Guía de administración del sistema - publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/IBM_TA/SH09-4532-01/es_ES/PDF/... · Este manual es la traducción del original inglés

IBM®

SecureWay®

Trust Authority

Guía de administración del sistemaVersión 3 Release 1.2

SH10-9270-00

IBM

IBM®

SecureWay®

Trust Authority

Guía de administración del sistemaVersión 3 Release 1.2

SH10-9270-00

IBM

NotaAntes de utilizar esta información y el producto para el que ofrece soporte, lea la información general en “Avisos” en lapágina 115.

Segunda edición (Junio de 2000)

Este manual es la traducción del original inglés ″IBM SecureWay Trust Authority System Administration GuideVersion 3 Release 1.2, SH09-4532-01″.

Esta edición se aplica a IBM SecureWay Trust Authority, programa 5648-D09, versión 3 release 1 modificación 2, y atodos los releases y modificaciones posteriores hasta que se indique lo contrario en nuevas ediciones.

© Copyright International Business Machines Corporation 1999, 2000. Reservados todos los derechos.

Contenido

Tablas . . . . . . . . . . . . . . . v

Capítulo 1. Acerca de Trust Authority . . 1

Capítulo 2. Visión general . . . . . . . 3

Capítulo 3. Cómo... . . . . . . . . . . 5Administrar Trust Authority . . . . . . . . . 5

Entrar mandatos en Windows NT . . . . . . 5Cambiar las contraseñas de Trust Authority . . . 5Iniciar y detener los componentes de servidor . . 7Utilizar IniEditor para cambiar los archivos deconfiguración . . . . . . . . . . . . . 9Cambiar las direcciones IP de Trust Authority . . 11Efectuar copias de seguridad y restaurar elsistema . . . . . . . . . . . . . . . 12Efectuar el seguimiento del número de usuariosy certificados . . . . . . . . . . . . . 12Efectuar el seguimiento de la actividad decertificado . . . . . . . . . . . . . . 14

Administrar WebSphere Application Server. . . . 15Comprobar el estado de WebSphere ApplicationServer . . . . . . . . . . . . . . . 15Comprobar los registros cronológicos deWebSphere Application Server . . . . . . . 16

Administrar HTTP Server . . . . . . . . . 17Comprobar el estado del HTTP Server . . . . 17Comprobar los registros cronológicos de HTTPServer . . . . . . . . . . . . . . . 18

Administrar el servidor CA . . . . . . . . . 19Cambiar el puerto escucha del servidor CA . . 20Cambiar el intervalo de sondeo de la CA . . . 20Cambiar los valores de la CRL . . . . . . . 20Cambiar la política de protección de la ICL. . . 22Cambiar la clave de protección de la ICL . . . 22Comprobar la integridad de la base de datos delservidor CA . . . . . . . . . . . . . 23Solicitar un certificado CA empleando lacertificación cruzada . . . . . . . . . . 24Solicitar un certificado CA empleando el modelode jerarquía . . . . . . . . . . . . . 26Comprobar los registros cronológicos delservidor CA . . . . . . . . . . . . . 29Comprobar el estado del servidor CA . . . . 30Activar puntos de distribución de la CRL . . . 31

Administrar el servidor RA . . . . . . . . . 31Agregar responsable de registross . . . . . . 31Activar el cifrado en la base de datos RA . . . 34Cambiar el puerto de escucha del servidor RA . 35Cambiar el intervalo de sondeo de la RA . . . 35Cambiar el intervalo de reintento de la RA . . . 36Comprobar los registros cronológicos delservidor RA . . . . . . . . . . . . . 36Comprobar el estado del servidor RA . . . . 36

Cambiar los valores de la RA para lascomunicaciones con el Directorio . . . . . . 38

Administrar el subsistema de auditoría . . . . . 39Ver los registros de auditoría . . . . . . . 39Buscar informes de auditoría . . . . . . . 41Cambiar el puerto del servidor de auditoría en elcliente de auditoría . . . . . . . . . . . 41Cambiar el modo en que se envían los eventosdesde el cliente de auditoría . . . . . . . . 42Cambiar el puerto en el que escucha el servidorde auditoría . . . . . . . . . . . . . 43Cambiar intentos de enlace entre el cliente deauditoría y el servidor de auditoría . . . . . 44Cambiar el intervalo entre intentos de enlace . . 44Cambiar los valores del registro cronológico . . 45Generar informes de auditoría . . . . . . . 48Efectuar una copia archivada y firmar losarchivos del registro cronológico de auditoría . . 48Comprobar la integridad de la base de datos yde los archivos de copia archivada del servidorde auditoría . . . . . . . . . . . . . 49Comprobar el estado del servidor de auditoría . 50Comprobar los registros cronológicos delservidor de auditoría . . . . . . . . . . 52

Administrar las bases de datos de DB2 . . . . . 52Comprobar el estado de las bases de datos deDB2 . . . . . . . . . . . . . . . . 52Comprobar los registros cronológicos de DB2 . . 54

Administrar el servidor del Directorio . . . . . 55Comprobar el estado del servidor del Directorio 55Comprobar los registros cronológicos delservidor del Directorio. . . . . . . . . . 56

Administrar el coprocesador criptográfico 4758 . . 56

Capítulo 4. Información de... . . . . . 57Seguridad de Trust Authority . . . . . . . . 57Listas de control de accesos . . . . . . . . . 57Autoridades de certificado . . . . . . . . . 57

Jerarquías CA . . . . . . . . . . . . 58Extensiones de certificado . . . . . . . . 58Listas de revocación de certificados . . . . . 61Certificación cruzada . . . . . . . . . . 61

Certificación . . . . . . . . . . . . . . 62Certificados digitales . . . . . . . . . . 62Nombres distintivos . . . . . . . . . . 62Listas de certificados emitidos . . . . . . . 62Firma y validación de firmas . . . . . . . 63

Autoridades de registro . . . . . . . . . . 63Responsables de registros. . . . . . . . . 63Dominios de registro . . . . . . . . . . 64

coprocesador criptográfico 4758. . . . . . . . 64Tarjetas inteligentes. . . . . . . . . . . . 64Auditoría . . . . . . . . . . . . . . . 65

Informes de auditoría . . . . . . . . . . 65Eventos de auditoría . . . . . . . . . . 65

© Copyright IBM Corp. 1999, 2000 iii

Máscaras de eventos de auditoría . . . . . . 66Comparación de los eventos de auditoríaobligatorios y opcionales . . . . . . . . . 66Comprobación de la integridad . . . . . . . 66Sellado de integridad . . . . . . . . . . 66Copia archivada del registro cronológico deauditoría . . . . . . . . . . . . . . 66

Bases de datos DB2. . . . . . . . . . . . 67Servidores Web . . . . . . . . . . . . . 67

IBM WebSphere Application Server . . . . . 67IBM HTTP Server . . . . . . . . . . . 67Asignación de alias de IP . . . . . . . . . 68

Servidores del Directorio . . . . . . . . . . 68Identificadores de objeto . . . . . . . . . . 68

Capítulo 5. Consulta . . . . . . . . . 71Archivos de configuración . . . . . . . . . 71

Descripción del archivo . . . . . . . . . 71Archivo de configuración del servidor CA . . . 72Archivo del configuración del servidor RA . . . 81Archivo de configuración del servidor deauditoría . . . . . . . . . . . . . . 91Archivo de configuración del cliente de auditoría,AuditClient.ini . . . . . . . . . . . . 95

Utilidades de línea de mandatos . . . . . . . 97Utilidad CA Certification . . . . . . . . . 97Utilidad Add RA User . . . . . . . . . . 99Utilidad Enable RA Database Encryption . . . 100Utilidad Audit Archive and Sign . . . . . . 100

Utilidad Audit Integrity Check . . . . . . 101Campos de los eventos de auditoría . . . . . . 103Eventos de auditoría . . . . . . . . . . . 103Datos de la base de datos de auditoría . . . . . 106

Tabla de claves . . . . . . . . . . . . 107Tabla de niveles de gravedad de los eventos . . 107Tabla de control de eventos. . . . . . . . 107Tabla de orígenes . . . . . . . . . . . 108Tabla de entidades autorizadas . . . . . . 108Tabla de funciones autorizadas . . . . . . 109Tabla de tipos de entidades afectadas . . . . 109Tabla de tipos de componentes . . . . . . 109Tabla de registros cronológicos de auditoría . . 109Tabla del sistema . . . . . . . . . . . 111

Resolución de problemas . . . . . . . . . 112Resolución de problemas básica . . . . . . 112Resolución de problemas con el servicio demensajes de nivel de depuración activado . . . 112

Avisos . . . . . . . . . . . . . . 115Marcas registradas y marcas de servicio . . . . 116

Información relacionada . . . . . . . 119

Glosario . . . . . . . . . . . . . 121

Índice . . . . . . . . . . . . . . . 133

iv Trust Authority: Guía de administración del sistema

Tablas

1. Archivos de configuración de Trust Authority 102. Registros cronológicos de WebSphere

Application Server de transacciones con elAsistente para la instalación . . . . . . . 16

3. Registros cronológicos de WebSphereApplication Server de transacciones con elservicio de registro . . . . . . . . . . 16

4. Registros cronológicos de HTTP Server detransacciones con el Asistente para lainstalación . . . . . . . . . . . . . 18

5. Registros cronológicos del HTTP Server detransacciones con el servicio de registro . . . 19

6. Registros cronológicos del servidor CA 307. Registros cronológicos del servidor RA 368. Descripciones de las columnas para las vistas

de la base de datos de auditoría de TrustAuthority . . . . . . . . . . . . . 40

9. Registros cronológicos del servidor deauditoría . . . . . . . . . . . . . 52

10. Ubicaciones de las bases de datos . . . . . 5211. Registros cronológicos del servidor del

Directorio . . . . . . . . . . . . . 5612. Extensiones de certificado . . . . . . . . 58

13. Modelo de tres servidores y tres puertos paralos HTTP Servers de IBM . . . . . . . . 68

14. Archivo de configuración del servidor CA 7315. Archivo de configuración del servidor RA 8216. Archivo de configuración del servidor de

auditoría . . . . . . . . . . . . . 9217. Archivo de configuración del cliente de

auditoría . . . . . . . . . . . . . 9618. Campos de los eventos de auditoría . . . . 10319. Eventos de auditoría . . . . . . . . . 10320. Campos de la tabla de claves . . . . . . 10721. Campos de la tabla de niveles de gravedad

de los eventos . . . . . . . . . . . 10722. Campos de la tabla de control de eventos 10723. Campos de la tabla de orígenes . . . . . 10824. Campos de la tabla de entidades autorizadas 10825. Campos de la tabla de funciones autorizadas 10926. Campos de la tabla de tipos de entidades

afectadas . . . . . . . . . . . . . 10927. Campos de la tabla de tipos de componentes 10928. Campos de la tabla de registros cronológicos

de auditoría . . . . . . . . . . . . 10929. Campos de la tabla del sistema. . . . . . 111

© Copyright IBM Corp. 1999, 2000 v

vi Trust Authority: Guía de administración del sistema

Capítulo 1. Acerca de Trust Authority

IBM®

SecureWay®

Trust Authority proporciona a las aplicaciones los medios paraautentificar usuarios y garantizar las comunicaciones seguras:v Permite a las organizaciones emitir, publicar y administrar certificados digitales

en conformidad con sus políticas de registro y certificación.v El soporte para los estándares criptográficos Public Key Infrastructure for X.509

versión 3 (PKIX) y Common Data Security Architecture (CDSA) permite lainteroperabilidad entre proveedores.

v La firma digital y los protocolos seguros proporcionan los medios paraautentificar a todas las partes en una transacción.

v Las posibilidades de registro basadas en el navegador y en el clienteproporcionan la máxima flexibilidad.

v Las comunicaciones cifradas y el almacenamiento seguro de la información deregistro garantizan la confidencialidad.

Un sistema Trust Authority puede ejecutarse en plataformas de servidor IBM®

AIX/6000®

y Microsoft® Windows NT®. Incluye las siguientes característicasprincipales:v Una Autoridad de certificado (CA) segura gestiona todo el periodo de vigencia

de la certificación digital. Para demostrar la autenticidad de un certificado, laCA firma digitalmente cada uno de los certificados que emite. También firma laslistas de revocación de certificados (CRL) para demostrar el hecho de que uncertificado ya no es válido. Para proteger aún más su clave de firmas, puedeutilizar hardware criptográfico, como el coprocesador criptográfico PCI IBMSecureWay® 4758.

v Una Autoridad de registro (RA) gestiona las tareas administrativas detrás delregistro de usuarios. La RA garantiza que sólo se emitan los certificados quesoportan sus actividades empresariales, y que se emitan solamente para losusuarios autorizados. Las tareas administrativas pueden gestionarse a través deprocesos automatizados o mediante la toma de decisiones por parte de losusuarios.

v Una interfaz de inscripción basada en Web facilita la obtención de certificadospara navegadores, servidores y otros fines, como dispositivos de red virtualprivada (VPN), tarjetas inteligentes y correo electrónico seguro.

v Una aplicación Windows®, Trust Authority Client, permite a los usuarios finalesobtener y gestionar certificados sin utilizar un navegador Web.

v Una interfaz de administración basada en Web, RA Desktop, permite a losresponsables de registros autorizados aprobar o rechazar solicitudes deinscripción y administrar certificados después de que se hayan emitido.

v Un subsistema de auditoría calcula un código de autentificación de mensajes(MAC) para cada informe de auditoría. Si los datos de auditoría se alteran o seeliminan después de escribirlos en la base de datos de auditoría, el MAC lepermite detectar la alteración.

v Las salidas de políticas permiten a los desarrolladores de aplicacionespersonalizar los procesos de registro.

v Soporte integrado para un sistema criptográfico. Para autentificar lascomunicaciones, los componentes centrales de Trust Authority se firman con unaclave privada generada en fábrica. Los objetos de seguridad, como las claves ylos MAC, se cifran y se almacenan en áreas protegidas llamadas KeyStores.

© Copyright IBM Corp. 1999, 2000 1

v Soporte integrado para el Directorio de IBM SecureWay. El Directorio almacenainformación acerca de los certificados válidos y revocados en un formatocompatible con LDAP.

v Soporte integrado para IBM WebSphere™

Application Server e IBM HTTP Server.El servidor Web trabaja con el servidor RA para cifrar mensajes, autentificarsolicitudes y transferir certificados al destinatario previsto.

v Soporte integrado para la galardonada IBM DB2®

Universal Database.

2 Trust Authority: Guía de administración del sistema

Capítulo 2. Visión general

Este documento proporciona la información necesaria para manejar y administrarel sistema Trust Authority. Asume que se poseen conocimientos o experiencia conlos siguientes elementos:v Sistema operativo AIX® o UNIX®

v Sistema operativo Windows NTv Arquitectura de sistemasv Administración de redesv Administración de bases de datosv Administración de servidores Webv Administración de directorios

El “Capítulo 3. Cómo...” en la página 5 proporciona información acerca de losprocedimientos para el manejo y la administración del sistema Trust Authority. Leenseña cómo iniciar y detener el sistema, cómo cambiar contraseñas, cómo utilizarel editor del archivo de configuración, cómo efectuar una copia de seguridad delsistema y restaurarlo y cómo administrar los componentes del sistema:v IBM WebSphere™ Application Serverv IBM HTTP Serverv Servidor CAv Servidor RAv Subsistema de auditoríav IBM DB2 Universal Database™ (UDB)v Directorio de IBM SecureWayv Coprocesador criptográfico 4758

El “Capítulo 4. Información de...” en la página 57 proporciona información técnicamás detallada acerca de los temas planteados al llevar a cabo los procedimientos.

El “Capítulo 5. Consulta” en la página 71 proporciona información de consulta,como los parámetros del archivo de configuración, la sintaxis para las utilidades delínea de mandatos e información en tablas para el subsistema de auditoría.



Capítulo 3. Cómo...

Los temas de este capítulo proporcionan información acerca de la administraciónde IBM SecureWay Trust Authority y sus componentes.

Administrar Trust AuthorityEsta sección describe las herramientas y los procesos que puede utilizar paraadministrar el sistema Trust Authority en su totalidad.

Son los siguientes:v Especificar mandatos en la línea de mandatos de Windows NTv Cambiar las contraseñas de Trust Authorityv Iniciar y detener los componentes de servidorv Utilizar IniEditor para cambiar los archivos de configuraciónv Comprobar los registros cronológicos de configuración de Trust Authorityv Cambiar las direcciones IP de Trust Authorityv Efectuar copias de seguridad del sistema y restaurarlov Efectuar el seguimiento de la actividad de certificadosv Efectuar el seguimiento del número de usuarios y certificados

Entrar mandatos en Windows NTSi ha instalado Trust Authority en Windows NT, existen diversas tareas que notienen iconos de programa y que deben ejecutarse desde una línea de mandatos deDOS. Por ejemplo, debe ejecutar de forma manual add_rauser para definir a unresponsable de registros.

Al especificar un mandato que requiera una ruta de acceso de directorio como unparámetro y si la ruta de acceso contiene espacios intercalados, debe especificar laruta de acceso entre comillas dobles (″). Por ejemplo, el parámetro de ruta deacceso en el mandato add_rauser se especificaría de este modo:add_rauser "c:\Archivos de programa\IBM\Trust Authority\bin"

Cambiar las contraseñas de Trust AuthorityIBM Trust Authority proporciona una utilidad Cambiar contraseña. Puede utilizarlapara cambiar las contraseñas predeterminadas durante la configuración delsistema. Debería cambiar las contraseñas por lo menos una vez después de laconfiguración inicial del sistema y antes de que el sistema se ponga a disposiciónde sus usuarios. Estas contraseñas controlan el acceso a los siguientes componentesfuncionales:v Mecanismo de arranque seguro

La contraseña del programa de control permite que el sistema se inicie de formaautomática o permite cerrar todos los componentes de Trust Authority.Proporciona acceso a la clave de cifrado de arranque seguro.

v DirectorioLa contraseña del administrador del Directorio controla el acceso a los elementosque puede cambiar en el Directorio.

v Servidor de auditoría


La contraseña del servidor de auditoría proporciona acceso a los registros deauditoría y a las herramientas de administración de auditoría.

v Perfil de 4758 CALa contraseña del Perfil de 4758 CA controla el acceso al Perfil del coprocesadorcriptográfico 4758 CA.

Para cambiar las contraseñas, puede utilizar uno de los diferentes métodosdisponibles. Si instaló Trust Authority en una plataforma AIX, debe utilizar elprocedimiento de línea de mandatos descrito en el apartado “Procedimiento delínea de mandatos”. Si está ejecutando en una plataforma Windows NT, puedeutilizar el procedimiento descrito en el apartado “Procedimiento del icono deprograma de Windows NT” en la página 7 o el procedimiento de línea demandatos para ejecutar la utilidad Cambiar contraseña.

Procedimiento de línea de mandatos1. Vaya al directorio bin de Trust Authority utilizando una de las siguientes rutas

de acceso:v En AIX, el valor predeterminado de la ruta de acceso es:

/usr/lpp/iau/bin

v En Windows NT, el valor predeterminado de la ruta de acceso es:c:\Archivos de programa\IBM\Trust Authority\bin

2. Según su sistema operativo, entre uno de los mandatos siguientes:v En AIX, el mandato es:

changePWD.sh

v En Windows NT, el mandato es:changePWD.bat

Aparece el siguiente menú:------------- Cambiarcontraseñas de Trust Authority --------------Entrar el número de opción del componente que desea modificar.Se le pedirá que entre la contraseña actual y a continuaciónla nueva contraseña.--------------------------------------------------------------Cambiar contraseña para1) Salir2) Programa de control3) Administrador del Directorio4) Administrador de auditoría5) Perfil de 4758 CAEntrar opción:

3. Seleccione la opción para la contraseña que desea cambiar entrando el númerocorrespondiente en el campo Entrar opción.

4. Cuando el sistema se lo pida, proporcione y confirme la contraseña actual parala opción que ha seleccionado.

Notas:

a. Cuando utilice esta herramienta por vez primera, la contraseña actual serála contraseña definida en el momento de la configuración. Para lascontraseñas del Programa de control y del Administrador de auditoría,especifique la contraseña del servidor de Trust Authority como lacontraseña actual. Para la contraseña del administrador del Directorio,especifique la contraseña del administrador del Directorio que se creódurante la configuración como la contraseña actual. Para el Perfil de 4758CA, especifique IBMCA001.


b. Si instaló Trust Authority en un servidor AIX y no cambió la contraseña deusuario de configuración (cfguser) antes de configurar el sistema, lacontraseña predeterminada es Secure99.

5. Cuando el sistema se lo pida, proporcione y confirme la nueva contraseña parala opción que ha seleccionado.La contraseña debe tener una longitud menor o igual a ocho caracteres (lacontraseña del Perfil de 4758 CA debe tener exactamente ocho caracteres).La utilidad muestra un mensaje que le comunica si sus cambios se efectuaroncorrectamente.

Al completarse el proceso, la utilidad le devuelve al menú principal.

