guía de configuración -...

IBM®

SecureWay®

Trust Authority

Guía de configuraciónVersión 3 Release 1.2

SH10-9268-00

��

NotaAntes de utilizar esta información y el producto al que da soporte, lea la información general bajo “Notas” en la página 51.

Segunda edición (Junio 2000)

Este manual es la traducción del original inglés ″IBM SecureWay Trust Authority Configuration Guide Version 3Release 1.2, SH09-4529-01″.

Esta edición se aplica a IBM SecureWay Trust Authority, programa 5648-D09, versión 3 release 1 modificación 2 y atodos los releases y modificaciones subsiguientes hasta que se indique lo contrario en nuevas ediciones.

© Copyright International Business Machines Corporation 1999, 2000. Reservados todos los derechos.

Contenido

Capítulo 1. Acerca de Trust Authority . . 1

Capítulo 2. Visión general . . . . . . . 3

Capítulo 3. Procedimientos . . . . . . 5Preparar para la configuración . . . . . . . . 5

Configurar la estación de trabajo . . . . . . 5Recopilar datos de configuración . . . . . . 6

Configurar el sistema . . . . . . . . . . . 9Ejecutar el Asistente para la instalación . . . . 9Ejecutar CfgStart en AIX . . . . . . . . . 11Ejecutar CfgStart en Windows NT . . . . . . 12Importar datos de configuración . . . . . . 12Definir servidores remotos . . . . . . . . 13Especificar DN al escribirlos . . . . . . . . 14Utilizar el editor de DN . . . . . . . . . 16Visualizar mensajes de configuración . . . . . 18Verificar la configuración . . . . . . . . . 18

Preparar para la producción . . . . . . . . . 20Proteger el Asistente para la instalación . . . . 20Cambiar los permisos del Directorio en AIX . . 21Cambiar las contraseñas del servidor . . . . . 21Editar los archivos de configuración . . . . . 22Autorizar responsables de los registros . . . . 22Hacer la copia de seguridad del sistema TrustAuthority . . . . . . . . . . . . . . 22Cambios de Directorio para flexibilidad de DN 23Modificar la ACL para el nuevo sufijo LDAP . . 23

Personalizar el dominio de registro . . . . . . 23Reconfigurar el sistema . . . . . . . . . . 24Utilizar Trust Authority con Policy Director . . . 24Desinstalar Trust Authority . . . . . . . . . 25

Desinstalar de AIX . . . . . . . . . . . 25Desinstalar de Windows NT . . . . . . . . 28

Capítulo 4. Conceptos generales . . . 31Auditar. . . . . . . . . . . . . . . . 31Certificate Authorities . . . . . . . . . . . 32Bases de datos DB2® . . . . . . . . . . . 32

Directorios. . . . . . . . . . . . . . . 33Árboles del Directorio . . . . . . . . . . 33DN raíz . . . . . . . . . . . . . . 34Administradores del Directorio . . . . . . . 34

Conexiones CMP PKIX . . . . . . . . . . 35Dominios de registro . . . . . . . . . . . 35Conexiones SSL . . . . . . . . . . . . . 36Servidores Web . . . . . . . . . . . . . 37Coprocesadores 4758 . . . . . . . . . . . 37

Capítulo 5. Referencia . . . . . . . . 39Opciones de inicio . . . . . . . . . . . . 39Opciones de importación . . . . . . . . . . 39Opciones de contraseña de Trust Authority . . . . 40Opciones del servidor CA y de Auditoría . . . . 41Opciones de claves de CA . . . . . . . . . 41Opciones del servidor del Directorio . . . . . . 43Opciones de la raíz del Directorio . . . . . . . 43Opciones del administrador del Directorio . . . . 44Opciones del dominio de registro . . . . . . . 45Opciones del servidor Web público . . . . . . 46Opciones de servidor Web seguro . . . . . . . 46Opciones de Cliente de Trust Authority . . . . . 47Resumen de la configuración . . . . . . . . 47Guardar los datos de configuración . . . . . . 47Proceso de configuración . . . . . . . . . . 48Alternativas del teclado para acciones del ratón . . 49Consideraciones sobre el idioma nacional . . . . 50

Notas . . . . . . . . . . . . . . . 51Marcas registradas y marcas de servicio . . . . . 52

Información relacionada . . . . . . . 55

Glosario . . . . . . . . . . . . . . 57

Índice . . . . . . . . . . . . . . . 69

© Copyright IBM Corp. 1999, 2000 iii

iv Trust Authority: Guía de configuración

Capítulo 1. Acerca de Trust Authority

IBM®

SecureWay®

Trust Authority proporciona a las aplicaciones los mediosnecesarios para autentificar usuarios y asegurar comunicaciones fiables:v Permite que las organizaciones emitan, editen y administren certificados

digitales según sus políticas de registro y certificación.v El soporte para los estándares criptográficos de infraestructura de clave pública

para X.509 versión 3 (PKIX) y CDSA (Common Data Security Architecture)permite la interoperabilidad del proveedor.

v Los protocolos de seguridad y la firma digital proporcionan los mediosnecesarios para autentificar todas las partes de una transacción.

v Las posibilidades de registro basadas en el cliente y en el navegador ofrecen lamáxima flexibilidad.

v Las comunicaciones cifradas y el almacenamiento seguro de la información deregistro garantizan la confidencialidad.

Un sistema Trust Authority se puede ejecutar en plataformas de servidor IBM®

AIX/6000®

y Microsoft® Windows NT®. Incluye las características principalessiguientes:v Una CA (Certificate Authority) fiable gestiona todo el ciclo de vida de la

certificación digital. Para garantizar la autenticidad de un certificado, CA firmadigitalmente todos los certificados que emite. También firma CRL (listas derevocación de certificados) para garantizar el hecho de que un certificado ya noes válido. Con el fin de proteger aún más la clave de firmas, puede utilizarhardware criptográfico como, por ejemplo, el coprocesador criptográfico PCIIBM SecureWay® 4758.

v Una RA (Registration Authority) maneja las tareas administrativas que implica elregistro de usuarios. RA asegura que sólo se emitan certificados para los queofrecen soporte las actividades corporativas, y que se emitan únicamente ausuarios autorizados. Las tareas administrativas se pueden manejar a través deprocesos automatizados o en base a la toma de decisiones personales.

v Una interfaz de inscripción basada en Web simplifica la obtención de certificadospara navegadores, servidores y otras finalidades, por ejemplo, dispositivos VPN(red privada virtual), Smart Cards y correo electrónico seguro.

v Una aplicación Windows®, Cliente de Trust Authority, permite que los usuariosfinales puedan obtener y gestionar certificados sin necesidad de utilizar unnavegador Web.

v Una interfaz de administración basada en Web, RA Desktop, permite que losresponsables de registros autorizados aprueben o rechacen las peticiones deinscripción y administren los certificados después de emitirlos.

v Un subsistema de Auditoría calcula un código de autentificación de mensajes(MAC) para cada informe de auditoría. Si los datos de auditoría se alteran osuprimen después de escribirlos en la base de datos de auditoría, MAC permitedetectar la intrusión.

v Las salidas de política permiten que los desarrolladores de aplicaciones puedanpersonalizar los procesos de registro.

v Soporte integrado para un motor criptográfico. Para autentificar lascomunicaciones, los componentes básicos de Trust Authority se firman con una

© Copyright IBM Corp. 1999, 2000 1

clave privada generada en fábrica. Los objetos de seguridad como, por ejemplo,claves y MAC, se cifran y almacenan en áreas protegidas, denominadasKeyStores.

v Soporte integrado para IBM SecureWay Directory. El Directorio almacenainformación sobre los certificados válidos y revocados en un formato compatiblecon LDAP.

v Soporte integrado para IBM WebSphere™

Application Server e IBM HTTP Server.El servidor Web trabaja con el servidor RA para cifrar mensajes, autentificarpeticiones y transferir certificados al destinatario adecuado.

v Soporte integrado para la base de datos galardonada IBM DB2®

UniversalDatabase.

2 Trust Authority: Guía de configuración

Capítulo 2. Visión general

Después de instalar el software de Trust Authority, debe ejecutar el Asistente parala instalación para configurar el sistema en su entorno específico. Por ejemplo,debe especificar dónde han instalado los distintos programas de servidor para quese puedan comunicar entre sí.v Seleccione un tema ″Procedimientos″ para obtener más información sobre las

tareas relacionadas con la configuración, por ejemplo, cómo definir nombresdistintivos, cómo verificar el proceso de configuración y cómo preparar elsistema para el entorno de producción.

v Seleccione un tema ″Conceptos generales″ para obtener más información sobrelos conceptos que debe comprender para configurar el sistema. Por ejemplo,puede informarse sobre cómo interactúa Trust Authority con el Directorio uobtener instrucciones para la utilización de hardware criptográfico.

v Seleccione un tema ″Referencia″ para obtener más información sobre los valoresque puede o debe especificar al ejecutar el Asistente para la instalación.

Para obtener la información más actualizada del producto, antes de empezar aconfigurar el sistema consulte el archivo Readme. La versión más reciente delarchivo Readme está disponible en el sitio Web de IBM SecureWay Trust Authoritysiguiente:http://www.tivoli.com/support


http://www.tivoli.com/support

Capítulo 3. Procedimientos

Los temas de esta sección muestran cómo configurar IBM SecureWay TrustAuthority. Las tareas típicas incluyen:v Reunir la información que necesita para configurar el sistemav Utilizar el Editor de nombres distintivos para definir DNv Configurar las bases de datos y los programas de servidor Trust Authority en

máquinas remotasv Importar un conjunto de valores de configuración a un nuevo sistema Trust

Authorityv Verificar si el sistema está correctamente configurado

Después de configurar el sistema, debe consultar varios temas que le puedenayudar a poner el sistema Trust Authority en la modalidad de producción.También hay procedimientos disponibles para desinstalar el software del producto,si decide que necesita quitarlo del sistema.

Preparar para la configuraciónAntes de empezar a configurar IBM SecureWay Trust Authority, debe asegurarsede que la estación de trabajo está correctamente configurada para ejecutar elAsistente para la instalación. También debe recopilar información sobre el entornopara poder proporcionar las respuestas adecuadas al Asistente para la instalación.

Revise las instrucciones que se indican en los apartados siguientes para asegurarsede que está preparado para iniciar el proceso de configuración.

Configurar la estación de trabajoPara obtener un rendimiento óptimo, debe ejecutar el Asistente para la instalaciónen una máquina separada de la máquina del servidor Trust Authority. Al hacerlo,se asegura que la mayor parte de los recursos del sistema estén disponibles paraejecutar la aplicación.

Para ejecutar el Asistente para la instalación, IBM recomienda la configuración deestación de trabajo siguiente:v La configuración de máquina física siguiente:

– Procesador Intel Pentium® con 96 MB de RAM, como mínimo, o superior– Una pantalla de sistema que ofrezca soporte para resoluciones de 1024x768 o

superiores de 65536 colores, o superioresv Uno de los sistemas operativos siguientes:

– IBM AIX®

– Microsoft Windows 95, Windows 98 o Windows NTv Un navegador Web que ofrezca soporte para aplicaciones basadas en JDK 1.1

como, por ejemplo:– Netscape Navigator y Netscape Communicator, versión 4.05 o posterior– Microsoft Internet Explorer, versión 4.01 o posterior

v Java Swing Library (swingall.jar) versión 1.1, instalada localmente. Si aún notiene la versión de la biblioteca, puede descargarla cuando acceda al URL para elAsistente para la instalación. Consulte el apartado “Ejecutar el Asistente para lainstalación” en la página 9 para obtener más detalles.


Consideraciones sobre el navegador:Debe instalar la versión oficial del navegador, tal como la distribuyenNetscape o Microsoft. Las versiones que se pueden obtener de otrosproveedores pueden no mostrar la información correctamente, en especialcuando se ejecuta la aplicación en un idioma que no sea el inglés.

Si necesita ejecutar el Asistente en el servidor Trust Authority, y estáejecutándolo en una plataforma Windows NT, debe utilizar MicrosoftInternet Explorer versión 5.0 o posterior. El rendimiento de la aplicacióncon un navegador Netscape es mucho más lento.

Si necesita ejecutar el Asistente para la instalación con un navegadorNetscape, y está ejecutándolo en una plataforma AIX, no podrá ver elprogreso del proceso de configuración. Tenga en cuenta que el programade configuración se ejecuta hasta finalizar satisfactoriamente, pero no sepuede ver el estado del proceso durante el progreso.

Asegúrese de que el navegador no utiliza un proxy HTTP para acceder alservidor Trust Authority. Si lo hace, la aplicación puede experimentarvarios tiempos de espera excedidos que pueden hacer que la visualizacióndel progreso de la configuración dé error.

Recopilar datos de configuraciónDurante la configuración, el Asistente para la instalación le solicita la informaciónque se muestra en el “Formulario de datos de configuración de Trust Authority” enla página 7. Debe reunir la información que se indica antes de iniciar el proceso deconfiguración.

Si prevé instalar más de un servidor Trust Authority, puede imprimir el formularioy anotar sus selecciones. Puede ayudarle a identificar el conjunto de valores deconfiguración específico que desea importar a la nueva instalación.

Nota: El Asistente para la instalación proporciona valores predeterminados paramuchas opciones de configuración. En muchos casos, debe aceptarlos.Cámbielos sólo cuando esté seguro de que debe hacerlo.


Formulario de datos de configuración de Trust Authority

Ventana Descripción Valor predeterminado Su valor

Importar datos deconfiguración

Nombre del archivo dedatos de configuración quese desea importar.

Ninguno.

Contraseña de TrustAuthority

Contraseña para loscomponentes de servidor.Debe contener 8 caracteres.

Ninguno.

Servidor CA y de Auditoría Dirección IP o nombre delsistema principal virtual delservidor.

Nombre totalmentecalificado del sistemaprincipal del servidor RA

Puerto de escucha para elservidor CA.

1830

Puerto de escucha para elservidor de Auditoría.

59998

DN para CA. /C=US/O=Suorganización/OU=TrustAuthority/CN=CA TrustAuthority

Clave de CA Algoritmo de firma CA. sha–1WithRSAEncryption v sha-1WithRSAEncryption

Tamaño de clave de CA. 1024 v 1024

¿Debe utilizar hardware4758 esta CA?

No v Sív No

Si se utiliza hardware 4758,el tamaño de la clave RSA.

1024 v 512v 768v 1024v 2048

¿Desea almacenar la clavede CA en hardware 4758?

No (recomendado) v Sív No

Servidor del Directorio Dirección IP o nombre delsistema principal virtual delservidor.


Puerto de escucha para laspeticiones del Directorio.

389

¿Desea utilizar unDirectorio existente?

No v Sív No

DN de la raíz del Directorio DN de la raíz delDirectorio.

/C=US/O=Suorganización/OU=TrustAuthority/CN=DN raízLdap

Contraseña de la raíz delDirectorio.

Ninguna. Si previamente hainstalado el Directorio, debecoincidir con la contraseñaraíz existente.

Capítulo 3. Procedimientos 7

Ventana Descripción Valor predeterminado Su valor

Administrador delDirectorio

DN del administrador delDirectorio.

/C=US/O=Suorganización/OU=TrustAuthority/CN=AdminDir

Contraseña deladministrador delDirectorio.

Ninguna. Si previamente hainstalado el Directorio, debecoincidir con la contraseñadel administrador existente.

¿Debe el administrador delDirectorio actualizar elDirectorio?

Sí (recomendado) v Sív No

Dominio de registro Nombre del dominio. Nopuede contener espacios.

SuDominio

Idioma del dominio. Inglés

Directorio de instalacióndel dominio.

AIX: /usr/lpp/iau/pkrf/Domains

Windows NT: c:\ProgramFiles\IBM\TrustAuthority\pkrf\Domains

Servidor Web público Dirección IP o nombre delsistema principal virtual delservidor.


Puerto de escucha para laspeticiones que no requierencifrado o autentificación.

80

Servidor Web seguro, sinautentificación de cliente

Dirección IP o nombre delsistema principal virtual delservidor.


Puerto de escucha para laspeticiones SSL que norequieren autentificacióndel cliente.

443

Servidor Web seguro, conautentificación de cliente

Dirección IP o nombre delsistema principal virtual delservidor.


Puerto de escucha de laspeticiones SSL que debeautentificar el cliente.

1443

Cliente PKIX Puerto de escucha para laspeticiones CMP PKIX de lasaplicaciones del cliente.

829

Guardar datos deconfiguración

Nombre de archivo para elarchivo de datos deconfiguración. Escriba unnombre que ofrezca soportepara los convenios de AIXo Windows NT. No escribaninguna extensión dearchivo.

Copia de seguridad de labase de datos


Configurar el sistemaAl configurar IBM SecureWay Trust Authority, especifica opciones para configurarel software en el entorno. En los temas que se tratan en este apartado se presentanlos distintos procedimientos que se pueden utilizar para configurar loscomponentes de Trust Authority. También se muestra cómo guardar valores deconfiguración para volver a utilizarlos en una instalación de Trust Authorityposterior. Los temas que debe revisar incluyen los siguientes:v Ejecutar el Asistente para la instalaciónv Importar datos de configuraciónv Establecer servidores remotosv Especificar DN para su escriturav Utilizar el editor de DN para especificar DNv Visualizar mensajes de configuraciónv Verificar la configuración

Ejecutar el Asistente para la instalaciónCuando esté preparado para empezar la configuración, utilice este procedimientopara iniciar y ejecutar el Asistente para la instalación.1. Asegúrese de que el navegador está preparado para ejecutar la aplicación.

Este paso es muy importante. Antes de continuar, consulte el apartado“Configurar la estación de trabajo” en la página 5.

2. Inicie la sesión como usuario de configuración de Trust Authority(generalmente, cfguser).

3. Acceda al URL donde ha instalado la página de índices para la aplicación. Enel ejemplo siguiente, servidor_Web_seguro identifica un puerto de servidorWeb seguro en la máquina en la que se ha instalado el código de TrustAuthority principal:https://servidor_Web_seguro:81/

4. Responda a las indicaciones del navegador para aceptar un certificadofirmado automáticamente.v Si utiliza un navegador Netscape, se le solicita que acepte un Certificado de

sitio nuevo. Pulse varias veces en Siguiente, hasta pulsar en Finalizar paraaceptar el certificado. Cuando se le solicite, elija la opción Aceptar estecertificado para siempre (hasta que caduque).

v Si utiliza Internet Explorer, se muestra un mensaje que indica que sedesconoce el emisor del mensaje. Pulse en Sí para aceptar el certificado ycontinuar.

5. Responda a la solicitud del navegador del nombre de usuario y la contraseñacon cfguser a la solicitud del nombre de usuario y entre la contraseña decfguser especificada al crear la cuenta para la solicitud de contraseña.

6. El navegador presenta información acerca del Asistente para la instalación,por ejemplo, información sobre cómo descargar e instalar la versión de Swingque se necesita para la aplicación.

Nota: Si aún no lo ha hecho, antes de continuar descargue y configure Swingen el sistema. Debe verificar si el archivo swingall.jar está correctamenteinstalado. Después de agregar la variable CLASSPATH al entorno delsistema, debe reiniciar el navegador antes de intentar cargar laaplicación de configuración.


En algunos casos, al descargarlo, Microsoft Internet Explorer puedecambiar el nombre del archivo por swingall..jar. Para resolver esteproblema, puede cambiar el nombre del archivo a swingall.jar o volvera descargar el archivo.

7. Cuando esté seguro de que la estación de trabajo está preparada para empezarla configuración, pulse en el enlace a CfgSetupWizard.html.

Nota: Después de iniciar la aplicación, debe esperar un momento hasta que laaplicación cargue completamente la base de datos de configuraciónantes de intentar introducir datos en los campos.

Con Microsoft Internet Explorer, la consola Java (si elige visualizarla)puede mostrar una excepción de seguridad extensa. Puede ocurrir si elGestor UI de Swing intenta cargar un archivo de propiedades al que nopueden acceder las aplicaciones que se descargan. Esta excepción no esperjudicial y puede ignorarla.

8. Avance a través de la aplicación especificando valores y pulsando enSiguiente para continuar. En muchos casos, puede aceptar los valorespredeterminados que se muestran.v Si escribe un valor incorrecto, o si intenta continuar antes de proporcionar

información en un campo obligatorio, la aplicación muestra un mensaje.Hasta que proporciona un valor, un símbolo de flecha indica que faltandatos obligatorios en el campo:

v Algunas veces, se puede seleccionar un campo de entrada de texto aunqueno contenga texto. En estos casos, se impide que se entren caracteres en elcampo. Para resolver este problema, pulse la tecla Inicio para restablecer laselección del campo de texto y liberarlo para aceptar texto.

v A medida que mueve el cursor sobre un campo, la aplicación muestra unalínea breve de ayuda para dicho campo.

v Para ver información más descriptiva sobre los campos de una ventanadeterminada, pulse en cualquier momento en un botón Ayuda.

v Para ver información más detallada sobre la configuración de TrustAuthority, pulse en el icono de libro siguiente mientras visualiza la ayudaen línea. Esta acción abre este libro, Trust Authority Guía de configuración.

9. Después de guardar los valores de configuración, debe pulsar en Finalizar..Esta acción inicia el programa de configuración (CfgStart), actualiza losarchivos de configuración del servidor y crea las bases de datos necesarias.Consulte los apartados “Ejecutar CfgStart en AIX” en la página 11 y “EjecutarCfgStart en Windows NT” en la página 12 para obtener más información sobreel proceso de configuración.

Nota: Si no pulsa en Finalizar, la aplicación no puede exportar los valores aun archivo de configuración. Tampoco puede mostrar una página deconfiguración posterior que contiene información que le puede ayudara validar la configuración y empezar a utilizar Trust Authority.

10. Revise los mensajes de estado a medida que se ejecutan los programas deconfiguración. Si ha instalado algún componente en máquinas remotas, semuestran mensajes que le indican que realice alguna acción en el sistemaremoto para que el proceso pueda continuar.


11. Debe realizar varios pasos posteriores a la configuración para verificar yproteger el sistema antes de utilizarlo. Para obtener información másdetallada, consulte los apartados “Verificar la configuración” en la página 18 y“Preparar para la producción” en la página 20.

Ejecutar CfgStart en AIXDespués de especificar los valores de configuración en el Asistente para lainstalación y de pulsar en Finalizar, el programa CfgStart se iniciaautomáticamente.

Si ha instalado Trust Authority en una configuración de varias máquinas, consulteel apartado “Definir servidores remotos” en la página 13 y asegúrese de que ejecutaCfgStart en todas las máquinas en el orden adecuado.

La salida del proceso de configuración se guarda en los archivos siguientes:v /usr/lpp/iau/logs/instCfg.log. Éste es el archivo que debe consultar en un

sistema de producción típico.v /usr/lpp/iau/logs/AIXCfgStart.out. Este archivo contiene mensajes de salida de

nivel de depuración que debe utilizar sólo si necesita determinar un problema.v /usr/lpp/iau/logs/AIXCfgStart.err. Este archivo contiene mensajes de error de

nivel de depuración que debe utilizar sólo si necesita determinar un problema.

