstándares de criptografía de clave pública.

PKCS #12VéaseEstándares de criptografía de clave pública.





PKIInfraestructura de clave pública.

PKIXPKI basada en X.509v3.

plantilla de proceso empresarialConjunto de Objetos de proceso empresarial que se ejecutan en un ordenespecificado.


política de certificadosConjunto de reglas con nombre que indica el grado de aplicación de un certificadoen una clase determinada de aplicaciones que tienen requisitos de seguridadcomunes. Por ejemplo, una política de certificado puede indicar si un cierto tipo decertificación permite que un usuario realice transacciones de productos en un rangode precios determinado.

pre-registroEn Tivoli PKI, proceso que permite a un usuario, normalmente un administrador,inscribir a otros usuarios. Si la solicitud es aprobada, la RA proporciona lainformación que más tarde permite al usuario obtener el certificado utilizando laaplicación cliente de Tivoli PKI.

privacidadProtección contra la revelación no autorizada de datos.

proceso de registroEn Tivoli PKI, pasos para validar a un usuario, para que el usuario y la clavepública del usuario puedan ser certificados y participen en transacciones. Esteproceso puede ser local o basado en Web, y puede estar automatizado o seradministrado por interacción del hombre.

protocoloConvenio acordado para las comunicaciones entre sistemas.

Protocolo de control de transporte/Protocolo Internet (TCP/IP)Conjunto de protocolos de comunicaciones que soportan funciones de conectividadde igual a igual para redes locales y de área amplia.

protocolo de gestión de certificados PKIX (CMP)Protocolo que permite las conexiones con aplicaciones compatibles PKIX. El CMPPKIX utiliza TCP/IP como mecanismo de transporte principal, pero existe una capade abstracción sobre zócalos. Esto permite soportar transportes de sondeoadicionales.

Protocolo de transferencia de archivos (FTP)Protocolo cliente/servidor de Internet que se utiliza para transferir archivos entresistemas.

Protocolo de transferencia de hipertexto (HTTP)Protocolo cliente/servidor de Internet para transferir archivos de hipertexto a travésde la Web.

Protocolo simple de transferencia de correo (SMTP)Protocolo que transfiere correo electrónico por Internet.


Glosario

R

RAAutoridad de registro.

RA DesktopApplet Java que proporciona a las RA una interfaz gráfica para procesar lassolicitudes de credenciales y administrarlas durante su vida útil.

RC2Cifrado de bloques con tamaño de clave variable, diseñado por Ron Rivest para laSeguridad de datos RSA.RC significa Ron’s Code (código de Ron)o Rivest’sCipher (cifrado de Rivest). Es más rápido que DES y está diseñado para sustituir aDES a corto plazo. Puede ser más o menos seguro que DES contra la búsquedaexhaustiva de claves utilizando los tamaños de clave apropiados. Tiene un tamañode bloque de 64 bits y, en cuanto al software, es dos o tres veces más rápido queDES. RC2 puede utilizarse con las mismas modalidades que DES.Un acuerdo entre la Asociación de editores de software (SPA) y el gobierno de losEE.UU. da a RC2 una posición especial. Esto hace más sencillo y rápido el procesode aprobación de exportación que el proceso de exportación criptográfico habitual.Sin embargo, para permitir la aprobación de exportación rápida, el producto debelimitar el tamaño de la clave RC2 a 40 bits con algunas excepciones. Se puedeutilizar una cadena de caracteres adicional para burlar a los atacantes que intentenprecalcular una tabla de búsqueda de gran tamaño de posibles cifrados.

rechazarDesestimar como falso; por ejemplo, negar que se ha enviado un mensaje específicoo que se ha enviado una solicitud específica.

Recuperación y copia de seguridad de claveEsta función de Tivoli PKI le permite efectuar copias de seguridad y recuperar loscertificados de entidad final y sus claves privadas y públicas correspondientescertificadas por Tivoli PKI. El certificado y las claves se almacenan en un archivoPKCS #12. Este archivo está protegido mediante una contraseña. Ésta se define enel momento en que se efectúa la copia de seguridad del certificado y de las claves.