Procedimiento del icono de programa de Windows NTSi está ejecutando Trust Authority en una plataforma Windows NT, y prefiereseleccionar iconos de programa en lugar de entrar el mandato en una ventanaDOS, utilice el procedimiento siguiente para ejecutar la utilidad Cambiarcontraseña:1. Seleccione Inicio → Programas → IBM SecureWay Trust Authority →

Herramienta Cambiar Contraseña

Aparece el menú Cambiar contraseñas de Trust Authority.2. Siga los pasos, empezando por el paso 3 en la página 6 del apartado

“Procedimiento de línea de mandatos” en la página 6.

Iniciar y detener los componentes de servidorIBM Trust Authority utiliza un mecanismo de arranque automatizado y segurollamado el Programa de control de Trust Authority con el fin de iniciar o detenertodos los componentes en un equipo determinado. El Control de Trust Authority(uno por máquina en el caso de máquinas remotas) dispone de su propia clave decifrado/descifrado en la que se cifran o descifran las contraseñas de loscomponentes según sea necesario. Si instaló componentes de servidor de TrustAuthority en equipos remotos, consulte la sección “Iniciar y detener los servidoresremotos” en la página 9.

Iniciar y detener los componentes de servidor de forma localPara iniciar o detener todos los componentes en un determinado equipo, puedeutilizar cualquiera de los métodos siguientes:v Entre los mandatos siguientes en AIX para iniciar o detener los componentes de

servidor. Siga las instrucciones en línea para entrar la contraseña del Programade control. Tenga en cuenta que para iniciar el sistema, tiene que iniciar la sesióncomo el usuario de configuración de Trust Authority (cfguser). Para detener elsistema, puede iniciar la sesión como usuario root de cfguser.cd /usr/lpp/iau/binStart_TA.shoStop_TA.sh

v Si instaló Trust Authority en una plataforma Windows NT, debería seleccionar elicono apropiado en el menú de programas de NT. Por ejemplo, seleccione:Inicio > Programas > IBM SecureWay Trust Authority > Iniciar Trust AuthorityInicio > Programas > IBM SecureWay Trust Authority > Detener Trust Authority

v Si tiene que utilizar mandatos en NT, entre los siguientes mandatos en una líneade mandatos de DOS para iniciar o detener los componentes de servidor. Sigalas instrucciones en línea para entrar la contraseña del Programa de control.

Capítulo 3. Cómo... 7

Start_TA.batoStop_TA.bat

Directrices para la utilización en AIX: Las directrices para iniciar y detener elsistema en AIX son las siguientes:v Si por algún motivo los servidores CA y RA no se detienen al ejecutar el

programa de control en AIX, debería utilizar el mandato ps para listar losprocesos httpd en ejecución, y seguidamente emplear el mandato kill paradetenerlos. A continuación se muestran ejemplos del modo en el que se utilizanestos mandatos junto con un ejemplo del resultado.$ ps -ef | grep irgAutoCAroot 18886 1 0 Oct 24 - 76:34 /usr/lpp/iau/bin/irgAutoCa

/usr/lpp/iau/etc/TrustAuthority/irgAutoCA.inicfguser 23316 32400 2 11:58:20 pts/4 0:00 grep irgAutoCA$ kill 18886

$ ps -ef | grep irgrasvrroot 23526 1 12 Oct 24 - 207:46 /usr/lpp/iau/bin/irgrasvr -c

/usr/lpp/iau/pkrf/etc/domain.cfg -d YourDomaincfguser 26016 12488 3 11:57:16 pts/0 0:00 grep irgrasvr$ kill 23526

v La detención de Trust Authority debería detener de forma automática losprogramas de servidor Web en AIX. Si no se detuvieron por alguna razón,puede utilizar el mandato ps para identificar el ID de proceso de la instanciaque debe detenerse para su dominio, y seguidamente emplear el mandato killpara detenerla. Por ejemplo:ps -ef | grep OutOfProc | grep SuDominiokill ID_proceso

v El inicio y la detención de Trust Authority iniciarán y detendránautomáticamente el servidor del Directorio. Si no desea que el Directorio seinicie o se detenga de forma automática, edite la sección [AutoStopN] delarchivo TrustAuthControl.cfg para eliminar la entrada del componente delDirectorio.

Directrices para la utilización en Windows NT: Las directrices para iniciar ydetener el sistema en Windows NT son las siguientes:v La detención de Trust Authority no detiene de forma automática los programas

de servidor Web en Windows NT. Después de detener Trust Authority, debedetener de forma manual la instancia de WebSphere que se inició para eldominio de registro. Para ello, utilice el Administrador de tareas NT para ponerfin a los procesos java.exe y reqdbagent.exe.

v Para obtener un rendimiento óptimo, antes de reiniciar los componentes deservidor en un sistema Windows NT, debería reiniciar el sistema.

v Al utilizar el programa de control para iniciar los componentes de servidor deTrust Authority en Windows NT, la ventana en la que se inicia el programa nopuede cerrarse. Ello se debe a que algunos componentes están ligados a estaventana de consola. Después de que se hayan detenido los componentes deservidor de Trust Authority, podrá cerrar esta ventana.

v El inicio y la detención de Trust Authority inicia y detiene de forma automáticael servidor del Directorio. Si no desea que el Directorio se inicie o se detenga deforma automática, edite la sección [AutoStopN] del archivo TrustAuthControl.cfgpara eliminar la entrada del componente Directorio.


Iniciar y detener los servidores remotosSi instaló algún componente de Trust Authority en equipos remotos, debe utilizarel Programa de control para iniciar o detener los componentes que se estánejecutando en cada equipo. Para iniciar componentes remotos, utilice el siguienteorden:1. Servidor del Directorio2. Servidor CA y de auditoría3. Servidor RA (incluido IBM HTTP Server y WebSphere Application Server)

Para detener el sistema, detenga los programas de servidor en orden inverso al quese iniciaron.

Utilizar IniEditor para cambiar los archivos de configuraciónEsta sección describe el método de invocación y utilización del editor de archivosde configuración, IniEditor. La herramienta IniEditor le permite agregar, actualizary eliminar parámetros y secciones en cada uno de los archivos de configuración deIBM Trust Authority. Visualiza cada parámetro como un par de nombre=valor enun campo de edición para que pueda localizar y editar de forma sencilla loselementos que requiera. Consulte “Archivos de configuración” en la página 71acerca de las descripciones y la utilización de los parámetros de configuración.

Notas:

1. IniEditor es un editor sencillo diseñado para actualizar archivos deconfiguración. La herramienta no proporciona comprobación de validez dedatos.

2. Para su protección, asegúrese de efectuar una copia de seguridad del archivode configuración que tiene la intención de editar antes de efectuar cambios enél.

Ejecutar el editorPuede iniciar el editor desde la línea de mandatos especificando o sin especificar elnombre del archivo que tiene la intención de editar.

Para ejecutar el editor utilizando un nombre de archivo como myfile.ini, entre unode los mandatos siguientes:v En el entorno AIX, desde la línea de mandatos:

cd /usr/lpp/iau/binrun_IniEditor myfile.ini

v En el entorno Windows NT, desde la línea de mandatos de DOS:cd c:\Archivos de programa\IBM\Trust Athority\binIniEditor myfile.ini

Para ejecutar el editor sin utilizar un nombre de archivo, entre uno de losmandatos siguientes:v En el entorno AIX, desde la línea de mandatos:

run_IniEditor

v En el entorno Windows NT, desde la línea de mandatos de DOS:IniEditor

Si no especifica un nombre de archivo, el sistema le pide que especifique si elarchivo que desea editar es nuevo o ya existe. Si el archivo es nuevo, el sistema lepedirá que especifique el tipo de archivo que desea crear. Cada tipo de archivotiene una plantilla de archivo .ini correspondiente, que se lee al especificar el tipo.Las opciones son las siguientes:


Tabla 1. Archivos de configuración de Trust Authority

Ubicación predeterminada de archivosde AIX

Ubicación predeterminada de archivosde Windows NT

Descripción

/usr/lpp/iau/etc/TrustAuthority/jonahca.ini

c:\Archivos de programa\IBM\TrustAuthority\etc\TrustAuthority\jonahca.ini

El archivo de configuracióndel servidor CA. Especificalas variables de configuraciónpara el servidor CA. Puedecambiar estas variables paracontrolar las característicasoperativas básicas y laconfiguración de conexión.

/usr/lpp/iau/pkrf/Domains/SuDominio/etc/jonahra.inic:\Archivos de programa\IBM\TrustAuthority\pkrf\Domains\SuDominio\etc\jonahra.ini

El archivo de configuracióndel servidor RA. Especifica lasvariables de configuraciónpara el servidor RA. Ademásde proporcionar laconfiguración básica operativay de conexión, estas variablesle permiten controlar el modoen el que el servidor RAinteractúa con el servidor delDirectorio.

/usr/lpp/iau/etc/AuditClient.ini c:\Archivos de programa\IBM\TrustAuthority\etc\AuditClient.ini

El archivo de configuracióndel cliente de auditoría.Especifica las variables deconfiguración para losClientes de auditoría. Estasvariables proporcionan losvalores de conexión y soportepara el ajuste de la máscarade auditoría que controla loseventos de auditoría que seenvían en realidad.

/usr/lpp/iau/etc/TrustAuthority/AuditServer.ini

c:\Archivos de programa\IBM\TrustAuthority\etc\TrustAuthority\AuditServer.ini

El archivo de configuracióndel servidor de auditoría.Especifica las variables deconfiguración para el servidorde auditoría. Puede cambiarestas variables para volver aconfigurar las característicasde funcionamiento básicas ylos valores de conexión delservidor de auditoría, asícomo para indicar el métodode registro de los mensajes deerror y depuración. Estasvariables controlan asimismolos eventos que se registran.

IniEditor intenta localizar los archivos de plantilla buscando en el directorio en elque residen los archivos de Trust Authority.

Utilizar el editorDespués de cargar IniEditor con un archivo de configuración, los parámetrosexistentes aparecen en la parte izquierda de la pantalla en una estructura de árbol.Esta estructura contiene las secciones y las claves del archivo. Para seleccionar unasección, haga clic en el nombre de la sección. Para expandir la sección, haga clic en


el símbolo de adición (+). Si una sección contiene claves, el par de parámetrosnombre=valor aparece en la parte derecha de la pantalla en un campo de edición.

Edición de parámetros: Puede llevar a cabo las siguientes tareas de edición:v Para cambiar el valor de un parámetro, escriba encima del texto en el campo de

edición.v Para deshacer el cambio, seleccione Edición → Deshacer.v Para eliminar un parámetro o una sección, seleccione los elementos que desee

eliminar y seleccione Edición → Eliminar.

Adición de una sección: Para agregar una sección al archivo .ini, siga estos pasos:1. Seleccione Objeto → Nueva sección.

Aparece el cuadro de diálogo Agregar una nueva sección.2. Especifique el nombre de la sección en el cuadro de diálogo.3. Haga clic en Aceptar.

La nueva sección aparece en la parte inferior de la estructura de árbol.

Adición de un parámetro: Para agregar un parámetro a una sección en el archivo.ini, siga estos pasos:1. Seleccione Objeto → Nuevo parámetro.

Aparece el diálogo Crear un nuevo parámetro. Ello proporciona un menúdesplegable en el que puede seleccionar la sección a la que desea agregar elparámetro.

2. Especifique el nombre del parámetro en el campo Parámetro.3. Especifique el valor del parámetro en el campo Valor.4. Haga clic en Aceptar.

El nuevo parámetro aparece en la estructura de árbol debajo de la secciónseleccionada, y en la parte derecha de la ventana en un campo de edición.

Guardado del archivo: IniEditor le permite guardar el archivo .ini actual, guardarel archivo con un nombre distinto o salir del programa. Si el archivo ha cambiado,el editor le pedirá que guarde sus cambios. Tanto la opción Guardar como laopción Salir (con guardado) guardan el archivo actual como una copia deseguridad con la extensión .save y escriben el nuevo archivo con el nombre dearchivo actual.

Cambiar las direcciones IP de Trust AuthoritySi el sistema Trust Authority se ha instalado y se ha configurado en un solo equipoque utiliza un solo nombre de sistema principal, puede cambiar la dirección IP deese equipo empleando el siguiente procedimiento:1. Detenga el sistema Trust Authority.2. Cambie la dirección IP del equipo en conformidad con la política especificada

por su organización.3. Apague y reinicie el equipo.4. Inicie el sistema Trust Authority.

Este documento no contempla otros escenarios que impliquen cambios de nombrede sistema principal o dirección IP para varios equipos o varios nombres desistema principal. Consulte la página Library del sitio Web de IBM SecureWayTrust Authority donde obtendrá información acerca de los procedimientos másactuales.


Efectuar copias de seguridad y restaurar el sistemaEsta sección trata los temas relativos a la copia de seguridad y la restauración deIBM SecureWay Trust Authority. En concreto, el capítulo trata los aspectossiguientes:v Directrices para la copia de seguridad y la restauración de las bases de datos de

Trust Authority.v Copia de seguridad y recuperación de los sistemas operativos AIX y Windows

NT.v Duplicación del coprocesador criptográfico IBM 4758.

Efectuar copias de seguridad y restaurar en AIX y Windows NTPara efectuar la copia de seguridad de Trust Authority de forma correcta, tanto siestá empleando AIX como Windows NT, en primer lugar debe cerrar todos losprocesos de Trust Authority en el siguiente orden:1. Trust Authority2. Bases de datos DB2®

Debe hacerlo con independencia de la utilidad de copia de seguridad que tenga laintención de utilizar. El servidor del Directorio y DB2 utilizan procesos degrabación asíncronos, y a menos que estos procesos se cierren completamente, nose garantiza que los datos en los búferes de memoria se graben en disco al efectuarla copia de seguridad del sistema. Cuanto más se aproxime el sistema al modo demantenimiento de un solo usuario, mejor será la copia de seguridad. Consulte elapartado “Iniciar y detener los componentes de servidor” en la página 7 dondeobtendrá instrucciones acerca del inicio y la detención de Trust Authority. Consultela publicación IBM DB2 Universal Database Command Reference, Versión 5.2 dondeobtendrá información sobre cómo detener e iniciar las bases de datos.

En cuanto a las utilidades de copia de seguridad, IBM recomienda las siguientes:v Para AIX, utilice las utilidades de copia de seguridad integradas del sistema,

mksysb y savevg o ADSM (otro producto IBM). Si emplea las utilidades mksysby savevg, consulte su documentación de AIX donde obtendrá información acercade los procedimientos correctos. Si utiliza ADSM, utilícela junto con mksysb.

v Para Windows NT, utilice una utilidad del mercado, que realiza una imagen delsistema desde la cual puede recuperar todo el sistema. Si utiliza ADSM, utilícelajunto con una utilidad de imagen del sistema.

Siga los procedimientos de restauración apropiados para la utilidad de copia deseguridad seleccionada.

Duplicar el coprocesador criptográfico 4758Para efectuar la copia de seguridad del coprocesador criptográfico 4758, debeduplicar la clave maestra desde el equipo en el que haya instalado el sistema TrustAuthority a un equipo independiente. Puede encontrar los procedimientos parallevarlo a cabo en la página Library del sitio Web de IBM SecureWay TrustAuthority en la siguiente ubicación:http://www.ibm.com/software/security/trust/library

Efectuar el seguimiento del número de usuarios y certificadosSu contrato de licencia con IBM requiere que controle el número de usuarios deTrust Authority. Para ayudarle a obtener esta información, Trust Authorityproporciona una herramienta de informe de uso, Usage Report. Esta herramientahace un seguimiento del número de usuarios activos e inactivos en su sistema y el


número de certificados activos y revocados firmados por la CA de Trust Authoritydesde que se instaló el producto. Los elementos de datos específicos de UsageReport se describen de este modo:

Usuarios activosLos usuarios con un certificado activo por lo menos, donde usuario sedefine como una entidad que tiene un nombre distintivo (DN) exclusivo.

Usuarios inactivosLos usuarios que no tienen certificados activos; es decir, los certificadosemitidos previamente a estos usuarios han caducado o se han revocado.

Certificados activosLos certificados firmados por la CA de Trust Authority que no hancaducado ni se han revocado.

Certificados revocadosLos certificados que se han revocado.

Procedimiento del icono de programa de Windows NTSi está ejecutando Trust Authority en una plataforma Windows NT, y prefiereseleccionar iconos de programa en lugar de entrar el mandato en una ventanaDOS, utilice el procedimiento siguiente para generar un informe de uso. Consulteel apartado “Ejemplo de salida de un informe de Usage Report” para obtener unejemplo de la salida del informe.1. Inicie la sesión como el usuario de configuración de Trust Authority en el

equipo en el que instaló el componente servidor CA de Trust Authority. Elnombre de usuario predeterminado y sugerido es cfguser; su organizaciónpodría haber utilizado un valor distinto.

2. Seleccione Inicio → Programas → IBM SecureWay Trust Authority → TrustAuthority Usage Report.

Procedimiento de línea de mandatosSi está ejecutando Trust Authority en una plataforma AIX, o si prefiere entrar elmandato en lugar de seleccionar iconos de programa en Windows NT, utilice elprocedimiento siguiente para generar un informe de uso. Consulte el apartado“Ejemplo de salida de un informe de Usage Report” para ver un ejemplo de lasalida del informe.1. Inicie la sesión como el usuario de configuración de Trust Authority en el

equipo en el que instaló el componente servidor CA de Trust Authority. Elnombre de usuario predeterminado y sugerido es cfguser. Si instaló TrustAuthority en Windows NT, su organización podría haber empleado un valordistinto.

2. Cambie al subdirectorio bin del directorio de instalación de Trust Authority. Lossiguientes ejemplos muestran la ruta de acceso predeterminada del directorio:v En AIX: /usr/lpp/iau/binv En Windows NT: c:\Archivos de programa\IBM\Trust Authority\bin

3. Entre el mandato siguiente:TAUsageReport

Ejemplo de salida de un informe de Usage ReportTrust Authority Usage Report

Report generated on : Sep 28, 1999 16:10:20 EDT

Total active users = 42


Total active certificates = 53Total inactive users = 6Total revoked certificates = 3

Efectuar el seguimiento de la actividad de certificadoPuede emplear la utilidad Activity Report de Trust Authority para controlar elnúmero de certificados que se aprueban, se rechazan o se revocan en un díadeterminado o en el transcurso de una semana. Activity Report se divide en lasdos partes siguientes:v Parte 1

La primera parte del informe lista los responsable de registross (administradoresde RA) en su sistema y muestra la actividad de certificados por responsable deregistros (administrador).

v Parte 2La segunda parte del informe lista el número total de certificados que seaprobaron, rechazaron o revocaron durante el período de tiempo solicitado, yasea de forma manual por parte de un responsable de registros oautomáticamente a través de salidas de políticas.

Procedimiento del icono de programa de Windows NTSi está ejecutando Trust Authority en una plataforma Windows NT, y prefiereseleccionar iconos de programa en lugar de entrar el mandato en una ventanaDOS, utilice el procedimiento siguiente para generar un Informe de actividad.Consulte el apartado “Ejemplo de salida de un informe de Activity Report” en lapágina 15 para ver un ejemplo de salida del informe.1. Inicie la sesión como el usuario de configuración de Trust Authority en el

equipo en el que instaló el componente servidor RA de Trust Authority. Elnombre de usuario sugerido es cfguser; su organización podría haber empleadoun valor distinto.

2. Seleccione Inicio → Programas → IBM SecureWay Trust Authority → TrustAuthority Activity Report.

3. Cuando el sistema le pida el tipo de informe, entre 1 para obtener un informesemanal o 2 para ver un resumen de la actividad que se produjo en un díadeterminado.

4. Cuando el sistema le pida la fecha, entre la fecha de inicio de la semana para laque desee obtener el informe, o la fecha exacta para la que desee obtener uninforme diario. Debe escribir la fecha en formato aaaa-mm-dd; por ejemplo,1999-10-01.

Procedimiento de línea de mandatosSi está ejecutando Trust Authority en una plataforma AIX, o si prefiere entrar elmandato en lugar de seleccionar iconos de programa en Windows NT, utilice elprocedimiento siguiente para generar un Informe de actividad. Consulte elapartado “Ejemplo de salida de un informe de Activity Report” en la página 15para ver un ejemplo de salida de informe.1. Inicie la sesión como el usuario de configuración de Trust Authority en el

equipo en el que instaló el componente servidor RA de Trust Authority. Elnombre de usuario predeterminado y sugerido es cfguser. Si instaló TrustAuthority en Windows NT, su organización podría haber empleado un valordistinto.

2. Cambie al subdirectorio bin del directorio de instalación de Trust Authority. Lossiguientes ejemplos muestran la ruta de acceso predeterminada del directorio:v En AIX: /usr/lpp/iau/bin


v En Windows NT: c:\Archivos de programa\IBM\Trust Authority\bin

3. Entre el mandato siguiente:TAActivityReport

4. Cuando el sistema le pida el tipo de informe, entre 1 para obtener un informesemanal o 2 para ver un resumen de la actividad que se produjo en un díadeterminado.

5. Cuando el sistema le pida la fecha, entre la fecha de inicio de la semana para laque desee obtener el informe, o la fecha exacta para la que desee obtener uninforme diario. Debe escribir la fecha en formato aaaa-mm-dd; por ejemplo,1999-10-01.