Después de iniciar CfgStart, el Asistente para la instalación puede devolverequivocadamente un mensaje de error indicando que el proceso de configuracióndel servidor AIX ha sido anómalo. Debe pulsar en Aceptar en el cuadro de diálogodel mensaje e ignorarlo. No vuelva a pulsar en el botón Finalizar. En vez de ello,consulte el archivo AIXCfgStart.out y asegúrese de que la configuración continúa.Cuando los mensajes del archivo AIXCfgStart.out indiquen que la configuración deTrust Authority ha finalizado satisfactoriamente, pulse en Finalizar para exportarlos valores a un archivo de configuración.

Nota: Si determina que se ha producido un error real (por ejemplo, si necesitaagregar espacio de disco), resuelva el problema. Al volver al pulsar enFinalizar, la configuración debe continuar a partir del punto en que ladetuvo.

Si configura el navegador para utilizar un servidor proxy, lo que no se recomienda,es posible que accidentalmente se inicie más de una instancia del programaCfgStart. Puede darse cuenta de que ha ocurrido si ve varias líneas de descripciónde proceso como resultado de la ejecución del mandato siguiente:ps -deaf | grep -v grep | grep CfgStart

El resultado de la ejecución del mandato anterior debe tener un aspecto similar a lalínea siguiente:root 24012 23502 60 16:51:02 - 0:48 /usr/lpp/iau/bin/CfgStart -i

Si hay más de una instancia en ejecución, debe terminar los procesos de CfgStartadicionales (es decir, el que tiene la indicación de la hora posterior) entrando elmandato siguiente, donde ID_proceso es el número que sigue a la palabra root enla salida del ejemplo anterior:kill ID_proceso


Ejecutar CfgStart en Windows NTSi ha instalado Trust Authority en Windows NT, debe iniciar el programa CfgStartmanualmente después de pulsar en el botón Finalizar en el Asistente para lainstalación.

Si ha instalado Trust Authority en una configuración de varias máquinas, consulteel apartado “Definir servidores remotos” en la página 13 y asegúrese de que ejecutaCfgStart en todas las máquinas en el orden adecuado.

Para ejecutar CfgStart, siga el procedimiento que se indica a continuación. Elejemplo muestra la ruta de instalación predeterminada; su sistema puede serdiferente:1. Abra una ventana de mandatos de MS DOS.2. Cambie al subdirectorio bin de la ruta de instalación de Trust Authority. Por

ejemplo:cd "c:\Program Files\IBM\Trust Authority\bin"

3. Si desea capturar salida detallada o verbosa, modifique las propiedades de laventana de mandatos de MS DOS: Seleccione la ficha Diseño y aumente el Altodel Tamaño del búfer de pantalla a 9999.

4. Entre uno de los mandatos siguientes:CfgStart (se utiliza para el proceso estándar)CfgStart -i (se utiliza paraobtener información verbosa)

Mientras se ejecuta CfgStart, puede experimentar problemas con ventanas que nose cierran correctamente. En este caso, espere a que finalice el proceso deconfiguración y salga de todas las ventanas abiertas.

Además, si ejecuta el proceso de configuración en una máquina con poca potencia(que tenga, por ejemplo, menos de 96 MB de RAM), puede recibir un error queindica que CfgStart no puede iniciar la instancia de IBM HTTP Server para eldominio de registro. En realidad, la instancia de HTTP Server (que es el últimocomponente que configura el programa CfgStart) se ha iniciado correctamente,pero el mandato de comprobación ha excedido el tiempo. Todos los programas deTrust Authority están en ejecución, pero CfgStart no puede borrar las contraseñasde la base de datos de configuración. Si se produce este problema, debe llevar acabo una de las acciones siguientes:v Volver a ejecutar CfgStart.exe. Esta vez debe finalizar y borrar satisfactoriamente

las contraseñas de la base de datos. Se debe a que la instancia de HTTP Serverpara el dominio de registro ya está en ejecución (desde la llamada anterior aCfgStart.exe), evitando así que el mandato de comprobación exceda el tiempo.

v Ignorar el problema y finalizar los procedimientos para verificar la configuracióny obtener un certificado.

Importar datos de configuraciónPara posibilitar la definición de varios sistemas Trust Authority conconfiguraciones similares, el Asistente para la instalación guarda los valores deconfiguración en un archivo que se puede exportar. Después, puede importar estearchivo y utilizarlo como línea base para definir otro sistema Trust Authority.

Si prevé instalar Trust Authority en varios servidores y definir una configuraciónsimilar en todos, puede aprovechar esta característica. La posibilidad de importar


configuraciones también permite migrar un sistema existente que se haconfigurado para un release anterior de Trust Authority.

Notas:

v Si intenta importar datos de configuración a un sistema que ya estáconfigurado, destruirá todos los datos existentes.

v Cuando importa datos de configuración, sólo puede importarlos a unsistema que esté ejecutando el mismo sistema operativo. Por ejemplo, nopuede importar un archivo de datos de configuración que contengavalores para una plataforma AIX y utilizarlo para configurar TrustAuthority en Windows NT.

Para importar datos de configuración, siga el procedimiento siguiente como guía:1. Instale Trust Authority en una máquina. Anote el nombre que da al archivo de

datos al guardar los datos de configuración.2. Instale una nueva instancia de Trust Authority en otra máquina.3. Copie el archivo de datos de configuración de la primera máquina Trust

Authority en la segunda máquina.v En AIX, la ruta predeterminada para almacenar archivos de datos de

configuración es la siguiente: /usr/lpp/iau/cfg/cfgdb/v En Windows NT, la ruta predeterminada para almacenar archivos de datos

de configuración es la siguiente:c:\Program Files\IBM\Trust Authority\cfg\cfgdb\

4. Inicie el Asistente para la instalación en la nueva máquina. La primera ventanale solicita que especifique si desea importar datos de configuración de unainstalación anterior. Pulse en el cuadro de selección para indicar que sí.

5. La ventana siguiente le solicita que seleccione el archivo de datos deconfiguración que desea utilizar para esta instalación. Seleccione el archivo queha copiado en esta máquina.

6. También debe verificar si está instalando un nuevo servidor Trust Authority omigrando datos de una versión anterior del producto.

7. Al pulsar en Siguiente para continuar, el Asistente para la instalación llena lasventanas restantes de la aplicación con información del archivo que haimportado.

8. Cambie de forma selectiva los valores que necesita que sean diferentes paraesta instalación de Trust Authority.

Definir servidores remotosSi ha instalado los servidores de CA, Auditoría y Directorio en la misma máquinaque el servidor Trust Authority principal y Registration Authority, los programasde configuración se ejecutan sin solicitar información.

Si ha instalado algún componente de servidor en una máquina remota, el Asistentepara la instalación se detiene cuando busca el punto en el que debe configurardicho componente. Debe ir a la máquina correspondiente y ejecutar el programa deconfiguración solicitado antes de continuar con la configuración del servidor TrustAuthority principal.

Para configurar componentes remotos después de pulsar en Finalizar en elAsistente para la instalación, utilice el procedimiento siguiente:1. Observe el progreso en la columna Estado. Cuando la aplicación llega a un

punto en el que se debe configurar un componente que no está en el servidor


Trust Authority principal, muestra el mensaje Configurado parcialmente.También visualiza una ventana de mensaje que le indica el componente que sedebe configurar a continuación.

2. Siga las instrucciones que indica el mensaje visualizado y vaya a la máquinaremota especificada. Debe configurar los componentes en el orden siguiente:a. Servidor RA (inicie la configuración en el servidor Trust Authority principal)b. Servidor del Directorio (cree una base de datos para los datos del Directorio

y configure el Directorio)c. Servidor CA y de Auditoría (cree bases de datos para los datos de CA y de

auditoría)d. Servidor RA (cree una base de datos para los datos de registro y configure

el RA)e. Servidor CA y de Auditoría (configure el subsistema de CA y de auditoría;

CA se inicia al final de este proceso)f. Servidor RA (defina la inscripción y configure los servidores HTTP y

WebSphere™ Application Server)3. Si ejecuta AIX, entre los mandatos siguientes en la máquina remota para

catalogar la base de datos de configuración, dondeNombreServidorTrustAuthority es el nombre del sistema principal del servidorTrust Authority principal:cd /usr/lpp/iau/bin (es la ruta predeterminada para este programa)CfgPostInstall -r

4. Cambie al directorio del programa de configuración de Trust Authority yejecute el programa CfgStart como cfguser.v En AIX, la ruta predeterminada para este programa es la siguiente:

/usr/lpp/iau/bin/CfgStart

v En Windows NT, la ruta predeterminada para este programa es la siguiente:c:\Program Files\IBM\Trust Authority\bin\CfgStart

El programa CfgStart crea la base de datos necesaria en el servidor remoto yrealiza tareas de configuración adicionales. Cuando llega al punto en el que nopuede continuar, muestra un mensaje que le solicita que vuelva al servidorTrust Authority principal.

5. Vaya al servidor principal y pulse en Continuar de la ventana del mensaje paracontinuar con el proceso de configuración. Si define algún componente en unatercera máquina, la configuración continúa hasta que llega al punto en el que sedebe realizar la configuración del componente remoto.

6. Repita los pasos anteriores para ejecutar los programas de configuraciónsolicitados en la máquina remota y, a continuación, vuelva al servidor TrustAuthority principal.El Asistente para la instalación muestra un mensaje cuando todos loscomponentes se han configurado correctamente.

Especificar DN al escribirlos

SugerenciaPara posibilitar la especificación de nombres distintivos (DN), el Asistentepara la instalación incluye una interfaz gráfica de usuario, el Editor denombres distintivos. Para obtener mayor precisión, debe utilizar estaherramienta para especificar DN para Trust Authority en lugar de escribirlos.


Durante la configuración, debe especificar DN exclusivos para varios componentesde Trust Authority: el CA, la raíz del Directorio y el administrador del Directorio.Si no está familiarizado con el formato de DN en el estándar X.509v3, consulte elapartado “Utilizar el editor de DN” en la página 16 para obtener más información.

Si está familiarizado con el estándar X.509v3, puede escribir los DN a medida queavanza a través del Asistente para la instalación. Trust Authority da soporte paralos atributos de DN siguientes:

Entrada Longitud Valor

C= 4 País en el que se encuentra el objeto del DN. Debe coincidircon una cadena definida en el estándar ISO 3166.

ST= 128 Estado o provincia en la que se encuentra el objeto del DN.

L= 128 Localidad (ciudad o municipio) en la que se encuentra elobjeto del DN.

STREET= 128 Dirección en la que se encuentra el objeto del DN.

O= 64 Nombre de la organización a la que está afiliado el objeto deeste DN.

OU= 64 Unidad de la organización a la que está afiliado el objeto deeste DN como, por ejemplo, división corporativa o el nombrede un producto. Un único DN puede contener hasta cuatroatributos OU.

CN= 64 Nombre común del objeto de este DN como, por ejemplo, elnombre completo de una persona o la finalidad prevista deun dispositivo.

DC= 64 Componente de dominio, que puede constar de uno o másRDN (nombre distintivo relativo). Cada RDN contiene uncomponente del nombre de dominio Internet de la entidad,listando en primer lugar el componente más significativo. Porejemplo, el nombre de dominio Internet ″CS.UCL.AC.UK″ sepuede convertir en /DC=UK/DC=AC/DC=UCL/DC=CS.

Al escribir el DN, debe cumplir los requisitos de formato DN siguientes:v Asigne un nombre descriptivo o común para identificar el objeto. Todos los

atributos son opcionales.v Aunque CN= es el único atributo obligatorio, un DN no puede constar sólo del

atributo CN. El DN debe contener otro atributo además del atributo CN=.v Escriba el atributo CN= en último lugar.v Preceda cada atributo con una barra inclinada (/), incluyendo la primera

entrada.v No incluya un separador de cierre.v Si un valor contiene caracteres especiales, especifíquelos entre comillas dobles

(″ ″).v Si incluye atributos de ubicación, escríbalos en la secuencia que se indica a

continuación: /ST= /L= /STREET=.v Si incluye atributos de organización, escríbalos en la secuencia que se indica a

continuación: /O= /OU=.v Puede intercalar los atributos de ubicación y organización, siempre que

mantenga sus respectivas secuencias.


Trust Authority sugiere las secuencias siguientes:– /C=/DC=/ST=/L=/STREET=/O=/OU=/CN= (es el formato preferido)– /C=/DC=/ST=/L=/O=/OU=/STREET=/CN=– /C=/DC=/ST=/O=/OU=/L=/STREET=/CN=– /C=/DC=/O=/OU=/ST=/L=/STREET=/CN=

A continuación se muestra un ejemplo de una entrada DN que utiliza el formatopreferido, y el nombre de dominio es TRUSTCA.IBM.COM:/C=US/DC=COM/DC=IBM/DC=TRUSTCA/ST=MD/L=Gaithersburg/STREET=800N. Frederick Avenue

/O=IBM/OU=PKI/CN=TrustCA

Consulte la publicación Trust Authority: Cómo empezar para obtener informaciónmás detallada sobre cómo utiliza Trust Authority el Directorio.

Utilizar el editor de DNCada vez que el Asistente para la instalación le solicita que especifique un nombredistintivo (DN), puede pulsar en el icono del Editor de DN para iniciar el Editorde nombres distintivos.

Esta interfaz gráfica de usuario le simplifica la especificación de las partes delDN que desea incluir y, al mismo tiempo, le evita tener que informarsedetalladamente sobre la sintaxis del DN. Simplemente debe rellenar los espacios enblanco para los atributos que desea incluir en el DN y, a continuación, efectuar suselección de una lista de secuencias de atributos.

El Editor de DN divide las partes del DN en varias áreas codificadas, de las que:v Una recopila información general sobre la persona, el programa o el dispositivo

para el que se crea el DN (el objeto del DN)v Una recopila información sobre la organización que es propietaria del objeto del

DNv Una recopila información sobre la ubicación del objeto del DNv Una identifica el formato secuencial de las distintas partes del DN

Información general

Nombre comúnEscriba un nombre descriptivo para el objeto de este DN. Para unapersona, generalmente, es su nombre completo. Para servidores,aplicaciones, dispositivos u otros objetos, debe asignar un nombreque le ayude a identificar su función o finalidad.

País Seleccione el país en el que se encuentra el objeto de este DN.

Nombre de dominioEscriba el nombre de dominio Internet que identifica esta entrada.

Información de la organización

Nombre de la organizaciónSi lo desea, escriba el nombre de la organización a la que estáafiliado el objeto de este DN. Generalmente es el nombreregistrado legalmente de la organización. Para incluir una unidadorganizativa, primero debe especificar el nombre de laorganización.


/iaug.htm

Unidad organizativaSi lo desea, identifique la unidad de la organización a la que estáafiliado el objeto de este DN. Por ejemplo, puede ser una divisiónorganizativa, como Cuentas de usuario, o una categoría de trabajo,como el nombre de un producto. Puede asociar un DNdeterminado con cuatro unidades organizativas como máximo.

Información de la ubicación

Estado o provinciaSi lo desea, identifique el estado o la provincia en la que seencuentra físicamente el objeto del DN. También puede ser un áreageográfica a la que esté asociado el objeto de alguna formasignificativa. Generalmente es la ubicación de la organización a laque está afiliado el DN.

Puede escribir el nombre completo del estado o de la provincia outilizar una abreviatura estándar, según sus preferencias deregistro. Por ejemplo, puede utilizar Nueva York o NY.

LocalidadSi lo desea, identifique la ciudad o el municipio en el que seencuentra físicamente el DN, por ejemplo, Barcelona o París.También puede ser un área geográfica que, de alguna forma, seasignificativa para el objeto del DN. Para incluir información sobrela localidad, primero debe especificar el estado o la provincia.

DirecciónSi lo desea, puede identificar la dirección en la que se encuentra elobjeto del DN. Generalmente es la dirección de la organización a laque está afiliado el DN. Para incluir una dirección, primero debeespecificar la localidad y el nombre del estado o de la provincia.

Tipo de formato:Después de identificar los atributos que van a convertir este DN eninequívoco y exclusivo, debe seleccionar la secuencia de atributos. Cuandose selecciona esta opción, el Editor de DN muestra un ejemplo del aspectodel DN en el orden seleccionado.

La secuencia que elija depende totalmente de cómo ve la organización suestructura, las entidades que prevé incluir en un dominio administrativodeterminado y cómo prevé utilizar y buscar en el Directorio.

Por ejemplo, si la organización tiene oficinas en varias ubicaciones, puedeespecificar información de las ubicaciones antes que información de lasorganizaciones. En esta propuesta se podría limitar una consulta delDirectorio a las entradas que pertenecen a un área geográfica específica.

Debe tener en cuenta que el Editor de DN puede mostrar texto truncadoen el margen derecho del área Formato cuando visualiza el formato delDN. Es un error de visualización que no tiene ningún efecto en el formatoreal del DN que se está creando.

Ubicación en primer lugarEs el formato preferido y predeterminado, en el que toda lainformación de la ubicación precede a la información de laorganización. La secuencia de los atributos es la siguiente:/Nombre dominio/País/Estado o provincia/Localidad/Dirección

organización/Unidad organizativa/Nombre común


Dirección después de organizaciónEn este formato, la información sobre la organización precede a ladirección que está asociada al objeto del DN. La secuencia de losatributos es la siguiente:/Nombre dominio/País/Estado o provincia/Localidad/Organización/Unidad organizativa/Dirección/Nombre común

Localidad después de organizaciónEn este formato, la información sobre la organización precede almunicipio o a la ciudad que está asociado al objeto del DN, y sudirección. La secuencia de los atributos es la siguiente:/Nombre dominio/País/Estado o provincia/Organización/Unidad organizativa

/Localidad/Dirección/Nombre común

Estado o provincia después de organizaciónEn este formato, la información sobre la organización precede a lainformación sobre la ubicación. La secuencia de los atributos es lasiguiente:/Nombre dominio/País/Organización/Unidad organizativa/Estado oprovincia/Localidad/Dirección/Nombre común

Visualizar mensajes de configuraciónDespués de pulsar en Finalizar para iniciar el proceso de configuración, se ejecutanuna serie de programas de configuración. Estos programas se aplican a los valoresde configuración que ha especificado para los distintos componentes del servidorTrust Authority y crean las bases de datos de componentes.

Mientras se ejecuta el proceso de configuración, la columna Estado muestra elestado general de cada componente a medida que se va configurando.

Para obtener información más detallada sobre el progreso de los programas, pulseen el botón Visualizar mensajes avanzados.

Solución de problemas en Windows NTHay un problema de bloqueo de archivo conocido en Windows NT quepuede hacer que el Asistente para la instalación dé error al intentar recuperarel contenido actual del archivo de registro de configuración desde un servidorWindows NT. Al pulsar en el botón Visualizar mensajes avanzados, esteproblema da como resultado una ventana de diálogo vacía.

Si experimenta este problema, debe cerrar la ventana vacía y volver a pulsaren Visualizar mensajes avanzados para que el Asistente para la instalaciónrecupere el contenido del archivo de registro. Si el problema persiste, puederepetir esta acción hasta que la ventana muestre el contenido del archivo deregistro, o puede ir a la máquina del servidor Trust Authority y ver el archivode registro directamente. El archivo de registro, instCfg.log, está situado en elsubdirectorio logs del directorio de la instalación. En el ejemplo siguiente semuestra la ruta de instalación predeterminada:c:\Program Files\IBM\Trust Authority\logs\instCfg.log

Verificar la configuraciónCuando finaliza el proceso de configuración, debe confirmar que el sistema estácorrectamente configurado. Este procedimiento le indica que verifique dos veces la


posibilidad de obtener un certificado: una después de configurar el sistemainicialmente, y la otra después de cerrar y reiniciar completamente el sistema.1. Una vez finalizada la configuración, pulse en Salir para salir del Asistente

para la instalación.2. La aplicación sale de la página Verificación de la configuración de Trust

Authority. Pulse en el enlace del sitio Web de inscripción.Si no se muestra la página Verificación de la configuración, puede acceder alsitio Web de inscripción en el URL siguiente, donde MiServidorWebPúblico esel nombre del sistema principal del servidor Web público y MiDominio es elnombre del dominio de registro:http://MiServidorWebPúblico:80/MiDominio/index.jsp

El navegador abre la página de índices de inscripción, que en la instalaciónpredeterminada se denomina Credential Central. Su organización puedenombrarla de otro modo.

3. Pulse en el enlace de instalar nuestro certificado CA del servidor. Estecertificado permite que el navegador autentifique las comunicaciones de losservicios de inscripción. Si, posteriormente, se conecta a los servicios deinscripción desde este navegador, puede omitir este paso.

4. En el área Inscripción de certificados:a. Seleccione Tipo de inscripción → Certificado del navegador.b. Seleccione Acción → Inscribir.c. Pulse en Aceptar.

5. Para finalizar las dos partes del formulario de registro, siga las instruccionesque se proporcionan en línea.v Cuando seleccione el Tipo de certificado en la parte del formulario

Información de registro, seleccione Autentificación de cliente Web (1 año).En la instalación predeterminada, esta acción permite que un proceso deaprobación automatizado maneje la petición del certificado.

v Pulse en Instalar certificado CA de navegador. Este certificado defineinformación específica para la inscripción de navegador. Si, posteriormente,se inscribe para certificados de navegador, puede omitir este paso. Laprimera vez que se inscribe para un certificado de dispositivo o de servidor,debe volver a seleccionar esta opción para instalar el certificado CA que dasoporte para este tipo de certificado.

6. Cuando haya satisfecho los datos de la inscripción, pulse en Remitir solicitudde certificado.

7. Para comprobar el estado de la petición, siga las instrucciones que seproporcionan en línea. Asegúrese de que agrega la página de estado a la listade favoritos o marcadores del navegador. Es la forma más fácil de volver ycomprobar el estado.Como medida de seguridad, anote el ID de la petición que se muestradespués de remitir la petición. Si ha especificado que desea recibir unanotificación de correo electrónico en el formulario de inscripción, el ID depetición se envía automáticamente.

8. La primera vez que comprueba el estado después de la aprobación de lapetición, el certificado se descarga y se instala automáticamente en elnavegador. Para confirmar si se ha instalado correctamente, siga lasinstrucciones en línea que se proporcionan en la notificación de la aprobación.

9. Siga los procedimientos que se indican en la publicación Trust Authority: Guíade administración del sistema para detener todos los componentes de Trust


/iaus.htm

/iaus.htm

Authority. Si ha instalado Trust Authority en varias máquinas, asegúrese deque detiene todos los programas del servidor en el orden pertinente.

10. Detenga las instancias de WebSphere Application Server e IBM HTTP Serverasociadas con el Asistente para la instalación ejecutando Ctrl-C en lasventanas correspondientes.

11. Rearranque la máquina de Trust Authority principal (el servidor RA).12. Siga los procedimientos que se indican en la publicación Trust Authority: Guía

de administración del sistema para iniciar todos los componentes de TrustAuthority. Si ha instalado Trust Authority en varias máquinas, asegúrese deque inicia todos los programas del servidor en el orden pertinente.

13. Repita los pasos anteriores (del paso 2 en la página 19 hasta el paso 8 en lapágina 19) para volver a confirmar su posibilidad de obtener un certificado denavegador.

