Zabezpečení SSL (Secure Sockets Layer)

Transkript

1 System i Zabezpečení SSL (Secure Sockets Layer) erze 6 ydání 1

2

3 System i Zabezpečení SSL (Secure Sockets Layer) erze 6 ydání 1

4 Poznámka Před použitím těchto informací a odpoídajícího produktu si přečtěte informace části Upozornění, na stránce 21. Toto ydání se ztahuje k erzi 6, ydání 1, modifikaci 0 operačního systému i5/os (5761 SS1) a šem následujícím ydáním a modifikacím, dokud nebude noých ydáních uedeno jinak. Tato erze nefunguje na šech modelech počítačů RISC (reduced instruction set computer) ani na modelech CISC. Copyright International Business Machines Corporation 2002, Všechna práa yhrazena.

5 Obsah SSL (Secure Sockets Layer) Co je noého e erzi V6R Soubor PDF k tématu SSL Scénáře: SSL Scénář: Zabezpečení spojení klienta se sererem Centrální spráy pomocí SSL Podrobnosti konfigurace: Zabezpečení spojení klienta se systémem Centrální spráy pomocí SSL....4 Krok 1: Deaktiace SSL pro klienta System i Naigator Krok 2: Nastaení úroně autentizace pro serer Centrální spráy Krok 3: Restart systému Centrální spráy centrálním systému Krok 4: Aktiace SSL pro klienta System i Naigator Volitelný krok: Deaktiace SSL pro klienta System i Naigator Scénář: Zabezpečení šech spojení se sererem Centrální spráy pomocí SSL Podrobnosti konfigurace: Zabezpečení šech spojení se systémem Centrální spráy pomocí SSL....9 Krok 1: Konfigurace centrálního systému pro autentizaci sereru Krok 2: Konfigurace koncoých systémů pro autentizaci sereru Krok 3: Restart systému Centrální spráy centrálním systému Krok 4: Restart systému Centrální spráy e šech koncoých systémech Krok 5: Aktiace SSL pro klienta System i Naigator Krok 6: Konfigurace centrálního systému pro autentizaci klienta Krok 7: Konfigurace koncoých systémů pro autentizaci klienta Krok 8: Kopíroání oěřoacího seznamu do koncoých systémů Krok 9: Restart systému Centrální spráy centrálním systému Krok 10: Restart systému Centrální spráy e šech koncoých systémech Koncepce SSL Jak SSL pracuje Podporoané protokoly SSL a TLS System SSL Vlastnosti System SSL Autentizace sereru Autentizace klienta Nezbytné předpoklady pro SSL Zabezpečení aplikací pomocí SSL Odstraňoání problémů se SSL Souisející informace k tématu SSL Dodatek. Upozornění Ochranné známky Ustanoení a podmínky Copyright IBM Corp. 2002, 2008 iii

6 i System i: Zabezpečení SSL (Secure Sockets Layer)

7 SSL (Secure Sockets Layer) Toto téma popisuje, jak na sereru použíat SSL (Secure Sockets Layer). iseries SSL (Secure Sockets Layer) je současné době odětoým standardem podporujícím aplikace pro zabezpečení komunikačních relací nechráněné síti, jako je například Internet. Co je noého e erzi V6R1 Zde můžete zjistit, co je kolekci témat SSL (Secure Sockets Layer) noého nebo co se změnilo. Noé informace: System SSL System SSL je sada generických služeb poskytoaných licenčním interním kódem systému i5/os za účelem ochrany komunikací TCP/IP pomocí protokolu SSL/TLS. Produkt SSL je těsně spjatý s operačním systémem a kódem soketů a poskytuje dodatečný ýkon a zabezpečení. Byla přidána tato témata popisující System SSL: System SSL na stránce 15 Vlastnosti System SSL na stránce 15 Noé hodnoty pro System SSL Byly přidány tyto systémoé hodnoty: Systémoá hodnota SSL: QSSLPCL. Systémoá hodnota SSL: QSSLCSLCTL. Systémoá hodnota SSL: QSSLCSL. Jak poznáte, co je noého nebo co se změnilo Místa, kde byly proedeny technické změny, jsou označena následujícím způsobem: Ikona označuje, kde noé nebo změněné informace začínají. Ikona označuje, kde noé nebo změněné informace končí. V souborech PDF můžete na leém okraji idět reizní značky () označující noé nebo změněné informace. Chcete-li najít další informace o tom, co je tomto ydání noého nebo co se změnilo, přejděte na téma Sdělení pro užiatele. Soubor PDF k tématu SSL Tyto informace lze zobrazit a tisknout e formátu PDF. Chcete-li si zobrazit nebo ytisknout PDF erzi tohoto dokumentu, yberte odkaz SSL (Secure Sockets Layer). Ukládání souborů e formátu PDF Chcete-li soubory e formátu PDF uložit na praconí stanici za účelem prohlížení nebo tisku: 1. Klepněte praým tlačítkem myši na odkaz PDF e ašem prohlížeči. 2. Klepněte na olbu pro lokální uložení PDF. Copyright IBM Corp. 2002,

8 3. Vyhledejte adresář, do něhož chcete soubor PDF uložit. 4. Klepněte na Sae (Uložit). Stažení produktu Adobe Reader K prohlížení nebo tisku souborů e formátu PDF potřebujete mít systému instaloán produkt Adobe Reader. Jeho kopii si můžete stáhnout z weboých stránek Adobe ( Scénáře: SSL Tyto scénáře byly narženy za účelem co nejětšího yužití ýhod aktiace SSL na platformě systému System i. Tyto scénáře obsahují příklady, které ilustrují možnosti použití SSL systémech i5/os. Po jejich prostudoání lépe porozumíte tomu, jak SSL systému funguje. Souisející informace Scénář: Zabezpečení Telnet pomocí SSL Scénář: Ochrana soukromých klíčů pomocí šifroacího hardwaru Scénář: Zabezpečení spojení klienta se sererem Centrální spráy pomocí SSL Tento scénář popisuje, jak pomocí SSL zabezpečit spojení mezi zdáleným klientem a modelem System i použíajícím Centrální spráu, která je součástí produktu System i Naigator, a funguje jako centrální systém. Situace: Firma proozuje lokální síť (LAN), která zahrnuje několik sererů i5/os. Robert, systémoý administrátor této firmy, určil jeden z těchto systémů i5/os jako centrální systém sítě LAN (dále označoaný jako Systém A). Robert yužíá serer Centrální spráy Systému A ke spráě šech ostatních koncoých bodů síti LAN. Robert usiluje o připojení k sereru Centrální spráy Systému A pomocí připojení k síti, která je umístěna mimo síť LAN jeho firmy. Robert při práci mnoho cestuje, a když je mimo pracoiště, potřebuje zabezpečené spojení se sererem Centrální spráy. V době, kdy není na pracoišti firmy, potřebuje zabezpečené spojení mezi sým počítačem (PC) a sererem Centrální spráy. Robert se rozhodne aktioat SSL na sém počítači a na sereru Centrální spráy Systému A. Takto aktioané SSL zajišťuje, aby se Robert mohl na cestách připojoat k sereru Centrální spráy zabezpečeným spojením. Cíle: Robert chce zabezpečit spojení mezi sým počítačem a sererem Centrální spráy. Nepožaduje další zabezpečení spojení mezi sererem Centrální spráy Systému A a koncoými systémy, které jsou síti LAN. Ostatní zaměstnanci při práci na pracoišti firmy také nepotřebují další zabezpečení sých spojení se sererem Centrální spráy. Robert chce nakonfiguroat sůj počítač a serer Centrální spráy Systému A tak, aby jeho připojení použíalo autentizaci sereru. Spojení ostatních počítačů a systémů i5/os síti LAN se sererem Centrální spráy nebudou zabezpečení pomocí SSL použíat. Podrobnosti: Použíané typy autentizace na základě aktiace nebo zablokoání SSL na klientském počítači jsou uedeny této tabulce: 2 System i: Zabezpečení SSL (Secure Sockets Layer)