Nota: Para ignorar estas solicitudes, puede especificar los siguientes parámetros demandato en la línea de mandatos:TAActivityReport [-t tipoInforme(1/2)] [-d fechaInicio(aaaa-mm-dd)]

Por ejemplo: TAActivityReport -t 2 -d 1999-09-27

Ejemplo de salida de un informe de Activity ReportEl siguiente ejemplo muestra un informe de actividad diario. El informe semanaltiene el mismo aspecto pero proporciona un resumen de los totales semanales.Trust Authority Activity Report

Report generated on : Sep 28, 1999 15:59:23 EDTDate of daily report : 1999-09-27

Daily Activity Report for RA Administrators

RA Administrator DN Approved Rejected Revoked

CN=RAadmin1, OU=PKI, O=IBM, C=US 23 6 1CN=RAadmin2, OU=PKI, O=IBM, C=US 14 2 0CN=RAadmin3, OU=PKI, O=IBM, C=US 55 8 4

Daily Activity Report for the System

Approved = 92Rejected = 16Revoked = 5

Administrar WebSphere Application ServerIBM WebSphere es un conjunto de productos de software que ayudan a lasorganizaciones a desarrollar y gestionar sitios Web de alto rendimiento. WebSphereApplication Server, junto con IBM HTTP Server, ayuda a proporcionar lainfraestructura para la funcionalidad de servidor Web en Trust Authority.

Comprobar el estado de WebSphere Application ServerEn función de su entorno, puede comprobar el estado de WebSphere ApplicationServer llevando a cabo una de las siguientes series de procedimientos:v En AIX:

1. Inicie la sesión en AIX como usuario root.2. Compruebe la tabla de procesos y busque:

OutofProcEngine


Si ve este proceso, vaya al paso 3. En caso contrario, consulte el apartado“Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.

3. Consulte la documentación de WebSphere para acceder a las páginas deadministración de WebSphere y determinar el estado del servidor.

v En Windows NT:1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie el Administrador de tareas pulsando las teclas Control Alt y Supr.3. Seleccione la ficha Procesos.4. Busque por lo menos una instancia de proceso de java.exe.


5. Consulte la documentación de WebSphere para acceder a las páginas deadministración de WebSphere y determinar el estado del servidor.

Comprobar los registros cronológicos de WebSphereApplication Server

Puede comprobar los registros cronológicos que registran las transacciones entreWebSphere Application Server y el Asistente para la instalación de IBM TrustAuthority en las ubicaciones que se muestran en la Tabla 2.

Tabla 2. Registros cronológicos de WebSphere Application Server de transacciones con el Asistente para lainstalación

Ubicación predeterminada de archivos deAIX

Ubicación predeterminada de archivos deWindows NT

Comentarios

/usr/lpp/iau/etc/logs/jvm_stderr.log c:\Archivos de programa\IBM\TrustAuthority\etc\logs\jvm_stderr.log

La salida de errorestándar de la JavaVirtual Machine (JVM).

/usr/lpp/iau/etc/logs/jvm_stdout.log c:\Archivos de programa\IBM\TrustAuthority\etc\logs\jvm_stdout.log

La salida estándar de laJVM.

Puede comprobar los registros cronológicos que registran las transacciones entreWebSphere Application Server y su servicio de registro en las ubicaciones que semuestran en la tabla Tabla 3.

Tabla 3. Registros cronológicos de WebSphere Application Server de transacciones con el servicio de registro



Comentarios

/usr/lpp/iau/pkrf/Domains/SuDominio/etc/logs/jvm_stderr.log

c:\Archivos de programa\IBM\TrustAuthority\pkrf\Domains\SuDominio\etc\logs\jvm_stderr.log

La salida de errorestándar de la JavaVirtual Machine (JVM).

/usr/lpp/iau/pkrf/Domains/SuDominio/etc/logs/jvm_stdout.log

c:\Archivos de programa\IBM\TrustAuthority\pkrf\Domains\SuDominio\etc\logs\jvm_stdout.log

La salida estándar de laJVM.


Tabla 3. Registros cronológicos de WebSphere Application Server de transacciones con el servicio deregistro (continuación)



Comentarios

/usr/lpp/iau/pkrf/Domains/SuDominio/logs/puerto-ssl_nombredesistemaprincipal-ssl-error.log

c:\Archivos de programa\IBM\TrustAuthority\pkrf\Domains\SuDominio\logs\puerto-ssl_nombredesistemaprincipal-ssl-error.log

Mensajes de error detransacciones enconexiones HTTPseguras. Pueden ser dedos tipos:Autentificadas paracliente y noautentificadas paracliente.

/usr/lpp/iau/pkrf/Domains/SuDominio/logs/nombredesistema principalerror.log

c:\Archivos de programa\IBM\TrustAuthority\pkrf\Domains\SuDominio\logs\puerto-público_nombredesistemaprincipalerror.log

Mensajes de error detransacciones enconexiones HTTPpúblicas.

Administrar HTTP ServerIBM HTTP Server es el producto servidor Web que gestiona las comunicacionesbasadas en Web con navegadores y otros programas. El daemon HTTP (HTTPD) esel proceso persistente que constituye el núcleo del HTTP Server. Trust Authorityemplea diversos daemons HTTP. Estas instancias de daemon HTTP gestionan lasconexiones públicas, cifradas y las autentificadas y cifradas por el cliente. Consulteel apartado “Servidores Web” en la página 67 para obtener información detalladaacerca de los servidores Web y los distintos tipos de conexión utilizados en TrustAuthority para gestionar varios tipos de transacciones.

Comprobar el estado del HTTP ServerEn función de su entorno, puede comprobar el estado de HTTP Server llevando acabo una de las siguientes series de procedimientos:v En AIX:

1. Inicie la sesión en AIX como usuario root.2. Compruebe la tabla de procesos y busque estas instancias de procesos:

– 1 de sidd

– Como mínimo 2 de httpd

Si encuentra estos tres procesos, pase a 3. Si no ve estas tres instancias,consulte el apartado “Resolución de problemas” en la página 112 dondeobtendrá las instrucciones.

3. Vaya al directorio bin, que tiene la siguiente ruta de acceso predeterminada:/usr/lpp/iau/bin

4. Compruebe los puertos entrando este mandato para cada puerto:checkSrvPortStatus -p puerto -s servidor -r1 -w1

donde puerto es el número del puerto que desea comprobar, y servidor es elnombre del HTTP Server asociado. Consulte la Tabla 13 en la página 68 paraver un resumen de la configuración predeterminada de puerto y de HTTPServer de Trust Authority.

Si el puerto para el que está llevando a cabo la comprobación respondecorrectamente, el sistema muestra el mensaje siguiente:


Port:puerto on servidor is bound.

donde puerto es el puerto que está comprobando y servidor es el nombre delservidor correspondiente.

v En Windows NT:1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie el Administrador de tareas pulsando las teclas Ctrl, Alt y Supr.3. Seleccione la ficha Procesos.4. Busque dos instancias de Apache.exe de proceso.

Si encuentra estos dos procesos, pase a 5. Si no ve estas dos instancias,consulte el apartado “Resolución de problemas” en la página 112 dondeobtendrá las instrucciones.

5. Desde el indicador de MS DOS, vaya al directorio bin, que tiene la siguienteruta de acceso predeterminada:c:\Archivos de programa\IBM\Trust Authority\bin

6. Compruebe los puertos entrando este mandato para cada puerto:checkSrvPortStatus -p puerto -s servidor -r1 -w1

donde puerto es el número del puerto que desea comprobar, y servidor es elnombre del HTTP Server asociado. Consulte la Tabla 13 en la página 68 paraver un resumen de la configuración predeterminada de puerto y de HTTPServer de Trust Authority.

Si el puerto para el que está llevando a cabo la comprobación respondecorrectamente, el sistema muestra el mensaje siguiente:Port:puerto on servidor is bound.

donde puerto es el puerto que está comprobando y servidor es el nombre delservidor correspondiente.

Comprobar los registros cronológicos de HTTP ServerPuede comprobar los registros cronológicos que registran las transacciones entreIBM HTTP server y el Asistente para la instalación de Trust Authority en lasubicaciones que se muestran en la Tabla 4.

Tabla 4. Registros cronológicos de HTTP Server de transacciones con el Asistente para la instalación



Comentarios

/usr/lpp/iau/logs/oop_native.log.ERROR c:\Archivos de programa\IBM\TrustAuthority\logs\oop_native.log.ERROR

Mensajes de error de laparte correspondienteal código nativo delsistema fuera deproceso.

/usr/lpp/iau/logs/oop_native.log.INFORM

c:\Archivos de programa\IBM\TrustAuthority\logs\ oop_native.log.INFORM

Mensajes informativosde la partecorrespondiente alcódigo nativo delsistema fuera deproceso.


Tabla 4. Registros cronológicos de HTTP Server de transacciones con el Asistente para la instalación (continuación)



Comentarios

/usr/lpp/iau/logs/oop_native.log.WARNING

c:\Archivos de programa\IBM\TrustAuthority\logs\ oop_native.log.WARNING

Mensajes de aviso de laparte correspondienteal código nativo delsistema fuera deproceso.

Puede comprobar los registros cronológicos que registran las transacciones entreIBM HTTP server y su servicio de registro en las ubicaciones que se muestran en laTabla 5.

Tabla 5. Registros cronológicos del HTTP Server de transacciones con el servicio de registro



Comentarios

usr/lpp/iau/pkrf/Domain/SuDominio/logs/apache.log.ERROR.PID

c:\Archivos de programa\IBM\TrustAuthority\Domains\SuDominio\logs\apache.log.ERROR.PID

Los mensajes de errorde IBM HTTP Server.

usr/lpp/iau/pkrf/Domain/SuDominio/logs/apache.log.INFORM.PID

c:\Archivos de programa\IBM\TrustAuthority\Domains\SuDominio\logs\apache.log.INFORM.PID

Los mensajesinformativos de IBMHTTP Server.

usr/lpp/iau/pkrf/Domain/SuDominio/logs/apache.log.TRACE.PID

c:\Archivos de programa\IBM\TrustAuthority\Domains\SuDominio\logs\apache.log.TRACE.PID

El registro cronológicode seguimiento de IBMHTTP Server.

Administrar el servidor CAEsta sección proporciona procedimientos operativos y administrativos para elservidor de autoridad de certificados (CA) de Trust Authority. El servidor CAgestiona las tareas correspondientes al servidor para la CA de Trust Authority.Reside junto con su instancia de base de datos DB2 en un sistema remoto o local.

Las tareas que probablemente llevará a cabo para administrar el servidor CA sonlas siguientes:v Utilizar IniEditor para efectuar estos cambios en el archivo de configuración

jonahca.ini:– Cambiar el puerto TCP en el que escucha la CA.– Cambiar el intervalo de sondeo para mensajes PKIX.– Cambiar los valores de la CRL.– Cambiar la política de protección de la ICL.

v Cambiar la clave de protección de la ICL.v Comprobar la integridad de la base de datos del servidor CA.v Utilizar la utilidad CA Certification para la certificación cruzada y la jerarquía

CA.v Comprobar los registros del servidor CA.v Comprobar el estado del servidor CA.v Activar puntos de distribución de la CRL.


Cambiar el puerto escucha del servidor CAEl puerto escucha del servidor CA es el lugar en el que la CA escucha paradetectar mensajes PKIX. Para cambiar el valor de este puerto, siga estos pasos:

1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado

“Iniciar y detener los componentes de servidor” en la página 7 dondeobtendrá las instrucciones.

3. Inicie IniEditor y cargue el archivo de configuración jonahca.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivosde configuración” en la página 9 donde obtendrá las instrucciones para iniciary utilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtenerinformación acerca de las ubicaciones de los archivos de AIX y Windows NT.

4. Seleccione y expanda la sección Transport y seleccione el parámetro TCPPort.5. En el campo de edición visualizado, cambie el valor del número de puerto.6. Guarde el archivo y salga del programa.7. Reinicie IniEditor y cargue el archivo de configuración jonahra.ini (este

archivo podría hallarse en un equipo local o remoto, en función de suinstalación).

8. Seleccione la sección URLs.9. En el campo de edición visualizado, cambie el valor del número de puerto.

10. Seleccione y expanda la sección General y seleccione el parámetroIssuer1URL1.

11. En el campo de edición visualizado, cambie el valor del número de puerto.12. Guarde el archivo y salga del programa.13. Inicie el sistema Trust Authority.

Cambiar el intervalo de sondeo de la CAEl intervalo de sondeo de la CA es el intervalo de tiempo, en segundos (s),minutos (m) u horas (h) entre consultas a la cola de carga de trabajo por parte delservidor CA. Los elementos de la cola cuya hora de entrega ha transcurrido seentregan para su proceso. Para cambiar el intervalo de sondeo, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar

y detener los componentes de servidor” en la página 7 donde obtendrá lasinstrucciones.

3. Inicie IniEditor y cargue el archivo de configuración jonahca.ini. Si es necesario,consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de AIX y Windows NT.

4. Seleccione y expanda la sección Transport y seleccione el parámetroPollInterval.

5. En el campo de edición visualizado, cambie el valor del intervalo de sondeo.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.

Cambiar los valores de la CRLUna lista de revocación de certificados (CRL) es una lista de certificados firmadadigitalmente y con indicación de fecha y hora que han sido revocados por una CA.


Los siguientes valores pueden cambiarse en el archivo de configuración delservidor CA para modificar la forma en que se maneja la CRL:v El intervalo de tiempo entre la creación planificada de la CRLv El periodo de vigencia de la CRL

Cambiar el tiempo permitido entre la creación de la CRLPara cambiar la política sobre certificados y certificados cruzados con respecto altiempo permitido entre las publicaciones planificadas de una CRL, siga estospasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección CertPolicy y seleccione el parámetroTimeBetweenCRLs.

5. En el campo de edición visualizado, cambie el valor del intervalo de tiempoentre la creación de nuevas CRL.El valor deberá ser un intervalo en minutos (m), horas (h), o días (d). Porejemplo, 1d. El valor debe ser inferior al valor de duración de la CRL.

6. Seleccione y expanda la sección CrossCertPolicy y seleccione el parámetroTimeBetweenCRLs.

7. En el campo de edición visualizado, cambie el valor del intervalo de tiempoentre la creación de nuevas CRL.El valor deberá ser un intervalo en minutos (m), horas (h), o días (d). Porejemplo, 1d. El valor debe ser inferior al valor de duración de la CRL.

8. Guarde el archivo y salga del programa.9. Inicie el sistema Trust Authority.

Cambiar el periodo de vigencia de una CRLPara cambiar la política sobre certificados y certificados cruzados con respecto a laduración, o periodo de vigencia, de una CRL, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección CertPolicy y seleccione el parámetroCRLDuration.

5. En el campo de edición visualizado, cambie el valor del intervalo de tiempodurante el cual será válida la CRL. El valor deberá ser un intervalo en minutos(m), horas (h), o días (d). Por ejemplo, 2d.

6. Seleccione y expanda la sección CrossCertPolicy y seleccione el parámetroCRLDuration.


7. En el campo de edición visualizado, cambie el valor del intervalo de tiempodurante el cual será válida la CRL. El valor deberá ser un intervalo en horas,minutos o días. Por ejemplo, 2d.


Cambiar la política de protección de la ICLLa Lista de certificados emitidos (ICL) es una lista de los certificados que se hanemitido y de su estado. La clave de protección de la ICL es una clave cifradaalmacenada en KeyStore de Trust Authority que se utiliza para calcular un valor decódigo de autentificación de mensajes (MAC) en todas las columnas de la ICL. Enlos casos en los que el valor calculado para el MAC no concuerda con el valoralmacenado para el MAC, el sistema consulta la política de protección de la ICL yemprende la acción adecuada.

Para cambiar la política de protección de la ICL, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección ICL y seleccione el parámetroIclProtectionPolicy.

5. En el campo de edición visualizado, cambie el valor de la política de protecciónde la ICL por uno que se ajuste a las necesidades de su organización. El valordeberá ser uno de los siguientes:v Ignore — El sistema ignora el error de concordancia y no visualiza ningún

mensaje.

Nota: Este valor afecta al funcionamiento de la herramienta decomprobación de la integridad de la CA (se documenta en el apartado“Comprobar la integridad de la base de datos del servidor CA” en lapágina 23). Si especifica Ignore, la herramienta de comprobación de laintegridad de la CA no detectará irregularidades aunque existan.

v ContinueWithMessage — El sistema visualiza un mensaje de aviso peroprosigue con la transacción.

v TerminateTransaction — El sistema visualiza un mensaje de error y finaliza latransacción.


Cambiar la clave de protección de la ICLLa clave de protección de la ICL no se divulga nunca a un usuario ni a unadministrador. Sin embargo, para protegerse de alteraciones no autorizadas o delas incoherencias en los datos que han pasado inadvertidas, se recomienda quecambie la clave de protección de la ICL de forma periódica. Trust Authorityproporciona una herramienta de línea de mandatos, CARemac, que genera una


nueva clave de protección de la ICL para volver a calcular un nuevo valor delMAC. Para cambiar la clave de protección de la ICL, siga estos pasos:1. Vaya al equipo en el que está instalado el servidor CA.2. Detenga el sistema Trust Authority utilizando el procedimiento descrito en el

apartado “Iniciar y detener los componentes de servidor” en la página 7.3. Ejecute la herramienta de la clave de protección de la ICL entrando el mandato

CARemac (que incluye su ruta de acceso de instalación de Trust Authority) enla línea de mandatos de Trust Authority, por ejemplo:v En AIX, al utilizar la ruta de acceso de instalación predeterminada de Trust

Authority:CARemac in /usr/lpp/iau/bin

v En Windows NT, al utilizar la ruta de acceso de instalación predeterminadade Trust Authority:CARemac in "c:Archivos de programa\IBM\Trust Authority\bin"

La herramienta le pedirá la contraseña del Programa de control de TrustAuthority.

4. Entre la contraseña del Programa de control de Trust Authority.5. Inicie el sistema Trust Authority mediante el procedimiento descrito en el

apartado “Iniciar y detener los componentes de servidor” en la página 7.

Comprobar la integridad de la base de datos del servidor CATrust Authority proporciona una herramienta denominada CAIntegrityCheck paradetectar alteraciones en la base de datos del servidor CA. En circunstanciasnormales, la CA lleva a cabo la comprobación de protección sólo en el subconjuntode entradas de la ICL al que está accediendo en ese momento. En otras palabras,sólo comprueba los registros que se seleccionan durante la creación de la CRL yque, por lo tanto, tienen un estado revocado. Por lo tanto, en la mayoría de lasentradas de la ICL no se realiza ninguna comprobación de integridad durante lasoperaciones normales de la CA de Trust Authority.

Si desea comprobar la integridad de la totalidad de la base de datos CA, debeutilizar la herramienta de comprobación de la integridad de la CA. Este ejecutablelee y lleva a cabo la comprobación de integridad en cada entrada de la ICL. Nocambia la clave de protección, pero es necesario concluir la CA mientras esté enejecución.

Para comprobar la integridad de la base de datos del servidor CA, siga estospasos:1. Vaya al equipo en el que está instalado el servidor CA.2. Detenga el sistema Trust Authority utilizando el procedimiento descrito en el

apartado “Iniciar y detener los componentes de servidor” en la página 7.3. Ejecute la herramienta de comprobación de la integridad de la base de datos

CA entrando el siguiente mandato (que incluye su ruta de acceso de instalaciónde Trust Authority) en la línea de mandatos de Trust Authority, por ejemplo:v En AIX, al utilizar la ruta de acceso de instalación predeterminada de Trust

Authority:CAIntegrityCheck in /usr/lpp/iau/bin

v En Windows NT, al utilizar la ruta de acceso de instalación predeterminadade Trust Authority:CAIntegrityCheck in "c:Archivos de programa\IBM\Trust Authority\bin"


La herramienta le pedirá la contraseña del Programa de control de TrustAuthority.

4. Entre la contraseña del Programa de control de Trust Authority.5. Inicie el sistema Trust Authority mediante el procedimiento descrito en el

apartado “Iniciar y detener los componentes de servidor” en la página 7.

Solicitar un certificado CA empleando la certificación cruzadaPuede solicitar un certificado CA de otra CA en nombre de la CA de TrustAuthority utilizando el modelo de fiabilidad de certificación cruzada. Lacertificación cruzada permite a las CA con fiabilidad mutua acordar la aceptaciónde los certificados respectivos como prueba de autenticidad. Aunque lacertificación cruzada entre las CA puede efectuarse en ambas direcciones, en TrustAuthority sólo se ofrece soporte para las solicitudes de certificación cruzada en unadirección.

Nota: Trust Authority ofrece soporte para la certificación cruzada solamente entrelas CA que se adhieran a CMP (Certificate Management Protocol) PKIX.