Después de instalar satisfactoriamente el segundo certificado, el sistema estápreparado para empezar a procesar peticiones. Para obtener información detalladasobre el proceso de inscripción y los diferentes tipos de certificados disponiblespara los usuarios, consulte la publicación Trust Authority: Guía del usuario.

Preparar para la producciónDespués de verificar la instalación en el nuevo sistema Trust Authority, debe llevara cabo varios pasos para finalizar la configuración del sistema y protegerlo para unentorno de producción.v Proteger el Asistente para la instalación.v Cambiar los permisos del Directorio (sólo AIX).v Cambiar las contraseñas del servidor.v Editar los archivos de configuración (sólo en caso necesario).v Autorizar responsables de los registros.v Hacer la copia de seguridad del sistema que se acaba de configurar.v Personalizar el dominio de registro.v Formar a los administradores y los usuarios. Para obtener ayuda, consulte las

publicaciones siguientes:– Trust Authority: Guía de RA Desktop, proporciona información sobre cómo

acceder a RA Desktop y cómo utilizarlo para administrar certificados.– Trust Authority: Guía del usuario, proporciona información sobre la utilización

de los formularios de inscripción basados en navegador y la aplicaciónCliente de Trust Authority para obtener y gestionar certificados.

Proteger el Asistente para la instalaciónDespués de ejecutar el Asistente para la instalación y de aplicar los valores deconfiguración, debe proteger la aplicación para que no se vuelva a ejecutar en esteservidor Trust Authority. Después de configurar un sistema Trust Authoritydeterminado, no puede reconfigurarlo. Aunque en los programas de configuraciónhay indicadores para evitar que se vuelvan a configurar determinadoscomponentes, puede llevar a cabo pasos adicionales para proteger la aplicación.

Para evitar que se vuelva a ejecutar el Asistente para la instalación, debe cambiarleel nombre o moverlo a un directorio al que no se pueda acceder fácilmente.Durante la instalación, el Asistente para la instalación se instala en las ubicacionessiguientes:


/iaus.htm

/iaus.htm

/iauu.htm

/iaud.htm

/iauu.htm

v En AIX, la ruta predeterminada para la aplicación es la siguiente:/usr/lpp/iau/cfg/CfgSetupWizard.html

v En Windows NT, la ruta predeterminada para la aplicación es la siguiente:c:\Program Files\IBM\Trust Authority\cfg\CfgSetupWizard.html

Cambiar los permisos del Directorio en AIXSi ha configurado Trust Authority en una plataforma AIX, debe cambiar lospermisos de propietario del archivo slapd.conf. Durante la configuración, TrustAuthority establece el propietario de determinados archivos de configuración deDirectorio en cfguser.cfggrp. Debe cambiar el propietario por ldap.ldap. De estemodo, el administrador del Directorio puede ejecutar los cambios necesarios paraotros productos que pueden compartir el Directorio con Trust Authority. Parahacerlo, realice los pasos que se indican a continuación:1. Inicie la sesión como root.2. Escriba el mandato siguiente para cambiar de directorio:

cd /usr/ldap/etc

3. Escriba el mandato siguiente para establecer los permisos de propietarioadecuados:chown ldap.ldap slapd.conf

Cambiar las contraseñas del servidorAl configurar Trust Authority, se especifican las contraseñas siguientes:v Una para proteger los componentes del servidor Trust Authorityv Una para el usuario root del Directoriov Una para el administrador del Directorio

Debe recordar estas contraseñas para poder ejecutar determinadas herramientasadministrativas. Además, antes de poner el sistema en modalidad de producción,debe ejecutar la utilidad de cambio de contraseñas y especificar una contraseñapara cada componente fiable. Este paso es muy importante para proteger elsistema, controlar el acceso al mismo y permitir que los componentes se inicien demodo seguro.

Las claves que permiten autentificar los componentes del servidor se almacenan enlos KeyStore cifrados separados. La primera vez que ejecuta la utilidad debeespecificar las contraseñas que ha especificado durante la configuración.v Debe especificar la contraseña del servidor Trust Authority para acceder a la

mayor parte de los KeyStore de los componentes y cambiar las contraseñascorrespondientes.

v Debe especificar la contraseña del administrador del Directorio para acceder alKeyStore del administrador del Directorio y cambiarla.

Después de cambiar una contraseña, sólo el componente autorizado puede accederal KeyStore, las claves y los datos cifrados del mismo.

Para obtener información detallada sobre el uso de la utilidad de cambio decontraseñas, consulte la publicación Trust Authority: Guía de administración delsistema.


/iaus.htm

/iaus.htm

Editar los archivos de configuraciónDespués de guardar los valores de configuración y de iniciar el proceso deconfiguración, los programas de configuración actualizan varios archivos deconfiguración. Estos archivos controlan el comportamiento de la ejecución de loscomponentes del producto.

Puede y debe utilizar los valores de configuración tal como se establecen duranteel proceso de configuración. Si embargo, puede ajustar valores específicos de modoque se adapten mejor a las necesidades de su entorno operativo. Por ejemplo,puede ajustar el valor de tiempo de espera del servidor o ajustar un intervalo desondeo.

Para posibilitar el cambio de los valores operativos, Trust Authority proporcionauna utilidad para editar archivos de configuración. Antes de usar la utilidadIniEditor para realizar cambios en un archivo de configuración, asegúrese de crearuna copia de seguridad del archivo.

Para obtener más información sobre la edición de archivos de configuración deTrust Authority, así como sobre los parámetros que se pueden cambiar y los queno, consulte la publicación Trust Authority: Guía de administración del sistema.

Autorizar responsables de los registrosTrust Authority da soporte para la aprobación automatizada de peticiones deregistro. Para permitir que un administrador revise las peticiones y las apruebe orechace, según proceda, debe designar el usuario como responsable de los registrosde Trust Authority. Una vez autorizado, el responsable de registros puede ejecutarlos RA Desktop para administrar certificados y peticiones de inscripción. Paraofrecer soporte para la carga del trabajo de registro, puede autorizar todos losresponsables de registros que desee.

Para facilitar este proceso, Trust Authority proporciona una utilidad de línea demandatos. Cuando se usa la utilidad add_rauser para autorizar a un usuarioadministrativo, se identifica el dominio de registro y se especifican los privilegiosdel usuario. Por ejemplo, puede autorizar un responsable de registros sólo paraaprobar y rechazar peticiones, y también autorizar a otro responsable de registrospara revocar certificados.v Para obtener más información sobre la adición de responsables de registros,

consulte la publicación Trust Authority: Guía de administración del sistema.v Para obtener más información sobre el acceso y la utilización de RA Desktop,

consulte la publicación Trust Authority: Guía de RA Desktop.

Hacer la copia de seguridad del sistema Trust AuthorityAntes de poner el sistema en modalidad de producción, asegúrese de que disponede una copia de seguridad actualizada de todos los componentes del servidor ysus depósitos de base de datos, es decir:v El servidor Trust Authority principal, que incluye Registration Authority, todas

utilidades de soporte y el software básicos de Trust Authority y las bases dedatos que se han creado para los datos de configuración y registro.

v El servidor Web, que incluye WebSphere Application Server y HTTP Server.v El servidor del Directorio, que incluye la base de datos del Directorio.v El servidor CA y de Auditoría, que incluye las bases de datos que se han creado

para los datos de CA y de Auditoría.


/iaus.htm

/iaus.htm

/iaud.htm

v El coprocesador 4758, si se ha instalado y se utiliza con esta instalación de TrustAuthority.

Para obtener más información sobre cómo hacer la copia de seguridad de loscomponentes que se deben proteger de Trust Authority, consulte la publicaciónTrust Authority: Guía de administración del sistema.

Cambios de Directorio para flexibilidad de DNSi el entorno de producción implica emitir certificados utilizando nombres dedominio externos de la sucursal de CA, modifique SecureWay Directory para queTrust Authority pueda crear las sucursales en el Directorio:1. Determine los sufijos que se deben agregar.2. Modifique los archivos slapd.conf para agregar el sufijo al Directorio.3. Reinicie slapd.4. Agregue el objeto a la base de datos del Directorio correspondiente al sufijo.5. Modifique la ACL para cada sufijo.6. Asegúrese de que ldap_autoCreate_entries en el archivo raconfig.cfg está

establecido en verdadero.

Modificar la ACL para el nuevo sufijo LDAPTrust Authority se enlaza a SecureWay Directory utilizando la contraseña y el IDde usuario del Administrador del Directorio. Cada nuevo sufijo debe incluir elAdministrador del Directorio en su ACL. Por ejemplo, una ACL en la que se haagregado el Administrador del Directorio a un sufijo sería:access-id:CN=DIRADMIN,OU=TRUST AUTHORITY,O=YOUR ORGANIZATION,C=US:object:ad:normal:rwsc:sensitive:rwsc:critical:rwsc

Además, los nuevos sufijos para el usuario anonymous (CN=ANYBODY) debentener:group:CN=ANYBODY:normal:rsc:sensitive:rsc

donde normal, sensitive y critical son las clases de ACL y rwsc son los niveles depermiso: lectura, escritura, búsqueda y comparación.

Personalizar el dominio de registroEl dominio de registro puede utilizar el servicio de registro que se incluye conTrust Authority, tal como se proporciona de fábrica. Sin embargo, puede cambiaralgunos formularios de inscripción o procesos de registro para reflejar los objetivosespecíficos de su organización para certificaciones digitales. Por ejemplo, puedehacer que el logotipo corporativo aparezca en los formularios de inscripción delnavegador. También puede crear o personalizar un perfil de certificado de modoque dé soporte para la clase determinada de usuarios, servidores o dispositivosque se están inscribiendo.

Después de instalar Trust Authority y de ejecutar el Asistente para la instalación,puede personalizar muchos de los archivos que definen el dominio de registropara los objetivos de su empresa. Tal como debe hacer para cualquier tarea depersonalización, asegúrese de hacer una copia de seguridad de todos los archivosque prevé cambiar.

Puede personalizar los archivos siguientes. Durante la configuración, estos archivosse crean en la ruta del directorio del dominio de registro.


/iaus.htm

v Los archivos de configuración (tipo de archivo .cfg) instalados en elsubdirectorio etc. Por ejemplo, puede ajustar una configuración operativa delservidor RA o de RA Desktop.

v Las cartas de notificación de ejemplo (tipo de archivo .ltr) instaladas en elsubdirectorio etc. Trust Authority proporciona texto de ejemplo para informar alos usuarios cuando se ha aprobado o rechazado una petición pero, si lo desea,puede escribir otro texto.

v Los archivos HTML (tipo de archivo .html), gráficos (tipo de archivo .gif) yPáginas Java Server (tipo de archivo .jsp) instalados en el subdirectoriowebpages. Por ejemplo, puede cambiar el texto y los gráficos que se muestran enlos formularios de inscripción del navegador. También puede personalizar unperfil de certificados existente o definir uno nuevo para dar soporte a laspolíticas de certificados de la organización.

v La salida de política (policy_exit) instalada en el subdirectorio bin. TrustAuthority proporciona esta salida como ejemplo sobre cómo manejar el procesode aprobaciones automatizado. Puede escribir otras salidas para integrar elproceso de registro con las demás aplicaciones o para llamar a acciones deproceso específicas.

Para obtener más información sobre los cambios que puede realizar en los procesosde registro y certificación, así como instrucciones sobre cómo hacerlo, consulte lapublicación Trust Authority: Guía de personalización.

Reconfigurar el sistemaDespués de aplicar los valores de configuración y de ejecutar los programas deconfiguración para esta instalación de Trust Authority, no puede volver aconfigurar el sistema.

Puede editar los valores de configuración para cambiar algunos controlesoperativos, pero no puede volver a ejecutar el Asistente para la instalación paramodificar un sistema configurado previamente.

Nota: Si trata de volver a configurar el sistema, se arriesga a destruir todos losdatos de configuración existentes.

Para obtener información detallada sobre los parámetros de configuración quepuede actualizar después de configurar el sistema, consulte la publicación TrustAuthority: Guía de administración del sistema.

Utilizar Trust Authority con Policy DirectorPuede definir IBM SecureWay Policy Director para que comparta el Directorio conTrust Authority y acepte certificados firmados por una CA de Trust Authority. Enlos pasos siguientes se resume el procedimiento que debe seguir para definir TrustAuthority y Policy Director de modo que puedan interactuar y compartir recursosseguros.1. Instale y configure Trust Authority y asegúrese de que funciona correctamente

por sí solo.

Nota: Cuando efectúe la preparación para Policy Director, debe notificar el DNraíz del Directorio predeterminado al ejecutar el Asistente para lainstalación. Para Policy Director, el DN raíz no puede contener espacios.


/iaus.htm

/iaus.htm

Además, el DN raíz predeterminado es largo y se crea como una ramadel Directorio. Modificarlo puede ayudarle a lograr la simetría en elárbol del Directorio.

Si ha configurado Trust Authority en una plataforma AIX, asegúrese deque sigue los pasos que se indican en el apartado “Cambiar los permisosdel Directorio en AIX” en la página 21. Es muy importante a fin de poderconfigurar Policy Director para utilizar el Directorio.

2. Instale y configure DCE. Asegúrese de que funciona correctamente por sí solo yescriba el mandato siguiente para confirmar que los servicios de DCE estándisponibles:dcecp -c cell ping

3. En el servidor del Directorio, cree las entradas necesarias para Policy Director.Asegúrese de que no haya espacios después de las comas en los DN. Consultela documentación de Policy Director para obtener información más detalladasobre las entradas necesarias. Como pauta general:v Defina el puerto Admin del Directorio e inicie las páginas Admin para crear

las entradas de administrador necesarias.v Utilice la consola de Gestión del Directorio para crear las entradas

adicionales necesarias.4. Instale Netseat y Policy Director. Asegúrese de que los componentes están

activados, pueden comunicarse entre sí y funcionan correctamente por sí solos.

En este punto, tanto Trust Authority como Policy Director están correctamenteconfigurados para compartir el mismo Directorio.

Desinstalar Trust AuthoritySi necesita desinstalar el producto Trust Authority, siga los procedimientos que seindican a continuación. Por ejemplo, si debe desinstalar una versión de TrustAuthority que ha definido para pruebas antes de instalar un sistema que prevéusar para la producción.

Hay procedimientos separados para las plataformas de servidor para las que seofrece soporte.

Desinstalar de AIXSi ha instalado los componentes de servidor Trust Authority en un sistema AIX,siga el procedimiento siguiente sólo si debe desinstalar el producto. Revise lasinstrucciones siguientes antes de eliminar el software de Trust Authority:v Si ha instalado los componentes en varias máquinas, debe repetir los pasos

siguientes para eliminar el software de cada máquina.v Si recibe mensajes de error sobre procesos que no existen, puede ignorarlos y

continuar. Este procedimiento proporciona instrucciones generales, puesto quelos procesos que se ejecutan realmente en el sistema pueden ser diferentes.

v En este procedimiento se da por supuesto que se utilizan los nombres de basede datos y las rutas de instalación predeterminados. Si su instalación esdiferente, adapte el procedimiento según convenga.

1. Escriba los mandatos siguientes para detener los componentes de TrustAuthority:su - cfgusercd /usr/lpp/iau/bin./Stop_TA.sh


Este mandato debe detener WebSphere Application Server, todas las instanciasde httpd asociadas con Trust Authority, el servidor RA, el servidor CA, elservidor de Auditoría y el servidor del Directorio.

2. Detenga todas las instancias de httpd restantes. En primer lugar, utilice elmandato ps para que se muestre una lista de los componentes httpd que estánen ejecución y después utilice el mandato kill para detenerlos. A continuaciónse muestran ejemplos de cómo utilizar estos mandatos junto con la salida delejemplo.$ ps -ef | grep httpdcfguser 22766 15664 0 15:57:00 pts/3 0:00 grep httpdcfguser 24440 27132 0 14:01:15 - 0:00 /usr/lpp/HTTPServer/sbin/httpd -f

/usr/lpp/iau/etc/httpd-CfgApplet.confcfguser 25752 27132 0 09:08:42 - 0:01 /usr/lpp/HTTPServer/sbin/httpd -f

/usr/lpp/iau/etc/httpd-CfgApplet.confroot 27132 1 0 Oct 09 - 0:12 /usr/lpp/HTTPServer/sbin/httpd -f

/usr/lpp/iau/etc/httpd-CfgApplet.conf$ suroot's Password: password# kill 24440 25752 27132

3. Utilice los mandatos ps y kill para identificar y después detener todos losprocesos slapd restantes que son propiedad de cfguser. Si en la tabla deprocesos no existe slapd, continúe con el paso siguiente.# ps -ef | grep slapdcfguser 13942 1 0 09:51:41 pts/1 0:00 /usr/bin/slapd -f /etc/slapd.confroot 24444 22768 0 15:58:48 pts/3 0:00 grep slapd# kill 13942

4. Utilice los mandatos ps y kill para identificar y después detener todos losprocesos que son propiedad de cfguser que no son procesos DB2 y shells.# ps -ef | grep cfguser | grep -v db2cfguser 15664 33842 0 15:54:58 pts/3 0:00 -kshcfguser 16270 31674 0 09:20:53 pts/1 0:00 -kshcfguser 20566 1 0 Oct 09 - 0:00 /usr/lpp/HTTPServer/sbin/siddcfguser 21978 1 0 13:59:16 pts/1 0:21 java com/ibm/servlet/engine

/outofproc/OutOfProcEngine -nativelogfile /usr/lpp/iau/etc/logs/oop_native.log-native log level 14 -linktype remote -port 8081 -queuename ibmappserve -stublib/usr/WebSphere/AppServer/plugins/aix/libosestub.so -serverlib /usr/WebSphere/AppServer/plugins/aix/libasouts.so

cfguser 11868 1 13 10:21:33 pts/1 0:18 java com/ibm/servlet/engine/outofproc/OutOfProcEngine -nativelogfile /usr/lpp/iau/pkrf/Domains/YourDomain/etc/logs/oop_native.log -nativeloglevel 14 -linktype local -port 8081 -queuenameibmappserve -stublib /usr/WebSphere/AppServer/plugins/aix/libosestub.so-serverlib /usr/WebSphere/AppServer/plugins/aix/libasouts.so

root 22414 22768 0 16:00:23 pts/3 0:00 grep cfgusercfguser 26686 13570 0 15:54:05 pts/3 0:00 -kshcfguser 28748 16270 0 09:22:26 pts/1 0:00 -kshcfguser 29830 16772 0 15:49:54 pts/1 0:00 -kshcfguser 33842 26686 0 15:54:36 pts/3 0:00 -ksh# kill 20566 21978

5. Como cfguser, elimine las bases de datos de Trust Authority. A continuación semuestran ejemplos de cómo utilizar mandatos DB2 para visualizar y eliminarlas bases de datos, junto con la salida del ejemplo.# su - cfguser$ db2(c) Copyright IBM Corporation 1993,1997Command Line Processor for DB2 SDK 5.2.0

You can issue database manager commands and SQL statements from the command prompt.For example:

db2 => connect to sampledb2 => bind sample.bnd


For general help, type: ?.For command help, type: ? command, where command can be the first few keywords

of a database manager command. For example:? CATALOG DATABASE for help on the CATALOG DATABASE command? CATALOG

for help on all of the CATALOG commands.

To exit db2 interactive mode, type QUIT at the command prompt.Outside interactive mode, all commands must be prefixed with 'db2'.To list the current command option settings, type LIST COMMAND OPTIONS.For more detailed help, refer to the Online Reference Manual.

db2 => list db directory

System Database Directory

Number of entries in the directory = 5

Database 1 entry:Database alias = CFGDBDatabase name = CFGDBLocal database directory = /local/cfguserDatabase release level = 8.00Comment =Directory entry type = IndirectCatalog node number = 0

Database 2 entry:Database alias = LDAPDBDatabase name = LDAPDBLocal database directory = /local/cfguserDatabase release level = 8.00Comment =Directory entry type = IndirectCatalog node number = 0

Database 3 entry:Database alias = IBMDBDatabase name = IBMDBLocal database directory = /dbfsibmDatabase release level = 8.00Comment =Directory entry type = IndirectCatalog node number = 0

Database 4 entry:Database alias = ADTDBDatabase name = ADTDBLocal database directory = /dbfsadtDatabase release level = 8.00Comment =Directory entry type = IndirectCatalog node number = 0

Database 5 entry:Database alias = PKRFDBDatabase name = PKRFDBLocal database directory = /dbfspkrfDatabase release level = 8.00Comment =Directory entry type = IndirectCatalog node number = 0

db2 => quitDB20000I The QUIT command completed successfully.$ db2 force application allDB20000I The FORCE APPLICATION command completed successfully.


DB21024I This command is asynchronous and may not be effective immediately.$ db2 terminateDB20000I The TERMINATE command completed successfully.$ db2 drop database cfgdbDB20000I The DROP DATABASE command completed successfully.$ db2 drop database ldapdbDB20000I The DROP DATABASE command completed successfully.$ db2 drop database ibmdbDB20000I The DROP DATABASE command completed successfully.$ db2 drop database adtdbDB20000I The DROP DATABASE command completed successfully.$ db2 drop database pkrfdb

6. Escriba los mandatos siguientes para detener DB2:$ db2stopSQL1064N DB2STOP processing was successful.

7. Como root, entre los mandatos siguientes para eliminar la instancia de base dedatos de cfguser:$ suroot's Password: password# /usr/lpp/db2_05_00/instance/db2idrop cfguserDBI1070I Program db2idrop completed successfully.

8. Utilice los mandatos ps y kill para identificar y después detener todos losshells que se están ejecutando como cfguser:# ps -ef | grep cfgusercfguser 15664 33842 0 15:54:58 pts/3 0:00 -kshcfguser 16270 31674 0 09:20:53 pts/1 0:00 -kshcfguser 20570 22768 0 16:02:40 pts/3 0:00 -kshcfguser 26686 13570 0 15:54:05 pts/3 0:00 -kshcfguser 28748 16270 0 09:22:26 pts/1 0:00 -kshcfguser 29830 16772 0 15:49:54 pts/1 0:00 -kshroot 30274 21276 1 16:07:03 pts/3 0:00 grep cfgusercfguser 33842 26686 0 15:54:36 pts/3 0:00 -ksh# kill 15664 16270 20570 26686 28748 3384

9. Escriba los mandatos siguientes para eliminar los archivos pkix y cfguser:rm -rf /local/cfguserrm -rf /usr/pkix

10. Escriba el mandato siguiente para desinstalar los conjuntos de archivos delprograma Trust Authority:installp -u 'ta.*' 'sway.*'

11. Escriba el mandato siguiente para eliminar los archivos de Trust Authority quese han creado:rm -rf /usr/lpp/iau

12. Escriba el mandato siguiente para cerrar y reiniciar la máquina AIX:shutdown -Fr

Desinstalar de Windows NTSi ha instalado los componentes de servidor Trust Authority en un sistemaWindows NT, siga el procedimiento siguiente sólo si debe desinstalar el producto.Revise las instrucciones siguientes antes de eliminar el software de Trust Authority:v Si ha instalado los componentes en varias máquinas, debe repetir los pasos

siguientes para eliminar el software de cada máquina.v Si recibe mensajes de error sobre procesos que no existen, puede ignorarlos y

continuar. Este procedimiento proporciona instrucciones generales, puesto quelos procesos que se ejecutan realmente en el sistema pueden ser diferentes.

v En este procedimiento se da por supuesto la unidad de instalaciónpredeterminada (c:), el nombre de usuario de configuración de Trust Authority


(cfguser) y los nombres de base de datos de Trust Authority. Si su instalación esdiferente, adapte el procedimiento de la forma adecuada.