9 Tabulka 1. Prky požadoané pro spojení mezi klientem a sererem Centrální spráy zabezpečené pomocí SSL Sta SSL na Robertoě počítači Zadaná úroeň autentizace pro serer Centrální spráy Systému A SSL ypnutý Liboolná Ne Spojení SSL aktiní? SSL zapnutý Liboolná Ano (autentizace sereru) Autentizace sereru znamená, že Robertů počítač autentizuje certifikát sereru Centrální spráy. Robertů počítač funguje při připojoání k sereru Centrální spráy jako klient SSL. Serer Centrální spráy funguje jako serer SSL a musí prokázat sou totožnost tím, že poskytne certifikát ydaný ydaatelem certifikátů (CA), který je pro Robertů PC důěryhodný. Nezbytné podmínky a předpoklady K zabezpečení spojení mezi sým počítačem a sererem Centrální spráy Systému A musí Robert proést tyto úkoly administrace a konfigurace: 1. Systém A musí splňoat nezbytné předpoklady pro SSL. 2. V systému A je proozoán systém i5/os erze V5R3 nebo noější. 3. Na PC klientu je proozoán System i Naigator for System i Access for Windows erze V5R3 nebo yšší erze. 4. Získání ydaatele certifikátu (CA) pro modely systémů i5/os. 5. Vytoření certifikátu pro Systém A podepsaného ydaatelem certifikátu (CA). 6. Odeslání ydaatele certifikátu (CA) a certifikátu do Systému A a jeho import do databáze klíčů. 7. Přiřazení certifikátů pomocí identifikace Centrální spráy a identifikace systému pro šechny systémy i5/os. K systémům i5/os patří šechny tyto serery: centrální serer TCP, databázoý serer, serer datoých front, souboroý serer, serer síťoého tisku, serer zdálených příkazů a přihlašoací serer. a. V Systému A spustíte program IBM DCM (Digital Certificate Manager). Tímto způsobem Robert nyní může získat nebo ytořit certifikáty, popř. jinak nastait nebo změnit sůj systém certifikátů. b. Klepněte na olbu Vybrat paměť certifikátů. c. Vyberte *SYSTEM a klepněte na Pokračoat. d. Zadejte Heslo paměti certifikátů pro *SYSTEM a klepněte na Pokračoat. Jakmile se znou načte nabídka, rozbalte olbu Spraoat aplikace. e. Klepněte na olbu Aktualizace přiřazení certifikátu. f. Vyberte Serer a klepněte na Pokračoat. g. Vyberte Serer Centrální spráy a klepněte na Aktualizace přiřazení certifikátu. Tím přiřadíte certifikát k požadoanému sereru Centrální spráy. h. Klepněte na olbu Přiřazení noého certifikátu. Produkt DCM se znou zaede na stranu Aktualizace přiřazení certifikátu se zpráou o potrzení. i. Klepněte na Proedeno. j. Přiřaďte tento certifikát šem sererům s přístupem klientů. 8. Stáhněte si ydaatele certifikátů (CA) do klientského počítače. Aby mohl Robert aktioat SSL na sereru Centrální spráy, musí systému nejpre nainstaloat programy nezbytné pro použití SSL a nastait digitální certifikáty. Jakmile splní šechny nezbytné předpoklady, může pomocí následujících postupů aktioat SSL na sereru Centrální spráy. Postup při konfiguraci Při zabezpečoání spojení klientského počítače se sererem Centrální spráy systému A pomocí SSL bude Robert postupoat takto: 1. Krok 1: Deaktiace SSL pro klienta System i Naigator na stránce 4 SSL (Secure Sockets Layer) 3

10 2. Krok 2: Nastaení úroně autentizace pro serer Centrální spráy 3. Krok 3: Restart systému Centrální spráy centrálním systému na stránce 5 4. Krok 4: Aktiace SSL pro klienta System i Naigator na stránce 5 5. Volitelný krok: Deaktiace SSL pro klienta System i Naigator na stránce 5 Souisející pojmy Nezbytné předpoklady pro SSL na stránce 18 Toto téma popisuje nezbytné předpoklady pro nastaení System SSL na platformě systému System i a uádí několik užitečných rad. Souisející informace Konfigurace DCM Spuštění DCM (Digital Certificate Manager) Podrobnosti konfigurace: Zabezpečení spojení klienta se systémem Centrální spráy pomocí SSL Toto téma uádí postup při konfiguraci zabezpečení spojení klienta se sererem Centrální spráy pomocí SSL. Následující informace ycházejí z předpokladu, že jste si přečetli téma Scénář: Zabezpečení spojení klienta se sererem Centrální spráy pomocí SSL. V tomto scénáři je jako centrální systém lokální síti (LAN) firmy určen model System i. Robert použíá serer Centrální spráy centrálním systému (který se zde nazýá Systém A) ke spráě koncoých bodů e firemní síti. V následujících informacích je ysětleno, jak proést jednotlié kroky potřebné k zabezpečení připojení externího klienta k sereru Centrální spráy. Společně s Robertem proádějte jednotlié kroky konfigurace pro tento scénář. Souisející pojmy Nezbytné předpoklady pro SSL na stránce 18 Toto téma popisuje nezbytné předpoklady pro nastaení System SSL na platformě systému System i a uádí několik užitečných rad. Scénář: Zabezpečení šech spojení se sererem Centrální spráy pomocí SSL na stránce 5 Tento scénář popisuje, jak pomocí SSL zabezpečit šechna spojení s modelem systému System i použíajícím Centrální spráu, která je součástí produktusystem i Naigator, a funguje jako centrální systém. Souisející informace Protní nastaení certifikátů Krok 1: Deaktiace SSL pro klienta System i Naigator: Tento krok je nezbytný případě, že máte již na klientoi produktu System i Naigator nastaen protokol SSL. 1. V prostředí produktu System i Naigator rozbalte Připojení. 2. Klepněte praým tlačítkem myši na Systém A a yberte Vlastnosti. 3. Klepněte na kartu Secure Sockets a zrušte ýběr olby Použít pro připojení SSL (Secure Sockets Layer). 4. Ukončete produkt System i Naigator a opět jej spusťte. V sekci Centrální spráa prostředí produktu System i Naigator, zmizí zobrazený zámek, což indikuje nezabezpečené připojení. Robert tak pozná, že mezi jeho klientem a centrálním systémem jeho firmy nadále neexistuje spojení zabezpečené pomocí SSL. Krok 2: Nastaení úroně autentizace pro serer Centrální spráy: 1. V prostředí produktu System i Naigator klepněte praým tlačítkem myši na olbu Centrální spráa a yberte Vlastnosti. 2. Klepněte na kartu Zabezpečení a yberte Použít SSL (Secure Sockets Layer). 3. Pro úroeň autentizace yberte olbu Liboolná (je k dispozici produktu System i Access for Windows). 4. Klepněte na OK a nastate tuto hodnotu centrálním systému. 4 System i: Zabezpečení SSL (Secure Sockets Layer)

