ERserver. iseries. Podepisování objektů a ověření podpisu

Transkript

1 ERserer iseries Podepisoání objektů a oěření podpisu

2

3 ERserer iseries Podepisoání objektů a oěření podpisu

4 Copyright International Business Machines Corporation Všechna práa yhrazena.

5 Obsah Podepisoání objektů a oěření podpisu Co je noého e erzi V5R Tisk tohoto tématu Scénáře podepisoání objektů Scénář: Použití produktu DCM (Digital Certificate Manager) k podepisoání objektů a oěřoání podpisů Podrobnosti konfigurace Scénář: Použití rozhraní API k podepisoání objektů a oěřoání podpisů Podrobnosti konfigurace Scénář: Použití Centrální spráy k podepisoání objektů Podrobnosti konfigurace Koncepce podepisoání objektů Digitální podpisy Podepisoatelné objekty Zpracoání podepisoání objektů Zpracoání oěřoání podpisů Nezbytné předpoklady pro podepisoání objektů a oěřoání podpisů Spráa podepsaných objektů Systémoé hodnoty a příkazy, které oliňují podepsané objekty Pokyny pro ukládání a obnou podepsaných objektů Příkazy programu pro kontrolu kódu k zajištění integrity podpisu Odstraňoání problémů s podepsanými objekty Souisející informace pro podepisoání objektů a oěření podpisů Copyright IBM Corp iii

6 i iseries: Podepisoání objektů a oěření podpisu

7 Podepisoání objektů a oěření podpisu Podepisoání objektů a oěření podpisu jsou schopnosti zabezpečení, které můžete yužít při oěřoání integrity různých objektů iseries. Pomocí soukromého klíče digitálního certifikátu podepíšete objekt a pomocí certifikátu (který obsahuje odpoídající eřejný klíč) oěříte digitální podpis. Digitální podpis zajišťuje integritu času a obsahu objektu, který jste podepsali. Podpis je nepopiratelný důkaz praosti i autorizace. Je možné ho použít k prokázání půodu a k detekoání falšoání. Podepsáním objektu identifikujete zdroj objektu a poskytnete prostředek, pomocí kterého je možné určit změny objektu. Po oěření podpisu na objektu můžete určit, zda byly proedeny změny jeho obsahu od okamžiku jeho podepsání. Můžete také oěřit zdroj podpisu, abyste se přesědčili o hodnoěrnosti půodu objektu. Podepisoání objektů a oěření podpisu můžete na sereru iseries implementoat pomocí: Rozhraní API, chcete-li programoě podepisoat objekty a oěřoat podpisy na objektech. Produktu DCM (Digital Certificate Manager), chcete-li podepisoat objekty a prohlížet nebo oěřoat podpisy. Centrální spráy prostředí produktu iseriesnaigator, chcete-li podepisoat objekty jako součást distribučních programoých balíků, určených pro použití jinými systémy. Pomocí CL příkazů, jako např. CHKOBJITG (Check Object Integrity), chcete-li oěřoat podpisy. Pokud chcete získat íce informací o ýše uedených metodách podepisoání objektů a o tom, jak podepisoání objektů může obohatit aši aktuální strategii zabezpečení ochrany dat, prostudujte si následující části: Co je noého e erzi V5R2 Zde získáte informace o noých schopnostech iseries, pokud jde o podepisoání objektů a oěření podpisu, a také o změnách dokumentaci pro toto ydání. Tisk tohoto tématu Pomocí těchto informací ytisknete celé téma jako soubor e formátu PDF. Scénáře podepisoání objektů Uedené informace použijte k prohlédnutí scénářů, které předstaují některé typické situace yužití schopností iseries oblasti podepisoání objektů a oěření podpisu. U každého scénáře jsou také uedeny šechny konfigurační úlohy, které musíte proést, aby bylo možné scénář použít tak, jak je zde popsán. Koncepce podepisoání objektů Pomocí těchto koncepcí a referenčních informací získáte znalosti o digitálních podpisech a o tom, jak fungují procesy podepisoání objektů a oěření podpisu. Předpoklady pro použití podepisoání objektů a oěření podpisu V této části se dozíte informace o nezbytných předpokladech pro konfiguraci a také další požadaky, které je třeba zít úahu při plánoání použití podepisoání objektů a oěření podpisu. Spráa podepsaných objektů Zde naleznete informace o příkazech a systémoých hodnotách iseries, které budete potřeboat pro práci s podepsanými objekty, a informace o tom, jakým způsobem podepsané objekty oliňují procesy zálohoání a obnoy dat. Řešení problémů s podepisoáním objektů a oěřením podpisu V této části naleznete informace, jak yřešit problémy a chyby, se kterými se můžete setkat při použíání podepisoání objektů a oěřoání podpisů. Copyright IBM Corp

8 Souisející informace pro podepisoání objektů a oěření podpisu Tyto informace obsahují odkazy na jiné zdroje, které obsahují další informace o podepisoání objektů a oěřoání podpisů objektu. Co je noého e erzi V5R2 Schopnosti podepisoání objektů a oěření podpisu pro iseries byly popré předstaeny e erzi V5R1. Ve erzi V5R2 byly k těmto schopnostem přidány některé další funkce a ylepšení. Noé nebo ylepšené funkce podepisoání objektů a oěření podpisu zahrnují: Funkci podepisoání objektů Centrální spráě prostředí produktu iseries Naigator Nyní můžete pomocí průodce definicí produktů Centrální spráě podepisoat objekty, které balíte za účelem distribuce na koncoé systémy iseries. Podepisoání objektů typu command (*CMD) Noě můžete podepisoat i objekty *CMD. Můžete zolit, zda se má podepisoat celý objekt *CMD, nebo zda se mají podepsat pouze komponenty jádra objektu *CMD. Noá rozhraní API pro podepisoání a oěření Můžete použíat tři rozhraní API, pomocí kterých můžete plně yužít ýhod ylepšení schopností podepisoání a oěření systému OS/400: Rozhraní Sign Buffer (QYDOSGNB, QydoSignBuffer) API Toto rozhraní API dooluje lokálnímu systému, aby digitálně podepsal yronáací paměť. Tímto způsobem osědčí, že jedůěryhodná. Po podepsání yronáací paměti systém rátí digitální podpis tomu, kdo yolal API. Toto rozhraní API můžete například použíat, když chcete podepsat část XML souboru a uložit podpis do jiné části souboru e formátu XML. Nebo můžete číst záznamy databázoého souboru do yronáací paměti a použít rozhraní API k jejich podpisu. Rozhraní Verify Buffer (QYDOVFYB, QydoVerifyBuffer) API Toto rozhraní API umožňuje lokálnímu systému oěřit digitální podpis na dříe podepsané yronáací paměti. Rozhraní Add Verifier (QYDOADDV, QydoAddVerifier) API Toto rozhraní API přidáá certifikát dopaměti certifikátů *SIGNATUREVERIFICATION systému. Systém pak může použít přidaný certifikát k oěření podpisů na objektech, které certifikát ytořil. Oěřoání podpisu umožňuje systému oěřit integritu podepsaných objektů, aby bylo zajištěno, že objekty nebyly změněny od doby jejich podpisu. Pokud neexistuje paměť certifikátů, uedené rozhraní API ji ytoří, jakmile přidá prní certifikát. Poznámka: Z bezpečnostních důodů neumožňuje toto rozhraní API ložit certifikát ydaatele certifikátu (CA) do paměti certifikátů *SIGNATUREVERIFICATION. Když přidáte certifikát CA do paměti certifikátů, systém předpokládá, že ydaatel certifikátu (CA) je oěřeným zdrojem certifikátů. Následkem toho systém zachází s certifikátem ydaným CA, jako kdyby byl ydán oěřeným zdrojem. Z tohoto důodu nemůžete použíat rozhraní API k ytoření programu užiatelského stupu, který by ložil certifikát CA do paměti certifikátů. K přidání certifikátu CA do paměti certifikátů musíte použít produkt DCM (Digital Certificate Manager), abyste zajistili, že někdo musí speciálně a ručně řídit, kterým ydaatelům certifikátu (CA) systém důěřuje. Tímto způsobem předejdete možným případům, kdy systém mohl importoat certifikáty ze zdrojů, které administrátor ědomě nezadal jako důěryhodné. Pokud chcete komukoli zabránit použíání tohoto rozhraní API k přidáání oěřoacího certifikátu do aší paměti certifikátů *SIGNATUREVERIFICATION bez ašeho ědomí, měli byste uažoat o zablokoání daného rozhraní API e ašem systému. Tento úkon můžete proést pomocí nástrojů SST (system serice tools), které zamítnou změny systémoých hodnotách týkajících se zabezpečení.. 2 iseries: Podepisoání objektů a oěření podpisu