1. Seleccione Inicio → Programas → IBM SecureWay Trust Authority → DetenerTrust Authority.

2. Después de asegurarse de que todos los componentes están detenidos,seleccione Inicio → Configuración → Panel de control.

3. Efectúe una doble pulsación en Agregar o quitar programas.4. Seleccione la carpeta de programa IBM SecureWay Trust Authority y pulse en

Agregar o quitar.5. Cuando se le solicite que confirme si desea eliminar el programa, pulse en Sí.6. Abra la ventana de mandatos de DB2: seleccione Inicio → Programas → DB2

para Windows NT → Ventana de mandatos.7. Escriba los mandatos siguientes para desinstalar las bases de datos y la

instancia de Trust Authority:set db2instance=cfguserdb2 force application alldb2 terminatedb2 drop db adtdbdb2 drop db pkrfdbdb2 drop db ibmdbdb2 drop db cfgdbdb2stopdb2idrop cfguserrd /s c:\cfguser

8. Escriba los mandatos siguientes para desinstalar la instancia del Directorio yla base de datos. Debe tener en cuenta que en este procedimiento se da porsupuesto que Trust Authority ha instalado y configurado el Directorio; si se haconfigurado Trust Authority para un Directorio existente, adapte los pasossegún convenga.

Nota: No necesita desinstalar el Directorio. Si desea volverlo a utilizar,asegúrese de especificar que utiliza un Directorio existente cuandovuelva a ejecutar el Asistente para la instalación para configurar TrustAuthority.

set db2instance=ldapInstdb2 force application alldb2 drop db ldapDBdb2stopdb2idrop ldapInstrd /s c:\ldapInst

9. Asegúrese de que se han eliminado todos los directorios que se han instaladopara Trust Authority. La ruta de instalación predeterminada es la siguiente:c:\Program Files\IBM\Trust Authority. Suprima manualmente todos losdirectorios de esta ruta.

10. Cierre y reinicie Windows NT.


Capítulo 4. Conceptos generales

Los temas de esta sección pueden ayudarle a comprender y utilizar IBMSecureWay Trust Authority. Proporcionan información general sobre lascaracterísticas de Trust Authority e información detallada acerca de loscomponentes que debe configurar al definir un sistema Trust Authority.

AuditarEn Trust Authority, el servidor de Auditoría ofrece soporte para las actividadessiguientes:v Recibe sucesos de auditoría de los clientes de auditoría como, por ejemplo,

Registration Authority y Certificate Authority.v Escribe los sucesos en un registro de auditoría que, generalmente, se almacena

en una base de datos DB2 (puede elegir almacenar el registro como un archivode datos). En el registro hay un informe por cada suceso de auditoría.

v Permite que los clientes de auditoría enmascaren sucesos de auditoríadeterminados. Aunque algunos sucesos se registran siempre, puede emplear elenmascaramiento para evitar que se informe sobre otros sucesos, lo que lepermite controlar el tamaño de los registros de auditoría y asegurar que seregistran los sucesos del entorno que le interesan.

v Calcula un código de autentificación de mensajes (MAC) para cada informe deauditoría. MAC ayuda a garantizar la integridad del contenido de la base dedatos. Por ejemplo, puede determinar si se ha modificado, falsificado osuprimido un informe desde que se ha registrado.

v Proporciona una herramienta para realizar comprobaciones de integridad de labase de datos de auditoría y de los informes de auditoría archivados.

v Proporciona una herramienta para archivar y firmar el estado actual de la basede datos de auditoría. Por motivos de seguridad, debe archivar la base de datosde auditoría y guardarla en una ubicación externa periódicamente. Archivar labase de datos también puede ofrecer ventajas de rendimiento y ahorrar espacioen disco.

Al ejecutar el Asistente para la instalación, debe identificar el nombre del sistemaprincipal del servidor de Auditoría, y también debe identificar un puerto libre enel que el servidor de Auditoría pueda escuchar las peticiones de los clientes.

Después de configurar el sistema, consulte la publicación Trust Authority: Guía deadministración del sistema para obtener más información sobre las tareas siguientes:v Ejecutar la herramienta Cambiar contraseña para cambiar la contraseña del

Administrador de auditoría. Este paso es muy importante para garantizar quesólo el servidor de Auditoría accede a los registros de auditoría y ejecuta lasherramientas de administración de auditoría.

v Ejecutar la herramienta AuditIntegrityCheck para comprobar la integridad de labase de datos de auditoría y los archivos de auditoría archivados.

v Ejecutar la herramienta AuditArchiveAndSign para archivar todos los registrosde la tabla de base de datos de auditoría actual en un archivo y después firmarel archivo.


/iaus.htm

/iaus.htm

Certificate AuthoritiesCertificate Authority (CA) actúa como una tercera parte fiable para asegurar quelos usuarios que participan en e-business pueden confiar entre sí. Garantiza laidentidad de los usuarios a través de los certificados que emite. Además deproporcionar la identidad del usuario, el certificado incluye una clave pública quepermite que el usuario verifique y cifre comunicaciones.

En este modelo de seguridad, la honradez de las partes depende de la confianzaque se tenga en la CA que emite el certificado. Para asegurar la integridad de uncertificado, CA lo firma digitalmente como parte de la creación. Cualquier intentode modificar un certificado invalida la firma y lo convierte en inutilizable.

En Trust Authority, CA da soporte a las actividades siguientes:v Para asegurar la exclusividad de un certificado, CA genera un número de serie

para cada certificado y para cada certificado renovado. Este número de serie esun identificador exclusivo que no se almacena como parte del nombre distintivo(DN) en el certificado.

v Para hacer un seguimiento de los certificados que emite, CA mantiene una listade los certificados emitidos (ICL). ICL almacena una copia segura de cadacertificado, indexada por número de serie. Generalmente, ICL se crea como unabase de datos DB2.

v Para hacer un seguimiento de los certificados revocados, CA crea y actualizalistas de revocación de certificados (CRL). Al igual que firma certificados, CAfirma digitalmente todas las CRL para garantizar su integridad.

v Para proteger los datos de falsificaciones, CA calcula un código deautentificación de mensajes (MAC) para cada informe escrito en la base dedatos. MAC ayuda a garantizar la integridad de la base de datos al permitir quese pueda detectar si se han modificado o suprimido los datos que contiene.

v Con el fin de proteger aún más la firma de CA, se puede integrar CA con elcoprocesador criptográfico PCI IBM SecureWay 4758. El 4758 utiliza una clavecriptográfica almacenada en hardware para cifrar y proteger la clave de firmasde CA.

v Para dar soporte para la auditoría y la recuperación de datos, CA generainformes de auditoría para varios sucesos de auditoría. El servidor de Auditoríaalmacena los informes en una base de datos DB2.

Para obtener más información sobre CA de Trust Authority, consulte la publicaciónTrust Authority: Guía de administración del sistema. Por ejemplo, esta publicacióncontiene instrucciones para ajustar opciones de ejecución para el servidor CA yprocedimientos para establecer modelos de fiabilidad de CA jerárquicos y concertificación cruzada.

Bases de datos DB2®

IBM SecureWay Trust Authority utiliza IBM DB2 Universal Database™ paraalmacenar datos de certificados, datos de registro y registros de auditoría. Antes deejecutar el Asistente para la instalación, debe asegurarse de que está disponible elnivel correcto de software DB2 en cada una de las máquinas en las que hainstalado un componente de servidor Trust Authority.

Como parte del proceso posterior a la instalación, Trust Authority crea la base dedatos de configuración y la llena con datos predeterminados. Durante la


/iaus.htm

instalación, crea bases de datos para los componentes de servidor. A continuación,se presenta una lista de los nombres de bases de datos predeterminados:v cfgdb, para la base de datos de configuraciónv ibmdb, para la base de datos de CAv pkrfdb, para la base de datos de registrov adtdb, para la base de datos de auditoríav ldapdb, para la base de datos del Directorio (a menos que se utilice uno

existente)

Si ha instalado algún componente en máquinas remotas, siga los procedimientosque se indican en el apartado “Definir servidores remotos” en la página 13 paraasegurarse de que las bases de datos están correctamente definidas.

DirectoriosIBM SecureWay Trust Authority utiliza IBM SecureWay Directory como depósitocentral para los certificados de claves públicas. A través de su integración con DB2,el Directorio puede dar soporte a millones de entradas de directorio. Tambiénpermite que una aplicación cliente como, por ejemplo, Trust Authority, lleve a caboel almacenamiento, la actualización y la recuperación de transacciones.

En Trust Authority, el servidor RA edita la información siguiente en el Directorio:v Certificados de claves públicas, que se utilizan para cifrar y autentificarv Los atributos asociados con un nombre distintivo (los roles y los privilegios del

propietario)v Listas de revocación de certificados que listan los números de serie de todos los

certificados revocadosv Información sobre la CA que firma los certificados, incluyendo las políticas de

certificados y de gestión

El Directorio proporciona los medios necesarios para incorporar y autentificar demodo seguro usuarios y recursos. El Directorio define un esquema del directoriocomún, es decir, las reglas mediante las que se puede almacenar o recuperar lainformación del Directorio. El esquema fuerza la uniformidad de los datos.También asegura que la información sobre un usuario o recurso determinado no sealmacene en varias ubicaciones o formatos en la red.

Al ejecutar el Asistente para la instalación, debe especificar información quepermita a los componentes de Trust Authority leer, almacenar y actualizar datosdel Directorio. Además de saber dónde está instalado el Directorio en la red, debecomprender:v El árbol del Directoriov El administrador root del Directoriov El administrador del Directorio

Para obtener más información sobre cómo interactúa Trust Authority con elDirectorio, consulte la publicación ″Using the SecureWay Directory With TrustAuthority″. Este documento está disponible en el sitio Web de IBM SecureWay TrustAuthority.

Árboles del DirectorioCada entrada del Directorio representa un único objeto (como, por ejemplo, unapersona, organización, recurso o dispositivo) que se identifica mediante un nombredistintivo inequívoco y exclusivo. El DN contiene un conjunto de atributos que

Capítulo 4. Conceptos generales 33



ayudan a identificar el objeto de forma exclusiva y definen sus privilegios. Losatributos pueden especificar el país de origen del objeto, la organización a la queestá afiliado y el nombre por el que se le conoce.

Todas las entradas del Directorio están organizadas de forma lógica en unaestructura jerárquica denominada el árbol del Directorio. Este árbol tiene una únicaraíz y un número ilimitado de nodos en cascada. Cada nodo corresponde a unaentrada del Directorio que ayuda a distinguir de forma exclusiva entradassubordinadas de otras entradas subordinadas del mismo nodo.

El esquema del directorio y el cliente que intenta acceder al Directorio controlan lasintaxis del DN. Cuando especifica DN para Trust Authority, puede escribirlos enlos campos de entrada de datos o utilizar una interfaz gráfica de usuario.v En el apartado “Especificar DN al escribirlos” en la página 14 encontrará las

instrucciones necesarias para especificar DN utilizando la sintaxis adecuada paraTrust Authority.

v En el apartado “Utilizar el editor de DN” en la página 16 encontrará lasinstrucciones necesarias para utilizar el Editor de nombres distintivos paradefinir DN. Utilizar este editor reduce la posibilidad de errores y le evita tenerque informarse detalladamente sobre la sintaxis de DN.

DN raízUn DN raíz es un agente del Directorio que tiene autorización para actualizar todoel árbol del Directorio. Se trata de una entidad configurada que, en realidad, noexiste en el árbol del Directorio.

Un DN raíz permite que Trust Authority determine la información básica sobre elservidor del Directorio. Por ejemplo, los atributos del DN raíz proporcionan lascaracterísticas siguientes sobre el Directorio:v El nivel del software del Directorio que está instaladov Las clases de objetos y los esquemas de atributos que conoce el servidorv Las operaciones y los controles para los que ofrece soporte el servidorv Los protocolos de seguridad para los que se ofrece soporte

Al ejecutar el Asistente para la instalación, debe especificar un DN y unacontraseña para la raíz del Directorio. Si utiliza un Directorio que ya estaba antesde instalar Trust Authority, debe especificar el DN raíz del Directorio existente y sucontraseña.

Administradores del DirectorioPuesto que CA de Trust Authority no enlaza directamente al Directorio, utiliza unagente, denominado administrador del Directorio, para gestionar el subárbol en elque se almacenan las entradas que firma CA. El administrador del Directorio, quees específico para una CA, tiene autorización para actualizar todas las entradassituadas por debajo o en el punto de entrada de CA en el árbol del Directorio. Esteprivilegio incluye la posibilidad de agregar, suprimir, cambiar, leer, buscar ycomparar entradas del Directorio.

Al ejecutar el Asistente para la instalación, debe especificar un DN y unacontraseña para el administrador del Directorio. Si utiliza un Directorio que yaestaba antes de instalar Trust Authority, debe especificar el DN del administradordel Directorio existente y su contraseña.


Conexiones CMP PKIXEl estándar de la infraestructura de clave pública para X.509 versión 3 (PKIX) se hadesarrollado a partir de la necesidad de proporcionar una infraestructura parafacilitar la interoperabilidad de aplicaciones e-business. Su ventaja principal es quepermite que las organizaciones dirijan transacciones electrónicas seguras sin teneren cuenta la plataforma operativa ni el paquete de software de la aplicación.

En Trust Authority, la aplicación Cliente proporciona la interfaz de usuario paramanejar peticiones que utilizan CMP (protocolo de gestión de certificados) PKIX.CMP PKIX utiliza TCP/IP como mecanismo de transporte primario. Al ejecutar elAsistente para la instalación, debe identificar un puerto libre en el que el servidorRA pueda escuchar las conexiones CMP PKIX.

Cuando un usuario remite una petición para obtener, renovar o revocar uncertificado, el Cliente comunica la petición a Registration Authority. Cuando seemite el certificado, la aplicación lo almacena en la Smart Card física o virtual delusuario. Compare esta propuesta con la que se proporciona en el apartado“Conexiones SSL” en la página 36, en la que un navegador Web comunica lapetición a RA para obtener el certificado para el usuario.

La aplicación Cliente de Trust Authority permite que los usuarios puedan exportarcertificados PKIX a aplicaciones existentes que conocen PKI o basadas en Internetcomo, por ejemplo, Microsoft Internet Explorer y Netscape Navigator. Estacaracterística proporciona soporte flexible y ampliable para varias aplicacionesaccesibles de Internet, tales como correo electrónico seguro.

Consulte la publicación Trust Authority: Guía del usuario para obtener másinformación sobre cómo utilizar la aplicación Cliente de Trust Authority paraobtener y gestionar certificados.

Dominios de registroCada sistema Trust Authority tiene un único dominio de registro. Dicho dominiodefine las políticas corporativas, las políticas de certificado y los recursosrelacionados con los procesos de registro y certificación de la organización. Losusuarios que desean acceder a un registro deben haberse registrado en el dominioque dirige el uso de dicho recurso.

Cuando se instala el software de servidor RA, contiene la infraestructura para elservicio de registro. Al ejecutar el Asistente para la instalación, elija un nombre dedominio, un idioma de dominio y una ruta de dominio para los procesos deregistro que se ejecutan en esta instalación de Trust Authority.

Después de guardar los datos de configuración y de iniciar el proceso deconfiguración, los programas de configuración crean el dominio de registro. Elsistema utiliza el nombre de dominio para formular el URL a través del que losusuarios acceden al servicio de registro.

Por ejemplo, si el servidor Web público se denomina MiServidorWebPúblico, y elnombre de dominio es MiDominio, debe utilizar el URL siguiente para acceder alsitio de registro:http://MiServidorWebPúblico:80/MiDominio/index.jsp

La página Java Server (index.jsp) de este URL se denomina Credential Central.Proporciona el punto de entrada para recopilar datos de inscripción, registrar


/iauu.htm

usuarios y emitir certificados que dan soporte a los propósitos definidos en losperfiles de certificados predeterminados. Como parte de la personalización delservicio de registro para este dominio, la organización puede haber cambiado elnombre de esta página y modificado los formularios de inscripción. Tambiénpuede haber agregado, eliminado o cambiado los perfiles de certificado.v En el apartado “Personalizar el dominio de registro” en la página 23 puede

encontrar un resumen de los procedimientos que puede utilizar la organizaciónpara personalizar el servicio de registro.

v En la publicación Trust Authority: Guía de personalización se proporcionainformación detallada sobre la personalización del proceso de registro para darsoporte para las políticas de la organización.

Conexiones SSLEl protocolo SSL (Secure Sockets Layer) utiliza firmas de clave pública, certificadosdigitales y cifrado para proporcionar un entorno privado y fiable para elintercambio de mensajes entre dos partes comunicantes, generalmente, un servidorWeb y un cliente del navegador.

SSL proporciona las ventajas siguientes a través de una conexión de socket TCP/IPestándar:v Privacidad. Todos los mensajes que se intercambian entre el cliente y el servidor

están cifrados y sólo las dos partes que participan en la transacción puedendescifrar los datos.

v Integridad. Una comprobación de integridad basada en una función de dato decontrol seguro garantiza la detección de datos dañados.

v Autenticidad. A través del intercambio de certificados digitales, el cliente puedeautentificar la identidad del servidor y, si se desea, el servidor puede autentificaral cliente.

v No rechazo. A través de las firmas digitales, se puede hacer un seguimiento detodas las comunicaciones a la entidad originadora, lo que permite probar laresponsabilidad en caso necesario.

En un sistema Trust Authority, existen puertos separados para manejar nivelesdiferentes de autentificación. Al ejecutar el Asistente para la instalación, debeidentificar un puerto seguro para procesar las conexiones SSL que requieren laautentificación del servidor. Para procesar las conexiones SSL que requieren laautentificación del cliente y del servidor debe identificar un segundo puertoseguro.

El servicio de registro incluye un conjunto de formularios de inscripción delnavegador que permiten que los usuarios puedan comunicar peticiones SSL uobtener certificados para utilizarlos en aplicaciones que permiten SSL. Por ejemplo,cuando un usuario remite una petición para renovar un certificado, el navegadorWeb del usuario comunica la petición a Registration Authority. Cuando se emite elnuevo certificado, RA lo almacena en el navegador del usuario. Compare estapropuesta con la que se proporciona en el apartado “Conexiones CMP PKIX” en lapágina 35, en la que la aplicación de Cliente comunica la petición e instala elcertificado para el usuario.

Consulte la publicación Trust Authority: Guía del usuario para obtener másinformación sobre la utilización de los formularios de inscripción del navegadorpara obtener, renovar y revocar certificados. En dicha publicación se tratan losdiferentes tipos de certificados que se pueden obtener utilizando los perfiles de


/iauu.htm

certificados predeterminados y se describe la finalidad prevista de cada tipo decertificado.

Servidores WebTrust Authority utiliza un modelo basado en tres servidores virtuales y tres puertospara procesar las peticiones de los clientes. Como parte de la configuración delsistema, debe identificar los nombres de los sistemas principales y los puertos queha configurado al instalar IBM HTTP Server.

El servidor Web público utiliza el protocolo HTTP y un único puerto para manejarlas peticiones que no son SSL. Dichas peticiones no requieren cifrado niautentificación.

Dos servidores Web seguros utilizan el protocolo HTTPS para manejar peticionesSSL. Para garantizar la confidencialidad, se cifran todas las comunicaciones entreun cliente y un servidor seguro. Además, la criptografía de clave pública inherenteen una conexión SSL permite autentificar al servidor al iniciar la sesión. En unsistema Trust Authority, también debe configurar uno de los puertos de servidorseguro para autentificar al cliente al iniciar la sesión.

En la tabla siguiente se resume esta arquitectura y los valores de puertopredeterminados. Dependiendo de cómo ha definido la organización elcortafuegos, quizá deba utilizar el mismo número de puerto, por ejemplo, 443, paraprocesar ambos tipos de peticiones seguras. En este caso, consulte la publicaciónTrust Authority: Cómo empezar para obtener información sobre cómo definir alias deIP para los distintos procesos de servidor Web. Debe definir estos alias y puertosantes de ejecutar el Asistente para la instalación de Trust Authority.

Protocolo SSLAutentificación del

servidorAutentificación del

clienteNúmero de

puerto

HTTP No No No 80

HTTPS Sí Sí No 443

HTTPS Sí Sí Sí 1443

Coprocesadores 4758Aunque es opcional, se aconseja utilizar el coprocesador criptográfico PCI IBMSecureWay 4758 para maximizar la seguridad de la clave de firmas de CA.

Como parte de la instalación del coprocesador 4758, el programa de configuracióngenera una clave maestra y la almacena en hardware. En un sistema TrustAuthority, el coprocesador puede utilizar dicha clave maestra y un algoritmo RSApara efectuar un triple cifrado de la clave de firmas de CA. Este paso proporcionauna capa de seguridad adicional contra los intentos de comprometer o, por elcontrario, descifrar la firma de CA.

Si decide utilizar el coprocesador 4758, debe instalarlo en la máquina en la queinstale la CA de Trust Authority. Al ejecutar el Asistente para la instalación, debeespecificar si desea que CA utilice el coprocesador para proteger la clave de firmas.

En muchos sistemas Trust Authority, la clave de CA no se almacena físicamentecon la clave maestra. Sin embargo, una opción de configuración le permite


/iaug.htm

modificar este valor predeterminado, una acción que no aconseja IBM. Si eligealmacenar la clave de CA en hardware, debe evaluar los riesgos siguientes:v Cuando se hace una copia de seguridad del coprocesador 4758, sólo se hace la

copia de seguridad de la clave maestra, no de las demás claves almacenadas enla tarjeta de hardware. Por consiguiente, si se daña la tarjeta o se produce algunaotra anomalía de hardware, se pierde la clave de firmas de CA.

v Si se pierde la clave de CA o está en peligro, debe desactivar CA y volverlo aactivar con una nueva clave. Cuando CA no está disponible, los usuarios nopueden utilizar los certificados que ha firmado CA, ya que no hay medio devalidarlos.

v Puesto que los certificados que se han firmado con la clave original de CA ya noson válidos, después de restablecerlo se deben emitir nuevos certificadosfirmados con la nueva clave de CA.

Para obtener más información sobre cómo instalar, configurar y clonar elcoprocesador 4758, consulte la publicación Using the SecureWay 4758 CoprocessorWith Trust Authority″. Este documento está disponible en el sitio Web de IBMSecureWay Trust Authority.




Capítulo 5. Referencia

Los temas de esta sección describen los valores que puede especificar al ejecutar elAsistente para la instalación de Trust Authority. Cada tema describe una ventanaseparada de la aplicación.

