guía de administración del sistema -...
Post on 19-Aug-2018
227 Views
Preview:
TRANSCRIPT
IBM®
SecureWay®
Trust Authority
Guía de administración del sistemaVersión 3 Release 1.2
SH10-9270-00
IBM
IBM®
SecureWay®
Trust Authority
Guía de administración del sistemaVersión 3 Release 1.2
SH10-9270-00
IBM
NotaAntes de utilizar esta información y el producto para el que ofrece soporte, lea la información general en “Avisos” en lapágina 115.
Segunda edición (Junio de 2000)
Este manual es la traducción del original inglés ″IBM SecureWay Trust Authority System Administration GuideVersion 3 Release 1.2, SH09-4532-01″.
Esta edición se aplica a IBM SecureWay Trust Authority, programa 5648-D09, versión 3 release 1 modificación 2, y atodos los releases y modificaciones posteriores hasta que se indique lo contrario en nuevas ediciones.
© Copyright International Business Machines Corporation 1999, 2000. Reservados todos los derechos.
Contenido
Tablas . . . . . . . . . . . . . . . v
Capítulo 1. Acerca de Trust Authority . . 1
Capítulo 2. Visión general . . . . . . . 3
Capítulo 3. Cómo... . . . . . . . . . . 5Administrar Trust Authority . . . . . . . . . 5
Entrar mandatos en Windows NT . . . . . . 5Cambiar las contraseñas de Trust Authority . . . 5Iniciar y detener los componentes de servidor . . 7Utilizar IniEditor para cambiar los archivos deconfiguración . . . . . . . . . . . . . 9Cambiar las direcciones IP de Trust Authority . . 11Efectuar copias de seguridad y restaurar elsistema . . . . . . . . . . . . . . . 12Efectuar el seguimiento del número de usuariosy certificados . . . . . . . . . . . . . 12Efectuar el seguimiento de la actividad decertificado . . . . . . . . . . . . . . 14
Administrar WebSphere Application Server. . . . 15Comprobar el estado de WebSphere ApplicationServer . . . . . . . . . . . . . . . 15Comprobar los registros cronológicos deWebSphere Application Server . . . . . . . 16
Administrar HTTP Server . . . . . . . . . 17Comprobar el estado del HTTP Server . . . . 17Comprobar los registros cronológicos de HTTPServer . . . . . . . . . . . . . . . 18
Administrar el servidor CA . . . . . . . . . 19Cambiar el puerto escucha del servidor CA . . 20Cambiar el intervalo de sondeo de la CA . . . 20Cambiar los valores de la CRL . . . . . . . 20Cambiar la política de protección de la ICL. . . 22Cambiar la clave de protección de la ICL . . . 22Comprobar la integridad de la base de datos delservidor CA . . . . . . . . . . . . . 23Solicitar un certificado CA empleando lacertificación cruzada . . . . . . . . . . 24Solicitar un certificado CA empleando el modelode jerarquía . . . . . . . . . . . . . 26Comprobar los registros cronológicos delservidor CA . . . . . . . . . . . . . 29Comprobar el estado del servidor CA . . . . 30Activar puntos de distribución de la CRL . . . 31
Administrar el servidor RA . . . . . . . . . 31Agregar responsable de registross . . . . . . 31Activar el cifrado en la base de datos RA . . . 34Cambiar el puerto de escucha del servidor RA . 35Cambiar el intervalo de sondeo de la RA . . . 35Cambiar el intervalo de reintento de la RA . . . 36Comprobar los registros cronológicos delservidor RA . . . . . . . . . . . . . 36Comprobar el estado del servidor RA . . . . 36
Cambiar los valores de la RA para lascomunicaciones con el Directorio . . . . . . 38
Administrar el subsistema de auditoría . . . . . 39Ver los registros de auditoría . . . . . . . 39Buscar informes de auditoría . . . . . . . 41Cambiar el puerto del servidor de auditoría en elcliente de auditoría . . . . . . . . . . . 41Cambiar el modo en que se envían los eventosdesde el cliente de auditoría . . . . . . . . 42Cambiar el puerto en el que escucha el servidorde auditoría . . . . . . . . . . . . . 43Cambiar intentos de enlace entre el cliente deauditoría y el servidor de auditoría . . . . . 44Cambiar el intervalo entre intentos de enlace . . 44Cambiar los valores del registro cronológico . . 45Generar informes de auditoría . . . . . . . 48Efectuar una copia archivada y firmar losarchivos del registro cronológico de auditoría . . 48Comprobar la integridad de la base de datos yde los archivos de copia archivada del servidorde auditoría . . . . . . . . . . . . . 49Comprobar el estado del servidor de auditoría . 50Comprobar los registros cronológicos delservidor de auditoría . . . . . . . . . . 52
Administrar las bases de datos de DB2 . . . . . 52Comprobar el estado de las bases de datos deDB2 . . . . . . . . . . . . . . . . 52Comprobar los registros cronológicos de DB2 . . 54
Administrar el servidor del Directorio . . . . . 55Comprobar el estado del servidor del Directorio 55Comprobar los registros cronológicos delservidor del Directorio. . . . . . . . . . 56
Administrar el coprocesador criptográfico 4758 . . 56
Capítulo 4. Información de... . . . . . 57Seguridad de Trust Authority . . . . . . . . 57Listas de control de accesos . . . . . . . . . 57Autoridades de certificado . . . . . . . . . 57
Jerarquías CA . . . . . . . . . . . . 58Extensiones de certificado . . . . . . . . 58Listas de revocación de certificados . . . . . 61Certificación cruzada . . . . . . . . . . 61
Certificación . . . . . . . . . . . . . . 62Certificados digitales . . . . . . . . . . 62Nombres distintivos . . . . . . . . . . 62Listas de certificados emitidos . . . . . . . 62Firma y validación de firmas . . . . . . . 63
Autoridades de registro . . . . . . . . . . 63Responsables de registros. . . . . . . . . 63Dominios de registro . . . . . . . . . . 64
coprocesador criptográfico 4758. . . . . . . . 64Tarjetas inteligentes. . . . . . . . . . . . 64Auditoría . . . . . . . . . . . . . . . 65
Informes de auditoría . . . . . . . . . . 65Eventos de auditoría . . . . . . . . . . 65
© Copyright IBM Corp. 1999, 2000 iii
Máscaras de eventos de auditoría . . . . . . 66Comparación de los eventos de auditoríaobligatorios y opcionales . . . . . . . . . 66Comprobación de la integridad . . . . . . . 66Sellado de integridad . . . . . . . . . . 66Copia archivada del registro cronológico deauditoría . . . . . . . . . . . . . . 66
Bases de datos DB2. . . . . . . . . . . . 67Servidores Web . . . . . . . . . . . . . 67
IBM WebSphere Application Server . . . . . 67IBM HTTP Server . . . . . . . . . . . 67Asignación de alias de IP . . . . . . . . . 68
Servidores del Directorio . . . . . . . . . . 68Identificadores de objeto . . . . . . . . . . 68
Capítulo 5. Consulta . . . . . . . . . 71Archivos de configuración . . . . . . . . . 71
Descripción del archivo . . . . . . . . . 71Archivo de configuración del servidor CA . . . 72Archivo del configuración del servidor RA . . . 81Archivo de configuración del servidor deauditoría . . . . . . . . . . . . . . 91Archivo de configuración del cliente de auditoría,AuditClient.ini . . . . . . . . . . . . 95
Utilidades de línea de mandatos . . . . . . . 97Utilidad CA Certification . . . . . . . . . 97Utilidad Add RA User . . . . . . . . . . 99Utilidad Enable RA Database Encryption . . . 100Utilidad Audit Archive and Sign . . . . . . 100
Utilidad Audit Integrity Check . . . . . . 101Campos de los eventos de auditoría . . . . . . 103Eventos de auditoría . . . . . . . . . . . 103Datos de la base de datos de auditoría . . . . . 106
Tabla de claves . . . . . . . . . . . . 107Tabla de niveles de gravedad de los eventos . . 107Tabla de control de eventos. . . . . . . . 107Tabla de orígenes . . . . . . . . . . . 108Tabla de entidades autorizadas . . . . . . 108Tabla de funciones autorizadas . . . . . . 109Tabla de tipos de entidades afectadas . . . . 109Tabla de tipos de componentes . . . . . . 109Tabla de registros cronológicos de auditoría . . 109Tabla del sistema . . . . . . . . . . . 111
Resolución de problemas . . . . . . . . . 112Resolución de problemas básica . . . . . . 112Resolución de problemas con el servicio demensajes de nivel de depuración activado . . . 112
Avisos . . . . . . . . . . . . . . 115Marcas registradas y marcas de servicio . . . . 116
Información relacionada . . . . . . . 119
Glosario . . . . . . . . . . . . . 121
Índice . . . . . . . . . . . . . . . 133
iv Trust Authority: Guía de administración del sistema
Tablas
1. Archivos de configuración de Trust Authority 102. Registros cronológicos de WebSphere
Application Server de transacciones con elAsistente para la instalación . . . . . . . 16
3. Registros cronológicos de WebSphereApplication Server de transacciones con elservicio de registro . . . . . . . . . . 16
4. Registros cronológicos de HTTP Server detransacciones con el Asistente para lainstalación . . . . . . . . . . . . . 18
5. Registros cronológicos del HTTP Server detransacciones con el servicio de registro . . . 19
6. Registros cronológicos del servidor CA 307. Registros cronológicos del servidor RA 368. Descripciones de las columnas para las vistas
de la base de datos de auditoría de TrustAuthority . . . . . . . . . . . . . 40
9. Registros cronológicos del servidor deauditoría . . . . . . . . . . . . . 52
10. Ubicaciones de las bases de datos . . . . . 5211. Registros cronológicos del servidor del
Directorio . . . . . . . . . . . . . 5612. Extensiones de certificado . . . . . . . . 58
13. Modelo de tres servidores y tres puertos paralos HTTP Servers de IBM . . . . . . . . 68
14. Archivo de configuración del servidor CA 7315. Archivo de configuración del servidor RA 8216. Archivo de configuración del servidor de
auditoría . . . . . . . . . . . . . 9217. Archivo de configuración del cliente de
auditoría . . . . . . . . . . . . . 9618. Campos de los eventos de auditoría . . . . 10319. Eventos de auditoría . . . . . . . . . 10320. Campos de la tabla de claves . . . . . . 10721. Campos de la tabla de niveles de gravedad
de los eventos . . . . . . . . . . . 10722. Campos de la tabla de control de eventos 10723. Campos de la tabla de orígenes . . . . . 10824. Campos de la tabla de entidades autorizadas 10825. Campos de la tabla de funciones autorizadas 10926. Campos de la tabla de tipos de entidades
afectadas . . . . . . . . . . . . . 10927. Campos de la tabla de tipos de componentes 10928. Campos de la tabla de registros cronológicos
de auditoría . . . . . . . . . . . . 10929. Campos de la tabla del sistema. . . . . . 111
© Copyright IBM Corp. 1999, 2000 v
Capítulo 1. Acerca de Trust Authority
IBM®
SecureWay®
Trust Authority proporciona a las aplicaciones los medios paraautentificar usuarios y garantizar las comunicaciones seguras:v Permite a las organizaciones emitir, publicar y administrar certificados digitales
en conformidad con sus políticas de registro y certificación.v El soporte para los estándares criptográficos Public Key Infrastructure for X.509
versión 3 (PKIX) y Common Data Security Architecture (CDSA) permite lainteroperabilidad entre proveedores.
v La firma digital y los protocolos seguros proporcionan los medios paraautentificar a todas las partes en una transacción.
v Las posibilidades de registro basadas en el navegador y en el clienteproporcionan la máxima flexibilidad.
v Las comunicaciones cifradas y el almacenamiento seguro de la información deregistro garantizan la confidencialidad.
Un sistema Trust Authority puede ejecutarse en plataformas de servidor IBM®
AIX/6000®
y Microsoft® Windows NT®. Incluye las siguientes característicasprincipales:v Una Autoridad de certificado (CA) segura gestiona todo el periodo de vigencia
de la certificación digital. Para demostrar la autenticidad de un certificado, laCA firma digitalmente cada uno de los certificados que emite. También firma laslistas de revocación de certificados (CRL) para demostrar el hecho de que uncertificado ya no es válido. Para proteger aún más su clave de firmas, puedeutilizar hardware criptográfico, como el coprocesador criptográfico PCI IBMSecureWay® 4758.
v Una Autoridad de registro (RA) gestiona las tareas administrativas detrás delregistro de usuarios. La RA garantiza que sólo se emitan los certificados quesoportan sus actividades empresariales, y que se emitan solamente para losusuarios autorizados. Las tareas administrativas pueden gestionarse a través deprocesos automatizados o mediante la toma de decisiones por parte de losusuarios.
v Una interfaz de inscripción basada en Web facilita la obtención de certificadospara navegadores, servidores y otros fines, como dispositivos de red virtualprivada (VPN), tarjetas inteligentes y correo electrónico seguro.
v Una aplicación Windows®, Trust Authority Client, permite a los usuarios finalesobtener y gestionar certificados sin utilizar un navegador Web.
v Una interfaz de administración basada en Web, RA Desktop, permite a losresponsables de registros autorizados aprobar o rechazar solicitudes deinscripción y administrar certificados después de que se hayan emitido.
v Un subsistema de auditoría calcula un código de autentificación de mensajes(MAC) para cada informe de auditoría. Si los datos de auditoría se alteran o seeliminan después de escribirlos en la base de datos de auditoría, el MAC lepermite detectar la alteración.
v Las salidas de políticas permiten a los desarrolladores de aplicacionespersonalizar los procesos de registro.
v Soporte integrado para un sistema criptográfico. Para autentificar lascomunicaciones, los componentes centrales de Trust Authority se firman con unaclave privada generada en fábrica. Los objetos de seguridad, como las claves ylos MAC, se cifran y se almacenan en áreas protegidas llamadas KeyStores.
© Copyright IBM Corp. 1999, 2000 1
v Soporte integrado para el Directorio de IBM SecureWay. El Directorio almacenainformación acerca de los certificados válidos y revocados en un formatocompatible con LDAP.
v Soporte integrado para IBM WebSphere™
Application Server e IBM HTTP Server.El servidor Web trabaja con el servidor RA para cifrar mensajes, autentificarsolicitudes y transferir certificados al destinatario previsto.
v Soporte integrado para la galardonada IBM DB2®
Universal Database.
2 Trust Authority: Guía de administración del sistema
Capítulo 2. Visión general
Este documento proporciona la información necesaria para manejar y administrarel sistema Trust Authority. Asume que se poseen conocimientos o experiencia conlos siguientes elementos:v Sistema operativo AIX® o UNIX®
v Sistema operativo Windows NTv Arquitectura de sistemasv Administración de redesv Administración de bases de datosv Administración de servidores Webv Administración de directorios
El “Capítulo 3. Cómo...” en la página 5 proporciona información acerca de losprocedimientos para el manejo y la administración del sistema Trust Authority. Leenseña cómo iniciar y detener el sistema, cómo cambiar contraseñas, cómo utilizarel editor del archivo de configuración, cómo efectuar una copia de seguridad delsistema y restaurarlo y cómo administrar los componentes del sistema:v IBM WebSphere™ Application Serverv IBM HTTP Serverv Servidor CAv Servidor RAv Subsistema de auditoríav IBM DB2 Universal Database™ (UDB)v Directorio de IBM SecureWayv Coprocesador criptográfico 4758
El “Capítulo 4. Información de...” en la página 57 proporciona información técnicamás detallada acerca de los temas planteados al llevar a cabo los procedimientos.
El “Capítulo 5. Consulta” en la página 71 proporciona información de consulta,como los parámetros del archivo de configuración, la sintaxis para las utilidades delínea de mandatos e información en tablas para el subsistema de auditoría.
© Copyright IBM Corp. 1999, 2000 3
Capítulo 3. Cómo...
Los temas de este capítulo proporcionan información acerca de la administraciónde IBM SecureWay Trust Authority y sus componentes.
Administrar Trust AuthorityEsta sección describe las herramientas y los procesos que puede utilizar paraadministrar el sistema Trust Authority en su totalidad.
Son los siguientes:v Especificar mandatos en la línea de mandatos de Windows NTv Cambiar las contraseñas de Trust Authorityv Iniciar y detener los componentes de servidorv Utilizar IniEditor para cambiar los archivos de configuraciónv Comprobar los registros cronológicos de configuración de Trust Authorityv Cambiar las direcciones IP de Trust Authorityv Efectuar copias de seguridad del sistema y restaurarlov Efectuar el seguimiento de la actividad de certificadosv Efectuar el seguimiento del número de usuarios y certificados
Entrar mandatos en Windows NTSi ha instalado Trust Authority en Windows NT, existen diversas tareas que notienen iconos de programa y que deben ejecutarse desde una línea de mandatos deDOS. Por ejemplo, debe ejecutar de forma manual add_rauser para definir a unresponsable de registros.
Al especificar un mandato que requiera una ruta de acceso de directorio como unparámetro y si la ruta de acceso contiene espacios intercalados, debe especificar laruta de acceso entre comillas dobles (″). Por ejemplo, el parámetro de ruta deacceso en el mandato add_rauser se especificaría de este modo:add_rauser "c:\Archivos de programa\IBM\Trust Authority\bin"
Cambiar las contraseñas de Trust AuthorityIBM Trust Authority proporciona una utilidad Cambiar contraseña. Puede utilizarlapara cambiar las contraseñas predeterminadas durante la configuración delsistema. Debería cambiar las contraseñas por lo menos una vez después de laconfiguración inicial del sistema y antes de que el sistema se ponga a disposiciónde sus usuarios. Estas contraseñas controlan el acceso a los siguientes componentesfuncionales:v Mecanismo de arranque seguro
La contraseña del programa de control permite que el sistema se inicie de formaautomática o permite cerrar todos los componentes de Trust Authority.Proporciona acceso a la clave de cifrado de arranque seguro.
v DirectorioLa contraseña del administrador del Directorio controla el acceso a los elementosque puede cambiar en el Directorio.
v Servidor de auditoría
© Copyright IBM Corp. 1999, 2000 5
La contraseña del servidor de auditoría proporciona acceso a los registros deauditoría y a las herramientas de administración de auditoría.
v Perfil de 4758 CALa contraseña del Perfil de 4758 CA controla el acceso al Perfil del coprocesadorcriptográfico 4758 CA.
Para cambiar las contraseñas, puede utilizar uno de los diferentes métodosdisponibles. Si instaló Trust Authority en una plataforma AIX, debe utilizar elprocedimiento de línea de mandatos descrito en el apartado “Procedimiento delínea de mandatos”. Si está ejecutando en una plataforma Windows NT, puedeutilizar el procedimiento descrito en el apartado “Procedimiento del icono deprograma de Windows NT” en la página 7 o el procedimiento de línea demandatos para ejecutar la utilidad Cambiar contraseña.
Procedimiento de línea de mandatos1. Vaya al directorio bin de Trust Authority utilizando una de las siguientes rutas
de acceso:v En AIX, el valor predeterminado de la ruta de acceso es:
/usr/lpp/iau/bin
v En Windows NT, el valor predeterminado de la ruta de acceso es:c:\Archivos de programa\IBM\Trust Authority\bin
2. Según su sistema operativo, entre uno de los mandatos siguientes:v En AIX, el mandato es:
changePWD.sh
v En Windows NT, el mandato es:changePWD.bat
Aparece el siguiente menú:------------- Cambiarcontraseñas de Trust Authority --------------Entrar el número de opción del componente que desea modificar.Se le pedirá que entre la contraseña actual y a continuaciónla nueva contraseña.--------------------------------------------------------------Cambiar contraseña para1) Salir2) Programa de control3) Administrador del Directorio4) Administrador de auditoría5) Perfil de 4758 CAEntrar opción:
3. Seleccione la opción para la contraseña que desea cambiar entrando el númerocorrespondiente en el campo Entrar opción.
4. Cuando el sistema se lo pida, proporcione y confirme la contraseña actual parala opción que ha seleccionado.
Notas:
a. Cuando utilice esta herramienta por vez primera, la contraseña actual serála contraseña definida en el momento de la configuración. Para lascontraseñas del Programa de control y del Administrador de auditoría,especifique la contraseña del servidor de Trust Authority como lacontraseña actual. Para la contraseña del administrador del Directorio,especifique la contraseña del administrador del Directorio que se creódurante la configuración como la contraseña actual. Para el Perfil de 4758CA, especifique IBMCA001.
6 Trust Authority: Guía de administración del sistema
b. Si instaló Trust Authority en un servidor AIX y no cambió la contraseña deusuario de configuración (cfguser) antes de configurar el sistema, lacontraseña predeterminada es Secure99.
5. Cuando el sistema se lo pida, proporcione y confirme la nueva contraseña parala opción que ha seleccionado.La contraseña debe tener una longitud menor o igual a ocho caracteres (lacontraseña del Perfil de 4758 CA debe tener exactamente ocho caracteres).La utilidad muestra un mensaje que le comunica si sus cambios se efectuaroncorrectamente.
Al completarse el proceso, la utilidad le devuelve al menú principal.
Procedimiento del icono de programa de Windows NTSi está ejecutando Trust Authority en una plataforma Windows NT, y prefiereseleccionar iconos de programa en lugar de entrar el mandato en una ventanaDOS, utilice el procedimiento siguiente para ejecutar la utilidad Cambiarcontraseña:1. Seleccione Inicio → Programas → IBM SecureWay Trust Authority →
Herramienta Cambiar Contraseña
Aparece el menú Cambiar contraseñas de Trust Authority.2. Siga los pasos, empezando por el paso 3 en la página 6 del apartado
“Procedimiento de línea de mandatos” en la página 6.
Iniciar y detener los componentes de servidorIBM Trust Authority utiliza un mecanismo de arranque automatizado y segurollamado el Programa de control de Trust Authority con el fin de iniciar o detenertodos los componentes en un equipo determinado. El Control de Trust Authority(uno por máquina en el caso de máquinas remotas) dispone de su propia clave decifrado/descifrado en la que se cifran o descifran las contraseñas de loscomponentes según sea necesario. Si instaló componentes de servidor de TrustAuthority en equipos remotos, consulte la sección “Iniciar y detener los servidoresremotos” en la página 9.
Iniciar y detener los componentes de servidor de forma localPara iniciar o detener todos los componentes en un determinado equipo, puedeutilizar cualquiera de los métodos siguientes:v Entre los mandatos siguientes en AIX para iniciar o detener los componentes de
servidor. Siga las instrucciones en línea para entrar la contraseña del Programade control. Tenga en cuenta que para iniciar el sistema, tiene que iniciar la sesióncomo el usuario de configuración de Trust Authority (cfguser). Para detener elsistema, puede iniciar la sesión como usuario root de cfguser.cd /usr/lpp/iau/binStart_TA.shoStop_TA.sh
v Si instaló Trust Authority en una plataforma Windows NT, debería seleccionar elicono apropiado en el menú de programas de NT. Por ejemplo, seleccione:Inicio > Programas > IBM SecureWay Trust Authority > Iniciar Trust AuthorityInicio > Programas > IBM SecureWay Trust Authority > Detener Trust Authority
v Si tiene que utilizar mandatos en NT, entre los siguientes mandatos en una líneade mandatos de DOS para iniciar o detener los componentes de servidor. Sigalas instrucciones en línea para entrar la contraseña del Programa de control.
Capítulo 3. Cómo... 7
Start_TA.batoStop_TA.bat
Directrices para la utilización en AIX: Las directrices para iniciar y detener elsistema en AIX son las siguientes:v Si por algún motivo los servidores CA y RA no se detienen al ejecutar el
programa de control en AIX, debería utilizar el mandato ps para listar losprocesos httpd en ejecución, y seguidamente emplear el mandato kill paradetenerlos. A continuación se muestran ejemplos del modo en el que se utilizanestos mandatos junto con un ejemplo del resultado.$ ps -ef | grep irgAutoCAroot 18886 1 0 Oct 24 - 76:34 /usr/lpp/iau/bin/irgAutoCa
/usr/lpp/iau/etc/TrustAuthority/irgAutoCA.inicfguser 23316 32400 2 11:58:20 pts/4 0:00 grep irgAutoCA$ kill 18886
$ ps -ef | grep irgrasvrroot 23526 1 12 Oct 24 - 207:46 /usr/lpp/iau/bin/irgrasvr -c
/usr/lpp/iau/pkrf/etc/domain.cfg -d YourDomaincfguser 26016 12488 3 11:57:16 pts/0 0:00 grep irgrasvr$ kill 23526
v La detención de Trust Authority debería detener de forma automática losprogramas de servidor Web en AIX. Si no se detuvieron por alguna razón,puede utilizar el mandato ps para identificar el ID de proceso de la instanciaque debe detenerse para su dominio, y seguidamente emplear el mandato killpara detenerla. Por ejemplo:ps -ef | grep OutOfProc | grep SuDominiokill ID_proceso
v El inicio y la detención de Trust Authority iniciarán y detendránautomáticamente el servidor del Directorio. Si no desea que el Directorio seinicie o se detenga de forma automática, edite la sección [AutoStopN] delarchivo TrustAuthControl.cfg para eliminar la entrada del componente delDirectorio.
Directrices para la utilización en Windows NT: Las directrices para iniciar ydetener el sistema en Windows NT son las siguientes:v La detención de Trust Authority no detiene de forma automática los programas
de servidor Web en Windows NT. Después de detener Trust Authority, debedetener de forma manual la instancia de WebSphere que se inició para eldominio de registro. Para ello, utilice el Administrador de tareas NT para ponerfin a los procesos java.exe y reqdbagent.exe.
v Para obtener un rendimiento óptimo, antes de reiniciar los componentes deservidor en un sistema Windows NT, debería reiniciar el sistema.
v Al utilizar el programa de control para iniciar los componentes de servidor deTrust Authority en Windows NT, la ventana en la que se inicia el programa nopuede cerrarse. Ello se debe a que algunos componentes están ligados a estaventana de consola. Después de que se hayan detenido los componentes deservidor de Trust Authority, podrá cerrar esta ventana.
v El inicio y la detención de Trust Authority inicia y detiene de forma automáticael servidor del Directorio. Si no desea que el Directorio se inicie o se detenga deforma automática, edite la sección [AutoStopN] del archivo TrustAuthControl.cfgpara eliminar la entrada del componente Directorio.
8 Trust Authority: Guía de administración del sistema
Iniciar y detener los servidores remotosSi instaló algún componente de Trust Authority en equipos remotos, debe utilizarel Programa de control para iniciar o detener los componentes que se estánejecutando en cada equipo. Para iniciar componentes remotos, utilice el siguienteorden:1. Servidor del Directorio2. Servidor CA y de auditoría3. Servidor RA (incluido IBM HTTP Server y WebSphere Application Server)
Para detener el sistema, detenga los programas de servidor en orden inverso al quese iniciaron.
Utilizar IniEditor para cambiar los archivos de configuraciónEsta sección describe el método de invocación y utilización del editor de archivosde configuración, IniEditor. La herramienta IniEditor le permite agregar, actualizary eliminar parámetros y secciones en cada uno de los archivos de configuración deIBM Trust Authority. Visualiza cada parámetro como un par de nombre=valor enun campo de edición para que pueda localizar y editar de forma sencilla loselementos que requiera. Consulte “Archivos de configuración” en la página 71acerca de las descripciones y la utilización de los parámetros de configuración.
Notas:
1. IniEditor es un editor sencillo diseñado para actualizar archivos deconfiguración. La herramienta no proporciona comprobación de validez dedatos.
2. Para su protección, asegúrese de efectuar una copia de seguridad del archivode configuración que tiene la intención de editar antes de efectuar cambios enél.
Ejecutar el editorPuede iniciar el editor desde la línea de mandatos especificando o sin especificar elnombre del archivo que tiene la intención de editar.
Para ejecutar el editor utilizando un nombre de archivo como myfile.ini, entre unode los mandatos siguientes:v En el entorno AIX, desde la línea de mandatos:
cd /usr/lpp/iau/binrun_IniEditor myfile.ini
v En el entorno Windows NT, desde la línea de mandatos de DOS:cd c:\Archivos de programa\IBM\Trust Athority\binIniEditor myfile.ini
Para ejecutar el editor sin utilizar un nombre de archivo, entre uno de losmandatos siguientes:v En el entorno AIX, desde la línea de mandatos:
run_IniEditor
v En el entorno Windows NT, desde la línea de mandatos de DOS:IniEditor
Si no especifica un nombre de archivo, el sistema le pide que especifique si elarchivo que desea editar es nuevo o ya existe. Si el archivo es nuevo, el sistema lepedirá que especifique el tipo de archivo que desea crear. Cada tipo de archivotiene una plantilla de archivo .ini correspondiente, que se lee al especificar el tipo.Las opciones son las siguientes:
Capítulo 3. Cómo... 9
Tabla 1. Archivos de configuración de Trust Authority
Ubicación predeterminada de archivosde AIX
Ubicación predeterminada de archivosde Windows NT
Descripción
/usr/lpp/iau/etc/TrustAuthority/jonahca.ini
c:\Archivos de programa\IBM\TrustAuthority\etc\TrustAuthority\jonahca.ini
El archivo de configuracióndel servidor CA. Especificalas variables de configuraciónpara el servidor CA. Puedecambiar estas variables paracontrolar las característicasoperativas básicas y laconfiguración de conexión.
/usr/lpp/iau/pkrf/Domains/SuDominio/etc/jonahra.inic:\Archivos de programa\IBM\TrustAuthority\pkrf\Domains\SuDominio\etc\jonahra.ini
El archivo de configuracióndel servidor RA. Especifica lasvariables de configuraciónpara el servidor RA. Ademásde proporcionar laconfiguración básica operativay de conexión, estas variablesle permiten controlar el modoen el que el servidor RAinteractúa con el servidor delDirectorio.
/usr/lpp/iau/etc/AuditClient.ini c:\Archivos de programa\IBM\TrustAuthority\etc\AuditClient.ini
El archivo de configuracióndel cliente de auditoría.Especifica las variables deconfiguración para losClientes de auditoría. Estasvariables proporcionan losvalores de conexión y soportepara el ajuste de la máscarade auditoría que controla loseventos de auditoría que seenvían en realidad.
/usr/lpp/iau/etc/TrustAuthority/AuditServer.ini
c:\Archivos de programa\IBM\TrustAuthority\etc\TrustAuthority\AuditServer.ini
El archivo de configuracióndel servidor de auditoría.Especifica las variables deconfiguración para el servidorde auditoría. Puede cambiarestas variables para volver aconfigurar las característicasde funcionamiento básicas ylos valores de conexión delservidor de auditoría, asícomo para indicar el métodode registro de los mensajes deerror y depuración. Estasvariables controlan asimismolos eventos que se registran.
IniEditor intenta localizar los archivos de plantilla buscando en el directorio en elque residen los archivos de Trust Authority.
Utilizar el editorDespués de cargar IniEditor con un archivo de configuración, los parámetrosexistentes aparecen en la parte izquierda de la pantalla en una estructura de árbol.Esta estructura contiene las secciones y las claves del archivo. Para seleccionar unasección, haga clic en el nombre de la sección. Para expandir la sección, haga clic en
10 Trust Authority: Guía de administración del sistema
el símbolo de adición (+). Si una sección contiene claves, el par de parámetrosnombre=valor aparece en la parte derecha de la pantalla en un campo de edición.
Edición de parámetros: Puede llevar a cabo las siguientes tareas de edición:v Para cambiar el valor de un parámetro, escriba encima del texto en el campo de
edición.v Para deshacer el cambio, seleccione Edición → Deshacer.v Para eliminar un parámetro o una sección, seleccione los elementos que desee
eliminar y seleccione Edición → Eliminar.
Adición de una sección: Para agregar una sección al archivo .ini, siga estos pasos:1. Seleccione Objeto → Nueva sección.
Aparece el cuadro de diálogo Agregar una nueva sección.2. Especifique el nombre de la sección en el cuadro de diálogo.3. Haga clic en Aceptar.
La nueva sección aparece en la parte inferior de la estructura de árbol.
Adición de un parámetro: Para agregar un parámetro a una sección en el archivo.ini, siga estos pasos:1. Seleccione Objeto → Nuevo parámetro.
Aparece el diálogo Crear un nuevo parámetro. Ello proporciona un menúdesplegable en el que puede seleccionar la sección a la que desea agregar elparámetro.
2. Especifique el nombre del parámetro en el campo Parámetro.3. Especifique el valor del parámetro en el campo Valor.4. Haga clic en Aceptar.
El nuevo parámetro aparece en la estructura de árbol debajo de la secciónseleccionada, y en la parte derecha de la ventana en un campo de edición.
Guardado del archivo: IniEditor le permite guardar el archivo .ini actual, guardarel archivo con un nombre distinto o salir del programa. Si el archivo ha cambiado,el editor le pedirá que guarde sus cambios. Tanto la opción Guardar como laopción Salir (con guardado) guardan el archivo actual como una copia deseguridad con la extensión .save y escriben el nuevo archivo con el nombre dearchivo actual.
Cambiar las direcciones IP de Trust AuthoritySi el sistema Trust Authority se ha instalado y se ha configurado en un solo equipoque utiliza un solo nombre de sistema principal, puede cambiar la dirección IP deese equipo empleando el siguiente procedimiento:1. Detenga el sistema Trust Authority.2. Cambie la dirección IP del equipo en conformidad con la política especificada
por su organización.3. Apague y reinicie el equipo.4. Inicie el sistema Trust Authority.
Este documento no contempla otros escenarios que impliquen cambios de nombrede sistema principal o dirección IP para varios equipos o varios nombres desistema principal. Consulte la página Library del sitio Web de IBM SecureWayTrust Authority donde obtendrá información acerca de los procedimientos másactuales.
Capítulo 3. Cómo... 11
Efectuar copias de seguridad y restaurar el sistemaEsta sección trata los temas relativos a la copia de seguridad y la restauración deIBM SecureWay Trust Authority. En concreto, el capítulo trata los aspectossiguientes:v Directrices para la copia de seguridad y la restauración de las bases de datos de
Trust Authority.v Copia de seguridad y recuperación de los sistemas operativos AIX y Windows
NT.v Duplicación del coprocesador criptográfico IBM 4758.
Efectuar copias de seguridad y restaurar en AIX y Windows NTPara efectuar la copia de seguridad de Trust Authority de forma correcta, tanto siestá empleando AIX como Windows NT, en primer lugar debe cerrar todos losprocesos de Trust Authority en el siguiente orden:1. Trust Authority2. Bases de datos DB2®
Debe hacerlo con independencia de la utilidad de copia de seguridad que tenga laintención de utilizar. El servidor del Directorio y DB2 utilizan procesos degrabación asíncronos, y a menos que estos procesos se cierren completamente, nose garantiza que los datos en los búferes de memoria se graben en disco al efectuarla copia de seguridad del sistema. Cuanto más se aproxime el sistema al modo demantenimiento de un solo usuario, mejor será la copia de seguridad. Consulte elapartado “Iniciar y detener los componentes de servidor” en la página 7 dondeobtendrá instrucciones acerca del inicio y la detención de Trust Authority. Consultela publicación IBM DB2 Universal Database Command Reference, Versión 5.2 dondeobtendrá información sobre cómo detener e iniciar las bases de datos.
En cuanto a las utilidades de copia de seguridad, IBM recomienda las siguientes:v Para AIX, utilice las utilidades de copia de seguridad integradas del sistema,
mksysb y savevg o ADSM (otro producto IBM). Si emplea las utilidades mksysby savevg, consulte su documentación de AIX donde obtendrá información acercade los procedimientos correctos. Si utiliza ADSM, utilícela junto con mksysb.
v Para Windows NT, utilice una utilidad del mercado, que realiza una imagen delsistema desde la cual puede recuperar todo el sistema. Si utiliza ADSM, utilícelajunto con una utilidad de imagen del sistema.
Siga los procedimientos de restauración apropiados para la utilidad de copia deseguridad seleccionada.
Duplicar el coprocesador criptográfico 4758Para efectuar la copia de seguridad del coprocesador criptográfico 4758, debeduplicar la clave maestra desde el equipo en el que haya instalado el sistema TrustAuthority a un equipo independiente. Puede encontrar los procedimientos parallevarlo a cabo en la página Library del sitio Web de IBM SecureWay TrustAuthority en la siguiente ubicación:http://www.ibm.com/software/security/trust/library
Efectuar el seguimiento del número de usuarios y certificadosSu contrato de licencia con IBM requiere que controle el número de usuarios deTrust Authority. Para ayudarle a obtener esta información, Trust Authorityproporciona una herramienta de informe de uso, Usage Report. Esta herramientahace un seguimiento del número de usuarios activos e inactivos en su sistema y el
12 Trust Authority: Guía de administración del sistema
número de certificados activos y revocados firmados por la CA de Trust Authoritydesde que se instaló el producto. Los elementos de datos específicos de UsageReport se describen de este modo:
Usuarios activosLos usuarios con un certificado activo por lo menos, donde usuario sedefine como una entidad que tiene un nombre distintivo (DN) exclusivo.
Usuarios inactivosLos usuarios que no tienen certificados activos; es decir, los certificadosemitidos previamente a estos usuarios han caducado o se han revocado.
Certificados activosLos certificados firmados por la CA de Trust Authority que no hancaducado ni se han revocado.
Certificados revocadosLos certificados que se han revocado.
Procedimiento del icono de programa de Windows NTSi está ejecutando Trust Authority en una plataforma Windows NT, y prefiereseleccionar iconos de programa en lugar de entrar el mandato en una ventanaDOS, utilice el procedimiento siguiente para generar un informe de uso. Consulteel apartado “Ejemplo de salida de un informe de Usage Report” para obtener unejemplo de la salida del informe.1. Inicie la sesión como el usuario de configuración de Trust Authority en el
equipo en el que instaló el componente servidor CA de Trust Authority. Elnombre de usuario predeterminado y sugerido es cfguser; su organizaciónpodría haber utilizado un valor distinto.
2. Seleccione Inicio → Programas → IBM SecureWay Trust Authority → TrustAuthority Usage Report.
Procedimiento de línea de mandatosSi está ejecutando Trust Authority en una plataforma AIX, o si prefiere entrar elmandato en lugar de seleccionar iconos de programa en Windows NT, utilice elprocedimiento siguiente para generar un informe de uso. Consulte el apartado“Ejemplo de salida de un informe de Usage Report” para ver un ejemplo de lasalida del informe.1. Inicie la sesión como el usuario de configuración de Trust Authority en el
equipo en el que instaló el componente servidor CA de Trust Authority. Elnombre de usuario predeterminado y sugerido es cfguser. Si instaló TrustAuthority en Windows NT, su organización podría haber empleado un valordistinto.
2. Cambie al subdirectorio bin del directorio de instalación de Trust Authority. Lossiguientes ejemplos muestran la ruta de acceso predeterminada del directorio:v En AIX: /usr/lpp/iau/binv En Windows NT: c:\Archivos de programa\IBM\Trust Authority\bin
3. Entre el mandato siguiente:TAUsageReport
Ejemplo de salida de un informe de Usage ReportTrust Authority Usage Report
Report generated on : Sep 28, 1999 16:10:20 EDT
Total active users = 42
Capítulo 3. Cómo... 13
Total active certificates = 53Total inactive users = 6Total revoked certificates = 3
Efectuar el seguimiento de la actividad de certificadoPuede emplear la utilidad Activity Report de Trust Authority para controlar elnúmero de certificados que se aprueban, se rechazan o se revocan en un díadeterminado o en el transcurso de una semana. Activity Report se divide en lasdos partes siguientes:v Parte 1
La primera parte del informe lista los responsable de registross (administradoresde RA) en su sistema y muestra la actividad de certificados por responsable deregistros (administrador).
v Parte 2La segunda parte del informe lista el número total de certificados que seaprobaron, rechazaron o revocaron durante el período de tiempo solicitado, yasea de forma manual por parte de un responsable de registros oautomáticamente a través de salidas de políticas.
Procedimiento del icono de programa de Windows NTSi está ejecutando Trust Authority en una plataforma Windows NT, y prefiereseleccionar iconos de programa en lugar de entrar el mandato en una ventanaDOS, utilice el procedimiento siguiente para generar un Informe de actividad.Consulte el apartado “Ejemplo de salida de un informe de Activity Report” en lapágina 15 para ver un ejemplo de salida del informe.1. Inicie la sesión como el usuario de configuración de Trust Authority en el
equipo en el que instaló el componente servidor RA de Trust Authority. Elnombre de usuario sugerido es cfguser; su organización podría haber empleadoun valor distinto.
2. Seleccione Inicio → Programas → IBM SecureWay Trust Authority → TrustAuthority Activity Report.
3. Cuando el sistema le pida el tipo de informe, entre 1 para obtener un informesemanal o 2 para ver un resumen de la actividad que se produjo en un díadeterminado.
4. Cuando el sistema le pida la fecha, entre la fecha de inicio de la semana para laque desee obtener el informe, o la fecha exacta para la que desee obtener uninforme diario. Debe escribir la fecha en formato aaaa-mm-dd; por ejemplo,1999-10-01.
Procedimiento de línea de mandatosSi está ejecutando Trust Authority en una plataforma AIX, o si prefiere entrar elmandato en lugar de seleccionar iconos de programa en Windows NT, utilice elprocedimiento siguiente para generar un Informe de actividad. Consulte elapartado “Ejemplo de salida de un informe de Activity Report” en la página 15para ver un ejemplo de salida de informe.1. Inicie la sesión como el usuario de configuración de Trust Authority en el
equipo en el que instaló el componente servidor RA de Trust Authority. Elnombre de usuario predeterminado y sugerido es cfguser. Si instaló TrustAuthority en Windows NT, su organización podría haber empleado un valordistinto.