9 Dříe byly informace o schopnostech sereru iseries oblasti podepisoání objektů a oěření podpisu dostupné jako součást témata Digital Certificate Management rámci aplikace Information Center. Nyní existují další metody, které můžete použít k podepsání objektů a oěření podpisů. Následkem toho je k dispozici toto noé téma rámci aplikace Information Center, které zjednodušuje použití schopností podepisoání objektů a oěřoání podpisu, protože nabízí informace o použití těchto schopností z jednoho centrálního místa. Téma také nabízí rozšířené a podrobnější informace, jako např. scénáře, které ám pomohou určit, kdy a jak použíat uedené schopnosti obohacující aši strategii zabezpečení ochrany dat. Noé nebo zdokonalené informace o tomto tématu zahrnují: Scénáře, které ám mohou pomoci při stanoení nejlepšího způsobu yužití schopností podepisoání objektů a oěření podpisu pro doplnění aší strategie zabezpečení ochrany dat. Noé sekce, které popisují příkazy a systémoé hodnoty, které můžete použíat ke spráě podepsaných objektů e ašem systému. Noé sekce, které popisují plánoací a další koncepční informace pro použití podepisoání objektů a oěřoání podpisů. Další informace o tom, co je noého nebo co bylo změněno této erzi produktu, iz dokument Sdělení užiatelům. Tisk tohoto tématu Pokud chcete soubor typu PDF prohlížet nebo stáhnout, yberte téma Podepisoání objektů a oěření podpisu (cca 350 KB nebo 44 stran). Pokud chcete soubor e formátu PDF uložit na sou praconí stanici za účelem prohlížení nebo tisku: 1. Oteřete soubor typu PDF pomocí sého prohlížeče (klepněte na ýše uedený odkaz). 2. V menu ašeho prohlížeče klepněte na Soubor. 3. Klepněte na Uložit jako Vyhledejte adresář, doněhož chcete soubor typu PDF uložit. 5. Klepněte na Uložit. Pokud ke stažení nebo prohlížení souboru e formátu PDF potřebujete program Adobe Acrobat Reader, můžete si jeho kopii tohoto produktu stáhnout z domoské stránky společnosti Adobe ( Scénáře podepisoání objektů Váš serer iseries nabízí různé metody pro podepisoání objektů a oěřoání podpisů na objektech. To, který způsob podepisoání objektů zolíte a jak budete pracoat s podepsanými objekty, záleží na ašich obchodních potřebách a požadacích oblasti zabezpečení ochrany dat. V některých případech můžete potřeboat pouze oěřit podpisy objektů e ašem systému, abyste se přesědčili, že integrita objektu nebyla dotčena. V jiných případech se můžete rozhodnout podepisoat objekty, které distribuujete ostatním. Podepisoání objektů umožňuje ostatním identifikoat půod objektů a zkontroloat integritu objektů. To, kterou metodu zolíte, záleží na mnoha faktorech. Scénáře nabízené tomto tématu popisují několik nejběžnějších cílů pro implementaci podepisoání objektů a oěření podpisu rámci typického podnikoého prostředí. Každý scénář také popisuje šechny nezbytné předpoklady a úlohy, které je nezbytné proést při implementaci daného scénáře. Prostudoání těchto scénářů ám pomůže určit takoý způsob použití funkce podepisoání objektů iseries, který bude nejlépe odpoídat ašim obchodním potřebám i požadakům oblasti zabezpečení ochrany dat. Podepisoání objektů a oěření podpisu 3

10 Scénář: Použití produktu DCM (Digital Certificate Manager) k podepisoání objektů a oěřoání podpisů Tento scénář popisuje společnost, která chce podepisoat nechráněné objekty aplikací na sém eřejném weboém sereru. Tato společnost chce mít možnost snadněji určit, kdy byly učiněny neopráněné změny na těchto objektech. Na základě obchodních potřeb společnosti a na základě cílů oblasti zabezpečení ochrany dat tento scénář popisuje, jak je možné použíat produkt DCM (Digital Certificate Manager) jako primární způsob podepisoání objektů a oěřoání podpisů objektů. Scénář: Použití rozhraní API k podepisoání objektů a oěřoání podpisů Tento scénář popisuje společnost zabýající se ýojem aplikací, která chce programoě podepisoat aplikace, jež prodáá. Chtějí mít možnost ujistit sé zákazníky, že aplikace pochází z jejich společnosti a poskytnout jim prostředek pro detekci neautorizoaných změn aplikacích během jejich instalace. Na základě obchodních potřeb společnosti a na základě cílů oblasti zabezpečení ochrany dat tento scénář popisuje, jak je možné použít rozhraní Sign Object API a rozhraní Add Verifier API k podepisoání objektů a umožnění oěření podpisu. Scénář: Použití Centrální spráy k podepisoání objektů Tento scénář popisuje společnost, která chce podepisoat objekty, jež soustřeďuje do programoých balíků a distribuuje na íce sererů iseries. Na základě obchodních potřeb společnosti a na základě cílů oblasti zabezpečení ochrany dat tento scénář popisuje, jak je možné použít funkci Centrální spráa, která je komponentou produktu iseries Naigator, k ytoření programoých balíků a k podepsání objektů, jež budou distribuoány na jiné serery iseries. Scénář: Použití produktu DCM (Digital Certificate Manager) k podepisoání objektů a oěřoání podpisů Situace Jako administrátor systému iseries společnosti MyCo., Inc. jste zodpoědný za spráu dou firemních sererů iseries. Jeden z těchto sererů iseries pracuje jako eřejný weboý serer aší společnosti. Interní proozní serer iseries použíáte k ytáření obsahu tohoto eřejného weboého sereru a po otestoání ytořených souborů a objektů typu program je přenášíte na eřejný weboý serer. Firemní eřejný weboý serer nabízí weboé stránky s obecnými informacemi o společnosti. Weboé stránky také poskytují různé formuláře, které zákazníci yplňují, aby zaregistroali produkty, yžádali si informace o produktech, oznámení o aktualizaci produktů, lokalitách distribuce produktů apod. Máte obay o zranitelnost programů cgi-bin, které jsou součástí těchto formulářů. Víte, že je možné je pozměnit. Proto chcete mít možnost kontroloat integritu těchto objektů typu program a detekoat, kdy u nich byly proedeny neopráněné změny. Z tohoto důodu jste se rozhodli digitálně podepsat uedené objekty, abyste splnili tento cíl zabezpečení ašich dat. Pečliě jste prozkoumali schopnosti podepisoání objektu systému OS/400 a zjistili jste, že existuje několik způsobů, které můžete použít k podepisoání objektů a oěření podpisů objektu. Jelikož jste odpoědní za spráu malého počtu sererů iseries a nezdá se ám, že budete muset často podepisoat objekty, rozhodli jste se použíat produkt Digital Certificate Manager (DCM), pomocí kterého budete proádět uedené úlohy. Dále jste se rozhodli ytořit lokálního ydaatele certifikátu (CA) a použíat soukromé certifikáty pro podepisoání objektů. Použíání soukromých certifikátů ydáaných lokálním CA pro podepisoání objektů snižuje náklady na použíání této bezpečnostní technologie, protože nemusíte zakoupit certifikát od známého eřejného ydaatele certifikátů (CA). Tento příklad slouží jako užitečný úod do procesu nastaení a použíání podepisoání objektů, pokud si přejete podepisoat objekty na malém počtu sererů iseries. Výhody scénáře 4 iseries: Podepisoání objektů a oěření podpisu