Los dos últimos temas proporcionan información general sobre la aplicaciónv “Alternativas del teclado para acciones del ratón” en la página 49 presenta

procedimientos alternativos para navegar en la aplicación.v “Consideraciones sobre el idioma nacional” en la página 50 proporciona

sugerencias para ejecutar la aplicación en un idioma distinto del inglés.

Opciones de inicioLa primera vez que inicia el Asistente para la instalación, el sistema le indica elnombre del sistema principal del servidor en el que está instalado el software deTrust Authority principal. Si no es el servidor en el que ha previsto llevar a cabo laconfiguración, pulse en Salir para salir del Asistente para la instalación. Si sale delAsistente para la instalación antes de finalizar la configuración, no se guardaningún dato.

¡Atención!Si ejecuta el Asistente para la instalación para una máquina que ya estáconfigurada, destruirá todos los datos existentes. No puede volver aconfigurar un sistema existente ni importar datos de configuración a unsistema configurado previamente.

Importar datos de una configuración existenteSeleccione esta opción sólo si:v Ha instalado y configurado previamente un sistema Trust Authorityv Desea utilizar los datos de configuración existentes como línea base para

configurar este sistemav Va a instalar este nuevo sistema en la misma plataforma de sistema

operativo que el sistema anterior

Si prevé instalar Trust Authority en varios servidores y definir unaconfiguración similar en todos, puede aprovechar esta característica.

Si marca este cuadro de selección, se le solicita que seleccione el nombredel archivo que contiene los datos de configuración que desea importar.

Opciones de importaciónSi ha especificado que desea importar datos de una configuración existente, debeespecificar opciones sobre los datos de configuración que desea importar.

Datos de configuraciónEl cuadro de lista contiene una lista de todos los archivos de datos deconfiguración que se han guardado durante las instalaciones anteriores de


Trust Authority y copiado en esta máquina. Desplace la lista y seleccione elarchivo que contiene los valores de configuración que desea aplicar a estainstalación.

El Asistente para la instalación copia los valores importados en la sesión dela aplicación actual. A medida que avanza a través de la aplicación, puedemantener los valores visualizados o cambiar de forma selectiva los valoresque se aplican a este sistema Trust Authority.

Nueva instalación o migración

v Pulse en Nueva si está configurando un nuevo sistema Trust Authority.Los programas de configuración crean una nueva base de datos deconfiguración para mantener los datos para esta nueva instancia de TrustAuthority.

v Pulse en Migración si va a migrar datos de configuración. Por ejemplo,debe elegir esta opción para migrar datos de una versión anterior deTrust Authority.Los programas de configuración copian la base de datos deconfiguración existente para utilizarla en esta instalación de TrustAuthority.

Opciones de contraseña de Trust AuthorityDebe especificar una contraseña para proteger los componentes del servidor TrustAuthority. Esta contraseña permite que los programas de configuración apliquenlos valores de configuración, creen las bases de datos necesarias y actualicen losarchivos de configuración del servidor.

Contraseña de Trust AuthorityLa contraseña que escribe aquí debe coincidir con la contraseña del usuariode configuración de Trust Authority.v Si ha instalado Trust Authority en AIX, este usuario se crea como cfguser

durante el proceso de configuración posterior a la instalación. Lacontraseña predeterminada es Secure99. Si cambia la contraseña despuésde crear esta cuenta, asegúrese de que especifica la nueva contraseñaaquí.

v Si ha instalado Trust Authority en Windows NT, debe haber creado esteusuario al configurar Windows antes de instalar el software de TrustAuthority. Se sugiere el valor de cfguser, pero puede cambiarlo en suinstalación. No hay ninguna contraseña predeterminada.

¡Atención!Una vez finalizado el proceso de configuración, debe utilizar lautilidad de Cambio de contraseñas para especificar contraseñas paravarios componentes del servidor fiable. Para usar esta utilidad, debeespecificar la misma contraseña de Trust Authority.

Confirmar contraseña de Trust AuthorityVuelva a escribir la misma contraseña.

Si ha especificado una contraseña que incluye una combinación decaracteres en mayúsculas y minúsculas, asegúrese de escribirlos igual aquí.


Opciones del servidor CA y de AuditoríaDebe especificar opciones que permitan que otros componentes de Trust Authorityse comuniquen con la autoridad de certificado (CA) de Trust Authority y elsubsistema de auditoría.

Los programas del servidor de Auditoría y CA de Trust Authority deben estar enla misma máquina. Dependiendo del modo en que la organización haya instaladoel software, pueden estar o no en la misma máquina que Registration Authority(RA) o el servidor del Directorio.

Nombre del sistema principal o dirección IPEscriba el nombre del sistema principal totalmente calificado de lamáquina en la que ha instalado los programas del servidor de Auditoría yCA. No puede escribir el nombre corto o el alias ni la dirección IP.

Es el nombre del sistema principal configurado para este servidor en DNS(servicio de nombres de dominio) TCP/IP de la red. El valorpredeterminado es el nombre del sistema principal del servidorRegistration Authority.

Número de puerto para el servidor CAIdentifique un puerto libre en el que CA de Trust Authority puedaescuchar las peticiones. El valor predeterminado es 1830.

Número de puerto para el servidor de AuditoríaIdentifique un puerto libre en el que el subsistema de Auditoría de TrustAuthority pueda escuchar las peticiones. El valor predeterminado es 59998.

DN para CAEste nombre distintivo identifica CA en el Directorio y permite que losusuarios puedan identificar fácilmente la CA que ha firmado un certificadoque han emitido. El valor predeterminado es:/C=US/O=Su Organización/OU=Trust Authority/CN=CA de Trust Authority.

Si está familiarizado con el formato de DN X.509v3, puede escribir un DNexclusivo para CA de Trust Authority. Consulte el apartado “EspecificarDN al escribirlos” en la página 14 para obtener más información sobrecómo especificar DN en el formato necesario para Trust Authority.

Para posibilitar que pueda especificar un DN exclusivo y eliminar losposibles errores, pulse en el icono del Editor de DN. Consulte el apartado“Utilizar el editor de DN” en la página 16 para obtener más informaciónsobre cómo crear DN con esta herramienta.

Opciones de claves de CADebe especificar un algoritmo de cifrado y un tamaño de clave para la claveprivada de firmas de CA. Si la organización ha instalado el coprocesadorcriptográfico PCI IBM SecureWay 4758, si lo desea, puede definir CA de modo queutilice hardware criptográfico para la protección de claves.

Algoritmo para firmar certificadosSeleccione un algoritmo de cifrado para la firma digital de CA de TrustAuthority. La firma de CA garantiza la autenticidad y la integridad de loscertificados y de las CRL (listas de revocación de certificados) que firmaCA.

En esta versión del producto, debe seleccionar sha–1WithRSAEncryption.

Capítulo 5. Referencia 41

Genera una firma al aplicar la función de datos de control SHA-1 al cálculode la firma definido en el estándar RSA (tal como lo han desarrolladoRivest, Shamir y Adleman). Con RSA, la verificación de la firma esrelativamente rápida. Sin embargo, la generación de la firma puede sermás lenta que cuando se utilizan otros algoritmos.

Tamaño de clave de certificadoLa seguridad de la firma digital de CA también es un factor del tamaño declave. Generalmente, el algoritmo de firmas se considera seguro cuando eltamaño de clave es suficientemente largo como para evitar un cálculoinverso. Mientras que los tamaños de clave más largos mejoran laseguridad, también aumentan el tiempo que se necesita para verificar lafirma cuando se establece una sesión segura.

En esta versión del producto, debe seleccionar 1024.

Usar hardware criptográficoSeleccione esta opción sólo si:v Ha instalado Trust Authority en una plataforma IBM AIXv Ha instalado previamente el coprocesador criptográfico 4758 en la

máquina del servidor de CA y de Auditoría de Trust Authorityv Desea utilizar el coprocesador 4758 para proteger la clave de CA

Si no utiliza el coprocesador 4758, las claves de CA se cifran y almacenanen un KeyStore seguro de la forma habitual. Sin embargo, el coprocesador4758 ofrece protección de hardware ampliada al utilizar la clave maestrapara cifrar la clave de firmas de CA.

Tamaño de clave RSASi ha especificado que desea usar hardware criptográfico, el coprocesador4758 utiliza automáticamente un algoritmo RSA para cifrar la clave defirmas de CA. Debe seleccionar un tamaño de clave para utilizarlo comoentrada para el cálculo. Un tamaño de clave mayor puede mejorar laseguridad, pero también aumenta el tiempo que se necesita para verificartransacciones seguras.

Elija uno de los valores siguientes. El valor predeterminado es 1024.v 512v 768v 1024v 2048

Almacenar la clave de firmas en hardwareSi ha especificado que desea usar hardware criptográfico, puede elegir sidesea que la clave de firmas de CA se almacene físicamente en hardware.

El valor predeterminado y recomendado es No.

¡Atención!Cuando se hace una copia de seguridad del coprocesador 4758, sólose hace la copia de seguridad de la clave maestra. Si el hardware estádañado, se pierde la clave de CA. Para resolverlo, debe proporcionaruna nueva clave para CA y, a continuación, volver a emitir loscertificados que se acaban de firmar para los titulares de certificadosexistentes.


Seleccione Sí sólo si comprende los riesgos que implica. En el apartado“Coprocesadores 4758” en la página 37 puede obtener más informaciónsobre los riesgos y las acciones correctoras.

Opciones del servidor del DirectorioDebe especificar las opciones que permitan que Trust Authority se comunique conel servidor de IBM SecureWay Directory. Por ejemplo, el servidor RA editacertificados y CRL (listas de revocación de certificados) en el Directorio. Lasaplicaciones deben leer la información del Directorio cuando evalúan la validez deun certificado.

Nombre del sistema principal o dirección IPEscriba el nombre totalmente calificado de la máquina en la que hainstalado el software del Directorio. No puede escribir el nombre corto o elalias ni la dirección IP.

Es el nombre del sistema principal que se ha configurado para esteservidor en DNS (servicio de nombres de dominio) TCP/IP de la red.Puede ser un servidor de Directorio que se utilice con otras aplicaciones, opuede ser uno que se haya configurado específicamente para utilizarlo conTrust Authority. El valor predeterminado es el nombre del sistemaprincipal del servidor Registration Authority.

Número de puerto para el DirectorioIdentifique un puerto libre en el que el servidor del Directorio puedaescuchar las peticiones. El valor predeterminado es 389.

Utilizar un SecureWay Directory existenteDe modo predeterminado, este cuadro de selección no está habilitado, loque indica que se desea crear una nueva base de datos del Directorio parautilizarla con Trust Authority.

Debe marcar este cuadro de selección si ha instalado previamenteSecureWay Directory y desea utilizarlo para almacenar información paraTrust Authority.

Si prevé utilizar Trust Authority con un Directorio existente, consulte lapublicación Using the SecureWay Directory With Trust Authority″. Estedocumento está disponible en el sitio Web de Trust Authority.

Opciones de la raíz del DirectorioDebe especificar un nombre distintivo (DN) y una contraseña para la raíz delDirectorio. La raíz es un agente del Directorio que tiene autorización paraadministrar todas las entradas del árbol del Directorio. También permite que TrustAuthority obtenga información sobre los protocolos y los estándares para los queofrece soporte el servidor del Directorio.

Nota: Si el servidor del Directorio ya estaba instalado antes de instalar TrustAuthority, quizá ya dispone de una raíz del Directorio configurada paraéste, en cuyo caso, especifique aquí el DN raíz existente y su contraseña.

DN raízSi está familiarizado con el formato de DN X.509v3, puede escribir un DNexclusivo para la raíz del Directorio. El valor predeterminado es:/C=US/O=Su Organización/OU=Trust Authority/CN=Ldap Root DN.



Consulte el apartado “Especificar DN al escribirlos” en la página 14 paraobtener más información sobre cómo especificar DN en el formatonecesario para Trust Authority.


Contraseña raízEscriba una contraseña para la raíz del Directorio.

La contraseña debe contener 8 caracteres. Para optimizar la seguridad,debe especificar una cadena que no signifique un nombre real. En lacontraseña también se debe utilizar una combinación de caracteres enmayúsculas y minúsculas, y debe incluir un número, como mínimo.

Si especifica la contraseña para un DN raíz existente, recuerde que TrustAuthority sólo valida los 8 primeros caracteres.

Confirmar la contraseña raízVuelva a escribir la misma contraseña.


Opciones del administrador del DirectorioDebe especificar un nombre distintivo (DN) y una contraseña para eladministrador del Directorio. Este agente crea y gestiona entrada del subárbol deCA en el Directorio. Trabaja con los servidores CA y RA para editar informaciónsobre los certificados y las listas de revocación de certificados.

Nota: Si el servidor del Directorio ya estaba instalado antes de instalar TrustAuthority, quizá ya dispone de un administrador de Directorio configuradopara éste, en cuyo caso, especifique aquí el DN existente y su contraseña.

DN del administrador del DirectorioSi está familiarizado con el formato de DN X.509v3, puede escribir un DNexclusivo para el administrador del Directorio de Trust Authority. El valorpredeterminado es:/C=US/O=Su Organización/OU=Trust Authority/CN=DirAdmin.

Consulte el apartado “Especificar DN al escribirlos” en la página 14 paraobtener más información sobre cómo especificar DN en el formatonecesario para Trust Authority.


Contraseña del administrador del DirectorioEscriba una contraseña para el administrador del Directorio.

La contraseña debe contener 8 caracteres. Para optimizar la seguridad,debe especificar una cadena que no signifique un nombre real. En lacontraseña también se debe utilizar una combinación de caracteres enmayúsculas y minúsculas, y debe incluir un número, como mínimo.


Si especifica la contraseña para un administrador de Directorio existente,recuerde que Trust Authority sólo valida los 8 primeros caracteres.

Confirmar la contraseña del administrador del DirectorioVuelva a escribir la misma contraseña.


Permitir que el administrador del Directorio actualice el DirectorioEl administrador del Directorio debe tener privilegios de actualización quele permitan agregar, eliminar y modificar entradas del Directorio.

De modo predeterminado, este cuadro de selección está habilitado, lo queindica que el administrador del Directorio puede actualizar el subárbol deCA en el Directorio. Normalmente, esta opción se debe dejar habilitada.

Opciones del dominio de registroDebe especificar la información sobre el dominio de registro para esta instalaciónde Trust Authority. El dominio de registro define las políticas corporativas, laspolíticas de certificado y los recursos específicos para una instancia determinadadel servicio de registro.

Nombre del dominio de registroEscriba el nombre que desea utilizar para identificar el dominio de registro.El valor predeterminado es YourDomain. Debe cambiarlo por un nombreque sea significativo para la organización o la finalidad para la que seutiliza servicio de registro.

El nombre de dominio debe cumplir los requisitos de las convencionespara nombres de directorio del sistema operativo (AIX o Windows NT).Específicamente, al determinar el nombre que desea utilizar, debe cumplirlas reglas siguientes:v Debe ser una cadena URL válida.v No puede contener más de 128 caracteres.v No puede contener espacios o tabuladores.v No puede contener los caracteres especiales siguientes: barra inclinada

invertida (\), barra inclinada (/), dos puntos (:), asterisco (*), símbolode interrogación (?), comillas (″), corchetes de ángulo (< >), barravertical (|), símbolo de libra (#), símbolo de dólar ($) o apóstrofe (’).

Idioma del dominio de registroSeleccione el idioma para este dominio de registro.

Cuando los usuarios remiten una petición de certificado, o cuando losadministradores acceden a RA Desktop, los datos se presentan y sealmacenan en el idioma seleccionado. El valor predeterminado es Inglés.

Elija uno de los valores siguientes:v Inglésv Francésv Alemánv Italianov Españolv Portugués de Brasilv Japonésv Coreanov Chino simplificado


v Chino tradicional

Directorio de instalación raízEscriba la ubicación del dominio de registro en el servidor RA. Debeespecificar la ruta totalmente calificada.

Durante la configuración, el sistema define el dominio de registro en estaubicación. Si personaliza el servicio de registro, personaliza los archivos deeste dominio. De este modo se asegura que las políticas definidas controlentodas las actividades de registro relacionadas con este dominio.v En AIX, el valor predeterminado para la ruta del dominio es la siguiente:

/usr/lpp/iau/pkrf/Domains

v En Windows NT, el valor predeterminado para la ruta del dominio es lasiguiente: c:\Program Files\IBM\Trust Authority\pkrf\Domains

Opciones del servidor Web públicoDebe especificar las opciones que permitan que los componentes de TrustAuthority se comuniquen con el servidor Web público. Este servidor maneja laspeticiones que no requieren cifrado ni autentificación.

Nombre del sistema principal o dirección IP para el servidor públicoEscriba el nombre del sistema principal totalmente calificado del servidorque se ha establecido para manejar las peticiones públicas. No puedeescribir el nombre corto o el alias ni la dirección IP.

Cuando instala el software de IBM HTTP Server, debe tener configurado elnombre de un sistema principal virtual para el programa del servidor quemaneja las peticiones que no son de SSL. El valor predeterminado es elnombre del sistema principal del servidor Registration Authority.

Número de puerto para el servidor públicoIdentifique un puerto libre en el que el servidor Web público puedaescuchar las peticiones. El valor predeterminado es 80.

Opciones de servidor Web seguroDebe especificar las opciones que permitan que los componentes de TrustAuthority se comuniquen con los servidores Web seguros. Estos servidoresmanejan conexiones SSL que requieren cifrado y autentificación. Debe configurarun servidor seguro para manejar las peticiones que también requieren laautentificación de cliente.v Configurar el servidor seguro que maneja las peticiones que no requieren

autentificación de cliente:

Nombre del sistema principal o dirección IPEscriba el nombre del sistema principal totalmente calificado delservidor que se ha establecido para manejar este tipo de peticiones. Nopuede escribir el nombre corto o el alias ni la dirección IP.

Cuando instala el software de IBM HTTP Server, debe tener configuradoel nombre de un sistema principal virtual para el programa del servidorque maneja las peticiones que no requieren la autentificación de cliente.El valor predeterminado es el nombre del sistema principal del servidorRegistration Authority.

Número de puertoIdentifique un puerto libre en el que el servidor Web seguro pueda


escuchar las peticiones SSL que requieren cifrado y autentificación deservidor, pero no autentificación de cliente. El valor predeterminado es443.

v Configurar el servidor seguro que maneja las peticiones que requierenautentificación de cliente:

Nombre del sistema principal o dirección IPEscriba el nombre del sistema principal totalmente calificado delservidor que se ha establecido para manejar este tipo de peticiones. Nopuede escribir el nombre corto o el alias ni la dirección IP.

Cuando instala el software de IBM HTTP Server, debe tener configuradoel nombre de un sistema principal virtual para el programa del servidorque maneja las peticiones de cliente autentificado. El valorpredeterminado es el nombre del sistema principal local del servidorRegistration Authority.

Número de puertoIdentifique un puerto libre en el que el servidor Web seguro puedaescuchar las peticiones SSL que requieren cifrado, autentificación deservidor y autentificación de cliente. El valor predeterminado es 1443.

Opciones de Cliente de Trust AuthorityDebe identificar un puerto en el servidor RA para procesar las peticiones de laaplicación Cliente de Trust Authority.

Estas conexiones como, por ejemplo, obtener, renovar o revocar certificados,utilizan el protocolo de gestión de certificados PKIX (PKIX CMP). Compárelo conlas peticiones que manejan los servidores Web seguros, que utilizan el protocoloHTTPS para establecer conexiones SSL.

Número de puerto para peticiones Cliente de Trust AuthorityIdentifique un puerto libre en el que el servidor RA de Trust Authoritypueda escuchar las peticiones PKIX de una aplicación Cliente. El valorpredeterminado es 829.

Resumen de la configuraciónDesplácese por las opciones de configuración que ha especificado para los distintoscomponentes de Trust Authority.

Si desea modificar algún valor antes de aplicarlos, pulse en Anterior hasta llegar alcomponente que desea cambiar.

Cuando esté preparado para continuar el proceso de configuración pulse enSiguiente.

Guardar los datos de configuraciónGuardar los datos de configuración proporciona una copia de seguridad de losvalores de configuración. También permite utilizar los valores como línea base paraconfigurar otro sistema Trust Authority.

Cuando inicia el Asistente para la instalación, se le pregunta si desea importardatos de una configuración anterior. Si es así, a continuación puede seleccionar elarchivo de datos de configuración que contiene los valores que desea importar.


Nombre de los datos de configuraciónEscriba un nombre de archivo para los datos de configuración. No necesitaescribir una extensión de archivo. El valor predeterminado esDatabaseBackup.

Utilice un nombre que le permita identificar este archivo como el quedesea importar al configurar otro sistema Trust Authority. El nombre puedecontener espacios, pero no puede contener símbolos ni caracteres que nopermita el sistema operativo.

Consulte el apartado “Importar datos de configuración” en la página 12para obtener más información sobre los pasos que debe llevar a cabo paraimportar los datos a un nuevo servidor de Trust Authority.

Para guardar los datos de configuración y continuar el proceso de configuración,pulse en Siguiente. Si especifica un nombre de archivo que no permite el sistemaoperativo, el Asistente para la instalación le solicita que lo corrija. Recuerde que sipulsa en Salir para salir del Asistente para la instalación antes de guardarexplícitamente los datos de configuración, no se guarda ninguno de los valores queha especificado.

Proceso de configuraciónDespués de guardar los datos de configuración para esta instalación de TrustAuthority, debe aplicar los valores al sistema. Al aplicar los valores, se inicia elprograma de configuración CfgStart. Durante este proceso, el sistema crea las basesde datos de los componentes y actualiza sus archivos de configuración.

Nota: Si ha instalado algún componente de servidor en una máquina remota, losprogramas de configuración se detienen y le solicitan que realice algunaacción en dicha máquina antes de continuar al paso siguiente del proceso deconfiguración. Consulte el apartado “Definir servidores remotos” en lapágina 13 para obtener más detalles.

Botón FinalizarCuando esté preparado para iniciar el proceso de configuración, pulse enFinalizar.

La columna Estado muestra el progreso del proceso de configuración. Amedida que se actualiza cada uno de los componentes, el indicador deestado cambia del modo siguiente:

Aún por configurarIndica que aún no se ha iniciado la configuración de estecomponente.

ConfigurandoIndica que se ha iniciado la configuración de este componente.

Configurado parcialmenteIndica que se necesita intervención manual como, por ejemplo,ejecutar un programa de configuración en una máquina remota.

ConfiguradoIndica que este componente se ha configurado satisfactoriamente.

Error Indica que no se ha podido configurar este componente. Visualicelos registros de mensajes para obtener más información sobre laanomalía.


Botón Visualizar mensajes avanzadosPara ver mensajes más detallados sobre el proceso de configuración, pulseen Visualizar mensajes avanzados.

La aplicación abre una ventana en la que se muestran los mensajes deregistro que han producido los programas de configuración.

Alternativas del teclado para acciones del ratónConsulte la tabla siguiente si desea utilizar el teclado para realizar selecciones en elAsistente para la instalación o en el Editor de nombres distintivos en lugar deutilizar un ratón.

Ubicación del cursor Pulsación de tecla

Trabajar con el Editor de DN

Seleccionar la etiqueta de otra ficha yvisualizar la ficha correspondiente.