2. Cambie al subdirectorio bin del directorio de instalación de Trust Authority. Lossiguientes ejemplos muestran la ruta de acceso predeterminada del directorio:v En AIX: /usr/lpp/iau/bin
14 Trust Authority: Guía de administración del sistema
v En Windows NT: c:\Archivos de programa\IBM\Trust Authority\bin
3. Entre el mandato siguiente:TAActivityReport
4. Cuando el sistema le pida el tipo de informe, entre 1 para obtener un informesemanal o 2 para ver un resumen de la actividad que se produjo en un díadeterminado.
5. Cuando el sistema le pida la fecha, entre la fecha de inicio de la semana para laque desee obtener el informe, o la fecha exacta para la que desee obtener uninforme diario. Debe escribir la fecha en formato aaaa-mm-dd; por ejemplo,1999-10-01.
Nota: Para ignorar estas solicitudes, puede especificar los siguientes parámetros demandato en la línea de mandatos:TAActivityReport [-t tipoInforme(1/2)] [-d fechaInicio(aaaa-mm-dd)]
Por ejemplo: TAActivityReport -t 2 -d 1999-09-27
Ejemplo de salida de un informe de Activity ReportEl siguiente ejemplo muestra un informe de actividad diario. El informe semanaltiene el mismo aspecto pero proporciona un resumen de los totales semanales.Trust Authority Activity Report
Report generated on : Sep 28, 1999 15:59:23 EDTDate of daily report : 1999-09-27
Daily Activity Report for RA Administrators
RA Administrator DN Approved Rejected Revoked
CN=RAadmin1, OU=PKI, O=IBM, C=US 23 6 1CN=RAadmin2, OU=PKI, O=IBM, C=US 14 2 0CN=RAadmin3, OU=PKI, O=IBM, C=US 55 8 4
Daily Activity Report for the System
Approved = 92Rejected = 16Revoked = 5
Administrar WebSphere Application ServerIBM WebSphere es un conjunto de productos de software que ayudan a lasorganizaciones a desarrollar y gestionar sitios Web de alto rendimiento. WebSphereApplication Server, junto con IBM HTTP Server, ayuda a proporcionar lainfraestructura para la funcionalidad de servidor Web en Trust Authority.
Comprobar el estado de WebSphere Application ServerEn función de su entorno, puede comprobar el estado de WebSphere ApplicationServer llevando a cabo una de las siguientes series de procedimientos:v En AIX:
1. Inicie la sesión en AIX como usuario root.2. Compruebe la tabla de procesos y busque:
OutofProcEngine
Capítulo 3. Cómo... 15
Si ve este proceso, vaya al paso 3. En caso contrario, consulte el apartado“Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.
3. Consulte la documentación de WebSphere para acceder a las páginas deadministración de WebSphere y determinar el estado del servidor.
v En Windows NT:1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie el Administrador de tareas pulsando las teclas Control Alt y Supr.3. Seleccione la ficha Procesos.4. Busque por lo menos una instancia de proceso de java.exe.
Si ve este proceso, vaya al paso 5. En caso contrario, consulte el apartado“Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.
5. Consulte la documentación de WebSphere para acceder a las páginas deadministración de WebSphere y determinar el estado del servidor.
Comprobar los registros cronológicos de WebSphereApplication Server
Puede comprobar los registros cronológicos que registran las transacciones entreWebSphere Application Server y el Asistente para la instalación de IBM TrustAuthority en las ubicaciones que se muestran en la Tabla 2.
Tabla 2. Registros cronológicos de WebSphere Application Server de transacciones con el Asistente para lainstalación
Ubicación predeterminada de archivos deAIX
Ubicación predeterminada de archivos deWindows NT
Comentarios
/usr/lpp/iau/etc/logs/jvm_stderr.log c:\Archivos de programa\IBM\TrustAuthority\etc\logs\jvm_stderr.log
La salida de errorestándar de la JavaVirtual Machine (JVM).
/usr/lpp/iau/etc/logs/jvm_stdout.log c:\Archivos de programa\IBM\TrustAuthority\etc\logs\jvm_stdout.log
La salida estándar de laJVM.
Puede comprobar los registros cronológicos que registran las transacciones entreWebSphere Application Server y su servicio de registro en las ubicaciones que semuestran en la tabla Tabla 3.
Tabla 3. Registros cronológicos de WebSphere Application Server de transacciones con el servicio de registro
Ubicación predeterminada de archivos deAIX
Ubicación predeterminada de archivos deWindows NT
Comentarios
/usr/lpp/iau/pkrf/Domains/SuDominio/etc/logs/jvm_stderr.log
c:\Archivos de programa\IBM\TrustAuthority\pkrf\Domains\SuDominio\etc\logs\jvm_stderr.log
La salida de errorestándar de la JavaVirtual Machine (JVM).
/usr/lpp/iau/pkrf/Domains/SuDominio/etc/logs/jvm_stdout.log
c:\Archivos de programa\IBM\TrustAuthority\pkrf\Domains\SuDominio\etc\logs\jvm_stdout.log
La salida estándar de laJVM.
16 Trust Authority: Guía de administración del sistema
Tabla 3. Registros cronológicos de WebSphere Application Server de transacciones con el servicio deregistro (continuación)
Ubicación predeterminada de archivos deAIX
Ubicación predeterminada de archivos deWindows NT
Comentarios
/usr/lpp/iau/pkrf/Domains/SuDominio/logs/puerto-ssl_nombredesistemaprincipal-ssl-error.log
c:\Archivos de programa\IBM\TrustAuthority\pkrf\Domains\SuDominio\logs\puerto-ssl_nombredesistemaprincipal-ssl-error.log
Mensajes de error detransacciones enconexiones HTTPseguras. Pueden ser dedos tipos:Autentificadas paracliente y noautentificadas paracliente.
/usr/lpp/iau/pkrf/Domains/SuDominio/logs/nombredesistema principalerror.log
c:\Archivos de programa\IBM\TrustAuthority\pkrf\Domains\SuDominio\logs\puerto-público_nombredesistemaprincipalerror.log
Mensajes de error detransacciones enconexiones HTTPpúblicas.
Administrar HTTP ServerIBM HTTP Server es el producto servidor Web que gestiona las comunicacionesbasadas en Web con navegadores y otros programas. El daemon HTTP (HTTPD) esel proceso persistente que constituye el núcleo del HTTP Server. Trust Authorityemplea diversos daemons HTTP. Estas instancias de daemon HTTP gestionan lasconexiones públicas, cifradas y las autentificadas y cifradas por el cliente. Consulteel apartado “Servidores Web” en la página 67 para obtener información detalladaacerca de los servidores Web y los distintos tipos de conexión utilizados en TrustAuthority para gestionar varios tipos de transacciones.
Comprobar el estado del HTTP ServerEn función de su entorno, puede comprobar el estado de HTTP Server llevando acabo una de las siguientes series de procedimientos:v En AIX:
1. Inicie la sesión en AIX como usuario root.2. Compruebe la tabla de procesos y busque estas instancias de procesos:
– 1 de sidd
– Como mínimo 2 de httpd
Si encuentra estos tres procesos, pase a 3. Si no ve estas tres instancias,consulte el apartado “Resolución de problemas” en la página 112 dondeobtendrá las instrucciones.
3. Vaya al directorio bin, que tiene la siguiente ruta de acceso predeterminada:/usr/lpp/iau/bin
4. Compruebe los puertos entrando este mandato para cada puerto:checkSrvPortStatus -p puerto -s servidor -r1 -w1
donde puerto es el número del puerto que desea comprobar, y servidor es elnombre del HTTP Server asociado. Consulte la Tabla 13 en la página 68 paraver un resumen de la configuración predeterminada de puerto y de HTTPServer de Trust Authority.
Si el puerto para el que está llevando a cabo la comprobación respondecorrectamente, el sistema muestra el mensaje siguiente:
Capítulo 3. Cómo... 17
Port:puerto on servidor is bound.
donde puerto es el puerto que está comprobando y servidor es el nombre delservidor correspondiente.
v En Windows NT:1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie el Administrador de tareas pulsando las teclas Ctrl, Alt y Supr.3. Seleccione la ficha Procesos.4. Busque dos instancias de Apache.exe de proceso.
Si encuentra estos dos procesos, pase a 5. Si no ve estas dos instancias,consulte el apartado “Resolución de problemas” en la página 112 dondeobtendrá las instrucciones.
5. Desde el indicador de MS DOS, vaya al directorio bin, que tiene la siguienteruta de acceso predeterminada:c:\Archivos de programa\IBM\Trust Authority\bin
6. Compruebe los puertos entrando este mandato para cada puerto:checkSrvPortStatus -p puerto -s servidor -r1 -w1
donde puerto es el número del puerto que desea comprobar, y servidor es elnombre del HTTP Server asociado. Consulte la Tabla 13 en la página 68 paraver un resumen de la configuración predeterminada de puerto y de HTTPServer de Trust Authority.
Si el puerto para el que está llevando a cabo la comprobación respondecorrectamente, el sistema muestra el mensaje siguiente:Port:puerto on servidor is bound.
donde puerto es el puerto que está comprobando y servidor es el nombre delservidor correspondiente.
Comprobar los registros cronológicos de HTTP ServerPuede comprobar los registros cronológicos que registran las transacciones entreIBM HTTP server y el Asistente para la instalación de Trust Authority en lasubicaciones que se muestran en la Tabla 4.
Tabla 4. Registros cronológicos de HTTP Server de transacciones con el Asistente para la instalación
Ubicación predeterminada de archivos deAIX
Ubicación predeterminada de archivos deWindows NT
Comentarios
/usr/lpp/iau/logs/oop_native.log.ERROR c:\Archivos de programa\IBM\TrustAuthority\logs\oop_native.log.ERROR
Mensajes de error de laparte correspondienteal código nativo delsistema fuera deproceso.
/usr/lpp/iau/logs/oop_native.log.INFORM
c:\Archivos de programa\IBM\TrustAuthority\logs\ oop_native.log.INFORM
Mensajes informativosde la partecorrespondiente alcódigo nativo delsistema fuera deproceso.
18 Trust Authority: Guía de administración del sistema
Tabla 4. Registros cronológicos de HTTP Server de transacciones con el Asistente para la instalación (continuación)
Ubicación predeterminada de archivos deAIX
Ubicación predeterminada de archivos deWindows NT
Comentarios
/usr/lpp/iau/logs/oop_native.log.WARNING
c:\Archivos de programa\IBM\TrustAuthority\logs\ oop_native.log.WARNING
Mensajes de aviso de laparte correspondienteal código nativo delsistema fuera deproceso.
Puede comprobar los registros cronológicos que registran las transacciones entreIBM HTTP server y su servicio de registro en las ubicaciones que se muestran en laTabla 5.
Tabla 5. Registros cronológicos del HTTP Server de transacciones con el servicio de registro
Ubicación predeterminada de archivos deAIX
Ubicación predeterminada de archivos deWindows NT
Comentarios
usr/lpp/iau/pkrf/Domain/SuDominio/logs/apache.log.ERROR.PID
c:\Archivos de programa\IBM\TrustAuthority\Domains\SuDominio\logs\apache.log.ERROR.PID
Los mensajes de errorde IBM HTTP Server.
usr/lpp/iau/pkrf/Domain/SuDominio/logs/apache.log.INFORM.PID
c:\Archivos de programa\IBM\TrustAuthority\Domains\SuDominio\logs\apache.log.INFORM.PID
Los mensajesinformativos de IBMHTTP Server.
usr/lpp/iau/pkrf/Domain/SuDominio/logs/apache.log.TRACE.PID
c:\Archivos de programa\IBM\TrustAuthority\Domains\SuDominio\logs\apache.log.TRACE.PID
El registro cronológicode seguimiento de IBMHTTP Server.
Administrar el servidor CAEsta sección proporciona procedimientos operativos y administrativos para elservidor de autoridad de certificados (CA) de Trust Authority. El servidor CAgestiona las tareas correspondientes al servidor para la CA de Trust Authority.Reside junto con su instancia de base de datos DB2 en un sistema remoto o local.
Las tareas que probablemente llevará a cabo para administrar el servidor CA sonlas siguientes:v Utilizar IniEditor para efectuar estos cambios en el archivo de configuración
jonahca.ini:– Cambiar el puerto TCP en el que escucha la CA.– Cambiar el intervalo de sondeo para mensajes PKIX.– Cambiar los valores de la CRL.– Cambiar la política de protección de la ICL.
v Cambiar la clave de protección de la ICL.v Comprobar la integridad de la base de datos del servidor CA.v Utilizar la utilidad CA Certification para la certificación cruzada y la jerarquía
CA.v Comprobar los registros del servidor CA.v Comprobar el estado del servidor CA.v Activar puntos de distribución de la CRL.
Capítulo 3. Cómo... 19
Cambiar el puerto escucha del servidor CAEl puerto escucha del servidor CA es el lugar en el que la CA escucha paradetectar mensajes PKIX. Para cambiar el valor de este puerto, siga estos pasos:
1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado
“Iniciar y detener los componentes de servidor” en la página 7 dondeobtendrá las instrucciones.
3. Inicie IniEditor y cargue el archivo de configuración jonahca.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivosde configuración” en la página 9 donde obtendrá las instrucciones para iniciary utilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtenerinformación acerca de las ubicaciones de los archivos de AIX y Windows NT.
4. Seleccione y expanda la sección Transport y seleccione el parámetro TCPPort.5. En el campo de edición visualizado, cambie el valor del número de puerto.6. Guarde el archivo y salga del programa.7. Reinicie IniEditor y cargue el archivo de configuración jonahra.ini (este
archivo podría hallarse en un equipo local o remoto, en función de suinstalación).
8. Seleccione la sección URLs.9. En el campo de edición visualizado, cambie el valor del número de puerto.
10. Seleccione y expanda la sección General y seleccione el parámetroIssuer1URL1.
11. En el campo de edición visualizado, cambie el valor del número de puerto.12. Guarde el archivo y salga del programa.13. Inicie el sistema Trust Authority.
Cambiar el intervalo de sondeo de la CAEl intervalo de sondeo de la CA es el intervalo de tiempo, en segundos (s),minutos (m) u horas (h) entre consultas a la cola de carga de trabajo por parte delservidor CA. Los elementos de la cola cuya hora de entrega ha transcurrido seentregan para su proceso. Para cambiar el intervalo de sondeo, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración jonahca.ini. Si es necesario,consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de AIX y Windows NT.
4. Seleccione y expanda la sección Transport y seleccione el parámetroPollInterval.
5. En el campo de edición visualizado, cambie el valor del intervalo de sondeo.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.
Cambiar los valores de la CRLUna lista de revocación de certificados (CRL) es una lista de certificados firmadadigitalmente y con indicación de fecha y hora que han sido revocados por una CA.
20 Trust Authority: Guía de administración del sistema
Los siguientes valores pueden cambiarse en el archivo de configuración delservidor CA para modificar la forma en que se maneja la CRL:v El intervalo de tiempo entre la creación planificada de la CRLv El periodo de vigencia de la CRL
Cambiar el tiempo permitido entre la creación de la CRLPara cambiar la política sobre certificados y certificados cruzados con respecto altiempo permitido entre las publicaciones planificadas de una CRL, siga estospasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración jonahca.ini. Si es necesario,consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de AIX y Windows NT.
4. Seleccione y expanda la sección CertPolicy y seleccione el parámetroTimeBetweenCRLs.
5. En el campo de edición visualizado, cambie el valor del intervalo de tiempoentre la creación de nuevas CRL.El valor deberá ser un intervalo en minutos (m), horas (h), o días (d). Porejemplo, 1d. El valor debe ser inferior al valor de duración de la CRL.
6. Seleccione y expanda la sección CrossCertPolicy y seleccione el parámetroTimeBetweenCRLs.
7. En el campo de edición visualizado, cambie el valor del intervalo de tiempoentre la creación de nuevas CRL.El valor deberá ser un intervalo en minutos (m), horas (h), o días (d). Porejemplo, 1d. El valor debe ser inferior al valor de duración de la CRL.
8. Guarde el archivo y salga del programa.9. Inicie el sistema Trust Authority.
Cambiar el periodo de vigencia de una CRLPara cambiar la política sobre certificados y certificados cruzados con respecto a laduración, o periodo de vigencia, de una CRL, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración jonahca.ini. Si es necesario,consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de AIX y Windows NT.
4. Seleccione y expanda la sección CertPolicy y seleccione el parámetroCRLDuration.
5. En el campo de edición visualizado, cambie el valor del intervalo de tiempodurante el cual será válida la CRL. El valor deberá ser un intervalo en minutos(m), horas (h), o días (d). Por ejemplo, 2d.
6. Seleccione y expanda la sección CrossCertPolicy y seleccione el parámetroCRLDuration.
Capítulo 3. Cómo... 21
7. En el campo de edición visualizado, cambie el valor del intervalo de tiempodurante el cual será válida la CRL. El valor deberá ser un intervalo en horas,minutos o días. Por ejemplo, 2d.
8. Guarde el archivo y salga del programa.9. Inicie el sistema Trust Authority.
Cambiar la política de protección de la ICLLa Lista de certificados emitidos (ICL) es una lista de los certificados que se hanemitido y de su estado. La clave de protección de la ICL es una clave cifradaalmacenada en KeyStore de Trust Authority que se utiliza para calcular un valor decódigo de autentificación de mensajes (MAC) en todas las columnas de la ICL. Enlos casos en los que el valor calculado para el MAC no concuerda con el valoralmacenado para el MAC, el sistema consulta la política de protección de la ICL yemprende la acción adecuada.
Para cambiar la política de protección de la ICL, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración jonahca.ini. Si es necesario,consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de AIX y Windows NT.
4. Seleccione y expanda la sección ICL y seleccione el parámetroIclProtectionPolicy.
5. En el campo de edición visualizado, cambie el valor de la política de protecciónde la ICL por uno que se ajuste a las necesidades de su organización. El valordeberá ser uno de los siguientes:v Ignore — El sistema ignora el error de concordancia y no visualiza ningún
mensaje.
Nota: Este valor afecta al funcionamiento de la herramienta decomprobación de la integridad de la CA (se documenta en el apartado“Comprobar la integridad de la base de datos del servidor CA” en lapágina 23). Si especifica Ignore, la herramienta de comprobación de laintegridad de la CA no detectará irregularidades aunque existan.
v ContinueWithMessage — El sistema visualiza un mensaje de aviso peroprosigue con la transacción.
v TerminateTransaction — El sistema visualiza un mensaje de error y finaliza latransacción.
6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.
Cambiar la clave de protección de la ICLLa clave de protección de la ICL no se divulga nunca a un usuario ni a unadministrador. Sin embargo, para protegerse de alteraciones no autorizadas o delas incoherencias en los datos que han pasado inadvertidas, se recomienda quecambie la clave de protección de la ICL de forma periódica. Trust Authorityproporciona una herramienta de línea de mandatos, CARemac, que genera una
22 Trust Authority: Guía de administración del sistema
nueva clave de protección de la ICL para volver a calcular un nuevo valor delMAC. Para cambiar la clave de protección de la ICL, siga estos pasos:1. Vaya al equipo en el que está instalado el servidor CA.2. Detenga el sistema Trust Authority utilizando el procedimiento descrito en el
apartado “Iniciar y detener los componentes de servidor” en la página 7.3. Ejecute la herramienta de la clave de protección de la ICL entrando el mandato
CARemac (que incluye su ruta de acceso de instalación de Trust Authority) enla línea de mandatos de Trust Authority, por ejemplo:v En AIX, al utilizar la ruta de acceso de instalación predeterminada de Trust
Authority:CARemac in /usr/lpp/iau/bin
v En Windows NT, al utilizar la ruta de acceso de instalación predeterminadade Trust Authority:CARemac in "c:Archivos de programa\IBM\Trust Authority\bin"
La herramienta le pedirá la contraseña del Programa de control de TrustAuthority.
4. Entre la contraseña del Programa de control de Trust Authority.5. Inicie el sistema Trust Authority mediante el procedimiento descrito en el
apartado “Iniciar y detener los componentes de servidor” en la página 7.
Comprobar la integridad de la base de datos del servidor CATrust Authority proporciona una herramienta denominada CAIntegrityCheck paradetectar alteraciones en la base de datos del servidor CA. En circunstanciasnormales, la CA lleva a cabo la comprobación de protección sólo en el subconjuntode entradas de la ICL al que está accediendo en ese momento. En otras palabras,sólo comprueba los registros que se seleccionan durante la creación de la CRL yque, por lo tanto, tienen un estado revocado. Por lo tanto, en la mayoría de lasentradas de la ICL no se realiza ninguna comprobación de integridad durante lasoperaciones normales de la CA de Trust Authority.
Si desea comprobar la integridad de la totalidad de la base de datos CA, debeutilizar la herramienta de comprobación de la integridad de la CA. Este ejecutablelee y lleva a cabo la comprobación de integridad en cada entrada de la ICL. Nocambia la clave de protección, pero es necesario concluir la CA mientras esté enejecución.
Para comprobar la integridad de la base de datos del servidor CA, siga estospasos:1. Vaya al equipo en el que está instalado el servidor CA.2. Detenga el sistema Trust Authority utilizando el procedimiento descrito en el
apartado “Iniciar y detener los componentes de servidor” en la página 7.3. Ejecute la herramienta de comprobación de la integridad de la base de datos
CA entrando el siguiente mandato (que incluye su ruta de acceso de instalaciónde Trust Authority) en la línea de mandatos de Trust Authority, por ejemplo:v En AIX, al utilizar la ruta de acceso de instalación predeterminada de Trust
Authority:CAIntegrityCheck in /usr/lpp/iau/bin
v En Windows NT, al utilizar la ruta de acceso de instalación predeterminadade Trust Authority:CAIntegrityCheck in "c:Archivos de programa\IBM\Trust Authority\bin"
Capítulo 3. Cómo... 23
La herramienta le pedirá la contraseña del Programa de control de TrustAuthority.
4. Entre la contraseña del Programa de control de Trust Authority.5. Inicie el sistema Trust Authority mediante el procedimiento descrito en el
apartado “Iniciar y detener los componentes de servidor” en la página 7.
Solicitar un certificado CA empleando la certificación cruzadaPuede solicitar un certificado CA de otra CA en nombre de la CA de TrustAuthority utilizando el modelo de fiabilidad de certificación cruzada. Lacertificación cruzada permite a las CA con fiabilidad mutua acordar la aceptaciónde los certificados respectivos como prueba de autenticidad. Aunque lacertificación cruzada entre las CA puede efectuarse en ambas direcciones, en TrustAuthority sólo se ofrece soporte para las solicitudes de certificación cruzada en unadirección.
Nota: Trust Authority ofrece soporte para la certificación cruzada solamente entrelas CA que se adhieran a CMP (Certificate Management Protocol) PKIX.
Para efectuar la certificación cruzada con otra CA, emplee la utilidad CACertification de Trust Authority. Esta utilidad es una herramienta de línea demandatos. Al iniciar esta herramienta, puede especificar opciones en la extensiónde restricciones de nombres estándar del certificado. Una opción en letraminúscula especifica la inclusión en la lista de subárboles permitidos. Una opciónen letra mayúscula especifica la inclusión en la lista de subárboles excluidos. Esnormal que los subárboles excluidos se especifiquen solamente para los tipos dedirecciones para los que se se especifica asimismo una lista de subárbolespermitidos.
Las siguientes secciones detallan los pasos requeridos y los ejemplos para laobtención de un certificado CA utilizando el modelo de certificación cruzada.
Pasos a seguir con la certificación cruzadaPara solicitar un certificado CA empleando el modelo de certificación cruzada, sigaestos pasos:1. En nombre de la CA que solicite la certificación cruzada, lleve a cabo los pasos
siguientes según las instrucciones sobre inscripciones a través de la Web de laGuía del usuario:a. Lleve a cabo el registro previo especificando que la solicitud es para una
CA.Al completar el formulario de inscripción, asegúrese de entrar un nombredistintivo que coincida con el de la CA solicitante.
b. Compruebe el estado de la solicitud de inscripción.c. Siga la nota al término de la sección para guardar el archivo de registro
previo.2. Transporte el archivo de registro previo al sistema en el que reside la CA que
solicita la certificación cruzada.3. Inicie la sesión en Trust Authority como el usuario que instaló el sistema en el
sistema en el que reside la CA que solicita la certificación cruzada.4. Ejecute el mandato CaCertRq desde la línea de mandatos si se encuentra en
AIX, o desde el indicador de DOS si se encuentra en Windows NT.Al ejecutar el mandato CaCertRq, asegúrese de proporcionar la ruta de accesoabsoluta y el nombre del archivo de registro previo. Consulte el apartado
24 Trust Authority: Guía de administración del sistema
“Utilidad CA Certification” en la página 97 para obtener información acerca dela sintaxis del mandato y las descripciones de los parámetros de dichomandato.
Nota: Al especificar una ruta de acceso de directorio que contenga espaciosintercalados como el parámetro de un mandato, debe especificar la rutade acceso entre comillas dobles (″ ″).Por ejemplo, para el mandatoCaCertRq, especificaría un parámetro -r rutaderegistroprevio con espaciosintercalados de este modo:CaCertRq -d .companyA.com -r "c:\Archivos de programa\IBM\Trust
Auhority\ccprereg.reg" -P 1835 -W Secure99
Especificar una máscara de dirección IPPuede solicitar un certificado CA con certificación cruzada que restrinja la validezdel certificado a un rango de direcciones IP utilizadas por su empresa.
En el ejemplo siguiente, el sistema operativo es AIX, el rango de las direcciones IPutilizadas por su empresa es 9.0.0.0. a 9.255.255.254, el nombre de archivo y la rutade acceso de registro previo son /tmp/ccprereg.reg, y la contraseña es Secure99.Este mandato coloca el rango de direcciones especificado en la lista de subárbolespermitidos:CaCertRq -i 9.0.0.0/255.0.0.0 -r /tmp/ccprereg.reg -P 1835 -W Secure99
Especificar direcciones DNSPuede solicitar un certificado CA con certificación cruzada que restrinja la validezdel certificado a un grupo de direcciones DNS.
En el ejemplo siguiente, se está ejecutando Windows NT y todos los sistemasprincipales CA de Trust Authority tienen direcciones DNS que terminan en.companyA.com. Este mandato coloca las direcciones DNS especificadas en la listade subárboles permitidos:CaCertRq -d .companyA.com -r c:\temp\ccprereg.reg -P 1835 -W Secure99
Nota: Si una dirección DNS empieza por un punto, todos los sistemas principalesque terminen con esa subcadena (incluyendo el ″.″) se colocarán en la listade subárboles. Si no empieza por un punto, sólo se colocará el sistemaprincipal que concuerde con esa cadena.
Por ejemplo,la restricción ″.companyA.com″ concuerda conus.companyA.com, vnet.companyA.com, y w3.software.companyA.com, perono con companyA.com (ni kidcompanyA.com). La restriccióncompanyA.com concuerda con companyA.com pero no conus.companyA.com o el resto. Un subárbol de este tipo, sin un ″.″ inicial,indica solamente un único nodo posible. Las especificaciones sin un ″.″inicial son principalmente útiles para los subárboles excluidos.
Especificar direcciones de correo electrónicoPuede solicitar un certificado CA con certificación cruzada que restrinja la validezdel certificado a un grupo de direcciones de correo electrónico.
En el ejemplo siguiente, se está ejecutando Windows NT, todos los sistemasprincipales CA de Trust Authority tienen direcciones de correo electrónico queterminan en .us.companyA.com, el nombre de archivo y la ruta de acceso deregistro previo son a:\ccprereg.reg y la contraseña es Secure99. Este mandatocoloca las direcciones de correo electrónico especificadas en la lista de subárbolespermitidos:
Capítulo 3. Cómo... 25
CaCertRq -m .us.companyA.com -r a:\ccprereg.reg -P 1835 -W Secure99
Puede solicitar un certificado CA con certificación cruzada que restrinja la validezdel certificado a todas las direcciones excepto una en un grupo de direcciones decorreo electrónico.
En el ejemplo siguiente, se está ejecutando Windows NT, el sistema principal CAde Trust Authority tiene la dirección de correo electrónicooutCA.us.companyA.com, el nombre de archivo y la ruta de acceso de registroprevio son a:\ccprereg.reg y la contraseña es Secure99. Este mandato coloca lasdirecciones de correo electrónico especificadas en la lista de subárboles excluidos:CaCertRq -m .us.companyA.com -M outCA.us.companyA.com -r a:\ccprereg.reg -P 1835
-W Secure99
Especificar los URIPuede solicitar un certificado CA con certificación cruzada que restrinja la validezdel certificado a un grupo de Identificadores de recursos uniformes (los URI, unacategoría de identificadores de la cual los URL son el subconjunto más común).
En el ejemplo siguiente, se está ejecutando AIX, todos los sistemas principales CAde Trust Authority tienen nombres de sistema principal terminados en .xyz.com, elnombre de archivo y la ruta de acceso de registro previo son /tmp/ccprereg.reg yla contraseña es Secure99. Este mandato coloca el URI especificado en la lista desubárboles permitidos:CaCertRq -u .xyz.com -r /tmp/ccprereg.reg -P 1835 -W Secure99
Nota: La parte del nodo (que, en una estructura de árbol, es un punto en el cual seoriginan los elementos subordinados de datos) del URI se ve sometida a lasmismas reglas que las descritas en el apartado “Especificar direccionesDNS” en la página 25, a menos que contenga una dirección IP. En ese caso,se considera una correspondencia exacta.
Especificar entradas del DirectorioPuede solicitar un certificado CA con certificación cruzada que restrinja la validezdel certificado a un grupo de entradas del Directorio con los mismos nombresdistintivos relativos (RDN).
En el ejemplo siguiente, se está ejecutando AIX, todos los RDN de los sistemasprincipales CA de Trust Authority coinciden con los RDN suministrados,/C=US/O=companyA/OU=departmentB, el nombre de archivo y la ruta de accesode registro previo son /tmp/ccprereg.reg y la contraseña es Secure99. Estemandato coloca el RDN especificado en la lista de subárboles permitidos:CaCertRq -n "/C=US/O=companyA/OU=departmentB" -r /tmp/ccprereg.reg -P 1835
-W Secure99
Solicitar un certificado CA empleando el modelo de jerarquíaPuede solicitar un certificado CA de otra CA utilizando el modelo de jerarquía deconfianza. Puede efectuar esta operación, por ejemplo, si su sitio dispone de lainstalación de Trust Authority en varias ubicaciones y desea establecer unajerarquía de confianza entre las CA. Las CA confían en las CA que se hallan porencima de ellas en la jerarquía y aceptan los certificados de esas CA como pruebade autenticidad.
Nota: Trust Authority ofrece soporte para certificación jerárquica solamente entrelas CA que se adhieran al Protocolo de gestión de certificados (CMP) PKIX ya los protocolos PKCS núm. 7 y PKCS núm. 10.
26 Trust Authority: Guía de administración del sistema
Para definir una jerarquía de CA, emplee la utilidad de línea de mandatos CACertification de Trust Authority. Al iniciar esta herramienta, debe especificar por lomenos una opción en la extensión de restricciones de nombres estándar delcertificado (consulte el apartado “Extensiones de certificado” en la página 58 paraver un comentario detallado de las extensiones de certificado). Una opción en letraminúscula especifica la inclusión en la lista de subárboles permitidos. Una opciónen letra mayúscula especifica la inclusión en la lista de subárboles excluidos. Esnormal que los subárboles excluidos se especifiquen solamente para los tipos dedirecciones para los que se se especifica asimismo una lista de subárbolespermitidos.
Nota: Si tiene la intención de descargar los certificados CA jerárquicos en NetscapeCommunicator como parte de su solución global de jerarquía, deberíaemplear el indicador ″-m ..″ con la utilidad CA Certification para excluir laextensión de restricciones de nombres del certificado CA resultante. Nodebería utilizar otra opción de restricciones de nombres de línea demandatos que no sea ″-m ..″ (en otras palabras, no emplee -i/I, -d/D, -u/U,-n/N, ni -m/-M) con la utilidad CA Certification. La sintaxis para unmandato de este tipo tiene este aspecto:CaCertRq -m .. -h -r rutaderegistroprevio -P 1835 -W contraseña
Las siguientes secciones detallan los pasos requeridos y los ejemplos para laobtención de un certificado CA utilizando el modelo de jerarquía.
Pasos para solicitar un certificado CA empleando jerarquíaPara solicitar un certificado CA empleando el modelo de jerarquía, siga estospasos:1. En nombre de la CA que solicite la certificación basada en jerarquía, lleve a
cabo los pasos siguientes según las instrucciones sobre inscripciones a través dela Web de la Guía del usuario:a. Lleve a cabo el registro previo especificando que la solicitud es para una
CA.Al completar el formulario de inscripción, asegúrese de entrar un nombredistintivo que coincida con el de la CA solicitante.
b. Compruebe el estado de la solicitud de inscripción.c. Siga la nota al término de la sección para guardar el archivo de registro
previo.2. Transporte el archivo de registro previo al sistema en el que reside la CA que
solicita el certificado CA basado en jerarquía.3. Inicie la sesión en Trust Authority como el usuario que instaló el sistema en el
sistema en el que reside la CA que solicita el certificado.4. Ejecute el mandato CaCertRq desde la línea de mandatos si se encuentra en
AIX, o desde el indicador de DOS si se encuentra en Windows NT.Al ejecutar el mandato CaCertRq, asegúrese de proporcionar la ruta de accesoabsoluta y el nombre del archivo de registro previo. Consulte el apartado“Utilidad CA Certification” en la página 97 para obtener información acerca dela sintaxis del mandato y las descripciones de los parámetros de dichomandato.
Nota: Al especificar una ruta de acceso de directorio que contenga espaciosintercalados como el parámetro de un mandato, debe especificar la rutade acceso entre comillas dobles (″ ″).Por ejemplo, para el mandatoCaCertRq, especificaría un parámetro -r rutaderegistroprevio con espaciosintercalados de este modo:
Capítulo 3. Cómo... 27
CaCertRq -d .companyA.com -h -r "c:\Archivos de programa\IBM\TrustAuhority\ccprereg.reg" -P 1835 -W Secure99
Especificar una máscara de dirección IPPuede solicitar un certificado CA que herede la jerarquía CA de otra CA y querestrinja la validez del certificado a un grupo de direcciones IP utilizadas por suempresa.
En el ejemplo siguiente, se está ejecutando AIX, el rango de las direcciones IPutilizadas por su empresa va de 9.0.0.0. a 9.255.255.254, el nombre de archivo y laruta de acceso de registro previo son /tmp/ccprereg.reg, y la contraseña esSecure99. Este mandato coloca el rango de direcciones especificado en la lista desubárboles permitidos:CaCertRq -i 9.0.0.0/255.0.0.0 -h -r /tmp/ccprereg.reg -P 1835 -W Secure99
Especificar direcciones DNSPuede solicitar un certificado CA que herede la jerarquía CA de otra CA y querestrinja la validez del certificado a un grupo de direcciones DNS.
En el ejemplo siguiente, se está ejecutando Windows NT, todos los sistemasprincipales CA de Trust Authority tienen direcciones DNS que terminan en.companyA.com, el nombre de archivo y la ruta de acceso de registro previo sona:\ccprereg.reg y la contraseña es Secure99. Este mandato coloca las direccionesDNS especificadas en la lista de subárboles permitidos:CaCertRq -d .companyA.com -h -r a:\ccprereg.reg -P 1835 -W Secure99
Nota: Si una dirección DNS empieza por un punto, todos los sistemas principalesque terminen con esa subcadena (incluyendo el ″.″) se colocarán en la listade subárboles. Si no empieza por un punto, sólo se colocará el sistemaprincipal que concuerde con esa cadena.
Por ejemplo,la restricción ″.companyA.com″ concuerda conus.companyA.com, vnet.companyA.com, y w3.software.companyA.com, perono con companyA.com (ni kidcompanyA.com). La restriccióncompanyA.com concuerda con companyA.com pero no conus.companyA.com o el resto. Un subárbol de este tipo, sin un ″.″ inicial,indica solamente un único nodo posible. Las especificaciones sin un ″.″inicial son principalmente útiles para los subárboles excluidos.
Especificar direcciones de correo electrónicoPuede solicitar un certificado CA que herede la jerarquía CA de otra CA y querestrinja la validez del certificado a un grupo de direcciones de correo electrónico.
En el ejemplo siguiente, se está ejecutando AIX, todos los sistemas principales CAde Trust Authority tienen direcciones de correo electrónico que terminan en.us.companyA.com, el nombre de archivo y la ruta de acceso de registro previo son/tmp/ccprereg.reg y la contraseña es Secure99. Este mandato coloca las direccionesde correo electrónico especificadas en la lista de subárboles permitidos:CaCertRq -m .us.companyA.com -h -r /tmp/ccprereg.reg -P 1835 -W Secure99
Puede solicitar un certificado CA que herede la jerarquía CA de otra CA y querestrinja la validez del certificado a todas las direcciones excepto una de un grupode direcciones de correo electrónico. En el ejemplo siguiente, el sistema principalCA de Trust Authority tiene la dirección de correo electrónicooutCA.us.companyA.com, el nombre de archivo y la ruta de acceso de registro
28 Trust Authority: Guía de administración del sistema
previo son /tmp/ccprereg.reg y la contraseña es Secure99. Este mandato coloca ladirección de correo electrónico especificada en la lista de subárboles excluidos:CaCertRq -m .us.companyA.com -M outCA.us.companyA.com -h -r /tmp/ccprereg.reg -P 1835
Secure99
Especificar los URIPuede solicitar un certificado CA que herede la jerarquía CA de otra CA y querestrinja la validez del certificado a un grupo de Identificadores de recursosuniformes (los URI, una categoría de identificadores de la cual los URL son elsubconjunto más común). En el ejemplo siguiente, se está ejecutando Windows NT,todos los URI de los sistemas principales CA de Trust Authority terminan en.xyz.com, el nombre de archivo y la ruta de acceso de registro previo sona:\ccprereg.reg y la contraseña es Secure99. Este mandato coloca el URIespecificado en la lista de subárboles permitidos:CaCertRq -u .xyz.com -h -r a:\ccprereg.reg -P 1835 -W Secure99
Nota: La parte del nodo del URI está sometida a las mismas reglas que lasdescritas en el apartado “Especificar direcciones DNS” en la página 25, amenos que contenga una dirección IP. En ese caso, se considera unacorrespondencia exacta.
Especificar entradas del DirectorioPuede solicitar un certificado CA que herede la jerarquía CA de otra CA y querestrinja la validez del certificado a un grupo de entradas del Directorio con losmismos nombres distintivos relativos (RDN). En el ejemplo siguiente, se estáejecutando AIX, todos los RDN de los sistemas principales CA de Trust Authoritycoinciden con los RDN suministrados, /C=US/O=companyA/OU=departmentB, elnombre de archivo y la ruta de acceso de registro previo son /tmp/ccprereg.reg yla contraseña es Secure99. Este mandato coloca el RDN especificado en la lista desubárboles permitidos:CaCertRq -n "/C=US/O=companyA/OU=departmentB" -h -r /tmp/ccprereg.reg -P 1835 -W Secure99
Nota: En Trust Authority, se utiliza el formato siguiente para los DN:/C=país/O=organización/OU=unidad_organizativa/CN=nombre_común
Excluir las restricciones de nombresSi tiene la intención de descargar los certificados CA jerárquicos en NetscapeCommunicator como parte de su solución global de jerarquía, debería emplear elindicador ″-m ..″ con la utilidad CA Certification para excluir la extensión derestricciones de nombres del certificado CA resultante. En el siguiente ejemplo, seestá ejecutando Windows NT, se está empleando la ruta de acceso de instalaciónpredeterminada de Trust Authority, el nombre de archivo de registro previo y lacontraseña del sistema. Por ejemplo, una instancia de un mandato de este tipopuede tener este aspecto:CaCertRq -m .. -h -r "c:\Archivos de programa\IBM\Trust Authority\ccprereg.reg" -P 1835 -W Secure9
Comprobar los registros cronológicos del servidor CALos registros cronológicos del servidor CA registran todas las transacciones con elservidor CA. Puede comprobar los registros cronológicos del servidor CA en lasiguiente ubicación.
Capítulo 3. Cómo... 29
Tabla 6. Registros cronológicos del servidor CA
Ubicación predeterminada de archivosde AIX
Ubicación predeterminada dearchivos de Windows NT
Descripción
/usr/lpp/iau/etc/TrustAuthority c:\Archivos deprograma\IBM\TrustAuthority\etc\TrustAuthority
Existe una raíz para el nombre dearchivo del registro cronológico,caSS.log. Cada vez que se crea unnuevo registro, la extensión xnnnnnnse incrementa.
Comprobar el estado del servidor CAEn función de su entorno, puede comprobar el estado del servidor CA llevando acabo una de las siguientes series de procedimientos:v En AIX:
1. Inicie la sesión en AIX como usuario root.2. Compruebe la tabla de procesos y busque este proceso:
irgAutoCa
Si ve este proceso, vaya al paso 3. En caso contrario, consulte el apartado“Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.
3. Vaya al directorio bin, que tiene la siguiente ruta de acceso predeterminada:/usr/lpp/iau/bin
4. Compruebe que el puerto 1835 responda correctamente entrando estemandato:ServerControl -i -c -k CA -n servidor -p 1835 -l "archivoderegistro"
donde servidor es el nombre del servidor CA asociado al puerto 1835, yarchivoderegistro es el nombre del archivo del registro cronológico en el quedesea registrar los resultados del mandato ServerControl.