11 Tento scénář má následující ýhody: Podepisoání objektů ám poskytuje prostředky ke kontrole integrity zranitelných objektů a možnost snadněji určit, zda byly objekty změněny poté, co byly podepsány. Tak můžete snížit ýskyt a řešení některých problémů, které by se objeily budoucnosti při pátrání po změnách aplikacích a při jiných problémech systému. Použíání grafického užiatelského rozhraní (GUI) produktu DCM ám umožňuje rychleji a snadněji podepisoat objekty a oěřoat podpisy objektů. Použíání DCM k podepisoání objektů a oěřoání podpisů objektu snižuje dobu nutnou k pochopení a implementaci podepisoání objektů do aší strategie zabezpečení ochrany dat. Použíání certifikátu, ydaného lokálním ydaatelem certifikátu (CA), k podepisoání objektů snižuje náklady na implementaci. Cíle V tomto scénáři si přejete digitálně podepisoat zranitelné objekty, jako např. programy cgi-bin, které generují formuláře, na ašem firemním eřejném sereru iseries. Jako systémoý administrátor společnosti MyCo, Inc., chcete pro podepisoání těchto objektů a oěření podpisů na objektech použíat produkt DCM (Digital Certificate Manager). Cíle tohoto scénáře jsou následující: Firemní aplikace a další zranitelné objekty na eřejném weboém sereru (iseries B) musí být podepsány certifikátem od lokálního ydaatele certifikátů (CA), aby byly sníženy náklady na aplikaci podepisoání. Systémoí administrátoři a další určení užiatelé musí být schopni snadno oěřit digitální podpisy na sererech iseries, aby oěřili zdroj a praost firemních podepsaných objektů. Aby ýše uedené požadaky byly splněny, musí mít každý serer iseries lastní kopii firemního certifikátu pro oěření podpisu a certifikátu lokálního ydaatele certifikátů (CA) e sé paměti certifikátů *SIGNATUREVERIFICATION. Oěřením podpisů na firemních aplikacích a jiných objektech mohou administrátoři iseries a jiní určení užiatelé detekoat, zda byl obsah objektů od doby jejich podpisu změněn. Systémoý administrátor musí použíat DCM k podepisoání objektů. Systémoý administrátor a jiní určení užiatelé musí být schopni použíat DCM k oěření podpisů objektů. Podrobnosti Podepisoání objektů a oěření podpisu 5

12 Následující obrázek znázorňuje proces podepisoání objektů a oěření podpisu, který bude tomto scénáři implementoán: Obrázek zobrazuje následující body, které se ztahují k tomuto scénáři: Serer iseries A Serer iseries A má nainstaloán a spuštěn operační systém OS/400 erze 5, ydání 2 (V5R2). Serer iseries A je interní proozní serer společnosti a ýojoá platforma pro eřejný weboý serer iseries (iseries B). Serer iseries A má nainstaloánu komponentu Cryptographic Access Proider 128-bit for iseries (5722 AC3). Serer iseries A má nainstaloány a nakonfiguroány produkty Digital Certificate Manager (OS/400, olba 34) a IBM HTTP Serer (5722 DG1). Serer iseries A ystupuje jako lokální ydaatel certifikátů (CA) a certifikát pro podepisoání objektů je uložen tomto systému. 6 iseries: Podepisoání objektů a oěření podpisu

13 Serer iseries A použíá DCM k podepisoání objektů a ystupuje jako primární systém podepisoání objektů pro firemní eřejné aplikace a další objekty. Serer iseries A je nakonfiguroán tak, aby umožňoal oěřoání podpisů. Serer iseries B Serer iseries B má nainstaloán a spuštěn operační systém OS/400 erze 5, ydání 1 (V5R1). Serer iseries B je firemní nější eřejný weboý serer, který je umístěn za ochrannou bariérou společnosti. Serer iseries B má nainstaloánu komponentu Cryptographic Access Proider 128-bit (5722 AC3). Serer iseries B má nainstaloány a nakonfiguroány produkty Digital Certificate Manager (OS/400, olba 34) a IBM HTTP Serer (5722 DG1). Serer iseries B neystupuje jako lokální CA, ani nepodepisuje objekty. Serer iseries B je nakonfiguroán tak, aby umožnil oěřoání podpisu pomocí produktu DCM tak, že ytoří paměť certifikátů *SIGNATUREVERIFICATION a naimportuje potřebné certifikáty pro oěření a certifikáty lokálního ydaatele certifikátů (CA). Produkt DCM se použíá k oěřoání podpisů na objektech. Nezbytné podmínky a předpoklady Nezbytné podmínky a předpoklady pro realizaci uedeného scénáře jsou tyto: 1. Všechny serery iseries splňují požadaky pro nainstaloání a použití produktu DCM (Digital Certificate Manager). 2. Na žádném ze sererů iseries dosud nikdo nekonfiguroal a nepoužíal produkt DCM. 3. Všechny serery iseries mají nainstaloánu nejnoější licencoaného programu Cryptographic Access Proider 128-bit (5722-AC3). 4. Systémoá hodnota QVFYOBJRST (Verify object signatures during restore) na šech sererech iseries e scénáři jepředoleně nastaena na hodnotu 3 a toto nastaení nebude změněno. Předolené nastaení zajišťuje, aby serer mohl oěřoat podpisy objektů, zatímco y obnoujete podepsané objekty. 5. Systémoý administrátor sereru iseries A musí mít zláštní opránění *ALLOBJ, aby mohl podepisoat objekty, nebo jeho užiatelský profil musí mít opránění k aplikaci pro podepisoání objektů. 6. Systémoý administrátor nebo jiný užiatel, který ytáří paměť certifikátů DCM, musí mít zláštní opránění *SECADM a *ALLOBJ. 7. Systémoý administrátor anebo jiní užiatelé sererů iseries musí mít zláštní opránění *AUDIT, aby byli schopni oěřoat podpisy objektů. Kroky scénáře Při realizaci tohoto scénáře musíte proést dě skupiny úloh: V prní skupině úloh budete konfiguroat serer iseries A tak, aby ystupoal jako lokální ydaatel certifikátů (CA) a aby byl schopen podepisoat a oěřoat podpisy objektů. Ve druhé skupině úloh budete konfiguroat serer iseries B tak, aby byl schopen oěřoat podpisy objektů, které ytoří serer iseries A. Skupina úloh týkající se sereru iseries A Musíte dokončit každou z níže uedených úloh na sereru iseries A, abyste ytořili soukromého lokálního ydaatele certifikátů (CA) a abyste byly schopni podepisoat objekty a oěřoat podpisy objektu způsobem, který je popsán escénáři: 1. Dokončete šechny kroky týkající se nezbytných předpokladů, ztahujících se k instalaci a konfiguraci potřebných produktů iseries. Podepisoání objektů a oěření podpisu 7