11 Krok 3: Restart systému Centrální spráy centrálním systému: 1. V prostředí produktu System i Naigator rozbalte Připojení. 2. V systému A rozbalte Síť-->Serery a yberte TCP/IP. 3. Klepněte praým tlačítkem myši na olbu Centrální spráa a yberte Zastait. Okno centrálního systému se zaře a zobrazí se zpráa, že nejste připojeni k sereru. 4. Když se serer Centrální spráy zastaí, klepněte myší na Spustit a serer opět spusťte. Krok 4: Aktiace SSL pro klienta System i Naigator: 1. V prostředí produktu System i Naigator rozbalte Připojení. 2. Klepněte praým tlačítkem myši na Systém A a yberte Vlastnosti. 3. Klepněte na kartu Secure Sockets a yberte olbu Použít pro připojení SSL (Secure Sockets Layer). 4. Ukončete produkt System i Naigator a opět jej spusťte. V prostředí produktu System i Naigator se u sereru Centrální spráy objeí zámek, což indikuje připojení zabezpečené pomocí SSL. Robert tak pozná, že úspěšně aktioal spojení mezi sým klientem a centrálním systémem firmy. Poznámka: Tento postup slouží k zabezpečení spojení pouze jednoho počítače se systémem Centrální spráy. Ostatní spojení klientů se sererem Centrální spráy a připojení z koncoých bodů k sereru Centrální spráy nebudou zabezpečení pomocí SSL použíat. Chcete-li zabezpečit další klienty, zajistěte, aby u nich byly splněny nezbytné předpoklady, a opakujte Krok 4: Aktiace SSL pro klienta System i Naigator. Při zabezpečoání dalších spojení se sererem Centrální spráy použijte informace uedené tématu Scénář: Zabezpečení šech spojení se sererem Centrální spráy pomocí SSL. Volitelný krok: Deaktiace SSL pro klienta System i Naigator: Bude-li Robert chtít pracoat na pracoišti firmy a nebude potřeboat připojení SSL, které oliňuje ýkon jeho počítače, může zabezpečení SSL snadno deaktioat tímto postupem: 1. V prostředí produktu System i Naigator rozbalte Připojení. 2. Klepněte praým tlačítkem myši na Systém A a yberte Vlastnosti. 3. Klepněte na kartu Secure Sockets a zrušte ýběr olby Použít pro připojení SSL (Secure Sockets Layer). 4. Ukončete produkt System i Naigator a opět jej spusťte. Scénář: Zabezpečení šech spojení se sererem Centrální spráy pomocí SSL Tento scénář popisuje, jak pomocí SSL zabezpečit šechna spojení s modelem systému System i použíajícím Centrální spráu, která je součástí produktusystem i Naigator, a funguje jako centrální systém. Situace: Firma práě nainstaloala síť WAN (wide area network), která zahrnuje několik modelů systému System i e zdálených systémech (koncoých bodech). Koncoé systémy jsou centrálně řízeny jedním systémem (centrálním systémem), který je umístěn hlaním sídle firmy. Tomáš pracuje e firmě jako odborník na zabezpečení. Tomáš chce pomocí SSL (Secure Sockets Layer) zabezpečit šechna spojení mezi sererem Centrální spráy centrálním systému firmy a šemi systémy a klienty i5/os. Podrobnosti: Tomáš může řídit šechna připojení k sereru Centrální spráy zabezpečeným způsobem - pomocí SSL. K tomu, aby mohl na sereru Centrální spráy použíat SSL, musí Tomáš zabezpečit produkt System i Naigator počítači, který se bude použíat při přístupu k centrálnímu systému. Tomáš si může pro serer Centrální spráy ybrat jednu ze dou úroní autentizace: SSL (Secure Sockets Layer) 5

12 Autentizace sereru Zajišťuje autentizaci certifikátu sereru. Klient musí oěřit serer, ať už je tímto klientem produkt System i Naigator na PC, nebo serer Centrální spráy centrálním systému. Když se připojuje produkt System i Naigator z PC k centrálnímu systému, je tento PC klientem SSL a serer Centrální spráy centrálním systému je sererem SSL. Centrální systém funguje jako klient SSL, když se připojuje ke koncoému systému. Koncoý systém pak funguje jako serer SSL. Tento serer musí klientoi prokázat sou identitu pomocí certifikátu, který byl ydán ydaatelem certifikátu (CA), který je pro centrální systém důěryhodný. Každý serer SSL musí mít platný certifikát od důěryhodného ydaatele certifikátů (CA). Autentizace klienta a sereru Umožňuje autentizaci jak certifikátu centrálního systému, tak certifikátu koncoého systému. Toto je yšší úroeň zabezpečení než úroeň autentizace sereru. V jiných aplikacích je tato autentizace známá jako autentizace klienta, kde klient musí poskytnout platný a důěryhodný certifikát. Když se centrální systém (klient SSL) pokouší ytořit spojení s koncoým systémem (serer SSL), centrální systém a koncoý systém si nazájem autentizují certifikáty kůli praosti ydaatele certifikátu (CA). Poznámka: Autentizace klienta a sereru se proádí pouze mezi děma modely systémů System i. Autentizaci klienta serer neproádí, je-li tímto klientem některý PC. Na rozdíl od jiných aplikací poskytuje produkt Centrální spráa autentizaci také prostřednictím oěřoacího seznamu, který se nazýá důěryhodná skupina. Obecně se dá říci, že oěřoací seznam obsahuje informace identifikující užiatele, jako je identifikace užiatele, a informace o autentizaci, jako je heslo, osobní identifikační číslo nebo digitální certifikát. Tyto informace o autentizaci jsou zakódoány. Ve ětšině aplikací obykle není uedeno, že aktiujete autentizaci sereru i klienta, protože k autentizaci sereru dochází téměř ždy při aktiaci relace SSL. Mnoho aplikací má olby pro konfiguraci autentizace klienta. Produkt Centrální spráa použíá namísto termínu autentizace klienta termín autentizace sereru a klienta kůli dojí úloze, kterou má centrální systém síti. Když se užiatelé PC připojují k centrálnímu systému, funguje centrální systém jako serer. Když se šak centrální systém připojuje ke koncoému systému, funguje jako klient. Níže uedený obrázek ukazuje, jak centrální systém funguje síti jako serer i jako klient. Poznámka: V případě zobrazeném na tomto obrázku musí být certifikát asocioaný s ydaatelem certifikátu (CA) uložen databázi klíčů centrálním systému a e šech koncoých systémech. Vydaatel certifikátů (CA) musí být jak centrálním systému, tak na šech koncoých bodech i na PC. 6 System i: Zabezpečení SSL (Secure Sockets Layer)

13 Nezbytné podmínky a předpoklady: K zabezpečení šech připojení k sereru Centrální spráy musí Tomáš proést tyto úlohy administrace a konfigurace: 1. Systém A musí splňoat nezbytné předpoklady pro SSL. SSL (Secure Sockets Layer) 7