Si el puerto responde correctamente, el sistema muestra el mensaje siguiente:Se ha verificado que el servicio [CA] se estáejecutando en el servidor: servidor, puerto: 1835.
donde servidor es el servidor asociado al puerto 1835.v En Windows NT:
1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie el Administrador de tareas pulsando las teclas Ctrl, Alt y Supr.3. Seleccione la ficha Procesos.4. Busque el irgAutoCA.exe de proceso.
Si ve este proceso, vaya al paso 5.En caso contrario, consulte el apartado“Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.
5. Desde el indicador de MS DOS, vaya al directorio bin, que tiene la siguienteruta de acceso predeterminada:c:\Archivos de programa\IBM\Trust Authority\bin
6. Compruebe que el puerto 1835 responda correctamente entrando estemandato:ServerControl -i -c -k CA -n servidor -p 1835 -l "archivoderegistro"
30 Trust Authority: Guía de administración del sistema
donde servidor es el nombre del servidor CA asociado al puerto 1835, yarchivoderegistro es el nombre del archivo de registro en el que desea registrarlos resultados del mandato ServerControl.
Si el puerto responde correctamente, el sistema muestra el mensaje siguiente:Se ha verificado que el servicio [CA] se estáejecutando en el servidor: servidor, puerto: 1835.
donde servidor es el servidor asociado al puerto 1835.
Activar puntos de distribución de la CRLPuede activar los puntos de distribución de la CRL llevando a cabo los pasossiguientes:1. Inicie la sesión en su sistema operativo como administrador.2. Detenga el sistema Trust Authority.3. Inicie iniEditor y cargue el archivo de configuración jonahca.ini.4. Seleccione y expanda la sección General y seleccione el parámetro CertperDP.5. En el campo de edición visualizado, cambie el valor por un entero positivo
distinto de cero.6. Todavía en la sección General, seleccione el parámetro CRLDistName.7. En el campo de edición visualizado, cambie el valor por un nombre con
significado; debe mantener ’%d’ en el nombre.8. Guarde el archivo y salga de iniEditor.9. Inicie el sistema Trust Authority.
Administrar el servidor RAEsta sección proporciona procedimientos operativos y administrativos para elservidor de autoridad de registro (RA) de Trust Authority. El servidor RA gestionalas comunicaciones entre RA Desktop y el servidor CA. Reside junto con suinstancia de base de datos DB2 en un sistema local.
Las tareas que probablemente llevará a cabo para administrar el servidor RA sonlas siguientes:v Emplear la utilidad Add RA User (add_rauser) para agregar usuarios al sistema
como responsable de registross (administradores de RA).v Emplear la utilidad Enable RA Database Encryption (iauEnableRADBSec) para
activar el cifrado de la base de datos RA.v Utilizar IniEditor para efectuar estos cambios en el archivo de configuración
jonahra.ini:– Cambiar el puerto escucha del servidor RA.– Cambiar el intervalo de sondeo de la RA.– Cambiar el intervalo de reintentos de la RA.– Cambiar la configuración de la RA para las comunicaciones con el Directorio.
v Comprobar los registros del servidor RA.v Comprobar el estado del servidor RA.
Agregar responsable de registrossUsted es el responsable de agregar nuevos responsable de registross al sistema. Unusuario al que se le ha concedido la autoridad de responsable de registros puede
Capítulo 3. Cómo... 31
desempeñar las funciones y acceder a los recursos restringidos definidos en uno delos perfiles de RA especificados en el archivo de configuración del servicio deregistro de Trust Authority. Para poder agregar un nuevo responsable de registros,debe ser un administrador de RA. Esta sección describe los procedimientos paraobtener las credenciales del administrador de RA y, seguidamente, agregar unadministrador de RA.
Agregarse como el primer responsable de registrosPara agregarse al sistema Trust Authority como un responsable de registros, sigaestos pasos:1. Si no tiene uno, solicite y obtenga un certificado de navegador. Consulte la Guía
del usuario donde obtendrá instrucciones.2. Anote uno de los siguientes códigos de identificación:v El ID de solicitud generado para usted durante la inscripción en el
navegador.Es posible que aún lo tenga si se inscribió recientemente para un certificadode navegador.
v La identificación de usuario exclusivo de credencial (UUID de credencial)generada como resultado de una inscripción en el navegador correcta.Puede obtener su UUID de credencial siguiendo estos pasos:a. Inicie una sesión interactiva de línea de mandatos de DB2. Según su
sistema operativo, utilice una de las siguientes series de procedimientos:– En AIX:
1) En el indicador, entre el mandato su para cambiar a la cuenta deadministración del usuario que instaló Trust Authority.
2) Entre la contraseña para ese usuario de Trust Authority.3) Entre db2 para iniciar la sesión DB2.4) En el indicador de DB2, conecte con la base de datos entrando:
connect to pkrfdb
En este caso, se asume la base de datos de registro por defecto,pkrfdb.
– En Windows NT:1) En la barra de herramientas de Windows, seleccione Inicio →
Programas → DB2 para Windows NT → Procesador de línea demandatos
2) En el indicador, entre DB2.3) Entre connect to pkrfdb.
En este caso, se asume la base de datos de registro por defecto,pkrfdb.
b. En el indicador de DB2, entre un mandato SQL como el siguiente:select last_name, first_name, credential_uuid, created_on from requests
where last_name = 'suapellido' and first_name = 'sunombre' andprofile_name like '%BrowserCert%'
Si la operación se ha realizado satisfactoriamente, el sistema devuelve elapellido, el nombre, la UUID credencial y la indicación de la fecha y horapara todos los informes coincidentes. En este caso, la informacióndevuelta es la del informe de solicitud para su certificado de navegadoraprobado.
c. Entre quit para finalizar la sesión DB2.
32 Trust Authority: Guía de administración del sistema
3. Siga las instrucciones del apartado “Agregar un responsable de registros”empezando por el paso 3 para finalizar el proceso de agregarse al sistema comoel primer responsable de registros.
Agregar un responsable de registrosSegún los procedimientos establecidos por su organización, una solicitud paraagregar un responsable de registros podría efectuarse de varias formas, desde unallamada de teléfono informal a un proceso de solicitud más formal. En la mayoríade las organizaciones, para poder optar al estado de responsable de registros, debehaberse emitido para el usuario un certificado de navegador SSL. Los usuariospueden solicitar certificados de navegador siguiendo los procedimientos deinscripción estándar basada en navegador que se detallan en la Guía del usuario deTrust Authority.
Trust Authority proporciona la utilidad de línea de mandatos add_rauser paraagregar un responsable de registros. La sintaxis para este mandato se documentaen el apartado “Utilidad Add RA User” en la página 99.
Después de recibir una solicitud, siga estos pasos para agregar un responsable deregistros al sistema:1. Compruebe el estado de la solicitud de certificado de navegador SSL del futuro
responsable de registros.Para ello, acceda a RA Desktop y siga los procedimientos documentados en laGuía de Registration Authority Desktop para enviar una consulta y ver losresultados de la consulta.
2. Si se ha emitido un certificado, obtenga la UUID de credencial asociada alcertificado.
Nota: También, puede utilizar el ID de solicitud generado durante unainscripción en el navegador correcta para obtener un certificado.
Para obtener la UUID de credencial, localice el informe de base de datosasociado al certificado aprobado y visualice los atributos del informe. Debebuscar el atributo de UUID de credencial que utilizará como uno de losparámetros del mandato add_rauser.
3. Según su entorno, lleve a cabo uno de los pasos siguientes:v En AIX:
a. Vaya al directorio de instalación raíz. Si emplea la raíz predeterminadapara la instalación, el mandato tiene este aspecto:cd /usr/lpp/iau/bin
b. Entre un mandato como el siguiente:./add_rauser /usr/lpp/iau/pkrf/etc/domain.cfg SuDominio aBcXyZ==
RAUser
donde:– /usr/lpp/iau/pkrf/etc/domain.cfg es la ruta de acceso raíz de
instalación predeterminada de Trust Authority y el archivo deconfiguración de dominio.
– SuDominio es el dominio de registro predeterminado.– aBcXyZ== es un ejemplo de un ID de solicitud o UUID de credencial.– RAUser es el perfil de acceso opcional.
Capítulo 3. Cómo... 33
v En Windows NT:a. Vaya al directorio de instalación raíz. Si emplea la raíz predeterminada
para la instalación, el mandato tiene este aspecto:cd "c:\Archivos de programa\IBM\Trust Authority\bin"
b. Entre un mandato como el siguiente:add_rauser "c:\Archivos de programa\IBM\Trust Authority\pkrf\etc\domain.cfg"
SuDominio aBcXyZ== RAUser
donde:– c:\Archivos de programa\IBM\Trust Authority\pkrf\etc\domain.cfg
es la ruta de acceso raíz de instalación predeterminada de TrustAuthority y el archivo de configuración de dominio.
Nota: Al especificar una ruta de acceso de directorio que contengaespacios intercalados como el parámetro de un mandato, debeespecificar la ruta de acceso entre comillas dobles (″ ″).
– SuDominio es el dominio de registro predeterminado.– aBcXyZ== es un ejemplo de un ID de solicitud o UUID de credencial.– RAUser es el perfil de acceso opcional.
Cuando se completa el mandato, el sistema visualiza un mensaje que indica sise ha realizado satisfactoriamente o no.
Activar el cifrado en la base de datos RAComo valor predeterminado, la información almacenada en la base de datos delservicio de registro no está cifrada. Después de configurar el sistema TrustAuthority, puede activar el cifrado de la base de datos ejecutando el programaiauEnableRADBSec. Al ejecutar iauEnableRADBSec, el programa examina elarchivo raconfig.cfg para detectar si ya se halla activado el cifrado de la base dedatos. Si no se ha activado, el programa iauEnableRADBSec lo activa; si se haactivado, el programa emite un mensaje y finaliza.
El programa iauEnableRADBSec actualiza las entradas RADATABASE yafservice.RADB en el archivo raconfig.cfg con las claves de cifrado generadas.Seguidamente, cifra y codifica en Base 64 los valores para estas entradas.
Nota: Se creará una copia de seguridad del archivo raconfig.cfg en el subdirectorioetc del directorio de instalación raíz virtual configurado para su dominio deregistro (el valor especificado para el directorio de instalación raíz en elAsistente para la instalación). La copia de seguridad se denominaraconfig.cfg.ERADSBKUP.
Según su sistema operativo, utilice uno de los siguientes procedimientos paraactivar el cifrado de la base de datos RA:v En AIX:
1. Inicie la sesión como usuario root:su - root
2. Cambie al subdirectorio bin de su directorio de instalación. Este ejemploutiliza la ruta de acceso de instalación de Trust Authority predeterminada:cd /usr/lpp/iau/bin
3. Ejecute el programa iauEnableRADBSec del modo siguiente. Este ejemploutiliza el directorio de instalación y el nombre de dominio de registro deTrust Authority predeterminados:
34 Trust Authority: Guía de administración del sistema
./iauEnableRADBSec -d SuDominio -r /usr/lpp/iau
v En Windows NT:1. Inicie la sesión como el usuario de configuración de Trust Authority
(normalmente cfguser).2. Cambie al subdirectorio bin de su directorio de instalación. Este ejemplo
utiliza la ruta de acceso de instalación de Trust Authority predeterminada:cd "c:\Program Files\IBM\Trust Authority\bin"
3. Ejecute el programa iauEnableRADBSec del modo siguiente. Este ejemploutiliza el directorio de instalación y el nombre de dominio de registro deTrust Authority predeterminados:iauEnableRADBSec -d SuDominio -r "c:\Archivos de programa\IBM\Trust Authority"
Cambiar el puerto de escucha del servidor RAEl puerto de escucha del servidor RA es el lugar en el que la RA escucha paradetectar mensajes PKIX. Para cambiar el valor de este puerto, siga estos pasos:
1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado
“Iniciar y detener los componentes de servidor” en la página 7 dondeobtendrá las instrucciones.
3. Inicie IniEditor y cargue el archivo de configuración jonahra.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivosde configuración” en la página 9 donde obtendrá las instrucciones para iniciary utilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtenerinformación acerca de las ubicaciones de los archivos de AIX y Windows NT.
4. Seleccione y expanda la sección Transport y seleccione el parámetro TCPPort.5. En el campo de edición visualizado, cambie el valor del número de puerto.6. Guarde el archivo y salga del programa.7. Reinicie IniEditor y cargue el archivo de configuración jonahca.ini (este
archivo podría hallarse en un equipo local o remoto, en función de suinstalación).
8. Seleccione la sección URLs.9. En el campo de edición visualizado, cambie el valor del número de puerto.
10. Guarde el archivo y salga del programa.11. Inicie el sistema Trust Authority.
Cambiar el intervalo de sondeo de la RAEl intervalo de sondeo de la RA es el intervalo de tiempo, en segundos (s),minutos (m) u horas (h) entre consultas a la cola de carga de trabajo por parte delservidor RA. Los elementos de la cola cuya hora de entrega ha transcurrido seentregan para su proceso. Para cambiar el intervalo de sondeo, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración jonahra.ini. Si es necesario,consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de AIX y Windows NT.
Capítulo 3. Cómo... 35
4. Seleccione y expanda la sección Transport y seleccione el parámetroPollInterval.
5. En el campo de edición visualizado, cambie el valor del intervalo de sondeo.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.
Cambiar el intervalo de reintento de la RAEl intervalo de reintento de la RA es el intervalo de tiempo, en segundos (s),minutos (m) u horas (h) entre consultas a la CA por parte de la RA en caso de quela hora de sondeo enviada de la CA a la RA sea anterior a la indicación horariaactual de la RA. Para cambiar el intervalo de reintento de la RA, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración jonahra.ini. Si es necesario,consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de AIX y Windows NT.
4. Seleccione y expanda la sección Transport y seleccione el parámetroRetryInterval.
5. En el campo de edición visualizado, cambie el valor del intervalo de reintento.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.
Comprobar los registros cronológicos del servidor RAPuede comprobar los registros cronológicos del servidor RA en las ubicaciones quese muestran en la Tabla 7.
Tabla 7. Registros cronológicos del servidor RA
Ubicación predeterminada de archivos deAIX
Ubicación predeterminada de archivos deWindows NT
Descripción
/usr/lpp/iau/pkrf/Domains/SuDominio/logs/
c:\Archivos de programa\IBM\TrustAuthority\pkrf\Domains\SuDominio\logs\
Los archivos delregistro cronológicotienen el nombreirgrasvr y la extensión.log.número_aleatorio
Nota: Tal y como se entrega, el servidor RA no registra la actividad operativa. Paraactivar el registro del servidor RA en el nivel de depuración, consulte“Resolución de problemas con el servicio de mensajes de nivel dedepuración activado” en la página 112 para obtener información acerca delas instrucciones y los niveles recomendados.
Comprobar el estado del servidor RAEn función de su entorno, puede comprobar el estado del servidor RA llevando acabo una de las siguientes series de procedimientos:v En AIX:
1. Inicie la sesión en AIX como usuario root.
36 Trust Authority: Guía de administración del sistema
2. Compruebe la tabla de procesos y busque este proceso:irgrasvr
Si ve este proceso, vaya al paso 3. En caso contrario, consulte el apartado“Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.
3. Vaya al directorio bin, que tiene la siguiente ruta de acceso predeterminada:/usr/lpp/iau/bin
4. Compruebe que el puerto 29783 responda correctamente entrando estemandato:ServerControl -i -c -k RA -n servidor -p 29783 -l "archivoderegistro"
donde servidor es el nombre del servidor RA asociado al puerto 29783, yarchivoderegistro es el nombre del archivo de registro cronológico en el quedesea registrar los resultados del mandato ServerControl.
Si el puerto responde correctamente, el sistema muestra el mensaje siguiente:Se ha verificado que el servicio [RA] se estáejecutando en el servidor: servidor, puerto: 29783.
donde servidor es el servidor asociado al puerto 29783.v En Windows NT:
1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie el Administrador de tareas pulsando las teclas Ctrl, Alt y Supr.3. Seleccione la ficha Procesos.4. Busque el irgrasvr.exe de proceso.
Si ve este proceso, vaya al paso 5.En caso contrario, consulte el apartado“Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.
5. Desde el indicador de MS DOS, vaya al directorio bin, que tiene la siguienteruta de acceso predeterminada:c:\Archivos de programa\IBM\Trust Authority\bin
6. Compruebe que el puerto 29783 responda correctamente entrando estemandato:ServerControl -i -c -k CA -n servidor -p 29783 -l"archivoderegistro"
donde servidor es el nombre del servidor RA asociado al puerto 29783, yarchivoderegistro es el nombre del archivo de registro cronológico en el quedesea registrar los resultados del mandato ServerControl.
Si el puerto responde correctamente, el sistema muestra el mensaje siguiente:Se ha verificado que el servicio [RA] se estáejecutando en el servidor: servidor, puerto: 29783.
donde servidor es el servidor asociado al puerto 29783.
Capítulo 3. Cómo... 37
Cambiar los valores de la RA para las comunicaciones con elDirectorio
El servidor RA se comunica con el servidor del Directorio IBM SecureWay paraayudar a gestionar el proceso de registro. Los siguientes valores pueden cambiarseen el archivo de configuración del servidor RA para modificar la forma en que laRA se comunica con el Directorio:v Nombre de sistema principal y puerto del servidor del Directoriov Intervalo de envío
Cambiar los valores de la RA para reflejar el nombre de sistemaprincipal y el puerto del servidor del DirectorioPara comunicarse de forma eficaz con el Directorio, la RA necesita el nombre desistema principal correcto y el puerto correcto en el que escucha el Directorio. Paracambiar el nombre de sistema principal y el puerto que la RA espera utilizar parasus comunicaciones del Directorio, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración jonahra.ini. Si es necesario,consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de AIX y Windows NT.
4. Seleccione y expanda la sección LDAP y seleccione el parámetro Server1.5. En el campo de edición visualizado, cambie los valores del nombre de sistema
principal y del número de puerto.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.
Cambiar los valores de la RA para reflejar el intervalo de envíodel servidor del DirectorioEl intervalo de envío es el tiempo entre comprobaciones por parte de la RA paradetectar si hay información que deba enviarse al Directorio, como nuevoscertificados de usuario o nuevas CRL.
Para cambiar el intervalo de envío de la RA, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración jonahra.ini. Si es necesario,consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de AIX y Windows NT.
4. Seleccione y expanda la sección LDAP y seleccione el parámetro PostInterval.5. En el campo de edición visualizado, cambie el valor del parámetro PostInterval.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.
38 Trust Authority: Guía de administración del sistema
Administrar el subsistema de auditoríaPara administrar el subsistema de auditoría, desempeñará el papel deadministrador de auditoría. Para efectuar algunas de las tareas de administraciónde auditoría, debe tener una contraseña. Consulte el apartado “Cambiar lascontraseñas de Trust Authority” en la página 5 si tiene que cambiar la contraseñadel administrador de auditoría.
El servidor de auditoría es un proceso permanente de Trust Authority que recibeeventos de auditoría de componentes de Trust Authority y los graba en un registrocronológico de auditoría. Se instala, junto con su base de datos DB2, en un sistemalocal o remoto. El servidor de auditoría debe hallarse en el mismo sistema que elservidor CA.
Las tareas que probablemente llevará a cabo para administrar el subsistema deauditoría son las siguientes:v Utilizar las dos vistas de la base de datos de Trust Authority para ver los
informes de auditoría en la base de datos de auditoría.v Utilizar las herramientas de DB2 UDB para buscar los informes de auditoría o
generar informes de de auditoría.v Utilizar IniEditor para efectuar estos cambios en el archivo de configuración
AuditClient.ini:– Cambiar el puerto para el servidor de auditoría.– Cambiar el modo en el que los eventos se envían desde el cliente de
auditoría.v Utilizar IniEditor para efectuar estos cambios en el archivo de configuración
AuditServer.ini:– Cambiar el puerto en el que escucha el servidor de auditoría.– Cambiar los reintentos para que el cliente de auditoría enlace con el servidor
de auditoría.– Cambiar el tiempo entre los intentos de enlace.– Cambiar los valores del registro cronológico para los registros cronológicos de
eventos, auditoría, seguimiento y errores.v Emplear la utilidad Audit Archive and Sign para modificar y firmar los archivos
de registro cronológico de auditoría.v Emplear la utilidad Audit Integrity Check para comprobar la integridad de la
base de datos del servidor de auditoría y los archivos modificados.v Comprobar el estado del servidor de auditoría.v Comprobar los registros cronológicos del servidor de auditoría.
Ver los registros de auditoríaPuede ver los registros de auditoría en la Base de datos DB2 de auditoríautilizando dos vistas de Trust Authority. Al emplear estas vistas de base de datos,puede ver todos los registros de auditoría almacenados actualmente en la base dedatos. Los registros de auditoría se almacenan en la tabla de bases de datos,audit_log. Muchas de las columnas en esta tabla son códigos enteros cortos quehacen referencia a otras tablas. Estas tablas contienen la descripción textualcompleta o los nombres de los campos en el informe (que en la base de datoscorresponden a las columnas en la tabla). Consulte el apartado “Datos de la basede datos de auditoría” en la página 106 para obtener información acerca de losnombres de los campos y las descripciones de todas las tablas en el esquema de labase de datos de auditoría.
Capítulo 3. Cómo... 39
Las dos vistas son las siguientes:v viewar
Esta es la vista básica que proporciona acceso a todas las descripciones textualessin truncamientos.
v viewar_tEsta vista es la misma que viewar, exceptuando que todas las columnas de textose truncan a 40 caracteres.
Nota: En Windows NT, si consulta la base de datos viewar_t utilizando lainterfaz del Centro de control de DB2, la salida de la opción de contenidode ejemplo aparece vacía debido al truncamiento. El procedimientodocumentado en esta sección proporciona una solución para esteproblema.
Los nombres de columna de las vistas se muestran en la Tabla 8.
Tabla 8. Descripciones de las columnas para las vistas de la base de datos de auditoría deTrust Authority
Nombre de columna Descripción Tipo de datos
serial_num El número de serie delinforme de auditoría
entero
sourcetime El indicador de la fecha y lahora en que el cliente generóel evento de auditoría
indicador de fecha y hora
createtime El indicador de la fecha y lahora en que se creó elinforme de auditoría
indicador de fecha y hora
event El nombre del evento varchar
source El cliente de auditoría quegeneró el evento de auditoría
varchar
component El tipo de componente delcliente de auditoría quegeneró el evento de auditoría
varchar
auth_entity La entidad que autorizó elevento de auditoría
varchar
auth_role La función de la entidad queautorizó el evento deauditoría
varchar
affected_entity La identidad de la entidadafectada por el evento deauditoría
varchar
affected_entity_type El tipo de la entidad afectada varchar
storage_media El medio de almacenamientoasociado al evento deauditoría
varchar
extra_info Información adicionalasociada al evento deauditoría
varchar
Para ver los informes de la base de datos de auditoría de Trust Authority, sigaestos pasos:
40 Trust Authority: Guía de administración del sistema
1. Inicie la sesión como el usuario de Trust Authority (el usuario que instaló TrustAuthority).
2. Inicie una sesión interactiva de línea de mandatos de DB2.
Nota: Si está ejecutando Windows NT, una variable de código de páginadefinida después de la instalación puede haber provocado que lascolumnas char y varchar visualicen caracteres incorrectos en la ventanade mandatos de DB2. Para corregir esta situación, entre los siguientesmandatos antes de entrar sentencias SQL de DB2:set DB2CODEPAGE=db2 terminate
Seguidamente, reinicie la sesión DB2.3. En la línea de mandatos de DB2, entre el mandato siguiente para conectar con
la base de datos de auditoría:connectto nombre_de_su_base_de_datos_de_auditoría
Por ejemplo, para una base de datos llamada adtdb, entre:connect to adtdb
4. Consulte la base de datos empleando una de las vistas de Trust Authority delmodo siguiente:v Para consultar la vista viewvar, entre este mandato:
"select * from viewvar"
v Para consultar la vista viewvar_t, entre este mandato:"select * from viewvar_t"
El sistema muestra todas las columnas descritas en la Tabla 8 en la página 40para todos los informes de la base de datos de auditoría.
5. Para filtrar la vista de los informes de auditoría, utilice la cláusula where SQL.Por ejemplo, para consultar informes para un determinado intervalo de fechas,entre el mandato siguiente:"select * from viewar where sourcetime between '1999-07-01-08.00.00' and'1999-07-02-08.00.00'"
Consulte la publicación IBM DB2 Universal Database SQL Reference, Versión 5.2para obtener detalles acerca de la sentencia SQL select. Consulte la publicaciónIBM DB2 Universal Database Command Reference, Versión 5.2 para obtener detallesacerca del mandato db2.
Buscar informes de auditoríaPara buscar informes de auditoría, consulte la publicación IBM DB2 UniversalDatabase SQL Reference, Versión 5.2 donde obtendrá instrucciones.
Cambiar el puerto del servidor de auditoría en el cliente deauditoría
El puerto del servidor de auditoría es el lugar en el que el Servidor de Auditoríaescucha para detectar nuevas conexiones del cliente de auditoría. Para que elcliente de auditoría se comunique con el servidor de auditoría de forma eficaz, elcliente de auditoría debe tener el puerto correcto para el servidor de auditoría.Para cambiar los valores del puerto del servidor de auditoría en el archivo deconfiguración del cliente de auditoría, siga estos pasos:
Capítulo 3. Cómo... 41
1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración AuditClient.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.
4. Seleccione y expanda la sección Connection y seleccione el parámetro Port.5. En el campo de edición visualizado, cambie el valor del puerto para el servidor
de auditoría.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.8. Asegúrese de que el valor de puerto modificado coincida con el valor de puerto
del parámetro acceptor.arg en el archivo AuditServer.ini ubicado en el servidorde auditoría.
Cambiar el modo en que se envían los eventos desde elcliente de auditoría
El cliente de auditoría envía los eventos de auditoría al servidor de auditoría.Puede impedir que se envíen algunos eventos al servidor de auditoría ajustandouna máscara de auditoría en el archivo AuditClient.ini. De todas formas, algunoseventos son obligatorios. Consulte el apartado “Eventos de auditoría” en lapágina 103 para determinar los eventos que son obligatorios. Puede ajustar elnúmero de intentos después del primero que efectuará el cliente de auditoría paraenviar eventos al Servidor de Auditoría. También puede especificar el intervalo detiempo de espera en milisegundos entre reintentos.
Especificar una máscara de auditoríaPara especificar una máscara de auditoría, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración AuditClient.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.
4. Seleccione y expanda la sección CA y seleccione el parámetro ExcludedEvents.5. En el campo de edición visualizado, agregue los nombres de los eventos de
auditoría generados por la CA que desea que retenga el cliente de auditoría.Los nombres de los eventos de auditoría deberían delimitarse mediante comas.Asegúrese de especificar solamente eventos opcionales.
6. Seleccione y expanda la sección RA y seleccione el parámetro ExcludedEvents.7. En el campo de edición visualizado, agregue los nombres de los eventos de
auditoría generados por la RA que desea que retenga el cliente de auditoría.Los nombres de los eventos de auditoría deberían delimitarse mediante comas.
42 Trust Authority: Guía de administración del sistema
Asegúrese de especificar solamente eventos opcionales. Consulte el apartado“Eventos de auditoría” en la página 103 para obtener información acerca de losnombres de los eventos de auditoría.
8. Guarde el archivo y salga del programa.9. Inicie el sistema Trust Authority.
Cambiar el número de reintentos para enviar eventosPara cambiar el número de intentos que efectuará el cliente de auditoría paraenviar eventos al servidor de auditoría después del intento inicial, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración AuditClient.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.
4. Seleccione y expanda la sección Connection y seleccione el parámetro Retries.5. En el campo de edición visualizado, cambie el valor del parámetro Retries.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.
Cambiar el intervalo entre reintentosPara especificar el intervalo entre reintentos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración AuditClient.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.
4. Seleccione y expanda la sección Connection y seleccione el parámetro Timer.5. En el campo de edición visualizado, cambie el valor del parámetro Timer.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.
Cambiar el puerto en el que escucha el servidor de auditoríaEl puerto del servidor de auditoría es el lugar en el que el servidor de auditoríaescucha para detectar nuevas conexiones del cliente de auditoría. Para cambiar losvalores del puerto del servidor de auditoría en el archivo de configuración delservidor de auditoría, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
Capítulo 3. Cómo... 43
3. Inicie IniEditor y cargue el archivo de configuración AuditServer.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.
4. Seleccione y expanda la sección Server Port y seleccione el parámetroacceptor.arg.
5. En el campo de edición visualizado, cambie el valor del número de puerto.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.8. Asegúrese de que el valor del puerto de servidor modificado se propague a
todos los archivos AuditClient.ini locales y remotos. Consulte el apartado“Cambiar el puerto del servidor de auditoría en el cliente de auditoría” en lapágina 41 para obtener más información.
Cambiar intentos de enlace entre el cliente de auditoría y elservidor de auditoría
Para cambiar el número de veces que el cliente de auditoría intenta enlazar con elservidor de auditoría, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración AuditServer.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.
4. Seleccione y expanda la sección Server Port y seleccione el parámetroacceptor.init.retries.
5. En el campo de edición visualizado, cambie el valor de los intentos de enlace.El valor predeterminado es 3.
6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.
Cambiar el intervalo entre intentos de enlacePara cambiar el intervalo entre los intentos por parte del cliente de auditoría deenlazar con el servidor de auditoría, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración AuditServer.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.
44 Trust Authority: Guía de administración del sistema
4. Seleccione y expanda la sección Server Port y seleccione el parámetroacceptor.init.delay.
5. En el campo de edición visualizado, cambie el valor de tiempo, en segundos,entre intentos de enlace. El valor predeterminado es 3 (el programa asume queson segundos).
6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.
Cambiar los valores del registro cronológicoPuede cambiar la configuración en el archivo de configuración AuditServer.ini paralos siguientes tipos de registros cronológicos:v Registro cronológico de eventos — Para capturar eventos de auditoríav Registro cronológico de auditoría — Para almacenar eventos de auditoría con
integridad protegida en una base de datosv Registro cronológico de seguimiento — Para seguir la actividad de programav Registro cronológico de errores — Para los mensajes de error
Cambiar el modo en que se capturan los eventos de auditoría enun archivoEl registro cronológico de eventos es el archivo empleado para capturareventos.Puede cambiar los valores de los parámetros de configuración de lossiguientes elementos:v El nombre de archivo y la ruta de acceso del registro cronológico de eventosv Si debe agregarse o sobrescribirse el registro cronológico de eventos
Para cambiar los valores que afectan al modo en que se capturan los eventos, sigaestos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración AuditServer.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.
4. Seleccione y expanda la sección Event Log. Seguidamente:v Para cambiar la ruta de acceso o el nombre de archivo del registro
cronológico de eventos:a. Seleccione el parámetro event.log.filename.b. En el campo de edición visualizado, cambie el valor de la ruta de acceso
o el nombre de archivo.v Para cambiar el distintivo que indica si debe agregarse o sobrescribirse el
registro cronológico de eventos:a. Seleccione el parámetro event.log.append.b. En el campo de edición visualizado, cambie el valor del parámetro.
Deberá ser true para agregar o false para sobrescribir.5. Guarde el archivo y salga del programa.6. Inicie el sistema Trust Authority.
Capítulo 3. Cómo... 45
Cambiar el modo en que se registran cronológicamente loseventos de auditoría en la base de datosEl registro cronológico de auditoría es un conjunto de tablas de base de datos cuyaintegridad está protegida que se utilizan para almacenar eventos de auditoría. Elregistro cronológico de auditoría contiene un informe por evento de auditoría.Puede cambiar los valores de los parámetros de configuración para los siguienteselementos:v Número de reintentos permitidos para conectar con la base de datos del registro
cronológico de auditoríav Número de reintentos permitidos para actualizar la base de datos del registro
cronológico de auditoríav Valor de tiempo de espera, en segundos, permitido para actualizar el registro
cronológico de auditoría
Para cambiar los valores que afectan al modo en el que se registrancronológicamente los eventos de auditoría, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración AuditServer.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.
4. Seleccione y expanda la sección Audit. Seguidamente:v Para cambiar el número de reintentos permitidos para conectar con el
registro cronológico de auditoría:a. Seleccione el parámetro audit.log.connect.retries.b. En el campo de edición visualizado, cambie el valor del parámetro. Se
tratará de un entero.v Para cambiar el número de reintentos permitidos para actualizar el registro
cronológico de auditoría:a. Seleccione el parámetro audit.log.update.retries.b. En el campo de edición visualizado, cambie el valor del parámetro. Se
tratará de un entero.v Para cambiar el valor de tiempo de espera para actualizar el registro
cronológico de auditoría:a. Seleccione el parámetro audit.log.timeout.b. En el campo de edición visualizado, cambie el valor del parámetro. Se
tratará de un intervalo.5. Guarde el archivo y salga del programa.6. Inicie el sistema Trust Authority.
Cambiar la configuración del registro cronológico deseguimientoEl registro cronológico de seguimiento proporciona un informe de la ejecución deun programa del sistema. Muestra las secuencias en las que se han ejecutado lasinstrucciones. Se utiliza principalmente con fines de depuración. Puede cambiar losvalores de los parámetros de configuración para los siguientes elementos:
46 Trust Authority: Guía de administración del sistema
v Si debe activarse o desactivarse el seguimientov El nivel de seguimientov El nombre de archivo y la ruta de acceso del registro cronológico de seguimientov Si debe agregarse o sobrescribirse el archivo de seguimiento existente
Para cambiar la configuración del registro cronológico de seguimiento, siga estospasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
3. Inicie IniEditor y cargue el archivo de configuración AuditServer.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.
4. Seleccione y expanda la sección Trace. Seguidamente:v Para activar o desactivar el seguimiento
a. Seleccione el parámetro trace.enable.b. En el campo de edición visualizado, cambie el valor del parámetro.
Deberá ser true para activar o false para desactivar.v Para cambiar el nivel de seguimiento:
a. Seleccione el parámetro trace.level.name.b. En el campo de edición visualizado, cambie el valor del parámetro. Se
tratará de una cadena.Consulte el apartado “Niveles de seguimiento” enla página 91 para ver una lista de los niveles de seguimiento.
v Para cambiar el nombre de archivo o la ruta de acceso del registro deseguimiento:a. Seleccione el parámetro trace.log.filename.b. En el campo de edición visualizado, cambie el valor del parámetro. Se
tratará de una cadena.v Para cambiar si debe agregarse o sobrescribirse el archivo de seguimiento
existente:a. Seleccione el parámetro trace.log.append.b. En el campo de edición visualizado, cambie el valor del parámetro.
Deberá ser true para agregar o false para sobrescribir.5. Guarde el archivo y salga del programa.6. Inicie el sistema Trust Authority.
Cambiar el nombre de archivo y la ruta de acceso del registrocronológico de erroresEl registro cronológico de errores contiene mensajes de error relacionados con elsubsistema de auditoría. Para cambiar el nombre de archivo y la ruta de acceso delregistro cronológico de eventos, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar
y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.
Capítulo 3. Cómo... 47
3. Inicie IniEditor y cargue el archivo de configuración AuditClient.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.
4. Seleccione y expanda la sección Error y seleccione el parámetroerror.log.filename.
5. En el campo de edición visualizado, cambie el valor del parámetroerror.log.filename.
6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.
Generar informes de auditoríaPara generar informes de auditoría, consulte la publicación IBM DB2 UniversalDatabase SQL Reference, Versión 5.2 donde obtendrá instrucciones.
Efectuar una copia archivada y firmar los archivos del registrocronológico de auditoría
Puede efectuar una copia archivada y firmar informes del registro cronológico deauditoría utilizando la herramienta Audit Archive and Sign de Trust Authority.Esta herramienta efectúa una copia archivada de la tabla de bases de datos delservidor de auditoría que contiene los informes de auditoría. Efectúa la copiaarchivada en un archivo empleando la utilidad de exportación de DB2.Seguidamente, firma el archivo. Todos los informes de auditoría se eliminan de labase de datos después de que se haya efectuado correctamente la copia archivada,a menos que se especifique la opción -n.
Nota: No es necesario cerrar el sistema Trust Authority antes de ejecutar estautilidad.
Por ejemplo, suponga que está empleando la ruta de acceso de instalaciónpredeterminada de Trust Authority. Que desea efectuar una copia archivada de losinformes de auditoría actuales de la base de datos del servidor de auditoría enmy.file y firmar el archivo del registro cronológico de auditoría en copia archivada,pero no quiere eliminar los informes de auditoría de la base de datos. Para llevarloa cabo, siga estos pasos:1. Inicie la sesión en Trust Authority como el usuario de configuración en el
sistema en el que instaló los componentes del servidor de auditoría y la CA deTrust Authority.El nombre de usuario predeterminado y sugerido es cfguser; si llevó a cabo lainstalación de Trust Authority en Windows NT, su organización podría haberutilizado un valor distinto.
2. Entre lo siguiente en la línea de mandatos para su entorno:v En AIX:
AuditArchiveAndSign -c /usr/lpp/iau/etc/TrustAuthority/AuditServer.ini -n/usr/lpp/iau/arc/my.file
v En Windows NT:AuditArchiveAndSign -c "d:\Archivos de programa\IBM\Trust Authority\etc\TrustAuthority\
AuditServer.ini" -n "d:\Archivos de programa\IBM\Trust Authority\arc\my.file"
3. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.
48 Trust Authority: Guía de administración del sistema
Los resultados se visualizan como una salida estándar. El archivo de la copiaarchivada tendrá la extensión .ixf.
Consulte el apartado “Utilidad Audit Archive and Sign” en la página 100 paraobtener información acerca de la sintaxis del mandato y las descripciones de losparámetros de dicho mandato.
Comprobar la integridad de la base de datos y de los archivosde copia archivada del servidor de auditoría
Trust Authority proporciona una utilidad de línea de mandatos para detectar lasirregularidades en la base de datos del servidor de auditoría y los archivos decopia archivada de auditoría. Se denomina la utilidad Audit Integrity Check.
Nota: No es necesario cerrar el sistema Trust Authority antes de ejecutar estautilidad.
Puede emplear esta utilidad para detectar las irregularidades en cualquiera de lossiguientes repositorios de datos. En cada caso, el sistema solicita la contraseña deladministrador de auditoría (PIN de KeyStore).v La base de datos del servidor de auditoríav Uno o varios archivos de copia archivada del servidor de auditoríav Todos los archivos de copia archivada en el directorio especificado
Por ejemplo, suponga que está empleando AIX y la ruta de acceso de archivospredeterminada de Trust Authority para sus archivos de configuración. Inicie lasesión en Trust Authority como el usuario de configuración (cfguser) en el sistemaen el que instaló los componentes del servidor de auditoría y de la CA de TrustAuthority. Puede comprobar las irregularidades de una de las maneras siguientes:v Para comprobar la base de datos del servidor de auditoría:
1. Entre este mandato en la línea de mandatos de AIX:AuditIntegrityCheck -c /usr/lpp/iau/etc/TrustAuthority/
AuditServer.ini -d
2. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.Los resultados se visualizan como una salida estándar.
v Para comprobar uno o más archivos modificados del servidor de auditoría:1. Entre este mandato en la línea de mandatos de AIX:
AuditIntegrityCheck -c /usr/lpp/iau/etc/TrustAuthority/AuditServer.ini-a /usr/lpp/iau/arc/archive1_my.file
2. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.Este mandato comprueba los archivos con el prefijo de nombre de ruta deacceso /usr/lpp/iau/arc/archive1_my.file y las extensiones .ixf y .sig. Laextensión .ixf indica un archivo de formato de exportación generado porDB2. La extensión .sig indica un archivo de firmas generado por elsubsistema de auditoría.
v Para comprobar todos los archivos modificados en un directorio determinado, eneste caso /usr/lpp/iau/arc/:1. Entre este mandato en la línea de mandatos de AIX:
AuditIntegrityCheck -c /usr/lpp/iau/etc/TrustAuthority/AuditServer.ini-A /usr/lpp/iau/arc/
Capítulo 3. Cómo... 49
2. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.Este mandato comprueba todos los archivos en el directorio de archivos decopia archivada que tengan la extensión .ixf.
Suponga que está empleando Windows NT y la ruta de acceso de archivospredeterminada de Trust Authority para sus archivos de configuración. Inicie lasesión en Trust Authority como el usuario de configuración en el sistema en el queinstaló los componentes del servidor de auditoría y de la CA de Trust Authority.Puede comprobar las irregularidades de una de las maneras siguientes:v Para comprobar la base de datos del servidor de auditoría:
1. Entre el siguiente mandato en el indicador DOS (que en este caso es c:):AuditIntegrityCheck -c "c:\Archivos de programa\IBM\Trust Authority\etc\TrustAuthority\
AuditServer.ini" -d
2. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.Los resultados se visualizan como una salida estándar.
v Para comprobar uno o más archivos de copia archivada del servidor deauditoría:1. Entre el siguiente mandato en el indicador DOS (que en este caso es c:):
AuditIntegrityCheck -c "c:\Archivos de programa\IBM\Trust Authority\etc\TrustAuthority\AuditServer.ini" -a "c:\Archivos de programa\IBM\Trust Authority\arc\archive1_my.file"
2. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.Este mandato comprueba los archivos con el prefijo de nombre de ruta deacceso \Archivos de programa\IBM\Trust Authority\arc\archive1_my.file ylas extensiones .ixf y .sig. La extensión .ixf indica un archivo de formato deexportación generado por DB2. La extensión .sig indica un archivo de firmasgenerado por el subsistema de auditoría. En otras palabras, los archivos deformato de exportación se firman y la firma de dichos archivos se almacenaen el archivo .sig.
v Para comprobar todos los archivos de copia archivada en un directoriodeterminado, en este caso c:\Archivos de programa\IBM\Trust Authority\arc\:1. Entre el siguiente mandato en el indicador DOS (que en este caso es c:):
AuditIntegrityCheck -c c:\Archivos de programa\IBM\Trust Authority\etc\TrustAuthority\AuditServer.ini -A c:\Archivos de programa\IBM\Trust Authority\arc\
2. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.Este mandato comprueba todos los archivos en el directorio de archivos decopia archivada, incluyendo los que que tengan las extensiones .ixf y .sig.