14 2. Pomocí produktu DCM ytořte lokálního ydaatele certifikátů (CA), který ydá certifikát pro podepisoání objektů. 3. Pomocí produktu DCM ytořte definici aplikace. 4. Pomocí produktu DCM přiřaďte certifikát k definici aplikace pro podepisoání objektů. 5. Pomocí produktu DCM podepište objekty programu cgi-bin. 6. Pomocí produktu DCM yexportujte certifikáty, které musí použíat další systémy k oěřoání podpisů objektů. Musíte yexportoat jak kopii certifikátu lokálního CA, tak i kopii certifikátu pro podepisoání objektů do souboru. Obě kopie toří certifikát pro oěření podpisu. 7. Přeneste soubory s certifikáty na firemní eřejný serer iseries (iseries B), takže y i ostatní užiatelé můžete oěřoat podpisy, které ytoří serer iseries A. Skupina úloh týkající se sereru iseries B Pokud máte úmyslu obnooat podepsané objekty, které tomto scénáři přenesete na eřejný weboý serer (iseries B), měli byste před lastním přenosem podepsaných objektů proést na sereru iseries B níže uedené konfigurační úlohy týkající se oěřoání podpisů. Konfiguraci oěřoání podpisů musíte dokončit, abyste mohli úspěšně oěřoat podpisy během obnooání podepsaných objektů na eřejném weboém sereru. Na sereru iseries B je třeba proést níže uedené úlohy, abyste byli schopni oěřoat podpisy na objektech způsobem, který je popsán escénáři: 8. Pomocí produktu DCM ytořte paměť certifikátů *SIGNATUREVERIFICATION. 9. Pomocí produktu DCM naimportujte certifikát lokálního ydaatele certifikátů (CA) a certifikát pro oěření podpisu. 10. Pomocí produktu DCM oěřte podpisy na přenesených objektech. Podrobnosti konfigurace Chcete-li nakonfiguroat a použíat produkt DCM k podepisoání objektů způsobem, který je popsán tomto scénáři, proeďte následující kroky: Krok 1: Dokončete šechny kroky týkající se nezbytných předpokladů K tomu, abyste mohli začít s konfiguračními úlohami při realizaci tohoto scénáře, musíte nejpre splnit šechny nezbytné předpoklady týkající se instalace a konfigurace potřebných produktů na sereru iseries. Krok 2: Vytořte lokálního ydaatele certifikátů (CA), který bude ydáat soukromý certifikát pro podepisoání objektů Pokud chcete použít produkt DCM k ytoření lokálního ydaatele certifikátů (CA), budete muset yplnit řadu formulářů. Tyto formuláře ás proedou procesem ytoření lokálního CA a dalšími úlohami potřebnými k zahájení použíání digitálních certifikátů pro SSL (Secure Sockets Layer), podepisoání objektů a oěřoání podpisů. I když tomto scénáři nemusíte nakonfiguroat certifikáty pro SSL, musíte yplnit šechny formuláře uedené úloze, abyste mohli nakonfiguroat systém pro podepisoání objektů. Chcete-li pomocí produktu DCM ytořit a proozoat lokálního CA, postupujte následoně: 1. Spusťte produkt DCM. 2. V naigačním okně produktu DCM yberte olbu Vytoření ydaatele certifikátů (CA). Zobrazí se sada formulářů. Poznámka: Jestliže si nejste jisti, jak yplnit určitý formulář této řízené úloze, yberte tlačítko s otazníkem (?) horní části stránky, čímž se dostanete do online nápoědy. 3. Vyplňte šechny formuláře pro tuto řízenou úlohu. Během proádění této úlohy musíte: 8 iseries: Podepisoání objektů a oěření podpisu

15 a. Poskytnout identifikační informace pro lokálního CA. b. Nainstaloat certifikát lokálního CA do ašeho prohlížeče, aby áš software mohl rozpoznat lokálního CA a potrzoat certifikáty, které lokální CA ydá. c. Zadat strategická data pro ašeho lokálního CA. d. Pomocí noého lokálního CA ydat sereroý nebo klientský certifikát, který budou aše aplikace použíat pro připojení SSL. Poznámka: Přestože tento scénář nepoužíá tento typ certifikátu, musíte jej ytořit, abyste mohli pomocí lokálního CA ydáat certifikát pro podepisoání objektů, který potřebujete. Pokud zrušíte úlohu, aniž byste ytořili tento certifikát, musíte samostatně ytořit áš certifikát pro podepisoání objektů a paměť certifikátů *OBJECTSIGNING, e které je certifikát pro podepisoání objektů uložen. e. Vybrat aplikace, které mohou použít sereroý nebo klientský certifikát pro připojení SSL. Poznámka: Pro účely tohoto scénáře nemusíte zolit žádnou aplikaci a klepnutím natlačítko Pokračoat zobrazíte další formulář. f. Pomocí noého lokálního CA ydat certifikát pro podepisoání objektů, který budou použíat aplikace k digitálnímu podepisoání objektů. Tato podúloha ytoří paměť certifikátů *OBJECTSIGNING. Tuto paměť certifikátů budete použíat při spráě certifikátů pro podepisoání objektů. g. Vybrat aplikace, které by měly důěřoat ašemu lokálnímu CA. Poznámka: Pro účely tohoto scénáře nemusíte zolit žádnou aplikaci a klepnutím natlačítko Pokračoat dokončíte úlohu. Teď, když jste ytořili lokálního ydaatele certifikátů (CA) a certifikát pro podepisoání objektů, musíte nadefinoat aplikaci pro podepisoání objektů, která bude uedený certifikát pro podepisoání objektů použíat. Krok 3: Vytořte aplikaci pro podepisoání objektů Když jste ytořili áš certifikát pro podepisoání objektů, musíte pomocí produktu DCM nadefinoat aplikaci pro podepisoání objektů, která uedený certifikát bude použíat k podepisoání objektů. Definice aplikace se nemusí odkazoat na skutečnou aplikaci. Definice aplikace, kterou ytoříte, by měla místo toho popisoat typ nebo skupinu objektů, které hodláte podepisoat. Definici potřebujete, abyste mohli přiřadit ID aplikace k certifikátu a tak aktioali proces podepisoání. Chcete-li pomocí produktu DCM ytořit aplikaci pro podepisoání objektů, postupujte takto: 1. V naigačním okně klepněte na Výběr paměti certifikátů a yberte *OBJECTSIGNING jako paměť certifikátů, kterou chcete oteřít. 2. Když se zobrazí stránka Paměť certifikátů a heslo, zadejte heslo, které jste pro danou paměť certifikátů uedli, když jste ji tořili, a klepněte na Pokračoat. 3. V naigačním okně yberte olbu Spráa aplikací. Zobrazí se seznam úloh. 4. Vyberte ze seznamu úloh olbu Přidat aplikaci. Zobrazí se formulář pro definici aplikace. 5. Vyplňte formulář a klepněte na Přidat. Nyní musíte přiřadit áš certifikát pro podepisoání objektů k aplikaci, kterou jste ytořili. Krok 4: Přiřaďte certifikát k definici aplikace pro podepisoání objektů Chcete-li přiřadit certifikát k aplikaci pro podepisoání objektů, proeďte následující kroky: 1. V naigačním okně DCM yberte Spráa certifikátů. Zobrazí se seznam úloh. Podepisoání objektů a oěření podpisu 9