Red privada virtual (VPN)Red privada de datos que utiliza Internet en lugar de líneas telefónicas paraestablecer conexiones remotas. Las organizaciones pueden reducir significativamentelos costes de acceso remoto si los usuarios acceden a los recursos de las redes de laempresa mediante un Proveedor de servicios Internet (ISP) en lugar de hacerlo através de una compañía telefónica. Una VPN también mejora la seguridad de losintercambios de datos. En la tecnología de cortafuegos tradicional, el contenido delmensaje puede cifrarse, pero no las direcciones origen y destino. En la tecnologíaVPN, los usuarios pueden establecer una conexión por túnel en la que el paquetecompleto de información (contenido y cabecera) está cifrado y encapsulado.


responsable de registrosUsuario que ha sido autorizado a acceder a RA Desktop, para administrarcertificados y solicitudes de certificados.

recurso de registroInfraestructura de aplicación de Tivoli PKI que proporciona recursos especializadosde entidades de inscripción (como navegadores, direccionadores, correo electrónicoy aplicaciones cliente seguras) y gestión de certificados durante su ciclo de vida.

registro de auditoríaEn Tivoli PKI, tabla en una base de datos que almacena un registro por cada eventode auditoría.

RSAAlgoritmo criptográfico de clave pública que lleva el nombre de sus inventores(Rivest, Shamir y Adelman). Se utiliza para cifrado y firmas digitales.

S

salida de políticaEn un recurso de registro, programa definido por una organización que es llamadopor la aplicación de registro. Las normas especificadas en una política de salidaaplican las preferencias de gestión y seguridad de la organización en los procesos deinscripción.

Secure Sockets Layer (SSL)Protocolo de comunicaciones estándar IETF con servicios de seguridad incorporadosque son lo más transparente posibles para el usuario final. Proporciona un canal decomunicación digitalmente seguro.Un servidor con capacidad SSL normalmente acepta solicitudes de conexión SSL enun puerto diferente al solicitado en las solicitudes HTTP estándar. SSL crea unasesión durante la cual el intercambio de señales para establecer la comunicaciónentre dos módems debe producirse una sola vez. Después de eso, se cifra lacomunicación. La comprobación de integridad de los mensajes continúa hasta quefinaliza la sesión SSL.

servidor(1) En una red, estación de datos que proporciona funciones a otras estaciones; porejemplo, un servidor de archivos. (2) En TCP/IP, sistema en una red que maneja lassolicitudes de un sistema en otra ubicación, denominado cliente/servidor.

servidor CAServidor para el componente Autoridad de certificación (CA) de Tivoli PKI.

servidor de auditoríaServidor de Tivoli PKI que recibe eventos de auditoría de los clientes de auditoría ylos escribe en un registro de auditoría.


Glosario

Servidor del DirectorioEn Tivoli PKI, IBM Directory. Este Directorio soporta estándares LDAP y utilizaDB2 como base.

servidor HTTPServidor que maneja las comunicaciones basadas en Web con navegadores y otrosprogramas en una red.

servidor proxyIntermediario entre el sistema que solicita acceso (sistema A) y el sistema al que seaccede (sistema B). Así, si un usuario final solicita un recurso al sistema A, lasolicitud se dirige al servidor proxy. El servidor proxy hace la solicitud, obtiene larespuesta del sistema B y luego reenvía la respuesta al usuario final. Los servidoresproxy son de utilidad para acceder a los recursos de la World Wide Web desdedetrás de un cortafuegos.

servidor RAServidor del componente Autoridad de registro de Tivoli PKI.

Servidor WebPrograma servidor que responde a las solicitudes de recursos de informaciónprocedentes de los programas navegadores.Véase tambiénservidor.

servletPrograma de la parte servidor que proporciona funcionalidad adicional a losservidores preparados para Java.

SETTransacción electrónica segura.