Para efectuar la certificación cruzada con otra CA, emplee la utilidad CACertification de Trust Authority. Esta utilidad es una herramienta de línea demandatos. Al iniciar esta herramienta, puede especificar opciones en la extensiónde restricciones de nombres estándar del certificado. Una opción en letraminúscula especifica la inclusión en la lista de subárboles permitidos. Una opciónen letra mayúscula especifica la inclusión en la lista de subárboles excluidos. Esnormal que los subárboles excluidos se especifiquen solamente para los tipos dedirecciones para los que se se especifica asimismo una lista de subárbolespermitidos.

Las siguientes secciones detallan los pasos requeridos y los ejemplos para laobtención de un certificado CA utilizando el modelo de certificación cruzada.

Pasos a seguir con la certificación cruzadaPara solicitar un certificado CA empleando el modelo de certificación cruzada, sigaestos pasos:1. En nombre de la CA que solicite la certificación cruzada, lleve a cabo los pasos

siguientes según las instrucciones sobre inscripciones a través de la Web de laGuía del usuario:a. Lleve a cabo el registro previo especificando que la solicitud es para una

CA.Al completar el formulario de inscripción, asegúrese de entrar un nombredistintivo que coincida con el de la CA solicitante.

b. Compruebe el estado de la solicitud de inscripción.c. Siga la nota al término de la sección para guardar el archivo de registro

previo.2. Transporte el archivo de registro previo al sistema en el que reside la CA que

solicita la certificación cruzada.3. Inicie la sesión en Trust Authority como el usuario que instaló el sistema en el

sistema en el que reside la CA que solicita la certificación cruzada.4. Ejecute el mandato CaCertRq desde la línea de mandatos si se encuentra en

AIX, o desde el indicador de DOS si se encuentra en Windows NT.Al ejecutar el mandato CaCertRq, asegúrese de proporcionar la ruta de accesoabsoluta y el nombre del archivo de registro previo. Consulte el apartado


“Utilidad CA Certification” en la página 97 para obtener información acerca dela sintaxis del mandato y las descripciones de los parámetros de dichomandato.

Nota: Al especificar una ruta de acceso de directorio que contenga espaciosintercalados como el parámetro de un mandato, debe especificar la rutade acceso entre comillas dobles (″ ″).Por ejemplo, para el mandatoCaCertRq, especificaría un parámetro -r rutaderegistroprevio con espaciosintercalados de este modo:CaCertRq -d .companyA.com -r "c:\Archivos de programa\IBM\Trust

Auhority\ccprereg.reg" -P 1835 -W Secure99

Especificar una máscara de dirección IPPuede solicitar un certificado CA con certificación cruzada que restrinja la validezdel certificado a un rango de direcciones IP utilizadas por su empresa.

En el ejemplo siguiente, el sistema operativo es AIX, el rango de las direcciones IPutilizadas por su empresa es 9.0.0.0. a 9.255.255.254, el nombre de archivo y la rutade acceso de registro previo son /tmp/ccprereg.reg, y la contraseña es Secure99.Este mandato coloca el rango de direcciones especificado en la lista de subárbolespermitidos:CaCertRq -i 9.0.0.0/255.0.0.0 -r /tmp/ccprereg.reg -P 1835 -W Secure99

Especificar direcciones DNSPuede solicitar un certificado CA con certificación cruzada que restrinja la validezdel certificado a un grupo de direcciones DNS.

En el ejemplo siguiente, se está ejecutando Windows NT y todos los sistemasprincipales CA de Trust Authority tienen direcciones DNS que terminan en.companyA.com. Este mandato coloca las direcciones DNS especificadas en la listade subárboles permitidos:CaCertRq -d .companyA.com -r c:\temp\ccprereg.reg -P 1835 -W Secure99

Nota: Si una dirección DNS empieza por un punto, todos los sistemas principalesque terminen con esa subcadena (incluyendo el ″.″) se colocarán en la listade subárboles. Si no empieza por un punto, sólo se colocará el sistemaprincipal que concuerde con esa cadena.

Por ejemplo,la restricción ″.companyA.com″ concuerda conus.companyA.com, vnet.companyA.com, y w3.software.companyA.com, perono con companyA.com (ni kidcompanyA.com). La restriccióncompanyA.com concuerda con companyA.com pero no conus.companyA.com o el resto. Un subárbol de este tipo, sin un ″.″ inicial,indica solamente un único nodo posible. Las especificaciones sin un ″.″inicial son principalmente útiles para los subárboles excluidos.

Especificar direcciones de correo electrónicoPuede solicitar un certificado CA con certificación cruzada que restrinja la validezdel certificado a un grupo de direcciones de correo electrónico.

En el ejemplo siguiente, se está ejecutando Windows NT, todos los sistemasprincipales CA de Trust Authority tienen direcciones de correo electrónico queterminan en .us.companyA.com, el nombre de archivo y la ruta de acceso deregistro previo son a:\ccprereg.reg y la contraseña es Secure99. Este mandatocoloca las direcciones de correo electrónico especificadas en la lista de subárbolespermitidos:


CaCertRq -m .us.companyA.com -r a:\ccprereg.reg -P 1835 -W Secure99

Puede solicitar un certificado CA con certificación cruzada que restrinja la validezdel certificado a todas las direcciones excepto una en un grupo de direcciones decorreo electrónico.

En el ejemplo siguiente, se está ejecutando Windows NT, el sistema principal CAde Trust Authority tiene la dirección de correo electrónicooutCA.us.companyA.com, el nombre de archivo y la ruta de acceso de registroprevio son a:\ccprereg.reg y la contraseña es Secure99. Este mandato coloca lasdirecciones de correo electrónico especificadas en la lista de subárboles excluidos:CaCertRq -m .us.companyA.com -M outCA.us.companyA.com -r a:\ccprereg.reg -P 1835

-W Secure99

Especificar los URIPuede solicitar un certificado CA con certificación cruzada que restrinja la validezdel certificado a un grupo de Identificadores de recursos uniformes (los URI, unacategoría de identificadores de la cual los URL son el subconjunto más común).

En el ejemplo siguiente, se está ejecutando AIX, todos los sistemas principales CAde Trust Authority tienen nombres de sistema principal terminados en .xyz.com, elnombre de archivo y la ruta de acceso de registro previo son /tmp/ccprereg.reg yla contraseña es Secure99. Este mandato coloca el URI especificado en la lista desubárboles permitidos:CaCertRq -u .xyz.com -r /tmp/ccprereg.reg -P 1835 -W Secure99

Nota: La parte del nodo (que, en una estructura de árbol, es un punto en el cual seoriginan los elementos subordinados de datos) del URI se ve sometida a lasmismas reglas que las descritas en el apartado “Especificar direccionesDNS” en la página 25, a menos que contenga una dirección IP. En ese caso,se considera una correspondencia exacta.

Especificar entradas del DirectorioPuede solicitar un certificado CA con certificación cruzada que restrinja la validezdel certificado a un grupo de entradas del Directorio con los mismos nombresdistintivos relativos (RDN).

En el ejemplo siguiente, se está ejecutando AIX, todos los RDN de los sistemasprincipales CA de Trust Authority coinciden con los RDN suministrados,/C=US/O=companyA/OU=departmentB, el nombre de archivo y la ruta de accesode registro previo son /tmp/ccprereg.reg y la contraseña es Secure99. Estemandato coloca el RDN especificado en la lista de subárboles permitidos:CaCertRq -n "/C=US/O=companyA/OU=departmentB" -r /tmp/ccprereg.reg -P 1835

-W Secure99

Solicitar un certificado CA empleando el modelo de jerarquíaPuede solicitar un certificado CA de otra CA utilizando el modelo de jerarquía deconfianza. Puede efectuar esta operación, por ejemplo, si su sitio dispone de lainstalación de Trust Authority en varias ubicaciones y desea establecer unajerarquía de confianza entre las CA. Las CA confían en las CA que se hallan porencima de ellas en la jerarquía y aceptan los certificados de esas CA como pruebade autenticidad.

Nota: Trust Authority ofrece soporte para certificación jerárquica solamente entrelas CA que se adhieran al Protocolo de gestión de certificados (CMP) PKIX ya los protocolos PKCS núm. 7 y PKCS núm. 10.


Para definir una jerarquía de CA, emplee la utilidad de línea de mandatos CACertification de Trust Authority. Al iniciar esta herramienta, debe especificar por lomenos una opción en la extensión de restricciones de nombres estándar delcertificado (consulte el apartado “Extensiones de certificado” en la página 58 paraver un comentario detallado de las extensiones de certificado). Una opción en letraminúscula especifica la inclusión en la lista de subárboles permitidos. Una opciónen letra mayúscula especifica la inclusión en la lista de subárboles excluidos. Esnormal que los subárboles excluidos se especifiquen solamente para los tipos dedirecciones para los que se se especifica asimismo una lista de subárbolespermitidos.

Nota: Si tiene la intención de descargar los certificados CA jerárquicos en NetscapeCommunicator como parte de su solución global de jerarquía, deberíaemplear el indicador ″-m ..″ con la utilidad CA Certification para excluir laextensión de restricciones de nombres del certificado CA resultante. Nodebería utilizar otra opción de restricciones de nombres de línea demandatos que no sea ″-m ..″ (en otras palabras, no emplee -i/I, -d/D, -u/U,-n/N, ni -m/-M) con la utilidad CA Certification. La sintaxis para unmandato de este tipo tiene este aspecto:CaCertRq -m .. -h -r rutaderegistroprevio -P 1835 -W contraseña

Las siguientes secciones detallan los pasos requeridos y los ejemplos para laobtención de un certificado CA utilizando el modelo de jerarquía.

Pasos para solicitar un certificado CA empleando jerarquíaPara solicitar un certificado CA empleando el modelo de jerarquía, siga estospasos:1. En nombre de la CA que solicite la certificación basada en jerarquía, lleve a

cabo los pasos siguientes según las instrucciones sobre inscripciones a través dela Web de la Guía del usuario:a. Lleve a cabo el registro previo especificando que la solicitud es para una

CA.Al completar el formulario de inscripción, asegúrese de entrar un nombredistintivo que coincida con el de la CA solicitante.

b. Compruebe el estado de la solicitud de inscripción.c. Siga la nota al término de la sección para guardar el archivo de registro

previo.2. Transporte el archivo de registro previo al sistema en el que reside la CA que

solicita el certificado CA basado en jerarquía.3. Inicie la sesión en Trust Authority como el usuario que instaló el sistema en el

sistema en el que reside la CA que solicita el certificado.4. Ejecute el mandato CaCertRq desde la línea de mandatos si se encuentra en

AIX, o desde el indicador de DOS si se encuentra en Windows NT.Al ejecutar el mandato CaCertRq, asegúrese de proporcionar la ruta de accesoabsoluta y el nombre del archivo de registro previo. Consulte el apartado“Utilidad CA Certification” en la página 97 para obtener información acerca dela sintaxis del mandato y las descripciones de los parámetros de dichomandato.

Nota: Al especificar una ruta de acceso de directorio que contenga espaciosintercalados como el parámetro de un mandato, debe especificar la rutade acceso entre comillas dobles (″ ″).Por ejemplo, para el mandatoCaCertRq, especificaría un parámetro -r rutaderegistroprevio con espaciosintercalados de este modo:


CaCertRq -d .companyA.com -h -r "c:\Archivos de programa\IBM\TrustAuhority\ccprereg.reg" -P 1835 -W Secure99

Especificar una máscara de dirección IPPuede solicitar un certificado CA que herede la jerarquía CA de otra CA y querestrinja la validez del certificado a un grupo de direcciones IP utilizadas por suempresa.

En el ejemplo siguiente, se está ejecutando AIX, el rango de las direcciones IPutilizadas por su empresa va de 9.0.0.0. a 9.255.255.254, el nombre de archivo y laruta de acceso de registro previo son /tmp/ccprereg.reg, y la contraseña esSecure99. Este mandato coloca el rango de direcciones especificado en la lista desubárboles permitidos:CaCertRq -i 9.0.0.0/255.0.0.0 -h -r /tmp/ccprereg.reg -P 1835 -W Secure99

Especificar direcciones DNSPuede solicitar un certificado CA que herede la jerarquía CA de otra CA y querestrinja la validez del certificado a un grupo de direcciones DNS.

En el ejemplo siguiente, se está ejecutando Windows NT, todos los sistemasprincipales CA de Trust Authority tienen direcciones DNS que terminan en.companyA.com, el nombre de archivo y la ruta de acceso de registro previo sona:\ccprereg.reg y la contraseña es Secure99. Este mandato coloca las direccionesDNS especificadas en la lista de subárboles permitidos:CaCertRq -d .companyA.com -h -r a:\ccprereg.reg -P 1835 -W Secure99

Nota: Si una dirección DNS empieza por un punto, todos los sistemas principalesque terminen con esa subcadena (incluyendo el ″.″) se colocarán en la listade subárboles. Si no empieza por un punto, sólo se colocará el sistemaprincipal que concuerde con esa cadena.

Por ejemplo,la restricción ″.companyA.com″ concuerda conus.companyA.com, vnet.companyA.com, y w3.software.companyA.com, perono con companyA.com (ni kidcompanyA.com). La restriccióncompanyA.com concuerda con companyA.com pero no conus.companyA.com o el resto. Un subárbol de este tipo, sin un ″.″ inicial,indica solamente un único nodo posible. Las especificaciones sin un ″.″inicial son principalmente útiles para los subárboles excluidos.

Especificar direcciones de correo electrónicoPuede solicitar un certificado CA que herede la jerarquía CA de otra CA y querestrinja la validez del certificado a un grupo de direcciones de correo electrónico.

En el ejemplo siguiente, se está ejecutando AIX, todos los sistemas principales CAde Trust Authority tienen direcciones de correo electrónico que terminan en.us.companyA.com, el nombre de archivo y la ruta de acceso de registro previo son/tmp/ccprereg.reg y la contraseña es Secure99. Este mandato coloca las direccionesde correo electrónico especificadas en la lista de subárboles permitidos:CaCertRq -m .us.companyA.com -h -r /tmp/ccprereg.reg -P 1835 -W Secure99

Puede solicitar un certificado CA que herede la jerarquía CA de otra CA y querestrinja la validez del certificado a todas las direcciones excepto una de un grupode direcciones de correo electrónico. En el ejemplo siguiente, el sistema principalCA de Trust Authority tiene la dirección de correo electrónicooutCA.us.companyA.com, el nombre de archivo y la ruta de acceso de registro


previo son /tmp/ccprereg.reg y la contraseña es Secure99. Este mandato coloca ladirección de correo electrónico especificada en la lista de subárboles excluidos:CaCertRq -m .us.companyA.com -M outCA.us.companyA.com -h -r /tmp/ccprereg.reg -P 1835

Secure99

Especificar los URIPuede solicitar un certificado CA que herede la jerarquía CA de otra CA y querestrinja la validez del certificado a un grupo de Identificadores de recursosuniformes (los URI, una categoría de identificadores de la cual los URL son elsubconjunto más común). En el ejemplo siguiente, se está ejecutando Windows NT,todos los URI de los sistemas principales CA de Trust Authority terminan en.xyz.com, el nombre de archivo y la ruta de acceso de registro previo sona:\ccprereg.reg y la contraseña es Secure99. Este mandato coloca el URIespecificado en la lista de subárboles permitidos:CaCertRq -u .xyz.com -h -r a:\ccprereg.reg -P 1835 -W Secure99

Nota: La parte del nodo del URI está sometida a las mismas reglas que lasdescritas en el apartado “Especificar direcciones DNS” en la página 25, amenos que contenga una dirección IP. En ese caso, se considera unacorrespondencia exacta.

Especificar entradas del DirectorioPuede solicitar un certificado CA que herede la jerarquía CA de otra CA y querestrinja la validez del certificado a un grupo de entradas del Directorio con losmismos nombres distintivos relativos (RDN). En el ejemplo siguiente, se estáejecutando AIX, todos los RDN de los sistemas principales CA de Trust Authoritycoinciden con los RDN suministrados, /C=US/O=companyA/OU=departmentB, elnombre de archivo y la ruta de acceso de registro previo son /tmp/ccprereg.reg yla contraseña es Secure99. Este mandato coloca el RDN especificado en la lista desubárboles permitidos:CaCertRq -n "/C=US/O=companyA/OU=departmentB" -h -r /tmp/ccprereg.reg -P 1835 -W Secure99

Nota: En Trust Authority, se utiliza el formato siguiente para los DN:/C=país/O=organización/OU=unidad_organizativa/CN=nombre_común

Excluir las restricciones de nombresSi tiene la intención de descargar los certificados CA jerárquicos en NetscapeCommunicator como parte de su solución global de jerarquía, debería emplear elindicador ″-m ..″ con la utilidad CA Certification para excluir la extensión derestricciones de nombres del certificado CA resultante. En el siguiente ejemplo, seestá ejecutando Windows NT, se está empleando la ruta de acceso de instalaciónpredeterminada de Trust Authority, el nombre de archivo de registro previo y lacontraseña del sistema. Por ejemplo, una instancia de un mandato de este tipopuede tener este aspecto:CaCertRq -m .. -h -r "c:\Archivos de programa\IBM\Trust Authority\ccprereg.reg" -P 1835 -W Secure9

Comprobar los registros cronológicos del servidor CALos registros cronológicos del servidor CA registran todas las transacciones con elservidor CA. Puede comprobar los registros cronológicos del servidor CA en lasiguiente ubicación.


Tabla 6. Registros cronológicos del servidor CA

Ubicación predeterminada de archivosde AIX

Ubicación predeterminada dearchivos de Windows NT

Descripción

/usr/lpp/iau/etc/TrustAuthority c:\Archivos deprograma\IBM\TrustAuthority\etc\TrustAuthority

Existe una raíz para el nombre dearchivo del registro cronológico,caSS.log. Cada vez que se crea unnuevo registro, la extensión xnnnnnnse incrementa.

Comprobar el estado del servidor CAEn función de su entorno, puede comprobar el estado del servidor CA llevando acabo una de las siguientes series de procedimientos:v En AIX:

1. Inicie la sesión en AIX como usuario root.2. Compruebe la tabla de procesos y busque este proceso:

irgAutoCa



4. Compruebe que el puerto 1835 responda correctamente entrando estemandato:ServerControl -i -c -k CA -n servidor -p 1835 -l "archivoderegistro"

donde servidor es el nombre del servidor CA asociado al puerto 1835, yarchivoderegistro es el nombre del archivo del registro cronológico en el quedesea registrar los resultados del mandato ServerControl.

Si el puerto responde correctamente, el sistema muestra el mensaje siguiente:Se ha verificado que el servicio [CA] se estáejecutando en el servidor: servidor, puerto: 1835.

donde servidor es el servidor asociado al puerto 1835.v En Windows NT:

1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie el Administrador de tareas pulsando las teclas Ctrl, Alt y Supr.3. Seleccione la ficha Procesos.4. Busque el irgAutoCA.exe de proceso.

Si ve este proceso, vaya al paso 5.En caso contrario, consulte el apartado“Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.


6. Compruebe que el puerto 1835 responda correctamente entrando estemandato:ServerControl -i -c -k CA -n servidor -p 1835 -l "archivoderegistro"


donde servidor es el nombre del servidor CA asociado al puerto 1835, yarchivoderegistro es el nombre del archivo de registro en el que desea registrarlos resultados del mandato ServerControl.

Si el puerto responde correctamente, el sistema muestra el mensaje siguiente:Se ha verificado que el servicio [CA] se estáejecutando en el servidor: servidor, puerto: 1835.

donde servidor es el servidor asociado al puerto 1835.

Activar puntos de distribución de la CRLPuede activar los puntos de distribución de la CRL llevando a cabo los pasossiguientes:1. Inicie la sesión en su sistema operativo como administrador.2. Detenga el sistema Trust Authority.3. Inicie iniEditor y cargue el archivo de configuración jonahca.ini.4. Seleccione y expanda la sección General y seleccione el parámetro CertperDP.5. En el campo de edición visualizado, cambie el valor por un entero positivo

distinto de cero.6. Todavía en la sección General, seleccione el parámetro CRLDistName.7. En el campo de edición visualizado, cambie el valor por un nombre con

significado; debe mantener ’%d’ en el nombre.8. Guarde el archivo y salga de iniEditor.9. Inicie el sistema Trust Authority.

Administrar el servidor RAEsta sección proporciona procedimientos operativos y administrativos para elservidor de autoridad de registro (RA) de Trust Authority. El servidor RA gestionalas comunicaciones entre RA Desktop y el servidor CA. Reside junto con suinstancia de base de datos DB2 en un sistema local.

Las tareas que probablemente llevará a cabo para administrar el servidor RA sonlas siguientes:v Emplear la utilidad Add RA User (add_rauser) para agregar usuarios al sistema

como responsable de registross (administradores de RA).v Emplear la utilidad Enable RA Database Encryption (iauEnableRADBSec) para

activar el cifrado de la base de datos RA.v Utilizar IniEditor para efectuar estos cambios en el archivo de configuración

jonahra.ini:– Cambiar el puerto escucha del servidor RA.– Cambiar el intervalo de sondeo de la RA.– Cambiar el intervalo de reintentos de la RA.– Cambiar la configuración de la RA para las comunicaciones con el Directorio.

v Comprobar los registros del servidor RA.v Comprobar el estado del servidor RA.