16 2. Ze seznamu úloh yberte olbu Přiřadit certifikát. Zobrazí se seznam certifikátů aktuální paměti certifikátů. 3. Ze seznamu yberte příslušný certifikát a klepněte na Přiřadit k aplikacím. Zobrazí se seznam definic aplikací pro aktuální paměť certifikátů. 4. Vyberte ze seznamu jednu nebo íce aplikací a klepněte na Pokračoat. Zobrazí se stránka, která buď potrdí přiřazení certifikátu, nebo případě problémů informuje o chybách. Až dokončíte tuto úlohu, budete připraeni prostřednictím DCM podepisoat objekty typu program, které se budou použíat na firemním eřejném weboém sereru (iseries B). Krok 5: Podepište objekty typu program Chcete-li prostřednictím DCM podepisoat objekty typu program, které se budou použíat na firemním eřejném weboém sereru (iseries B), proeďte následující kroky: 1. V naigačním okně klepněte na Výběr paměti certifikátů a yberte *OBJECTSIGNING jako paměť certifikátů, kterou chcete oteřít. 2. Zadejte heslo pro paměť certifikátů *OBJECTSIGNING a klepněte na Pokračoat. 3. Když se obnoí naigační okno, yberte Spráa podepisoatelných objektů. Zobrazí se seznam úloh. 4. Vyberte ze seznamu úlohu Podepsat objekt a zobrazí se seznam definic aplikací, které můžete použít pro podepisoání objektů. 5. Vyberte aplikaci, kterou jste nadefinoali předešlém kroku a klepněte na Podepsat objekt. Zobrazí se formulář, který ám umožní zadat umístění objektů, které si přejete podepsat. 6. Do nabídnutého pole zadejte úplnou cestu a jméno souboru objektu nebo adresáře objektů, které chcete podepsat, a klepněte na Pokračoat. Nebo zadejte umístění adresáře, klepněte na Procházet. Zobrazí se obsah adresáře, abyste mohli ybrat objekty pro podepsání. Poznámka: Jméno objektu musíte začít úodním lomítkem, jinak by se mohla yskytnout chyba. Pro popis části adresáře, kterou chcete podepsat, můžete také použít určité zástupné znaky. Tyto zástupné znaky jsou hězdička (*), která zastupuje liboolný počet znaků a otazník (?), který zastupuje liboolný jednotliý znak. Pokud např. chcete podepsat šechny objekty určitém adresáři, můžete zadat /mydirectory/*; nebo když chcete podepsat šechny programy určité knihoně, můžete zadat /QSYS.LIB/QGPL.LIB/*.PGM. Tyto zástupné znaky můžete použíat pouze poslední části jména cesty; zadání např. /mydirectory*/filename by mělo za následek chyboou zpráu. Pokud chcete použít funkci Procházet, abyste iděli seznam obsahu knihony nebo adresáře, měli byste zadat zástupný znak jako součást jména cesty předtím, než klepnete na Procházet. 7. Vyberte olbu zpracoání, kterou chcete použít k podepsání ybraného objektu nebo objektů, a klepněte na Pokračoat. Poznámka: Pokud se rozhodnete čekat na ýsledky úlohy, zobrazí se soubor s ýsledky přímo e ašem prohlížeči. Výsledky pro aktuální úlohu jsou připojeny ke konci souboru s ýsledky. Soubor tudíž kromě ýsledků aktuální úlohy může obsahoat ýsledky z kterýchkoli předchozích úloh. Pomocí pole data souboru můžete určit, které řádky souboru se týkají aktuální úlohy. Pole data je e formátu RRRRMMDD. Prní pole souboru může být buď ID zpráy (pokud průběhu zpracoání objektu došlo k chybě), nebo pole data (udáá datum zpracoání úlohy). 8. Ueďte úplnou cestu a jméno souboru, do kterého se mají uložit ýsledky úlohy podepsání objektu, a klepněte na Pokračoat. Anebo zadejte umístění adresáře, klepněte na Procházet a zobrazí se ám obsah adresáře, abyste mohli ybrat soubor pro uložení ýsledků úlohy. Zobrazí se zpráa, která oznamuje, že úloha pro podepsání objektu byla spuštěna. Výsledky úlohy si můžete prohlédnout úloze QOBJSGNBAT protokolu úlohy. 10 iseries: Podepisoání objektů a oěření podpisu