SGMLLenguaje estandarizado de marcas general.

Smart CardPieza de hardware, normalmente del tamaño de una tarjeta de crédito, paraalmacenar las claves digitales del usuario. Una Smart Card puede estar protegidacon contraseña.

S/MIMEEstándar que soporta la firma y el cifrado de correo electrónico transmitido a travésde Internet.VéaseMIME.

SMTPProtocolo simple de transferencia de correo.


Soporte de idioma nacional (NLS)Soporte dentro de un producto de las diferencias entre entornos nacionales,incluyendo el idioma, la moneda, los formatos de fecha y hora y la representaciónnumérica.

SSHA-1 (Algoritmo de dato de control seguro)Algoritmo diseñado por el NIST y la NSA para utilizarse con el Estándar de firmadigital. El estándar es el Estándar de dato de control seguro; SHA es el algoritmoutilizado por el estándar. SHA produce un dato de control de 160 bits.

SSLSecure Sockets Layer.

subsistema de auditoríaEn Tivoli PKI, subsistema que proporciona el soporte para registrarcronológicamente acciones relevantes de seguridad. Cumple las recomendaciones delestándar X9.57, del conjunto de estándares explicados enPublic Key Cryptographyfor the Financial Services Industry.

T

tarjeta PCSimilar a una Smart Card, denominada a veces tarjeta PCMCIA. Esta tarjeta es algomás grande que una Smart Card y suele tener mayor capacidad.

TCP/IPProtocolo de control de transporte/Protocolo Internet.

texto claroDatos no cifrados.Sinónimo detexto plano.

texto planoDatos no cifrados.Sinónimo detexto limpio.

tipoVéasetipo de objeto.

tipo de objetoTipo de objeto que puede almacenarse en el Directorio. Por ejemplo, unaorganización, sala de reuniones, dispositivo, persona, programa o proceso.

Tivoli PKISolución de seguridad IBM integrada que soporta la emisión, renovación yrevocación de certificados digitales. Estos certificados pueden utilizarse en una granvariedad de aplicaciones Internet, proporcionando un medio para autenticar usuariosy asegurar comunicaciones de confianza.


Glosario

TPPolítica de confianza.

Transacción electrónica segura (SET)Estándar del mercado que ofrece seguridad en los pagos mediante tarjeta de créditoo de débito en redes que no son de confianza. El estándar incorpora autenticaciónde los titulares, comerciantes y bancos emisores de tarjetas porque exige la emisiónde certificados.

túnelEn tecnología VPN, conexión punto a punto virtual bajo demanda realizadamediante Internet. Mientras están conectados, los usuarios remotos pueden utilizar eltúnel para intercambiar información segura, cifrada y encapsulada con los servidoresubicados en la red privada de la empresa.

U

UnicodeJuego de caracteres de 16 bits definido por ISO 10646. El estándar de codificaciónde caracteres Unicode es un código de caracteres internacional para el proceso deinformación. El estándar Unicode engloba los principales scripts del mundo yproporciona los cimientos para la internacionalización y localización del software.Todo el código fuente del entorno de programación Java está escrito en Unicode.

Unión internacional de telecomunicaciones (ITU)Organismo internacional en el que los gobiernos y el sector privado coordinan lasredes y servicios de telecomunicaciones globales. Es el editor principal deinformación sobre tecnología de comunicaciones, reglamentación y estándares.

URLLocalizador uniforme de recursos.

UTF-8Formato de transformación. Permite a los sistemas de proceso de información quemanejan juegos de caracteres de 8 bits convertir Unicode de 16 bits a unequivalente de 8 bits y volver a retroceder sin perder información.

V

validación de cadenasValidación de todas las firmas de CA de la jerarquía de confianza a través de la cualse emite el certificado en cuestión. Por ejemplo, si una CA ha emitido su certificadode firma a través de otra CA, ambas firmas se validan durante el proceso devalidación del certificado que presenta el usuario.


variable de inscripciónVéaseatributo de inscripción.