Consulte el apartado “Utilidad Audit Integrity Check” en la página 101 paraobtener información acerca de la sintaxis del mandato y las descripciones de losparámetros de dicho mandato.
Comprobar el estado del servidor de auditoríaEn función de su entorno, puede comprobar el estado del servidor de auditoríallevando a cabo una de las siguientes series de procedimientos:v En AIX:
1. Inicie la sesión en AIX como usuario root.2. Compruebe la tabla de procesos y busque este proceso:
50 Trust Authority: Guía de administración del sistema
java
Si ve este proceso, vaya al paso 3. En caso contrario, consulte el apartado“Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.
3. Vaya al directorio bin, que tiene la siguiente ruta de acceso predeterminada:/usr/lpp/iau/bin
4. Compruebe que el puerto (en este caso, el puerto 59998) respondacorrectamente entrando este mandato:ServerControl -i-c -k AUDIT -n servidor -p 59998 -l"archivoderegistro"
donde servidor es el nombre del servidor de auditoría asociado al puertoespecificado (en este caso, el puerto 59998), y archivoderegistro es el nombredel archivo de registro en el que desea registrar los resultados del mandatoServerControl.
Si el puerto responde correctamente, el sistema muestra el mensaje siguiente:El servidor de auditoría ya está ejecutándose.
donde servidor es el servidor asociado al puerto 59998.v En Windows NT:
1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie el Administrador de tareas pulsando las teclas Ctrl, Alt y Supr.3. Seleccione la ficha Procesos.4. Busque el java.exe de proceso.
Si ve este proceso, vaya al paso 5. En caso contrario, consulte el apartado“Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.
5. Desde el indicador de MS DOS, vaya al directorio bin, que tiene la siguienteruta de acceso predeterminada:c:\Archivos de programa\IBM\Trust Authority\bin
6. Compruebe que el puerto (en este caso, el puerto 59998) respondacorrectamente entrando este mandato:ServerControl -i-c -k AUDIT -n servidor -p 59998 -l"archivoderegistro"
donde servidor es el nombre del servidor de auditoría asociado al puerto59998, y archivoderegistro es el nombre del archivo de registro en el que desearegistrar los resultados del mandato ServerControl.
Si el puerto responde correctamente, el sistema muestra el mensaje siguiente:El servidor de auditoría ya está ejecutándose.
donde servidor es el servidor asociado al puerto predeterminado de TrustAuthority 59998.
Capítulo 3. Cómo... 51
Comprobar los registros cronológicos del servidor deauditoría
Los registros cronológicos del servidor de auditoría registran todas lastransacciones con el servidor de auditoría. Puede comprobar los registroscronológicos del servidor de auditoría en la siguiente ubicación.
Tabla 9. Registros cronológicos del servidor de auditoría
Ubicación predeterminada dearchivos de AIX
Ubicación predeterminada dearchivos de Windows NT
Descripción
/usr/lpp/iau/logs/smevents.log c:\Archivos de programa\IBM\TrustAuthority\logs\smevents.log
El registro de eventos cronológicosdel servidor de auditoría que seutiliza para capturar eventos deauditoría.
/usr/lpp/iau/logs/iausmd.log c:\Archivos de programa\IBM\TrustAuthority\logs\iausmd.log
El registro cronológico deseguimiento del servidor deauditoría que se utiliza para seguir laactividad del programa.
/usr/lpp/iau/logs/iausmd.err c:\Archivos de programa\IBM\TrustAuthority\logs\iausmd.err
El registro cronológico de errores delservidor de auditoría que se utilizapara almacenar mensajes de error.
Administrar las bases de datos de DB2Esta sección proporciona procedimientos operativos y administrativos básicos paralas bases de datos de DB2. Consulte la documentación de DB2 UDB para obtenerinformación más detallada.
Trust Authority utiliza las bases de datos listadas en la Tabla 10.
Tabla 10. Ubicaciones de las bases de datos
Instancia Nombre de la basede datos
Descripción
cfgusr cfgdb La base de datos de configuraciónpredeterminada de Trust Authority.
cfgusr ibmdb La base de datos CA predeterminada.
cfgusr pkrfdb La base de datos de registropredeterminada.
cfgusr adtdb La base de datos de auditoríapredeterminada.
ldapInst ldapdb La base de datos del directoriopredeterminada al efectuar la instalacióncon Trust Authority. Si está empleando undirectorio existente, la ubicación ladetermina su organización.
Comprobar el estado de las bases de datos de DB2En función de su entorno, puede comprobar el estado de las bases de datos deDB2 llevando a cabo una de las siguientes series de procedimientos:v En AIX:
1. Inicie la sesión en AIX como administrador del sistema.
52 Trust Authority: Guía de administración del sistema
2. En el indicador de mandatos, entre el mandato su para cambiar a la cuentade administración del usuario que instaló Trust Authority.
3. Entre la contraseña para ese usuario de Trust Authority.4. Entre el mandato siguiente:
set DB2INSTANCE=instancia_TrustAuthority
donde instancia_TrustAuthority es el ID de usuario del usuario que instalóTrust Authority.
5. Asumiendo la base de datos de configuración predeterminada, entre db2connect to cfgdb
Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = cfgdb
6. Asumiendo la base de datos CA predeterminada, entre db2 connect toibmdb
Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = ibmdb
7. Asumiendo la base de datos de registro predeterminada, entre db2 connectto pkrfdb
Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = pkrfdb
8. Asumiendo la base de datos de auditoría predeterminada, entre db2connect to adtdb
Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = adtdb
9. Vuelva a salir al usuario root.10. Utilice el mandato su para cambiar a la cuenta del administrador de la base
de datos del Directorio.11. Asumiendo la base de datos del directorio predeterminada instalada con el
producto, entre db2 connect to ldapdb
Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = ldapdb
12. Vuelva a salir al usuario root.v En Windows NT:
1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie una ventana de mandatos de DB2.3. Entre el mandato siguiente:
set DB2INSTANCE=instancia_TrustAuthority
Capítulo 3. Cómo... 53
donde instancia_TrustAuthority es el ID de usuario del usuario que instalóTrust Authority.
4. Asumiendo la base de datos de configuración predeterminada, entre db2connect to cfgdb
Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = cfgdb
5. Asumiendo la base de datos CA predeterminada, entre db2 connect toibmdb
Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = ibmdb
6. Asumiendo la base de datos de registro predeterminada, entre db2 connectto pkrfdb
Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = pkrfdb
7. Asumiendo la base de datos de auditoría predeterminada, entre db2connect to adtdb
Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = adtdb
8. Entre el mandato siguiente:set DB2INSTANCE=Instancia_ldap
donde Instancia_ldap es ldapInst si instaló el Directorio con el producto.9. Asumiendo la base de datos del Directorio predeterminada instalada con el
producto, entre db2 connect to ldapInst
Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = ldapInst
10. Salga de la ventana de mandatos de DB2.
Comprobar los registros cronológicos de DB2Los registros cronológicos de DB2 no los emplea Trust Authority desde un puntode vista operativo. Consulte la documentación de IBM DB2 para obtenerinformación adicional acerca de los registros cronológicos.
54 Trust Authority: Guía de administración del sistema
Administrar el servidor del DirectorioEsta sección proporciona procedimientos operativos y administrativos básicos parael Directorio de IBM SecureWay. Para efectuar algunas de las tareas deadministración del Directorio, debe conocer la contraseña. Consulte el apartado“Cambiar las contraseñas de Trust Authority” en la página 5 si tiene que cambiar lacontraseña del administrador del Directorio.
Este Directorio ofrece soporte para los estándares LDAP (Lightweight DirectoryAccess Protocol). Incorpora una base de datos de DB2 y puede residir en unsistema local o remoto. Puede ser un servidor existente previamente o unoinstalado y configurado especialmente para Trust Authority.
Para obtener más información acerca del modo en que Trust Authority interactúacon el Directorio, consulte la publicación Using the SecureWay Directory With TrustAuthority. Este documento está disponible en la página Library del sitio Web deIBM SecureWay Trust Authority.
Comprobar el estado del servidor del DirectorioEn función de su entorno, puede comprobar el estado del servidor del Directoriollevando a cabo una de las siguientes series de procedimientos:v En AIX:
1. Inicie la sesión en AIX como usuario root.2. Compruebe la tabla de procesos y busque este proceso:
slapd
Si ve este proceso, vaya al paso 3. En caso contrario, consulte el apartado“Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.
3. Vaya al directorio bin, que tiene la siguiente ruta de acceso predeterminada:/usr/lpp/iau/bin
4. Compruebe que el Directorio responda correctamente entrando este mandato:isdirup -h servidor-a puerto -pruta_de_acceso_de_instalación_predeterminada_del_Directorio-t1
donde servidor es el nombre del equipo en el que se está ejecutando elDirectorio, y puerto es el puerto en el que escucha el servidor del Directorio.
Si el Directorio responde correctamente, el sistema muestra el mensajesiguiente:isdirup: returning: 0
v En Windows NT:1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie el Administrador de tareas pulsando las teclas Ctrl, Alt y Supr.3. Seleccione la ficha Procesos.4. Busque el slapd.exe de proceso.
Si ve este proceso, vaya al paso 5 en la página 56. En caso contrario, consulteel apartado “Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.
Capítulo 3. Cómo... 55
5. Desde el indicador de MS DOS, vaya al directorio bin, que tiene la siguienteruta de acceso predeterminada:c:\Archivos de programa\IBM\Trust Authority\bin
6. Compruebe que el Directorio responda correctamente entrando este mandato:isdirup -h servidor -a puerto -p ruta_de_acceso_de_instalación_predeterminada_del_Directorio -t
donde servidor es el nombre del equipo en el que se está ejecutando elDirectorio, y puerto es el puerto en el que escucha el servidor del Directorio.
Si el Directorio responde correctamente, el sistema muestra el mensajesiguiente:isdirup: returning: 0
Comprobar los registros cronológicos del servidor delDirectorio
Puede comprobar los registros cronológicos del servidor del Directorio en lasubicaciones que se muestran en la Tabla 11.
Tabla 11. Registros cronológicos del servidor del Directorio
Ubicación predeterminada de archivos deAIX
Ubicación predeterminada de archivos deWindows NT
Descripción
/tmp/slapd.errors c:\Ruta de acceso de instalación deldirectorio\tmp\slapd.errors\
Registro cronológico deerrores para elDirectorio.
Administrar el coprocesador criptográfico 4758El coprocesador criptográfico 4758 es un componente opcional de Trust Authority.Es una tarjeta criptográfica de bus PCI programable que detecta irregularidades yproporciona un proceso criptográfico DES y RSA de alto rendimiento. En TrustAuthority, el soporte para 4758 está disponible solamente en AIX.
Puede comprobar el estado del 4758 empleando la utilidad csufcnm.
El coprocesador criptográfico 4758 no genera registros. De todos modos, si falla,normalmente suele proporcionar un código de retorno y un código de razón con laanomalía. Puede ver una lista completa de los códigos de retorno y de razón y susexplicaciones en el documento IBM 4758 CCA Basic Services Reference and Guide.Estos códigos suelen ser suficientes para llevar a cabo la resolución de problemaspreliminar.
Consulte la documentación del coprocesador criptográfico IBM 4758 para obtenermás información.
56 Trust Authority: Guía de administración del sistema
Capítulo 4. Información de...
Este capítulo proporciona información descriptiva que debería serle de utilidadpara administrar el sistema Trust Authority de una forma más eficaz. Los temasincluyen los aspectos generales de seguridad de Trust Authority así comoinformación acerca de las autoridades de certificado (CA), las autoridades deregistro (RA) y el subsistema de auditoría de Trust Authority.
Seguridad de Trust AuthorityEl modelo de fiabilidad y seguridad de IBM Trust Authority tiene las característicassiguientes:v Trust Authority utiliza la firma de códigos para proporcionar seguridad para
todo el software que lleva a cabo operaciones basadas en claves.v Trust Authority utiliza KeyStores para el almacenamiento y el acceso a
credenciales de componentes como las claves y los certificados. Las credencialesalmacenadas en los KeyStores de componente se cifran empleando una clavederivada de una contraseña suministrada.
v Con fines de autentificación, las comunicaciones entre componentes se firman.Por ejemplo, los mensajes PKIX entre la RA y la CA se firman.
v Para sistemas AIX, Trust Authority proporciona protección de las claves defirmas basada en el hardware 4758.
Listas de control de accesosLas Listas de control de accesos (ACL) proporcionan un mecanismo para limitar eluso de un recurso determinado a los usuarios autorizados. Los componentes deTrust Authority que utilizan ACL son la CA, la RA y el Directorio.
La CA utiliza la ACL para restringir el acceso a funciones de la CA como lacreación de certificados. La RA utiliza la ACL para restringir el acceso a funcionesde la RA como la aprobación de solicitudes. El Directorio utiliza la ACL pararestringir el acceso a diversas partes del Directorio que podrían contenerinformación importante.
Autoridades de certificadoUna autoridad de certificado (CA) es la entidad responsable de seguir las políticasde seguridad de una organización y de asignar identidades electrónicas seguras enforma de certificados. Los certificados, firmados por la propia clave privada de laCA, contienen información de identificación y de otra índole acerca del titular delcertificado.
La CA de IBM Trust Authority tiene las siguientes funciones:v Procesa las peticiones de las RA para emitir, renovar y revocar certificados.v Mantiene una lista de control de accesos (ACL), protegida por privilegios de
permiso de archivos, que contiene los DN de las RA autorizadas y los usuariosadministrativos.
v Mantiene una lista de certificados emitidos (ICL) en la base de datos CA queproporciona información que incluye el estado del certificado, el número de seriey la información de la CRL.
© Copyright IBM Corp. 1999, 2000 57
La CA comunica la información de la ICL a la RA de Trust Authority que, a suvez, publica certificados y la CRL en el Directorio.Los registros almacenados en la base de datos CA utilizan un código deautentificación de mensajes (MAC) para garantizar la protección. La verificaciónde estos registros es una opción de Trust Authority que se denominacomprobación de la integridad.
v Almacena sus propias claves y certificados en el KeyStore de Trust Authority.v Genera informes de auditoría para eventos en los que la seguridad es de gran
importancia y los transmite al servidor de auditoría.v Ofrece soporte para la certificación cruzada y la jerarquía CA.v Ofrece soporte para la generación y la validación de certificados que contienen
extensiones de certificado definidas y elegidas por el usuario.
Jerarquías CAUna jerarquía CA es una estructura de fiabilidad por la cual una CA se ubica en laparte superior de la estructura y hasta cuatro capas de CA subordinadas se ubicanpor debajo de ella. Cuando los usuarios o los servidores se registran en una CA,reciben un certificado firmado por la CA y heredan la jerarquía de certificación delas capas superiores. En Trust Authority, una CA puede configurarse para formarparte de una jerarquía. En este caso, el certificado CA lo firma otra CA. La CApuede configurarse para ofrecer soporte para certificados firmados por ella misma.En este caso,la CA no participa en una jerarquía CA.
Trust Authority ofrece soporte para certificación jerárquica solamente entre las CAque se adhieran al protocolo CMP PKIX y a los protocolos PKCS núm. 7 y PKCSnúm. 10.
Extensiones de certificadoLas extensiones de certificado X.509v3 proporcionan métodos para asociar atributosadicionales a usuarios o claves públicas y para gestionar la jerarquía CA. Elformato X.509v3 también permite a las comunidades de usuarios definirextensiones privadas o comunes para transmitir información exclusiva para estascomunidades.
Cada extensión de un certificado puede designarse como crítica o no crítica. Unsistema que utilice certificados del formato X.509v3 debe rechazar un certificado siencuentra una extensión crítica que no reconoce; de todos modos, una extensión nocrítica puede ignorarse si no se reconoce.
Existen tres tipos de extensiones de certificado.Son los siguientes:v Extensiones estándarv Extensiones comunesv Extensiones privadas
Extensiones estándarUna extensión de certificado estándar es una extensión cuyo significado y sintaxisse definen en el estándar ITU RFC 2459. Todas las extensiones de este tipo exceptouna se definen también en X.509v3. Varias de ellas se definen solamente dentro decertificados CA. Trust Authority permite agregar la mayoría de las expresionesestándar a un certificado, con las reglas especificadas en la Tabla 12 en la página 59:
58 Trust Authority: Guía de administración del sistema
Tabla 12. Extensiones de certificado
Extensión Descripción
Key Usage Esta extensión indica la finalidad de la clave públicacertificada. Sus valores se suelen definir a través deplantillas de certificado.
Subject Alternative Name Esta extensión contiene uno o varios nombresalternativos, con diferentes formatos de nombre, parala entidad que la CA ha enlazado a la clave públicacertificada. Las plantillas de certificado suelen definircuál de estos formatos puede utilizarse en certificadosque emplean esa plantilla.
Subject Key Identifier Esta extensión identifica qué clave pública se certificamediante un certificado determinado. Su utilizaciónprincipal es distinguir las claves cuando se certifican ose han certificado varias claves para la misma entidad.Su valor, en Trust Authority, lo establece siempre laCA.
Authority Key Identifier Esta extensión identifica qué clave pública fueutilizada por el emisor de un certificado al firmarla.Su utilización principal es distinguir las claves cuandose certifican varias claves para el mismo emisor. Suvalor lo establece siempre la CA.
Private Key Usage Period Esta extensión restringe el uso de la clave privada quecorresponde a una parte del período de validez delcertificado. El perfil de certificado PKIX actual, RFC2459, especifica que su uso ya no se recomienda.
Certificate Policies Esta extensión contiene una serie de indicadores depolíticas. Un indicador de políticas puede constarsolamente de un identificador de objetos cuyosignificado debe publicarse. De forma alternativa,puede constar de un identificador de objetos junto conuna sentencia de la política prevista. La sentencia depolítica puede ser proporcionada por el URL desde elque puede recuperarse, o por una sentencia de textobreve incluida en el certificado.
Issuer Alternative Name Esta extensión contiene uno o varios nombresalternativos, con diferentes formatos de nombre, parael emisor del certificado. Su valor lo establece siemprela CA.
Subject Directory Attributes Esta extensión contiene una serie de atributos dedirectorio adicionales que pertenecen al sujeto y queno forman parte del nombre distintivo. Debe ser detipo no crítico.
Extended Key Usage Esta extensión contiene una serie de identificadores deobjetos que indican la finalidad de la clave públicacertificada. Sus valores se suelen definir a través deplantillas de certificado. Los valores para estaextensión los puede definir una comunidad deusuarios o pueden derivarse de RFC 2459.
Capítulo 4. Información de... 59
Tabla 12. Extensiones de certificado (continuación)
Extensión Descripción
Basic Constraints Esta extensión es útil solamente para un certificadoCA y está presente en todos los certificados CAgenerados por Trust Authority. Siempre está ausente ovacía para cualquier otro certificado, y RFC 2459recomienda que esté ausente antes que vacía. Ademásde indicar que un certificado es un certificado CA,puede contener una ruta de acceso de longitud decertificación máxima, que especifica cuántos nivelesmás de CA pueden ser certificados por ésta. Estaextensión debe ser de tipo crítico.
Name Constraints Esta extensión se utiliza solamente en un certificadoCA. Especifica un espacio de nombres dentro del cualdeben estar ubicados todos los nombres de sujeto ylos nombres de sujeto alternativos en los certificadosque la CA o las CA certificadas por esa CA emitenjunto con este certificado. El propósito de estaextensión es restringir los nombres que puedenutilizar los por certificados en la ruta de acceso de estecertificado. Las restricciones se definen en términos desubárboles de nombres permitidos o excluidos. Unnombre que concuerde con una restricción en la listade subárboles excluidos no es válido, conindependencia de la información que aparezca en lalista de subárboles permitidos. Esta extensión debe serde tipo crítico.
Policy Mappings Esta extensión se utiliza solamente en certificados CA.Trust Authority no establece esta extensión en uncertificado para el cual generó la solicitud original.
Policy Constraints Esta extensión, que se utiliza solamente en uncertificado CA, puede utilizarse para dos propósitos.Puede prohibir la correlación de políticas en loscertificados de la ruta de acceso de certificación, opuede requerir políticas específicas para talescertificados.
CRL Distribution Points Esta extensión indica dónde puede hallarse una CRLparcial, que contiene información de revocación acercade este certificado. Se establece al especificar un valordistinto de cero válido para el parámetro certPerDP enel archivo jonahca.ini.
Authority Information Access Esta extensión indica dónde y cómo puede accederse acierta información acerca del emisor del certificado enel que aparece la extensión. No se estableceactualmente en los certificados creados por TrustAuthority.
Extensiones comunesTrust Authority define una única extensión no estándar como una extensióncomún, que puede ser utilizada por cualquier organización que ejecute TrustAuthority. Se trata de la extensión Host Identity Mapping. Esta extensión asocia elsujeto del certificado a una identidad correspondiente en un sistema principal.
Extensiones privadasCualquier aplicación de entidad cliente escrita para utilizar Trust Authority puededefinir una extensión cuya identidad y sintaxis sean privadas para esa aplicación o
60 Trust Authority: Guía de administración del sistema
compartidas dentro de una comunidad de usuarios. Estas extensiones deben ser detipo no crítico. Si la extensión se está definiendo por vez primera, debe asignárseleun identificador de objetos y debe registrarse de conformidad con las disposicionesdel estándar ITU X.660 y el estándar ISO 9834-1, que son los mismos, y su sintaxisdebe registrarse asimismo.
Secuencia de solicitud de extensiónLas extensiones pueden ser solicitadas por un usuario, pero deben ser validadaspor la CA o una RA en nombre de una CA. El proceso tiene la siguiente secuencia:1. El usuario solicita una extensión, suministra información para la extensión,
incluyendo un valor y un identificador de extensión exclusivo, y especifica si laextensión es o no de tipo crítico.
2. La solicitud de extensión y la información pasan a formar parte de la solicitudde certificado que se envía a la RA.
3. La RA o la CA, mientras procesan la solicitud de certificado, validan laextensión respecto a la política de certificados de la organización, y cambian oignoran la solicitud de extensión. Si la extensión se valida, la CA lo certifica.
Listas de revocación de certificadosUna lista de revocación de certificados (CRL) es una lista de certificados, firmadadigitalmente y con indicación de fecha y hora, que han sido revocados por unaCA. Los certificados en esta lista deberían considerarse inaceptables.
Los certificados pueden revocarse cuando finaliza su período de validez, o si sesospecha que pueda haberse comprometido su integridad. El estado del certificadose cambia en la ICL. En el momento planificado, la CA crea la CRL que contiene elnúmero de serie y el DN de la CA emisora del certificado que ha sido revocado.Aunque un certificado y su información se cambian en la ICL cuando se revoca elcertificado, ninguna revocación es definitiva hasta que se emite la CRL y se publicaen el Directorio.
En Trust Authority, el periodo de vigencia de una CRL publicada y el intervalo detiempo entre las publicaciones de la CRL se establece y puede modificarse en elarchivo de configuración de la CA, jonahca.ini.
También puede beneficiarse de los puntos de distribución de la CRL, que lepermiten definir y dividir el número de CRL distribuidas para su procesoposterior. En lugar de acumular un número cada vez mayor de certificadosrevocados en una ubicación o bajo una sola entrada en el servidor del Directorio,puede dividir la lista de certificados revocados entre diversos puntos dedistribución. Esta característica se activa estableciendo el parámetro certPerDp en elarchivo de configuración jonahca.ini.
Certificación cruzadaLa certificación cruzada es un modelo de fiabilidad en el que una CA emite paraotra CA un certificado que contiene una clave CA pública asociada a una clave defirmas CA privada correspondiente que se utiliza para la emisión de certificados.Normalmente, un certificado cruzado se utiliza para que los sistemas cliente o lasentidades finales de un dominio de registro puedan comunicarse de forma seguracon sistemas cliente o entidades finales de otro dominio de registro.
Aunque la certificación cruzada entre las CA puede efectuarse en ambasdirecciones, en Trust Authority sólo se ofrece soporte para las solicitudes decertificación cruzada en una dirección. La certificación cruzada en dos sentidos
Capítulo 4. Información de... 61
puede efectuarse haciendo que cada CA obtenga un certificado cruzado de la otra.Trust Authority ofrece soporte para la certificación cruzada solamente entre las CAque se adhieran al protocolo CMP PKIX.
CertificaciónLa certificación es la creación de un certificado digital para una entidad o persona.Para Trust Authority, la certificación se produce solamente después de laevaluación y la aprobación de una solicitud de certificado por parte de la RA.Como resultado del registro, la CA emite los certificados.
Certificados digitalesUn certificado digital es una credencial electrónica emitida por un tercero seguropara una persona o entidad. Cada certificado se firma con la clave privada de laCA. Autoriza a un individuo, empresa o identidad organizativa.
En función del papel de la CA, el certificado puede autentificar la autoridad de suposeedor para llevar a cabo actividades de e-business en Internet. En ciertosentido, un certificado digital desempeña un papel similar al de un carnet deconducir o un diploma médico. Certifica que el poseedor de la clave privadacorrespondiente está autorizado para llevar a cabo ciertas actividades dee-business.
Un certificado contiene información acerca de la entidad que lo certifica, ya seauna persona, un equipo o un programa de ordenador. Incluye la clave públicacertificada de esa entidad.
Para Trust Authority, el tipo de certificado que se emite es coherente con laspolíticas empresariales de su organización.
Nombres distintivosUn nombre distintivo (DN) es el nombre exclusivo de una entrada de datosalmacenada en el Directorio. El DN identifica de forma exclusiva la posición deuna entrada en la estructura jerárquica del Directorio llamada el Árbol deinformación del Directorio (DIT).
Esta estructura tiene una sola raíz y un número ilimitado de nodos que se derivande la raíz. Cada nodo corresponde a una entrada del Directorio identificada poratributos. La expresión del DN en una entrada para el Directorio depende de losrequisitos de sintaxis del protocolo de acceso del cliente del Directorio y delservidor del Directorio.
En Trust Authority, que utiliza el Directorio de IBM SecureWay, un DN en unaentrada del Directorio podría tener este aspecto:/C=US/O=IBM/OU=Trust Authority/MAIL=cjsmith@vnet.ibm.com,CN=Chris Smith
donde US es el país (C), IBM es la organización (O), Trust Authority es eldepartamento dentro de la organización (OU), cjsmith@vnet.ibm.com es ladirección de correo electrónico (MAIL), y Chris Smith es el nombre común (CN).
Listas de certificados emitidosUna lista de certificados emitidos (ICL) es una lista completa de los certificadosque han sido emitidos por la CA y su estado actual. Los certificados se indexanpor número de serie y estado. La CA mantiene la ICL y la almacena en la base de
62 Trust Authority: Guía de administración del sistema
datos de la CA. Esta lista se utiliza para determinar los certificados que deberíanpublicarse en una lista de revocación de certificados (CRL). La ICL de TrustAuthority tiene las siguientes características:v Implementación de la conectividad de bases de datos abiertas (ODBC) (que, en
Trust Authority, se realiza a través de DB2)v Uso opcional de los MAC en registros de bases de datos para mantener la
integridad (sólo ODBC)v Confusión durante la ejecución de la clave de cifrado y la clave MACv Soporte para varias conexiones (por hebra), limitadas por un número máximo
predeterminadov Acceso al servicio de registro cronológico de auditoría
Firma y validación de firmasFirmar es utilizar una clave digital privada para generar una firma. Verificarconsiste en utilizar la clave pública correspondiente para validar la firma.
Trust Authority utiliza un sistema criptográfico basado en PKIX para la firma y lavalidación de firmas. Este producto permite a las aplicaciones cifrar y descifrar lainformación. Al emplear este producto, las aplicaciones pueden verificar una firmadigital, recuperar un certificado de un Directorio y determinar si un certificado esfiable. Este sistema criptográfico proporciona asimismo un soporte transparentepara el cifrado basado en hardware. Ofrece soporte para el coprocesadorcriptográfico PCI IBM 4758 o cualquier símbolo de hardware que ofrezca soportepara la interfaz PKCS nº 11.
Todo el software de Trust Authority que lleva a cabo operaciones criptográficas yKeyStore reciben la firma de este sistema criptográfico.
Autoridades de registroUna Autoridad de registro (RA) es un proceso de servidor que gestiona losaspectos administrativos de la certificación digital. En Trust Authority, una RApuede aprobar o rechazar solicitudes e iniciar la revocación de certificados. La RAgarantiza la aplicación de las políticas empresariales y de certificación de suorganización.
Responsables de registrosLos responsables de registros utilizan Trust Authority RA Desktop para llevar acabo las tareas de administración en solicitudes de registro. Para que unresponsable de registros pueda efectuar estas tareas, debe inscribirlo como unresponsable de registros. Consulte el apartado “Agregar un responsable deregistros” en la página 33 para obtener instrucciones sobre cómo realizarlo.
Empleando RA Desktop, los responsable de registross pueden consultar el estadode las solicitudes de certificados, que incluye los siguientes estados: recibido,pendiente, aprobado, rechazado, completado. Otros campos de consulta en RADesktop incluyen el nombre y el apellido, la fecha actualizada, la fecha de creacióny la fecha de caducidad del certificado. Cuando RA Desktop visualiza los registrosrecuperados de una consulta en una tabla, el responsable de registros puedeemprender acciones a partir del resultado, como la aprobación o el rechazo de unasolicitud de registro o la revocación o el cambio del estado de renovación de uncertificado.
Capítulo 4. Información de... 63
Dominios de registroUn dominio de registro es un conjunto de recursos, políticas y opciones deconfiguración relacionado con determinados procesos de registro de certificados. Elnombre de dominio es un subconjunto del URL que se utiliza para invocar lasoperaciones de registro e identifica de forma exclusiva la aplicación. TrustAuthority ofrece soporte para un solo dominio de registro por instalación de TrustAuthority.
coprocesador criptográfico 4758El coprocesador criptográfico IBM 4758 es una tarjeta criptográfica de bus PCIprogramable que protege contra las intromisiones y ayuda la garantizar laconfidencialidad y la integridad de la clave de firmas de su organización. Utiliza laAPI de Arquitectura criptográfica común (CCA) de IBM para proporcionar unconjunto completo de servicios criptográficos que incluyen el cifrado DES y RSA.DES y RSA son los algoritmos utilizados más ampliamente en los sistemascriptográficos comerciales. De todas maneras, debido a su robustez, la metodologíade gestión de claves que utiliza su organización se convierte en la parte másvulnerable de su sistema. Cuando se compromete una clave, los datos cifrados conesa clave pueden verse totalmente expuestos. IBM 4758 ayuda a ampliar laprotección total de estas claves incluyendo:v Cifrado triple de claves, utilizando una clave especial almacenada en el
hardware dedicado.v Protección de las comunicaciones de datos de uno a otro extremov Funciones y perfiles establecidos de forma programada que pueden cambiarsev Uso de un generador de números aleatorios basado en hardware que ayuda a
garantizar la creación de claves imprevisibles
Los procesos criptográficos se llevan a cabo dentro de un alojamiento protegido dela tarjeta. La tarjeta se ha diseñado para satisfacer los requisitos más estrictos delestándar FIPS PUB 140-1 de nivel 4. El software puede ejecutarse dentro delalojamiento protegido.
En Trust Authority, el coprocesador 4758 genera claves de firmas de CA. La tarjetaprotege las claves generadas por el coprocesador 4758 cifrando la clave mediante laclave maestra del coprocesador 4758. Las claves CA pueden almacenarse enKeyStore o en el coprocesador 4758.
El coprocesador 4758 es un componente opcional pero recomendado de TrustAuthority que está disponible solamente en la plataforma AIX.
Tarjetas inteligentesLas tarjetas inteligentes son dispositivos criptográficos portátiles, normalmente deltamaño de una tarjeta de crédito. Se utilizan para almacenar certificados y clavesasí como para efectuar operaciones criptográficas, especialmente la firma, sinliberar la clave privada de la tarjeta. No todos los usuarios disponen de acceso alhardware de la tarjeta inteligente , por lo que Trust Authority proporciona unatarjeta inteligente virtual que actúa como si se estuviera empleando una tarjetainteligente física.
Los usuarios del cliente de Trust Authority pueden almacenar certificados entarjetas inteligentes virtuales y físicas. Cuando un usuario de la aplicación clientede Trust Authority envía una solicitud de certificado, se almacena una clave
64 Trust Authority: Guía de administración del sistema
privada en la tarjeta inteligente virtual o física del usuario. Cuando se aprueba elcertificado, se devuelve al usuario. Todos los certificados que se almacenan en latarjeta inteligente pueden asociarse a una clave privada utilizando el mismoidentificador de claves que la clave privada almacenada.
Tanto la CA como la RA almacenan en sus tarjetas inteligentes una clave privada yel certificado correspondiente con su firma. Ello permite a la RA firmar mensajes ya la CA firmar las CRL y los certificados sin exponer sus claves privadas fuera dela tarjeta inteligente.
Trust Authority implementa la interfaz PKCS #11 para el almacenamiento enTarjeta inteligente.
AuditoríaEl subsistema de auditoría de Trust Authority proporciona soporte para el registrarcronológicamente las acciones relacionadas con la seguridad, basándose en lasrecomendaciones descritas en el estándar del sector financiero X9.57. Le permitemodificar y gestionar los registros cronológicos de auditoría para llevar a cabocomprobaciones de integridad en los registros cronológicos de auditoría.
El subsistema de auditoría consta de una biblioteca de clientes y de un servidor deauditoría. El servidor de auditoría recibe los eventos de auditoría de clientesautorizados y graba los eventos en un registro cronológico de auditoría conintegridad protegida. Todos los informes de auditoría se almacenan en una base dedatos DB2. Los eventos de auditoría se graban también en un archivo. Lasherramientas de consulta e informe de auditoría las proporciona DB2 UDB.
Informes de auditoríaLos informes de auditoría se almacenan en una base de datos de DB2 del registrocronológico de auditoría. El registro cronológico de auditoría contiene un informepor evento de auditoría. La base de datos del registro cronológico de auditoría seha diseñado para que ayude a detectar intromisiones, tal como requiere el estándardel sector financiero X9.57. Cada informe de auditoría se identifica de formaexclusiva con un número de serie.
Eventos de auditoríaLos eventos de auditoría de Trust Authority son informes que indican que hasucedido un hecho importante en una tarea relacionada con la seguridad. Elservidor de auditoría recibe los eventos de auditoría de los clientes y los graba enun registro cronológico de auditoría con integridad protegida.
Los eventos de auditoría de Trust Authority se clasifican según las siguientescategorías:v Eventos de gestión de claves
Se trata de eventos relacionados con la administración segura de las claves, demodo que se proporcionen a los usuarios en el lugar y el momento requeridos.
v Eventos de gestión de certificadosSe trata de eventos relacionados con la gestión de certificados digitales y delmantenimiento de la información acerca de los certificados y las CRL en elDirectorio.
v Eventos sensibles a la seguridad
Capítulo 4. Información de... 65
Se trata de eventos relacionados con las tareas sensibles a la seguridad como lacomprobación de la integridad, la autentificación y la validación de certificados.
v Eventos de acción del administrador de auditoríaSe trata de eventos relacionados con las tareas del administrador de auditoría.La función del administrador de auditoría consiste en implementar las políticasde seguridad utilizadas por su organización.
v Eventos de RASe trata de eventos relacionados con las acciones llevadas a cabo por una RA.
Consulte el apartado “Campos de los eventos de auditoría” en la página 103 paraobtener información de consulta detallada acerca de los eventos de auditoría.
Máscaras de eventos de auditoríaEn Trust Authority, las máscaras de eventos de auditoría proporcionan soportepara controlar los eventos de auditoría que se envían realmente al servidor deauditoría. Observe que existe un subconjunto obligatorio de eventos de auditoríaque no se ven afectados por las especificaciones de la máscara.
Consulte el apartado “Especificar una máscara de auditoría” en la página 42 paraobtener instrucciones acerca de la especificación de una máscara de auditoría.
Comparación de los eventos de auditoría obligatorios yopcionales
Existe un subconjunto de eventos de auditoría que es obligatorio. Este conjunto nose ve afectado por las especificaciones de máscaras en el archivo de configuracióndel cliente de auditoría. Consulte la Tabla 19 en la página 103 para determinar loseventos de auditoría que son obligatorios y los que son opcionales.
Comprobación de la integridadTrust Authority proporciona una herramienta para verificar que los registros deauditoría no hayan sufrido una modificación no autorizada. Esta herramienta sedenomina la herramienta Audit Integrity Check. La comprobación de la integridaddifiere de la protección de la confidencialidad de los datos, que impide ladivulgación no autorizada.
El servidor de auditoría no firma cada informe. En lugar de ello, calcula un códigode autentificación de mensajes (MAC) para cada informe y mantiene un MAC paratoda la base de datos.
Sellado de integridadEn Trust Authority, el sellado de integridad es la firma de los archivos de base dedatos del registro cronológico de auditoría en copia archivada. La firma de estosarchivos se lleva a cabo utilizando la herramienta de línea de mandatos AuditArchive and Sign de Trust Authority.
Copia archivada del registro cronológico de auditoríaTrust Authority ofrece soporte para la copia archivada del registro cronológico deauditoría actual en un archivo utilizando la herramienta de línea de mandatosAudit Archive and Sign.
66 Trust Authority: Guía de administración del sistema
Bases de datos DB2IBM DB2 Universal Database (DB2 UDB) es un sistema de gestión de base de datosrelacional habilitado para la Web con soporte de Java. En Trust Authority, efectúalas tareas siguientes:v Gestiona información acerca de los procesos de registro para los certificados
digitales.v Almacena información acerca de las acciones de la RA emprendidas para
aprobar o rechazar solicitudes de certificados digitales. Esta información seutiliza con fines de auditoría.
v Proporciona estadísticas operativas acerca de la carga de trabajo global delservicio de registro de Trust Authority.
v Proporciona bases de datos para la CA, la RA, el subsistema de auditoría y elDirectorio de Trust Authority y los datos de configuración de Trust Authority.
Servidores WebLos servidores Web son programas de servidor que responden a solicitudes derecursos de información por parte de programas navegadores. Trust Authorityutiliza el conjunto de productos de software IBM WebSphere para proporcionaruna base de fiabilidad para estas transacciones en la red. WebSphere ApplicationServer e IBM HTTP Server contribuyen a proporcionar la infraestructura para lasfunciones de servidor Web en Trust Authority.
En un sistema Trust Authority, el software del servidor Web reside en el mismosistema que la RA. Proporciona un límite de seguridad entre los programasprotegidos y los usuarios que intentan acceder a ellos. Mediante el empleo de latecnología HTTP y HTTPS (Protocolos de transferencia de hipertexto) y SSL (SecureSockets Layer), el servidor Web puede cifrar las comunicaciones entre el cliente y elservidor. También puede autentificar a los clientes para impedir el acceso noautorizado o la manipulación irregular de datos.
IBM WebSphere Application ServerIBM WebSphere Application Server (WAS) es un servidor de aplicaciones Javadiseñado para facilitar la gestión y el despliegue de aplicaciones Web. WAS debeinstalarse en un servidor Web de sistema principal que gestiona las solicitudesHTTP de navegadores y les devuelve HTML utilizando el protocolo HTTP. Cuandose instala WebSphere, modifica la configuración de su servidor Web de sistemaprincipal para redirigir determinadas solicitudes a WebSphere para el proceso enlugar de dejar que el servidor Web las gestione. WAS utiliza un entorno dedesarrollo Java y un entorno en tiempo de ejecución en sistema principal. Esteentorno Java permite a WebSphere ejecutar los programas Java que utiliza elservicio de registro de Trust Authority .
IBM HTTP ServerEl servidor de Trust Authority utiliza un modelo de tres servidores y tres puertospara procesar las solicitudes de los clientes. Su organización puede haber optadopor instalar una sola instancia de IBM HTTP Server y configurar distintos puertosy nombres de sistema principal virtuales para gestionar distintos tipos desolicitudes.
Al emplear este modelo, Trust Authority gestiona los siguientes tipos desolicitudes:v Solicitudes que no requieren cifrado ni autentificación.
Capítulo 4. Información de... 67
v Solicitudes que requieren cifrado y autentificación del servidor.v Solicitudes que requieren cifrado, autentificación del servidor y autentificación
del cliente.
La Tabla 13 resume estas alternativas de configuración.
Tabla 13. Modelo de tres servidores y tres puertos para los HTTP Servers de IBM
Protocolo SSL Autentificaciónde servidor
Autentificaciónde cliente
Número depuerto de
ejemplo paraun IP único
Número depuerto de
ejemplo paraun IP
múltiple
HTTP No No No 80 80
HTTPS Sí Sí No 443 443
HTTPS Sí Sí Sí 1443 443
Asignación de alias de IPEn tecnología de Internet, un alias es un nombre asignado a un servidor que haceque el servidor sea independiente del nombre de su sistema principal. El alias debedefinirse en el Sistema de nombres de dominio (DNS) de su sistema.