Agregar responsable de registrossUsted es el responsable de agregar nuevos responsable de registross al sistema. Unusuario al que se le ha concedido la autoridad de responsable de registros puede


desempeñar las funciones y acceder a los recursos restringidos definidos en uno delos perfiles de RA especificados en el archivo de configuración del servicio deregistro de Trust Authority. Para poder agregar un nuevo responsable de registros,debe ser un administrador de RA. Esta sección describe los procedimientos paraobtener las credenciales del administrador de RA y, seguidamente, agregar unadministrador de RA.

Agregarse como el primer responsable de registrosPara agregarse al sistema Trust Authority como un responsable de registros, sigaestos pasos:1. Si no tiene uno, solicite y obtenga un certificado de navegador. Consulte la Guía

del usuario donde obtendrá instrucciones.2. Anote uno de los siguientes códigos de identificación:v El ID de solicitud generado para usted durante la inscripción en el

navegador.Es posible que aún lo tenga si se inscribió recientemente para un certificadode navegador.

v La identificación de usuario exclusivo de credencial (UUID de credencial)generada como resultado de una inscripción en el navegador correcta.Puede obtener su UUID de credencial siguiendo estos pasos:a. Inicie una sesión interactiva de línea de mandatos de DB2. Según su

sistema operativo, utilice una de las siguientes series de procedimientos:– En AIX:

1) En el indicador, entre el mandato su para cambiar a la cuenta deadministración del usuario que instaló Trust Authority.

2) Entre la contraseña para ese usuario de Trust Authority.3) Entre db2 para iniciar la sesión DB2.4) En el indicador de DB2, conecte con la base de datos entrando:

connect to pkrfdb

En este caso, se asume la base de datos de registro por defecto,pkrfdb.

– En Windows NT:1) En la barra de herramientas de Windows, seleccione Inicio →

Programas → DB2 para Windows NT → Procesador de línea demandatos

2) En el indicador, entre DB2.3) Entre connect to pkrfdb.

En este caso, se asume la base de datos de registro por defecto,pkrfdb.

b. En el indicador de DB2, entre un mandato SQL como el siguiente:select last_name, first_name, credential_uuid, created_on from requests

where last_name = 'suapellido' and first_name = 'sunombre' andprofile_name like '%BrowserCert%'

Si la operación se ha realizado satisfactoriamente, el sistema devuelve elapellido, el nombre, la UUID credencial y la indicación de la fecha y horapara todos los informes coincidentes. En este caso, la informacióndevuelta es la del informe de solicitud para su certificado de navegadoraprobado.

c. Entre quit para finalizar la sesión DB2.


3. Siga las instrucciones del apartado “Agregar un responsable de registros”empezando por el paso 3 para finalizar el proceso de agregarse al sistema comoel primer responsable de registros.

Agregar un responsable de registrosSegún los procedimientos establecidos por su organización, una solicitud paraagregar un responsable de registros podría efectuarse de varias formas, desde unallamada de teléfono informal a un proceso de solicitud más formal. En la mayoríade las organizaciones, para poder optar al estado de responsable de registros, debehaberse emitido para el usuario un certificado de navegador SSL. Los usuariospueden solicitar certificados de navegador siguiendo los procedimientos deinscripción estándar basada en navegador que se detallan en la Guía del usuario deTrust Authority.

Trust Authority proporciona la utilidad de línea de mandatos add_rauser paraagregar un responsable de registros. La sintaxis para este mandato se documentaen el apartado “Utilidad Add RA User” en la página 99.

Después de recibir una solicitud, siga estos pasos para agregar un responsable deregistros al sistema:1. Compruebe el estado de la solicitud de certificado de navegador SSL del futuro

responsable de registros.Para ello, acceda a RA Desktop y siga los procedimientos documentados en laGuía de Registration Authority Desktop para enviar una consulta y ver losresultados de la consulta.

2. Si se ha emitido un certificado, obtenga la UUID de credencial asociada alcertificado.

Nota: También, puede utilizar el ID de solicitud generado durante unainscripción en el navegador correcta para obtener un certificado.

Para obtener la UUID de credencial, localice el informe de base de datosasociado al certificado aprobado y visualice los atributos del informe. Debebuscar el atributo de UUID de credencial que utilizará como uno de losparámetros del mandato add_rauser.

3. Según su entorno, lleve a cabo uno de los pasos siguientes:v En AIX:

a. Vaya al directorio de instalación raíz. Si emplea la raíz predeterminadapara la instalación, el mandato tiene este aspecto:cd /usr/lpp/iau/bin

b. Entre un mandato como el siguiente:./add_rauser /usr/lpp/iau/pkrf/etc/domain.cfg SuDominio aBcXyZ==

RAUser

donde:– /usr/lpp/iau/pkrf/etc/domain.cfg es la ruta de acceso raíz de

instalación predeterminada de Trust Authority y el archivo deconfiguración de dominio.

– SuDominio es el dominio de registro predeterminado.– aBcXyZ== es un ejemplo de un ID de solicitud o UUID de credencial.– RAUser es el perfil de acceso opcional.


v En Windows NT:a. Vaya al directorio de instalación raíz. Si emplea la raíz predeterminada

para la instalación, el mandato tiene este aspecto:cd "c:\Archivos de programa\IBM\Trust Authority\bin"

b. Entre un mandato como el siguiente:add_rauser "c:\Archivos de programa\IBM\Trust Authority\pkrf\etc\domain.cfg"

SuDominio aBcXyZ== RAUser

donde:– c:\Archivos de programa\IBM\Trust Authority\pkrf\etc\domain.cfg

es la ruta de acceso raíz de instalación predeterminada de TrustAuthority y el archivo de configuración de dominio.

Nota: Al especificar una ruta de acceso de directorio que contengaespacios intercalados como el parámetro de un mandato, debeespecificar la ruta de acceso entre comillas dobles (″ ″).

– SuDominio es el dominio de registro predeterminado.– aBcXyZ== es un ejemplo de un ID de solicitud o UUID de credencial.– RAUser es el perfil de acceso opcional.

Cuando se completa el mandato, el sistema visualiza un mensaje que indica sise ha realizado satisfactoriamente o no.

Activar el cifrado en la base de datos RAComo valor predeterminado, la información almacenada en la base de datos delservicio de registro no está cifrada. Después de configurar el sistema TrustAuthority, puede activar el cifrado de la base de datos ejecutando el programaiauEnableRADBSec. Al ejecutar iauEnableRADBSec, el programa examina elarchivo raconfig.cfg para detectar si ya se halla activado el cifrado de la base dedatos. Si no se ha activado, el programa iauEnableRADBSec lo activa; si se haactivado, el programa emite un mensaje y finaliza.

El programa iauEnableRADBSec actualiza las entradas RADATABASE yafservice.RADB en el archivo raconfig.cfg con las claves de cifrado generadas.Seguidamente, cifra y codifica en Base 64 los valores para estas entradas.

Nota: Se creará una copia de seguridad del archivo raconfig.cfg en el subdirectorioetc del directorio de instalación raíz virtual configurado para su dominio deregistro (el valor especificado para el directorio de instalación raíz en elAsistente para la instalación). La copia de seguridad se denominaraconfig.cfg.ERADSBKUP.

Según su sistema operativo, utilice uno de los siguientes procedimientos paraactivar el cifrado de la base de datos RA:v En AIX:

1. Inicie la sesión como usuario root:su - root

2. Cambie al subdirectorio bin de su directorio de instalación. Este ejemploutiliza la ruta de acceso de instalación de Trust Authority predeterminada:cd /usr/lpp/iau/bin

3. Ejecute el programa iauEnableRADBSec del modo siguiente. Este ejemploutiliza el directorio de instalación y el nombre de dominio de registro deTrust Authority predeterminados:


./iauEnableRADBSec -d SuDominio -r /usr/lpp/iau

v En Windows NT:1. Inicie la sesión como el usuario de configuración de Trust Authority

(normalmente cfguser).2. Cambie al subdirectorio bin de su directorio de instalación. Este ejemplo

utiliza la ruta de acceso de instalación de Trust Authority predeterminada:cd "c:\Program Files\IBM\Trust Authority\bin"

3. Ejecute el programa iauEnableRADBSec del modo siguiente. Este ejemploutiliza el directorio de instalación y el nombre de dominio de registro deTrust Authority predeterminados:iauEnableRADBSec -d SuDominio -r "c:\Archivos de programa\IBM\Trust Authority"

Cambiar el puerto de escucha del servidor RAEl puerto de escucha del servidor RA es el lugar en el que la RA escucha paradetectar mensajes PKIX. Para cambiar el valor de este puerto, siga estos pasos:

1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado

“Iniciar y detener los componentes de servidor” en la página 7 dondeobtendrá las instrucciones.

3. Inicie IniEditor y cargue el archivo de configuración jonahra.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivosde configuración” en la página 9 donde obtendrá las instrucciones para iniciary utilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtenerinformación acerca de las ubicaciones de los archivos de AIX y Windows NT.

4. Seleccione y expanda la sección Transport y seleccione el parámetro TCPPort.5. En el campo de edición visualizado, cambie el valor del número de puerto.6. Guarde el archivo y salga del programa.7. Reinicie IniEditor y cargue el archivo de configuración jonahca.ini (este

archivo podría hallarse en un equipo local o remoto, en función de suinstalación).

8. Seleccione la sección URLs.9. En el campo de edición visualizado, cambie el valor del número de puerto.


Cambiar el intervalo de sondeo de la RAEl intervalo de sondeo de la RA es el intervalo de tiempo, en segundos (s),minutos (m) u horas (h) entre consultas a la cola de carga de trabajo por parte delservidor RA. Los elementos de la cola cuya hora de entrega ha transcurrido seentregan para su proceso. Para cambiar el intervalo de sondeo, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar


3. Inicie IniEditor y cargue el archivo de configuración jonahra.ini. Si es necesario,consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de AIX y Windows NT.


4. Seleccione y expanda la sección Transport y seleccione el parámetroPollInterval.

5. En el campo de edición visualizado, cambie el valor del intervalo de sondeo.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.

Cambiar el intervalo de reintento de la RAEl intervalo de reintento de la RA es el intervalo de tiempo, en segundos (s),minutos (m) u horas (h) entre consultas a la CA por parte de la RA en caso de quela hora de sondeo enviada de la CA a la RA sea anterior a la indicación horariaactual de la RA. Para cambiar el intervalo de reintento de la RA, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección Transport y seleccione el parámetroRetryInterval.

5. En el campo de edición visualizado, cambie el valor del intervalo de reintento.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.

Comprobar los registros cronológicos del servidor RAPuede comprobar los registros cronológicos del servidor RA en las ubicaciones quese muestran en la Tabla 7.

Tabla 7. Registros cronológicos del servidor RA



Descripción

/usr/lpp/iau/pkrf/Domains/SuDominio/logs/

c:\Archivos de programa\IBM\TrustAuthority\pkrf\Domains\SuDominio\logs\

Los archivos delregistro cronológicotienen el nombreirgrasvr y la extensión.log.número_aleatorio

Nota: Tal y como se entrega, el servidor RA no registra la actividad operativa. Paraactivar el registro del servidor RA en el nivel de depuración, consulte“Resolución de problemas con el servicio de mensajes de nivel dedepuración activado” en la página 112 para obtener información acerca delas instrucciones y los niveles recomendados.

Comprobar el estado del servidor RAEn función de su entorno, puede comprobar el estado del servidor RA llevando acabo una de las siguientes series de procedimientos:v En AIX:

1. Inicie la sesión en AIX como usuario root.


2. Compruebe la tabla de procesos y busque este proceso:irgrasvr



4. Compruebe que el puerto 29783 responda correctamente entrando estemandato:ServerControl -i -c -k RA -n servidor -p 29783 -l "archivoderegistro"

donde servidor es el nombre del servidor RA asociado al puerto 29783, yarchivoderegistro es el nombre del archivo de registro cronológico en el quedesea registrar los resultados del mandato ServerControl.

Si el puerto responde correctamente, el sistema muestra el mensaje siguiente:Se ha verificado que el servicio [RA] se estáejecutando en el servidor: servidor, puerto: 29783.


1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie el Administrador de tareas pulsando las teclas Ctrl, Alt y Supr.3. Seleccione la ficha Procesos.4. Busque el irgrasvr.exe de proceso.

Si ve este proceso, vaya al paso 5.En caso contrario, consulte el apartado“Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.


6. Compruebe que el puerto 29783 responda correctamente entrando estemandato:ServerControl -i -c -k CA -n servidor -p 29783 -l"archivoderegistro"

donde servidor es el nombre del servidor RA asociado al puerto 29783, yarchivoderegistro es el nombre del archivo de registro cronológico en el quedesea registrar los resultados del mandato ServerControl.

Si el puerto responde correctamente, el sistema muestra el mensaje siguiente:Se ha verificado que el servicio [RA] se estáejecutando en el servidor: servidor, puerto: 29783.

donde servidor es el servidor asociado al puerto 29783.


Cambiar los valores de la RA para las comunicaciones con elDirectorio

El servidor RA se comunica con el servidor del Directorio IBM SecureWay paraayudar a gestionar el proceso de registro. Los siguientes valores pueden cambiarseen el archivo de configuración del servidor RA para modificar la forma en que laRA se comunica con el Directorio:v Nombre de sistema principal y puerto del servidor del Directoriov Intervalo de envío

Cambiar los valores de la RA para reflejar el nombre de sistemaprincipal y el puerto del servidor del DirectorioPara comunicarse de forma eficaz con el Directorio, la RA necesita el nombre desistema principal correcto y el puerto correcto en el que escucha el Directorio. Paracambiar el nombre de sistema principal y el puerto que la RA espera utilizar parasus comunicaciones del Directorio, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección LDAP y seleccione el parámetro Server1.5. En el campo de edición visualizado, cambie los valores del nombre de sistema

principal y del número de puerto.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.

Cambiar los valores de la RA para reflejar el intervalo de envíodel servidor del DirectorioEl intervalo de envío es el tiempo entre comprobaciones por parte de la RA paradetectar si hay información que deba enviarse al Directorio, como nuevoscertificados de usuario o nuevas CRL.

Para cambiar el intervalo de envío de la RA, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección LDAP y seleccione el parámetro PostInterval.5. En el campo de edición visualizado, cambie el valor del parámetro PostInterval.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.


Administrar el subsistema de auditoríaPara administrar el subsistema de auditoría, desempeñará el papel deadministrador de auditoría. Para efectuar algunas de las tareas de administraciónde auditoría, debe tener una contraseña. Consulte el apartado “Cambiar lascontraseñas de Trust Authority” en la página 5 si tiene que cambiar la contraseñadel administrador de auditoría.

El servidor de auditoría es un proceso permanente de Trust Authority que recibeeventos de auditoría de componentes de Trust Authority y los graba en un registrocronológico de auditoría. Se instala, junto con su base de datos DB2, en un sistemalocal o remoto. El servidor de auditoría debe hallarse en el mismo sistema que elservidor CA.

Las tareas que probablemente llevará a cabo para administrar el subsistema deauditoría son las siguientes:v Utilizar las dos vistas de la base de datos de Trust Authority para ver los

informes de auditoría en la base de datos de auditoría.v Utilizar las herramientas de DB2 UDB para buscar los informes de auditoría o

generar informes de de auditoría.v Utilizar IniEditor para efectuar estos cambios en el archivo de configuración

AuditClient.ini:– Cambiar el puerto para el servidor de auditoría.– Cambiar el modo en el que los eventos se envían desde el cliente de

auditoría.v Utilizar IniEditor para efectuar estos cambios en el archivo de configuración

AuditServer.ini:– Cambiar el puerto en el que escucha el servidor de auditoría.– Cambiar los reintentos para que el cliente de auditoría enlace con el servidor

de auditoría.– Cambiar el tiempo entre los intentos de enlace.– Cambiar los valores del registro cronológico para los registros cronológicos de

eventos, auditoría, seguimiento y errores.v Emplear la utilidad Audit Archive and Sign para modificar y firmar los archivos

de registro cronológico de auditoría.v Emplear la utilidad Audit Integrity Check para comprobar la integridad de la

base de datos del servidor de auditoría y los archivos modificados.v Comprobar el estado del servidor de auditoría.v Comprobar los registros cronológicos del servidor de auditoría.

Ver los registros de auditoríaPuede ver los registros de auditoría en la Base de datos DB2 de auditoríautilizando dos vistas de Trust Authority. Al emplear estas vistas de base de datos,puede ver todos los registros de auditoría almacenados actualmente en la base dedatos. Los registros de auditoría se almacenan en la tabla de bases de datos,audit_log. Muchas de las columnas en esta tabla son códigos enteros cortos quehacen referencia a otras tablas. Estas tablas contienen la descripción textualcompleta o los nombres de los campos en el informe (que en la base de datoscorresponden a las columnas en la tabla). Consulte el apartado “Datos de la basede datos de auditoría” en la página 106 para obtener información acerca de losnombres de los campos y las descripciones de todas las tablas en el esquema de labase de datos de auditoría.


Las dos vistas son las siguientes:v viewar

Esta es la vista básica que proporciona acceso a todas las descripciones textualessin truncamientos.

v viewar_tEsta vista es la misma que viewar, exceptuando que todas las columnas de textose truncan a 40 caracteres.

Nota: En Windows NT, si consulta la base de datos viewar_t utilizando lainterfaz del Centro de control de DB2, la salida de la opción de contenidode ejemplo aparece vacía debido al truncamiento. El procedimientodocumentado en esta sección proporciona una solución para esteproblema.

Los nombres de columna de las vistas se muestran en la Tabla 8.

Tabla 8. Descripciones de las columnas para las vistas de la base de datos de auditoría deTrust Authority

Nombre de columna Descripción Tipo de datos

serial_num El número de serie delinforme de auditoría

entero

sourcetime El indicador de la fecha y lahora en que el cliente generóel evento de auditoría

indicador de fecha y hora

createtime El indicador de la fecha y lahora en que se creó elinforme de auditoría

indicador de fecha y hora

event El nombre del evento varchar

source El cliente de auditoría quegeneró el evento de auditoría

varchar

component El tipo de componente delcliente de auditoría quegeneró el evento de auditoría

varchar

auth_entity La entidad que autorizó elevento de auditoría

varchar

auth_role La función de la entidad queautorizó el evento deauditoría

varchar

affected_entity La identidad de la entidadafectada por el evento deauditoría

varchar

affected_entity_type El tipo de la entidad afectada varchar

storage_media El medio de almacenamientoasociado al evento deauditoría

varchar

extra_info Información adicionalasociada al evento deauditoría

varchar

Para ver los informes de la base de datos de auditoría de Trust Authority, sigaestos pasos:


1. Inicie la sesión como el usuario de Trust Authority (el usuario que instaló TrustAuthority).

2. Inicie una sesión interactiva de línea de mandatos de DB2.

Nota: Si está ejecutando Windows NT, una variable de código de páginadefinida después de la instalación puede haber provocado que lascolumnas char y varchar visualicen caracteres incorrectos en la ventanade mandatos de DB2. Para corregir esta situación, entre los siguientesmandatos antes de entrar sentencias SQL de DB2:set DB2CODEPAGE=db2 terminate

Seguidamente, reinicie la sesión DB2.3. En la línea de mandatos de DB2, entre el mandato siguiente para conectar con

la base de datos de auditoría:connectto nombre_de_su_base_de_datos_de_auditoría

Por ejemplo, para una base de datos llamada adtdb, entre:connect to adtdb

4. Consulte la base de datos empleando una de las vistas de Trust Authority delmodo siguiente:v Para consultar la vista viewvar, entre este mandato:

"select * from viewvar"

v Para consultar la vista viewvar_t, entre este mandato:"select * from viewvar_t"

El sistema muestra todas las columnas descritas en la Tabla 8 en la página 40para todos los informes de la base de datos de auditoría.

5. Para filtrar la vista de los informes de auditoría, utilice la cláusula where SQL.Por ejemplo, para consultar informes para un determinado intervalo de fechas,entre el mandato siguiente:"select * from viewar where sourcetime between '1999-07-01-08.00.00' and'1999-07-02-08.00.00'"

Consulte la publicación IBM DB2 Universal Database SQL Reference, Versión 5.2para obtener detalles acerca de la sentencia SQL select. Consulte la publicaciónIBM DB2 Universal Database Command Reference, Versión 5.2 para obtener detallesacerca del mandato db2.

Buscar informes de auditoríaPara buscar informes de auditoría, consulte la publicación IBM DB2 UniversalDatabase SQL Reference, Versión 5.2 donde obtendrá instrucciones.

Cambiar el puerto del servidor de auditoría en el cliente deauditoría

El puerto del servidor de auditoría es el lugar en el que el Servidor de Auditoríaescucha para detectar nuevas conexiones del cliente de auditoría. Para que elcliente de auditoría se comunique con el servidor de auditoría de forma eficaz, elcliente de auditoría debe tener el puerto correcto para el servidor de auditoría.Para cambiar los valores del puerto del servidor de auditoría en el archivo deconfiguración del cliente de auditoría, siga estos pasos:


1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar


3. Inicie IniEditor y cargue el archivo de configuración AuditClient.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.