17 Chcete-li zajistit, abyste y a další určení užiatelé mohli oěřoat podpisy, musíte yexportoat nezbytné certifikáty do souboru a přenést soubor certifikátů na serer iseries B. Musíte také dokončit šechny úlohy konfigurace oěřoání podpisů na sereru iseries B, než přenesete podepsané objekty typu program na serer iseries B. Konfigurace oěřoání podpisů musí být dokončena, abyste mohli úspěšně oěřoat podpisy během obnoy podepsaných objektů na sereru iseries B. Krok 6: Vyexportujte certifikáty, abyste poolili oěřoání podpisů na sereru iseries B Použití metody podepisoání objektů k zajištění integrity obsahu předpokládá, že y a další určení užiatelé máte prostředky k oěřoání praosti podpisu. K tomu, abyste oěřili podpisy objektů e stejném systému, který tyto objekty podepisuje (iseries A), musíte pomocí produktu DCM ytořit paměť certifikátů *SIGNATUREVERIFICATION. Tato paměť certifikátů musí obsahoat jak kopii certifikátu pro podepisoání objektu, tak i kopii certifikátu CA pro ydaatele certifikátu, který ydal certifikát pro podepisoání. Chcete-li umožnit i jiným, aby mohli oěřoat podpisy, musíte také jim poskytnout kopii certifikátu, který podepisuje objekty. Pokud použíáte lokálního ydaatele certifikátů (CA) k ydáání certifikátů, musíte těmto určeným užiatelům poskytnout také kopii certifikátu lokálního CA. Jestliže sipřejete pomocí produktu DCM oěřoat podpisy e stejném systému, který podepsal objekty (serer iseries A tomto scénáři), proeďte následující kroky: 1. V naigačním okně yberte olbu Vytoření noé paměti certifikátů a zolte *SIGNATUREVERIFICATION jako paměť certifikátů, která se má ytořit. 2. Klepnutím naano zkopírujete existující certifikáty pro podepisoání objektů do noé paměti certifikátů jako certifikáty pro oěřoání podpisů. 3. Ueďte heslo pro noou paměť certifikátů a klepněte na Pokračoat, abyste ytořili paměť certifikátů. Nyní můžete prostřednictím DCM oěřoat podpisy objektů e stejném systému, který použíáte pro podepisoání objektů. Pokud chcete pomocí produktu DCM yexportoat kopii certifikátu lokálního CA a kopii certifikátu pro podepisoání objektů jako certifikát pro oěřoání podpisů, abyste mohli oěřoat podpisy objektů na jiných systémech (iseries B), proeďte následující kroky: 1. V naigačním okně yberte olbu Spráa certifikátů a pak úlohu Export certifikátu. 2. Vyberte Vydaatel certifikátu (CA) a klepněte na Pokračoat. Zobrazí se seznam certifikátů CA, které můžete yexportoat. 3. Vyberte ze seznamu certifikát lokálního CA, kterého jste ytořili dříe, a klepněte na Export. 4. Zadejte Soubor jako aše místo určení exportu a klepněte na Pokračoat. 5. Zadejte úplnou cestu a jméno souboru exportoaného certifikátu lokálního CA a klepněte na Pokračoat, abyste yexportoali certifikát. 6. Klepnutím naok ukončíte stránku pro potrzení exportu. Nyní můžete yexportoat kopii certifikátu pro podepisoání objektů. 7. Znou yberte úlohu Export certifikátu. 8. Vyberte Podepisoání objektů a zobrazí se seznam certifikátů pro podepisoání objektů, které můžete yexportoat. 9. Vyberte ze seznamu odpoídající certifikát pro podepisoání objektů a klepněte na Export. 10. Zolte Soubor jako certifikát pro oěřoání podpisů jako místo určení a klepněte na Pokračoat. 11. Zadejte úplnou cestu a jméno souboru exportoaného certifikátu pro oěřoání podpisů a klepněte na Pokračoat, abyste yexportoali certifikát. Nyní můžete tyto soubory přenést na koncoý systém iseries, na kterém chcete oěřoat podpisy, jež jste ytořili pomocí certifikátu. Krok 7: Přeneste soubory certifikátů na firemní eřejný serer iseries B Podepisoání objektů a oěření podpisu 11

18 Soubory certifikátů, které jste ytořili na sereru iseries A, musíte přenést na serer iseries B ( tomto scénáři jde o firemní eřejný weboý serer), abyste je mohli nakonfiguroat pro oěřoání objektů, které jste podepsali. K přenesení souborů certifikátů můžete použít několik různých metod. K přenesení souborů můžete například použít FTP (File Transfer Protocol) nebo distribuci balíků programů Centrální spráě. Krok 8: Úlohy oěřoání podpisů: Vytořte paměť certifikátů *SIGNATUREVERIFICATION Jestliže chcete oěřoat podpisy objektů na sereru iseries B (firemní eřejný weboý serer), pak musí mít serer iseries B kopii odpoídajících certifikátů pro oěřoání podpisů paměti certifikátů *SIGNATUREVERIFICATION. Jelikož jste se rozhodli k podepisoání objektů použíat certifikát, ydaný lokálním ydaatelem certifikátů (CA - certificate authority), paměť certifikátů musí také obsahoat kopii certifikátu lokálního CA. Chcete-li ytořit paměť certifikátů *SIGNATUREVERIFICATION, postupujte následoně: 1. Spusťte produkt DCM. 2. V naigačním okně produktu DCM yberte olbu Vytoření noé paměti certifikátů a zolte *SIGNATUREVERIFICATION jako paměť certifikátů, která se má ytořit. Poznámka: Jestliže si nejste jisti, jak yplnit určitý formulář této řízené úloze, yberte tlačítko s otazníkem (?) horní části stránky, čímž se dostanete do online nápoědy. 3. Ueďte heslo pro noou paměť certifikátů a klepněte na Pokračoat, abyste ytořili paměť certifikátů. Nyní můžete naimportoat certifikáty do paměti certifikátů a použíat je k oěřoání podpisů objektů. Krok 9: Úlohy oěřoání podpisů: Naimportujte certifikáty Pokud chcete oěřoat podpis na objektu, paměť certifikátů *SIGNATUREVERIFICATION musí obsahoat kopii certifikátu pro oěřoání podpisů. Jestliže je certifikát pro podepisoání soukromým certifikátem, paměť certifikátů musí také obsahoat kopii certifikátu lokálního ydaatele certifikátů (CA), který ydal certifikát pro podepisoání. V tomto scénáři byly yexportoány oba certifikáty do souboru a tento soubor byl přenesen na každý koncoý systém iseries. Chcete-li naimportoat tyto certifikáty do paměti certifikátů *SIGNATUREVERIFICATION, postupujte následoně: 1. V naigačním okně produktu DCM klepněte na Výběr paměti certifikátů a jako paměť certifikátů, kterou chcete oteřít, zolte *SIGNATUREVERIFICATION. 2. Když se zobrazí stránka Paměť certifikátů a heslo, zadejte heslo, které jste pro danou paměť certifikátů uedli, když jste ji tořili, a klepněte na Pokračoat. 3. Když se naigační okno obnoí, yberte olbu Spráa certifikátů. Zobrazí se seznam úloh. 4. Ze seznamu úloh yberte úlohu Import certifikátu. 5. Jako typ certifikátu, který budete importoat, yberte Vydaatel certifikátu (CA) a klepněte na Pokračoat. Poznámka: Musíte nejpre naimportoat certifikát lokálního CA a tepre poté soukromý certifikát pro oěřoání podpisů, jinak import certifikátu pro oěřoání podpisů selže. 6. Ueďte úplnou cestu a jméno souboru souboru s certifikátem CA a klepněte na Pokračoat. Zobrazí se zpráa, která buď potrdí úspěšnost importu certifikátu, nebo poskytne informace o chybách případě, že import selhal. 7. Znou yberte úlohu Import certifikátu. 8. Jako typ certifikátu, který se má naimportoat, yberte olbu Oěřoání podpisů a klepněte na Pokračoat. 12 iseries: Podepisoání objektů a oěření podpisu