14 2. Centrální systém a šechny koncoé systémy jsou proozoány na sererech OS/400 erze V5R2 nebo noější, případně na sererech i5/os V5R3 nebo noější. Poznámka: Připojení systému i5/os erze V5R4 nebo noější k systému OS/400 erze V5R1 není pooleno. 3. Na PC klientu je proozoán System i Naigator for System i Access for Windows erze V5R3 nebo noější. 4. Získání ydaatele certifikátu (CA) pro modely sererů System i. 5. Vytoření certifikátu pro Systém A podepsaného ydaatelem certifikátu (CA). 6. Odeslání ydaatele certifikátu (CA) a certifikátu do Systému A a jeho import do databáze klíčů. 7. Přiřazení certifikátu pomocí identifikace Centrální spráy a identifikace aplikací pro šechny systémy i5/os. K systémům i5/os patří šechny tyto serery: centrální serer TCP, databázoý serer, serer datoých front, souboroý serer, serer síťoého tisku, serer zdálených příkazů a přihlašoací serer. a. Spusťte program IBM DCM (Digital Certificate Manager) na sereru Centrální spráy. Pokud chce Tomáš získat nebo ytořit certifikáty, nebo nastait nebo změnit certifikační systém, proede to nyní (informace o nastaení certifikačního systému najdete pod tématem Použití produktu DCM (Digital Certificate Manager)). b. Klepněte na olbu Vybrat paměť certifikátů. c. Vyberte *SYSTEM a klepněte na Pokračoat. d. Zadejte Heslo paměti certifikátů pro *SYSTEM a klepněte na Pokračoat. Jakmile se znou načte nabídka, rozbalte olbu Spraoat aplikace. e. Klepněte na olbu Aktualizace přiřazení certifikátu. f. Vyberte Serer a klepněte na Pokračoat. g. Vyberte serer Centrální spráy a klepněte na olbu Aktualizace přiřazení certifikátu. Tím přiřadíte certifikát k požadoanému systému Centrální spráy. h. Vyberte certifikát, který chcete přiřadit aplikaci, a klepněte na olbu Přiřadit noý certifikát. Produkt DCM se znou zaede na stranu Aktualizace přiřazení certifikátu se zpráou o potrzení. i. Klepnutím na Zrušit se raťte na seznam aplikací. j. Tuto proceduru opakujte pro šechny systémy i5/os. 8. Stáhněte si ydaatele certifikátů (CA) do klientského počítače systému System i Naigator. Postup při konfiguraci: K tomu, aby mohl Tomáš aktioat SSL na sereru Centrální spráy, musí centrálním systému nainstaloat nezbytné programy a nastait digitální Certifikáty. Než budete pokračoat, prostudujte si téma Nezbytné podmínky a předpoklady pro tento scénář. Když Tomáš splní šechny nezbytné předpoklady, může pomocí následujících postupů zabezpečit šechna připojení k sereru Centrální spráy: Poznámka: Je-li aktioán SSL pro produkt System i Naigator, musí jej Tomáš nejdříe deaktioat, aby mohl aktioat SSL na sereru Centrální spráy. Pokud byl SSL aktioán pro produkt System i Naigator, a nikoli pro serer Centrální spráy, pokusy produktu System i Naigator o připojení k centrálnímu systému selžou. 1. Krok 1: Konfigurace centrálního systému pro autentizaci sereru na stránce 9 2. Krok 2: Konfigurace koncoých systémů pro autentizaci sereru na stránce Krok 3: Restart systému Centrální spráy centrálním systému na stránce Krok 4: Restart systému Centrální spráy e šech koncoých systémech na stránce Krok 5: Aktiace SSL pro klienta System i Naigator na stránce Krok 6: Konfigurace centrálního systému pro autentizaci klienta na stránce Krok 7: Konfigurace koncoých systémů pro autentizaci klienta na stránce Krok 8: Kopíroání oěřoacího seznamu do koncoých systémů na stránce Krok 9: Restart systému Centrální spráy centrálním systému na stránce Krok 10: Restart systému Centrální spráy e šech koncoých systémech na stránce 12 8 System i: Zabezpečení SSL (Secure Sockets Layer)

15 Souisející pojmy Nezbytné předpoklady pro SSL na stránce 18 Toto téma popisuje nezbytné předpoklady pro nastaení System SSL na platformě systému System i a uádí několik užitečných rad. Zabezpečení aplikací pomocí SSL na stránce 18 Projděte si tento seznam, chcete-li ědět, které aplikace lze použít pro zabezpečení SSL na platformě systému System i. Souisející úlohy Podrobnosti konfigurace: Zabezpečení spojení klienta se systémem Centrální spráy pomocí SSL na stránce 4 Toto téma uádí postup při konfiguraci zabezpečení spojení klienta se sererem Centrální spráy pomocí SSL. Podrobnosti konfigurace: Zabezpečení šech spojení se systémem Centrální spráy pomocí SSL Toto téma uádí podrobnosti zabezpečení šech spojení se sererem Centrální spráy pomocí SSL. Souisející informace Konfigurace DCM Protní nastaení certifikátů Podrobnosti konfigurace: Zabezpečení šech spojení se systémem Centrální spráy pomocí SSL Toto téma uádí podrobnosti zabezpečení šech spojení se sererem Centrální spráy pomocí SSL. Následující informace ycházejí z předpokladu, že jste si přečetli téma Scénář: Zabezpečení šech spojení se sererem Centrální spráy pomocí SSL. Nyní byste se měli dozědět, jak proést jednotlié kroky potřebné k zabezpečení šech spojení se sererem Centrální spráy. Ve scénáři postupujte společně s Tomášem. K tomu, aby mohl Tomáš aktioat SSL systému Centrální spráy, musí centrálním systému nainstaloat nezbytné programy a nastait digitální Certifikáty. Když splní šechny nezbytné předpoklady, může pomocí následujících postupů zabezpečit šechna připojení k sereru Centrální spráy. Poznámka: Je-li aktioán SSL pro produkt System i Naigator, musí jej Tomáš nejdříe deaktioat, aby mohl aktioat SSL na sereru Centrální spráy. Pokud byl SSL aktioán pro produkt System i Naigator, a nikoli pro serer Centrální spráy, pokusy produktu System i Naigator o připojení k centrálnímu systému selžou. SSL umožní Tomášoi zabezpečit ochranu přenosů mezi centrálním a koncoým systémem i mezi klientem System i Naigator a centrálním systémem. SSL umožňuje přenos a autentizaci certifikátů a kódoání dat. Spojení SSL může nastat pouze mezi centrálním systémem podporujícím SSL a koncoým systémem podporujícím SSL. Než bude moci Tomáš nastait autentizaci klienta, musí nastait autentizaci sereru. Souisející pojmy Nezbytné předpoklady pro SSL na stránce 18 Toto téma popisuje nezbytné předpoklady pro nastaení System SSL na platformě systému System i a uádí několik užitečných rad. Scénář: Zabezpečení šech spojení se sererem Centrální spráy pomocí SSL na stránce 5 Tento scénář popisuje, jak pomocí SSL zabezpečit šechna spojení s modelem systému System i použíajícím Centrální spráu, která je součástí produktusystem i Naigator, a funguje jako centrální systém. Souisející informace Protní nastaení certifikátů Krok 1: Konfigurace centrálního systému pro autentizaci sereru: 1. V prostředí produktu System i Naigator klepněte praým tlačítkem myši na olbu Centrální spráa a yberte Vlastnosti. SSL (Secure Sockets Layer) 9