La flecha hacia la derecha va a laficha siguiente. La flecha hacia laizquierda va a la ficha anterior.

Desplazarse en una ficha. AvPág desplaza hacia abajo. RePágdesplaza hacia arriba.

Salir del Editor de DN. Tecla Esc.

Desplazarse entre campos

Desplazarse al campo siguiente desde lamayor parte de los campos.

Tabulador.

Desplazarse al campo anterior desde lamayor parte de los campos.

Mayúsculas-Tabulador.

Trabajar con elementos en un cuadro combinado

Desplazarse por la lista de elementos. La flecha hacia abajo desplazahacia abajo. La flecha hacia arribadesplaza hacia arriba.

Desplazarse al campo siguiente. Elelemento visualizado actualmentepermanece seleccionado.

Tabulador.

Trabajar con los elementos de un cuadro de lista

Desplazarse por la lista de elementos. La flecha hacia abajo desplazahacia abajo. La flecha hacia arribadesplaza hacia arriba.

Desplazarse al campo siguiente. Elelemento visualizado actualmentepermanece seleccionado.

Tabulador.

Trabajar con un conjunto de botones de selección (un conjunto se considera un campo)

Desplazarse por los botones de selección yseleccionar uno.

La flecha hacia abajo y la flechahacia la derecha desplazan a laselección siguiente. La flecha haciaarriba y la flecha hacia la izquierdadesplazan a la selección anterior.

Salir y desplazarse al campo siguiente. Tabulador.

Trabajar con cuadros de selección

Seleccionar o deseleccionar el cuadro deselección.

Barra espaciadora.

Salir y desplazarse al campo siguiente. Tabulador.


Ubicación del cursor Pulsación de tecla

Trabajar con botones de mandato

Desplazarse a un botón de mandato. Tabulador.

Ejecutar el mandato. Barra espaciadora y tecla Intro.

Consideraciones sobre el idioma nacionalEn este apartado se resumen las diferencias entre la versión inglesa de TrustAuthority y los demás idiomas para los que ofrece soporte. Si ejecuta el Asistentepara la instalación utilizando una versión no inglesa de Trust Authority, revise esteapartado para obtener más detalles sobre las diferencias de visualización y procesode la información en su idioma.

Especificar el idioma del dominio de registroSi prevé ejecutar el servicio de registro en un idioma que no sea el inglés,asegúrese de seleccionar el idioma cuando especifique las opciones deconfiguración para el dominio de registro. El valor predeterminado es elinglés. Si no cambia este valor durante la configuración, posteriormente nolo podrá cambiar si no vuelve a instalar el producto.

Utilizar caracteres ASCIIAl especificar rutas de directorio o nombres distintivos (DN) para CA, elAdministrador del Directorio o la raíz del Directorio, debe utilizarcaracteres ASCII. No puede escribir nombres de ruta o DN que contengande doble byte o que no sean ASCII como, por ejemplo, japonés o chino.

Ejecutar la aplicación en chino tradicionalSi utiliza una versión CHT de Netscape Navigator o NetscapeCommunicator, versión 4.05 o versión 4.5, la página de índices delAsistente para la instalación se puede devolver en inglés, en lugar de enchino tradicional. Debe asegurarse de que la preferencia de idioma que haestablecido en el navegador es para utilizar chino tradicional como idiomaprincipal, no inglés.

Si sigue experimentando problemas, puede deberse a una limitación delnavegador causada por el modo en que se localiza Netscape en laorganización. Como alternativa, intente utilizar Microsoft Internet Explorerpara cargar el Asistente para la instalación.


Notas

Esta publicación ha sido creada para productos y servicios ofrecidos en los EE.UU.Podría ser que IBM no comercializase los productos, servicios o características a losque haga referencia este documento en otros países. Póngase en contacto con surepresentante local de IBM para obtener información relativa a productos yservicios que están disponibles actualmente en su área. Las referencias a productos,programas o servicios de IBM no implican ni afirman que sólo se puedan utilizardichos productos, programas o servicios de IBM. En su lugar, se puede utilizarcualquier producto, programa o servicio funcionalmente equivalente que noinfrinja ninguno de los derechos de propiedad intelectual de IBM. Sin embargo, laevaluación y la verificación del funcionamiento con otros productos, exceptoaquellos designados expresamente por IBM, son responsabilidad del usuario.

IBM puede tener patentes o solicitudes de patente pendientes que se refieran altema de este documento. La posesión de este documento no confiere ningunalicencia sobre dichas patentes. Puede enviar sus consultas sobre licencias porescrito a:

IBM Director of LicensingIBM CorporationNorth Castle DriveArmonk, NY 10504-1785EE.UU.

Para consultas sobre las licencias relacionadas con información sobre doble byte(DBCS), póngase en contacto con el Departamento de propiedad intelectual de IBMde su país o envíe sus consultas por escrito a:

IBM World Trade Asia Corporation Licensing2-31 Roppongi 3-chome, Minato-kuTokio 106, Japón

El siguiente párrafo no es aplicable al Reino Unido o ningún otro país en el quedichas provisiones sean incompatibles con la legislación local:INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONAESTA PUBLICACIÓN “TAL CUAL” SIN GARANTÍAS DE NINGÚN TIPO, NIEXPLÍCITAS NI IMPLÍCITAS, INCLUYENDO, PERO NO LIMITÁNDOSE AELLAS, LAS GARANTÍAS IMPLÍCITAS DE FALTA DE CUMPLIMIENTO,COMERCIALIZACIÓN O ADECUACIÓN PARA UN OBJETIVO CONCRETO.Algunos estados no permiten la declaración de limitación de responsabilidad de lasgarantías explícitas o implícitas en determinadas transacciones, en cuyo caso estadeclaración no le será aplicable.

Es posible que esta publicación contenga imprecisiones técnicas o errorestipográficos. Periódicamente se efectúan cambios en la información aquí contenida;dichos cambios se incorporarán en nuevas ediciones de la publicación. IBM puedeefectuar mejoras y/o cambios en el(los) producto(s) y/o programa(s) descritos enesta información en cualquier momento y sin previo aviso.

Las referencias en esta información a sitios Web que no sean de IBM seproporcionan solamente a efectos prácticos y no significa que IBM apruebe dichos


sitios Web. El material en ellos contenido no forma parte del material de esteproducto de IBM y el uso que haga de dichos sitios Web es su propiaresponsabilidad.

IBM podrá utilizar o distribuir la información que Vd. suministre de cualquierforma que crea apropiada sin incurrir en ninguna obligación con Vd.

Los titulares de licencias de este programa que deseen disponer de informaciónsobre él con el propósito de permitir: (i) el intercambio de información entreprogramas creados independientemente y otros programas (incluyendo este) y (ii)el uso compartido de la información que se haya intercambiado, deberán ponerseen contacto con:

IBMCorporationDepartment LZKS11400 Burnet RoadAustin, TX 78758EE.UU.

Dicha información podría estar disponible, sujeta a los términos y condicionesapropiados, incluyendo en algunos casos el pago de una cantidad.

IBM proporciona el programa bajo licencia descrito en este documento y todo elmaterial bajo licencia para él disponible dentro de los términos del Acuerdo delCliente de IBM, Acuerdo de Licencia de Programa Internacional de IBM, ocualquier acuerdo equivalente entre nosotros.

Los datos de rendimiento aquí contenidos fueron determinados en un entornocontrolado. Por lo tanto, los resultados obtenidos en otros entornos operativospueden variar significativamente. Algunas mediciones pueden haberse realizado ensistemas en nivel de desarrollo y no existe garantía de que dichas mediciones seanlas mismas que las obtenidas en sistemas disponibles a nivel general. Además,algunas mediciones pueden haber sido estimadas mediante extrapolación. Losresultados reales pueden variar. Los usuarios de este documento deberían verificarlos datos que correspondan con su entorno específico.

La información relacionada con los productos que no son de IBM fue obtenida delos distribuidores de dichos productos, de sus comunicados publicados o de otrasfuentes disponibles públicamente. IBM no ha probado dichos productos y nopuede confirmar la exactitud de su rendimiento, compatibilidad o cualquier otraafirmación relacionada con los productos que no sean de IBM. Las preguntas sobrelas posibilidades de los productos que no sean de IBM deberán dirigirse a losdistribuidor de dichos productos.

Las declaraciones relativas a las tendencias o propósitos futuros de IBM estánsujetas a cambio o retirada sin previo aviso, y sólo representan metas y objetivos.

Los precios de IBM mostrados son precios sugeridos de venta al por menor deIBM, son actuales y están sujetos a cambio sin previo aviso. Los precios delconcesionario pueden variar.

Marcas registradas y marcas de servicioLos términos siguientes son marcas registradas de International Business MachinesCorporation en los Estados Unidos y/o en otros países:


IBMAIXAIX/6000DB2DB2 Universal DatabaseSecureWayWebSphere

El programa Trust Authority (″el Programa″) incluye partes de DB2 UniversalDatabase. Tiene autorización para instalar y utilizar estos componentes sólo juntocon la utilización del Programa bajo licencia para el almacenamiento y la gestiónde datos que utiliza o genera el Programa, no para otros propósitos de gestión dedatos. Por ejemplo, esta licencia no incluye conexiones de entrada a la base dedatos desde otras aplicaciones para consultas o generación de informes. Tieneautorización para instalar y utilizar estos componentes sólo con y en la mismamáquina que el Programa.

El Programa incluye partes de IBM WebSphere Application Server e IBM HTTPWeb Server (″Servidores IBM″). No tiene autorización para instalar o utilizar losServidores IBM como no sea con respecto a la utilización del Programa bajolicencia. Los Servidores IBM deben residir en la misma máquina que el Programa,y no tiene autorización para instalar o utilizar los Servidores IBM separados delPrograma.

Java y todos los logotipos y las marcas registradas basados en Java son marcasregistradas de Sun Microsystems, Inc. en los Estados Unidos y/o en otros países.

Microsoft, Windows, Windows NT y el logotipo de Windows son marcasregistradas de Microsoft Corporation en los Estados Unidos y/o en otros países.

UNIX es una marca registrada en los Estados Unidos y/o en otros países conlicencia exclusivamente a través de X/Open Company Limited.

Pentium es una marca registradas de Intel Corporation en los Estados Unidos y/oen otros países.

Este programa contiene software de seguridad de RSA Data Security,Inc. Copyright © 1994 RSA Data Security, Inc. Reservados todos los derechos.

Este programa contiene software STL (Standard Template Library) deHewlett-Packard Company. Copyright (c) 1994.v Por el presente se concede gratuitamente permiso para utilizar, copiar, modificar,

distribuir y vender este software y su documentación para cualquier propósito,siempre que el aviso de copyright anterior aparezca en todas las copias, y quetanto el aviso de copyright como este aviso de permiso aparezcan en ladocumentación de soporte. Hewlett-Packard Company no efectúa ningunadeclaración sobre la adecuación de este software para propósito alguno. Seproporciona ″tal cual″, sin garantías explícitas o implícitas.

Este programa contiene software STL (Standard Template Library) de SiliconGraphics Computer Systems, Inc. Copyright (c) 1996–1999.v Por el presente se concede gratuitamente permiso para utilizar, copiar, modificar,

distribuir y vender este software y su documentación para cualquier propósito,siempre que el aviso de copyright anterior aparezca en todas las copias, y que

Notas 53

tanto el aviso de copyright como este aviso de permiso aparezcan en ladocumentación de soporte. Silicon Graphics no efectúa ninguna declaraciónsobre la adecuación de este software para propósito alguno. Se proporciona ″talcual″, sin garantías explícitas o implícitas.

Otros nombres de empresas, productos y servicios pueden ser marcas registradas omarcas de servicio de otras empresas.


Información relacionada

La documentación del producto Trust Authority está disponible en formato PDF(Portable Document Format) y en formato HTML en el CD-ROM IBM SecureWayTrust Authority Documentation. Las versiones HTML de algunas publicaciones seinstalan con el producto y se puede acceder a ellas desde las interfaces de usuario.

Tenga en cuenta que el producto puede haber cambiado desde la producción de laspublicaciones. Para obtener la información más actualizada del producto, así comoinformación sobre cómo acceder a la publicación en el idioma y el formato de suelección, consulte el archivo Readme. La versión más reciente del archivo Readmeestá disponible en el sitio Web de IBM SecureWay Trust Authority siguiente:http://www.tivoli.com/support

La biblioteca de Trust Authority incluye la documentación siguiente:

Cómo empezarEsta publicación proporciona una visión general del producto. Lista losrequisitos del producto, incluye los procedimientos de instalación yproporciona información sobre cómo acceder a la ayuda en líneadisponible para cada componente del producto. Esta publicación estáimpresa y se distribuye con el producto.

Guía de administración del sistemaEsta publicación contiene información general sobre la administración delsistema Trust Authority. Incluye procedimientos para iniciar y detener losservidores, cambiar contraseñas, administrar los componentes del servidor,realizar auditorías y ejecutar comprobaciones de integridad de los datos.

Guía de configuraciónEsta publicación contiene información sobre cómo utilizar el Asistente parala instalación para configurar un sistema Trust Authority. Puede acceder ala versión HTML de esta guía mientras visualiza la ayuda en línea para elasistente.

Guía de Registration Authority DesktopEsta publicación contiene información sobre cómo utilizar RA Desktoppara administrar certificados durante todo el ciclo de vida de loscertificados. Puede acceder a la versión HTML de esta guía mientrasvisualiza la ayuda en línea para el escritorio.

Guía del usuarioEsta publicación contiene información sobre cómo obtener y gestionarcertificados. Proporciona procedimientos para utilizar los formularios deinscripción del navegador Trust Authority para solicitar, renovar y revocarcertificados. También trata acerca de cómo registrarse previamente para loscertificados compatibles con PKIX, y cómo utilizar el Cliente de TrustAuthority para gestionar dichos certificados. Puede acceder a la versiónHTML de esta guía mientras visualiza la ayuda en línea para el Cliente.

Guía de personalizaciónEsta publicación muestra cómo personalizar el servicio de registro de TrustAuthority para ofrecer soporte para los objetivos de registro y certificaciónde las políticas corporativas. Por ejemplo, puede obtener información sobrecómo personalizar páginas HTML y Java Server, cartas de notificación,perfiles de certificado y salidas de política.



/iaug.htm

/iaus.htm

/iauc.htm

/iaud.htm

/iauu.htm

/iaut.htm

El sitio Web de Trust Authority incluye otros documentos que le pueden ayudar ainstalar, administrar y utilizar Trust Authority. Por ejemplo, puede obtenerinstrucciones adicionales sobre el esquema del Directorio y aprender a integrarTrust Authority con el coprocesador criptográfico PCI IBM SecureWay 4758.



Glosario

Este glosario define los términos y abreviaturasde este manual que pueden ser nuevos o pocofamiliares y los términos que pueden ser deinterés. Incluye los términos y definiciones de:v IBM Dictionary of Computing, New York:

McGraw-Hill, 1994.v American National Standard Dictionary for

Information Systems, ANSI X3.172–1990,American National Standards Institute (ANSI),1990.

v Answers to Frequently Asked Questions,Version 3.0, California: RSA Data Security, Inc.,1998.

AAbstract Syntax Notation One (ASN.1). Notación ITUque se utiliza para definir la sintaxis de los datos deinformación. Define un número de tipos de datossimple y especifica una notación para identificar estostipos y especificar valores de estos tipos. Estasnotaciones se pueden aplicar siempre que sea necesariodefinir la sintaxis abstracta de información sin limitar lamanera en que se codificará la información para sertransmitida.

ACL. Lista de control de accesos.

American National Standard Code for InformationInterchange (ASCII). Código estándar que se utilizapara intercambiar información a través de sistemas deproceso de datos, sistemas de comunicación de datos yel equipo asociado. El conjunto ASCII utiliza unconjunto de caracteres que consta de caracterescodificados de 7 bits (8 bits incluido un bit de controlde paridad). El juego de caracteres consta de caracteresde control y caracteres gráficos.

American National Standards Institute (ANSI).Organización que establece los procedimientos por losque las organizaciones acreditadas crean y mantienenestándares voluntarios del sector en los EE.UU. Estáformado por fabricantes, consumidores y grupos deinterés general.

ANSI. American National Standards Institute(Instituto americano de normas nacionales).

anti-rechazo. Utilización de una clave privada digitalpara evitar que el firmante de un documento nieguefalsamente haberlo firmado.

aplicación. Programa de sistema que está escrito enJava y se ejecuta en un navegador de Web compatiblecon Java. También conocido como subprograma Java.

aplicación de Java. Programa autónomo escrito enlenguaje Java. Se ejecuta fuera del contexto de unnavegador de Web.

ASCII. American National Standard Code forInformation Interchange (Código americano estándarpara intercambio de información).

ASN.1. Abstract Syntax Notation One (Notación desintaxis abstracta 1).

atributo de inscripción. Variable de inscripcióncontenida en un formulario de inscripción. Su valorrefleja la información que se consigue durante lainscripción. El valor del atributo de inscripciónpermanece sin cambios durante el ciclo de vida de lacredencial.

autentificación. Proceso de determinación fiable de laidentidad de un comunicante.

autentificación de usuario. Proceso para validar queel autor de un mensaje es el propietario identificable ylegítimo del mensaje. También valida que se estárealizando una comunicación con el usuario final o elsistema que se esperaba.

autoridad de certificado (CA). Software responsablede seguir las políticas de seguridad de una empresa yasignar identidades electrónicas seguras en forma decertificados. La CA procesa las solicitudes de los RApara emitir, renovar y revocar certificados. La CAinteractúa con el RA para emitir certificados y las CRLen Directorio. Véase también certificado digital.

autorización. Permiso para acceder a un recurso.

Bbase de datos de registro. Contiene información sobrelas solicitudes de certificados y los certificadosemitidos. La base de datos almacena los datos deinscripción y todos los cambios en los datos delcertificado durante su ciclo de vida. La base de datospuede actualizarse mediante los procesos de la RA y lassalidas de política o por los administradores de la RA.

Basic Encoding Rules (BER). Reglas especificadas enla ISO 8825 para codificar unidades de datos descritasen la notación de sintaxis abstracta 1 (ASN.1). Lasreglas especifican la técnica de codificación, no lasintaxis abstracta.


BER. Basic Encoding Rules (Normas básicas decodificación).

Biblioteca de almacenamientos de datos (DL).Módulo que proporciona acceso a almacenamientos dedatos permanentes de certificados, CRL, claves,políticas y otros objetos relacionados con la seguridad.

CCA. Autoridad de certificado.

CAST-64. Algoritmo de cifrado de bloques que utilizaun tamaño de bloques de 64 bits y una clave de 6 bits.Fue diseñado por Carlisle Adams y Stafford Tavares.

CA superior. CA que se encuentra en la parte superiorde la jerarquía CA de la PKI.

CCA. Arquitectura criptográfica común de IBM.

CDSA. Arquitectura de seguridad de datos común.

certificación. El proceso durante el cual una terceraparte de confianza emite una credencial electrónica queasegura una identidad individual, empresarial uorganizativa.

certificación cruzada. Modelo de fiabilidad medianteel cual una CA emite un certificado a otra CA, el cualcontiene la clave pública asociada a la clave de firmaprivada. Un certificado con certificación cruzadapermite que los sistemas cliente o entidades finales deun dominio administrativo se comuniquen de formasegura con sistemas cliente o entidades finales de otrodominio.

certificación digital. Véase certificación.

certificado de CA. Certificado aceptado por elnavegador de Web, bajo solicitud, procedente de unaCA que no reconoce. El navegador puede utilizar estecertificado para autentificar las comunicaciones con losservidores que mantienen los certificados emitidos pordicha CA.

certificado del servidor. Certificado digital, emitidopor una CA para permitir a un servidor Web querealice transacciones basadas en SSL. Cuando unnavegador conecta con el servidor mediante elprotocolo SSL, el servidor envía al navegador su clavepública. Esto permite la autentificación de la identidaddel servidor. También permite enviar informacióncifrada al servidor. Véase también certificado de CA,certificado digital y certificado del navegador.

certificado de navegador. Certificado digital quetambién recibe el nombre de certificado para el cliente.Lo emite un CA a través de un servidor web habilitadopara SSL. Las claves de un archivo cifrado permitenque el poseedor del certificado cifre, descifre y firmedatos. Normalmente el navegador de Web almacenaestas claves. Ciertas aplicaciones permiten el

almacenamiento de las claves en tarjetas inteligentes uotros medios. Véase también certificado digital.

certificado de sitio. Parecido a un certificado de CA,pero sólo es válido para un sitio Web específico. Véasetambién certificado de CA.

certificado digital. Credencial electrónica que emitióuna tercera parte fiable a una persona o entidad. Cadacertificado se firma con la clave privada del CA.Asegura una identidad individual, empresarial uorganizativa.

En función del rol del CA, el certificado puedeconfirmar a la autoridad del portador con el fin de quepueda realizar actividades de e-business en Internet. Encierto modo, un certificado digital desempeña un papelparecido al de un permiso de conducir o un diplomamédico. Certifica que el titular de la clave privadacorrespondiente tiene autoridad para realizardeterminadas actividades de e-business.

Un certificado contiene información sobre la entidadque certifica, ya sea una persona, máquina o programadel sistema. Incluye la clave pública certificada dedicha entidad.

certificado X.509. Estándar de certificación muyaceptado que fue diseñado para soportar la gestión ydistribución segura de certificados firmadosdigitalmente a través de redes Internet seguras. Elcertificado X.509 define las estructuras de datos quealojan a los procedimientos que distribuyen las clavespúblicas firmadas digitalmente por terceros deconfianza.

certificado X.509 Versión 3. El certificado X.509v3tiene estructuras de datos ampliadas para almacenar yrecuperar información de la aplicación de certificados,información de distribución del certificado, informaciónde revocación del certificado, información de políticas yfirmas digitales.

Los procesos de X.509v3 crean las CRL con indicaciónde la hora para todos los certificados. Cada vez que seutiliza un certificado, las posibilidades del X.509v3permiten que la aplicación compruebe la validez delcertificado. También permite a la aplicación determinarsi el certificado está en la CRL. Las CRL de X.509v3pueden crearse para un período de validez específico.También pueden basarse en otras circunstancias quepueden invalidar un certificado. Por ejemplo, si unempleado deja la organización, su certificado sepondría en la CRL.