VPNRed privada virtual.

W

WebSphere Application ServerProducto IBM que facilita a los usuarios el desarrollo y la gestión de sitios Web dealto rendimiento. Simplifica la transición de publicaciones Web sencillas aaplicaciones Web de e-business avanzadas. WebSphere Application Server consta deun motor servlet basado en Java que es independiente del servidor Web y de susistema operativo subyacente.

World Wide Web (WWW)Parte de Internet donde se establece una red de conexiones entre sistemas quecontienen material hipermedia. Este material proporciona información y puedeofrecer enlaces con otro material de la WWW e Internet. Se accede a los recursosde la WWW mediante un programa navegador Web.

X

X.500Estándar para poner en práctica un servicio de directorio multipropósito, distribuidoy reproducido mediante la interconexión de sistemas informáticos. Fue definidoconjuntamente por la Unión internacional de telecomunicaciones (ITU), conocidaanteriormente como CCITT, y la Comisión internacional de electroquímica(ISO/IEC).


Glosario

Índice

Aa quién va dirigido xivacerca de esta guía xiiiadministrador del Directorio

almacén de claves 20entrada DN 45

AIXconfiguraciones de hardware 28configurar 54consideraciones acerca de la seguridad 37consideraciones acerca del cortafuegos 39controles de acceso 39directrices de instalación 71grupos de volúmenes 57guía básica de instalación 53imagen del sistema 60instalar el coprocesador 4758 71instalar el servidor del Directorio 63lista de comprobación posterior a la

instalación 84nivel del sistema operativo 25nombre de usuario cfguser 41, 83, 104plataformas de servidor 25realizar copias de seguridad 60requisitos de software 25resolución de nombres de sistema

principal 59sistema de archivos en CD-ROM 58sistemas de archivos 57usuarios del sistema 59utilidad de copia de seguridad 85valores bootstrap 79, 101verificar conjuntos de archivos 55

ajustar tamaño del sistemainstrucciones 27recomendado para AIX 28recomendado para NT 28

algoritmos criptográficos 50algoritmos de cifrado 50

alias IPconfigurar en NT 96descrito 42

almacenes de claves 20almacenes de objetos 19aplicación cliente

documentación para 114instalar 72, 98requisitos del sistema 29

archivo createconfig_start.sql 79, 101archivo httpd.conf 83, 104archivo PKCS #12, recuperar 16arquitectura

almacenes de objetos 19protocolo LDAP 18protocolo PKIX CMP 18

arquitectura del sistemaconfiguraciones de servidor 49diagrama 3

Asistente para la configuraciónayuda para 110biblioteca swing 29documentación para 109requisitos del sistema 28visión general 109

autenticación de cliente 42Autoridad de certificación (CA)

almacén de claves 20almacenar la clave en el hardware 47base de datos 10certificación cruzada 11certificado autofirmado 10claves de protección 46coprocesador 4758 10, 15entrada DN 45instalar en AIX 73instalar en NT 99integración con el coprocesador 4758 46jerarquía 11


Índice

Autoridad de certificación (CA)(continuación)lista de certificados emitidos 10lista de revocación de certificados 10MAC 10número de serie 10visión general 9

Autoridad de registro (RA)autenticación de cliente 42inscripción 5instalar en AIX 73instalar en NT 99integración del servidor Web 13perfiles de certificados 6personalizar 8RA Desktop 7salidas de política 6visión general 4

ayudapara el Asistente para la configuración 110para la inscripción 115para RA Desktop 114

Bbase de datos de registro 5bases de datos

copia de seguridad y recuperación 16datos de auditoría 12datos de CA 10datos de registro 5datos del Directorio 14directrices de instalación 60nombres reservados 40requisitos del sistema 26visión general 14

biblioteca, sitio Web de Tivoli PKI xivbiblioteca swing 29

CCD-ROM, producto 51CDSA 17certificación cruzada 11certificado de CA autofirmado 10certificados