16 2. Klepněte na kartu Zabezpečení a yberte Použít SSL (Secure Sockets Layer). 3. Jako úroeň autentizace yberte olbu Serer. 4. Klepněte na OK a nastate tuto hodnotu centrálním systému. Poznámka: NERESTARTUJTE serer Centrální spráy, dokud k tomu nedostanete pokyn (později). Pokud byste nyní restartoali serer, nemohli byste se připojit ke koncoým systémům. Před restartem sereru s aktiací SSL je třeba proést ještě další konfigurační kroky. Nejpre musíte přenést konfiguraci SSL na koncoé systémy, a to pomocí úloh poronání a aktualizace. Krok 2: Konfigurace koncoých systémů pro autentizaci sereru: Když Tomáš nakonfiguruje centrální systém pro autentizaci sereru, musí pro autentizaci sereru nakonfiguroat i koncoé systémy. Je třeba proést tyto úkoly: 1. Rozbalte okno Centrální spráa. 2. Poronejte a aktualizujte systémoé hodnoty pro koncoé systémy: a. Pod hlaičkou Koncoé systémy klepněte praým tlačítkem myši na centrální systém a yberte Soupis Shromažďoání. b. V dialogu Shromažďoání zaškrtněte olbu Systémoé hodnoty, která shromáždí soupis systémoých hodnot pro centrální systém. Zrušte případné zaškrtnutí šech ostatních oleb. Klepněte na OK a yčkejte, až se úloha soupisu dokončí. c. Klepněte praým tlačítkem myši na Skupiny systémů Noá skupina systémů. d. Definujte noou skupinu systémů, která zahrnuje šechny koncoé systémy, ke kterým se připojujete pomocí SSL. Tuto noou skupinu systémů pojmenujte Důěryhodná skupina. e. Jestliže chcete zobrazit noou Důěryhodnou skupinu, rozbalte seznam skupin systémů. f. Je-li soupis dokončen, klepněte praým tlačítkem myši na noou skupinu systémů a yberte Systémoé hodnoty Poronání a aktualizace. g. Oěřte, že se centrální systém zobrazil poli Modeloý systém. h. V poli Kategorie yberte olbu Centrální spráa. i. Oěřte, že olba Použít pro připojení SSL je nastaena na Ano a yberte Aktualizoat. Tím se tato systémoá hodnota přenese na Důěryhodnou skupinu. j. Oěřte, že olba Úroeň autentizace přes SSL je nastaena na Serer a yberte Aktualizoat. Tím se tato systémoá hodnota přenese na Důěryhodnou skupinu. Poznámka: Jestliže tyto hodnoty nejsou nastaeny, proeďte Krok 1: Konfigurace centrálního systému pro autentizaci sereru. k. Klepněte na OK. Vyčkejte, až se dokončí proces Poronání a aktualizace, a potom pokračujte dalším krokem. Krok 3: Restart systému Centrální spráy centrálním systému: 1. V prostředí produktu System i Naigator rozbalte Připojení. 2. Rozbalte centrální systém. 3. Rozbalte Síť Serery a yberte TCP/IP. 4. Klepněte praým tlačítkem myši na olbu Centrální spráa a yberte Zastait. Okno centrálního systému se zaře a zobrazí se zpráa, že nejste připojeni k sereru. 5. Když se serer Centrální spráy zastaí, klepněte myší na Spustit a serer opět spusťte. Krok 4: Restart systému Centrální spráy e šech koncoých systémech: 1. V prostředí produktu System i Naigator rozbalte Připojení. 2. Rozbalte koncoý systém, který chcete restartoat. 3. Rozbalte Síť Serery a yberte TCP/IP. 4. Klepněte praým tlačítkem myši na olbu Centrální spráa a yberte Zastait. 5. Když se serer Centrální spráy zastaí, klepněte myší na Spustit a serer opět spusťte. 10 System i: Zabezpečení SSL (Secure Sockets Layer)

17 6. Tuto proceduru opakujte pro šechny koncoé systémy. Krok 5: Aktiace SSL pro klienta System i Naigator: 1. V prostředí produktu System i Naigator rozbalte Připojení. 2. Klepněte praým tlačítkem myši na centrální systém a yberte Vlastnosti. 3. Klepněte na kartu Secure Sockets a yberte olbu Použít pro připojení SSL (Secure Sockets Layer). 4. Ukončete produkt System i Naigator a opět jej spusťte. Poznámka: Když jsou šechny tyto kroky dokončeny, je centrálním systému i koncoých systémech nastaena autentizace sereru. Volitelně můžete těchto systémech nastait i autentizaci klienta. K nastaení autentizace klienta centrálním systému i koncoých systémech slouží kroky 6 až 10. Krok 6: Konfigurace centrálního systému pro autentizaci klienta: Nyní, když Tomáš dokončil konfiguraci autentizace sereru, může proést následující olitelné kroky pro nastaení autentizace klienta. Autentizace klienta umožňuje oěřit platnost ydaatele certifikátu (CA) a důěryhodné skupiny pro koncoé systémy i pro centrální systém. Když se centrální systém (klient SSL) pokouší použít SSL k připojení ke koncoému systému (sereru SSL), centrální systém a koncoý systém si nazájem oěřují certifikáty prostřednictím autentizace sereru i autentizace klienta. Hooříme také o autentizaci ydaatele certifikátu a důěryhodné skupiny. Poznámka: Konfiguraci autentizace klienta lze proádět až po konfiguraci autentizace sereru. Pokud jste autentizaci sereru nenastaili, udělejte to. 1. V prostředí produktu System i Naigator klepněte praým tlačítkem myši na olbu Centrální spráa a yberte Vlastnosti. 2. Klepněte na kartu Zabezpečení a yberte Použít SSL (Secure Sockets Layer). 3. Pro úroeň autentizace yberte olbu Klient a serer. 4. Klepněte na OK a nastate tuto hodnotu centrálním systému. Poznámka: NERESTARTUJTE serer Centrální spráy, dokud k tomu nedostanete pokyn (později). Pokud byste nyní restartoali serer, nemohli byste se připojit ke koncoým systémům. Před restartem sereru s aktiací SSL je třeba proést ještě další konfigurační kroky. Nejpre musíte přenést konfiguraci SSL na koncoé systémy, a to pomocí úloh poronání a aktualizace. Krok 7: Konfigurace koncoých systémů pro autentizaci klienta: Poronejte a aktualizujte systémoé hodnoty pro koncoé systémy: 1. Rozbalte okno Centrální spráa. 2. Poronejte a aktualizujte systémoé hodnoty pro koncoé systémy: a. Pod hlaičkou Koncoé systémy klepněte praým tlačítkem myši na centrální systém a yberte Soupis Shromažďoání. b. V dialogu Shromažďoání zaškrtněte olbu Systémoé hodnoty, která shromáždí soupis systémoých hodnot pro centrální systém. Zrušte případné zaškrtnutí šech ostatních oleb. Klepněte na OK a yčkejte, až se úloha soupisu dokončí. c. Je-li soupis dokončen, klepněte praým tlačítkem myši na Důěryhodnou skupinu a yberte Systémoé hodnoty Poronání a aktualizace. d. Oěřte, že se centrální systém zobrazil poli Modeloý systém. e. V poli Kategorie yberte olbu Centrální spráa. f. Oěřte, že olba Použít pro připojení SSL je nastaena na Ano a yberte Aktualizoat. Tím se tato systémoá hodnota přenese na Důěryhodnou skupinu. g. Oěřte, že olba Úroeň autentizace přes SSL je nastaena na Klient a Serer a yberte Aktualizoat. Tím se tato systémoá hodnota přenese na Důěryhodnou skupinu. SSL (Secure Sockets Layer) 11