19 9. Ueďte úplnou cestu a jméno souboru souboru s certifikátem pro oěřoání podpisů a klepněte na Pokračoat. Zobrazí se zpráa, která buď potrdí úspěšnost importu certifikátu nebo poskytne informace o chybách případě, že import selhal. Nyní můžete pomocí produktu DCM oěřoat na sereru iseries B podpisy na objektech, které jste ytořili s odpoídajícím certifikátem pro podepisoání objektů na sereru iseries A. Krok 10: Úlohy oěřoání podpisů: Oěřte podpisy na objektech typu program Chcete-li pomocí produktu DCM oěřoat podpisy na přenesených objektech typu program, postupujte takto: 1. V naigačním okně yberte olbu Výběr paměti certifikátů a yberte *SIGNATUREVERIFICATION jako paměť certifikátů, kterou chcete oteřít. 2. Zadejte heslo pro paměť certifikátů *SIGNATUREVERIFICATION a klepněte na Pokračoat. 3. Když se obnoí naigační okno, yberte olbu Spráa podepisoatelných objektů. Zobrazí se seznam úloh. 4. Ze seznamu úloh yberte úlohu Oěření podpisu objektu, abyste specifikoali umístění objektů, u kterých chcete oěřit podpis. 5. Do nabídnutého pole zadejte úplnou cestu a jméno souboru objektu nebo adresáře objektů, u kterých chcete oěřit podpisy, a klepněte na Pokračoat. Nebo zadejte umístění adresáře, klepněte na Procházet. Zobrazí se obsah adresáře, abyste mohli ybrat objekty pro oěření podpisu. Poznámka: Pro popis části adresáře, kterou chcete oěřit, můžete také použít určité zástupné znaky. Tyto zástupné znaky jsou hězdička (*), která zastupuje liboolný počet znaků a otazník (?), který zastupuje liboolný jednotliý znak. Pokud např. chcete podepsat šechny objekty určitém adresáři, můžete zadat /mydirectory/*; nebo když chcete podepsat šechny programy určité knihoně, můžete zadat /QSYS.LIB/QGPL.LIB/*.PGM. Tyto zástupné znaky můžete použíat pouze poslední části jména cesty; zadání např. /mydirectory*/filename by mělo za následek chyboou zpráu. Pokud chcete použít funkci Procházet, abyste iděli seznam obsahu knihony nebo adresáře, měli byste zadat zástupný znak jako součást jména cesty předtím, než klepnete na Procházet. 6. Vyberte olby zpracoání, které chcete použít k oěřoání podpisu na zoleném objektu nebo objektech, a klepněte na Pokračoat. Poznámka: Pokud yberete olbu čekat na ýsledky úlohy, zobrazí se soubor s ýsledky přímo e ašem prohlížeči. Výsledky pro aktuální úlohu jsou připojeny ke konci souboru s ýsledky. Soubor tudíž kromě ýsledků aktuální úlohy může obsahoat ýsledky z kterýchkoli předchozích úloh. Pomocí pole data souboru můžete určit, které řádky souboru se týkají aktuální úlohy. Pole data je e formátu RRRRMMDD. Prní pole souboru může být buď ID zpráy (pokud průběhu zpracoání objektu došlo k chybě), nebo pole data (udáá datum zpracoání úlohy). 7. Ueďte úplnou cestu a jméno souboru, který se má použít pro uložení ýsledků úlohy oěření podpisu, a klepněte na Pokračoat. Anebo zadejte umístění adresáře, klepněte na Procházet a zobrazí se ám obsah adresáře, abyste mohli ybrat soubor pro uložení ýsledků úlohy. Zobrazí se zpráa, která oznamuje, že úloha pro oěření podpisů objektů byla spuštěna. Výsledky úlohy si můžete prohlédnout úloze QOBJSGNBAT, protokolu úlohy. Scénář: Použití rozhraní API k podepisoání objektů a oěřoání podpisů Situace Podepisoání objektů a oěření podpisu 13

20 Vaše společnost (MyCo, Inc.) je iseries obchodní partner, který yíjí aplikace pro zákazníky. Vy, jako ýojoý praconík softwaru společnosti, jste odpoědný za balení těchto aplikací pro distribuci k zákazníkům. V současné době použíáte určité programy, které proádějí balení těchto aplikací. Zákazníci si mohou objednat kompaktní disk (CD-ROM) nebo si mohou aplikaci stáhnout z aší weboé stránky. Snažíte se, abyste ěděl o šech aktuálních noinkách oboru, hlaně o noinkách zabezpečení ochrany dat. Proto íte, že zákazníci mají opráněné obay o zdroj a obsah programů, které získáají nebo stahují z weboé stránky. Stalo se, že si zákazníci mysleli, že získáají nebo stahují produkt z důěryhodného zdroje, ale zjistilo se, že nešlo o skutečný zdroj produktu. Někdy toto nedorozumění edlo k tomu, že zákazníci si nainstaloali jiný produkt, než který očekáali. Někdy se zjistilo, že nainstaloaný produkt je séolný program nebo že nainstaloaný produkt byl změněn a poškodil systém zákazníka. Ačkoli se tyto typy problémů u zákazníků se systémy iseries běžně neyskytují, chcete přesědčit zákazníky, že aplikace, které od ás získají, jsou skutečně z aší společnosti. Chcete také nabídnout zákazníkům možnost kontroly integrity těchto aplikací, aby si mohli sami zjistit, zda obdržené aplikace byly změněny, dříe, než je nainstalují. Na základě ašeho zkoumání jste se rozhodli, že budete k dosažení ašich cílů oblasti zabezpečení ochrany dat použíat schopnosti podepisoání objektů systému OS/400. Digitální podpisy na ašich aplikacích doolí ašim zákazníkům oěřit, že aše společnost je legitimním zdrojem aplikací, které obdrželi nebo stáhli. Jelikož současné době balíte aplikace pomocí programu, rozhodli jste se, že použijete rozhraní API, abyste do ašeho aktuálního procesu balení snadno přidali podepisoání objektů. Dále jste se rozhodli použíat pro podepisoání objektů eřejný certifikát, takže celý proces oěřoání podpisů bude pro aše zákazníky během instalace ašeho produktu transparentní. Součástí balíku aplikací je i kopie digitálního certifikátu, který jste použili k podepsání objektů. Když zákazník obdrží balík aplikací, může pomocí eřejného klíče certifikátu oěřit podpis na aplikaci. Zákazník takto může identifikoat a oěřit zdroj aplikace, a zároeň si oěří, že obsah objektů aplikace nebyl od okamžiku podpisu změněn. Tento příklad slouží jako užitečný úod do procesu nastaení programoého podepisoání objektů pro aplikace, které yíjíte a balíte pro jiné užiatele. Výhody scénáře Tento scénář má následující ýhody: Použití rozhraní API k balení a podepisoání objektů pomocí programu snižuje dobu, kterou musíte stráit nad implementací takoého zabezpečení ochrany dat. Použití rozhraní API k podepisoání objektů během jejich balení snižuje počet nezbytných kroků, které musíte proést při podepisoání objektů, protože proces podepisoání objektů je součástí procesu balení. Podepisoání objektů ám poskytuje prostředky ke snadnější kontrole, zda objekty byly změněny po jejich podpisu. Tak můžete snížit ýskyt a řešení některých problémů, které by se objeily budoucnosti při pátrání po problémech aplikacích u zákazníků. Použíání certifikátu od známého eřejného ydaatele certifikátů (CA) při podepisoání objektů ám dooluje použíat rozhraní Add Verifier API jako součást programu ýstupního bodu e ašem programu instalace produktu. Použíání uedeného rozhraní API ám umožňuje automaticky přidat eřejný certifikát, který jste použili k podepsání aplikace, do systému ašeho zákazníka. Tak zajistíte, aby oěřoání podpisu bylo pro ašeho zákazníka transparentní. Cíle 14 iseries: Podepisoání objektů a oěření podpisu