CGI. Interfaz de pasarela común.

cifrado/descifrado. Utilización de la clave pública deldestinatario para cifrar los datos que van dirigidos aesta persona, quien posteriormente utiliza la claveprivada del par para descifrar los datos.


cifrar. Codificar información para que sólo la personaque disponga del código de descifrado apropiadopueda obtener la información original mediante sudescifrado.

clase. En diseño o programación orientada a objetos,grupo de objetos que comparten una definición comúny que, además, comparten propiedades, operaciones ycomportamientos comunes.

clase de Java. Unidad del código de programa Java.

clave. Cantidad utilizada en criptografía para cifrar ydescifrar información.

clave privada. Clave dentro de un par de clavespública/privada que está disponible solamente para supropietario. Permite al propietario recibir unatransacción privada o crear una firma digital. Los datosfirmados con una clave privada sólo pueden verificarsecon la clave pública correspondiente. Compárese conclave pública. Véase también par de clavespública/privada.

clave pública. Clave dentro de un par de clavespública/privada que está disponible para otros. Permitedirigir una transacción hacia el propietario de la clave overificar la firma digital. Los datos cifrados con la clavepública sólo pueden descifrarse con la clave privadacorrespondiente. Compárese con clave privada. Véasetambién par de claves pública/privada.

clave simétrica. Clave que puede utilizarse para cifrary descifrar. Véase también criptografía simétrica.

cliente. (1) Unidad funcional que recibe servicioscompartidos de un servidor. (2) Equipo o programa quesolicita un servicio de otro equipo o programa.

cliente de auditoría. Cualquier cliente del sistema queenvía eventos de auditoría al servidor de auditoría deTrust Authority. Antes de que el cliente de auditoríaenvíe un evento al servidor de auditoría, establece unaconexión con el servidor de auditoría. Después deestablecerse la conexión, el cliente utiliza la bibliotecacliente del subsistema de auditoría para entregar loseventos al servidor de auditoría.

cliente/servidor. Modelo del proceso distribuido en elque un programa de un sitio envía una solicitud a unprograma de otro sitio y espera una respuesta. Elprograma solicitante se denomina cliente; el quecontesta se denomina servidor.

CMP PKIX. Protocolo de gestión de certificados PKIX.

codificación base64. Medio habitual de transportardatos binarios con MIME.

código de autentificación de mensajes (MAC). Clavesecreta compartida entre el emisor y el receptor. Elemisor autentifica y el receptor verifica. En Trust

Authority, las claves MAC se almacenan en KeyStorede CA y de los componentes de auditoría.

código de byte. Código independiente del tipo demáquina generado por el compilador Java y ejecutadopor el intérprete de Java.

Common Cryptographic Architecture (CCA).Software de IBM que permite un enfoque coherente dela criptografía en las principales plataformas desistemas de IBM. Soporta software de aplicaciones queesté escrito en una gran variedad de lenguajes deprogramación. El software de aplicaciones puede llamara servicios CCA para llevar a cabo un gran número defunciones criptográficas, incluido el cifrado DES y RSA.

Common Data Security Architecture (CDSA ). Unainiciativa para definir un enfoque completo del serviciode seguridad y de la gestión de la seguridad en lasaplicaciones de seguridad basadas en equipos. Fuediseñada por Intel para que las plataformas de equiposfueran más seguras para las aplicaciones.

Common Gateway Interface (CGI). Método estándarde transmisión de información entre páginas web yservidores web.

comprobación de integridad. Comprobación de losregistros de auditoría resultantes de las transaccionescon componentes externos.

comunicación asíncrona. Modo de comunicación queno necesita que el emisor y el receptor estén presentesal mismo tiempo.

condensación de mensajes. Función irreversible quetoma un mensaje de tamaño arbitrario y produce unacantidad de longitud fija. MD5 es un ejemplo dealgoritmo de condensación de mensajes.

confidencialidad. La no divulgación a partes noautorizadas.

Coprocesador criptográfico PCI 4758. Tarjeta bus PCIcriptográfica programable con protección antemanipulaciones indebidas que ofrece los procesoscriptográficos DES y RSA de alto rendimiento. Losprocesos criptográficos ocurren dentro de unalojamiento seguro de la tarjeta. La tarjeta cumple losrequisitos rigurosos del estándar FIPS PUB 140-1 denivel 4. El software puede ejecutarse dentro delalojamiento seguro. Por ejemplo, el proceso detransacciones de tarjetas de crédito puede utilizar elestándar SET.

cortafuegos. Pasarela entre redes que restringe el flujode información entre redes. Normalmente, el propósitode un cortafuegos es proteger las redes internas del usono autorizado procedente del exterior.

credencial. Información confidencial utilizada parademostrar la identidad propia en un intercambio deautentificación. En entornos de redes de sistemas, el

Glosario 59

tipo más común de credenciales es un certificado queuna CA ha creado y firmado.

criptografía. En seguridad de equipos, principios,medios y métodos para cifrar texto plano y descifrartexto cifrado.

criptografía asimétrica. Criptografía que utiliza clavesasimétricas diferentes para cifrar y descifrar datos.Cada usuario recibe un par de claves: una clave públicaaccesible para todos y una clave privada que sóloconoce el usuario. Se puede producir una transacciónsegura cuando la clave pública y la correspondienteclave privada coinciden, lo que permite descifrar de latransacción. Este proceso también se conoce comocriptografía de par clave. Compárese con criptografíasimétrica.

criptografía simétrica. Criptografía que utiliza lamisma clave para cifrar y descifrar. Su seguridad resideen la clave; si se revela la clave cualquiera podría cifrary descifrar los mensajes. La comunicación es secretasólo mientras la clave siga siendo secreta. Compárese concriptografía asimétrica.

criptográfico. Relativo a la transformación de datospar ocultar su significado.

CRL. Lista de revocación de certificados.

Ddaemon. Programa que realiza tareas de formasubordinada. Se llama implícitamente a este programacuando se produce una determina condición querequiera su ayuda. El usuario no tiene que estarpendiente del daemon porque el sistema lo utilizaautomáticamente. Un daemon puede estar siempreactivo o el sistema puede regenerarlo a intervalos.

El término (pronunciado demon) procede de lamitología. Posteriormente, se racionalizó comoacrónimo DAEMON: Disk And Execution MONitor.

Data Encryption Standard (DES). Cifra de un bloquede cifrado definida y endosada por el gobierno de losEE.UU. en 1977 como estándar oficial. IBM lodesarrolló originalmente. DES se ha estudiadoampliamente desde su publicación y es un sistemacriptográfico bien conocido y muy utilizado.

DES es un sistema criptográfico simétrico. Cuando seutiliza para comunicaciones, tanto el emisor como elreceptor deben conocer la misma clave secreta. Estaclave se utiliza para cifrar y descifrar el mensaje. DEStambién se puede utilizar para el cifrado por un solousuario, por ejemplo, para almacenar archivos en undisco duro en formato de cifrado. DES tiene un tamañode bloques de 64 bits y utiliza una clave de 56 bitsdurante el cifrado. Originalmente se diseñó para suimplementación en el hardware. El NIST ha seguidocertificando DES como el estándar de cifrado delgobierno de los EE.UU. cada cinco años.

DEK. Document encrypting key (Clave de cifrado dedocumentos).

DER. Distinguished Encoding Rules (Normasdistintivas de codificación).

DES. Data Encryption Standard (Estándar de cifradode datos).

descifrado. Para deshacer el proceso de cifrado.

destino. Origen de datos designado o seleccionado.

DES triple. Algoritmo simétrico que cifra el textoplano tres veces. Aunque existen muchas formas dehacerlo, la forma más segura de cifrado múltiple es laDES triple con tres claves distintas.

Diffie-Hellman. Método para establecer una clavecompartida en un medio inseguro, que recibe elnombre de sus inventores (Diffie y Hellman).

Digital Signature Algorithm (DSA). Algoritmo declave pública que se utiliza como parte del Estándar defirma digital. No puede utilizarse para cifrado, sólopara firmas digitales.

Directorio. Estructura jerárquica utilizada comodepósito global para la información relacionada con lascomunicaciones (como el correo electrónico o losintercambios criptográficos). El Directorio almacenaelementos específicos esenciales para la estructura PKI,incluyendo claves públicas, certificados y listas derevocación de certificados.

Los datos del Directorio están organizadosjerárquicamente en forma de árbol, con la raíz en laparte superior del árbol. A menudo, las organizacionesde nivel más alto representan a individuos, gobiernos ocompañías. Los usuarios y los dispositivos estánrepresentados normalmente como hojas de cada árbol.Estos usuarios, organizaciones, localidades, países ydispositivos tienen cada uno su propia entrada. Cadaentrada consta de atributos de tipo. Éstos proporcionaninformación sobre el objeto que representa la entrada.

Cada entrada del Directorio está enlazada con unnombre distintivo (DN). Éste es único cuando laentrada incluye un atributo que se sabe que es único enel objeto del mundo real. Considere el siguiente DN deejemplo. En él, el país (C) es US, la organización (O) esIBM, la unidad organizativa (OU) es Trust y el nombrecomún (CN) es CA1.

C=US/O=IBM/OU=Trust/CN=CA1

Distinguished Encoding Rules (DER). Establecerestricciones sobre las BER. Las DER seleccionan unsolo tipo de codificación de todos los que permiten lanormas de codificación, eliminando todas las opcionesdel emisor.

DL. Biblioteca de almacenamiento de datos.

DN. nombre distintivo.


document encrypting key (DEK). Normalmente, unaclave de cifrado/descifrado simétrico, como DES.

dominio. Véase dominio de seguridad y dominio deregistro.

dominio de confianza. Conjunto de entidades cuyoscertificados han sido certificados por la misma CA.

dominio de registro. Conjunto de recursos, políticas yopciones de configuración relacionados con procesosespecíficos de registro de certificados. El nombre deldominio es un subconjunto del URL utilizado paraejecutar recursos de registro.

dominio de seguridad. Grupo (compañía, grupo detrabajo o equipo, docente o gubernamental) cuyoscertificados han sido certificados por la misma CA. Losusuarios con certificados firmados por una CA puedenconfiar en la identidad de otro usuario que tiene uncertificado firmado por la misma CA.

DSA. Algoritmo de firma digital.

Ee-business. Transacciones comerciales sobre redes ymediante sistemas. Incluye la compra y venta demercancías y servicios. También incluye la transferenciade fondos mediante comunicaciones digitales.

e-commerce. Transacciones de empresa a empresa.Incluye la compra y venta de mercancías y servicios(con clientes, distribuidores, proveedores y otros) enInternet. Es un elemento principal del e-business.

entidad final. Sujeto de un certificado que no sea unaCA.

escucha PKIX. Servidor HTTP público que utiliza undominio de registro particular para escuchar lassolicitudes procedentes de la aplicación Cliente TrustAuthority.

esquema. En lo que se refiere al Directorio, estructurainterna que define las relaciones entre los diferentestipos de objeto.

estructura interna. Véase esquema.

extensión de certificado. Dispositivo opcional delformato de certificado X.509v3 que se proporciona paraincluir campos adicionales en el certificado. Hayextensiones estándar y extensiones definidas por elusuario. Las extensiones estándar sirvan para variosfines, incluida la información de política y claves,atributos del sujeto y del emisor, y limitaciones de laruta de certificación.

extranet. Derivada de Internet que utiliza unatecnología similar. Las empresas están empezando aaplicar publicaciones Web, comercio electrónico,

transmisión de mensajes y groupware en diferentesgrupos de clientes, business partners y personalinterno.

Ffirma digital. Mensaje codificado añadido a undocumento o datos que garantiza la identidad delremitente.

Una firma digital puede proporcionar mayor nivel deseguridad que una firma física. La razón por la queesto ocurre es que una firma digital no es un nombrecifrado o una serie de códigos de identificaciónsencillos. En realidad es un resumen cifrado delmensaje que se firma. De este modo, al añadir unafirma digital a un mensaje se proporciona un mediosólido de identificación del emisor. Solamente la clavedel emisor puede crear la firma. También se asegura elcontenido del mensaje que se firma (el resumen cifradodel mensaje debe coincidir con el contenido delmensaje o la firma no será válida). De este modo, unafirma digital no puede copiarse de un mensaje yaplicarse en otro, porque el resumen, o dato de control,no coincidiría. Cualquier modificación del mensajefirmado también invalidaría la firma.

firma en código. Técnica para firmar programasejecutables mediante firmas digitales. El proceso defirma en código se ha diseñado para mejorar lafiabilidad del software que se distribuye en Internet.

firmar. Utilizar la clave privada para generar unafirma. La firma es un medio de probar que se esresponsable del mensaje que se firma y que se aprueba.

firma/verificación. Firmar es utilizar una clave digitalprivada para generar una firma. Verificar es utilizar laclave pública correspondiente para verificar la firma.

FTP. Protocolo de transferencia de archivos.

Hhipertexto. Texto que contiene palabras, frases ográficos sobre los que el lector puede pulsar con elratón para recuperar y visualizar otro documento. Estaspalabras, frases o gráficos se les conoce comohiperenlaces. Recuperarlos se conoce como enlazar conellos.

historial de acciones. Eventos acumulados durante elciclo de vida de una credencial.

HTML. Lenguaje de marcas de hipertexto.

HTTP. Protocolo de transferencia de hipertexto.

Glosario 61

IICL. Issued certificate list (Lista de certificadosemitidos).

ID de solicitud. Valor ASCII de 24 a 32 caracteres queidentifica de forma exclusiva una solicitud decertificado de la RA. Este valor se puede utilizar en latransacción de solicitud del certificado para recuperarel estado de la solicitud o el certificado con el que estáasociada.

ID de transacción. Identificador proporcionado por laRA como respuesta a una solicitud de inscripción deprerregistro. Permite al usuario que ejecuta laaplicación Cliente Trust Authority obtener el certificadoprevio a la aprobación.

identificador de objeto (OID). Valor de datosasignado administrativamente del tipo definido en lanotación de sintaxis abstracta 1 (ASN.1).

IETF (Internet Engineering Task Force). Grupocentrado en la técnica y desarrollo de protocolos paraInternet. Representa una comunidad internacional dediseñadores, operadores, proveedores e investigadoresde redes. El IETF se ocupa del desarrollo de laarquitectura de Internet y de su uso fluido.

IniEditor. En Trust Authority, herramienta utilizadapara editar los archivos de configuración.

inscripción. En Trust Authority, proceso para obtenerlas credenciales a utilizar en Internet. La inscripciónengloba la solicitud, renovación y revocación decertificados.

instancia. En DB2, una instancia es un entorno lógicode gestión de base de datos para almacenar datos yejecutar aplicaciones. Permite definir un conjuntocomún de parámetros de configuración para bases dedatos múltiples.

integridad. Un sistema protege la integridad de losdatos si evita modificaciones no autorizadas (adiferencia de proteger la confidencialidad de los datos,que evita su revelación no autorizada).

Interconexión de sistemas abiertos (OSI). Nombresde los estándares para redes de sistemas aprobados porla ISO.

International Standards Organization (ISO).Organización internacional que tiene como cometidodesarrollar y publicar estándares para todo, desdecopas de vino hasta protocolos de redes de sistemas.

International Telecommunication Union (ITU).Organismo internacional en el que los gobiernos y elsector privado coordinan las redes y servicios detelecomunicaciones globales. Es el editor principal deinformación sobre tecnología de comunicaciones,normativas y estándares.

Internet. Grupo de redes a nivel mundial queproporciona conexión electrónica entre sistemas. Estoles permite comunicarse entre ellos mediantedispositivos de software como son el correo electrónicoy los navegadores Web. Por ejemplo, algunasuniversidades forman una red que a su vez enlaza conotras redes similares para formar Internet.

intervalo de publicación de la CRL. Definido en elarchivo de configuración de CA, intervalo de tiempoentre publicaciones periódicas de la CRL al Directorio.

intranet. Red interna de una empresa que suele residirdetrás de los cortafuegos. Es una derivada de Internet yutiliza una tecnología similar. Técnicamente, unaintranet es una mera extensión de Internet. HTML yHTTP son algunos de los elementos que comparten.

IPSec. Estándar de Seguridad del protocolo deInternet desarrollado por el IETF. IPSec es un protocolode capa de red, diseñado para proporcionar servicioscriptográficos de seguridad que soportan de formaflexible combinaciones de autentificación, integridad,control de acceso y confidencialidad. Por sus fuertescaracterísticas de autentificación, ha sido adoptado pormuchos proveedores de productos VPN como protocolopara establecer conexiones seguras punto a punto enInternet.

ISO. International Standards Organization(Organización internacional de estándares).

ITU. International Telecommunication Union (Unióninternacional de telecomunicaciones).

JJava. Conjunto de tecnologías de sistemas sinplataforma específica preparado para redes ydesarrollado por Sun Microsystems, Incorporated. Elentorno Java consta del sistema operativo Java,máquinas virtuales para distintas plataformas, lenguajede programación Java orientado a objetos y variasbibliotecas de clases.

jerarquía de CA. En Trust Authority, estructura fiableen la que en la parte superior de la estructura seencuentra un CA y por debajo se encuentran cuatroniveles de CA subordinados. Cuando los usuarios oservidores se registran con un CA, reciben uncertificado firmado por esa CA y heredan la jerarquíade certificación de los niveles superiores.

KKeyStore. DL para almacenar credenciales delcomponente Trust Authority, como claves y certificados,en formato cifrado.


LLDAP. Lightweight Directory Access Protocol(Protocolo sencillo de acceso al Directorio).

Lenguaje de marcas de hipertexto (HTML). Lenguajede marcas para codificar las páginas Web. Está basadoen SGML.

lenguaje Java. Lenguaje de programación,desarrollado por Sun Microsystems, diseñadoespecíficamente para ser utilizado en subprogramas yaplicaciones agente.

Lightweight Directory Access Protocol (LDAP ).Protocolo utilizado para acceder al Directorio.

lista de certificados emitidos (ICL). Lista completa decertificados que han sido emitidos y su estado actual.Los certificados están indexados por número de serie yestado. La CA mantiene esta lista y se almacena en labase de datos de la CA.

lista de control de accesos (ACL). Mecanismo paralimitar el uso de un recurso específico a los usuariosautorizados.

lista de revocación de certificados (CRL). Lista confirma digital y con indicación de la hora que contienelos certificados que la autoridad de certificados harevocado. Los certificados de esta lista se debenconsiderar no aceptables. Véase también certificadodigital.

Localizador uniforme de recursos (URL). Esquemapara direccionar recursos en Internet. El URL especificael protocolo, el nombre del sistema principal o ladirección IP. También incluye el número de puerto, laruta y los detalles de los recursos que son necesariospara acceder a un recurso desde una máquina concreta.

MMAC. Código de autentificación de mensajes.

Máquina virtual de Java (JVM). Parte del entorno deejecución de Java responsable de interpretar los códigosde bytes.

MD2. Función de control numérico de condensaciónde mensajes de 128 bits, diseñada por Ron Rivest. Seutiliza con MD5 en los protocolos PEM.

MD4. Función de control numérico de condensaciónde mensajes de 128 bits, diseñada por Ron Rivest. Esvarias veces más rápida que MD2.

MD5. Función de control de numérico decondensación de mensajes de sentido único, diseñadapor Ron Rivest. Es una versión mejorada de MD4. MD5procesa el texto de entrada en bloques de 512 bits,divididos en 16 sub-bloques de 32 bits. La salida del

algoritmo es un conjunto de cuatro bloques de 32 bits,que se concatenan para formar un único valor decontrol de 128 bits. También se utiliza junto con MD2en los protocolos PEM.

MIME (Multipurpose Internet Mail Extensions).Conjunto de especificaciones disponible libremente quepermite intercambiar texto entre idiomas con juegos decaracteres diferentes. También permite el correoelectrónico multimedia entre gran variedad de sistemasdiferentes que utilizan los estándares de correo Internet.Por ejemplo, los mensajes de correo electrónico puedencontener juegos de caracteres distintos a US-ASCII,texto enriquecido, imágenes y sonidos.

modelo de confianza. Convenio de estructuración quedetermina la forma en que las autoridades decertificado certifican a otras autoridades de certificado.

modulus. En el sistema criptográfico de clave públicaRSA, producto (n) de dos números primos grandes: p yq. El mejor tamaño para un modulus RA depende delas necesidades de cada uno. Cuanto más grande sea elmodulus, mayor será la seguridad. Los tamaños declave recomendados actualmente por los laboratoriosRSA dependen del uso al que vaya destinada la clave:768 bits para uso personal, 1024 bits para usocorporativo y 2048 bits para claves de gran valor comoel par de claves de una CA. Se supone que una clavede 768 bits será segura como mínimo hasta el año 2004.

NNational Security Agency (NSA). Organismo deseguridad oficial del gobierno de los EE.UU.

navegador. Véase navegador de Web.

navegador de Web. Software cliente que se ejecuta enun PC de sobremesa y que permite al usuario navegarpor la World Wide Web o las páginas HTML locales. Esuna herramienta de recuperación que proporcionaacceso universal a la inmensa colección de materialhipermedia disponible en la Web e Internet. Algunosnavegadores pueden mostrar texto y gráficos, peroalgunos sólo pueden mostrar texto. La mayoría de losnavegadores pueden manejar las principales formas decomunicación de Internet, como las transacciones FTP.

NIST. Instituto nacional de estándares y tecnología,conocido anteriormente como NBS (Agencia nacionalde estándares). Promueve los estándares abiertos y lainteroperatividad en el sector de sistemas.

NLS. Soporte del idioma nacional.

nombre distintivo (DN). Nombre exclusivo de unaentrada de datos que se almacena en el Directorio. ElDN identifica de forma exclusiva la posición de unaentrada en la estructura jerárquica del Directorio.

Glosario 63

nonce. Cadena de caracteres enviada por un servidoro aplicación solicitando la autorización del usuario. Elusuario al que se le solicita autentificación firma elnonce con una clave privada. La clave pública delusuario y el nonce firmado se envían de vuelta alservidor o aplicación que solicitó la autentificación.Luego el servidor intenta descifrar el nonce firmadocon la clave pública del usuario. Si el nonce descifradoes el mismo que el original que se envió, el usuario esautentificado.

NSA. Agencia nacional de seguridad.

Oobjeto. En diseño o programación orientada a objetos,abstracción que encapsula los datos y las operacionesasociadas con dichos datos. Véase también clase.

objetos de proceso empresarial. Código utilizado pararealizar una determinada operación de registro, comopor ejemplo la comprobación del estado de unasolicitud de inscripción o la verificación de que se haenviado una clave pública.

ODBC. Open Database Connectivity (Conectividadabierta de bases de datos).

Open Database Connectivity (ODBC). Estándar paraacceder a diferentes sistemas de base de datos.

OSI. Open Systems Interconnect (Interconexión desistemas abiertos).

Ppar de claves. Claves correspondientes que se utilizanen criptografía asimétrica. Una clave se utiliza paracifrar y otra para descifrar.

par de claves pública/privada. El par de clavespública/privada es parte del concepto de la criptografíade par de claves (introducido en 1976 por Diffie yHellman para resolver el problema de la gestión declaves). Según su concepto, cada persona obtiene unpar de claves, denominadas clave pública y claveprivada. La clave pública de cada persona se hacepública mientras que la clave privada se mantiene ensecreto. El emisor y el receptor no necesitan compartirla información secreta: en todas las comunicaciones sólose ven involucradas las claves públicas, y la claveprivada nunca se transmite o comparte. Ya no esnecesario confiar en que algún canal de comunicaciónsea seguro contra escuchas o revelaciones. El únicorequisito es que las claves públicas deben estarasociadas con sus usuarios mediante una relación defiabilidad (autentificadas), como por ejemplo en undirectorio fiable. Cualquiera puede enviar un mensajeconfidencial utilizando información pública. Sinembargo, el mensaje solamente puede descifrarse conuna clave privada, que está en posesión exclusiva del

destinatario al que va dirigido. Es más, la criptografíade par de claves no sólo puede utilizarse por motivosde privacidad (cifrado), sino también paraautentificación (firmas digitales).

pasarela. Unidad funcional que permite que las redeso aplicaciones incompatibles se comuniquen entre ellas.