Servidores del DirectorioTrust Authority utiliza el Directorio de IBM SecureWay para almacenar certificadosdigitales X.509, listas de revocación de certificados (CRL), políticas de CA y otrainformación relativa a los usuarios y servidores registrados. Puede utilizarse paraencontrar un certificado de clave pública para una persona o servidor en particularbuscando en el Directorio el nombre distintivo (DN) exclusivo de esa persona oservidor u otra información relevante.
Este servidor ofrece soporte para estándares Lightweight Directory Access Protocol(LDAP) y utiliza DB2 UDB como su base. Se ejecuta como un daemon autónomo yutiliza un modelo de cliente/servidor para proporcionar a Trust Authority accesoal servidor. Utiliza una interfaz basada en Web para configurar y mantener elDirectorio o para ver datos en él. El Directorio puede ser un servidor existentepreviamente o uno instalado y configurado especialmente para Trust Authority.Consulte la publicación Using the SecureWay Directory With Trust Authority que sehalla en el sitio Web de IBM SecureWay Trust Authority:http://www.tivoli.com/support
Identificadores de objetoUn identificador de objeto (OID) es un valor, que se puede distinguir de otrosvalores de este tipo, que se asocia a un objeto. Cada OID definido por ASN.1forma el nodo de un árbol (similar al DIT). Un árbol de identificador de objeto esun árbol cuya raíz corresponde a la asignada por la recomendación ITU X.680. Susvértices corresponden a las autoridades administrativas responsables de asignar losarcos (un segmento que enlaza dos vértices) desde ese vértice (un punto que puedeser el extremo del arco o la intersección de los arcos).
Cada arco del árbol se etiqueta mediante un componente de identificador deobjeto, el cual es un valor numérico. A cada objeto que se ha de identificar se leasigna exactamente un vértice (normalmente una hoja), y no se asigna ningún otro
68 Trust Authority: Guía de administración del sistema
objeto (del mismo tipo o distinto) a ese mismo vértice. Por lo tanto, un objeto seidentifica de forma exclusiva y sin ambigüedades mediante la secuencia de valoresnuméricos (los componentes del identificador de objeto) que etiqueta los arcos deuna ruta que va desde la raíz al vértice que se ha asignado al objeto.
Inmediatamente debajo de la raíz, hay tres valores definidos actualmente. Son 0, 1,y 2:v 0 se asigna a las recomendaciones CCITT.v 1 se asigna a las recomendaciones ISO.v 2 se asigna a ambas organizaciones de forma conjunta.
Por ejemplo, todos los OID reservados para el estándar del Directorio estánincluidos en el valor conjunto CCITT/ISO de 2 y se han asignado al componentede identificador de objeto de 5. Por lo tanto, todos los OID de los objetos delestándar del Directorio empiezan por el prefijo 2.5.
Capítulo 4. Información de... 69
Capítulo 5. Consulta
Este capítulo proporciona información de consulta para los elementos siguientes:v Archivos de configuración
La información incluye los nombres,las descripciones y el formato de losparámetros. Especifica si los parámetros son necesarios o son opcionales y si sepueden volver a configurar.
v MandatosLa información incluye la sintaxis y las descripciones de los parámetros para lasutilidades de línea de mandatos de Trust Authority.
v Campos de los eventos de auditoríaEsta sección lista y describe la información contenida en los eventos de auditoríade Trust Authority.
v Eventos de auditoríaEsta sección lista y describe los eventos de auditoría, y especifica si el evento esobligatorio o es opcional.
v Datos de la base de datos de auditoríaEsta sección documenta cómo se almacenan los informes de eventos de auditoríaen las tablas de base de datos relacionales. Proporciona los nombres de loscampos del informe (o los nombres de las columnas de la tabla) donde sealmacenan los datos, una descripción de los campos y el formato de los datos.
v Resolución de problemasEsta sección proporciona información acerca de la resolución de problemasbásica así como los mensajes de nivel de depuración.
Archivos de configuraciónEsta sección proporciona las descripciones de los parámetros para los siguientesarchivos de configuración:v Archivo de configuración del servidor CA, jonahca.iniv Archivo de configuración del servidor RA, jonahra.iniv Archivo de configuración del servidor de auditoría, AuditServer.iniv Archivo de configuración del cliente de auditoría, AuditClient.ini
Descripción del archivoUn archivo de configuración está dividido en secciones. Cada sección empieza poruna cabecera encerrada entre corchetes, por ejemplo, [sección]. Dentro de unasección, puede haber una o varias sentencias que utilicen el formato de par denombre y valor, parámetro=valor.
Las tablas que se detallan a continuación identifican todas las secciones yparámetros de que constan los archivos de configuración de Trust Authority que seeditarán para la administración del sistema. Las columnas de las tablas son lassiguientes:v Parámetrov Descripciónv Valor después de la configuración predeterminada
© Copyright IBM Corp. 1999, 2000 71
Esta columna facilita el valor predeterminado, si existe. Un parámetro esopcional si hay un valor predeterminado; en caso contrario, es necesario.
v ¿Se puede cambiar después de la configuración predeterminada?Esta columna indica si el valor especificado puede cambiarse o no.
El sistema ignora los espacios en blanco. Todos los especificadores de unidadespresentes deben aparecer en la secuencia correcta.
Archivo de configuración del servidor CALa Tabla 14 en la página 73 describe los parámetros del archivo de configuracióndel servidor CA, jonahca.ini.
72 Trust Authority: Guía de administración del sistema
Tabl
a14
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
CA
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
[OID
s]M
ecan
ism
oba
sad
oen
está
ndar
espa
raid
enti
fica
rel
emen
tos
de
form
aex
clus
iva
C=
OID
del
país
2.5.
4.6
No
O=
OID
de
laor
gani
zaci
ón2.
5.4.
10N
o
OU
=O
IDd
ela
unid
ador
gani
zati
va2.
5.4.
11N
o
CN
=O
IDd
elno
mbr
eco
mún
2.5.
4.3
No
L=
OID
de
lalo
calid
ad2.
5.4.
7N
o
ST=
OID
del
esta
do
2.5.
4.8
No
T=
OID
del
carg
o2.
5.4.
12N
o
id-d
sa=
OID
de
DSA
1.2.
840.
1004
0.4.
1N
o
id-d
sa-w
ith-
sha1
=O
IDd
eD
SAco
nSH
A-1
1.2.
840.
1004
0.4.
3N
o
rsaE
ncry
ptio
n=O
IDd
eci
frad
oR
SA1.
2.84
0.11
3549
.1.1
.1N
o
sha-
1Wit
hRSA
Enc
rypt
ion=
OID
de
cifr
ado
SHA
-1co
nR
SA1.
2.84
0.11
3549
.1.1
.5N
o
sha1
=O
IDd
eSH
A-1
1.3.
14.3
.2.2
6N
o
hmac
-sha
1=O
IDd
elH
MA
C(H
ashe
dM
essa
geA
uthe
ntic
atio
nC
ode)
SHA
-11.
3.6.
1.5.
5.8.
1.2
No
pkcs
7-d
ata=
OID
de
PKC
S#7
1.2.
840.
1135
49.1
.7.1
No
pkcs
12-c
ertb
ag=
OID
de
labo
lsa
de
cert
ific
ados
1.2.
840.
1135
49.1
.12.
10.1
.3N
o
pkcs
12-k
eyba
g=O
IDd
ela
bols
ad
ecl
aves
1.2.
840.
1135
49.1
.12.
10.1
.1N
o
X50
9-C
erti
fica
te=
OID
de
cert
ific
ado
X.5
091.
2.84
0.11
3549
.1.9
.22.
1N
o
Pass
wor
dB
ased
MA
C=
OID
de
MA
Cba
sad
oen
cont
rase
ña1.
2.84
0.11
3533
.7.6
6.13
No
MyP
olic
y=E
jem
plo
de
una
entr
ada
de
OID
de
Polic
yNam
e1en
lase
cció
nC
ertP
olic
y1.
34.6
7.7
No
My
Lit
ePo
licy=
Eje
mpl
od
eun
aen
trad
ad
eO
IDd
ePo
licyN
ame2
enla
secc
ión
Cer
tPol
icy
2.4.
1.0
No
[Asy
mm
etri
cKey
Alg
s]
DSA
=D
efin
ició
nd
elal
gori
tmo
de
clav
eD
SAid
-dsa
No
RSA
=D
efin
ició
nd
elal
gori
tmo
de
clav
eR
SArs
aEnc
rypt
ion
No
Capítulo 5. Consulta 73
Tabl
a14
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
CA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
[Asy
mm
etri
cEnc
Alg
s]
DSA
=D
efin
ició
nd
elal
gori
tmo
de
cifr
ado
DSA
id-d
saN
o
[Asy
mm
etri
cSig
Alg
s]]
DSA
wit
hSH
A1=
Def
inic
ión
del
algo
ritm
od
efi
rmas
DSA
con
SHA
-1.S
eem
plea
para
visu
aliz
arun
ase
lecc
ión
de
algo
ritm
opo
rpa
rte
de
laG
UI
ose
rvid
or.
id-d
sa-w
ith-
sha1
No
RSA
wit
hSH
A1=
Def
inic
ión
del
algo
ritm
od
efi
rmas
RSA
con
SHA
-1.S
eem
plea
para
visu
aliz
arun
ase
lecc
ión
de
algo
ritm
opo
rpa
rte
de
laG
UI
ose
rvid
or.
sha-
1Wit
hRSA
Enc
rypt
ion
No
[Obj
ectS
tore
]
Nam
e=R
aíz
del
arch
ivo
(sin
exte
nsió
n)qu
ed
ebe
usar
sepa
ralo
sar
chiv
osd
ed
atos
CA
caO
bjec
tSto
reN
o
Path
=R
uta
de
acce
soab
solu
tad
ond
ere
sid
enlo
sar
chiv
osC
Ad
eTr
ust
Aut
hori
tyPa
raW
ind
ows
NT:
c:\
Arc
hivo
sd
epr
ogra
ma\
IBM
\Tr
ust
Aut
hori
ty\
etc\
Trus
tAut
hori
ty\
Para
AIX
:/us
r/lp
p/ia
u/et
c/Tr
ustA
utho
rity
/
No
[Cer
tPol
icy]
Cad
aal
gori
tmo
de
firm
asd
ebe
tene
rsu
OID
dec
lara
do
enla
secc
ión
OID
s.C
ada
nom
bre
de
polít
ica
deb
ete
ner
unO
IDco
rres
pond
ient
een
lase
cció
nO
IDs.
SigA
lg1=
Def
inic
ión
del
prim
eral
gori
tmo
de
firm
as.D
ebe
tene
run
aen
trad
aco
rres
pond
ient
een
lase
cció
nO
IDs.
sha-
1Wit
hRSA
Enc
rypt
ion
No
Star
tTim
eSpe
cifi
able
=E
spec
ific
asi
elso
licit
ante
(ent
idad
clie
nte
aR
Ao
RA
aC
A)
pued
ees
peci
fica
rla
hora
de
inic
io.
VN
o
Max
Lif
etim
e=E
lpe
ríod
od
evi
genc
iam
áxim
ad
eun
cert
ific
ado
(en
hora
s).
1754
4hSí
Lif
eTim
eDef
=E
lpe
ríod
od
evi
genc
iapr
edet
erm
inad
od
eun
cert
ific
ado
(en
día
s).
180d
No
74 Trust Authority: Guía de administración del sistema
Tabl
a14
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
CA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
Key
Spec
ifia
ble=
Esp
ecif
ica
siel
solic
itan
te(e
ntid
adcl
ient
eo
RA
)pu
ede
espe
cifi
car
lacl
ave
públ
ica
del
suje
to.
VN
o
Key
Usa
geSu
ppor
ted
=E
spec
ific
asi
seso
port
ala
exte
nsió
nd
eus
od
ecl
ave.
VN
o
Key
Usa
geR
equi
red
=E
spec
ific
asi
sere
quie
rela
exte
nsió
nd
eus
od
ecl
ave.
FN
o
Polic
yCri
tica
l=E
spec
ific
asi
lapo
lític
ad
eber
íase
rcr
ític
a.F
No
Polic
yReq
uire
d=
Esp
ecif
ica
sise
requ
iere
lapo
lític
a.F
No
Polic
yNam
e1=
El
nom
bre
de
lapo
lític
apr
imar
ia.D
ebe
tene
run
OID
corr
espo
ndie
nte
enla
secc
ión
OID
s.
MyP
olic
yN
o
Polic
y1O
rg=
El
nom
bre
de
laor
gani
zaci
ónqu
ere
quie
rees
tapo
lític
aSu
Org
aniz
ació
nN
o
Polic
y1N
otic
e1=
Not
ice1
asoc
iad
oa
Polic
y13
No
Polic
y1N
otic
e2=
Not
ice2
asoc
iad
oa
Polic
y117
No
Use
rNot
iceT
ext1
=U
nad
ecla
raci
ónle
gal
oun
are
nunc
iapa
rain
form
ació
nd
ela
part
ed
epen
die
nte,
yen
laqu
eés
tapu
ede
basa
rsu
sd
ecis
ione
s
La
dec
lara
ción
ore
nunc
iale
gal.
No
CPS
1=U
RL
enel
que
pued
ele
erse
lad
ecla
raci
ónd
ePo
licy1
.ht
tp:/
/lo
calh
ost/
ind
ex.h
tml
No
Polic
yNam
e2=
Nom
bre
de
lapo
lític
ase
cund
aria
.Si
exis
te,d
ebe
tene
run
OID
corr
espo
ndie
nte
enla
secc
ión
OID
s.
My
Lit
ePo
licy
No
CPS
2=U
RL
enel
que
pued
ele
erse
lad
ecla
raci
ónd
ePo
licy2
.ht
tp:/
/lo
calh
ost/
ind
ex.h
tml
No
Tim
eBet
wee
nCR
Ls=
Inte
rval
od
eti
empo
pred
eter
min
ado
entr
ela
spu
blic
acio
nes
plan
ific
adas
de
laC
RL
.
1dSí
Capítulo 5. Consulta 75
Tabl
a14
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
CA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
CR
LD
urat
ion=
Perí
odo
de
vige
ncia
de
laC
RL
.2d
Sí
[Cro
ssC
ertP
olic
y]
SigA
lg1=
Def
inic
ión
del
prim
eral
gori
tmo
de
firm
as.D
ebe
tene
run
aen
trad
aco
rres
pond
ient
een
lase
cció
nO
IDs.
sha-
1Wit
hRSA
Enc
rypt
ion
No
Star
tTim
eSpe
cifi
able
=E
spec
ific
asi
elso
licit
ante
(ent
idad
clie
nte
oR
A)
pued
ees
peci
fica
rla
hora
de
inic
io.
VN
o
Max
Lif
eTim
eL
ad
urac
ión
máx
ima
de
unce
rtif
icad
o.17
544h
Sí
Lif
eTim
eDef
El
perí
odo
de
vige
ncia
de
unce
rtif
icad
o.18
0dN
o
Key
Spec
ifia
ble=
Esp
ecif
ica
siel
solic
itan
te(e
ntid
adcl
ient
eo
RA
)pu
ede
espe
cifi
car
lacl
ave
públ
ica
del
suje
to.
VN
o
Key
Usa
geSu
ppor
ted
=E
spec
ific
asi
seso
port
ala
exte
nsió
nd
eus
od
ecl
ave.
VN
o
Key
Usa
geR
equi
red
=E
spec
ific
asi
sere
quie
rela
exte
nsió
nd
eus
od
ecl
ave.
FN
o
Polic
yCri
tica
l=E
spec
ific
asi
lapo
lític
ad
eber
íase
rcr
ític
aF
No
Polic
yReq
uire
d=
Esp
ecif
ica
sise
requ
iere
lapo
lític
a.F
No
Polic
yNam
e1=
El
nom
bre
de
lapo
lític
apr
imar
ia.D
ebe
tene
run
OID
corr
espo
ndie
nte
enla
secc
ión
OID
s.
MyP
olic
yN
o
Polic
y1O
rg=
El
nom
bre
de
laor
gani
zaci
ónqu
ere
quie
rees
tapo
lític
a.Su
Org
aniz
ació
nN
o
Polic
y1N
otic
e1=
Not
ice1
asoc
iad
oa
Polic
y13
No
Polic
y1N
otic
e2=
Not
ice2
asoc
iad
oa
Polic
y117
No
76 Trust Authority: Guía de administración del sistema
Tabl
a14
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
CA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
Use
rNot
iceT
ext1
=U
nad
ecla
raci
ónle
gal
oun
are
nunc
iaa
títu
loin
form
ativ
opa
rala
part
ed
epen
die
nte,
yen
laqu
eés
tapu
ede
basa
rsu
sd
ecis
ione
s
La
dec
lara
ción
ore
nunc
iale
gal
No
CPS
1=U
RL
enel
que
pued
ele
erse
lad
ecla
raci
ónd
ePo
licy1
http
://
loca
lhos
t/in
dex
.htm
lN
o
Polic
yNam
e2=
Nom
bre
de
lapo
lític
ase
cund
aria
.M
yL
ite
Polic
yN
o
CPS
2=U
RL
enel
que
pued
ele
erse
lad
ecla
raci
ónd
ePo
licy2
.ht
tp:/
/lo
calh
ost/
ind
ex.h
tml
No
Tim
eBet
wee
nCR
Ls=
Inte
rval
od
eti
empo
pred
eter
min
ado
entr
ela
spu
blic
acio
nes
plan
ific
adas
de
laC
RL
.
1dSí
CR
LD
urat
ion=
Peri
odo
de
vige
ncia
de
laC
RL
2dSí
[Gen
eral
]
MyN
ame=
DN
de
laen
tid
adcl
ient
e./
C=
US/
O=
SuO
rgan
izac
ión/
OU
=Tr
ust
Aut
hori
ty/
CN
=C
Ad
eTr
ust
Aut
hori
tyN
o
Def
ault
RA
=L
aR
Apr
edet
erm
inad
a.1
No
Pref
erre
dC
rypt
oPro
vid
er=
El
GU
ID(i
den
tifi
cad
orex
clus
ivo
glob
alm
ente
)pa
rael
prov
eed
orcr
ipto
gráf
ico.
dd
a0c1
e0-7
b73-
11d
0-8e
0c-0
004a
c602
b18
No
Cer
tper
DP=
Cer
tifi
cad
ospo
rpu
nto
de
dis
trib
ució
n.0
Sí
CR
LD
istN
ame=
Nom
bre
del
punt
od
ed
istr
ibuc
ión
que
sein
sert
ará
enel
cert
ific
ado.
MyC
RL
Dis
tNam
e%d
No
Tem
pPat
h=R
uta
de
acce
sopa
rael
alm
acen
amie
nto
de
arch
ivos
tem
pora
les.
Para
Win
dow
sN
T:c:
\A
rchi
vos
de
prog
ram
a\IB
M\
Trus
tA
utho
rity
\et
c\Tr
ustA
utho
rity
\
Para
AIX
:/us
r/lp
p/ia
u/et
c/Tr
ustA
utho
rity
/
No
Path
ToD
LL
s=R
uta
de
acce
soen
laqu
ese
alm
acen
anla
sbi
blio
teca
sPK
IX.
Para
Win
dow
sN
T:c:
\pk
ix\
Para
AIX
:/us
r/pk
ix/
No
Capítulo 5. Consulta 77
Tabl
a14
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
CA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
RA
1=D
Nd
ela
RA
para
esta
CA
./
C=
US/
O=
SuO
rgan
izac
ión/
OU
=Tr
ust
Aut
hori
ty/
CN
=R
Ad
eTr
ust
Aut
hori
tyN
o
[Tra
nspo
rt]
TC
PPor
t=Pu
erto
TC
Pen
elqu
ees
cuch
ala
CA
.18
30Sí
TC
PHos
t=N
ombr
ed
esi
stem
apr
inci
pal
del
equi
poen
elqu
ere
sid
ela
CA
.Su
nom
bre
desi
stem
apr
inci
pal
No
PollI
nter
val=
Inte
rval
od
eso
ndeo
.10
sSí
[Key
Stor
e]
Cur
Key
Stor
e=K
eySt
ore
enus
o.V
SCN
o
[VSC
]É
sta
esun
ase
cció
nre
quer
ida
siel
pará
met
roC
urK
eySt
ore
tien
eun
valo
rd
eV
SC.
Mod
el=
Tipo
de
alm
acen
amie
nto
utili
zad
o.PK
CS1
1_ST
OR
AG
E_M
OD
EL
No
Gui
d=
Iden
tifi
cad
orex
clus
ivo
glob
al.
7F52
9C80
-C94
2-11
D1-
8FB
0-00
04A
C61
389A
No
Init
ialS
Opw
=C
ontr
aseñ
ain
icia
lpa
rael
Ad
min
istr
ador
de
aud
itor
íaSO
PIN
No
Toke
nDir
=R
uta
de
acce
soab
solu
tay
nom
bre
de
arch
ivo
para
lata
rjet
ain
telig
ente
virt
ual.
Para
Win
dow
sN
T:c:
\A
rchi
vos
de
prog
ram
a\IB
M\
Trus
tA
utho
rity
\et
c\Tr
ustA
utho
rity
\ca
KS.
fil
Para
AIX
:/us
r/lp
p/ia
u/et
c/Tr
ustA
utho
rity
/ca
KS.
fil
No
4758
GU
ID=
GU
IDpa
rala
tarj
eta
4758
.47
4d08
80-b
44c-
11d
1-b1
cf-0
0203
5680
b00
No
Use
4758
=In
dic
ador
para
det
erm
inar
sila
CA
utili
zael
4758
.fa
lse
No
4758
Prof
ileU
seri
d=
El
IDd
eus
uari
od
elpe
rfil
del
4758
.D
ispo
nibl
eso
lam
ente
siU
se47
58=
true
.IB
MC
A00
1N
o
4758
Prof
ilePa
ssPh
rase
=L
aco
ntra
seña
para
elpe
rfil
del
4758
.D
ispo
nibl
eso
lam
ente
siU
se47
58=
true
.Se
cure
99N
o
4758
Ret
ain=
Esp
ecif
ica
sila
CA
utili
zala
opci
ón47
58R
etai
n.D
ispo
nibl
eso
lam
ente
siU
se47
58=
true
.
fals
e(t
rue
sola
men
tepa
rala
opci
ónR
ETA
IN,q
ueno
sere
com
iend
a)N
o
78 Trust Authority: Guía de administración del sistema
Tabl
a14
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
CA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
4758
Key
Len
gth=
La
long
itud
de
lacl
ave
4758
.Los
valo
res
posi
bles
son:
512,
1024
,y20
48.
Dis
poni
ble
sola
men
tesi
Use
4758
=tr
ue.
512
No
[Tru
stPo
licy]
Use
CR
Ls=
Esp
ecif
ica
sila
sC
RL
yla
sA
RL
deb
ería
nut
iliza
rse
com
opa
rte
del
proc
eso
de
valid
ació
n.
VN
o
Allo
wE
xpir
edC
RL
s=E
spec
ific
asi
las
CR
Lca
duc
adas
son
válid
as.
FN
o
Allo
wFu
ture
CR
Ls=
Esp
ecif
ica
sila
sC
RL
con
fech
asfu
tura
sso
nvá
lidas
.F
No
Allo
wE
xpir
edC
erti
fica
tes=
Esp
ecif
ica
silo
sce
rtif
icad
osca
duc
ados
son
válid
os.
FN
o
Allo
wFu
ture
Cer
tifi
cate
s=E
spec
ific
asi
los
cert
ific
ados
futu
ros
son
válid
osF
No
Allo
wC
RL
Sear
chTo
Fail=
Esp
ecif
ica
sino
enco
ntra
rla
CR
Lo
AR
Lpa
raun
emis
ord
eter
min
ado
cons
titu
yeun
erro
r.
FN
o
Max
imum
Cha
inSe
arch
Dep
th=
Prof
und
idad
máx
ima
de
cad
ena
perm
itid
ad
uran
tela
crea
ción
reit
erad
ad
eca
den
asin
icia
lmen
tea
loan
cho.
15N
o
[Rem
oteS
erve
r]
Max
Sess
ions
=Pa
rám
etro
de
ajus
te.
16N
o
Enc
rypt
ionP
olic
y=E
spec
ific
asi
seut
iliza
una
polít
ica
de
cifr
ado
entr
eun
serv
idor
subo
rdin
ado
ysu
adm
inis
trad
orre
mot
osi
ambo
ses
tán
enel
mis
mo
sist
ema.
FN
o
Num
Ad
min
s=N
úmer
od
ead
min
istr
ador
esce
rtif
icad
os.
0N
o
Ad
min
1DN
=D
Nd
eA
dm
inis
trat
or1.
No
seut
iliza
No
[IC
L]
Capítulo 5. Consulta 79
Tabl
a14
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
CA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
IclO
dbc
Prov
ider
=Ti
pod
epr
ovee
dor
para
OD
BC
.U
DB
No
IclP
rote
ctio
nPol
icy
Polít
ica
de
prot
ecci
ónIC
L.L
osva
lore
sso
n:
Igno
re
Con
tinu
eWit
hMes
sage
Term
inat
eTra
nsac
tion
Con
tinu
eWit
hMes
sage
Sí
IclO
dbc
Dri
verC
onne
ct=
Nom
bre
de
laba
sed
ed
atos
para
laIC
L.
DSN
=ib
md
bN
o
MA
CL
abel
=E
tiqu
eta
para
las
clav
esM
AC
enK
eySt
ore.
CA
_MA
C_K
eyN
o
[UR
Ls]
/C
%E
Q%
US/
O%
EQ
%Su
Org
aniz
ació
n/O
U%
EQ
%Tr
ust
Aut
hori
ty/
CN
%E
Q%
RA
de
Trus
tA
utho
rity
=pk
ix:/
/lo
calh
ost:8
29
Est
aen
trad
ase
def
ine
dur
ante
laco
nfig
urac
ión
con
elU
RL
yel
DN
para
laR
A
DN
de
laR
ASí
80 Trust Authority: Guía de administración del sistema
Archivo del configuración del servidor RALa Tabla 15 en la página 82 proporciona información acerca de los parámetros delarchivo de configuración del servidor RA, jonahra.ini.
Capítulo 5. Consulta 81
Tabl
a15
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
RA
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
[OID
s]
C=
OID
del
país
.2.
5.4.
6N
o
O=
OID
de
laor
gani
zaci
ón.
2.5.
4.10
No
OU
=O
IDd
ela
unid
ador
gani
zati
va.
2.5.
4.11
No
CN
=O
IDd
elno
mbr
eco
mún
.2.
5.4.
3N
o
L=
OID
de
lalo
calid
ad.
2.5.
4.7
No
ST=
OID
del
esta
do.
2.5.
4.8
No
T=
OID
del
carg
o.2.
5.4.
12N
o
id-d
sa=
OID
de
DSA
.1.
2.84
0.10
040.
4.1
No
id-d
sa-w
ith-
sha1
=O
IDd
eD
SAco
nSH
A-1
.1.
2.84
0.10
040.
4.3
No
rsaE
ncry
ptio
n=O
IDd
eci
frad
oR
SA.
1.2.
840.
1135
49.1
.1.1
No
sha-
1Wit
hRSA
Enc
rypt
ion=
OID
de
cifr
ado
SHA
-1co
nR
SA.
1.2.
840.
1135
49.1
.1.5
No
sha1
=O
IDd
eSH
A-1
.1.
3.14
.3.2
.26
No
hmac
-sha
1=O
IDd
elH
MA
C(H
ashe
dM
essa
geA
uthe
ntic
atio
nC
ode)
SHA
-1.
1.3.
6.1.
5.5.
8.1.
2N
o
pkcs
7-d
ata=
OID
de
PKC
S#7
,1.
2.84
0.11
3549
.1.7
.1N
o
pkcs
12-c
ertb
ag=
OID
de
labo
lsa
de
cert
ific
ados
PKC
S#1
2.1.
2.84
0.11
3549
.1.1
2.10
.1.3
No
pkcs
12-k
eyba
g=O
IDd
ela
bols
ad
ecl
aves
PKC
S#1
2.1.
2.84
0.11
3549
.1.1
2.10
.1.1
No
X50
9-C
erti
fica
te=
OID
del
cert
ific
ado
X.5
09.
1.2.
840.
1135
49.1
.9.2
2.1
No
Pass
wor
dB
ased
MA
C=
OID
del
MA
Cba
sad
oen
cont
rase
ña.
1.2.
840.
1135
33.7
.66.
13N
o
MyP
olic
y=E
jem
plo
de
una
entr
ada
OID
para
Polic
yNam
e1en
lase
cció
nC
ertP
olic
y.
1.34
.67.
7N
o
My
Lit
ePo
licy=
Eje
mpl
od
eun
aen
trad
aO
IDpa
raPo
licyN
ame2
enla
secc
ión
Cer
tPol
icy.
2.4.
1.0
No
82 Trust Authority: Guía de administración del sistema
Tabl
a15
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
RA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
[Asy
mm
etri
cKey
Alg
s]
DSA
=D
efin
ició
nd
elal
gori
tmo
de
clav
eD
SA.
id-d
saN
o
RSA
=D
efin
ició
nd
elal
gori
tmo
RSA
.rs
aEnc
rypt
ion
No
[Asy
mm
etri
cEnc
Alg
s]
DSA
=D
efin
ició
nd
elal
gori
tmo
de
cifr
ado
DSA
.id
-dsa
No
[Asy
mm
etri
cSig
Alg
s]]
DSA
wit
hSH
A1=
Def
inic
ión
del
algo
ritm
od
efi
rmas
DSA
con
SHA
-1.S
eem
plea
para
visu
aliz
arun
ase
lecc
ión
de
algo
ritm
opo
rpa
rte
de
laG
UI
ose
rvid
or.
id-d
sa-w
ith-
sha1
No
RSA
wit
hSH
A1=
Def
inic
ión
del
algo
ritm
od
efi
rmas
RSA
con
SHA
-1.S
eem
plea
para
visu
aliz
arun
ase
lecc
ión
de
algo
ritm
opo
rpa
rte
de
laG
UI
ose
rvid
or.
sha-
1Wit
hRSA
Enc
rypt
ion
No
[Obj
ectS
tore
]
Nam
e=N
ombr
ed
ear
chiv
osi
nex
tens
ión
que
deb
eut
iliza
rse
para
los
arch
ivos
de
dat
osR
A.
raO
bjec
tSto
reN
o
Path
=R
uta
de
acce
soab
solu
taen
laqu
ese
encu
entr
anlo
sar
chiv
osd
ed
atos
RA
de
Trus
tA
utho
rity
.
Para
Win
dow
sN
T:c:
\A
rchi
vos
de
prog
ram
a\IB
M\
Trus
tA
utho
rity
\pk
rf\
Dom
ains
\Su
Dom
inio
\et
c\
Para
AIX
:/
usr/
lpp/
iau/
pkrf
/D
omai
ns/
SuD
omin
io/
etc/
No
[Iss
uerC
ertP
olic
y]C
ada
algo
ritm
od
efi
rmas
deb
ete
ner
suO
IDd
ecla
rad
oen
lase
cció
nO
IDs.
Cad
ano
mbr
ed
epo
lític
ad
ebe
tene
run
OID
corr
espo
ndie
nte
enla
secc
ión
OID
s.
SigA
lg1=
Def
inic
ión
del
algo
ritm
od
efi
rmas
.D
ebe
tene
run
aen
trad
aco
rres
pond
ient
een
lase
cció
nO
IDs.
sha-
1Wit
hRSA
Enc
rypt
ion
No
Capítulo 5. Consulta 83
Tabl
a15
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
RA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
Star
tTim
eSpe
cifi
able
=E
spec
ific
asi
elso
licit
ante
(ent
idad
clie
nte
aR
A,o
RA
aC
A)
pued
ees
peci
fica
rla
hora
de
inic
iod
elce
rtif
icad
o.
VN
o
Max
Lif
eTim
e=L
ad
urac
ión
máx
ima
de
unce
rtif
icad
o.87
60h
No
Lif
eTim
eDef
=E
lpe
riod
od
evi
genc
iapr
edet
erm
inad
od
eun
cert
ific
ado.
180d
No
Key
Spec
ifia
ble=
Esp
ecif
ica
siel
solic
itan
te(e
ntid
adcl
ient
eo
RA
)pu
ede
espe
cifi
car
lacl
ave
públ
ica
del
suje
to.
VN
o
Key
Usa
geSu
ppor
ted
=E
spec
ific
asi
seso
port
ala
exte
nsió
nd
eus
od
ecl
ave.
VN
o
Key
Usa
geR
equi
red
=E
spec
ific
asi
sere
quie
rela
exte
nsió
nd
eus
od
ecl
ave.
FN
o
Polic
yCri
tica
l=E
spec
ific
asi
lapo
lític
ad
eber
íase
rcr
ític
a.F
No
Polic
yReq
uire
d=
Esp
ecif
ica
sise
requ
iere
lapo
lític
a.F
No
Polic
yNam
e1=
El
nom
bre
de
lapo
lític
apr
imar
ia.
Deb
ete
ner
unO
IDco
rres
pond
ient
een
lase
cció
nO
IDs.
MyP
olic
yN
o
Polic
y1O
rg=
El
nom
bre
de
laor
gani
zaci
ónqu
ere
quie
rela
polít
ica
prim
aria
.Su
Org
aniz
ació
nN
o
Polic
y1N
otic
e1=
Not
ice1
asoc
iad
oa
Polic
y1.
3N
o
Polic
y1N
otic
e2=
Not
ice2
asoc
iad
oa
Polic
y2.
17N
o
Use
rNot
iceT
ext1
=U
nad
ecla
raci
ónle
gal
oun
are
nunc
iaa
títu
loin
form
ativ
opa
rala
part
ed
epen
die
nte,
yen
laqu
eés
tapu
ede
basa
rsu
sd
ecis
ione
s.
La
dec
lara
ción
ore
nunc
iale
gal.
No
CPS
1U
RL
enel
que
pued
ele
erse
lad
ecla
raci
ónd
ePo
licy1
.ht
tp:/
/lo
calh
ost/
ind
ex.h
tml
No
84 Trust Authority: Guía de administración del sistema
Tabl
a15
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
RA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
Polic
yNam
e2=
Nom
bre
de
lapo
lític
ase
cund
aria
.Si
exis
te,d
ebe
tene
run
OID
corr
espo
ndie
nte
enla
secc
ión
OID
s.
My
Lit
ePo
licy
No
CPS
2=U
RL
enel
que
pued
ele
erse
lad
ecla
raci
ónd
ePo
licy2
.ht
tp:/
/lo
calh
ost/
ind
ex.h
tml
No
EE
Rev
okeR
eque
sts=
Esp
ecif
ica
siun
aen
tid
adcl
ient
epu
ede
solic
itar
lare
voca
ción
de
unce
rtif
icad
o.A
NY
sign
ific
aqu
ela
enti
dad
clie
nte
pued
eso
licit
arla
revo
caci
ónd
eun
cert
ific
ado
que
solic
itó.
NO
NE
sign
ific
aqu
ela
enti
dad
clie
nte
nopu
ede
solic
itar
lare
voca
ción
de
cert
ific
ados
.
Any
No
[Iss
uerC
ross
Cer
tPol
icy]
SigA
lg1=
Nom
bre
del
prim
eral
gori
tmo
de
firm
as.D
ebe
tene
run
aen
trad
aco
rres
pond
ient
een
lase
cció
nO
IDs.
sha-
1Wit
hRSA
Enc
rypt
ion
No
Star
tTim
eSpe
cifi
able
=E
spec
ific
asi
elso
licit
ante
(ent
idad
clie
nte
oR
A)
pued
ees
peci
fica
rla
hora
de
inic
io.
VN
o
Key
Spec
ifia
ble=
Esp
ecif
ica
siel
solic
itan
te(e
ntid
adcl
ient
eo
RA
)pu
ede
espe
cifi
car
lacl
ave
públ
ica
del
suje
to.
VN
o
Key
Usa
geSu
ppor
ted
=E
spec
ific
asi
seso
port
ala
exte
nsió
nd
eus
od
ecl
ave.
VN
o
Key
Usa
geR
equi
red
=E
spec
ific
asi
sere
quie
rela
exte
nsió
nd
eus
od
ecl
ave.
FN
o
Polic
yCri
tica
l=E
spec
ific
asi
lapo
lític
ad
eber
íase
rcr
ític
a.F
No
Polic
yReq
uire
d=
Esp
ecif
ica
sise
requ
iere
lapo
lític
a.F
No
Capítulo 5. Consulta 85
Tabl
a15
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
RA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
Polic
yNam
e1=
El
nom
bre
de
lapo
lític
apr
imar
ia.
Deb
ete
ner
unO
IDco
rres
pond
ient
een
lase
cció
nO
IDs.
MyP
olic
yN
o
Polic
y1O
rg=
El
nom
bre
de
laor
gani
zaci
ónqu
ere
quie
rela
polít
ica
prim
aria
.Su
Org
aniz
ació
nN
o
Polic
y1N
otic
e1=
Not
ice1
asoc
iad
oa
Polic
y1.
3N
o
Polic
y1N
otic
e2=
Not
ice2
asoc
iad
oa
Polic
y1.
17N
o
Use
rNot
iceT
ext1
=U
nad
ecla
raci
ónle
gal
oun
are
nunc
iaa
títu
loin
form
ativ
opa
rala
part
ed
epen
die
nte,
yen
laqu
eés
tapu
ede
basa
rsu
sd
ecis
ione
s.
La
dec
lara
ción
ore
nunc
iale
gal
No
CSP
1U
RL
enel
que
pued
ele
erse
lad
ecla
raci
ónd
ePo
licy1
.ht
tp:/
/lo
calh
ost/
ind
ex.h
tml
No
Polic
yNam
e2=
Nom
bre
de
lapo
lític
ase
cund
aria
.M
yL
ite
Polic
yN
o
CPS
2=U
RL
enel
que
pued
ele
erse
lad
ecla
raci
ónd
ePo
licy2
.ht
tp:/
/lo
calh
ost/
ind
ex.h
tml
No
EE
Rev
okeR
eque
sts=
Esp
ecif
ica
siun
aen
tid
adcl
ient
epu
ede
solic
itar
lare
voca
ción
de
unce
rtif
icad
o.A
NY
sign
ific
aqu
ela
enti
dad
clie
nte
pued
eso
licit
arla
revo
caci
ónd
ecu
alqu
ier
cert
ific
ado.
SEL
Fsi
gnif
ica
que
laen
tid
adcl
ient
epu
ede
solic
itar
lare
voca
ción
de
unce
rtif
icad
oqu
eso
licit
ó.N
ON
Esi
gnif
ica
que
laen
tid
adcl
ient
eno
pued
eso
licit
arla
revo
caci
ónd
ece
rtif
icad
os.
AN
YN
o
[Gen
eral
]
MyN
ame
nom
bre
dis
tint
ivo
de
laen
tid
ad.
/C
=U
S/O
=Su
Org
aniz
ació
n/O
U=
Trus
tA
utho
rity
/C
N=
RA
de
Trus
tA
utho
rity
No
Issu
er1
nom
bre
dis
tint
ivo
de
laC
Ad
ees
taR
A.
/C
=U
S/O
=Su
Org
aniz
ació
n/O
U=
Trus
tA
utho
rity
/C
N=
CA
de
Trus
tA
utho
rity
No
86 Trust Authority: Guía de administración del sistema
Tabl
a15
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
RA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
Issu
er1U
RL
1U
RL
para
laC
Ad
ees
taR
A.
pkix
://
serv
erna
me:
1830
Sí
Tem
pPat
h=R
uta
de
acce
sopa
rael
alm
acen
amie
nto
de
arch
ivos
tem
pora
les.
Para
Win
dow
sN
T:c:
\A
rchi
vos
de
prog
ram
a\IB
M\
Trus
tA
utho
rity
\pk
rf\
Dom
ains
\Su
Dom
inio
\et
c\
Para
AIX
:/
usr/
lpp/
iau/
pkrf
/D
omai
ns\
SuD
omin
io/
etc/
No
Path
ToD
LL
s=R
uta
de
acce
soen
laqu
ese
inst
alan
las
bibl
iote
cas
PKIX
.Pa
raW
ind
ows
NT:
c:\
pkix
\
Para
AIX
:/us
r/pk
ix/
No
[Tra
nspo
rt]
TC
PPor
t=Pu
erto
TC
Pen
elqu
ees
cuch
ala
RA
.82
9Sí
TC
PHos
t=N
ombr
ed
esi
stem
apr
inci
pal
TC
P/IP
del
equi
poen
elqu
ere
sid
ela
RA
.
Suno
mbr
ed
esi
stem
apr
inci
pal
No
PollI
nter
val=
Inte
rval
od
eso
ndeo
.30
sSí
Ret
ryIn
terv
al=
El
inte
rval
od
eti
empo
entr
eco
nsul
tas
ala
CA
por
part
ed
ela
RA
enca
sod
equ
ela
hora
de
sond
eoqu
ela
CA
haen
viad
oa
laR
Ase
aan
teri
ora
lain
dic
ació
nho
rari
aac
tual
de
laR
A.
1mSí
[Key
Stor
e]
Cur
Key
Stor
e=K
eySt
ore
enus
o.V
SCN
o
[VSC
]E
sta
esun
ase
cció
nre
quer
ida
siel
pará
met
roC
urK
eySt
ore
tien
eun
valo
rd
eV
SC.
Mod
el=
Tipo
de
alm
acen
amie
nto
utili
zad
o.PK
CS1
1_ST
OR
AG
E_M
OD
EL
No
GU
ID=
Iden
tifi
cad
orex
clus
ivo
glob
al.