21 V tomto scénáři si společnost MyCo, Inc. přeje pomocí programu podepisoat aplikace, které balí a distribuuje sým zákazníkům. Jako ýojoý praconík ýroby aplikací e společnosti MyCo, Inc., současné době balíte aplikace aší společnosti pomocí programu, aby je bylo možné distribuoat zákazníkům. Proto chcete použíat iseries API k podepisoání ašich aplikací a přimět systémy iseries u zákazníka, aby oěřoaly podpis během instalace produktu. Cíle tohoto scénáře jsou následující: Výojoý praconík ýroby aplikací musí být schopen podepisoat objekty pomocí rozhraní Sign Object API, které bude součástí stáajícího procesu balení aplikací pomocí programů. Aplikace společnosti musí být podepsány s eřejným certifikátem, aby bylo zajištěno, že proces oěřoání podpisů bude pro zákazníky během procesu instalace aplikačního produktu transparentní. Společnost musí být schopna použíat rozhraní iseries API takoým způsobem, aby pomocí programu přidala požadoaný certifikát pro oěřoání podpisů do paměti certifikátů *SIGNATUREVERIFICATION na sereru iseries zákazníka. Společnost musí být schopna ytořit uedenou paměť certifikátů na sereru iseries zákazníka pomocí programu během procesu instalace produktu, pokud tato dosud neexistuje. Zákazníci musí být schopni po instalaci produktu snadno oěřit digitální podpisy na aplikacích společnosti. Zákazníci musí být schopni oěřit podpis, takže budou moci zjistit zdroj a praost podepsaných aplikací a současně určit, zda aplikacích byly proedeny změny po jejich podepsání. Podrobnosti Podepisoání objektů a oěření podpisu 15

22 Následující obrázek znázorňuje proces podepisoání objektů a oěření podpisu, který bude implementoán tomto scénáři: Obrázek zobrazuje následující body, které se ztahují k tomuto scénáři: Centrální systém (serer iseries A) Serer iseries A má nainstaloán a spuštěn operační systém OS/400 erze 5, ydání 2 (V5R2). Serer iseries A má nainstaloán a spuštěn program pro balení produktu, určený pro ýojáře aplikací. Serer iseries A má nainstaloánu komponentu Cryptographic Access Proider 128-bit for iseries (5722 AC3). Serer iseries A má nainstaloány a nakonfiguroány produkty Digital Certificate Manager (OS/400, olba 34) a IBM HTTP Serer (5722 DG1). Serer iseries A je primárním systémem pro podepisoání objektů pro aplikační produkty společnosti. Podepisoání produktoých objektů, určených k distribuci zákazníkům, je proáděno na sereru A pomocí těchto úloh: 1. Rozhraní API se použije k podepisoání aplikačních produktů společnosti. 16 iseries: Podepisoání objektů a oěření podpisu

23 2. Produkt DCM se použije k yexportoání certifikátu pro oěřoání podpisu do souboru, takže zákazníci mohou oěřoat podepsané objekty. 3. Napíše se program, který přidá certifikát pro oěření podpisu do podepsaného aplikačního produktu. 4. Napíše sepředinstalační program ýstupního bodu produktu, který bude použíat rozhraní Add Verifier API. Toto rozhraní API umožní, aby proces instalace produktu pomocí programu přidal certifikát pro oěřoání podpisů do paměti certifikátů *SIGNATUREVERIFICATION na zákazníkoě sereru iseries (iseries B a C). Serery iseries B a C zákazníka Serer iseries B má nainstaloán a spuštěn operační systém OS/400 erze 5, ydání 2 (V5R2). Serer iseries C má nainstaloán a spuštěn operační systém OS/400 erze 5, ydání 2 (V5R2). Serery iseries B a C mají nainstaloány a nakonfiguroány produkty Digital Certificate Manager (olba 34) a IBM HTTP Serer (5722 DG1). Serery iseries B a C zakoupily a stáhly aplikaci z weboé stránky společnosti yíjející aplikaci (která lastní serer iseries A). Serery iseries B a C obdržely kopii certifikátu pro oěřoání podpisu společnosti MyCo během procesu instalace aplikace společnosti MyCo, který ytořil paměť certifikátů *SIGNATUREVERIFICATION na každém z těchto sererů iseries zákazníka. Nezbytné podmínky a předpoklady Nezbytné podmínky a předpoklady pro realizaci uedeného scénáře jsou tyto: 1. Všechny serery iseries splňují požadaky pro nainstaloání a použití produktu DCM (Digital Certificate Manager). Poznámka: Splnění nezbytných podmínek pro instalaci a použití produktu DCM je olitelným požadakem pro zákazníky (serery iseries B a C tomto scénáři). Přestože rozhraní Add Verifier API ytoří paměť certifikátů *SIGNATUREVERIFICATION během procesu instalace produktu (pokud je to potřeba), ytoří tuto paměť certifikátů s předoleným heslem. Zákazníci musí použít produkt DCM ke změně předoleného hesla, aby ochránili tuto paměť certifikátů před neopráněnými přístupy. 2. Na žádném ze sererů iseries dosud nikdo nekonfiguroal a nepoužíal produkt DCM. 3. Všechny serery iseries mají nainstaloánu nejnoější úroeň licencoaného programu Cryptographic Access Proider 128-bit (5722-AC3). 4. Systémoá hodnota QVFYOBJRST (Verify object signatures during restore) na šech sererech iseries e scénáři jepředoleně nastaena na hodnotu 3 a toto nastaení nebude změněno. Předolené nastaení zajišťuje, aby serer mohl oěřoat podpisy objektů, zatímco y obnoujete podepsané objekty. 5. Systémoý administrátor sereru iseries A musí mít zláštní opránění *ALLOBJ, aby mohl podepisoat objekty, nebo jeho užiatelský profil musí mít opránění k aplikaci pro podepisoání objektů. 6. Systémoý administrátor nebo jiný užiatel (četně programu), který ytáří paměť certifikátů DCM, musí mít zláštní opránění *SECADM a *ALLOBJ. 7. Systémoí administrátoři anebo jiní užiatelé dalších sererů iseries musí mít zláštní opránění *AUDIT, aby byli schopni oěřoat podpisy objektů. Kroky scénáře Musíte dokončit každou z níže uedených úloh na sereru iseries A, abyste byli schopni podepisoat objekty způsobem, který je popsán escénáři: 1. Dokončete šechny kroky týkající se nezbytných předpokladů, ztahující se k instalaci a konfiguraci potřebných produktů iseries. Podepisoání objektů a oěření podpisu 17