4. Seleccione y expanda la sección Connection y seleccione el parámetro Port.5. En el campo de edición visualizado, cambie el valor del puerto para el servidor

de auditoría.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.8. Asegúrese de que el valor de puerto modificado coincida con el valor de puerto

del parámetro acceptor.arg en el archivo AuditServer.ini ubicado en el servidorde auditoría.

Cambiar el modo en que se envían los eventos desde elcliente de auditoría

El cliente de auditoría envía los eventos de auditoría al servidor de auditoría.Puede impedir que se envíen algunos eventos al servidor de auditoría ajustandouna máscara de auditoría en el archivo AuditClient.ini. De todas formas, algunoseventos son obligatorios. Consulte el apartado “Eventos de auditoría” en lapágina 103 para determinar los eventos que son obligatorios. Puede ajustar elnúmero de intentos después del primero que efectuará el cliente de auditoría paraenviar eventos al Servidor de Auditoría. También puede especificar el intervalo detiempo de espera en milisegundos entre reintentos.

Especificar una máscara de auditoríaPara especificar una máscara de auditoría, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección CA y seleccione el parámetro ExcludedEvents.5. En el campo de edición visualizado, agregue los nombres de los eventos de

auditoría generados por la CA que desea que retenga el cliente de auditoría.Los nombres de los eventos de auditoría deberían delimitarse mediante comas.Asegúrese de especificar solamente eventos opcionales.

6. Seleccione y expanda la sección RA y seleccione el parámetro ExcludedEvents.7. En el campo de edición visualizado, agregue los nombres de los eventos de

auditoría generados por la RA que desea que retenga el cliente de auditoría.Los nombres de los eventos de auditoría deberían delimitarse mediante comas.


Asegúrese de especificar solamente eventos opcionales. Consulte el apartado“Eventos de auditoría” en la página 103 para obtener información acerca de losnombres de los eventos de auditoría.


Cambiar el número de reintentos para enviar eventosPara cambiar el número de intentos que efectuará el cliente de auditoría paraenviar eventos al servidor de auditoría después del intento inicial, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección Connection y seleccione el parámetro Retries.5. En el campo de edición visualizado, cambie el valor del parámetro Retries.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.

Cambiar el intervalo entre reintentosPara especificar el intervalo entre reintentos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección Connection y seleccione el parámetro Timer.5. En el campo de edición visualizado, cambie el valor del parámetro Timer.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.

Cambiar el puerto en el que escucha el servidor de auditoríaEl puerto del servidor de auditoría es el lugar en el que el servidor de auditoríaescucha para detectar nuevas conexiones del cliente de auditoría. Para cambiar losvalores del puerto del servidor de auditoría en el archivo de configuración delservidor de auditoría, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



3. Inicie IniEditor y cargue el archivo de configuración AuditServer.ini. Si esnecesario, consulte el apartado “Utilizar IniEditor para cambiar los archivos deconfiguración” en la página 9 donde obtendrá las instrucciones para iniciar yutilizar IniEditor. Consulte la Tabla 1 en la página 10 para obtener informaciónacerca de las ubicaciones de los archivos de configuración de AIX y WindowsNT.

4. Seleccione y expanda la sección Server Port y seleccione el parámetroacceptor.arg.

5. En el campo de edición visualizado, cambie el valor del número de puerto.6. Guarde el archivo y salga del programa.7. Inicie el sistema Trust Authority.8. Asegúrese de que el valor del puerto de servidor modificado se propague a

todos los archivos AuditClient.ini locales y remotos. Consulte el apartado“Cambiar el puerto del servidor de auditoría en el cliente de auditoría” en lapágina 41 para obtener más información.

Cambiar intentos de enlace entre el cliente de auditoría y elservidor de auditoría

Para cambiar el número de veces que el cliente de auditoría intenta enlazar con elservidor de auditoría, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección Server Port y seleccione el parámetroacceptor.init.retries.

5. En el campo de edición visualizado, cambie el valor de los intentos de enlace.El valor predeterminado es 3.


Cambiar el intervalo entre intentos de enlacePara cambiar el intervalo entre los intentos por parte del cliente de auditoría deenlazar con el servidor de auditoría, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar




4. Seleccione y expanda la sección Server Port y seleccione el parámetroacceptor.init.delay.

5. En el campo de edición visualizado, cambie el valor de tiempo, en segundos,entre intentos de enlace. El valor predeterminado es 3 (el programa asume queson segundos).


Cambiar los valores del registro cronológicoPuede cambiar la configuración en el archivo de configuración AuditServer.ini paralos siguientes tipos de registros cronológicos:v Registro cronológico de eventos — Para capturar eventos de auditoríav Registro cronológico de auditoría — Para almacenar eventos de auditoría con

integridad protegida en una base de datosv Registro cronológico de seguimiento — Para seguir la actividad de programav Registro cronológico de errores — Para los mensajes de error

Cambiar el modo en que se capturan los eventos de auditoría enun archivoEl registro cronológico de eventos es el archivo empleado para capturareventos.Puede cambiar los valores de los parámetros de configuración de lossiguientes elementos:v El nombre de archivo y la ruta de acceso del registro cronológico de eventosv Si debe agregarse o sobrescribirse el registro cronológico de eventos

Para cambiar los valores que afectan al modo en que se capturan los eventos, sigaestos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección Event Log. Seguidamente:v Para cambiar la ruta de acceso o el nombre de archivo del registro

cronológico de eventos:a. Seleccione el parámetro event.log.filename.b. En el campo de edición visualizado, cambie el valor de la ruta de acceso

o el nombre de archivo.v Para cambiar el distintivo que indica si debe agregarse o sobrescribirse el

registro cronológico de eventos:a. Seleccione el parámetro event.log.append.b. En el campo de edición visualizado, cambie el valor del parámetro.

Deberá ser true para agregar o false para sobrescribir.5. Guarde el archivo y salga del programa.6. Inicie el sistema Trust Authority.


Cambiar el modo en que se registran cronológicamente loseventos de auditoría en la base de datosEl registro cronológico de auditoría es un conjunto de tablas de base de datos cuyaintegridad está protegida que se utilizan para almacenar eventos de auditoría. Elregistro cronológico de auditoría contiene un informe por evento de auditoría.Puede cambiar los valores de los parámetros de configuración para los siguienteselementos:v Número de reintentos permitidos para conectar con la base de datos del registro

cronológico de auditoríav Número de reintentos permitidos para actualizar la base de datos del registro

cronológico de auditoríav Valor de tiempo de espera, en segundos, permitido para actualizar el registro

cronológico de auditoría

Para cambiar los valores que afectan al modo en el que se registrancronológicamente los eventos de auditoría, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección Audit. Seguidamente:v Para cambiar el número de reintentos permitidos para conectar con el

registro cronológico de auditoría:a. Seleccione el parámetro audit.log.connect.retries.b. En el campo de edición visualizado, cambie el valor del parámetro. Se

tratará de un entero.v Para cambiar el número de reintentos permitidos para actualizar el registro

cronológico de auditoría:a. Seleccione el parámetro audit.log.update.retries.b. En el campo de edición visualizado, cambie el valor del parámetro. Se

tratará de un entero.v Para cambiar el valor de tiempo de espera para actualizar el registro

cronológico de auditoría:a. Seleccione el parámetro audit.log.timeout.b. En el campo de edición visualizado, cambie el valor del parámetro. Se

tratará de un intervalo.5. Guarde el archivo y salga del programa.6. Inicie el sistema Trust Authority.

Cambiar la configuración del registro cronológico deseguimientoEl registro cronológico de seguimiento proporciona un informe de la ejecución deun programa del sistema. Muestra las secuencias en las que se han ejecutado lasinstrucciones. Se utiliza principalmente con fines de depuración. Puede cambiar losvalores de los parámetros de configuración para los siguientes elementos:


v Si debe activarse o desactivarse el seguimientov El nivel de seguimientov El nombre de archivo y la ruta de acceso del registro cronológico de seguimientov Si debe agregarse o sobrescribirse el archivo de seguimiento existente

Para cambiar la configuración del registro cronológico de seguimiento, siga estospasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar



4. Seleccione y expanda la sección Trace. Seguidamente:v Para activar o desactivar el seguimiento

a. Seleccione el parámetro trace.enable.b. En el campo de edición visualizado, cambie el valor del parámetro.

Deberá ser true para activar o false para desactivar.v Para cambiar el nivel de seguimiento:

a. Seleccione el parámetro trace.level.name.b. En el campo de edición visualizado, cambie el valor del parámetro. Se

tratará de una cadena.Consulte el apartado “Niveles de seguimiento” enla página 91 para ver una lista de los niveles de seguimiento.

v Para cambiar el nombre de archivo o la ruta de acceso del registro deseguimiento:a. Seleccione el parámetro trace.log.filename.b. En el campo de edición visualizado, cambie el valor del parámetro. Se

tratará de una cadena.v Para cambiar si debe agregarse o sobrescribirse el archivo de seguimiento

existente:a. Seleccione el parámetro trace.log.append.b. En el campo de edición visualizado, cambie el valor del parámetro.

Deberá ser true para agregar o false para sobrescribir.5. Guarde el archivo y salga del programa.6. Inicie el sistema Trust Authority.

Cambiar el nombre de archivo y la ruta de acceso del registrocronológico de erroresEl registro cronológico de errores contiene mensajes de error relacionados con elsubsistema de auditoría. Para cambiar el nombre de archivo y la ruta de acceso delregistro cronológico de eventos, siga estos pasos:1. Inicie la sesión en su sistema operativo como un administrador del sistema.2. Detenga el sistema Trust Authority. Si es necesario, consulte el apartado “Iniciar




4. Seleccione y expanda la sección Error y seleccione el parámetroerror.log.filename.

5. En el campo de edición visualizado, cambie el valor del parámetroerror.log.filename.


Generar informes de auditoríaPara generar informes de auditoría, consulte la publicación IBM DB2 UniversalDatabase SQL Reference, Versión 5.2 donde obtendrá instrucciones.

Efectuar una copia archivada y firmar los archivos del registrocronológico de auditoría

Puede efectuar una copia archivada y firmar informes del registro cronológico deauditoría utilizando la herramienta Audit Archive and Sign de Trust Authority.Esta herramienta efectúa una copia archivada de la tabla de bases de datos delservidor de auditoría que contiene los informes de auditoría. Efectúa la copiaarchivada en un archivo empleando la utilidad de exportación de DB2.Seguidamente, firma el archivo. Todos los informes de auditoría se eliminan de labase de datos después de que se haya efectuado correctamente la copia archivada,a menos que se especifique la opción -n.

Nota: No es necesario cerrar el sistema Trust Authority antes de ejecutar estautilidad.

Por ejemplo, suponga que está empleando la ruta de acceso de instalaciónpredeterminada de Trust Authority. Que desea efectuar una copia archivada de losinformes de auditoría actuales de la base de datos del servidor de auditoría enmy.file y firmar el archivo del registro cronológico de auditoría en copia archivada,pero no quiere eliminar los informes de auditoría de la base de datos. Para llevarloa cabo, siga estos pasos:1. Inicie la sesión en Trust Authority como el usuario de configuración en el

sistema en el que instaló los componentes del servidor de auditoría y la CA deTrust Authority.El nombre de usuario predeterminado y sugerido es cfguser; si llevó a cabo lainstalación de Trust Authority en Windows NT, su organización podría haberutilizado un valor distinto.

2. Entre lo siguiente en la línea de mandatos para su entorno:v En AIX:

AuditArchiveAndSign -c /usr/lpp/iau/etc/TrustAuthority/AuditServer.ini -n/usr/lpp/iau/arc/my.file

v En Windows NT:AuditArchiveAndSign -c "d:\Archivos de programa\IBM\Trust Authority\etc\TrustAuthority\

AuditServer.ini" -n "d:\Archivos de programa\IBM\Trust Authority\arc\my.file"

3. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.


Los resultados se visualizan como una salida estándar. El archivo de la copiaarchivada tendrá la extensión .ixf.

Consulte el apartado “Utilidad Audit Archive and Sign” en la página 100 paraobtener información acerca de la sintaxis del mandato y las descripciones de losparámetros de dicho mandato.

Comprobar la integridad de la base de datos y de los archivosde copia archivada del servidor de auditoría

Trust Authority proporciona una utilidad de línea de mandatos para detectar lasirregularidades en la base de datos del servidor de auditoría y los archivos decopia archivada de auditoría. Se denomina la utilidad Audit Integrity Check.

Nota: No es necesario cerrar el sistema Trust Authority antes de ejecutar estautilidad.

Puede emplear esta utilidad para detectar las irregularidades en cualquiera de lossiguientes repositorios de datos. En cada caso, el sistema solicita la contraseña deladministrador de auditoría (PIN de KeyStore).v La base de datos del servidor de auditoríav Uno o varios archivos de copia archivada del servidor de auditoríav Todos los archivos de copia archivada en el directorio especificado

Por ejemplo, suponga que está empleando AIX y la ruta de acceso de archivospredeterminada de Trust Authority para sus archivos de configuración. Inicie lasesión en Trust Authority como el usuario de configuración (cfguser) en el sistemaen el que instaló los componentes del servidor de auditoría y de la CA de TrustAuthority. Puede comprobar las irregularidades de una de las maneras siguientes:v Para comprobar la base de datos del servidor de auditoría:

1. Entre este mandato en la línea de mandatos de AIX:AuditIntegrityCheck -c /usr/lpp/iau/etc/TrustAuthority/

AuditServer.ini -d

2. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.Los resultados se visualizan como una salida estándar.

v Para comprobar uno o más archivos modificados del servidor de auditoría:1. Entre este mandato en la línea de mandatos de AIX:

AuditIntegrityCheck -c /usr/lpp/iau/etc/TrustAuthority/AuditServer.ini-a /usr/lpp/iau/arc/archive1_my.file

2. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.Este mandato comprueba los archivos con el prefijo de nombre de ruta deacceso /usr/lpp/iau/arc/archive1_my.file y las extensiones .ixf y .sig. Laextensión .ixf indica un archivo de formato de exportación generado porDB2. La extensión .sig indica un archivo de firmas generado por elsubsistema de auditoría.

v Para comprobar todos los archivos modificados en un directorio determinado, eneste caso /usr/lpp/iau/arc/:1. Entre este mandato en la línea de mandatos de AIX:

AuditIntegrityCheck -c /usr/lpp/iau/etc/TrustAuthority/AuditServer.ini-A /usr/lpp/iau/arc/


2. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.Este mandato comprueba todos los archivos en el directorio de archivos decopia archivada que tengan la extensión .ixf.

Suponga que está empleando Windows NT y la ruta de acceso de archivospredeterminada de Trust Authority para sus archivos de configuración. Inicie lasesión en Trust Authority como el usuario de configuración en el sistema en el queinstaló los componentes del servidor de auditoría y de la CA de Trust Authority.Puede comprobar las irregularidades de una de las maneras siguientes:v Para comprobar la base de datos del servidor de auditoría:

1. Entre el siguiente mandato en el indicador DOS (que en este caso es c:):AuditIntegrityCheck -c "c:\Archivos de programa\IBM\Trust Authority\etc\TrustAuthority\

AuditServer.ini" -d

2. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.Los resultados se visualizan como una salida estándar.

v Para comprobar uno o más archivos de copia archivada del servidor deauditoría:1. Entre el siguiente mandato en el indicador DOS (que en este caso es c:):

AuditIntegrityCheck -c "c:\Archivos de programa\IBM\Trust Authority\etc\TrustAuthority\AuditServer.ini" -a "c:\Archivos de programa\IBM\Trust Authority\arc\archive1_my.file"

2. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.Este mandato comprueba los archivos con el prefijo de nombre de ruta deacceso \Archivos de programa\IBM\Trust Authority\arc\archive1_my.file ylas extensiones .ixf y .sig. La extensión .ixf indica un archivo de formato deexportación generado por DB2. La extensión .sig indica un archivo de firmasgenerado por el subsistema de auditoría. En otras palabras, los archivos deformato de exportación se firman y la firma de dichos archivos se almacenaen el archivo .sig.

v Para comprobar todos los archivos de copia archivada en un directoriodeterminado, en este caso c:\Archivos de programa\IBM\Trust Authority\arc\:1. Entre el siguiente mandato en el indicador DOS (que en este caso es c:):

AuditIntegrityCheck -c c:\Archivos de programa\IBM\Trust Authority\etc\TrustAuthority\AuditServer.ini -A c:\Archivos de programa\IBM\Trust Authority\arc\

2. Cuando el sistema solicite una contraseña (PIN de KeyStore), entre lacontraseña del administrador de auditoría.Este mandato comprueba todos los archivos en el directorio de archivos decopia archivada, incluyendo los que que tengan las extensiones .ixf y .sig.

Consulte el apartado “Utilidad Audit Integrity Check” en la página 101 paraobtener información acerca de la sintaxis del mandato y las descripciones de losparámetros de dicho mandato.

Comprobar el estado del servidor de auditoríaEn función de su entorno, puede comprobar el estado del servidor de auditoríallevando a cabo una de las siguientes series de procedimientos:v En AIX:



java



4. Compruebe que el puerto (en este caso, el puerto 59998) respondacorrectamente entrando este mandato:ServerControl -i-c -k AUDIT -n servidor -p 59998 -l"archivoderegistro"

donde servidor es el nombre del servidor de auditoría asociado al puertoespecificado (en este caso, el puerto 59998), y archivoderegistro es el nombredel archivo de registro en el que desea registrar los resultados del mandatoServerControl.

Si el puerto responde correctamente, el sistema muestra el mensaje siguiente:El servidor de auditoría ya está ejecutándose.


1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie el Administrador de tareas pulsando las teclas Ctrl, Alt y Supr.3. Seleccione la ficha Procesos.4. Busque el java.exe de proceso.



6. Compruebe que el puerto (en este caso, el puerto 59998) respondacorrectamente entrando este mandato:ServerControl -i-c -k AUDIT -n servidor -p 59998 -l"archivoderegistro"

donde servidor es el nombre del servidor de auditoría asociado al puerto59998, y archivoderegistro es el nombre del archivo de registro en el que desearegistrar los resultados del mandato ServerControl.

Si el puerto responde correctamente, el sistema muestra el mensaje siguiente:El servidor de auditoría ya está ejecutándose.

donde servidor es el servidor asociado al puerto predeterminado de TrustAuthority 59998.


Comprobar los registros cronológicos del servidor deauditoría

Los registros cronológicos del servidor de auditoría registran todas lastransacciones con el servidor de auditoría. Puede comprobar los registroscronológicos del servidor de auditoría en la siguiente ubicación.

Tabla 9. Registros cronológicos del servidor de auditoría

Ubicación predeterminada dearchivos de AIX

Ubicación predeterminada dearchivos de Windows NT

Descripción

/usr/lpp/iau/logs/smevents.log c:\Archivos de programa\IBM\TrustAuthority\logs\smevents.log

El registro de eventos cronológicosdel servidor de auditoría que seutiliza para capturar eventos deauditoría.

/usr/lpp/iau/logs/iausmd.log c:\Archivos de programa\IBM\TrustAuthority\logs\iausmd.log

El registro cronológico deseguimiento del servidor deauditoría que se utiliza para seguir laactividad del programa.

/usr/lpp/iau/logs/iausmd.err c:\Archivos de programa\IBM\TrustAuthority\logs\iausmd.err

El registro cronológico de errores delservidor de auditoría que se utilizapara almacenar mensajes de error.

Administrar las bases de datos de DB2Esta sección proporciona procedimientos operativos y administrativos básicos paralas bases de datos de DB2. Consulte la documentación de DB2 UDB para obtenerinformación más detallada.

Trust Authority utiliza las bases de datos listadas en la Tabla 10.

Tabla 10. Ubicaciones de las bases de datos

Instancia Nombre de la basede datos

Descripción

cfgusr cfgdb La base de datos de configuraciónpredeterminada de Trust Authority.

cfgusr ibmdb La base de datos CA predeterminada.

cfgusr pkrfdb La base de datos de registropredeterminada.

cfgusr adtdb La base de datos de auditoríapredeterminada.

ldapInst ldapdb La base de datos del directoriopredeterminada al efectuar la instalacióncon Trust Authority. Si está empleando undirectorio existente, la ubicación ladetermina su organización.

Comprobar el estado de las bases de datos de DB2En función de su entorno, puede comprobar el estado de las bases de datos deDB2 llevando a cabo una de las siguientes series de procedimientos:v En AIX:

1. Inicie la sesión en AIX como administrador del sistema.


2. En el indicador de mandatos, entre el mandato su para cambiar a la cuentade administración del usuario que instaló Trust Authority.

3. Entre la contraseña para ese usuario de Trust Authority.4. Entre el mandato siguiente:

set DB2INSTANCE=instancia_TrustAuthority

donde instancia_TrustAuthority es el ID de usuario del usuario que instalóTrust Authority.