18 Poznámka: Jestliže tyto hodnoty nejsou nastaeny, proeďte Krok 6: Konfigurace centrálního systému pro autentizaci klienta. h. Klepněte na OK. Vyčkejte, až se dokončí proces Poronání a aktualizace, a potom pokračujte dalším krokem. Krok 8: Kopíroání oěřoacího seznamu do koncoých systémů: Tento postup předpokládá, že áš centrální systém má erzi systému i5/os V5R3 nebo yšší. V systémech i5/os s erzí nižší než V5R3 byl soubor QYPSVLDL.VLDL umístěn knihoně QUSRSYS.LIB, nikoli knihoně QMGTC2.LIB. V případě systémů nižší erze než V5R3 bude třeba odeslat oěřoací seznam pro tyto systémy a umístit jej do knihony QUSRSYS.LIB, namísto QMGTC2.LIB. U systémů erze V5R3 nebo yšší pokračujte následujícími kroky. 1. V prostředí produktu System i Naigator rozbalte olbu Centrální spráa Definice. 2. Klepněte praým tlačítkem myši na Sada programů a yberte Noá definice. 3. V okně Noá definice pracujte s těmito olbami: a. Jméno: Napište jméno definice. b. Zdrojoý systém: Vyberte jméno centrálního systému. c. Vybrané soubory a složky: Klepněte na pole a napište /QSYS.LIB/QMGTC2.LIB/QYPSVLDL.VLDL. 4. Klepněte na kartu Volby a yberte Nahradit existující soubor odesílaným souborem. 5. Klepněte na Rozšířené. 6. V okně Rozšířené olby zadejte Ano, čímž poolíte rozdíly objektů při obnoě, a změnu Cíloého ydání na nejnižší úroeň ydání ašich koncoých systémů. 7. Klepněte na OK, čímž obnoíte seznam definic a zobrazíte noou sadu. 8. Klepněte praým tlačítkem myši na noou sadu a yberte Odeslat. 9. V dialogoém okně Odeslat rozbalte olbu Skupiny systémů->důěryhodná skupina, která se nachází seznamu Dostupné systémy a skupiny. Je to skupina, kterou jste nadefinoali kroku Krok 2: Konfigurace koncoých systémů pro autentizaci sereru na stránce 10. Poznámka: Úloha Odeslat centrálním systému ždycky selže, protože centrální systém je ždy zdrojoým systémem. Úloha Odeslat by se měla úspěšně proést e šech koncoých systémech. 10. Máte-li nějaké systémy, na kterých je proozoán system i5/os erze V5R3 nebo nižší Důěryhodné skupině, je třeba těchto systémech ručně přesunout objekt QYPSVLDL.VLDL z knihony QMGTC2.LIB do QUSRSYS.LIB. Jestliže se knihoně QUSRSYS.LIB objekt QYPSVLDL.VLDL již nachází, odstraňte jej a nahraďte jej noější erzí z knihony QMGTC2.LIB. Krok 9: Restart systému Centrální spráy centrálním systému: 1. V prostředí produktu System i Naigator rozbalte Připojení. 2. Rozbalte centrální systém. 3. Rozbalte Síť Serery a yberte TCP/IP. 4. Klepněte praým tlačítkem myši na olbu Centrální spráa a yberte Zastait. Okno centrálního systému se zaře a zobrazí se zpráa, že nejste připojeni k sereru. 5. Když se serer Centrální spráy zastaí, klepněte myší na Spustit a serer opět spusťte. Krok 10: Restart systému Centrální spráy e šech koncoých systémech: Poznámka: Tuto proceduru opakujte pro šechny koncoé systémy. 1. V prostředí produktu System i Naigator rozbalte Připojení. 2. Rozbalte koncoý systém, který chcete restartoat. 3. Rozbalte Síť Serery a yberte TCP/IP. 4. Klepněte praým tlačítkem myši na olbu Centrální spráa a yberte Zastait. 5. Když se serer Centrální spráy zastaí, klepněte myší na Spustit a serer opět spusťte. 12 System i: Zabezpečení SSL (Secure Sockets Layer)

19 Koncepce SSL Téma Koncepce SSL přináší doplňkoé informace a poskytuje některé základní konstrukční bloky protokolů SSL (Secure Sockets Layer). S protokolem SSL můžete mezi klientskými a sereroými aplikacemi ytořit bezpečné spojení, které umožní autentizaci jednoho nebo obou koncoých bodů komunikační relace. Protokol SSL také poskytuje soukromí a integritu dat yměňoaných mezi klientskými a sereroými aplikacemi. Jak SSL pracuje SSL jsou lastně da protokoly. Je to záznamoý protokol a protokol pro naazoání spojení. Záznamoý protokol řídí tok dat mezi děma koncoými body relace SSL. Protokol pro naazoání spojení autentizuje jeden nebo oba koncoé body relace SSL a ytáří jedinečný symetrický klíč pro generoání klíčů sloužících ke kódoání a dekódoání dat pro relaci SSL. SSL použíá asymetrické šifroání, digitální certifikáty a toky naazoání spojení SSL k autentizaci jednoho nebo obou koncoých bodů relace SSL. SSL obykle autentizuje serer. Volitelně SSL autentizuje klienta. Digitální certifikát ydaný ydaatelem certifikátu (CA) může být přiřazen každému z koncoých systémů nebo aplikacím použíajícím SSL každém koncoém bodě spojení. Digitální certifikát obsahuje eřejný klíč a některé identifikační informace, které byly digitálně podepsány důěryhodným ydaatelem certifikátu (CA). Každý eřejný klíč má asocioaný priátní klíč. Priátní klíč není uložen s certifikátem ani není jeho součástí. Při autentizaci sereru i klienta musí autentizoaný koncoý bod prokázat, že má přístup k priátnímu klíči asocioanému s eřejným klíčem digitálním certifikátu. Naazoání spojení SSL je časoě náročná operace důsledku šifroacích operací pomocí eřejných a priátních klíčů. Po ytoření počáteční relace SSL mezi děma koncoými body může být informace o relaci SSL pro tyto da koncoé body a aplikace uložena do bezpečné paměti kůli urychlení aktiace následné relace SSL. Když relace SSL pokračuje, oba koncoé systémy použijí zkrácený tok naazoání spojení k autentizaci toho, zda má každý z nich přístup k jedinečným informacím bez použití eřejného nebo priátního klíče. Jestliže oba koncoé body mohou prokázat, že mají přístup k těmto jedinečným informacím, ytoří se noé symetrické klíče a relace SSL pokračuje. U relací TLS erze 1.0 a SSL erze 3.0 nezůstane uložená informace bezpečné paměti déle než 24 hodin. V operačním systému OS/400 erze V5R2 a následujících ydáních nebo systému i5/os můžete li naazoání spojení SSL na ýkon hlaní CPU minimalizoat pomocí šifroacího hardwaru. Souisející informace Koncepce digitálního certifikátu Šifroací hardware Podporoané protokoly SSL a TLS Toto téma popisuje, kterou erzi protokolu SSL a TLS daná implementace i5/os podporuje. Existuje několik definoaných erzí protokolu SSL. Nejnoější erze TLS (Transport Layer Security) je založena na SSL 3.0 a je produktem společnosti IETF (Internet Engineering Task Force). Implementace i5/os podporuje tyto erze protokolů SSL a TLS: TLS erze 1.0 TLS erze 1.0 s kompatibilitou SSL erze 3.0 Poznámka: 1. Specifikace TLS erze 1.0 s kompatibilitou SSL erze 3.0 znamená, že o protokolu TLS se bude yjednáat, zda je možný, a když možný nebude, bude se yjednáat o protokolu SSL erze 3.0. Jestliže není možné yjednat protokol SSL erze 3.0, naazoání spojení SSL selže. 2. Systém System i roněž podporuje TLS erze 1.0 s kompatibilitou SSL erze 3.0 a SSL erze 2.0. To je specifikoáno hodnotou protokolu ALL, což znamená, že o protokolu TLS se bude yjednáat, zda je možný, a když možný nebude, bude se yjednáat o protokolu SSL erze 3.0. SSL (Secure Sockets Layer) 13