7F52
9C80
-C94
2-11
D1-
8FB
0-00
04A
C61
389A
No
Init
ialS
Opw
=C
ontr
aseñ
ain
icia
lpa
rael
adm
inis
trad
ord
eau
dit
oría
.SO
PIN
No
Capítulo 5. Consulta 87
Tabl
a15
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
RA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
Toke
nDir
=R
uta
de
acce
soab
solu
tay
nom
bre
de
arch
ivo
para
lata
rjet
ain
telig
ente
virt
ual.
Para
Win
dow
sN
T:c:
\A
rchi
vos
públ
icos
\IB
M\
Trus
tA
utho
rity
\pk
rf\
Dom
ains
\Su
Dom
inio
\et
c\ra
KS.
fil
Para
AIX
:/
usr/
lpp/
iau/
pkrf
/D
omai
ns/
SuD
omin
io/
etc/
raK
S.fi
l
No
[Tru
stPo
licy]
Use
CR
Ls=
Esp
ecif
ica
sila
sC
RL
yla
sA
RL
deb
ería
nut
iliza
rse
com
opa
rte
del
proc
eso
de
valid
ació
n.
VN
o
Allo
wE
xpir
edC
RL
s=E
spec
ific
asi
las
CR
Lca
duc
adas
son
válid
as.
FN
o
Allo
wFu
ture
CR
Ls=
Esp
ecif
ica
sila
sC
RL
con
fech
asfu
tura
sso
nvá
lidas
.F
No
Allo
wE
xpir
edC
erti
fica
tes=
Esp
ecif
ica
silo
sce
rtif
icad
osca
duc
ados
son
válid
os.
FN
o
Allo
wFu
ture
Cer
tifi
cate
s=E
spec
ific
asi
los
cert
ific
ados
futu
ros
son
válid
os.
FN
o
App
lyN
ameC
onst
rain
tsTo
EE
Onl
y=E
spec
ific
asi
deb
enap
licar
sere
stri
ccio
nes
de
nom
bre
ato
dos
los
cert
ific
ados
de
laca
den
ao
sola
men
teal
últi
mo.
FN
o
Allo
wC
RL
Sear
chTo
Fail=
Esp
ecif
ica
sino
enco
ntra
rla
CR
Lo
AR
Lpa
raun
emis
ord
eter
min
ado
cons
titu
yeun
erro
r.
FN
o
Max
imum
Cha
inSe
arch
Dep
th=
Prof
und
idad
máx
ima
de
cad
ena
perm
itid
ad
uran
tela
crea
ción
reit
erad
ad
eca
den
asin
icia
lmen
tea
loan
cho.
15N
o
[LD
AP]
Num
Serv
ers=
Núm
ero
de
serv
idor
esL
DA
P.1
No
88 Trust Authority: Guía de administración del sistema
Tabl
a15
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
RA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
Serv
er1=
Nom
bre
de
sist
ema
prin
cipa
ly
núm
ero
de
puer
tod
else
rvid
orL
DA
P.
nom
bre
de
sist
ema
prin
cipa
l:pue
rto
Sí
Aut
hNam
e1D
Nd
elad
min
istr
ador
del
Dir
ecto
rio
/C
=U
S/O
=Su
orga
niza
ción
/O
U=
Trus
tA
utho
rity
/C
N=
Dir
Ad
min
No
Aut
hPw
d1
Con
tras
eña
del
adm
inis
trad
ord
elD
irec
tori
o(m
odif
íque
laso
lam
ente
empl
eand
ola
utili
dad
Cam
biar
cont
rase
ñad
eTr
ust
Aut
hori
ty)
Secu
re99
Sí
Post
Inte
rval
=In
terv
alo
entr
eco
mpr
obac
ione
spa
rad
etec
tar
siha
yin
form
ació
nqu
ed
eba
envi
arse
alD
irec
tori
o.
5mSí
[Rem
oteS
erve
r]
Max
Sess
ions
=Pa
rám
etro
de
ajus
te.
16N
o
Enc
rypt
ionP
olic
y=E
spec
ific
asi
seut
iliza
una
polít
ica
de
cifr
ado
entr
eun
serv
idor
subo
rdin
ado
ysu
adm
inis
trad
orre
mot
osi
ambo
ses
tán
enel
mis
mo
sist
ema.
FN
o
Num
Ad
min
s=N
úmer
od
ead
min
istr
ador
esce
rtif
icad
o.0
No
Ad
min
1DN
=D
Nd
eA
dm
inis
trat
or1.
No
seut
iliza
No
Cur
rent
Ad
min
Port
Puer
tod
ead
min
istr
ació
nac
tual
.N
ose
utili
zaN
o
[IC
L]
IclO
dbc
Prov
ider
Tipo
de
prov
eed
orO
DB
C.
UD
BN
o
IclO
dbc
Dri
verC
onne
ctN
ombr
ed
ela
base
de
dat
ospa
rala
ICL
.D
SN=
pkrf
db
No
[UR
Ls]
Capítulo 5. Consulta 89
Tabl
a15
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
RA
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
des
pu
ésd
ela
con
figu
raci
ónp
red
eter
min
ada
¿Se
pu
ede
cam
bia
rd
esp
ués
de
laco
nfi
gura
ción
?
/C
%E
Q%
US/
O%
EQ
%Su
Org
aniz
ació
n/O
U%
EQ
%Tr
ust
Aut
hori
ty/
CN
%E
Q%
CA
de
Trus
tA
utho
rity
=pk
ix:/
/lo
calh
ost:1
830
Est
aen
trad
ase
def
ine
dur
ante
laco
nfig
urac
ión
con
elU
RL
yel
DN
de
laC
A
DN
de
laC
ASí
90 Trust Authority: Guía de administración del sistema
Archivo de configuración del servidor de auditoríaEl archivo de configuración del servidor de auditoría, AuditServer.ini, especifica lasvariables de configuración para el servidor de auditoría. Estas variables configuranlas características de funcionamiento básicas del servidor y especifican el modo deregistrar cronológicamente los mensajes de depuración y error. Las variablestambién controlan los eventos que se registran cronológicamente. Las siguientessecciones proporcionan información suplementaria acerca de las entradas en laTabla 16 en la página 92.v Parámetros del manejador de servicios genéricosv Niveles de gravedad de los eventosv Niveles de seguimiento
Parámetros del manejador de servicios genéricosLos siguientes parámetros del manejador de servicios pueden utilizarse para cadaservicio:v service.count - El número de servicios disponiblesv service.x.name - El nombre de un serviciov service.x.classname - El nombre de clase de un serviciov service.x.dpolicy - El nombre de clase de una política de entregav service.default.count - El número de servicios predeterminadosv service.default.x.name - El nombre de un servicio predeterminado
Niveles de seguimientoLos niveles de seguimiento son los siguientes:v All - Registra cronológicamente mensajes de error, advertencia, información y
seguimiento de eventosv Error - Registra cronológicamente mensajes de errorv Warning - Registra cronológicamente mensajes de error y mensajes de
advertenciav Eventinfo - Registra cronológicamente mensajes de error y mensajes de
seguimiento de eventosv None - No registra cronológicamente mensajes
Capítulo 5. Consulta 91
Tabl
a16
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
deau
dito
ría
Par
ámet
roD
escr
ipci
ónV
alor
pre
det
erm
inad
o¿S
ep
ued
eca
mb
iar
des
pu
ésd
ela
con
figu
raci
ón?
Puer
tod
ese
rvid
or
acce
ptor
.cla
ssna
me=
El
nom
bre
de
clas
ed
elqu
eac
epta
com
.ibm
.irg.
sysm
gmt.d
aem
on.a
ccep
tors
.SM
Sock
etA
ccep
tor
No
acce
ptor
.arg
=E
lpu
erto
enel
cual
escu
cha
else
rvid
ord
eau
dit
oría
7222
Sí
acce
ptor
.init
.ret
ries
=E
lnú
mer
od
eve
ces
que
sein
tent
aun
enla
ceco
nel
sock
etd
else
rvid
or3
Sí
acce
ptor
.init
.del
ay=
El
núm
ero
de
segu
ndos
de
espe
raen
tre
inte
ntos
de
enla
ce.(
El
prog
ram
aas
ume
que
son
segu
ndos
.)
3Sí
Man
ejad
ord
ese
rvic
ios
serv
ice.
coun
t=E
lnú
mer
od
ese
rvic
ios
dis
poni
bles
2N
o
Serv
icio
de
regi
stro
serv
ice.
1.na
me=
El
nom
bre
del
serv
icio
de
regi
stro
log
No
serv
ice.
1.cl
assn
ame=
El
nom
bre
de
clas
ed
else
rvic
iod
ere
gist
roco
m.ib
m.ir
g.sy
smgm
t.dae
mon
.ser
vice
s.lo
g.SM
Log
Serv
ice
No
serv
ice.
1.d
polic
y=E
lno
mbr
ed
ecl
ase
de
lapo
lític
ad
een
treg
ad
else
rvic
iod
ere
gist
roco
m.ib
m.ir
g.sy
smgm
t.dae
mon
.ser
vice
s.lo
g.SM
Log
Del
iver
yPol
icy
No
Serv
icio
de
aud
itor
ía
serv
ice.
2.na
me=
El
nom
bre
del
serv
icio
de
aud
itor
íaau
dit
No
serv
ice.
2.cl
assn
ame=
El
nom
bre
de
clas
ed
else
rvic
iod
eau
dit
oría
com
.ibm
.irg.
sysm
gmt.d
aem
on.s
ervi
ces.
aud
it.S
MA
udit
Serv
ice
No
serv
ice.
2.d
polic
y=E
lno
mbr
ed
ecl
ase
de
lapo
lític
ad
een
treg
ad
else
rvic
iod
eau
dit
oría
com
.ibm
.irg.
sysm
gmt.d
aem
on.s
ervi
ces.
aud
it.S
MA
udit
Del
iver
yPol
icy
No
Serv
icio
spr
edet
erm
inad
os
serv
ice.
def
ault
.cou
nt=
El
núm
ero
de
serv
icio
spr
edet
erm
inad
osd
ispo
nibl
es2
No
serv
ice.
def
ault
.1.n
ame=
El
nom
bre
del
serv
icio
pred
eter
min
ado
log
No
serv
ice.
def
ault
.2.n
ame=
El
nom
bre
del
serv
icio
pred
eter
min
ado
aud
itN
o
92 Trust Authority: Guía de administración del sistema
Tabl
a16
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
deau
dito
ría
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
pre
det
erm
inad
o¿S
ep
ued
eca
mb
iar
des
pu
ésd
ela
con
figu
raci
ón?
Con
figu
raci
ónd
eev
ento
s
irgs
md
.eve
nt.c
onfi
g=E
lar
chiv
od
eco
nfig
urac
ión
de
even
tos
smev
ents
.con
fN
o
Reg
istr
ocr
onol
ógic
od
eev
ento
s
even
t.log
.file
nam
e=E
lar
chiv
opa
raca
ptur
arev
ento
sPa
raW
ind
ows
NT:
c:\
\A
rchi
vos
de
prog
ram
a\\
IBM
\\
Trus
tA
utho
rity
\\
logs
\\
smev
ents
.log
Para
AIX
:/us
r/lp
p/ia
u/lo
gs/
smev
ents
.log
Sí
even
t.log
.app
end
=E
lin
dic
ador
que
ind
ica
sid
ebe
agre
gars
eo
sobr
escr
ibir
seel
regi
stro
cron
ológ
ico
de
even
tos
true
Sí
De
aud
itor
ía
aud
it.k
sfile
=E
lar
chiv
oK
eySt
ore
de
aud
itor
ía.E
ste
arch
ivo
seem
plea
para
alm
acen
arla
scl
aves
crip
togr
áfic
asd
eau
dit
oría
.
No
aud
it.c
atal
ogE
lno
mbr
ed
ear
chiv
od
elar
chiv
od
eca
tálo
goN
LS.
Para
Win
dow
sN
T:c:
\\
Arc
hivo
sd
epr
ogra
ma\
\IB
M\
\Tr
ust
Aut
hori
ty\
\ca
talo
g\\
IRG
VD
S.D
LL
Para
AIX
:/us
r/lp
p/ia
u/ca
talo
g/IR
GV
DS.
cat
No
aud
it.d
b.in
stan
ce=
El
nom
bre
de
lain
stan
cia
DB
2d
eau
dit
oría
.N
o
aud
it.d
b.na
me=
El
nom
bre
de
laba
sed
ed
atos
de
aud
itor
ía.
No
aud
it.d
b.co
nnec
tion
=E
lal
gori
tmo
para
gest
iona
rla
cone
xión
de
laba
sed
ed
atos
.si
ngle
No
aud
it.lo
g.co
nnec
t.ret
ries
=E
lnú
mer
od
ere
inte
ntos
perm
itid
opa
raef
ectu
arla
cone
xión
con
laba
sed
ed
atos
/ar
chiv
od
ere
gist
rocr
onol
ógic
o
3Sí
aud
it.lo
g.up
dat
e.re
trie
s=E
lnú
mer
od
ere
inte
ntos
perm
itid
ospa
raac
tual
izar
elre
gist
rocr
onol
ógic
od
eau
dit
oría
3Sí
Capítulo 5. Consulta 93
Tabl
a16
.Arc
hivo
deco
nfig
urac
ión
dels
ervi
dor
deau
dito
ría
(con
tinua
ción
)
Par
ámet
roD
escr
ipci
ónV
alor
pre
det
erm
inad
o¿S
ep
ued
eca
mb
iar
des
pu
ésd
ela
con
figu
raci
ón?
aud
it.lo
g.ti
meo
utE
lva
lor
de
tiem
pod
ees
pera
para
actu
aliz
arel
regi
stro
cron
ológ
ico
de
aud
itor
ía
60s
Sí
aud
it.lo
g.in
tegr
ity=
Act
iva
od
esac
tiva
laco
mpr
obac
ión
de
inte
grid
adtr
ueN
o
De
segu
imie
nto
trac
e.en
able
=U
nin
dic
ador
para
acti
var
od
esac
tiva
rel
segu
imie
nto
fals
eSí
trac
e.le
vel.n
ame=
El
nom
bre
que
repr
esen
taun
nive
ld
ese
guim
ient
oal
lSí
trac
e.ev
ent.e
nabl
e=A
ctiv
ao
des
acti
vael
segu
imie
nto
de
even
tos
fals
eN
o
trac
e.lo
g.fi
lena
me=
El
nom
bre
de
arch
ivo
del
regi
stro
cron
ológ
ico
de
segu
imie
nto
Para
Win
dow
sN
T:c:
\\
Arc
hivo
sd
epr
ogra
ma\
\IB
M\
\Tr
ust
Aut
hori
ty\
\lo
gs\
\ia
usm
d.lo
g
Para
AIX
:/us
r/lp
p/ia
u/lo
gs/
iaus
md
.log
Sí
trac
e.lo
g.ap
pend
=E
lin
dic
ador
que
ind
ica
sid
ebe
agre
gars
eal
arch
ivo
de
segu
imie
nto
exis
tent
e
true
Sí
De
erro
r
erro
r.log
.file
nam
e=E
lno
mbr
ed
elar
chiv
od
eer
rore
sPa
raW
ind
ows
NT:
c:\
\A
rchi
vos
de
prog
ram
a\\
IBM
\\
Trus
tA
utho
rity
\\
logs
\\
iaus
md
.err
Para
AIX
:/us
r/lp
p/ia
u/lo
gs/
iaus
md
.err
Sí
94 Trust Authority: Guía de administración del sistema
Archivo de configuración del cliente de auditoría,AuditClient.ini
El archivo de configuración del cliente de auditoría, AuditClient.ini, especifica lasvariables de configuración para el cliente de auditoría.
Capítulo 5. Consulta 95
Tabl
a17
.Arc
hivo
deco
nfig
urac
ión
delc
lient
ede
audi
torí
a
Par
ámet
roD
escr
ipci
ónV
alor
pre
det
erm
inad
o¿S
ep
ued
eca
mb
iar
des
pu
ésd
ela
con
figu
raci
ón?
Val
ores
de
cone
xión
[CO
NN
EC
TIO
N]
Ena
bleA
udit
=A
ctiv
ao
des
acti
valo
sev
ento
sd
eau
dit
oría
true
No
Hos
tNam
e=Si
stem
apr
inci
pal
del
serv
idor
de
aud
itor
íasu
nom
bre
desi
stem
apr
inci
pal
No
Port
=Pu
erto
del
serv
idor
de
aud
itor
ía.D
ebe
coin
cid
irco
nel
puer
toes
peci
fica
do
enel
arch
ivo
Aud
itSe
rver
.ini
5999
8Sí
Aut
hTyp
e=M
ecan
ism
od
eau
tent
ific
ació
n.E
ste
pará
met
rono
seso
port
aen
este
rele
ase
de
Trus
tA
utho
rity
Nin
guno
No
Use
SSL
=¿D
eber
íaut
iliza
rse
SSL
para
lase
sión
de
clie
nte/
serv
idor
?Pa
raun
uso
futu
ro.E
ste
pará
met
rono
seso
port
aen
este
rele
ase
de
Trus
tA
utho
rity
No
No
SSL
Key
DB
=B
ase
de
dat
osd
ecl
aves
SSL
.Est
epa
rám
etro
nose
sopo
rta
enes
tere
leas
ed
eTr
ust
Aut
hori
ty
Para
AIX
:/us
r/lp
p/ia
u/au
dit
/cl
ient
/ss
l.kd
b
Para
Win
dow
sN
T:c:
\A
rchi
vos
de
prog
ram
a\IB
M\
Trus
tA
utho
rity
\au
dit
\cl
ient
\ss
l.kd
b
No
SSL
v2To
ken=
Sím
bolo
de
base
de
dat
osd
ecl
aves
SSL
.E
ste
pará
met
rono
seso
port
aen
este
rele
ase
de
Trus
tA
utho
rity
sím
bolo
No
Ret
ries
=N
úmer
od
ein
tent
ospa
raen
viar
elev
ento
4Sí
Tim
erE
lin
terv
alo
de
tiem
poqu
ed
ebe
espe
rars
e,en
mili
segu
ndos
,ent
rere
inte
ntos
para
cone
ctar
con
else
rvid
or
1000
Sí
Secc
ione
sd
ela
más
cara
de
com
pone
nte
[CA
]
Exc
lud
edE
vent
s=E
vent
osd
eC
Aqu
eno
seen
viar
ánSí
[RA
]
Exc
lud
edE
vent
s=E
vent
osd
eR
Aqu
eno
seen
viar
ánR
ecei
ptO
fCer
tReq
uest
Sí
96 Trust Authority: Guía de administración del sistema
Utilidades de línea de mandatosEsta sección proporciona la descripción de los parámetros y la sintaxis para lassiguientes utilidades de línea de mandatos:v Utilidad CA Certificationv Utilidad Add RA Userv Utilidad Enable RA Encryptionv Utilidad Audit Archive and Signv Utilidad Audit Integrity Check
Utilidad CA CertificationLa utilidad CA Certification le permite solicitar la certificación de otra CA ennombre de la autoridad de certificado (CA) de Trust Authority utilizando elmodelo de certificación cruzada o el modelo de jerarquía de confianza.
Nota: Si tiene la intención de descargar los certificados CA jerárquicos en NetscapeCommunicator como parte de su solución global de jerarquía, deberíaemplear el indicador ″-m ..″ con la utilidad CA Certification para excluir laextensión de restricciones de nombres del certificado CA resultante. Nodebería utilizar otra opción de la línea de mandatos de restricciones denombres que no sea ″-m ..″ (en otras palabras, no emplee -i/I, -d/D, -u/U,-n/N, ni -m/M) con la utilidad CA Certification. Por ejemplo, una instanciade un mandato de este tipo puede tener este aspecto:CaCertRq-m .. -h -r "c:\Archivos de programa\IBM\Trust Authority\ccprereg.reg"
-P 1835 -W Secure99
SintaxisLa sintaxis para esta utilidad es:CaCertRq
[-i máscaraDirecciónIp [-I máscaraDirecciónIp]][-d dns [-D dns]][-m direcciónCorreoElectrónico [-M direcciónCorreoElectrónico]][-u uri [-U uri]][-n nombreDirectorio [-N nombreDirectorio]][-p inhibitPolMap][-h [-m ..]][-C nombreArchivo | -B
nombreArchivo][-S nombresArchivo]-r rutaRegistroPrevio-P 1835-W contraseña
Parámetros[-i máscaraDirecciónIp [-I máscaraDirecciónIp]]
La máscara de dirección del protocolo Internet (IP) especificada en formatoCDIF. El parámetro en minúsculas (-i) agrega la máscara de dirección IPespecificada a la lista de subárboles permitidos. El parámetro en mayúsculas(-I) es el mismo que el parámetro en minúsculas con la salvedad de que agregala máscara de dirección IP especificada a la lista de subárboles excluidos.
Por ejemplo, la máscara de la Organización X es 9.0.0.0/255.0.0.0, mientras quela máscara actual de la División Y de la Organización X es9.210.134.0/255.255.254.0.
Capítulo 5. Consulta 97
[-d dns [-D dns]]Dirección del servidor de nombres de dominio (DNS). El parámetro enminúsculas (-d) agrega la dirección DNS especificada a la lista de subárbolespermitidos. El parámetro en mayúsculas (-D) es el mismo que el parámetro enminúsculas con la salvedad de que agrega la dirección DNS especificada a lalista de subárboles excluidos.
Si la dirección empieza por un punto, quedan incluidos todos los sistemasprincipales que terminen con esa subcadena (incluyendo el ″.″), pero si no esasí sólo se incluye el sistema principal que concuerda con esa cadena.
Por ejemplo, la restricción ″.orga.com″ concuerda con us.orga.com,vneto.orga.com, y w3.software.orga.com, pero no con orga.com (nikidorga.com). La restricción orga.com concuerda con orga.com pero no conus.orga.com o el resto. Esto sugiere que un subárbol permitido sin un ″.″ inicialindica solamente un único nodo posible.
[-m direcciónCorreoElectrónico [-M direcciónCorreoElectrónico]]Direcciones de correo electrónico. El parámetro en minúsculas (-m) agrega ladirección de correo electrónico especificada a la lista de subárboles permitidos.El parámetro en mayúsculas (-M) es el mismo que el parámetro en minúsculascon la salvedad de que agrega la dirección de correo electrónico especificada ala lista de subárboles excluidos.
Una dirección de correo electrónico puede estar en formato estándar (sincomodines) o puede ser simplemente la dirección DNS. Si especifica unadirección DNS, las reglas son las mismas que las que se detallan para la opción-d. Esto sugiere que un subárbol permitido que contenga una dirección decorreo electrónico estándar indica solamente un único usuario posible.
[-u uri [-U uri]]URI. El parámetro en minúsculas (-u) agrega el URI especificado a la lista desubárboles permitidos. El parámetro en mayúsculas (-U) es el mismo que elparámetro en minúsculas con la salvedad de que agrega el URI especificado ala lista de subárboles excluidos.
La parte del nodo del Identificador de recursos uniformes (URI) está sujeta alas mismas reglas que las que se detallan para la opción -d, a menos quecontenga una dirección IP. En este caso, se trata como una correspondenciaexacta.
[-n nombreDirectorio [-N nombreDirectorio]]El nombre del Directorio. El parámetro en minúsculas (-n) agrega el nombredel Directorio especificado a la lista de subárboles permitidos. El parámetro enmayúsculas (-N) es el mismo que el parámetro en minúsculas con la salvedadde que agrega el nombre del Directorio a la lista de subárboles excluidos.
Estos nombres deberían tener el formato LDAP estándar. Los nombres quecoincidan con cada uno de los nombres distintivos relativos (RDN) facilitadosen una restricción se considerarán coincidentes con la restricción, conindependencia de los otros RDN que estén presentes.
Nota: Al especificar una ruta de acceso de directorio que contenga espaciosintercalados como el parámetro de un mandato, debe especificar la rutade acceso entre comillas dobles (″ ″).
98 Trust Authority: Guía de administración del sistema
[-h ]Especifica que la solicitud de certificado utiliza el modelo de jerarquía deconfianza.
[-m ..]Especifica que debe excluirse la extensión de restricciones de nombres delcertificado.
[-C nombreArchivo]Especifica el nombre de archivo en el que se escribe la solicitud PKCS núm. 10codificada en binario. Los parámetros -C y -B se excluyen entre sí.
[-B nombreArchivo]Especifica el nombre de archivo en el que se escribe la solicitud PKCS núm. 10codificada binariamente en base 64. Los parámetros -C y -B se excluyen entresí.
[-S nombreArchivo]Especifica el nombre de archivo que contiene la respuesta de PKCS núm. 7.
-r rutaRegistroPrevioEl nombre de la ruta de acceso de un archivo de registro previo generado porel sistema emisor.
-P 1835El número de puerto administrativo de la CA, que es 1835.
-p inhibitPolMapEl valor del campo de extensión inhibitPolicyMapping.
Si esta opción no está presente, el campo tiene un valor predeterminado de 1.
-W contraseñaLa contraseña entrada cuando se generó el archivo de registro previo
Utilidad Add RA UserLa utilidad Add RA User le permite agregar un usuario administrativo RA (oresponsable de registros) a un dominio de registro de Trust Authority especificado.
Nota: Al especificar una ruta de acceso de directorio que contenga espaciosintercalados como el parámetro de un mandato, debe especificar la ruta deacceso entre comillas dobles (″ ″).
Sintaxisadd_rauser archivo_configuración_dominio nombre_dominio ID [perfil_acceso]
Parámetrosarchivo_configuración_dominio
La ruta de acceso absoluta al archivo de configuración del dominio(domain.cfg). Este archivo contiene una sección para cada dominio de registroconfigurado en el sistema. Se utiliza para localizar el directorio raíz virtual deldominio de registro especificado.
nombre_dominioEl nombre del dominio de registro que va a administrar el responsable deregistros agregado.
ID El ID de solicitud devuelto por el navegador en el momento en el que elusuario solicitó el certificado, o el UUID de credencial obtenido al utilizar RADesktop para ver el informe de certificado del usuario.
Capítulo 5. Consulta 99
Al especificar el parámetro ID, el programa asume en primer lugar que el IDes un ID de solicitud. Seguidamente, utiliza este valor para obtener el UUID decredencial (por ejemplo, sp0ApHvpzvCicr1Ts8ssKw==). En resumen, el certificadodebe haberse emitido previamente para el usuario que está solicitandoautorización como un responsable de registros.
Si no se encuentra un informe coincidente en la base de datos de registro, elprograma asume que el ID es un UUID de credencial. Seguidamente, intentaencontrar un informe de solicitud correspondiente. Si no existe ningunacoincidencia, el programa emite un mensaje de aviso e intenta agregar unaentrada a la tabla del responsable de registros (rausers) en la base de datos.
perfil_accesoUn parámetro opcional que especifica el perfil de acceso asociado alresponsable de registros que se está agregando al sistema. Si no especifica unvalor, el programa toma como valor predeterminado RAUser.
Este parámetro debe ser un perfil válido especificado en uno de los archivos deconfiguración de administración de registro de Trust Authority. El perfil listalos tipos de consultas, acciones, etc., que pueden efectuar los responsable deregistross asociados.
Utilidad Enable RA Database EncryptionPor defecto, la información almacenada en la base de datos del servicio de registrono está cifrada. Después de la configuración, puede activar el cifrado de la base dedatos ejecutando el programa Enable RA Database Encryption(iauEnableRADBSec).
SintaxisiauEnableRADBSec -d nombre_dominio -r directorio_instalación [i]
Parámetros-d nombre_dominio
El nombre de su dominio de registro. Este valor debe coincidir con el valorespecificado para el nombre del Dominio de registro en el Asistente para lainstalación.
-r directorio_instalaciónLa ruta de acceso completa en la que se ha instalado el producto TrustAuthority.
-i directorio_instalaciónUn parámetro opcional que hace que el sistema muestre mensajes dedepuración (actualmente sólo en inglés).
Utilidad Audit Archive and SignLa utilidad Audit Archive and Sign le permite realizar copias archivadas y firmararchivos de registro de auditoría.
Nota: Al especificar una ruta de acceso de directorio que contenga espaciosintercalados como el parámetro de un mandato, debe especificar la ruta deacceso entre comillas dobles (″ ″).
SintaxisAuditArchiveAndSign [-c RutaArchivoConfig] [-n] NombreArchivoModificado
100 Trust Authority: Guía de administración del sistema
Parámetros-c RutaArchivoConfig
El nombre de la ruta de acceso absoluta del archivo de configuración delservidor de auditoría.v La ruta de acceso predeterminada en AIX es:
/usr/lpp/iau/etc/TrustAuthority/AuditServer.iniv La ruta de acceso predeterminada en Windows NT es: c:\Archivos de
programa\IBM\Trust Athority\etc\TrustAuthority\AuditServer.ini
Nota: Este parámetro es opcional. Si no especifica un valor, se utiliza elarchivo de configuración del servidor de auditoría predeterminado.
-n Especifica que los informes de auditoría no deberían eliminarse de la base dedatos.
NombreArchivoModificadoEl prefijo del nombre de archivo en el que se han de grabar los registroscronológicos de auditoría. La utilidad agrega las extensiones .ixf y .sig a losarchivos de copia archivada y de firmas, respectivamente.
Utilidad Audit Integrity CheckLa utilidad Audit Integrity Check lleva a cabo la comprobación de la integridad enlas copias archivadas de los informes de auditoría y también en la base de datosdel servidor de auditoría. Esta herramienta es eficaz solamente si se activa lacomprobación de integridad en su sistema. La sintaxis para este mandato adoptalos siguientes formatos:v Formato 1
Este formato comprueba la integridad de la base de datos del servidor deauditoría, y le solicita la contraseña del Administrador de auditoría.
v Formato 2Este formato comprueba la integridad de uno o más archivos de copia archivadadel servidor de auditoría, y le solicita la contraseña del Administrador deauditoría.
v Formato 3Este formato comprueba la integridad de todos los archivos de copia archivadadel directorio especificado y le solicita la contraseña del Administrador deauditoría.
Nota: Al especificar una ruta de acceso de directorio que contenga espaciosintercalados como el parámetro de un mandato, debe especificar la ruta deacceso entre comillas dobles (″ ″).
SintaxisFormato 1:AuditIntegrityCheck [-c RutaArchivoConfig] -d
Formato 2:AuditIntegrityCheck [-c RutaArchivoConfig] -a NombreArchivoModificado1 NombreArchivoModificado2NombreArchivoModificado3
Formato 3:AuditIntegrityCheck [-c RutaArchivoConfig] -A DirectorioArchivosModificados
Capítulo 5. Consulta 101
Parámetros-c RutaArchivoConfig
El nombre de la ruta de acceso absoluta del archivo de configuración delservidor de auditoría.v La ruta de acceso predeterminada en AIX es:
/usr/lpp/iau/etc/TrustAuthority/AuditServer.iniv La ruta de acceso predeterminada en Windows NT es: c:\Archivos de
programa\IBM\Trust Authority\etc\TrustAuthority\AuditServer.ini
Nota: Este parámetro es opcional. Si no especifica un valor, se utiliza elarchivo de configuración del servidor de auditoría predeterminado.
-a NombreCopiaArchivada1 NombreCopiaArchivada2 NombreCopiaArchivada3El prefijo del nombre de ruta de acceso de los archivos de copia archivada enlos que se realizarán las comprobaciones de integridad. El prefijo representa unconjunto de archivos que están asociados a la copia archivada.
Por ejemplo, el mandato -a /local/archive/archive1-1067 procesaría diversosarchivos con el prefijo del nombre de ruta de acceso /local/archive/archive1-1067, del modo siguiente:/local/archive/archive1-1067_audit_log.ixf/local/archive/archive1-1067_audit_log.sig
-A DirectorioArchivosModificadosEl nombre de la ruta de acceso del directorio que contiene los archivos decopia archivada en los que se realizará la comprobación de integridad. Todoslos archivos con _audit_log.ixf y _audit_log.sig se procesan.
102 Trust Authority: Guía de administración del sistema
Campos de los eventos de auditoríaLa Tabla 18 lista y describe la información que contienen los eventos de auditoríade Trust Authority.
Tabla 18. Campos de los eventos de auditoría
Nombre del campo Descripción
Event Name El identificador del evento, que un cliente deauditoría especifica como un símbolo.
Affected Entity La entidad afectada por la acción por la quese está enviando un evento de auditoría.Esta información la especifica un cliente deauditoría.
Affected Entity Type El tipo de entidad afectada. Esta informaciónla especifica un cliente de auditoría.
Authorized Entity La entidad que ha autorizado la operación.Esta información la especifica un cliente deauditoría.
Authorized Entity Role La función de la entidad autorizada.
Storage Media Si corresponde, el medio de almacenamientoal que se hace referencia en la operación.Esta información la especifica un cliente deauditoría.
Severity La gravedad del evento, que puede serinformativa o de alerta.
Reporting Component Type El tipo de componente de Trust Authorityque está informando del evento.
Client Source Información identificativa para elcomponente de Trust Authority que estáenviando el evento.
Client Timestamp La hora en la que se envió el evento deauditoría desde un componente de TrustAuthority.
TimeStamp La hora en la que se grabó el evento deauditoría en la base de datos o archivo.
Extra Info Cualquier información adicional que searelevante para la operación. Estainformación la especifica un cliente deauditoría.
Eventos de auditoríaLa Tabla 19 lista y describe los eventos de auditoría de Trust Authority e indica sison obligatorios u opcionales.
Tabla 19. Eventos de auditoría
Evento Descripción Obligatorio uopcional
Gestión de claves
KeyGeneration Indica que se ha generado una clavecriptográfica.
Obligatorio
Capítulo 5. Consulta 103
Tabla 19. Eventos de auditoría (continuación)
Evento Descripción Obligatorio uopcional
KeyImport Indica que se ha importado una clavecriptográfica en Trust Authority.
Opcional
KeyExport Indica que se ha exportado una clavecriptográfica desde Trust Authority.
Opcional
KeyStorage Indica que se ha almacenado una clavecriptográfica.
Opcional
KeyRollover Indica que se ha sustituido una clavecriptográfica por una nueva clave que seutiliza para el mismo fin que la clave a laque ha sustituido.
Opcional
KeyCompromise Indica que se ha comprometido laseguridad de una clave criptográfica.
Obligatorio
CAKeyDistribution Indica que la clave pública de la CA se hagrabado en el Directorio.
Obligatorio
Gestión de certificados
CertGeneration Indica que se ha generado un certificado. Obligatorio
CertRevocation Indica que se ha revocado un certificado. Obligatorio
CertRenewal Indica que se ha renovado un certificado. Obligatorio
CertSuspension Indica que se ha suspendido temporalmenteun certificado.
Obligatorio
CertResumption Indica que un certificado que se habíasuspendido con anterioridad vuelve a estaractivo.
Obligatorio
CRLQuery Indica que se ha leído la Lista derevocación de certificados (CRL).
Opcional
CRLUpdate Indica que se ha actualizado la Lista derevocación de certificados (CRL).
Obligatorio
SubmitCertRequest Indica que se ha enviado una solicitud decertificado.
Opcional
Enrollment Indica que una RA ha solicitado lainscripción en una CA.
Obligatorio
Unenrollment Indica que una RA ha solicitado larevocación de la inscripción en una CA.
Obligatorio
CertDeletion Indica que la CA ha eliminado uncertificado de su base de datos decertificados.
Opcional
Sensible a la seguridad
SuccessfulAuthWithPassword Indica que un intento de autentificaciónmediante una contraseña ha sidosatisfactorio.
Obligatorio
UnsuccessAuthWithPassword Indica que un intento de autentificaciónmediante una contraseña ha fallado.
Obligatorio
SuccessfulAuthWithCert Indica que un intento de autentificaciónmediante un certificado ha sidosatisfactorio.
Obligatorio
UnsuccessfulAuthWithCert Indica que un intento de autentificaciónmediante un certificado ha fallado.
Obligatorio
104 Trust Authority: Guía de administración del sistema
Tabla 19. Eventos de auditoría (continuación)
Evento Descripción Obligatorio uopcional
SuccessfulCertValidation Indica que se ha verificado la totalidad dela cadena de certificados hasta el certificadode la CA raíz.
Obligatorio
UnsuccessfulCertValidation Indica que se ha invalidado la totalidad dela cadena de certificados hasta el certificadode la CA raíz.
Obligatorio
PasswordChange Indica que un intento de cambiar lacontraseña ha sido satisfactorio.
Obligatorio
ACLUpdate Indica que una entidad o un usuario hasido agregado o eliminado de la Lista decontrol de accesos (ACL).
Obligatorio
SuccessfulIntegrityCheck Indica que un intento de comprobar laintegridad de un informe de auditoríaresultante de una transacción con uncomponente que no forma parte de TrustAuthority ha sido satisfactorio.
Obligatorio
UnsuccessfulIntegrityCheck Indica que un intento de comprobar laintegridad de un informe de auditoríaresultante de una transacción con uncomponente que no forma parte de TrustAuthority ha fallado.
Obligatorio
SuccessfulAcquirePrivilege Indica que un intento de obtener ciertonivel de acceso a KeyStore de TrustAuthority ha sido satisfactorio.
Obligatorio
UnsuccessfulAcquirePrivilege Indica que un intento de obtener ciertonivel de acceso a KeyStore de TrustAuthority ha fallado.
Obligatorio
Acciones del responsable de seguridad
SOAdd Indica que se ha agregado unAdministrador de auditoría al sistema.
Obligatorio
SODelete Indica que se ha eliminado unAdministrador de auditoría del sistema.
Obligatorio
AudEventMaskChange Indica que se ha modificado la máscara quedefine el conjunto de eventos de auditoríaque puede enviar un cliente al servidor.
Obligatorio
CACrossCertRequest Indica que se ha solicitado un certificadoCA con certificación cruzada.
Obligatorio
CAHierarchicalCertRequest Indica que se ha solicitado un certificadoCA con certificación jerárquica.
Obligatorio
SubmitRevocationRequest Indica que un responsable de registros(administrador de RA) ha enviado unasolicitud de revocación.
Opcional
RequestSetRenewable Indica que un responsable de registros hasolicitado que el estado de un certificado seestablezca en renovable.
Obligatorio
RequestSetNonRenewable Indica que un responsable de registros hasolicitado que el estado de un certificado seestablezca en no renovable.
Obligatorio
Capítulo 5. Consulta 105
Tabla 19. Eventos de auditoría (continuación)
Evento Descripción Obligatorio uopcional
RequestPend Indica que un responsable de registros hasolicitado que el estado de una solicitud decredenciales se establezca en pendiente.
Obligatorio
Eventos de RA
ReceiptOfCertRequest Indica que una RA ha recibido una solicitudde certificado.
Opcional
ReceiptOfRevocationRequest Indica que una RA ha recibido una solicitudde revocación de un certificado.
Opcional
ReceiptOfRenewalRequest Indica que una RA ha recibido una solicitudde renovación de un certificado.
Opcional
RequestApproval Indica que una RA ha aprobado unasolicitud de certificado.
Obligatorio
RequestRejection Indica que una RA ha rechazado unasolicitud de certificado.
Obligatorio
RequestCompletion Indica que se ha completado una solicitudde certificado.
Opcional
Preregistration Indica que un responsable de registros harecibido una solicitud de registro previo.
Obligatorio
Datos de la base de datos de auditoríaLa base de datos de auditoría de Trust Authority utiliza un esquema que se basaen las recomendaciones que se describen en el estándar PKC (Public KeyCryptography) para el sector de servicios financieros, X9.57. Esta sección describelas siguientes tablas de bases de datos.
Nota: En esta sección, los nombres de los campos de los registros de auditoríacorresponden a los nombres de columna de las tablas de bases de datos.
v ClavesUna tabla de control para las claves privadas/secretas utilizadas para la firma, elcifrado y la generación de códigos de autentificación de mensajes (MAC).
v Niveles de gravedad de los eventos (event_severities)Esta tabla describe todos los niveles de gravedad de los eventos.
v Control de eventos (event_ctl)Esta tabla describe todos los eventos que pueden auditarse.
v OrígenesEsta tabla contiene una lista de todos los orígenes de los eventos.
v Entidades autorizadas (auth_entities)Esta tabla contiene una lista de todas las entidades autorizadas.
v Tipos de entidades afectadas (afctd_entity_types)Esta tabla contiene una lista de todas las funciones autorizadas.
v Funciones autorizadas (auth_roles)Esta tabla contiene una lista de todas las funciones para las entidadesautorizadas.
v Tipos de componentes (component_types)
106 Trust Authority: Guía de administración del sistema
Esta tabla contiene una lista de todos los tipos de componentes.v Registro de auditoría (audit_log)
Esta es la tabla principal para los informes del registro de auditoría.v Sistema
Esta tabla contiene información que se aplica a la totalidad del sistema deauditoría. Sólo tiene una fila.
Tabla de clavesLa tabla de claves mantiene la información acerca de todas las claves criptográficasque utiliza el subsistema de auditoría.
Tabla 20. Campos de la tabla de claves
Campo Descripción Tipo de datos
key_id El identificador interno exclusivo dela clave
smallint
alg_oid El algoritmo asociado a la clave. varchar
label La etiqueta de KeyStore o algúnsímbolo utilizado para localizar laclave real.
varchar
integrity Este campo se utiliza para mantenerla integridad del informe.
varchar para datos de bits
Tabla de niveles de gravedad de los eventosEsta tabla mantiene información acerca de los niveles de gravedad de los eventos.Se trata de una tabla de sólo lectura que se carga durante la instalación y laconfiguración.