5. Asumiendo la base de datos de configuración predeterminada, entre db2connect to cfgdb

Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = cfgdb

6. Asumiendo la base de datos CA predeterminada, entre db2 connect toibmdb

Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = ibmdb

7. Asumiendo la base de datos de registro predeterminada, entre db2 connectto pkrfdb

Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = pkrfdb

8. Asumiendo la base de datos de auditoría predeterminada, entre db2connect to adtdb

Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = adtdb

9. Vuelva a salir al usuario root.10. Utilice el mandato su para cambiar a la cuenta del administrador de la base

de datos del Directorio.11. Asumiendo la base de datos del directorio predeterminada instalada con el

producto, entre db2 connect to ldapdb

Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = ldapdb

12. Vuelva a salir al usuario root.v En Windows NT:

1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie una ventana de mandatos de DB2.3. Entre el mandato siguiente:

set DB2INSTANCE=instancia_TrustAuthority


donde instancia_TrustAuthority es el ID de usuario del usuario que instalóTrust Authority.

4. Asumiendo la base de datos de configuración predeterminada, entre db2connect to cfgdb

Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = cfgdb

5. Asumiendo la base de datos CA predeterminada, entre db2 connect toibmdb

Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = ibmdb

6. Asumiendo la base de datos de registro predeterminada, entre db2 connectto pkrfdb

Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = pkrfdb

7. Asumiendo la base de datos de auditoría predeterminada, entre db2connect to adtdb

Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = adtdb

8. Entre el mandato siguiente:set DB2INSTANCE=Instancia_ldap

donde Instancia_ldap es ldapInst si instaló el Directorio con el producto.9. Asumiendo la base de datos del Directorio predeterminada instalada con el

producto, entre db2 connect to ldapInst

Si la conexión es satisfactoria, el sistema devuelve mensajes como lossiguientes:Database server = DB2/NT 5.2.0SQL authorization ID = instancia_TrustAuthorityLocal database alias = ldapInst

10. Salga de la ventana de mandatos de DB2.

Comprobar los registros cronológicos de DB2Los registros cronológicos de DB2 no los emplea Trust Authority desde un puntode vista operativo. Consulte la documentación de IBM DB2 para obtenerinformación adicional acerca de los registros cronológicos.


Administrar el servidor del DirectorioEsta sección proporciona procedimientos operativos y administrativos básicos parael Directorio de IBM SecureWay. Para efectuar algunas de las tareas deadministración del Directorio, debe conocer la contraseña. Consulte el apartado“Cambiar las contraseñas de Trust Authority” en la página 5 si tiene que cambiar lacontraseña del administrador del Directorio.

Este Directorio ofrece soporte para los estándares LDAP (Lightweight DirectoryAccess Protocol). Incorpora una base de datos de DB2 y puede residir en unsistema local o remoto. Puede ser un servidor existente previamente o unoinstalado y configurado especialmente para Trust Authority.

Para obtener más información acerca del modo en que Trust Authority interactúacon el Directorio, consulte la publicación Using the SecureWay Directory With TrustAuthority. Este documento está disponible en la página Library del sitio Web deIBM SecureWay Trust Authority.

Comprobar el estado del servidor del DirectorioEn función de su entorno, puede comprobar el estado del servidor del Directoriollevando a cabo una de las siguientes series de procedimientos:v En AIX:


slapd



4. Compruebe que el Directorio responda correctamente entrando este mandato:isdirup -h servidor-a puerto -pruta_de_acceso_de_instalación_predeterminada_del_Directorio-t1

donde servidor es el nombre del equipo en el que se está ejecutando elDirectorio, y puerto es el puerto en el que escucha el servidor del Directorio.

Si el Directorio responde correctamente, el sistema muestra el mensajesiguiente:isdirup: returning: 0

v En Windows NT:1. Inicie la sesión en Windows NT como administrador del sistema.2. Inicie el Administrador de tareas pulsando las teclas Ctrl, Alt y Supr.3. Seleccione la ficha Procesos.4. Busque el slapd.exe de proceso.

Si ve este proceso, vaya al paso 5 en la página 56. En caso contrario, consulteel apartado “Resolución de problemas” en la página 112 donde obtendrá lasinstrucciones.



6. Compruebe que el Directorio responda correctamente entrando este mandato:isdirup -h servidor -a puerto -p ruta_de_acceso_de_instalación_predeterminada_del_Directorio -t

donde servidor es el nombre del equipo en el que se está ejecutando elDirectorio, y puerto es el puerto en el que escucha el servidor del Directorio.

Si el Directorio responde correctamente, el sistema muestra el mensajesiguiente:isdirup: returning: 0

Comprobar los registros cronológicos del servidor delDirectorio

Puede comprobar los registros cronológicos del servidor del Directorio en lasubicaciones que se muestran en la Tabla 11.

Tabla 11. Registros cronológicos del servidor del Directorio



Descripción

/tmp/slapd.errors c:\Ruta de acceso de instalación deldirectorio\tmp\slapd.errors\

Registro cronológico deerrores para elDirectorio.

Administrar el coprocesador criptográfico 4758El coprocesador criptográfico 4758 es un componente opcional de Trust Authority.Es una tarjeta criptográfica de bus PCI programable que detecta irregularidades yproporciona un proceso criptográfico DES y RSA de alto rendimiento. En TrustAuthority, el soporte para 4758 está disponible solamente en AIX.

Puede comprobar el estado del 4758 empleando la utilidad csufcnm.

El coprocesador criptográfico 4758 no genera registros. De todos modos, si falla,normalmente suele proporcionar un código de retorno y un código de razón con laanomalía. Puede ver una lista completa de los códigos de retorno y de razón y susexplicaciones en el documento IBM 4758 CCA Basic Services Reference and Guide.Estos códigos suelen ser suficientes para llevar a cabo la resolución de problemaspreliminar.

Consulte la documentación del coprocesador criptográfico IBM 4758 para obtenermás información.


Capítulo 4. Información de...

Este capítulo proporciona información descriptiva que debería serle de utilidadpara administrar el sistema Trust Authority de una forma más eficaz. Los temasincluyen los aspectos generales de seguridad de Trust Authority así comoinformación acerca de las autoridades de certificado (CA), las autoridades deregistro (RA) y el subsistema de auditoría de Trust Authority.

Seguridad de Trust AuthorityEl modelo de fiabilidad y seguridad de IBM Trust Authority tiene las característicassiguientes:v Trust Authority utiliza la firma de códigos para proporcionar seguridad para

todo el software que lleva a cabo operaciones basadas en claves.v Trust Authority utiliza KeyStores para el almacenamiento y el acceso a

credenciales de componentes como las claves y los certificados. Las credencialesalmacenadas en los KeyStores de componente se cifran empleando una clavederivada de una contraseña suministrada.

v Con fines de autentificación, las comunicaciones entre componentes se firman.Por ejemplo, los mensajes PKIX entre la RA y la CA se firman.

v Para sistemas AIX, Trust Authority proporciona protección de las claves defirmas basada en el hardware 4758.

Listas de control de accesosLas Listas de control de accesos (ACL) proporcionan un mecanismo para limitar eluso de un recurso determinado a los usuarios autorizados. Los componentes deTrust Authority que utilizan ACL son la CA, la RA y el Directorio.

La CA utiliza la ACL para restringir el acceso a funciones de la CA como lacreación de certificados. La RA utiliza la ACL para restringir el acceso a funcionesde la RA como la aprobación de solicitudes. El Directorio utiliza la ACL pararestringir el acceso a diversas partes del Directorio que podrían contenerinformación importante.

Autoridades de certificadoUna autoridad de certificado (CA) es la entidad responsable de seguir las políticasde seguridad de una organización y de asignar identidades electrónicas seguras enforma de certificados. Los certificados, firmados por la propia clave privada de laCA, contienen información de identificación y de otra índole acerca del titular delcertificado.

La CA de IBM Trust Authority tiene las siguientes funciones:v Procesa las peticiones de las RA para emitir, renovar y revocar certificados.v Mantiene una lista de control de accesos (ACL), protegida por privilegios de

permiso de archivos, que contiene los DN de las RA autorizadas y los usuariosadministrativos.

v Mantiene una lista de certificados emitidos (ICL) en la base de datos CA queproporciona información que incluye el estado del certificado, el número de seriey la información de la CRL.


La CA comunica la información de la ICL a la RA de Trust Authority que, a suvez, publica certificados y la CRL en el Directorio.Los registros almacenados en la base de datos CA utilizan un código deautentificación de mensajes (MAC) para garantizar la protección. La verificaciónde estos registros es una opción de Trust Authority que se denominacomprobación de la integridad.

v Almacena sus propias claves y certificados en el KeyStore de Trust Authority.v Genera informes de auditoría para eventos en los que la seguridad es de gran

importancia y los transmite al servidor de auditoría.v Ofrece soporte para la certificación cruzada y la jerarquía CA.v Ofrece soporte para la generación y la validación de certificados que contienen

extensiones de certificado definidas y elegidas por el usuario.

Jerarquías CAUna jerarquía CA es una estructura de fiabilidad por la cual una CA se ubica en laparte superior de la estructura y hasta cuatro capas de CA subordinadas se ubicanpor debajo de ella. Cuando los usuarios o los servidores se registran en una CA,reciben un certificado firmado por la CA y heredan la jerarquía de certificación delas capas superiores. En Trust Authority, una CA puede configurarse para formarparte de una jerarquía. En este caso, el certificado CA lo firma otra CA. La CApuede configurarse para ofrecer soporte para certificados firmados por ella misma.En este caso,la CA no participa en una jerarquía CA.

Trust Authority ofrece soporte para certificación jerárquica solamente entre las CAque se adhieran al protocolo CMP PKIX y a los protocolos PKCS núm. 7 y PKCSnúm. 10.

Extensiones de certificadoLas extensiones de certificado X.509v3 proporcionan métodos para asociar atributosadicionales a usuarios o claves públicas y para gestionar la jerarquía CA. Elformato X.509v3 también permite a las comunidades de usuarios definirextensiones privadas o comunes para transmitir información exclusiva para estascomunidades.

Cada extensión de un certificado puede designarse como crítica o no crítica. Unsistema que utilice certificados del formato X.509v3 debe rechazar un certificado siencuentra una extensión crítica que no reconoce; de todos modos, una extensión nocrítica puede ignorarse si no se reconoce.

Existen tres tipos de extensiones de certificado.Son los siguientes:v Extensiones estándarv Extensiones comunesv Extensiones privadas

Extensiones estándarUna extensión de certificado estándar es una extensión cuyo significado y sintaxisse definen en el estándar ITU RFC 2459. Todas las extensiones de este tipo exceptouna se definen también en X.509v3. Varias de ellas se definen solamente dentro decertificados CA. Trust Authority permite agregar la mayoría de las expresionesestándar a un certificado, con las reglas especificadas en la Tabla 12 en la página 59:


Tabla 12. Extensiones de certificado

Extensión Descripción

Key Usage Esta extensión indica la finalidad de la clave públicacertificada. Sus valores se suelen definir a través deplantillas de certificado.

Subject Alternative Name Esta extensión contiene uno o varios nombresalternativos, con diferentes formatos de nombre, parala entidad que la CA ha enlazado a la clave públicacertificada. Las plantillas de certificado suelen definircuál de estos formatos puede utilizarse en certificadosque emplean esa plantilla.

Subject Key Identifier Esta extensión identifica qué clave pública se certificamediante un certificado determinado. Su utilizaciónprincipal es distinguir las claves cuando se certifican ose han certificado varias claves para la misma entidad.Su valor, en Trust Authority, lo establece siempre laCA.

Authority Key Identifier Esta extensión identifica qué clave pública fueutilizada por el emisor de un certificado al firmarla.Su utilización principal es distinguir las claves cuandose certifican varias claves para el mismo emisor. Suvalor lo establece siempre la CA.

Private Key Usage Period Esta extensión restringe el uso de la clave privada quecorresponde a una parte del período de validez delcertificado. El perfil de certificado PKIX actual, RFC2459, especifica que su uso ya no se recomienda.

Certificate Policies Esta extensión contiene una serie de indicadores depolíticas. Un indicador de políticas puede constarsolamente de un identificador de objetos cuyosignificado debe publicarse. De forma alternativa,puede constar de un identificador de objetos junto conuna sentencia de la política prevista. La sentencia depolítica puede ser proporcionada por el URL desde elque puede recuperarse, o por una sentencia de textobreve incluida en el certificado.

Issuer Alternative Name Esta extensión contiene uno o varios nombresalternativos, con diferentes formatos de nombre, parael emisor del certificado. Su valor lo establece siemprela CA.

Subject Directory Attributes Esta extensión contiene una serie de atributos dedirectorio adicionales que pertenecen al sujeto y queno forman parte del nombre distintivo. Debe ser detipo no crítico.

Extended Key Usage Esta extensión contiene una serie de identificadores deobjetos que indican la finalidad de la clave públicacertificada. Sus valores se suelen definir a través deplantillas de certificado. Los valores para estaextensión los puede definir una comunidad deusuarios o pueden derivarse de RFC 2459.

Capítulo 4. Información de... 59

Tabla 12. Extensiones de certificado (continuación)

Extensión Descripción

Basic Constraints Esta extensión es útil solamente para un certificadoCA y está presente en todos los certificados CAgenerados por Trust Authority. Siempre está ausente ovacía para cualquier otro certificado, y RFC 2459recomienda que esté ausente antes que vacía. Ademásde indicar que un certificado es un certificado CA,puede contener una ruta de acceso de longitud decertificación máxima, que especifica cuántos nivelesmás de CA pueden ser certificados por ésta. Estaextensión debe ser de tipo crítico.

Name Constraints Esta extensión se utiliza solamente en un certificadoCA. Especifica un espacio de nombres dentro del cualdeben estar ubicados todos los nombres de sujeto ylos nombres de sujeto alternativos en los certificadosque la CA o las CA certificadas por esa CA emitenjunto con este certificado. El propósito de estaextensión es restringir los nombres que puedenutilizar los por certificados en la ruta de acceso de estecertificado. Las restricciones se definen en términos desubárboles de nombres permitidos o excluidos. Unnombre que concuerde con una restricción en la listade subárboles excluidos no es válido, conindependencia de la información que aparezca en lalista de subárboles permitidos. Esta extensión debe serde tipo crítico.

Policy Mappings Esta extensión se utiliza solamente en certificados CA.Trust Authority no establece esta extensión en uncertificado para el cual generó la solicitud original.

Policy Constraints Esta extensión, que se utiliza solamente en uncertificado CA, puede utilizarse para dos propósitos.Puede prohibir la correlación de políticas en loscertificados de la ruta de acceso de certificación, opuede requerir políticas específicas para talescertificados.

CRL Distribution Points Esta extensión indica dónde puede hallarse una CRLparcial, que contiene información de revocación acercade este certificado. Se establece al especificar un valordistinto de cero válido para el parámetro certPerDP enel archivo jonahca.ini.

Authority Information Access Esta extensión indica dónde y cómo puede accederse acierta información acerca del emisor del certificado enel que aparece la extensión. No se estableceactualmente en los certificados creados por TrustAuthority.

Extensiones comunesTrust Authority define una única extensión no estándar como una extensióncomún, que puede ser utilizada por cualquier organización que ejecute TrustAuthority. Se trata de la extensión Host Identity Mapping. Esta extensión asocia elsujeto del certificado a una identidad correspondiente en un sistema principal.

Extensiones privadasCualquier aplicación de entidad cliente escrita para utilizar Trust Authority puededefinir una extensión cuya identidad y sintaxis sean privadas para esa aplicación o


compartidas dentro de una comunidad de usuarios. Estas extensiones deben ser detipo no crítico. Si la extensión se está definiendo por vez primera, debe asignárseleun identificador de objetos y debe registrarse de conformidad con las disposicionesdel estándar ITU X.660 y el estándar ISO 9834-1, que son los mismos, y su sintaxisdebe registrarse asimismo.

Secuencia de solicitud de extensiónLas extensiones pueden ser solicitadas por un usuario, pero deben ser validadaspor la CA o una RA en nombre de una CA. El proceso tiene la siguiente secuencia:1. El usuario solicita una extensión, suministra información para la extensión,

incluyendo un valor y un identificador de extensión exclusivo, y especifica si laextensión es o no de tipo crítico.

2. La solicitud de extensión y la información pasan a formar parte de la solicitudde certificado que se envía a la RA.

3. La RA o la CA, mientras procesan la solicitud de certificado, validan laextensión respecto a la política de certificados de la organización, y cambian oignoran la solicitud de extensión. Si la extensión se valida, la CA lo certifica.

Listas de revocación de certificadosUna lista de revocación de certificados (CRL) es una lista de certificados, firmadadigitalmente y con indicación de fecha y hora, que han sido revocados por unaCA. Los certificados en esta lista deberían considerarse inaceptables.

Los certificados pueden revocarse cuando finaliza su período de validez, o si sesospecha que pueda haberse comprometido su integridad. El estado del certificadose cambia en la ICL. En el momento planificado, la CA crea la CRL que contiene elnúmero de serie y el DN de la CA emisora del certificado que ha sido revocado.Aunque un certificado y su información se cambian en la ICL cuando se revoca elcertificado, ninguna revocación es definitiva hasta que se emite la CRL y se publicaen el Directorio.

En Trust Authority, el periodo de vigencia de una CRL publicada y el intervalo detiempo entre las publicaciones de la CRL se establece y puede modificarse en elarchivo de configuración de la CA, jonahca.ini.

También puede beneficiarse de los puntos de distribución de la CRL, que lepermiten definir y dividir el número de CRL distribuidas para su procesoposterior. En lugar de acumular un número cada vez mayor de certificadosrevocados en una ubicación o bajo una sola entrada en el servidor del Directorio,puede dividir la lista de certificados revocados entre diversos puntos dedistribución. Esta característica se activa estableciendo el parámetro certPerDp en elarchivo de configuración jonahca.ini.

Certificación cruzadaLa certificación cruzada es un modelo de fiabilidad en el que una CA emite paraotra CA un certificado que contiene una clave CA pública asociada a una clave defirmas CA privada correspondiente que se utiliza para la emisión de certificados.Normalmente, un certificado cruzado se utiliza para que los sistemas cliente o lasentidades finales de un dominio de registro puedan comunicarse de forma seguracon sistemas cliente o entidades finales de otro dominio de registro.

Aunque la certificación cruzada entre las CA puede efectuarse en ambasdirecciones, en Trust Authority sólo se ofrece soporte para las solicitudes decertificación cruzada en una dirección. La certificación cruzada en dos sentidos


puede efectuarse haciendo que cada CA obtenga un certificado cruzado de la otra.Trust Authority ofrece soporte para la certificación cruzada solamente entre las CAque se adhieran al protocolo CMP PKIX.

CertificaciónLa certificación es la creación de un certificado digital para una entidad o persona.Para Trust Authority, la certificación se produce solamente después de laevaluación y la aprobación de una solicitud de certificado por parte de la RA.Como resultado del registro, la CA emite los certificados.

Certificados digitalesUn certificado digital es una credencial electrónica emitida por un tercero seguropara una persona o entidad. Cada certificado se firma con la clave privada de laCA. Autoriza a un individuo, empresa o identidad organizativa.

En función del papel de la CA, el certificado puede autentificar la autoridad de suposeedor para llevar a cabo actividades de e-business en Internet. En ciertosentido, un certificado digital desempeña un papel similar al de un carnet deconducir o un diploma médico. Certifica que el poseedor de la clave privadacorrespondiente está autorizado para llevar a cabo ciertas actividades dee-business.

Un certificado contiene información acerca de la entidad que lo certifica, ya seauna persona, un equipo o un programa de ordenador. Incluye la clave públicacertificada de esa entidad.

Para Trust Authority, el tipo de certificado que se emite es coherente con laspolíticas empresariales de su organización.

Nombres distintivosUn nombre distintivo (DN) es el nombre exclusivo de una entrada de datosalmacenada en el Directorio. El DN identifica de forma exclusiva la posición deuna entrada en la estructura jerárquica del Directorio llamada el Árbol deinformación del Directorio (DIT).

Esta estructura tiene una sola raíz y un número ilimitado de nodos que se derivande la raíz. Cada nodo corresponde a una entrada del Directorio identificada poratributos. La expresión del DN en una entrada para el Directorio depende de losrequisitos de sintaxis del protocolo de acceso del cliente del Directorio y delservidor del Directorio.

En Trust Authority, que utiliza el Directorio de IBM SecureWay, un DN en unaentrada del Directorio podría tener este aspecto:/C=US/O=IBM/OU=Trust Authority/[email protected],CN=Chris Smith

donde US es el país (C), IBM es la organización (O), Trust Authority es eldepartamento dentro de la organización (OU), [email protected] es ladirección de correo electrónico (MAIL), y Chris Smith es el nombre común (CN).

Listas de certificados emitidosUna lista de certificados emitidos (ICL) es una lista completa de los certificadosque han sido emitidos por la CA y su estado actual. Los certificados se indexanpor número de serie y estado. La CA mantiene la ICL y la almacena en la base de


datos de la CA. Esta lista se utiliza para determinar los certificados que deberíanpublicarse en una lista de revocación de certificados (CRL). La ICL de TrustAuthority tiene las siguientes características:v Implementación de la conectividad de bases de datos abiertas (ODBC) (que, en

Trust Authority, se realiza a través de DB2)v Uso opcional de los MAC en registros de bases de datos para mantener la

integridad (sólo ODBC)v Confusión durante la ejecución de la clave de cifrado y la clave MACv Soporte para varias conexiones (por hebra), limitadas por un número máximo

predeterminadov Acceso al servicio de registro cronológico de auditoría

Firma y validación de firmasFirmar es utilizar una clave digital privada para generar una firma. Verificarconsiste en utilizar la clave pública correspondiente para validar la firma.