20 SSL erze 3.0 SSL erze 2.0 Jestliže není možné yjednáat o protokolu SSL erze 3.0, bude se yjednáat o protokolu SSL erze 2.0. Jestliže není možné yjednat protokol SSL erze 2.0, naazoání spojení SSL selže. Protokol SSL erze 2.0 lze opětoně poolit prostřednictím změny systémoé hodnoty QSSLPCL. Systémoou hodnotu QSSLPCL lze použít pro ypnutí nebo zapnutí kteréhokoli z těchto protokolů. SSL erze 3.0 s kompatibilitou SSL erze 2.0 SSL erze 3.0 ersus SSL erze 2.0 Protokol SSL erze 3.0 je e sronání s protokolem SSL erze 2.0 téměř úplně jiným protokolem. Některé z hlaních rozdílů mezi oběma protokoly zahrnují tyto odlišnosti: Protokoly pro naazoání spojení SSL erze 3.0 jsou jiné než protokoly pro naazoání spojení SSL erze 2.0. SSL erze 3.0 použíá implementaci BSAFE 3.0 od společnosti RSA Data Security, Incorporated. BSAFE 3.0 zahrnuje řadu opra proti útokům souisejícím s časoáním a SHA-1 algoritmus přepočtu klíče. SHA-1 algoritmus přepočtu klíče je pokládán za bezpečnější než MD5 algoritmus přepočtu klíče. SHA-1 umožňuje protokolu SSL erze 3.0 podporoat další šifroací sady, které použíají SHA-1 namísto MD5. Protokol SSL erze 3.0 potlačuje ýskyt útoků typu MITM (man-in-the-middle) během zpracoání naazoání spojení SSL. V protokolu SSL erze 2.0 bylo možné, i když nepraděpodobné, že útok MITM mohl oslabit specifikaci šifer. Oslabení šifroání mohlo umožnit neopráněné osobě porušit klíč relace SSL. TLS erze 1.0 ersus SSL erze 3.0 Nejnoějším standardním protokolem SSL založeným na SSL erze 3.0 je TLS (Transport Layer Security) erze 1.0. Jeho specifikace jsou definoány organizací IETF (Internet Engineering Task Force) dokumentu RFC 2246 The TLS Protocol. Hlaním cílem TLS je učinit SSL bezpečnějším a současně učinit specifikaci protokolu přesnější a dokonalejší. TLS umožňuje tato zlepšení SSL erze 3: Bezpečnější algoritmus MAC. Přesnější ýstrahy. Jasnější definici specifikací šedé oblasti. Všechny aplikace sereru System i, které jsou aktioány pro SSL, získají automaticky podporu TTL. Výjimkou jsou případy, kdy aplikace ýsloně žádala o použití pouze SSL erze 3.0 nebo SSL erze 2.0. TLS poskytuje tato zlepšení zabezpečení ochrany dat: HMAC (Key-Hashing for Message Authentication)TLS použíá kód HMAC (Key-Hashing for Message Authentication Code), který zajišťuje, že záznam nemůže být změněn během cesty nechráněné síti, jako je Internet. SSL erze 3.0 umožňuje také autentizaci klíčoané zpráy, ale kód HMAC je bezpečnější než funkce MAC (Message Authentication Code), kterou použíá SSL erze 3.0. PRF (Enhanced Pseudorandom Function) PRF generuje data klíče. V TLS definuje funkce PRF kód HMAC. Funkce PRF použíá da algoritmy pro přepočet klíče takoým způsobem, který zaručuje její bezpečnost. Pokud je jeden z algoritmů nechráněný a druhý algoritmus není nechráněný, zůstanou data zabezpečena. Rozšířená erifikace zpráy o dokončení Jak TLS erze 1.0, tak SSL erze 3.0 odesílá zpráu o dokončení pro oba koncoé systémy, která oěřuje, že yměňoané zpráy nebyly změněny. TLS šak odozuje tuto zpráu o ukončení od hodnot PRF a HMAC, což je opět bezpečnější, než SSL erze 3.0. Konzistentní zacházení s certifikáty Na rozdíl od SSL erze 3.0 se TLS pokouší specifikoat typ certifikátu, který si musejí implementace TLS yměnit. Specifické ýstražné zpráy TLS poskytuje specifičtější a noé ýstražné zpráy pro indikaci problémů zjištěných některým z koncoých bodů relace. TLS také dokumentuje, kdy by měly být odeslány určité aroné zpráy. 14 System i: Zabezpečení SSL (Secure Sockets Layer)

21 Souisející informace Protokol TLS System SSL System SSL je sada generických služeb poskytoaných licenčním interním kódem systému i5/os za účelem ochrany komunikací TCP/IP pomocí protokolu SSL/TLS. System SSL je těsně spjatý s operačním systémem a kódem soketů a poskytuje dodatečný ýkon a zabezpečení. System SSL je přístupný ýojářům aplikací z těchto programoacích rozhraní a implementací JSSE: Rozhraní API Global Secure Toolkit (GSKit) Tato rozhraní API ILE C API jsou přístupná z ostatních jazyků ILE. Integroaná rozhraní API SSL_ systému i5/os Tato rozhraní API ILE C API jsou přístupná z ostatních jazyků ILE. Použití této sady API se nedoporučuje. Doporučeným rozhraním C je GSKit. Integroané implementace JSSE systému i5/os Předolená implementace JSSE pro JDK 1.4. Implementace i5/os JSSE je dostupná pro JDK 1.5 a JDK, není to šak přednastaená implementace. Aplikace SSL od IBM nebo obchodních partnerů IBM či dodaatelů ISV nebo zákazníků, kteří použíajíjedno ze tří ýše uedených rozhraní SSL, použíají System SSL. Například FTP a Telnet jsou aplikace společnosti IBM, které yužíají System SSL. Nikoli šechny aplikace proozoané systému System i, které mají pooleny SSL, yužíají SSL. Vlastnosti System SSL Vlastnosti System SSL určují, jaké funkce SSL jsou podporoány a jaké funkce SSL jsou použity při ýchozím nastaení, pokud je požadoáno choání systému podle ýchozího nastaení. Každá aplikace určuje, zda má být přednastaená funkčnost použita nebo přepsána kódoacím ýběrem učiněným rámci aplikace. Mnoho aplikací použíá předolby System SSL a umožňuje tak, aby byly yužity noé schopnosti System SSL, aniž by bylo třeba implementoat změny kódu. V systému i5/os erze V6R1 nebo noější poskytuje System SSL systémoým administrátorům mechanizmus, pomocí kterého mohou přesně oládat, jaké protokoly SSL a šifry doproodu jsou rámci System SSL podporoány. System SSL má da koncepty, kterým budete muset porozumět předtím, než začnete System SSL použíat. Prním konceptem jsou podporoané hodnoty. Podporoané hodnoty jsou hodnoty, které má System SSL schopnost podporoat. Systém je dodáán tak, že část sých lastních schopností má poolenou. Druhým konceptem jsou přednastaené hodnoty. Přednastaené hodnoty musí být částí podporoaných hodnot. Přednastaené hodnoty jsou použity, když aplikace požádá o přednastaenou podporu. Aby byla zajištěna ochrana aplikací IBM použíajících předolby System SSL před tím, aby byly nuceny podporoat nižší úroeň zabezpečení, je omezená možnost administrátorů oládat přednastaené hodnoty. Nelze přidat funkčnostk přednastaené podpoře nad rámec předoleb dodáaných se systémem. Administrátor může dále omezit, co je podporoáno při ýchozím nastaení tak, že zcela ypne podporu určité funkce. Protokoly SSL System SSL obsahuje infrastrukturu pro podporu těchto protokolů: Protokol SSL2 (Secure Sockets Layer erze 2.0). Protokol SSL3 (Secure Sockets Layer erze 3.0). Protokol TLS1 (Transport Layer Security erze 1.0). SSL (Secure Sockets Layer) 15