PEM. Privacy-enhanced mail (Correo con privacidadmejorada).

perfil de certificado. Conjunto de características quedefinen el tipo de certificado que se desea (por ejemplocertificados SSL o certificados IPSec). El perfil facilita lagestión de las especificaciones y el registro de loscertificados. El emisor puede cambiar los nombres delos perfiles y especificar las características delcertificado que desee, por ejemplo el período devalidez, el uso de claves, las limitaciones DN, etcétera.

pista de auditoría. Datos, en forma de ruta lógica, queenlazan una secuencia de eventos. El pista de auditoríapermite rastrear transacciones o el historial de unaactividad determinada.

PKCS. Public Key Cryptography Standards(Estándares de criptografía de clave pública).

PKCS núm. 7. Véase Public key CryptographyStandards (Estándares de criptografía de clave pública).





PKI. Public key infrastructure (Infraestructura de clavepública).

PKIX. PKI basada en X.509v3.

plantilla de proceso empresarial. Conjunto de objetosde proceso empresarial que se ejecutan en un ordenespecificado.

políticas de certificados. Conjunto de reglas connombre que indican si se puede aplicar un certificado auna clase determinada de aplicaciones que tienenrequisitos de seguridad comunes. Por ejemplo, unapolítica de certificado puede indicar si un cierto tipo decertificación determinada permite que un usuariorealice transacciones de productos en un rango deprecios dado.

prerregistro. En Trust Authority, proceso que permitea un usuario, normalmente un administrador, inscribira otros usuarios. Si la solicitud es aprobada, la RA


proporciona la información que más tarde permite alusuario obtener el certificado utilizando la aplicaciónCliente Trust Authority.

privacidad. Protección contra la revelación noautorizada de datos.

privacy-enhanced mail (PEM). Estándar de correo conprivacidad mejorada de Internet, que adoptó el Comitéde arquitectura Internet (IAB) para proporcionar correoelectrónico seguro en Internet. Los protocolos PEMproporcionan cifrado, autentificación integridad demensajes y gestión de claves.

proceso de registro. En Trust Authority, pasos paravalidar a un usuario, para que el usuario y la clavepública del usuario puedan ser certificados y participenen transacciones. Este proceso puede ser local o basadoen la Web, y puede estar automatizado o seradministrado por interacción de los usuarios.

protocolo. Convenio acordado para lascomunicaciones entre sistemas.

Protocolo de control de transmisión/protocolo Internet(TCP/IP ). Conjunto de protocolos de comunicacionesque soportan funciones de conectividad de igual aigual para redes locales y de área amplia.

protocolo de gestión de certificados PKIX (CMP).Protocolo que permite las conexiones con aplicacionescompatibles PKIX. El CMP PKIX utiliza TCP/IP comomecanismo de transporte principal, pero existe unacapa de abstracción sobre sockets. Esto permitesoportar transportes de sondeos adicionales.

Protocolo de transferencia de archivos (FTP).Protocolo cliente/servidor de Internet que se utilizapara transferir archivos entre sistemas.

Protocolo de transferencia de hipertexto (HTTP).Protocolo cliente/servidor de Internet para transferirarchivos de hipertexto a través de la Web.

Protocolo simple de transferencia de correo (SMTP).Protocolo que transfiere correo electrónico por Internet.

Public Key Cryptography Standards (PKCS).Estándares informales entre proveedores desarrolladosen 1991 por los laboratorios RSA con representantes devarios proveedores de sistemas. Estos estándarescontemplan el cifrado RSA, el acuerdo Diffie-Hellman,el cifrado basado en contraseña, la sintaxis decertificados extendidos, la sintaxis de mensajescriptográficos, la sintaxis de la información de claveprivada y la sintaxis de certificación.

v PKCS núm. 1 describe un método para cifrar losdatos utilizando el sistema criptográfico de clavepública RSA. Se utiliza para la construcción defirmas digitales y sobres digitales.

v PKCS núm. 7 especifica el formato general de losmensajes criptográficos.

v PKCS núm. 10 especifica la sintaxis estándar de lassolicitudes de certificación.

v PKCS núm. 11 define la interfaz de programaciónindependiente de la tecnología para los dispositivoscriptográficos como las tarjetas inteligentes.

v PKCS núm. 12 especifica el formato portátil paraalmacenar o transportar las claves privadas,certificados, secretos varios, etc. del usuario.

public key infrastructure (PKI). Estándar para elsoftware de seguridad que está basado en lacriptografía de clave pública. PKI es un sistema decertificados digitales, autoridades de certificado,autoridades de registro, servicios de gestión decertificados y servicios de directorio distribuido. Seutiliza para verificar la identidad y autoridad de cadauna de las partes involucradas en cualquier transacciónrealizada en Internet. En estas transacciones podríanestar involucradas operaciones en las que se requiere laverificación de identidad. Por ejemplo, podríanconfirmar el origen de los intentos de propuesta, losautores de los mensajes de correo electrónico o lastransacciones financieras.

PKI logra todo esto haciendo que las claves de cifradopúblicas y los certificados estén disponibles para laautentificación a través de un individuo u organizaciónválido. Proporciona directorios en línea que contienenlas claves de cifrado públicas y los certificados que seutilizan para verificar los certificados digitales,credenciales y firmas digitales.

PKI ofrece un medio para obtener respuestas rápidas yeficaces a las consultas de verificación y las solicitudesde claves de cifrado públicas. También avisa al sistemade los peligros potenciales de seguridad y mantiene losrecursos necesarios para tratar las violaciones deseguridad. Por último, PKI proporciona un servicio deindicación de la hora digital para las transaccionescomerciales importantes.

RRA. Autoridad de registro.

RA Desktop. Subprograma de Java que proporciona alas RA una interfaz gráfica para procesar las solicitudesde credenciales y administrarlas durante su ciclo devida.

RC2. Cifrado de bloques con tamaño de clavevariable, diseñado por Ron Rivest para la Seguridad dedatos RSA. RC significa Ron’s Code (código de Ron) oRivest’s Cipher (cifrado de Rivest). Es más rápido queDES y está diseñado para sustituir a DES a corto plazo.Puede ser más o menos seguro que DES en labúsqueda exhaustiva de claves utilizando los tamañosde clave apropiados. Tiene un tamaño de bloques de 64bits y, en cuanto al software, es dos o tres veces másrápido que DES. RC2 puede utilizarse con las mismasmodalidades que DES.

Glosario 65

Un acuerdo entre la Asociación de editores de software(SPA) y el gobierno de los EE.UU. da a RC2 unaposición especial. Esto hace más sencillo y rápido elproceso de aprobación de exportación que el procesode exportación criptográfico habitual. Sin embargo,para permitir la aprobación de exportación rápida, elproducto debe limitar el tamaño de la clave RC2 a 40bits con algunas excepciones. Se puede utilizar unacadena de caracteres adicional para burlar aintromisiones que intenten calcular previamente unatabla de búsqueda de gran tamaño de posibles cifrados.

rechazar. Desestimar como falso; por ejemplo, negarque se ha enviado un mensaje específico o que se haremitido una solicitud específica.

Red privada virtual (VPN). Red privada de datos queutiliza Internet en lugar de líneas telefónicas paraestablecer conexiones remotas. Las organizacionespueden reducir significativamente los costes de accesoremoto si los usuarios acceden a los recursos de lasredes de la empresa mediante un proveedor deservicios Internet (ISP) en lugar de hacerlo a través deuna compañía telefónica. Una VPN también mejora laseguridad de los intercambios de datos. En latecnología de cortafuegos tradicional, el contenido delmensaje puede cifrarse, pero no las direcciones origen ydestino. En la tecnología VPN, los usuarios puedenestablecer una conexión por túnel en la que el paquetecompleto de información (contenido y cabecera) estácifrado y encapsulado.

responsable de registros. Usuario que ha sidoautorizado a acceder al RA Desktop, para administrarcertificados y solicitudes de certificados.

registration authority (RA). Software que administralos certificados digitales para garantizar que se aplicanlas políticas de gestión de una organización desde laentrada inicial de una solicitud de inscripción hasta larevocación de certificados.

servicio de registro. Infraestructura de aplicaciónTrust Authority que proporciona recursosespecializados de entidades de inscripción (comonavegadores, direccionadores, correo electrónico yaplicaciones cliente seguras) y gestión de certificadosdurante su ciclo de vida.

registro de auditoría. En Trust Authority, tabla de unabase de datos que almacena un registro por cadaevento de auditoría.

RSA. Algoritmo criptográfico de clave pública quelleva el nombre de sus inventores (Rivest, Shamir yAdelman). Se utiliza para cifrado y firmas digitales.

Ssalida de política. En un servicio de registro,programa definido por una organización al que llamala aplicación de registro. Las normas especificadas en

una política de salida aplican las preferencias degestión y seguridad de la organización en los procesosde inscripción.

Secure Electronic Transaction (SET). Estándar delmercado que ofrece seguridad en los pagos mediantetarjeta de crédito o de débito en redes que no sonseguras. El estándar incorpora autentificación de lostitulares, comerciantes y bancos emisores de tarjetasporque exige la emisión de certificados.

Secure Sockets Layer (SSL ). Protocolo decomunicaciones estándar IETF con servicios deseguridad incorporados que son lo más transparenteposibles para el usuario final. Proporciona un canal decomunicación digitalmente seguro.

Un servidor con capacidad SSL normalmente aceptasolicitudes de conexión SSL en un puerto diferente alsolicitado en las solicitudes HTTP estándar. SSL creauna sesión durante la cual el intercambio de señalespara establecer la comunicación entre dos módemsdebe producirse una sola vez. Después de eso, se cifrala comunicación. La comprobación de integridad de losmensajes continúa hasta que finaliza la sesión SSL.

servidor. (1) En una red, estación de datos queproporciona funciones a otras estaciones; por ejemplo,un servidor de archivos. (2) En TCP/IP, sistema en unared que maneja las solicitudes de un sistema en otraubicación, denominado cliente/servidor.

servidor de auditorías. Servidor de Trust Authorityque recibe eventos de auditoría de los clientes deauditoría y los escribe en un registro de auditoría.

servidor de CA. Servidor del componente CA(Autoridad de certificado) de Trust Authority.

Servidor del Directorio. En Trust Authority, elDirectorio de IBM SecureWay. Este Directorio soportaestándares LDAP y utiliza DB2 como base.

servidor HTTP. Servidor que maneja lascomunicaciones basadas en Web con navegadores yotros programas en una red.

servidor proxy. Intermediario entre el sistema quesolicita acceso (sistema A) y el sistema al que se accede(sistema B). Así, si un usuario final solicita un recursoal sistema A, la solicitud se dirige al servidor proxy. Elservidor proxy hace la solicitud, obtiene la respuestadel sistema B y luego reenvía la respuesta al usuariofinal. Los servidores proxy son de utilidad para accedera los recursos de la World Wide Web desde el interiorde un cortafuegos.

servidor RA. Servidor del componente RA de TrustAuthority.

servidor Web. Programa servidor que responde a lassolicitudes de recursos de información procedentes delos programas navegadores. Véase también servidor.


servlet. Programa de la parte servidor queproporciona funcionalidad adicional a los servidorespreparados para Java.

SET. Transacción electrónica segura.

SGML. Standard Generalized Markup Language(Lenguaje estandarizado de marcas general).

SHA-1 (Secure Hash Algorithm). Algoritmo diseñadopor el NIST y la NSA para utilizarse con el estándarDigital Signature Standard. El estándar es Secure HashStandard; SHA es el algoritmo utilizado por el estándar.SHA produce un dato de control numérico de 160 bits.

S/MIME. Estándar que soporta la firma y cifrado decorreo electrónico transmitido a través de Internet.Véase MIME.

SMTP. Simple Mail Transfer Protocol (Protocolosimple de transferencia de correo).

Soporte del idioma nacional (NLS). Soporte dentro deun producto de las diferencias entre escenarios,incluidos el idioma, la moneda, los formatos de fecha yhora y la representación numérica.

SSL. Secure Sockets Layer (Capa de socketsprotegida).

Standard Generalized Markup Language (SGML).Estándar para describir los lenguajes de marcas. HTMLestá basado en SGML.

subprograma de Java. Véase subprograma. Compáresecon aplicación de Java.

subsistema de auditoría. En Trust Authority,subsistema que proporciona el soporte para registrarcronológicamente acciones relacionadas con laseguridad. Cumple con las recomendaciones delestándar X9.57, del conjunto de estándares explicadospor PKI (Public Key Cryptography) para el sector deservicios financieros.

TTarjeta inteligente. Pieza de hardware, normalmentedel tamaño de una tarjeta de crédito, para almacenarlas claves digitales del usuario. Una tarjeta inteligentepuede estar protegida con contraseña.

tarjeta PC. Similar a una tarjeta inteligente,denominada a veces tarjeta PCMCIA. Esta tarjeta esalgo más grande que una tarjeta inteligente y sueletener mayor capacidad.

TCP/IP. Protocolo de control de transmisión/protocoloInternet.

texto claro. Datos no cifrados. Sinónimo detexto plano.

texto plano. Datos no cifrados. Sinónimo de textolimpio.

tipo. Véase tipo de objeto.

tipo de objeto. Tipo de objeto que puede almacenarseen el Directorio. Por ejemplo, una organización, sala dereuniones, dispositivo, persona, programa o proceso.

TP. Política de confianza.

Trust Authority. Solución de seguridad IBMSecureWay integrada que soporta la emisión,renovación y revocación de certificados digitales. Estoscertificados pueden utilizarse en una gran variedad deaplicaciones Internet, proporcionando un medio paraautentificar usuarios y asegurar comunicacionesseguras.

trusted computer base (TCB). Elementos de softwarey hardware que conjuntamente hacen respetar lapolítica de seguridad de sistemas de una organización.Cualquier elemento o parte de un elemento que puedatener efecto para hacer cumplir la política de seguridades de importancia en la seguridad y forma parte de laTCB. La TCB es un objeto que está delimitado por elperímetro de seguridad. Los mecanismos que llevan acabo la política de seguridad no deben ser eludibles ydeben evitar que los programas consigan acceder a losprivilegios del sistema por aquellos que no esténautorizados.

túnel. En tecnología VPN, conexión punto a puntovirtual bajo demanda realizada mediante Internet.Mientras están conectados, los usuarios remotospueden utilizar el túnel para intercambiar informaciónsegura, cifrada y encapsulada con los servidoresubicados en la red privada de la empresa.

UUnicode. Juego de caracteres de 16 bits definido porISO 10646. El estándar de codificación de caracteresUnicode es un código de caracteres internacional parael proceso de información. El estándar Unicode englobalos principales scripts del mundo y proporciona loscimientos para la internacionalización y localización delsoftware. Todo el código fuente del entorno deprogramación Java está escrito en Unicode.

URL. Localizador uniforme de recursos.

UTF-8. Formato de transformación. Permite a lossistemas de proceso de información que manejan juegosde caracteres de 8 bits convertir Unicode de 16 bits aun equivalente de 8 bits y volver a retroceder sinperder información.

Glosario 67

Vvalidación en cadena. Validación de todas las firmasCA en la jerarquía de confianza a través de la cual seemite el certificado en cuestión. Por ejemplo, si una CAha emitido este su certificado de firma a través de otroCA, ambas firmas se validad durante el proceso devalidación del certificado que presenta el usuario.

variable de inscripción. Véase atributo de inscripción.

VPN. Red privada virtual.

WWebSphere Application Server. Producto IBM quefacilita a los usuarios el desarrollo y gestión de sitiosWeb de alto rendimiento. Simplifica la transición depublicaciones Web sencillas a aplicaciones Web dee-business avanzadas. WebSphere Application Serverconsta de un sistema servlet basado en Java que esindependiente del servidor Web y de su sistemaoperativo subyacente.

World Wide Web (WWW). Parte de Internet donde seestablece una red de conexiones entre sistemas quecontienen material hipermedia. Este materialproporciona información y puede ofrecer enlaces conotro material de la WWW e Internet. Se accede a losrecursos de la WWW mediante un programa denavegador de Web.

XX.500. Estándar para poner en práctica un servicio dedirectorio multipropósito, distribuido y reproducidomediante la interconexión de sistemas informáticos. Fuedefinido conjuntamente por la Unión internacional detelecomunicaciones (ITU), conocida anteriormente comoCCITT, y la Comisión internacional de electroquímica(ISO/IEC).


Índice

Aadministrador del Directorio

contraseña 44descritos 34DN 44

almacenar claves CA en hardware 41alternativas del ratón 49aplicación Cliente

descritas 35peticiones PKIX 35puerto de servidor para 47

aplicar valores de configuración 48árbol del Directorio 33archivo CfgSetupWizard.html 9archivo Readme 3archivo slapd.conf 21archivo swingall.jar 9archivos de configuración, editar 22Asistente para la instalación

ayuda para 9, 10configuración del navegador Web 5controles del teclado 49iniciar 9, 39opciones de accesibilidad 49preparar para la ejecución 5proceso de configuración 48proteger 20salir 39ubicación de la instalación 20

atributos, DNejemplo 14secuencia 14

autorizar responsables de losregistros 22

ayuda para el Asistente para lainstalación 9, 10

Bbiblioteca Swing 5botón Finalizar 48botón Visualizar mensajes avanzados 48

Ccambiar el nombre del Asistente para la

instalación 20certificados PKIX

descritas 35puerto para proceso 47

cifrar claves, para CA 41clave de CA

algoritmo 41almacenar en hardware 37, 41tamaño 41

clave RSA 41CMP (protocolo de gestión de

certificados) 35configuración remota 13configurar

base de datos de Trust Authority 48

configurar (continuación)estaciones de trabajo 5información de estado 48servidores remotos 13

contraseñasadministrador del Directorio 44cambiar 21DN raíz 43servidor Trust Authority 40

controles del teclado 49coprocesador 4758

almacenar claves en 37almacenar la clave de CA 41descritos 37habilitar para CA 41tamaño de clave RSA 41

Credential Central 18

Ddatos de configuración

administrador del Directorio 44aplicación Cliente 47aplicar 48clave de CA 41contraseña de Trust Authority 40coprocesador 4758 41DN CA 41dominio de registro 45formulario para anotar opciones 7guardar 47importar 12, 39migrar 39nombre de servidor CA 41nombre de servidor de Auditoría 41nombre del servidor del

Directorio 43opciones de autentificación de

cliente 46opciones de inicio 39peticiones Cliente 47puerto de servidor CA 41puerto de servidor de Auditoría 41puerto del servidor del Directorio 43raíz del Directorio 43resumen 47servidor Web público 46servidores Web seguros 46verificar 18

DB2, descrita 32descargar swingall.jar 9desinstalar

componentes de servidor de AIX 25componentes de servidor de NT 28

dirección, en DN 17direcciones IP

servidor CA y de Auditoría 41servidor del Directorio 43servidor Trust Authority 39servidor Web público 46servidor Web seguro 46

DNadministrador del Directorio 44

DN (continuación)árbol del Directorio 33Certificate Authority 41dirección 17ejemplo 14esquema del Directorio 33estado o provincia 17localidad 17no inglés 50nombre común 16nombre de organización 16nombre de país 16raíz del Directorio 43reglas para escribir 14unidad organizativa 17utilizar el editor de DN 16

DN raízcontraseña 43descritos 34nombre 43

dominios de registrodescritos 35directorio de instalación 45idioma 45no inglés 50nombre 45personalizar 23

Eeditar archivos de configuración 22editar DN 16editor de DN

controles del teclado 49descrito 16DN CA 41DN de la raíz del Directorio 43DN del administrador del

Directorio 44icono 41, 43, 44información de la organización 16información de la ubicación 17información general 16secuencia de atributos 17tipo de formato 17utilizar 16

enmascarar sucesos de auditoría 31escribir DN 14esquema del Directorio 33estado o provincia, en DN 17estándar LDAP 33

Fflexibilidad de DN 23formulario de datos de configuración 7

Gguardar los datos de configuración 47

Hhacer copia de seguridad del sistema 22herramienta AuditArchiveAndSign 31


herramienta AuditIntegrityCheck 31

IIBM HTTP Server 37, 46importar datos de configuración 12, 39iniciar el Asistente para la instalación 9inscripción 18

Llista de certificados emitidos (ICL) 32lista de revocaciones de certificados

(CRL) 32localidad, en DN 17

MMAC (código de autentificación de

mensajes)en proceso CA 32en proceso de Auditoría 31

mensajes, ver 18, 48mensajes de registro 18migrar datos de configuración 39Modificar ACL 23

Nnombre común, en DN 16nombre de organización, en DN 16nombres de sistemas principales

servidor CA y de Auditoría 41servidor del Directorio 43servidor Trust Authority 39servidor Web público 46servidores Web seguros 46

nombreusuario cfguser 9, 40

Oopciones de accesibilidad 49opciones de inicio 39

Ppaís, en DN 16permisos, slapd.conf 21personalizar dominios de registro 23peticiones de certificados, remitir 18proceso de configuración 48programa CfgStart

en AIX 11en máquinas remotas 13en NT 12

programa IniEditor 22proteger el Asistente para la

instalación 20puertos

aplicación Cliente 47autentificación de cliente 46servidor CA y de Auditoría 41servidor del Directorio 43servidor Web público 46servidores Web seguros 46

Rreconfigurar el sistema 24recopilar datos de configuración 6remitir peticiones de certificados 18requisitos de la estación de trabajo 5requisitos de la máquina 5requisitos del navegador 5, 50requisitos del sistema 5responsables de los registros,

autorizar 22

Sservidor CA

algoritmo de firma 41descritas 32nombre de sistema principal 41nombre distintivo 41número de puerto 41opción de coprocesador 4758 41tamaño de clave 41

servidor de Auditoríadescrito 31nombre de sistema principal 41número de puerto 41

servidor del Directorioadministrador del Directorio 44descritos 33DN raíz 43nombre de sistema principal 43número de puerto 43permisos de propietario 21

servidoresAuditoría 41CA 41desinstalar de AIX 25desinstalar de Windows NT 28Directorio 43IBM HTTP 46público 46RA 47seguro 46Trust Authority 39

servidores Weben Trust Authority 37nombre de servidor público 46nombres de servidor seguro 46puerto de servidor público 46puertos de servidor seguro 46

sha–1WithRSAEncryption 41sistema de producción, preparar para 20sistemas operativos, soportados 5sitio Web, Trust Authority 3sitio Web de Trust Authority 3Smart Cards 35SSL

descritas 36en Trust Authority 37servidores Web seguros 46

Uunidad organizativa, en DN 17URL

para archivo Readme 3para Credential Central 18

URL (continuación)para dominios de registro 35para el Asistente para la

instalación 9para Trust Authority 3

usuario de configuración 9, 40usuario de configuración de Trust

Authority 9, 40utilidad add_rauser 22Utilidad de cambio de contraseñas 21

Vverificar la configuración 18visión general del producto 1visualizar

estado de la configuración 48mensajes de configuración 18, 48


��

Número de Programa: 5648-D09

Printed in Denmark by IBM Danmark A/S

SH10-9268-00

guía de configuración -...

Documents