CA autofirmada 10extensiones 24jerarquía de confianza 11masiva 17soporte para X.509v3 23

certificados de navegador 5certificados de servidor 5certificados IPSec 5certificados PKIX CMP 5certificados S/MIME 5certificados SSL 5certificados VPN 5certificados X.509v3 23codificación UTF-8 50Common Data Security Architecture

(CDSA) 17configuración

arquitectura de servidor 49configuración del entorno DOS 106cortafuegos 39formulario de colección de datos 85, 106grupos de volúmenes en AIX 57preparar para AIX 84, 109preparar para NT 105, 109servidor del Directorio 44servidor Web 42sistemas de archivos en AIX 57valores bootstrap en NT 79, 101visión general del proceso 109

configuraciones de servidor 49contraseñas

para el Asistente para la configuración 28,35

para servidores AIX 25para servidores NT 25

controlar el acceso al servidor 39controles de acceso

privilegios de administrador delDirectorio 45


controles de acceso(continuación)privilegios de CA 45privilegios de RA Desktop 7privilegios del Directorio 45privilegios root para el Directorio 45sistema 39

convenios xviiicopia de seguridad y recuperación, clave 16coprocesador 4758

almacén de claves de CA 20almacenar la clave de CA 47clave de cifrado CA 46configurar 46instalar 47, 71integración con la CA 46requisitos del sistema 26soporte para CA 10, 15visión general 15

CRL 10

DDB2

base de datos de auditoría 12base de datos de CA 10base de datos del Directorio 14cifrado de datos 20instalar 61instalar en AIX 60, 61instalar en NT 91nombres reservados 40requisitos del sistema 26usuario db2admin 91ventajas 14

definir particiones de disco en AIX 57destinatarios xivdiagrama del sistema 3directorio temp 88dispositivo HSM 15DN, definido 44DNS 43, 44dominios de registro

definidas 4descrito 5

dominios de registro(continuación)personalizar 8

Eedición de cifrado internacional 50edición de cifrado nacional 50emisión masiva de certificados

descripción 17entorno DOS 106entrada DN raíz 45espacio de disco

instrucciones para definir el tamaño 27, 57recomendado para AIX 28recomendado para NT 28

esquema del Directorio 44establecer el tamaño de las particiones de disco

en AIX 57estándares

criptográficos 21soportados en Tivoli PKI 21

exportabilidad, algoritmos criptográficos 50extensiones comunes 23extensiones de certificados

comunes 23en Tivoli PKI 24estándar 23personalizar 24privadas 24

extensiones de certificados estándar 23extensiones privadas 24

Ffirma de código 20firma de mensajes 20FirstSecure

integración con Policy Director 48planificación e integración 48

formulario de datos de configuración 85, 106


Índice

Ggrupos de volúmenes, configurar AIX 57grupos de volúmenes datavg 57grupos de volúmenes rootvg 57Guía de administración del sistema

tener acceso 112visión general 111

Guía de configuracióntener acceso 110visión general 109

Guía de personalizacióntener acceso 115visión general 115

Guía de RA Desktoptener acceso 114visión general 113

Guía del usuariotener acceso 115visión general 114

guías básicasinstalación AIX 53instalación NT 87

IIBM HTTP Server

instalar en AIX 66instalar en NT 92, 93

ICL 10idiomas

compatibles 50diferencias entre productos 50

imagen del sistema, configurar 60imágenes de copia de seguridad

AIX 60, 85NT 90, 106

información del prefacio xiiiiniciación

con administración de RA 113con administración del sistema 111con configuración 109con inscripción 114con personalización 115

iniciación (continuación)con Tivoli PKI 111

inscripcióncartas de notificación 5formularios del navegador 5personalizar 8pre-registro 6requisitos del sistema 29salidas de política 6tipos de certificados 5visión general 5

instalaciónAIX 54componentes de servidor en AIX 71componentes de servidor en NT 98confirmar el sistema NT 97coprocesador 4758 en AIX 47, 71HTTP Server en NT 93JDK en NT 92lista de comprobación posterior a la