22 Dodáané protokoly podporující SSL System SSL je dodáán s těmito podporoanými protokoly: Protokol SSL3 (Secure Sockets Layer erze 3.0). Protokol TLS1 (Transport Layer Security erze 1.0). Poznámka: Protokol SSL2 (Secure Sockets Layer erze 2.0) je dodáán System SSL jako ypnutý. Protokol SSL2 lze opětoně poolit prostřednictím změny systémoé hodnoty QSSLPCL. Systémoou hodnotu QSSLPCL lze použít pro ypnutí nebo zapnutí kteréhokoli z těchto protokolů. Přednastaené protokoly podporující SSL Pokud jsou yžádány aplikací, použíá System SSL tyto přednastaené protokoly: Protokol SSL3 (Secure Sockets Layer erze 3.0). Protokol TLS1 (Transport Layer Security erze 1.0). Poznámka: Pokud byl protokol SSL2 přidán administrátorem zpět do seznamu podporoaných protokolů, není přidán mezi přednastaené protokoly. Pokud je přednastaený protokol odstraněn ze seznamu podporoaných protokolů, bude roněž odstraněn ze seznamu přednastaených protokolů. Šifry doproodu SSL System SSL obsahuje infrastrukturu pro podporu třinácti šifer doproodů. Šifry doproodů jsou specifikoány rozdílně pro každé programoací rozhraní. Níže jsou zobrazeny konence pojmenoání systémoých hodnot. Tyto šifry doproodů mohou být podporoány rámci System SSL: *RSA_NULL_MD5 *RSA_NULL_SHA *RSA_EXPORT_RC4_40_MD5 *RSA_RC4_128_MD5 *RSA_RC4_128_SHA *RSA_EXPORT_RC2_CBC_40_MD5 *RSA_DES_CBC_SHA *RSA_3DES_EDE_CBC_SHA *RSA_AES_128_CBC_SHA *RSA_AES_256_CBC_SHA *RSA_RC2_CBC_128_MD5 *RSA_DES_CBC_MD5 *RSA_3DES_EDE_CBC_MD5 Seznam specifikací podporoaných dodáaných šifer SSL Seznam specifikací šifer obsahuje seznam šifer doproodů. System SSL je dodáán s deseti podporoanými šiframi doproodů. Administrátoři mohou oládat šifry podporoané rámci System SSL se systémoými hodnotami QSSLCSL a QSSLCSLCTL. Šifra doproodu nemůže být podporoána, pokud ji protokol SSL požaduje, ale nepodporuje. Tyto šifry doproodů jsou dodáány a podporoány rámci System SSL: *RSA_AES_256_CBC_SHA *RSA_AES_128_CBC_SHA *RSA_RC4_128_SHA 16 System i: Zabezpečení SSL (Secure Sockets Layer)

23 *RSA_RC4_128_MD5 *RSA_3DES_EDE_CBC_SHA *RSA_DES_CBC_SHA *RSA_EXPORT_RC4_40_MD5 *RSA_EXPORT_RC2_CBC_40_MD5 *RSA_NULL_SHA *RSA_NULL_MD5 Seznam dodáaných specifikací podporoaných šifer je oliněn systémem podporoanými protokoly SSL, stejně jako změnami učiněnými systémoé hodnotě QSSLCSL. Hodnotu QSSLCSL můžete zobrazit a zjistit seznam specifikací šifer systému. Seznam specifikací přednastaených dodáaných šifer SSL Tento seznam obsahuje pořadí Seznam dodáaných specifikací přednastaených šifer: *RSA_AES_128_CBC_SHA *RSA_RC4_128_SHA *RSA_RC4_128_MD5 *RSA_AES_256_CBC_SHA *RSA_3DES_EDE_CBC_SHA Seznam specifikací přednastaených dodáaných šifer lze zredukoat a změnit pořadí prostřednictím změny systémoé hodnoty QSSLCSL. Do seznamu nelze přidat další šifry doproodu. Souisející informace systémoá hodnota SSL: QSSLPCL systémoá hodnota SSL: QSSLCSLCTL systémoá hodnota SSL: QSSLCSL Autentizace sereru Při autentizaci sereru klient zajistí, že je certifikát sereru platný a že je podepsaný ydaatelem certifikátu (CA), který je pro klienta důěryhodný. SSL použije asymetrické šifroání a protokoly pro naazoání spojení pro generoání symetrického klíče, který se použije pouze pro tuto jedinečnou relaci SSL. Tento klíč se použije pro generoání sady klíčů, jenž se použijí pro kódoání a dekódoání dat, která tečou relaci SSL. Po dokončení naazoání spojení SSL je autentizoán jeden nebo oba konce komunikačního spoje. Dále je ygeneroán jedinečný klíč k šifroání a dešifroání dat. Jakmile je ukončeno naazoání spojení, tečou zakódoaná data aplikační rsty relaci SSL. Autentizace klienta Mnoho aplikací umožňuje aktioat autentizaci klienta. Při autentizaci klienta serer zajistí, že je certifikát klienta platný a že je podepsaný ydaatelem certifikátu (CA), který je pro serer důěryhodný. Autentizaci klienta podporují následující aplikace sereru System i: IBM HTTP Serer for i5/os serer FTP serer telnet koncoý systém Centrální spráy IBM Tioli Directory Serer for i5/os Souisející informace SSL (Secure Sockets Layer) a TLS (Transport Layer Security) a serer adresářů SSL (Secure Sockets Layer) 17

24 Zabezpečení klientů FTP pomocí TLS (Transport Layer Security) nebo SSL (Secure Sockets Layer) Zabezpečení Telnet pomocí SSL Nastaení SSL pro pro serer administratiy pro HTTP serer Nezbytné předpoklady pro SSL Toto téma popisuje nezbytné předpoklady pro nastaení System SSL na platformě systému System i a uádí několik užitečných rad. Oěřte, že máte před použíáním SSL nainstaloány tyto olby: IBM Digital Certificate Manager (DCM) (5761-SS1 olba 34). Poznámka: Produkty IBM Jaa Secure Socket Extension (JSSE) a OpenSSL neyžadují DCM. IBM TCP/IP Connectiity Utilities for i5/os (5761-TC1). IBM HTTP Serer for i5/os (5761-DG1). Chcete-li kůli použíání produktu DCM použít HTTP serer, ujistěte se, že je nainstaloán produkt IBM Deeloper Kit for Jaa (5761 JV1). Jinak se HTTP Administration Serer nespustí. Můžete také instaloat šifroací hardware pro použití se SSL, abyste urychlili naazoání spojení SSL. Chcete-li instaloat šifroací hardware, je nutné nainstaloat také produkt Cryptographic Serice Proider. Poznámka: 5722 je kód produktu pro olby systému i5/os a produktů předcházející erzi V6R1. Souisející pojmy Odstraňoání problémů se SSL na stránce 19 Tyto základní informace o odstraňoání problémů ám mají pomoci zredukoat seznam možných problémů, na které může platforma System i detekoat u SSL. Souisející informace Šifroací hardware Veřejné certifikáty ersus soukromé certifikáty Konfigurace DCM Zabezpečení aplikací pomocí SSL Projděte si tento seznam, chcete-li ědět, které aplikace lze použít pro zabezpečení SSL na platformě systému System i. Pomocí SSL můžete zabezpečit ochranu těchto aplikací systému System i: EIM (Enterprise Identity Mapping) serer FTP IBM HTTP Serer for i5/os System i Access for Windows IBM Tioli Directory Serer for i5/os serer DRDA (distributed relational database architecture) a DDM (distributed data management) Centrální spráa serer Telnet Websphere Application Serer Express aplikace napsané pro sadu rozhraní API (application programming interface) produktu System i Access for Windows aplikace yinuté pomocí rozhraní Secure Sockets API podporoaných na sereru System i (podporoaná API jsou Global Secure Toolkit (GSKit) a SSL_System i) Souisející pojmy 18 System i: Zabezpečení SSL (Secure Sockets Layer)