Tabla 21. Campos de la tabla de niveles de gravedad de los eventos
Campo Descripción Tipo de datos
severity_id El identificador internoexclusivo para la gravedaddel evento.
smallint
severity_desc La cadena del soporte delidioma nacional (NLS) quedescribe la gravedad.
varchar
Tabla de control de eventosEsta tabla mantiene información acerca de todos los eventos que puede enviar uncliente de auditoría al servidor de auditoría. Se trata de una tabla de sólo lecturaque se carga durante la instalación y la configuración.
Tabla 22. Campos de la tabla de control de eventos
Campo Descripción Tipo de datos
event_id El identificador exclusivo delevento.
smallint
event_desc Una descripción visualizabledel evento. Este campopuede utilizarse con fines devisualización.
varchar
Capítulo 5. Consulta 107
Tabla 22. Campos de la tabla de control de eventos (continuación)
Campo Descripción Tipo de datos
event_key Una cadena corta exclusivaque identifica y describe elevento. La utilizan lospaquetes de recursos de Java.
varchar
event_severity_id El ID de gravedad de esteevento. Se trata de la claveexterna que hace referencia ala tabla event_severities.
smallint
Tabla de orígenesEsta tabla mantiene la lista de todos los clientes de auditoría. Un cliente deauditoría es un componente de Trust Authority que genera eventos de auditoría.
Tabla 23. Campos de la tabla de orígenes
Campo Descripción Tipo de datos
source_id El identificador exclusivo delcliente de auditoría.
smallint
source El identificador del cliente deauditoría que puedeemplearse con fines devisualización. En la mayoríade los casos, se trata del DNdel cliente de auditoría.
varchar
integrity Este campo se utiliza paramantener la integridad delinforme.
varchar para datos de bits
Tabla de entidades autorizadasEsta tabla mantiene una lista de todas las entidades autorizadas. Una entidadautorizada es la entidad que autorizó la operación para la que se generó un eventode auditoría.
Tabla 24. Campos de la tabla de entidades autorizadas
Campo Descripción Tipo de datos
auth_entity_id El identificador internoexclusivo de la entidadautorizada.
smallint
auth_entity_desc El identificador de la entidadautorizada que puedeemplearse con fines devisualización. En la mayoríade los casos, se trata del DNde la entidad autorizada.
varchar
integrity Este campo se utiliza paramantener la integridad delinforme.
varchar para datos de bits
108 Trust Authority: Guía de administración del sistema
Tabla de funciones autorizadasEsta tabla mantiene información acerca de las funciones de las entidadesautorizadas. Se trata de una tabla de sólo lectura que se carga durante lainstalación y la configuración.
Tabla 25. Campos de la tabla de funciones autorizadas
Campo Descripción Tipo de datos
auth_role_id El identificador internoexclusivo de la funciónautorizada.
smallint
auth_role_desc La cadena NLS que describela función autorizada.
varchar
Tabla de tipos de entidades afectadasEsta tabla mantiene información acerca de los diversos tipos de entidadesafectadas. Una entidad afectada es la entidad afectada por la operación por la quese genera el evento de auditoría. La tabla es de sólo lectura y se carga durante lainstalación y la configuración.
Tabla 26. Campos de la tabla de tipos de entidades afectadas
Campo Descripción Tipo de datos
afctd_entity_id El identificador internoexclusivo del tipo de entidadafectada.
smallint
afctd_entity_desc La cadena NLS que describeel tipo de entidad afectada.
varchar
Tabla de tipos de componentesEsta tabla mantiene información acerca de los tipos de componentes de los clientesde auditoría. Se trata de una tabla de sólo lectura que se carga durante lainstalación y la configuración.
Tabla 27. Campos de la tabla de tipos de componentes
Campo Descripción Tipo de datos
component_type_id El identificador internoexclusivo del tipo decomponente.
smallint
component_desc La cadena NLS que describeel tipo de componente.
varchar
Tabla de registros cronológicos de auditoríaEsta tabla contiene los informes de auditoría.
Tabla 28. Campos de la tabla de registros cronológicos de auditoría
Campo Descripción Tipo de datos
serial_num El número de serie exclusivodel informe de auditoría.
smallint
Capítulo 5. Consulta 109
Tabla 28. Campos de la tabla de registros cronológicos de auditoría (continuación)
Campo Descripción Tipo de datos
src_date_time El indicador de fecha y horaque especifica el momento enel que el origen (cliente deauditoría) generó el evento.
indicación de fecha y hora
cr_date_time El indicador de fecha y horaque especifica cuándo elservidor de auditoría creó elinforme de auditoría.
indicación de fecha y hora
event_id El identificador interno delevento. Se trata de una claveexterna que hace referencia ala tabla event_ctl.
smallint
source_id El identificador interno delorigen que generó esteevento. Se trata de una claveexterna que hace referencia ala tabla de orígenes.
smallint
component_type_id El identificador interno deltipo de componente delorigen que generó esteevento. Se trata de una claveexterna que hace referencia ala tabla component_types.
smallint
auth_entity_id El identificador interno de laentidad que autorizó elevento. Se trata de una claveexterna que hace referencia ala tabla auth_entities.
smallint
auth_role_id El identificador interno de lafunción de la entidad queautorizó el evento. Se tratade una clave externa quehace referencia a la tablaauth_entities.
smallint
afctd_entity El nombre o DN del tipo dela entidad afectada por elevento.
varchar
afctd_entity_id El identificador interno deltipo de la entidad afectadapor el evento.
smallint
storage_media El medio de almacenamientoasociado al evento deauditoría.
varchar
extra_info Información adicionalasociada al evento deauditoría.
varchar
sig_key_id El identificador interno de laclave utilizada para generarel campo de integridad. Setrata de una clave externaque hace referencia a la tablade claves.
smallint
110 Trust Authority: Guía de administración del sistema
Tabla 28. Campos de la tabla de registros cronológicos de auditoría (continuación)
Campo Descripción Tipo de datos
enc_key_id El identificador interno de laclave utilizada para cifrarcampos seleccionados en esteinforme. Se trata de unaclave externa que hacereferencia a la tabla declaves. En el release actual deTrust Authority, ninguno delos campos está cifrado.
smallint
integrity Este campo se utiliza paramantener la integridad delinforme.
varchar para datos de bits
Tabla del sistemaEsta tabla mantiene información de estado acerca de la base de datos de auditoría.
Tabla 29. Campos de la tabla del sistema
Campo Descripción Tipo de datos
first_sn El número de serie delprimer informe de auditoríaen audit_log.
entero
next_sn El número de serie delsiguiente informe deauditoría en audit_log.
entero
audit_int Se utiliza para mantener laintegridad de la tablaaudit_log.
varchar para datos de bits
archive_int Se utiliza para mantener laintegridad de la tablaarchive_ctl.
varchar para datos de bits
events_int Se utiliza para mantener laintegridad de la tablaevents_ctl.
varchar para datos de bits
auth_ent_int Se utiliza para mantener laintegridad de la tablaauth_entities.
varchar para datos de bits
auth_role_int Se utiliza para mantener laintegridad de la tablaauth_roles.
varchar para datos de bits
sources_int Se utiliza para mantener laintegridad de la tabla deorígenes.
varchar para datos de bits
afctd_ent_type_int Se utiliza para mantener laintegridad de la tablaafctd_entities.
varchar para datos de bits
keys_int Se utiliza para mantener laintegridad de la tabla declaves.
varchar para datos de bits
Capítulo 5. Consulta 111
Tabla 29. Campos de la tabla del sistema (continuación)
Campo Descripción Tipo de datos
event_sevs_int Se utiliza para mantener laintegridad de la tabla deniveles de gravedad de loseventos.
varchar para datos de bits
comp_types_int Se utiliza para mantener laintegridad de la tabla detipos de componentes.
varchar para datos de bits
system_int Se utiliza para mantener laintegridad de la tabla delsistema.
varchar para datos de bits
sig_key_id El identificador interno de laclave utilizada para generarlos campos de integridad deeste informe. Se trata de unaclave externa que hacereferencia a la tabla declaves.
smallint
Resolución de problemasLa instalación predeterminada de Trust Authority no genera archivos de registrocronológico para el nivel verboso o de depuración de los mensajes de error. Estasección proporciona los pasos básicos para la resolución de problemas con losmensajes de nivel de depuración desactivados. Si posteriormente requiere másinformación, puede activar los mensajes de depuración utilizando el procedimientodescrito en el apartado “Resolución de problemas con el servicio de mensajes denivel de depuración activado”.
Resolución de problemas básicaPara llevar a cabo la resolución de problemas hallados durante el curso de laadministración de Trust Authority, siga estos pasos básicos:1. Detenga el sistema Trust Authority.2. Reinicie el equipo.3. Inicie el sistema Trust Authority.4. Compruebe el estado del componente para asegurarse de que se inició
completamente y de que está funcionando.5. Reproduzca el problema y compruebe los registros cronológicos de cada
componente para localizar el error.
Resolución de problemas con el servicio de mensajes de nivelde depuración activado
Si detecta un problema y requiere ayuda detallada para resolverlo, active lavariable de entorno de nivel de depuración. Puede ajustar este valor según seanecesario para obtener un mayor o menor grado de detalle para el mensaje. Elnivel de anotación del registro cronológico especificado en la variable de nivel dedepuración determina la cantidad de anotaciones del registro cronológico que seefectúan. El valor es un entero positivo con un rango útil de 0 a 1000. Cuantomayor sea el nivel, mayor será la cantidad de anotaciones del registro cronológico.A continuación se detallan los niveles de depuración recomendados:de TrustAuthority:
112 Trust Authority: Guía de administración del sistema
v DebugLevel=25 - anotación en el registro cronológico mínima, pero todos loserrores se anotan en el registro cronológico.Utilice este nivel para las operaciones estables en las que no se esténdiagnosticando problemas de forma activa, pero para las que aún desee poderver los registros cronológicos en caso de que haya algún contratiempo.
v DebugLevel=75 - incluye la anotación adicional en el registro cronológico de lascapas de software inferiores.Utilice este nivel cuando existan problemas entre los servidores CA y RA. Elvolumen de la salida es aproximadamente cinco veces mayor que en el nivel dedepuración 25.
v DebugLevel=101 - incluye la anotación en el registro cronológico extensiva ydetallada del proceso del servidor RA de alto nivel incluidos el proceso deperfiles de certificados y las interacciones AFW (Application Framework).Utilice esta opción cuando intente diagnosticar problemas en las capas deproceso de certificados del servidor RA. El volumen de la salida esaproximadamente diez veces mayor que en el nivel de depuración 25.
v DebugLevel=201 - seguimiento extensivo de las funciones internas críticasutilizadas con mucha frecuencia.Utilice este nivel solamente cuando intente diagnosticar problemas comoterminaciones anormales del servidor RA. El volumen de la salida esaproximadamente cien veces mayor que en el nivel de depuración 25.
Nota: Dado que el volumen de anotación en el registro cronológico es tan grandeen el nivel 100, no debería emplear este valor en un entorno de producción,excepto en circunstancias especiales. En este nivel de depuración o en unnivel superior es posible agotar la cantidad de espacio libre disponible en elsistema de archivos, con lo que se provocarán anomalías en todo el sistema.
Para llevar a cabo la resolución de problemas con el servicio de mensajes de nivelde depuración activado, siga estos pasos (este procedimiento utiliza 100 como unvalor de nivel de depuración de ejemplo):1. Detenga el sistema Trust Authority.2. Modifique el archivo irgAutoCa.ini del modo siguiente:v En AIX, establezca el parámetro de depuración entre 50 y 100 en
/usr/lpp/iau/etc/TrustAuthority/irgAutoCa.ini
v En Windows NT, establezca el parámetro de depuración entre 50 y 100 enC:\Archivos de programa\IBM\TrustAuthority\etc\TrustAuthority\irgAutoCa.ini
3. Active la variable de entorno del nivel de depuración, de este modo:v En AIX, entre el siguiente mandato en la línea de mandatos del sistema en el
que resida el servidor RA:export DebugLevel=
v En Windows NT:a. Invoque las Propiedades del sistema haciendo clic con el botón derecho
en el icono Mi PC del Explorador de Windows NT y haciendo clic enPropiedades.
b. Haga clic en la ficha Entorno.c. Entre DebugLevel en el campo Variable y 100 en el campo Valor.d. Haga clic en Establecer y seguidamente haga clic en Aplicar.e. Haga clic en Aceptar para cerrar la ventana Propiedades del sistema.
4. Inicie el sistema Trust Authority.
Capítulo 5. Consulta 113
5. Compruebe el estado de cada componente para asegurarse de que se iniciócompletamente y de que está funcionando.
6. Reproduzca el problema y compruebe los registros cronológicos de cadacomponente para localizar el error.Se crean archivos de registro cronológico llamados irgrasvr.log.nnnn, dondennnn es un número generado de forma aleatoria.v En AIX, la ubicación predeterminada de los archivos del registro cronológico
es /usr/lpp/iau/etc/TrustAuthority/caSS.log.xxxxxv En Windows NT, la ubicación predeterminada es c:\Archivos de
programa\IBM\Trust Authority\etc\TrustAuthority\caSS.log.xxxxx
114 Trust Authority: Guía de administración del sistema
Avisos
Esta información ha sido desarrollada para productos y servicios que se ofrecen enlos EE.UU. Puede que en otros países IBM no ofrezca los productos, servicios odispositivos que figuran en este documento. Consulte a su representante de IBMlocal si desea información acerca de los productos y servicios que están disponiblesen su país. Cualquier referencia a un producto, programa o servicio IBM nopretende afirmar ni implica que sólo se pueda utilizar dicho producto, programa oservicio IBM. En su lugar, puede utilizarse cualquier producto, programa o serviciofuncionalmente equivalente que no infrinja ningún derecho de propiedadintelectual de IBM. Sin embargo, es responsabilidad del usuario evaluar y verificarel funcionamiento de cualquier producto, programa o servicio que no sea de IBM.
IBM puede tener patentes o aplicaciones pendientes de patente relacionadas con eltema de este documento. La posesión de este documento no le otorga ningunalicencia para dichas patentes. Puede enviar consultas acerca de licencias, porescrito, a:
IBM Director of LicensingIBM CorporationNorth Castle DriveArmonk, NY 10504-1785EE.UU.
Si desea realizar consultas acerca de licencias relacionadas con información dedoble byte (DBCS), póngase en contacto con el departamento de la propiedadintelectual de IBM (IBM Intellectual Property Department) de su país o envíe lasconsultas por escrito a:
IBM World Trade Asia Corporation Licensing2-31 Roppongi 3-chome, Minato-kuTokyo 106, Japón
El párrafo siguiente no afecta al Reino Unido ni a ningún país en el cual elcontenido del mismo no sea coherente con la normativa local: INTERNATIONALBUSINESS MACHINES CORPORATION PROPORCIONA ESTA PUBLICACIÓN“TAL CUAL” SIN NINGÚN TIPO DE GARANTÍA, NI EXPLÍCITA NI IMPLÍCITA,INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTÍAS IMPLÍCITAS DE NOVULNERACIÓN, COMERCIABILIDAD O IDONEIDAD CON UN FINDETERMINADO. Algunas legislaciones no contemplan la exclusión de garantías,ni implícitas ni explícitas, por lo que puede haber usuarios a los que no les afectedicha declaración.
Esta información puede contener imprecisiones técnicas o errores tipográficos.Periódicamente se efectúan cambios en la información aquí contenida; dichoscambios se incorporarán en nuevas ediciones de la publicación. IBM se reserva elderecho a realizar, si lo considera oportuno, cualquier modificación en losproductos o programas que se describen en el presente manual.
Cualquier referencia en este documento a sitios Web que no son de IBM seproporciona sólo para su comodidad y no sirve, bajo ningún concepto, comorecomendación de estos sitios Web. El material que puede encontrar en estos sitiosWeb no forma parte del material de este producto de IBM y es responsabilidad delusuario el uso de dichos sitios Web.
© Copyright IBM Corp. 1999, 2000 115
IBM puede utilizar o distribuir la información que se le suministre de la forma enque lo crea conveniente sin que incurra en ninguna obligación con usted.
Los usuarios bajo licencia de este programa que deseen información acerca delmismo con el fin de permitir: (i) el intercambio de información entre programascreados independientemente y otros programas (incluido éste) y (ii) el uso mutuode la información que se ha intercambiado, deberán ponerse en contacto con:
IBM CorporationDepartment LZKS11400 Burnet RoadAustin, TX 78758EE.UU.
Esta información puede estar disponible, sujeta a los términos y condicionescorrespondientes incluido, en algunos casos, el pago de una tarifa.
El programa bajo licencia descrito en este documento así como todo el materialbajo licencia disponible para el mismo los suministra IBM bajo los términos delIBM Customer Agreement, IBM International Program License Agreement o decualquier otro acuerdo equivalente entre ambas partes.
Los datos de rendimiento que pudieran aparecer en este documento se hanobtenido en un entorno controlado. Por lo que, los resultados que se pudieranobtener en entornos operativos distintos podrían variar significativamente. Se hantomado ciertas medidas en cuanto a los sistemas de nivel de desarrollo y no hayninguna garantía de que tales medidas sean las mismas en sistemas que suelenestar disponibles. Además, algunas de las medidas se han estimado a partir de unaextrapolación. Los resultados reales pueden variar. Los usuarios de este documentodeberán comprobar los datos disponibles para su entorno determinado.
La información relacionada con productos que no son de IBM ha sido obtenida delos distribuidores de dichos productos, de sus anuncios publicados o de otrasfuentes públicas disponibles. IBM no ha probado estos productos y no puedeconfirmar su buen rendimiento, la compatibilidad ni ningún otro tipo deafirmación relacionada con productos que no son de IBM. Si tiene preguntas acercade las posibilidades que ofrecen los productos que no son de IBM puede dirigirlasa los proveedores de dichos productos.
Todas las afirmaciones relacionadas con futuros planes de IBM están sujetas acambios o pueden ser retiradas sin previo aviso y sólo representan metas yobjetivos a cumplir.
Todos los precios de IBM son precios sugeridos por IBM para minoristas, estánactualizados y se pueden modificar sin previo aviso. Los precios de losdistribuidores pueden variar.
Marcas registradas y marcas de servicioLos siguientes términos son marcas registradas de International Business MachinesCorporation en los Estados Unidos, otros países, o en ambos casos:
IBMAIXAIX/6000DB2DB2 Universal Database
116 Trust Authority: Guía de administración del sistema
RISC System/6000RS/6000SecureWayWebSphere
El programa Trust Authority (″el Programa″) incluye partes de DB2 UniversalDatabase. Se le autoriza a instalar y utilizar estos componentes solamente enasociación con el uso bajo licencia del Programa para el almacenamiento y lagestión de datos utilizados o generados por el Programa, y nunca con otros finesde gestión de datos. Por ejemplo, esta licencia no incluye las conexiones de entradaa la base de datos desde otras aplicaciones para consultas o generación deinformes. Se le autoriza a instalar y utilizar estos componentes solamente con y enel mismo sistema que el Programa.
El programa incluye partes de WebSphere Application Server de IBM y de HTTPWeb Server de IBM (″Servidores IBM″). No se le autoriza a instalar o utilizar losServidores IBM si no es en conexión con el uso bajo licencia del Programa. LosServidores IBM deben residir en el mismo sistema que el Programa, y no se leautoriza a instalar o utilizar los Servidores IBM con independencia del Programa.
Java y todas las marcas registradas y logotipos basados en Java son marcasregistradas de Sun Microsystems, Inc. en los Estados Unidos, otros países, o enambos casos.
Microsoft, Windows, Windows NT, y el logotipo Windows son marcas registradasde Microsoft Corporation en los Estados Unidos, otros países, o ambos.
UNIX es una marca registrada en los Estados Unidos, otros países o en amboscasos, bajo licencia exclusiva de X/Open Company Limited.
Pentium es una marca registrada de Intel Corporation en los Estados Unidos, enotros países o en ambos casos.
Este programa contiene software de seguridad de RSA Data Security,Inc. Copyright © 1994 RSA Data Security, Inc. Todos los derechos reservados.
Este programa contiene software Standard Template Library (STL) deHewlett-Packard Company. Copyright (c) 1994.v Se autoriza el uso, la copia, modificación y venta de este software y de su
documentación para cualquier finalidad sin cargo alguno, siempre que el avisode copyright anterior aparezca en todas las copias y que tanto el aviso decopyright como este aviso aparezcan en la documentación adjunta.Hewlett-Packard Company no efectúa declaración alguna acerca de la idoneidadde este software para cualquier finalidad. Se proporciona ″tal cual″ sin garantíasexplícitas o implícitas.
Este programa contiene software (STL) Standard Template Library) de SiliconGraphics Computer Systems, Inc. Copyright (c) 1996–1999.v Se autoriza el uso, la copia, modificación y venta de este software y de su
documentación para cualquier finalidad sin cargo alguno, siempre que el avisode copyright anterior aparezca en todas las copias y que tanto el aviso decopyright como este aviso aparezcan en la documentación adjunta. Silicon
Avisos 117
Graphics no efectúa declaración alguna acerca de la idoneidad de este softwarepara cualquier finalidad. Se proporciona ″tal cual″ sin garantías explícitas oimplícitas.
Otros nombres de empresas, servicios y productos pueden ser marcas registradas omarcas de servicio de terceros.
118 Trust Authority: Guía de administración del sistema
Información relacionada
La documentación del producto Trust Authority está disponible en formato PDF(Portable Document Format) y HTML en el CD-ROM de IBM SecureWay TrustAuthority Documentation. Las versiones HTML de algunas de las publicaciones seinstalan con el producto y puede accederse a ellas desde las interfaces de usuario.
Tenga en cuenta que el producto puede haber experimentado cambios desde lafecha de elaboración de las publicaciones. Para obtener la información del productomás reciente y para obtener información acerca del acceso a la publicación en elidioma y el formato de su elección, consulte el archivo Readme. La versión másreciente del archivo Readme está disponible en el sitio Web de IBM SecureWay TrustAuthority:http://www.tivoli.com/support
La biblioteca de Trust Authority incluye la siguiente documentación:
Cómo empezarEste manual proporciona una visión general del producto. Detalla losrequisitos del producto, incluye los procedimientos de instalación yproporciona información acerca del método de acceso a la ayuda en líneadisponible para cada componente del producto. Esta publicación seimprime y se distribuye con el producto.
Guía de administración del sistemaEste manual contiene información general acerca de la administración delsistema Trust Authority. Incluye procedimientos para iniciar y detener losservidores, cambiar las contraseñas, administrar los componentes deservidor, efectuar auditorías y ejecutar comprobaciones de integridad delos datos.
Guía de configuraciónEste manual contiene información acerca del método de empleo delAsistente para la instalación para configurar un sistema Trust Authority.Puede acceder a la versión HTML de esta guía mientras está visualizandola ayuda en línea para el Asistente.
Guía de Registration Authority DesktopEste manual contiene información sobre cómo utilizar RA Desktop paraadministrar certificados durante todo el periodo de vigencia del certificado.Puede acceder a la versión HTML de esta guía mientras está visualizandola ayuda en línea de Desktop.
Guía del usuarioEste manual contiene información sobre cómo obtener y gestionarcertificados. Proporciona procedimientos para utilizar los formularios deinscripción en navegador de Trust Authority con el fin de solicitar, renovary revocar certificados. También describe el método de registro previo paralos certificados en conformidad con PKIX, y cómo utilizar Client de TrustAuthority para gestionar estos certificados. Puede acceder a la versiónHTML de esta guía mientras está visualizando la ayuda en línea paraClient.
Guía de personalizaciónEste manual le muestra cómo personalizar el servicio de registro de TrustAuthority para dar soporte a los objetivos de registro y certificación de sus
© Copyright IBM Corp. 1999, 2000 119
políticas empresariales. Por ejemplo, puede aprender a personalizarpáginas HTML y de Java Server, cartas de notificación, perfiles decertificados y salidas de políticas.
El sitio Web de Trust Authority incluye otros documentos que pueden serle deutilidad al instalar, administrar y utilizar Trust Authority. Por ejemplo, puedeencontrar directrices adicionales acerca del esquema del Directorio y puedeaprender a integrar Trust Authority con el coprocesador PCI SecureWay 4758 deIBM.
120 Trust Authority: Guía de administración del sistema
Glosario
Este glosario define los términos y abreviaturasde este manual que pueden ser nuevos o pocofamiliares y los términos que pueden ser deinterés. Incluye los términos y definiciones de:v IBM Dictionary of Computing, New York:
McGraw-Hill, 1994.v American National Standard Dictionary for
Information Systems, ANSI X3.172–1990,American National Standards Institute (ANSI),1990.
v Answers to Frequently Asked Questions,Version 3.0, California: RSA Data Security, Inc.,1998.
AAbstract Syntax Notation One (ASN.1). Notación ITUque se utiliza para definir la sintaxis de los datos deinformación. Define un número de tipos de datossimple y especifica una notación para identificar estostipos y especificar valores de estos tipos. Estasnotaciones se pueden aplicar siempre que sea necesariodefinir la sintaxis abstracta de información sin limitar lamanera en que se codificará la información para sertransmitida.
ACL. Lista de control de accesos.
American National Standard Code for InformationInterchange (ASCII). Código estándar que se utilizapara intercambiar información a través de sistemas deproceso de datos, sistemas de comunicación de datos yel equipo asociado. El conjunto ASCII utiliza unconjunto de caracteres que consta de caracterescodificados de 7 bits (8 bits incluido un bit de controlde paridad). El juego de caracteres consta de caracteresde control y caracteres gráficos.
American National Standards Institute (ANSI).Organización que establece los procedimientos por losque las organizaciones acreditadas crean y mantienenestándares voluntarios del sector en los EE.UU. Estáformado por fabricantes, consumidores y grupos deinterés general.
ANSI. American National Standards Institute(Instituto americano de normas nacionales).
anti-rechazo. Utilización de una clave privada digitalpara evitar que el firmante de un documento nieguefalsamente haberlo firmado.
aplicación. Programa de sistema que está escrito enJava y se ejecuta en un navegador de Web compatiblecon Java. También conocido como subprograma Java.
aplicación de Java. Programa autónomo escrito enlenguaje Java. Se ejecuta fuera del contexto de unnavegador de Web.
ASCII. American National Standard Code forInformation Interchange (Código americano estándarpara intercambio de información).
ASN.1. Abstract Syntax Notation One (Notación desintaxis abstracta 1).
atributo de inscripción. Variable de inscripcióncontenida en un formulario de inscripción. Su valorrefleja la información que se consigue durante lainscripción. El valor del atributo de inscripciónpermanece sin cambios durante el ciclo de vida de lacredencial.
autentificación. Proceso de determinación fiable de laidentidad de un comunicante.
autentificación de usuario. Proceso para validar queel autor de un mensaje es el propietario identificable ylegítimo del mensaje. También valida que se estárealizando una comunicación con el usuario final o elsistema que se esperaba.
autoridad de certificado (CA). Software responsablede seguir las políticas de seguridad de una empresa yasignar identidades electrónicas seguras en forma decertificados. La CA procesa las solicitudes de los RApara emitir, renovar y revocar certificados. La CAinteractúa con el RA para emitir certificados y las CRLen Directorio. Véase también certificado digital.
autorización. Permiso para acceder a un recurso.
Bbase de datos de registro. Contiene información sobrelas solicitudes de certificados y los certificadosemitidos. La base de datos almacena los datos deinscripción y todos los cambios en los datos delcertificado durante su ciclo de vida. La base de datospuede actualizarse mediante los procesos de la RA y lassalidas de política o por los administradores de la RA.
Basic Encoding Rules (BER). Reglas especificadas enla ISO 8825 para codificar unidades de datos descritasen la notación de sintaxis abstracta 1 (ASN.1). Lasreglas especifican la técnica de codificación, no lasintaxis abstracta.
© Copyright IBM Corp. 1999, 2000 121
BER. Basic Encoding Rules (Normas básicas decodificación).
Biblioteca de almacenamientos de datos (DL).Módulo que proporciona acceso a almacenamientos dedatos permanentes de certificados, CRL, claves,políticas y otros objetos relacionados con la seguridad.
CCA. Autoridad de certificado.
CAST-64. Algoritmo de cifrado de bloques que utilizaun tamaño de bloques de 64 bits y una clave de 6 bits.Fue diseñado por Carlisle Adams y Stafford Tavares.
CA superior. CA que se encuentra en la parte superiorde la jerarquía CA de la PKI.
CCA. Arquitectura criptográfica común de IBM.
CDSA. Arquitectura de seguridad de datos común.
certificación. El proceso durante el cual una terceraparte de confianza emite una credencial electrónica queasegura una identidad individual, empresarial uorganizativa.
certificación cruzada. Modelo de fiabilidad medianteel cual una CA emite un certificado a otra CA, el cualcontiene la clave pública asociada a la clave de firmaprivada. Un certificado con certificación cruzadapermite que los sistemas cliente o entidades finales deun dominio administrativo se comuniquen de formasegura con sistemas cliente o entidades finales de otrodominio.
certificación digital. Véase certificación.
certificado de CA. Certificado aceptado por elnavegador de Web, bajo solicitud, procedente de unaCA que no reconoce. El navegador puede utilizar estecertificado para autentificar las comunicaciones con losservidores que mantienen los certificados emitidos pordicha CA.
certificado del servidor. Certificado digital, emitidopor una CA para permitir a un servidor Web querealice transacciones basadas en SSL. Cuando unnavegador conecta con el servidor mediante elprotocolo SSL, el servidor envía al navegador su clavepública. Esto permite la autentificación de la identidaddel servidor. También permite enviar informacióncifrada al servidor. Véase también certificado de CA,certificado digital y certificado del navegador.
certificado de navegador. Certificado digital quetambién recibe el nombre de certificado para el cliente.Lo emite un CA a través de un servidor web habilitadopara SSL. Las claves de un archivo cifrado permitenque el poseedor del certificado cifre, descifre y firmedatos. Normalmente el navegador de Web almacenaestas claves. Ciertas aplicaciones permiten el
almacenamiento de las claves en tarjetas inteligentes uotros medios. Véase también certificado digital.
certificado de sitio. Parecido a un certificado de CA,pero sólo es válido para un sitio Web específico. Véasetambién certificado de CA.
certificado digital. Credencial electrónica que emitióuna tercera parte fiable a una persona o entidad. Cadacertificado se firma con la clave privada del CA.Asegura una identidad individual, empresarial uorganizativa.
En función del rol del CA, el certificado puedeconfirmar a la autoridad del portador con el fin de quepueda realizar actividades de e-business en Internet. Encierto modo, un certificado digital desempeña un papelparecido al de un permiso de conducir o un diplomamédico. Certifica que el titular de la clave privadacorrespondiente tiene autoridad para realizardeterminadas actividades de e-business.
Un certificado contiene información sobre la entidadque certifica, ya sea una persona, máquina o programadel sistema. Incluye la clave pública certificada dedicha entidad.
certificado X.509. Estándar de certificación muyaceptado que fue diseñado para soportar la gestión ydistribución segura de certificados firmadosdigitalmente a través de redes Internet seguras. Elcertificado X.509 define las estructuras de datos quealojan a los procedimientos que distribuyen las clavespúblicas firmadas digitalmente por terceros deconfianza.
certificado X.509 Versión 3. El certificado X.509v3tiene estructuras de datos ampliadas para almacenar yrecuperar información de la aplicación de certificados,información de distribución del certificado, informaciónde revocación del certificado, información de políticas yfirmas digitales.
Los procesos de X.509v3 crean las CRL con indicaciónde la hora para todos los certificados. Cada vez que seutiliza un certificado, las posibilidades del X.509v3permiten que la aplicación compruebe la validez delcertificado. También permite a la aplicación determinarsi el certificado está en la CRL. Las CRL de X.509v3pueden crearse para un período de validez específico.También pueden basarse en otras circunstancias quepueden invalidar un certificado. Por ejemplo, si unempleado deja la organización, su certificado sepondría en la CRL.
CGI. Interfaz de pasarela común.
cifrado/descifrado. Utilización de la clave pública deldestinatario para cifrar los datos que van dirigidos aesta persona, quien posteriormente utiliza la claveprivada del par para descifrar los datos.
122 Trust Authority: Guía de administración del sistema
cifrar. Codificar información para que sólo la personaque disponga del código de descifrado apropiadopueda obtener la información original mediante sudescifrado.
clase. En diseño o programación orientada a objetos,grupo de objetos que comparten una definición comúny que, además, comparten propiedades, operaciones ycomportamientos comunes.
clase de Java. Unidad del código de programa Java.
clave. Cantidad utilizada en criptografía para cifrar ydescifrar información.
clave privada. Clave dentro de un par de clavespública/privada que está disponible solamente para supropietario. Permite al propietario recibir unatransacción privada o crear una firma digital. Los datosfirmados con una clave privada sólo pueden verificarsecon la clave pública correspondiente. Compárese conclave pública. Véase también par de clavespública/privada.
clave pública. Clave dentro de un par de clavespública/privada que está disponible para otros. Permitedirigir una transacción hacia el propietario de la clave overificar la firma digital. Los datos cifrados con la clavepública sólo pueden descifrarse con la clave privadacorrespondiente. Compárese con clave privada. Véasetambién par de claves pública/privada.
clave simétrica. Clave que puede utilizarse para cifrary descifrar. Véase también criptografía simétrica.
cliente. (1) Unidad funcional que recibe servicioscompartidos de un servidor. (2) Equipo o programa quesolicita un servicio de otro equipo o programa.
cliente de auditoría. Cualquier cliente del sistema queenvía eventos de auditoría al servidor de auditoría deTrust Authority. Antes de que el cliente de auditoríaenvíe un evento al servidor de auditoría, establece unaconexión con el servidor de auditoría. Después deestablecerse la conexión, el cliente utiliza la bibliotecacliente del subsistema de auditoría para entregar loseventos al servidor de auditoría.
cliente/servidor. Modelo del proceso distribuido en elque un programa de un sitio envía una solicitud a unprograma de otro sitio y espera una respuesta. Elprograma solicitante se denomina cliente; el quecontesta se denomina servidor.
CMP PKIX. Protocolo de gestión de certificados PKIX.
codificación base64. Medio habitual de transportardatos binarios con MIME.
código de autentificación de mensajes (MAC). Clavesecreta compartida entre el emisor y el receptor. Elemisor autentifica y el receptor verifica. En Trust
Authority, las claves MAC se almacenan en KeyStorede CA y de los componentes de auditoría.
código de byte. Código independiente del tipo demáquina generado por el compilador Java y ejecutadopor el intérprete de Java.
Common Cryptographic Architecture (CCA).Software de IBM que permite un enfoque coherente dela criptografía en las principales plataformas desistemas de IBM. Soporta software de aplicaciones queesté escrito en una gran variedad de lenguajes deprogramación. El software de aplicaciones puede llamara servicios CCA para llevar a cabo un gran número defunciones criptográficas, incluido el cifrado DES y RSA.
Common Data Security Architecture (CDSA ). Unainiciativa para definir un enfoque completo del serviciode seguridad y de la gestión de la seguridad en lasaplicaciones de seguridad basadas en equipos. Fuediseñada por Intel para que las plataformas de equiposfueran más seguras para las aplicaciones.
Common Gateway Interface (CGI). Método estándarde transmisión de información entre páginas web yservidores web.
comprobación de integridad. Comprobación de losregistros de auditoría resultantes de las transaccionescon componentes externos.
comunicación asíncrona. Modo de comunicación queno necesita que el emisor y el receptor estén presentesal mismo tiempo.
condensación de mensajes. Función irreversible quetoma un mensaje de tamaño arbitrario y produce unacantidad de longitud fija. MD5 es un ejemplo dealgoritmo de condensación de mensajes.
confidencialidad. La no divulgación a partes noautorizadas.
Coprocesador criptográfico PCI 4758. Tarjeta bus PCIcriptográfica programable con protección antemanipulaciones indebidas que ofrece los procesoscriptográficos DES y RSA de alto rendimiento. Losprocesos criptográficos ocurren dentro de unalojamiento seguro de la tarjeta. La tarjeta cumple losrequisitos rigurosos del estándar FIPS PUB 140-1 denivel 4. El software puede ejecutarse dentro delalojamiento seguro. Por ejemplo, el proceso detransacciones de tarjetas de crédito puede utilizar elestándar SET.
cortafuegos. Pasarela entre redes que restringe el flujode información entre redes. Normalmente, el propósitode un cortafuegos es proteger las redes internas del usono autorizado procedente del exterior.
credencial. Información confidencial utilizada parademostrar la identidad propia en un intercambio deautentificación. En entornos de redes de sistemas, el
Glosario 123
tipo más común de credenciales es un certificado queuna CA ha creado y firmado.
criptografía. En seguridad de equipos, principios,medios y métodos para cifrar texto plano y descifrartexto cifrado.
criptografía asimétrica. Criptografía que utiliza clavesasimétricas diferentes para cifrar y descifrar datos.Cada usuario recibe un par de claves: una clave públicaaccesible para todos y una clave privada que sóloconoce el usuario. Se puede producir una transacciónsegura cuando la clave pública y la correspondienteclave privada coinciden, lo que permite descifrar de latransacción. Este proceso también se conoce comocriptografía de par clave. Compárese con criptografíasimétrica.
criptografía simétrica. Criptografía que utiliza lamisma clave para cifrar y descifrar. Su seguridad resideen la clave; si se revela la clave cualquiera podría cifrary descifrar los mensajes. La comunicación es secretasólo mientras la clave siga siendo secreta. Compárese concriptografía asimétrica.
criptográfico. Relativo a la transformación de datospar ocultar su significado.
CRL. Lista de revocación de certificados.
Ddaemon. Programa que realiza tareas de formasubordinada. Se llama implícitamente a este programacuando se produce una determina condición querequiera su ayuda. El usuario no tiene que estarpendiente del daemon porque el sistema lo utilizaautomáticamente. Un daemon puede estar siempreactivo o el sistema puede regenerarlo a intervalos.
El término (pronunciado demon) procede de lamitología. Posteriormente, se racionalizó comoacrónimo DAEMON: Disk And Execution MONitor.
Data Encryption Standard (DES). Cifra de un bloquede cifrado definida y endosada por el gobierno de losEE.UU. en 1977 como estándar oficial. IBM lodesarrolló originalmente. DES se ha estudiadoampliamente desde su publicación y es un sistemacriptográfico bien conocido y muy utilizado.
DES es un sistema criptográfico simétrico. Cuando seutiliza para comunicaciones, tanto el emisor como elreceptor deben conocer la misma clave secreta. Estaclave se utiliza para cifrar y descifrar el mensaje. DEStambién se puede utilizar para el cifrado por un solousuario, por ejemplo, para almacenar archivos en undisco duro en formato de cifrado. DES tiene un tamañode bloques de 64 bits y utiliza una clave de 56 bitsdurante el cifrado. Originalmente se diseñó para suimplementación en el hardware. El NIST ha seguidocertificando DES como el estándar de cifrado delgobierno de los EE.UU. cada cinco años.
DEK. Document encrypting key (Clave de cifrado dedocumentos).
DER. Distinguished Encoding Rules (Normasdistintivas de codificación).
DES. Data Encryption Standard (Estándar de cifradode datos).
descifrado. Para deshacer el proceso de cifrado.
destino. Origen de datos designado o seleccionado.
DES triple. Algoritmo simétrico que cifra el textoplano tres veces. Aunque existen muchas formas dehacerlo, la forma más segura de cifrado múltiple es laDES triple con tres claves distintas.
Diffie-Hellman. Método para establecer una clavecompartida en un medio inseguro, que recibe elnombre de sus inventores (Diffie y Hellman).
Digital Signature Algorithm (DSA). Algoritmo declave pública que se utiliza como parte del Estándar defirma digital. No puede utilizarse para cifrado, sólopara firmas digitales.
Directorio. Estructura jerárquica utilizada comodepósito global para la información relacionada con lascomunicaciones (como el correo electrónico o losintercambios criptográficos). El Directorio almacenaelementos específicos esenciales para la estructura PKI,incluyendo claves públicas, certificados y listas derevocación de certificados.
Los datos del Directorio están organizadosjerárquicamente en forma de árbol, con la raíz en laparte superior del árbol. A menudo, las organizacionesde nivel más alto representan a individuos, gobiernos ocompañías. Los usuarios y los dispositivos estánrepresentados normalmente como hojas de cada árbol.Estos usuarios, organizaciones, localidades, países ydispositivos tienen cada uno su propia entrada. Cadaentrada consta de atributos de tipo. Éstos proporcionaninformación sobre el objeto que representa la entrada.
Cada entrada del Directorio está enlazada con unnombre distintivo (DN). Éste es único cuando laentrada incluye un atributo que se sabe que es único enel objeto del mundo real. Considere el siguiente DN deejemplo. En él, el país (C) es US, la organización (O) esIBM, la unidad organizativa (OU) es Trust y el nombrecomún (CN) es CA1.
C=US/O=IBM/OU=Trust/CN=CA1
Distinguished Encoding Rules (DER). Establecerestricciones sobre las BER. Las DER seleccionan unsolo tipo de codificación de todos los que permiten lanormas de codificación, eliminando todas las opcionesdel emisor.
DL. Biblioteca de almacenamiento de datos.
DN. nombre distintivo.
124 Trust Authority: Guía de administración del sistema
document encrypting key (DEK). Normalmente, unaclave de cifrado/descifrado simétrico, como DES.
dominio. Véase dominio de seguridad y dominio deregistro.
dominio de confianza. Conjunto de entidades cuyoscertificados han sido certificados por la misma CA.
dominio de registro. Conjunto de recursos, políticas yopciones de configuración relacionados con procesosespecíficos de registro de certificados. El nombre deldominio es un subconjunto del URL utilizado paraejecutar recursos de registro.
dominio de seguridad. Grupo (compañía, grupo detrabajo o equipo, docente o gubernamental) cuyoscertificados han sido certificados por la misma CA. Losusuarios con certificados firmados por una CA puedenconfiar en la identidad de otro usuario que tiene uncertificado firmado por la misma CA.