instalación, AIX 84lista de comprobación posterior a la

instalación, NT 105servidor del Directorio en AIX 63servidor del Directorio en NT 96servidor Web en AIX 66servidor Web en NT 92software de bases de datos en AIX 60, 61software de bases de datos en NT 91WebSphere Server en AIX 67WebSphere Server en NT 94Windows NT 88

instalación, lista de comprobación deplanificación 32

JJava

instalar en AIX 65JDK

instalar en NT 92nivel necesario 26

jerarquía, CA 11jerarquía de confianza 11


KKeyWorks, instalar 72

Llista de certificados emitidos (ICL) 10lista de comprobación, planificación de la

instalación 32lista de revocación de certificados (CRL) 10listas de comprobación

postinstalación en AIX 84postinstalación en NT 105

MMAC

en Almacenes de claves 20para registros de auditoría 12para registros de CA 10

máscaras de suceso de auditoría 12memoria (RAM)

recomendado para AIX 28recomendado para NT 28

migraciónutilidad de copia de seguridad en AIX 85utilidad de copia de seguridad en NT 106

modelo de confianzaalmacenes de claves 20cifrado de datos 20firma de código 20firma de mensajes 20

módulo de seguridad de hardware 15

Nnombre de sistema principal de TCP/IP,

especificar 54nombre de usuario cfguser 41, 83, 89, 104nombres de bases de datos reservados 40

nombres distintivos (DN), definidos 44Notas del release 25números de serie 10

Ppaquete del producto 51particiones de disco

dbfsadt 58dbfsibm 58dbfskrb 58dbfspkrf 58para el servidor AIX 57

perfiles de certificadosdescritos 6personalizar 8

personalizardominios de registro 8extensiones de certificados 24perfiles de certificados 8salidas de política 9

PKI, definida 17PKIX, definido 17planificación de la instalación, lista de

comprobación 32Policy Director 48pre-registro

inscripción de navegador 6procesadores


programa cfgPostInstall 83programa de configuración posterior a la

instalación 83, 104programa de instalación, software de

servidor 99programa installp 73programa InstallShield, configuración del

servidor 99programa SMIT 57, 73protección de integridad

de registros de auditoría 12de registros de CA 10

protocolo HTTP 42


Índice

protocolo HTTPS 42protocolo SSL 42protocolos

HTTP 42HTTPS 42LDAP 18PKIX CMP 18soportados en Tivoli PKI 21SSL 42

publicacionesdescritos xivGuía de administración del sistema 111Guía de configuración 109Guía de personalización 115Guía de RA Desktop 113Guía del usuario 114productos de seguridad de Tivoli xix

RRA Desktop

añadir responsable de registros 7ayuda para 114documentación para 113instalar 72, 98requisitos del sistema 29utilizar 113visión general 7

raíz CA 11recuperación de clave 16recuperar, clave 16recurso de registro

descrito 5personalizar 8

requisitos de hardwareAsistente para la configuración 28coprocesador 4758 26servidor, obligatorio 27servidor, opcional 26

requisitos de servidorhardware necesario 27hardware opcional 26para AIX 28para Windows NT 28

requisitos de servidor(continuación)software opcional 26software requerido 25

requisitos de softwareAsistente para la configuración 28CD-ROM del producto 51coprocesador 4758 26distribución 51JDK 26navegadores Web para el Asistente para la

configuración 29, 35servidor, opcional 26servidor, requisito 25servidor del Directorio 26servidor Web 26

requisitos del sistemaAsistente para la configuración 28coprocesador 4758 26DB2 26Directorio 26hardware, servidor 27hardware opcional, servidor 26inscripción de navegador 29RA Desktop 29software, servidor 25software de servidor Web 26software opcional, servidor 26

resolución de nombres de sistema principal,AIX 59

responsable de registros 7restricciones, configuración del servidor 49resumen de

convenios utilizados xviiiRISC System/6000 27

Ssalidas de política

definidas 6personalizar 9

seguridadcortafuegos 39física 37sistema 37


seguridad de la red 37seguridad del sistema 37seguridad física 37seguridad por cortafuegos 39servidor del Directorio

configurar 44controles de acceso 45DN de administrador del Directorio 45DN de CA 45DN raíz 45esquema 44instalar en AIX 63, 73instalar en NT 96, 99requisitos de software 26utilizar con Tivoli PKI 97visión general 14

servidor Webconfigurar 42DNS 43instalar en AIX 66instalar en NT 92protocolo HTTP 42protocolo HTTPS 42protocolo SSL 42publicaciones 43requisitos de software 26sistema principal de seguridad 42sistema principal público 42visión general 13

servidor Web público 42servidores Netfinity 27servidores RS/6000 27servidores Web de seguridad 42sistema de archivos en CD-ROM 58sistema operativo AIX/6000 25sistema principal de TCP/IP, especificar

nombre 54sistema Tivoli PKI

características 1descritas 1diagrama del sistema 3estándares criptográficos 21instalar en AIX 71instalar en NT 98servidor de Autoridad de certificación 9Servidor de Autoridad de registro 4

sistema Tivoli PKI (continuación)servidor del Directorio 14servidor principal 4servidor Web 13sistema de base de datos 14soporte para procesador criptográfico

4758 15subsistema de auditoría 12

sistemas de archivosCD-ROM 58para el servidor AIX 57verificar 55

sistemas de archivos, configurar AIX 57sistemas operativos

para el Asistente para la configuración 28,35

para servidores AIX 25para servidores NT 25

sitio Web deinformación de gestión de seguridad xixproductos de seguridad de Tivoli xixsoporte al cliente de Tivoli xviiiTivoli Public Key Infrastructure xix

soporte, clientes de Tivoli xviiisoporte al cliente xviiisoporte de esquema 18soporte para idioma nacional

algoritmos criptográficos 50diferencias entre idiomas 50ediciones de cifrado 50visión general 50

soporte para Unicode 50subsistema de auditoría

almacén de claves 20archivado 12base de datos 12comprobación de integridad 12instalar en AIX 73instalar en NT 99MAC 12máscaras de suceso 12visión general 12


Índice

TTCP/IP, nombre de sistema principal,

verificar 54tipos de certificados 5tipos de equipo


Tivoliinformación Web de gestión de

seguridad xixsitios Web de productos de seguridad xixsoporte al cliente xviii

Tivoli PKIinformación Web xix

UURL

página de presentación de Tivoli PKI xivpágina de referencia de Tivoli PKI xivpublicaciones del servidor HTTP 43

usuario db2admin 91usuario de configuración de Tivoli PKI 89utilidad ta-backup 85, 106

Vvalores bootstrap

en AIX 79en NT 101

verificar nombre de sistema principal 54volúmenes, grupos, configurar AIX 57

WWebSphere Application Server

instalar en AIX 66, 67instalar en NT 92, 94

WebSphere Application Server, actualizar 69

Windows NTalias IP 96configuración necesaria 97configuraciones de hardware 28configurar 88consideraciones acerca de la seguridad 37consideraciones acerca del cortafuegos 39controles de acceso 39directrices de instalación 98guía básica de instalación 87instalar el servidor del Directorio 96lista de comprobación posterior a la

instalación 105nivel del sistema operativo 25nombre de usuario cfguser 41, 89plataformas de servidor 25requisitos de software 25utilidad de copia de seguridad 106


Número de Programa:

Printed in Denmark by IBM Danmark A/S

GC10-3562-01

Tivoli PKI Cómo empezar - IBMpublib.boulder.ibm.com/.../es_ES/PDF/iaugmst.pdfAvisos El hecho de que...

Documents

Transcript of Tivoli PKI Cómo empezar - IBMpublib.boulder.ibm.com/.../es_ES/PDF/iaugmst.pdfAvisos El hecho de que...