DSA. Algoritmo de firma digital.
Ee-business. Transacciones comerciales sobre redes ymediante sistemas. Incluye la compra y venta demercancías y servicios. También incluye la transferenciade fondos mediante comunicaciones digitales.
e-commerce. Transacciones de empresa a empresa.Incluye la compra y venta de mercancías y servicios(con clientes, distribuidores, proveedores y otros) enInternet. Es un elemento principal del e-business.
entidad final. Sujeto de un certificado que no sea unaCA.
escucha PKIX. Servidor HTTP público que utiliza undominio de registro particular para escuchar lassolicitudes procedentes de la aplicación Client TrustAuthority.
esquema. En lo que se refiere al Directorio, estructurainterna que define las relaciones entre los diferentestipos de objeto.
estructura interna. Véase esquema.
extensión de certificado. Dispositivo opcional delformato de certificado X.509v3 que se proporciona paraincluir campos adicionales en el certificado. Hayextensiones estándar y extensiones definidas por elusuario. Las extensiones estándar sirvan para variosfines, incluida la información de política y claves,atributos del sujeto y del emisor, y limitaciones de laruta de certificación.
extranet. Derivada de Internet que utiliza unatecnología similar. Las empresas están empezando aaplicar publicaciones Web, comercio electrónico,
transmisión de mensajes y groupware en diferentesgrupos de clientes, business partners y personalinterno.
Ffirma digital. Mensaje codificado añadido a undocumento o datos que garantiza la identidad delremitente.
Una firma digital puede proporcionar mayor nivel deseguridad que una firma física. La razón por la queesto ocurre es que una firma digital no es un nombrecifrado o una serie de códigos de identificaciónsencillos. En realidad es un resumen cifrado delmensaje que se firma. De este modo, al añadir unafirma digital a un mensaje se proporciona un mediosólido de identificación del emisor. Solamente la clavedel emisor puede crear la firma. También se asegura elcontenido del mensaje que se firma (el resumen cifradodel mensaje debe coincidir con el contenido delmensaje o la firma no será válida). De este modo, unafirma digital no puede copiarse de un mensaje yaplicarse en otro, porque el resumen, o dato de control,no coincidiría. Cualquier modificación del mensajefirmado también invalidaría la firma.
firma en código. Técnica para firmar programasejecutables mediante firmas digitales. El proceso defirma en código se ha diseñado para mejorar lafiabilidad del software que se distribuye en Internet.
firmar. Utilizar la clave privada para generar unafirma. La firma es un medio de probar que se esresponsable del mensaje que se firma y que se aprueba.
firma/verificación. Firmar es utilizar una clave digitalprivada para generar una firma. Verificar es utilizar laclave pública correspondiente para verificar la firma.
FTP. Protocolo de transferencia de archivos.
Hhipertexto. Texto que contiene palabras, frases ográficos sobre los que el lector puede pulsar con elratón para recuperar y visualizar otro documento. Estaspalabras, frases o gráficos se les conoce comohiperenlaces. Recuperarlos se conoce como enlazar conellos.
historial de acciones. Eventos acumulados durante elciclo de vida de una credencial.
HTML. Lenguaje de marcas de hipertexto.
HTTP. Protocolo de transferencia de hipertexto.
Glosario 125
IICL. Issued certificate list (Lista de certificadosemitidos).
ID de solicitud. Valor ASCII de 24 a 32 caracteres queidentifica de forma exclusiva una solicitud decertificado de la RA. Este valor se puede utilizar en latransacción de solicitud del certificado para recuperarel estado de la solicitud o el certificado con el que estáasociada.
ID de transacción. Identificador proporcionado por laRA como respuesta a una solicitud de inscripción deprerregistro. Permite al usuario que ejecuta laaplicación Client Trust Authority obtener el certificadoprevio a la aprobación.
identificador de objeto (OID). Valor de datosasignado administrativamente del tipo definido en lanotación de sintaxis abstracta 1 (ASN.1).
IETF (Internet Engineering Task Force). Grupocentrado en la técnica y desarrollo de protocolos paraInternet. Representa una comunidad internacional dediseñadores, operadores, proveedores e investigadoresde redes. El IETF se ocupa del desarrollo de laarquitectura de Internet y de su uso fluido.
IniEditor. En Trust Authority, herramienta utilizadapara editar los archivos de configuración.
inscripción. En Trust Authority, proceso para obtenerlas credenciales a utilizar en Internet. La inscripciónengloba la solicitud, renovación y revocación decertificados.
instancia. En DB2, una instancia es un entorno lógicode gestión de base de datos para almacenar datos yejecutar aplicaciones. Permite definir un conjuntocomún de parámetros de configuración para bases dedatos múltiples.
integridad. Un sistema protege la integridad de losdatos si evita modificaciones no autorizadas (adiferencia de proteger la confidencialidad de los datos,que evita su revelación no autorizada).
Interconexión de sistemas abiertos (OSI). Nombresde los estándares para redes de sistemas aprobados porla ISO.
International Standards Organization (ISO).Organización internacional que tiene como cometidodesarrollar y publicar estándares para todo, desdecopas de vino hasta protocolos de redes de sistemas.
International Telecommunication Union (ITU).Organismo internacional en el que los gobiernos y elsector privado coordinan las redes y servicios detelecomunicaciones globales. Es el editor principal deinformación sobre tecnología de comunicaciones,normativas y estándares.
Internet. Grupo de redes a nivel mundial queproporciona conexión electrónica entre sistemas. Estoles permite comunicarse entre ellos mediantedispositivos de software como son el correo electrónicoy los navegadores Web. Por ejemplo, algunasuniversidades forman una red que a su vez enlaza conotras redes similares para formar Internet.
intervalo de publicación de la CRL. Definido en elarchivo de configuración de CA, intervalo de tiempoentre publicaciones periódicas de la CRL al Directorio.
intranet. Red interna de una empresa que suele residirdetrás de los cortafuegos. Es una derivada de Internet yutiliza una tecnología similar. Técnicamente, unaintranet es una mera extensión de Internet. HTML yHTTP son algunos de los elementos que comparten.
IPSec. Estándar de Seguridad del protocolo deInternet desarrollado por el IETF. IPSec es un protocolode capa de red, diseñado para proporcionar servicioscriptográficos de seguridad que soportan de formaflexible combinaciones de autentificación, integridad,control de acceso y confidencialidad. Por sus fuertescaracterísticas de autentificación, ha sido adoptado pormuchos proveedores de productos VPN como protocolopara establecer conexiones seguras punto a punto enInternet.
ISO. International Standards Organization(Organización internacional de estándares).
ITU. International Telecommunication Union (Unióninternacional de telecomunicaciones).
JJava. Conjunto de tecnologías de sistemas sinplataforma específica preparado para redes ydesarrollado por Sun Microsystems, Incorporated. Elentorno Java consta del sistema operativo Java,máquinas virtuales para distintas plataformas, lenguajede programación Java orientado a objetos y variasbibliotecas de clases.
jerarquía de CA. En Trust Authority, estructura fiableen la que en la parte superior de la estructura seencuentra un CA y por debajo se encuentran cuatroniveles de CA subordinados. Cuando los usuarios oservidores se registran con un CA, reciben uncertificado firmado por esa CA y heredan la jerarquíade certificación de los niveles superiores.
KKeyStore. DL para almacenar credenciales delcomponente Trust Authority, como claves y certificados,en formato cifrado.
126 Trust Authority: Guía de administración del sistema
LLDAP. Lightweight Directory Access Protocol(Protocolo sencillo de acceso al Directorio).
Lenguaje de marcas de hipertexto (HTML). Lenguajede marcas para codificar las páginas Web. Está basadoen SGML.
lenguaje Java. Lenguaje de programación,desarrollado por Sun Microsystems, diseñadoespecíficamente para ser utilizado en subprogramas yaplicaciones agente.
Lightweight Directory Access Protocol (LDAP ).Protocolo utilizado para acceder al Directorio.
lista de certificados emitidos (ICL). Lista completa decertificados que han sido emitidos y su estado actual.Los certificados están indexados por número de serie yestado. La CA mantiene esta lista y se almacena en labase de datos de la CA.
lista de control de accesos (ACL). Mecanismo paralimitar el uso de un recurso específico a los usuariosautorizados.
lista de revocación de certificados (CRL). Lista confirma digital y con indicación de la hora que contienelos certificados que la autoridad de certificados harevocado. Los certificados de esta lista se debenconsiderar no aceptables. Véase también certificadodigital.
Localizador uniforme de recursos (URL). Esquemapara direccionar recursos en Internet. El URL especificael protocolo, el nombre del sistema principal o ladirección IP. También incluye el número de puerto, laruta y los detalles de los recursos que son necesariospara acceder a un recurso desde una máquina concreta.
MMAC. Código de autentificación de mensajes.
Máquina virtual de Java (JVM). Parte del entorno deejecución de Java responsable de interpretar los códigosde bytes.
MD2. Función de control numérico de condensaciónde mensajes de 128 bits, diseñada por Ron Rivest. Seutiliza con MD5 en los protocolos PEM.
MD4. Función de control numérico de condensaciónde mensajes de 128 bits, diseñada por Ron Rivest. Esvarias veces más rápida que MD2.
MD5. Función de control de numérico decondensación de mensajes de sentido único, diseñadapor Ron Rivest. Es una versión mejorada de MD4. MD5procesa el texto de entrada en bloques de 512 bits,divididos en 16 sub-bloques de 32 bits. La salida del
algoritmo es un conjunto de cuatro bloques de 32 bits,que se concatenan para formar un único valor decontrol de 128 bits. También se utiliza junto con MD2en los protocolos PEM.
MIME (Multipurpose Internet Mail Extensions).Conjunto de especificaciones disponible libremente quepermite intercambiar texto entre idiomas con juegos decaracteres diferentes. También permite el correoelectrónico multimedia entre gran variedad de sistemasdiferentes que utilizan los estándares de correo Internet.Por ejemplo, los mensajes de correo electrónico puedencontener juegos de caracteres distintos a US-ASCII,texto enriquecido, imágenes y sonidos.
modelo de confianza. Convenio de estructuración quedetermina la forma en que las autoridades decertificado certifican a otras autoridades de certificado.
modulus. En el sistema criptográfico de clave públicaRSA, producto (n) de dos números primos grandes: p yq. El mejor tamaño para un modulus RA depende delas necesidades de cada uno. Cuanto más grande sea elmodulus, mayor será la seguridad. Los tamaños declave recomendados actualmente por los laboratoriosRSA dependen del uso al que vaya destinada la clave:768 bits para uso personal, 1024 bits para usocorporativo y 2048 bits para claves de gran valor comoel par de claves de una CA. Se supone que una clavede 768 bits será segura como mínimo hasta el año 2004.
NNational Security Agency (NSA). Organismo deseguridad oficial del gobierno de los EE.UU.
navegador. Véase navegador de Web.
navegador de Web. Software cliente que se ejecuta enun PC de sobremesa y que permite al usuario navegarpor la World Wide Web o las páginas HTML locales. Esuna herramienta de recuperación que proporcionaacceso universal a la inmensa colección de materialhipermedia disponible en la Web e Internet. Algunosnavegadores pueden mostrar texto y gráficos, peroalgunos sólo pueden mostrar texto. La mayoría de losnavegadores pueden manejar las principales formas decomunicación de Internet, como las transacciones FTP.
NIST. Instituto nacional de estándares y tecnología,conocido anteriormente como NBS (Agencia nacionalde estándares). Promueve los estándares abiertos y lainteroperatividad en el sector de sistemas.
NLS. Soporte del idioma nacional.
nombre distintivo (DN). Nombre exclusivo de unaentrada de datos que se almacena en el Directorio. ElDN identifica de forma exclusiva la posición de unaentrada en la estructura jerárquica del Directorio.
Glosario 127
nonce. Cadena de caracteres enviada por un servidoro aplicación solicitando la autorización del usuario. Elusuario al que se le solicita autentificación firma elnonce con una clave privada. La clave pública delusuario y el nonce firmado se envían de vuelta alservidor o aplicación que solicitó la autentificación.Luego el servidor intenta descifrar el nonce firmadocon la clave pública del usuario. Si el nonce descifradoes el mismo que el original que se envió, el usuario esautentificado.
NSA. Agencia nacional de seguridad.
Oobjeto. En diseño o programación orientada a objetos,abstracción que encapsula los datos y las operacionesasociadas con dichos datos. Véase también clase.
objetos de proceso empresarial. Código utilizado pararealizar una determinada operación de registro, comopor ejemplo la comprobación del estado de unasolicitud de inscripción o la verificación de que se haenviado una clave pública.
ODBC. Open Database Connectivity (Conectividadabierta de bases de datos).
Open Database Connectivity (ODBC). Estándar paraacceder a diferentes sistemas de base de datos.
OSI. Open Systems Interconnect (Interconexión desistemas abiertos).
Ppar de claves. Claves correspondientes que se utilizanen criptografía asimétrica. Una clave se utiliza paracifrar y otra para descifrar.
par de claves pública/privada. El par de clavespública/privada es parte del concepto de la criptografíade par de claves (introducido en 1976 por Diffie yHellman para resolver el problema de la gestión declaves). Según su concepto, cada persona obtiene unpar de claves, denominadas clave pública y claveprivada. La clave pública de cada persona se hacepública mientras que la clave privada se mantiene ensecreto. El emisor y el receptor no necesitan compartirla información secreta: en todas las comunicaciones sólose ven involucradas las claves públicas, y la claveprivada nunca se transmite o comparte. Ya no esnecesario confiar en que algún canal de comunicaciónsea seguro contra escuchas o revelaciones. El únicorequisito es que las claves públicas deben estarasociadas con sus usuarios mediante una relación defiabilidad (autentificadas), como por ejemplo en undirectorio fiable. Cualquiera puede enviar un mensajeconfidencial utilizando información pública. Sinembargo, el mensaje solamente puede descifrarse conuna clave privada, que está en posesión exclusiva del
destinatario al que va dirigido. Es más, la criptografíade par de claves no sólo puede utilizarse por motivosde privacidad (cifrado), sino también paraautentificación (firmas digitales).
pasarela. Unidad funcional que permite que las redeso aplicaciones incompatibles se comuniquen entre ellas.
PEM. Privacy-enhanced mail (Correo con privacidadmejorada).
perfil de certificado. Conjunto de características quedefinen el tipo de certificado que se desea (por ejemplocertificados SSL o certificados IPSec). El perfil facilita lagestión de las especificaciones y el registro de loscertificados. El emisor puede cambiar los nombres delos perfiles y especificar las características delcertificado que desee, por ejemplo el período devalidez, el uso de claves, las limitaciones DN, etcétera.
pista de auditoría. Datos, en forma de ruta lógica, queenlazan una secuencia de eventos. El pista de auditoríapermite rastrear transacciones o el historial de unaactividad determinada.
PKCS. Public Key Cryptography Standards(Estándares de criptografía de clave pública).
PKCS núm. 7. Véase Public key CryptographyStandards (Estándares de criptografía de clave pública).
PKCS núm. 1. Véase Public key CryptographyStandards (Estándares de criptografía de clave pública).
PKCS núm. 10. Véase Public key CryptographyStandards (Estándares de criptografía de clave pública).
PKCS núm. 11. Véase Public key CryptographyStandards (Estándares de criptografía de clave pública).
PKCS núm. 12. Véase Public key CryptographyStandards (Estándares de criptografía de clave pública).
PKI. Public key infrastructure (Infraestructura de clavepública).
PKIX. PKI basada en X.509v3.
plantilla de proceso empresarial. Conjunto de objetosde proceso empresarial que se ejecutan en un ordenespecificado.
políticas de certificados. Conjunto de reglas connombre que indican si se puede aplicar un certificado auna clase determinada de aplicaciones que tienenrequisitos de seguridad comunes. Por ejemplo, unapolítica de certificado puede indicar si un cierto tipo decertificación determinada permite que un usuariorealice transacciones de productos en un rango deprecios dado.
prerregistro. En Trust Authority, proceso que permitea un usuario, normalmente un administrador, inscribira otros usuarios. Si la solicitud es aprobada, la RA
128 Trust Authority: Guía de administración del sistema
proporciona la información que más tarde permite alusuario obtener el certificado utilizando la aplicaciónClient Trust Authority.
privacidad. Protección contra la revelación noautorizada de datos.
privacy-enhanced mail (PEM). Estándar de correo conprivacidad mejorada de Internet, que adoptó el Comitéde arquitectura Internet (IAB) para proporcionar correoelectrónico seguro en Internet. Los protocolos PEMproporcionan cifrado, autentificación integridad demensajes y gestión de claves.
proceso de registro. En Trust Authority, pasos paravalidar a un usuario, para que el usuario y la clavepública del usuario puedan ser certificados y participenen transacciones. Este proceso puede ser local o basadoen la Web, y puede estar automatizado o seradministrado por interacción de los usuarios.
protocolo. Convenio acordado para lascomunicaciones entre sistemas.
Protocolo de control de transmisión/protocolo Internet(TCP/IP ). Conjunto de protocolos de comunicacionesque soportan funciones de conectividad de igual aigual para redes locales y de área amplia.
protocolo de gestión de certificados PKIX (CMP).Protocolo que permite las conexiones con aplicacionescompatibles PKIX. El CMP PKIX utiliza TCP/IP comomecanismo de transporte principal, pero existe unacapa de abstracción sobre sockets. Esto permitesoportar transportes de sondeos adicionales.
Protocolo de transferencia de archivos (FTP).Protocolo cliente/servidor de Internet que se utilizapara transferir archivos entre sistemas.
Protocolo de transferencia de hipertexto (HTTP).Protocolo cliente/servidor de Internet para transferirarchivos de hipertexto a través de la Web.
Protocolo simple de transferencia de correo (SMTP).Protocolo que transfiere correo electrónico por Internet.
Public Key Cryptography Standards (PKCS).Estándares informales entre proveedores desarrolladosen 1991 por los laboratorios RSA con representantes devarios proveedores de sistemas. Estos estándarescontemplan el cifrado RSA, el acuerdo Diffie-Hellman,el cifrado basado en contraseña, la sintaxis decertificados extendidos, la sintaxis de mensajescriptográficos, la sintaxis de la información de claveprivada y la sintaxis de certificación.
v PKCS núm. 1 describe un método para cifrar losdatos utilizando el sistema criptográfico de clavepública RSA. Se utiliza para la construcción defirmas digitales y sobres digitales.
v PKCS núm. 7 especifica el formato general de losmensajes criptográficos.
v PKCS núm. 10 especifica la sintaxis estándar de lassolicitudes de certificación.
v PKCS núm. 11 define la interfaz de programaciónindependiente de la tecnología para los dispositivoscriptográficos como las tarjetas inteligentes.
v PKCS núm. 12 especifica el formato portátil paraalmacenar o transportar las claves privadas,certificados, secretos varios, etc. del usuario.
public key infrastructure (PKI). Estándar para elsoftware de seguridad que está basado en lacriptografía de clave pública. PKI es un sistema decertificados digitales, autoridades de certificado,autoridades de registro, servicios de gestión decertificados y servicios de directorio distribuido. Seutiliza para verificar la identidad y autoridad de cadauna de las partes involucradas en cualquier transacciónrealizada en Internet. En estas transacciones podríanestar involucradas operaciones en las que se requiere laverificación de identidad. Por ejemplo, podríanconfirmar el origen de los intentos de propuesta, losautores de los mensajes de correo electrónico o lastransacciones financieras.
PKI logra todo esto haciendo que las claves de cifradopúblicas y los certificados estén disponibles para laautentificación a través de un individuo u organizaciónválido. Proporciona directorios en línea que contienenlas claves de cifrado públicas y los certificados que seutilizan para verificar los certificados digitales,credenciales y firmas digitales.
PKI ofrece un medio para obtener respuestas rápidas yeficaces a las consultas de verificación y las solicitudesde claves de cifrado públicas. También avisa al sistemade los peligros potenciales de seguridad y mantiene losrecursos necesarios para tratar las violaciones deseguridad. Por último, PKI proporciona un servicio deindicación de la hora digital para las transaccionescomerciales importantes.
RRA. Autoridad de registro.
RA Desktop. Subprograma de Java que proporciona alas RA una interfaz gráfica para procesar las solicitudesde credenciales y administrarlas durante su ciclo devida.
RC2. Cifrado de bloques con tamaño de clavevariable, diseñado por Ron Rivest para la Seguridad dedatos RSA. RC significa Ron’s Code (código de Ron) oRivest’s Cipher (cifrado de Rivest). Es más rápido queDES y está diseñado para sustituir a DES a corto plazo.Puede ser más o menos seguro que DES en labúsqueda exhaustiva de claves utilizando los tamañosde clave apropiados. Tiene un tamaño de bloques de 64bits y, en cuanto al software, es dos o tres veces másrápido que DES. RC2 puede utilizarse con las mismasmodalidades que DES.
Glosario 129
Un acuerdo entre la Asociación de editores de software(SPA) y el gobierno de los EE.UU. da a RC2 unaposición especial. Esto hace más sencillo y rápido elproceso de aprobación de exportación que el procesode exportación criptográfico habitual. Sin embargo,para permitir la aprobación de exportación rápida, elproducto debe limitar el tamaño de la clave RC2 a 40bits con algunas excepciones. Se puede utilizar unacadena de caracteres adicional para burlar aintromisiones que intenten calcular previamente unatabla de búsqueda de gran tamaño de posibles cifrados.
rechazar. Desestimar como falso; por ejemplo, negarque se ha enviado un mensaje específico o que se haremitido una solicitud específica.
Red privada virtual (VPN). Red privada de datos queutiliza Internet en lugar de líneas telefónicas paraestablecer conexiones remotas. Las organizacionespueden reducir significativamente los costes de accesoremoto si los usuarios acceden a los recursos de lasredes de la empresa mediante un proveedor deservicios Internet (ISP) en lugar de hacerlo a través deuna compañía telefónica. Una VPN también mejora laseguridad de los intercambios de datos. En latecnología de cortafuegos tradicional, el contenido delmensaje puede cifrarse, pero no las direcciones origen ydestino. En la tecnología VPN, los usuarios puedenestablecer una conexión por túnel en la que el paquetecompleto de información (contenido y cabecera) estácifrado y encapsulado.
autoridad de registro (RA). Software que administralos certificados digitales para garantizar que se aplicanlas políticas de gestión de una organización desde laentrada inicial de una solicitud de inscripción hasta larevocación de certificados.
registro de auditoría. En Trust Authority, tabla de unabase de datos que almacena un registro por cadaevento de auditoría.
responsable de registros. Usuario que ha sidoautorizado a acceder al RA Desktop, para administrarcertificados y solicitudes de certificados.
RSA. Algoritmo criptográfico de clave pública quelleva el nombre de sus inventores (Rivest, Shamir yAdelman). Se utiliza para cifrado y firmas digitales.
Ssalida de política. En un servicio de registro,programa definido por una organización al que llamala aplicación de registro. Las normas especificadas enuna política de salida aplican las preferencias degestión y seguridad de la organización en los procesosde inscripción.
Secure Electronic Transaction (SET). Estándar delmercado que ofrece seguridad en los pagos mediantetarjeta de crédito o de débito en redes que no son
seguras. El estándar incorpora autentificación de lostitulares, comerciantes y bancos emisores de tarjetasporque exige la emisión de certificados.
Secure Sockets Layer (SSL ). Protocolo decomunicaciones estándar IETF con servicios deseguridad incorporados que son lo más transparenteposibles para el usuario final. Proporciona un canal decomunicación digitalmente seguro.
Un servidor con capacidad SSL normalmente aceptasolicitudes de conexión SSL en un puerto diferente alsolicitado en las solicitudes HTTP estándar. SSL creauna sesión durante la cual el intercambio de señalespara establecer la comunicación entre dos módemsdebe producirse una sola vez. Después de eso, se cifrala comunicación. La comprobación de integridad de losmensajes continúa hasta que finaliza la sesión SSL.
servicio de registro. Infraestructura de aplicaciónTrust Authority que proporciona recursosespecializados de entidades de inscripción (comonavegadores, direccionadores, correo electrónico yaplicaciones cliente seguras) y gestión de certificadosdurante su ciclo de vida.
servidor. (1) En una red, estación de datos queproporciona funciones a otras estaciones; por ejemplo,un servidor de archivos. (2) En TCP/IP, sistema en unared que maneja las solicitudes de un sistema en otraubicación, denominado cliente/servidor.
servidor de auditorías. Servidor de Trust Authorityque recibe eventos de auditoría de los clientes deauditoría y los escribe en un registro de auditoría.
servidor de CA. Servidor del componente CA(Autoridad de certificado) de Trust Authority.
Servidor del Directorio. En Trust Authority, elDirectorio de IBM SecureWay. Este Directorio soportaestándares LDAP y utiliza DB2 como base.
servidor HTTP. Servidor que maneja lascomunicaciones basadas en Web con navegadores yotros programas en una red.
servidor proxy. Intermediario entre el sistema quesolicita acceso (sistema A) y el sistema al que se accede(sistema B). Así, si un usuario final solicita un recursoal sistema A, la solicitud se dirige al servidor proxy. Elservidor proxy hace la solicitud, obtiene la respuestadel sistema B y luego reenvía la respuesta al usuariofinal. Los servidores proxy son de utilidad para accedera los recursos de la World Wide Web desde el interiorde un cortafuegos.
servidor RA. Servidor del componente RA de TrustAuthority.
servidor Web. Programa servidor que responde a lassolicitudes de recursos de información procedentes delos programas navegadores. Véase también servidor.
130 Trust Authority: Guía de administración del sistema
servlet. Programa de la parte servidor queproporciona funcionalidad adicional a los servidorespreparados para Java.
SET. Transacción electrónica segura.
SGML. Standard Generalized Markup Language(Lenguaje estandarizado de marcas general).
SHA-1 (Secure Hash Algorithm). Algoritmo diseñadopor el NIST y la NSA para utilizarse con el estándarDigital Signature Standard. El estándar es Secure HashStandard; SHA es el algoritmo utilizado por el estándar.SHA produce un dato de control numérico de 160 bits.
S/MIME. Estándar que soporta la firma y cifrado decorreo electrónico transmitido a través de Internet.Véase MIME.
SMTP. Simple Mail Transfer Protocol (Protocolosimple de transferencia de correo).
Soporte del idioma nacional (NLS). Soporte dentro deun producto de las diferencias entre escenarios,incluidos el idioma, la moneda, los formatos de fecha yhora y la representación numérica.
SSL. Secure Sockets Layer (Capa de socketsprotegida).
Standard Generalized Markup Language (SGML).Estándar para describir los lenguajes de marcas. HTMLestá basado en SGML.
subprograma de Java. Véase subprograma. Compáresecon aplicación de Java.
subsistema de auditoría. En Trust Authority,subsistema que proporciona el soporte para registrarcronológicamente acciones relacionadas con laseguridad. Cumple con las recomendaciones delestándar X9.57, del conjunto de estándares explicadospor PKI (Public Key Cryptography) para el sector deservicios financieros.
TTarjeta inteligente. Pieza de hardware, normalmentedel tamaño de una tarjeta de crédito, para almacenarlas claves digitales del usuario. Una tarjeta inteligentepuede estar protegida con contraseña.
tarjeta PC. Similar a una tarjeta inteligente,denominada a veces tarjeta PCMCIA. Esta tarjeta esalgo más grande que una tarjeta inteligente y sueletener mayor capacidad.
TCP/IP. Protocolo de control de transmisión/protocoloInternet.
texto claro. Datos no cifrados. Sinónimo detexto plano.
texto plano. Datos no cifrados. Sinónimo de textolimpio.
tipo. Véase tipo de objeto.
tipo de objeto. Tipo de objeto que puede almacenarseen el Directorio. Por ejemplo, una organización, sala dereuniones, dispositivo, persona, programa o proceso.
TP. Política de confianza.
Trust Authority. Solución de seguridad IBMSecureWay integrada que soporta la emisión,renovación y revocación de certificados digitales. Estoscertificados pueden utilizarse en una gran variedad deaplicaciones Internet, proporcionando un medio paraautentificar usuarios y asegurar comunicacionesseguras.
trusted computer base (TCB). Elementos de softwarey hardware que conjuntamente hacen respetar lapolítica de seguridad de sistemas de una organización.Cualquier elemento o parte de un elemento que puedatener efecto para hacer cumplir la política de seguridades de importancia en la seguridad y forma parte de laTCB. La TCB es un objeto que está delimitado por elperímetro de seguridad. Los mecanismos que llevan acabo la política de seguridad no deben ser eludibles ydeben evitar que los programas consigan acceder a losprivilegios del sistema por aquellos que no esténautorizados.
túnel. En tecnología VPN, conexión punto a puntovirtual bajo demanda realizada mediante Internet.Mientras están conectados, los usuarios remotospueden utilizar el túnel para intercambiar informaciónsegura, cifrada y encapsulada con los servidoresubicados en la red privada de la empresa.
UUnicode. Juego de caracteres de 16 bits definido porISO 10646. El estándar de codificación de caracteresUnicode es un código de caracteres internacional parael proceso de información. El estándar Unicode englobalos principales scripts del mundo y proporciona loscimientos para la internacionalización y localización delsoftware. Todo el código fuente del entorno deprogramación Java está escrito en Unicode.
URL. Localizador uniforme de recursos.
UTF-8. Formato de transformación. Permite a lossistemas de proceso de información que manejan juegosde caracteres de 8 bits convertir Unicode de 16 bits aun equivalente de 8 bits y volver a retroceder sinperder información.
Glosario 131
Vvalidación en cadena. Validación de todas las firmasCA en la jerarquía de confianza a través de la cual seemite el certificado en cuestión. Por ejemplo, si una CAha emitido este su certificado de firma a través de otroCA, ambas firmas se validad durante el proceso devalidación del certificado que presenta el usuario.
variable de inscripción. Véase atributo de inscripción.
VPN. Red privada virtual.
WWebSphere Application Server. Producto IBM quefacilita a los usuarios el desarrollo y gestión de sitiosWeb de alto rendimiento. Simplifica la transición depublicaciones Web sencillas a aplicaciones Web dee-business avanzadas. WebSphere Application Serverconsta de un sistema servlet basado en Java que esindependiente del servidor Web y de su sistemaoperativo subyacente.
World Wide Web (WWW). Parte de Internet donde seestablece una red de conexiones entre sistemas quecontienen material hipermedia. Este materialproporciona información y puede ofrecer enlaces conotro material de la WWW e Internet. Se accede a losrecursos de la WWW mediante un programa denavegador de Web.
XX.500. Estándar para poner en práctica un servicio dedirectorio multipropósito, distribuido y reproducidomediante la interconexión de sistemas informáticos. Fuedefinido conjuntamente por la Unión internacional detelecomunicaciones (ITU), conocida anteriormente comoCCITT, y la Comisión internacional de electroquímica(ISO/IEC).
132 Trust Authority: Guía de administración del sistema
Índice
Aadministración
coprocesador criptográfico 4758 56DB2 UDB 52HTTP Server 17servidor CA 19servidor del Directorio 54servidor RA 31subsistema de auditoría 39Trust Authority 5WebSphere Application Server 15
administrador, agregar el primer RA 32agregar el primer responsable de
registros 32agregar responsable de registross 31AIX
copia de seguridad 12restauración 12
archivos, configuración 71archivos de configuración 9, 71
AuditClient.ini 95AuditServer.ini 91cliente de auditoría 95jonahca.ini 72jonahra.ini 81modificación 9servidor CA 72servidor de auditoría 91servidor RA 81
asignación de alias, IP 68asignación de alias IP 68ASN.1 68AuditClient.ini 9, 95auditoría
cambiar el intervalo entre enlaces 44cambiar el intervalo entre
reintentos 43cambiar intentos de enlace 44cambiar nombre de sistema
principal 41cambiar puerto 41, 43campos de los eventos 103datos de base de datos 106informes, buscar 41informes, generar 48máscara 42registro cronológico 46
AuditServer.ini 9, 91autentificación 1Autoridad de certificado (CA) 57
Bbases de datos DB2 67
administración 52estado 52registros cronológicos 54
CCA (autoridad de certificado)
certificación cruzada 58jerarquías 58
campos, evento de auditoría 103CCITT 68certificación, digital 1, 62certificación cruzada 24, 58, 61certificación digital 1certificado
emisión 1extensiones 58lista de revocación (CRL) 61lista de revocación de certificados
(CRL) 1renovación 1revocación 1seguimiento de la actividad 14seguimiento del uso 12
certificados 62certificados digitales 62cifrado, activar base de datos RA 34clave de cifrado 63clave MAC 63claves
cifrado 63MAC 63
código de autentificación de mensajes(MAC) 58
componentes, Trust Authoritycoprocesador criptográfico 4758 56detener el servidor 7Directorio de IBM SecureWay 54IBM HTTP Server 17iniciar el servidor 7servidor CA 19servidor de auditoría 39servidor RA 31WebSphere Application Server 15
comprobación de la integridad 23, 49, 66comprobación de los registros
cronológicos de HTTP Server 18comunicaciones, fiabilidad 1comunicaciones seguras 1confidencialidad 63contraseña del administrador de
auditoría 5contraseña del administrador del
Directorio 5contraseña del programa de control 5contraseñas
administrador de auditoría 5administrador del Directorio 5cambiar 5Perfil de 4758 CA 6programa de control 5
copia de seguridad 12AIX 12bases de datos de Trust Authority 11Windows NT 12
coprocesador criptográfico, 4758 64
coprocesador criptográfico 4758 56administración 56coprocesador criptográfico 64duplicación 12
CRL (lista de revocación decertificados) 61
intervalo de creación 21valores, cambiar 20vida 21
Ddatos, base de datos de auditoría 106datos de base de datos, auditoría 106DES 56detener los componentes de servidor 7direcciones de correo electrónico 25, 28direcciones DNS 25, 28direcciones IP, cambiar 11Directorio 54dominios, registro 63dominios de registro 63duplicación del 4758 12
Eenlace 44estado
bases de datos de DB2 52HTTP Server 17servidor CA 30servidor de auditoría 50servidor del Directorio 55servidor RA 36WebSphere Application Server 15
estándar ITU 58, 68estándares
ASN.1 68CCITT 68ISO 68ITU 58, 68RFC 2459 58X.509v3 58X.680 68
eventos, auditoría 42, 103eventos de acción del administrador de
auditoría 66eventos de auditoría 103
acción del administrador deauditoría 66
gestión de certificados 65gestión de claves 65máscaras 66obligatorios 66opcionales 66RA 66sensibles a la seguridad 65
eventos de gestión de certificados 65eventos de gestión de claves 65eventos de RA 66eventos sensibles a la seguridad 65
© Copyright IBM Corp. 1999, 2000 133
extensión Authority InformationAccess 58
extensión Authority Key Identifier 58extensión Basic Constraints 58extensión Certificate Policies 58extensión CRL Distribution Points 58extensión de restricciones de
nombres 29extensión Extended Key Usage 58extensión Issuer Alternative Name 58extensión Key Usage 58extensión Name Constraints 58extensión Policy Constraints 58extensión Policy Mappings 58extensión Private Key Usage Period 58extensión Subject Alternative Name 58extensión Subject Directory
Attributes 58extensión Subject Key Identifier 58extensiones
certificado 58comunes 60estándar 58privadas 60restricciones de nombres 29secuencia de solicitud 61
extensiones comunes 60extensiones estándar 58extensiones privadas 60
Ffirma 63
HHTTP Server 17
administración 17estado 17registros cronológicos,
comprobación 18HTTP Server de IBM 67
IIBM HTTP Server 17ICL (lista de certificados emitidos) 62
clave de protección 22política de protección 22
identificadores de objeto (OID) 68Identificadores de recursos uniformes
(URI) 26Informe de actividad 14informes
Actividad 14Uso 12
informes, auditoría 48iniciar componentes de servidor 7integridad 63intervalo de creación, CRL 21intervalo de envío 38intervalo de reintento 36intervalo de sondeo 20, 35ISO 68
Jjerarquía 26jerarquías, CA 58
jonahca.ini 9, 72jonahra.ini 9, 81
LLDAP, (Lightweight Directory Access
Protocol) 54lista de certificados emitidos (ICL) 62lista de control de accesos (ACL) 57lista de revocación (CRL), certificados 1
Mmandato SQL 32mandatos, entrar 5máscara, auditoría 42máscara de dirección IP 25, 28mensajes, PKIX 57mensajes PKIX 57modificación de los archivos de
configuración 9
Nnombre de sistema principal 38, 41nombre distintivo (DN) 62
PPerfil de 4758 CA 6política de protección, ICL 22protección
clave, ICL 22política, ICL 22
puerto 38, 41, 43servidor CA 20servidor de auditoría 41, 43servidor del Directorio 38servidor RA 35
puerto de escucha 35
RRA (autoridad de registro)
acerca de 63administradores (responsables de
registros) 63agregar el primer administrador 32agregar el primer responsable de
registros 32agregar un administrador 33utilidad Add RA User 33, 99
registro cronológico de errores 47registro cronológico de eventos 45registro cronológico de seguimiento 46registros cronológicos
auditoría 45, 46DB2 54error 47evento 45HTTP Server 18seguimiento 46servidor CA 29servidor de auditoría 52servidor del Directorio 56servidor RA 36
registros cronológicos (continuación)subsistema de auditoría 48WebSphere Application Server 16
reintentos 43resolución de problemas 112responsable de registross, agregar 31restauración 12
AIX 12bases de datos de Trust Authority 11Windows NT 12
RFC 2459 58RSA 56
Sseguridad, Trust Authority 57sellado de integridad 66servidor CA
administración 19archivo de configuración 72cambiar el intervalo de sondeo 20cambiar los valores de la CRL 20comprobación de la integridad de la
base de datos 23estado 30puerto escucha 20registros cronológicos 29
servidor RA 31activar el cifrado en la base de
datos 34administración 31archivo de configuración 81cambiar el intervalo de reintento 36cambiar el intervalo de sondeo 35cambiar el nombre de sistema
principal del Directorio 38cambiar el puerto de escucha 35cambiar el puerto del Directorio 38enable database encryption 100estado 36registros cronológicos 36
servidoresauditoría 39detener los componentes 7Directorio 38, 68HTTP 17, 67iniciar componentes 7RA 31servidor CA 19Web 67WebSphere Application 15, 67
servidores del Directorioacerca de 68administración 54cambiar los valores de la RA para 38entradas 26, 29estado 55registros cronológicos 56servidor 38
servidores Web 67sistema criptográfico 57subsistema de auditoría
acerca de 65administración 39archivo de configuración del
cliente 95archivo de configuración del
servidor 91
134 Trust Authority: Guía de administración del sistema
subsistema de auditoría (continuación)archivos del registro cronológico,
efectuar una copia archivada 48archivos del registro cronológico,
firmar 48cambiar el intervalo entre
reintentos 43cambiar la configuración del registro
cronológico de auditoría 46cambiar la configuración del registro
cronológico de errores 47cambiar la configuración del registro
cronológico de seguimiento 46cambiar los valores del registro
cronológico de eventos 45cambiar máscara de auditoría 42cambiar nombre de sistema
principal 43cambiar puerto 43estado 50eventos, acerca de 65eventos obligatorios 66eventos opcionales 66informes, acerca de 65máscaras de eventos 66registros cronológicos 45, 52utilidad Audit Archive and Sign 100utilidad Audit Integrity Check 101vistas de base de datos 40
Ttabla de claves 107tabla de Control de eventos 107tabla de entidades autorizadas 108tabla de funciones autorizadas 109tabla de niveles de gravedad de los
eventos 107tabla de orígenes 108tabla de registros cronológicos de
auditoría 109tabla de tipos de componentes 109tabla de tipos de entidades
afectadas 109tabla del sistema 111tablas, base de datos de auditoría
claves 107Control de eventos 107entidades autorizadas 108funciones autorizadas 109niveles de gravedad de los
eventos 107orígenes 108tabla de registros cronológicos de
auditoría 109tabla de tipos de componentes 109tabla de tipos de entidades
afectadas 109tabla del sistema 111
tarjetas inteligentes 64temporizador 43Trust Authority
administrar 5copia de seguridad 11descripción 1dirección IP, cambiar 11informes 12, 14
Trust Authority (continuación)restauración 11seguridad 57utilidad de Control 7
UURI 29Usage Report 12utilidad CAIntegrityCheck 23utilidad Cambiar contraseña 5utilidad CARemac 22utilidad IniEditor
adición de un parámetro 11adición de una sección 11edición de parámetros 11ejecutar 9guardado de un archivo 11utilizar 10
utilidadesAdd RA User 33Audit Archive and Sign 48, 100Audit Integrity Check 49CA Certification 24, 26, 97, 99CAIntegrityCheck 23Cambiar contraseña 5CARemac 22Control de Trust Authority 7Enable RA Database Encryption 100Informe de actividad 14IniEditor 9Usage Report 12utilidad Audit Integrity Check 101
utilidades de línea de mandatosAdd RA User 99Audit Archive and Sign 48Audit Integrity Check 49CA Certification 24, 26, 97Enable RA Database Encryption 100
Vvalidación, firma 63validación de firmas 63vida, CRL 21vistas, base de datos de auditoría 40
WWebSphere Application Server 15, 67
administración 15estado 15registros 16
Windows NT
copia de seguridad 12restauración 12
XX.509v3 58
X.680 68
Índice 135
top related