Trust Authority utiliza un sistema criptográfico basado en PKIX para la firma y lavalidación de firmas. Este producto permite a las aplicaciones cifrar y descifrar lainformación. Al emplear este producto, las aplicaciones pueden verificar una firmadigital, recuperar un certificado de un Directorio y determinar si un certificado esfiable. Este sistema criptográfico proporciona asimismo un soporte transparentepara el cifrado basado en hardware. Ofrece soporte para el coprocesadorcriptográfico PCI IBM 4758 o cualquier símbolo de hardware que ofrezca soportepara la interfaz PKCS nº 11.

Todo el software de Trust Authority que lleva a cabo operaciones criptográficas yKeyStore reciben la firma de este sistema criptográfico.

Autoridades de registroUna Autoridad de registro (RA) es un proceso de servidor que gestiona losaspectos administrativos de la certificación digital. En Trust Authority, una RApuede aprobar o rechazar solicitudes e iniciar la revocación de certificados. La RAgarantiza la aplicación de las políticas empresariales y de certificación de suorganización.

Responsables de registrosLos responsables de registros utilizan Trust Authority RA Desktop para llevar acabo las tareas de administración en solicitudes de registro. Para que unresponsable de registros pueda efectuar estas tareas, debe inscribirlo como unresponsable de registros. Consulte el apartado “Agregar un responsable deregistros” en la página 33 para obtener instrucciones sobre cómo realizarlo.

Empleando RA Desktop, los responsable de registross pueden consultar el estadode las solicitudes de certificados, que incluye los siguientes estados: recibido,pendiente, aprobado, rechazado, completado. Otros campos de consulta en RADesktop incluyen el nombre y el apellido, la fecha actualizada, la fecha de creacióny la fecha de caducidad del certificado. Cuando RA Desktop visualiza los registrosrecuperados de una consulta en una tabla, el responsable de registros puedeemprender acciones a partir del resultado, como la aprobación o el rechazo de unasolicitud de registro o la revocación o el cambio del estado de renovación de uncertificado.


Dominios de registroUn dominio de registro es un conjunto de recursos, políticas y opciones deconfiguración relacionado con determinados procesos de registro de certificados. Elnombre de dominio es un subconjunto del URL que se utiliza para invocar lasoperaciones de registro e identifica de forma exclusiva la aplicación. TrustAuthority ofrece soporte para un solo dominio de registro por instalación de TrustAuthority.

coprocesador criptográfico 4758El coprocesador criptográfico IBM 4758 es una tarjeta criptográfica de bus PCIprogramable que protege contra las intromisiones y ayuda la garantizar laconfidencialidad y la integridad de la clave de firmas de su organización. Utiliza laAPI de Arquitectura criptográfica común (CCA) de IBM para proporcionar unconjunto completo de servicios criptográficos que incluyen el cifrado DES y RSA.DES y RSA son los algoritmos utilizados más ampliamente en los sistemascriptográficos comerciales. De todas maneras, debido a su robustez, la metodologíade gestión de claves que utiliza su organización se convierte en la parte másvulnerable de su sistema. Cuando se compromete una clave, los datos cifrados conesa clave pueden verse totalmente expuestos. IBM 4758 ayuda a ampliar laprotección total de estas claves incluyendo:v Cifrado triple de claves, utilizando una clave especial almacenada en el

hardware dedicado.v Protección de las comunicaciones de datos de uno a otro extremov Funciones y perfiles establecidos de forma programada que pueden cambiarsev Uso de un generador de números aleatorios basado en hardware que ayuda a

garantizar la creación de claves imprevisibles

Los procesos criptográficos se llevan a cabo dentro de un alojamiento protegido dela tarjeta. La tarjeta se ha diseñado para satisfacer los requisitos más estrictos delestándar FIPS PUB 140-1 de nivel 4. El software puede ejecutarse dentro delalojamiento protegido.

En Trust Authority, el coprocesador 4758 genera claves de firmas de CA. La tarjetaprotege las claves generadas por el coprocesador 4758 cifrando la clave mediante laclave maestra del coprocesador 4758. Las claves CA pueden almacenarse enKeyStore o en el coprocesador 4758.

El coprocesador 4758 es un componente opcional pero recomendado de TrustAuthority que está disponible solamente en la plataforma AIX.

Tarjetas inteligentesLas tarjetas inteligentes son dispositivos criptográficos portátiles, normalmente deltamaño de una tarjeta de crédito. Se utilizan para almacenar certificados y clavesasí como para efectuar operaciones criptográficas, especialmente la firma, sinliberar la clave privada de la tarjeta. No todos los usuarios disponen de acceso alhardware de la tarjeta inteligente , por lo que Trust Authority proporciona unatarjeta inteligente virtual que actúa como si se estuviera empleando una tarjetainteligente física.

Los usuarios del cliente de Trust Authority pueden almacenar certificados entarjetas inteligentes virtuales y físicas. Cuando un usuario de la aplicación clientede Trust Authority envía una solicitud de certificado, se almacena una clave


privada en la tarjeta inteligente virtual o física del usuario. Cuando se aprueba elcertificado, se devuelve al usuario. Todos los certificados que se almacenan en latarjeta inteligente pueden asociarse a una clave privada utilizando el mismoidentificador de claves que la clave privada almacenada.

Tanto la CA como la RA almacenan en sus tarjetas inteligentes una clave privada yel certificado correspondiente con su firma. Ello permite a la RA firmar mensajes ya la CA firmar las CRL y los certificados sin exponer sus claves privadas fuera dela tarjeta inteligente.

Trust Authority implementa la interfaz PKCS #11 para el almacenamiento enTarjeta inteligente.

AuditoríaEl subsistema de auditoría de Trust Authority proporciona soporte para el registrarcronológicamente las acciones relacionadas con la seguridad, basándose en lasrecomendaciones descritas en el estándar del sector financiero X9.57. Le permitemodificar y gestionar los registros cronológicos de auditoría para llevar a cabocomprobaciones de integridad en los registros cronológicos de auditoría.

El subsistema de auditoría consta de una biblioteca de clientes y de un servidor deauditoría. El servidor de auditoría recibe los eventos de auditoría de clientesautorizados y graba los eventos en un registro cronológico de auditoría conintegridad protegida. Todos los informes de auditoría se almacenan en una base dedatos DB2. Los eventos de auditoría se graban también en un archivo. Lasherramientas de consulta e informe de auditoría las proporciona DB2 UDB.

Informes de auditoríaLos informes de auditoría se almacenan en una base de datos de DB2 del registrocronológico de auditoría. El registro cronológico de auditoría contiene un informepor evento de auditoría. La base de datos del registro cronológico de auditoría seha diseñado para que ayude a detectar intromisiones, tal como requiere el estándardel sector financiero X9.57. Cada informe de auditoría se identifica de formaexclusiva con un número de serie.

Eventos de auditoríaLos eventos de auditoría de Trust Authority son informes que indican que hasucedido un hecho importante en una tarea relacionada con la seguridad. Elservidor de auditoría recibe los eventos de auditoría de los clientes y los graba enun registro cronológico de auditoría con integridad protegida.

Los eventos de auditoría de Trust Authority se clasifican según las siguientescategorías:v Eventos de gestión de claves

Se trata de eventos relacionados con la administración segura de las claves, demodo que se proporcionen a los usuarios en el lugar y el momento requeridos.

v Eventos de gestión de certificadosSe trata de eventos relacionados con la gestión de certificados digitales y delmantenimiento de la información acerca de los certificados y las CRL en elDirectorio.

v Eventos sensibles a la seguridad


Se trata de eventos relacionados con las tareas sensibles a la seguridad como lacomprobación de la integridad, la autentificación y la validación de certificados.

v Eventos de acción del administrador de auditoríaSe trata de eventos relacionados con las tareas del administrador de auditoría.La función del administrador de auditoría consiste en implementar las políticasde seguridad utilizadas por su organización.

v Eventos de RASe trata de eventos relacionados con las acciones llevadas a cabo por una RA.

Consulte el apartado “Campos de los eventos de auditoría” en la página 103 paraobtener información de consulta detallada acerca de los eventos de auditoría.

Máscaras de eventos de auditoríaEn Trust Authority, las máscaras de eventos de auditoría proporcionan soportepara controlar los eventos de auditoría que se envían realmente al servidor deauditoría. Observe que existe un subconjunto obligatorio de eventos de auditoríaque no se ven afectados por las especificaciones de la máscara.

Consulte el apartado “Especificar una máscara de auditoría” en la página 42 paraobtener instrucciones acerca de la especificación de una máscara de auditoría.

Comparación de los eventos de auditoría obligatorios yopcionales

Existe un subconjunto de eventos de auditoría que es obligatorio. Este conjunto nose ve afectado por las especificaciones de máscaras en el archivo de configuracióndel cliente de auditoría. Consulte la Tabla 19 en la página 103 para determinar loseventos de auditoría que son obligatorios y los que son opcionales.

Comprobación de la integridadTrust Authority proporciona una herramienta para verificar que los registros deauditoría no hayan sufrido una modificación no autorizada. Esta herramienta sedenomina la herramienta Audit Integrity Check. La comprobación de la integridaddifiere de la protección de la confidencialidad de los datos, que impide ladivulgación no autorizada.

El servidor de auditoría no firma cada informe. En lugar de ello, calcula un códigode autentificación de mensajes (MAC) para cada informe y mantiene un MAC paratoda la base de datos.

Sellado de integridadEn Trust Authority, el sellado de integridad es la firma de los archivos de base dedatos del registro cronológico de auditoría en copia archivada. La firma de estosarchivos se lleva a cabo utilizando la herramienta de línea de mandatos AuditArchive and Sign de Trust Authority.

Copia archivada del registro cronológico de auditoríaTrust Authority ofrece soporte para la copia archivada del registro cronológico deauditoría actual en un archivo utilizando la herramienta de línea de mandatosAudit Archive and Sign.


Bases de datos DB2IBM DB2 Universal Database (DB2 UDB) es un sistema de gestión de base de datosrelacional habilitado para la Web con soporte de Java. En Trust Authority, efectúalas tareas siguientes:v Gestiona información acerca de los procesos de registro para los certificados

digitales.v Almacena información acerca de las acciones de la RA emprendidas para

aprobar o rechazar solicitudes de certificados digitales. Esta información seutiliza con fines de auditoría.

v Proporciona estadísticas operativas acerca de la carga de trabajo global delservicio de registro de Trust Authority.

v Proporciona bases de datos para la CA, la RA, el subsistema de auditoría y elDirectorio de Trust Authority y los datos de configuración de Trust Authority.

Servidores WebLos servidores Web son programas de servidor que responden a solicitudes derecursos de información por parte de programas navegadores. Trust Authorityutiliza el conjunto de productos de software IBM WebSphere para proporcionaruna base de fiabilidad para estas transacciones en la red. WebSphere ApplicationServer e IBM HTTP Server contribuyen a proporcionar la infraestructura para lasfunciones de servidor Web en Trust Authority.

En un sistema Trust Authority, el software del servidor Web reside en el mismosistema que la RA. Proporciona un límite de seguridad entre los programasprotegidos y los usuarios que intentan acceder a ellos. Mediante el empleo de latecnología HTTP y HTTPS (Protocolos de transferencia de hipertexto) y SSL (SecureSockets Layer), el servidor Web puede cifrar las comunicaciones entre el cliente y elservidor. También puede autentificar a los clientes para impedir el acceso noautorizado o la manipulación irregular de datos.

IBM WebSphere Application ServerIBM WebSphere Application Server (WAS) es un servidor de aplicaciones Javadiseñado para facilitar la gestión y el despliegue de aplicaciones Web. WAS debeinstalarse en un servidor Web de sistema principal que gestiona las solicitudesHTTP de navegadores y les devuelve HTML utilizando el protocolo HTTP. Cuandose instala WebSphere, modifica la configuración de su servidor Web de sistemaprincipal para redirigir determinadas solicitudes a WebSphere para el proceso enlugar de dejar que el servidor Web las gestione. WAS utiliza un entorno dedesarrollo Java y un entorno en tiempo de ejecución en sistema principal. Esteentorno Java permite a WebSphere ejecutar los programas Java que utiliza elservicio de registro de Trust Authority .

IBM HTTP ServerEl servidor de Trust Authority utiliza un modelo de tres servidores y tres puertospara procesar las solicitudes de los clientes. Su organización puede haber optadopor instalar una sola instancia de IBM HTTP Server y configurar distintos puertosy nombres de sistema principal virtuales para gestionar distintos tipos desolicitudes.

Al emplear este modelo, Trust Authority gestiona los siguientes tipos desolicitudes:v Solicitudes que no requieren cifrado ni autentificación.


v Solicitudes que requieren cifrado y autentificación del servidor.v Solicitudes que requieren cifrado, autentificación del servidor y autentificación

del cliente.

La Tabla 13 resume estas alternativas de configuración.

Tabla 13. Modelo de tres servidores y tres puertos para los HTTP Servers de IBM

Protocolo SSL Autentificaciónde servidor

Autentificaciónde cliente

Número depuerto de

ejemplo paraun IP único

Número depuerto de

ejemplo paraun IP

múltiple

HTTP No No No 80 80

HTTPS Sí Sí No 443 443

HTTPS Sí Sí Sí 1443 443

Asignación de alias de IPEn tecnología de Internet, un alias es un nombre asignado a un servidor que haceque el servidor sea independiente del nombre de su sistema principal. El alias debedefinirse en el Sistema de nombres de dominio (DNS) de su sistema.

Servidores del DirectorioTrust Authority utiliza el Directorio de IBM SecureWay para almacenar certificadosdigitales X.509, listas de revocación de certificados (CRL), políticas de CA y otrainformación relativa a los usuarios y servidores registrados. Puede utilizarse paraencontrar un certificado de clave pública para una persona o servidor en particularbuscando en el Directorio el nombre distintivo (DN) exclusivo de esa persona oservidor u otra información relevante.

Este servidor ofrece soporte para estándares Lightweight Directory Access Protocol(LDAP) y utiliza DB2 UDB como su base. Se ejecuta como un daemon autónomo yutiliza un modelo de cliente/servidor para proporcionar a Trust Authority accesoal servidor. Utiliza una interfaz basada en Web para configurar y mantener elDirectorio o para ver datos en él. El Directorio puede ser un servidor existentepreviamente o uno instalado y configurado especialmente para Trust Authority.Consulte la publicación Using the SecureWay Directory With Trust Authority que sehalla en el sitio Web de IBM SecureWay Trust Authority:http://www.tivoli.com/support

Identificadores de objetoUn identificador de objeto (OID) es un valor, que se puede distinguir de otrosvalores de este tipo, que se asocia a un objeto. Cada OID definido por ASN.1forma el nodo de un árbol (similar al DIT). Un árbol de identificador de objeto esun árbol cuya raíz corresponde a la asignada por la recomendación ITU X.680. Susvértices corresponden a las autoridades administrativas responsables de asignar losarcos (un segmento que enlaza dos vértices) desde ese vértice (un punto que puedeser el extremo del arco o la intersección de los arcos).

Cada arco del árbol se etiqueta mediante un componente de identificador deobjeto, el cual es un valor numérico. A cada objeto que se ha de identificar se leasigna exactamente un vértice (normalmente una hoja), y no se asigna ningún otro


http://www.tivoli.com/support

objeto (del mismo tipo o distinto) a ese mismo vértice. Por lo tanto, un objeto seidentifica de forma exclusiva y sin ambigüedades mediante la secuencia de valoresnuméricos (los componentes del identificador de objeto) que etiqueta los arcos deuna ruta que va desde la raíz al vértice que se ha asignado al objeto.

Inmediatamente debajo de la raíz, hay tres valores definidos actualmente. Son 0, 1,y 2:v 0 se asigna a las recomendaciones CCITT.v 1 se asigna a las recomendaciones ISO.v 2 se asigna a ambas organizaciones de forma conjunta.

Por ejemplo, todos los OID reservados para el estándar del Directorio estánincluidos en el valor conjunto CCITT/ISO de 2 y se han asignado al componentede identificador de objeto de 5. Por lo tanto, todos los OID de los objetos delestándar del Directorio empiezan por el prefijo 2.5.



Capítulo 5. Consulta

Este capítulo proporciona información de consulta para los elementos siguientes:v Archivos de configuración

La información incluye los nombres,las descripciones y el formato de losparámetros. Especifica si los parámetros son necesarios o son opcionales y si sepueden volver a configurar.

v MandatosLa información incluye la sintaxis y las descripciones de los parámetros para lasutilidades de línea de mandatos de Trust Authority.

v Campos de los eventos de auditoríaEsta sección lista y describe la información contenida en los eventos de auditoríade Trust Authority.

v Eventos de auditoríaEsta sección lista y describe los eventos de auditoría, y especifica si el evento esobligatorio o es opcional.

v Datos de la base de datos de auditoríaEsta sección documenta cómo se almacenan los informes de eventos de auditoríaen las tablas de base de datos relacionales. Proporciona los nombres de loscampos del informe (o los nombres de las columnas de la tabla) donde sealmacenan los datos, una descripción de los campos y el formato de los datos.

v Resolución de problemasEsta sección proporciona información acerca de la resolución de problemasbásica así como los mensajes de nivel de depuración.

Archivos de configuraciónEsta sección proporciona las descripciones de los parámetros para los siguientesarchivos de configuración:v Archivo de configuración del servidor CA, jonahca.iniv Archivo de configuración del servidor RA, jonahra.iniv Archivo de configuración del servidor de auditoría, AuditServer.iniv Archivo de configuración del cliente de auditoría, AuditClient.ini

Descripción del archivoUn archivo de configuración está dividido en secciones. Cada sección empieza poruna cabecera encerrada entre corchetes, por ejemplo, [sección]. Dentro de unasección, puede haber una o varias sentencias que utilicen el formato de par denombre y valor, parámetro=valor.

Las tablas que se detallan a continuación identifican todas las secciones yparámetros de que constan los archivos de configuración de Trust Authority que seeditarán para la administración del sistema. Las columnas de las tablas son lassiguientes:v Parámetrov Descripciónv Valor después de la configuración predeterminada


Esta columna facilita el valor predeterminado, si existe. Un parámetro esopcional si hay un valor predeterminado; en caso contrario, es necesario.

v ¿Se puede cambiar después de la configuración predeterminada?Esta columna indica si el valor especificado puede cambiarse o no.

El sistema ignora los espacios en blanco. Todos los especificadores de unidadespresentes deben aparecer en la secuencia correcta.

Archivo de configuración del servidor CALa Tabla 14 en la página 73 describe los parámetros del archivo de configuracióndel servidor CA, jonahca.ini.


Tabl

a14

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

CA

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

[OID

s]M

ecan

ism

oba

sad

oen

está

ndar

espa

raid

enti

fica

rel

emen

tos

de

form

aex

clus

iva

C=

OID

del

país

2.5.

4.6

No

O=

OID

de

laor

gani

zaci

ón2.

5.4.

10N

o

OU

=O

IDd

ela

unid

ador

gani

zati

va2.

5.4.

11N

o

CN

=O

IDd

elno

mbr

eco

mún

2.5.

4.3

No

L=

OID

de

lalo

calid

ad2.

5.4.

7N

o

ST=

OID

del

esta

do

2.5.

4.8

No

T=

OID

del

carg

o2.

5.4.

12N

o

id-d

sa=

OID

de

DSA

1.2.

840.

1004

0.4.

1N

o

id-d

sa-w

ith-

sha1

=O

IDd

eD

SAco

nSH

A-1

1.2.

840.

1004

0.4.

3N

o

rsaE

ncry

ptio

n=O

IDd

eci

frad

oR

SA1.

2.84

0.11

3549

.1.1

.1N

o

sha-

1Wit

hRSA

Enc

rypt

ion=

OID

de

cifr

ado

SHA

-1co

nR

SA1.

2.84

0.11

3549

.1.1

.5N

o

sha1

=O

IDd

eSH

A-1

1.3.

14.3

.2.2

6N

o

hmac

-sha

1=O

IDd

elH

MA

C(H

ashe

dM

essa

geA

uthe

ntic

atio

nC

ode)

SHA

-11.

3.6.

1.5.

5.8.

1.2

No

pkcs

7-d

ata=

OID

de

PKC

S#7

1.2.

840.

1135

49.1

.7.1

No

pkcs

12-c

ertb

ag=

OID

de

labo

lsa

de

cert

ific

ados

1.2.

840.

1135

49.1

.12.

10.1

.3N

o

pkcs

12-k

eyba

g=O

IDd

ela

bols

ad

ecl

aves

1.2.

840.

1135

49.1

.12.

10.1

.1N

o

X50

9-C

erti

fica

te=

OID

de

cert

ific

ado

X.5

091.

2.84

0.11

3549

.1.9

.22.

1N

o

Pass

wor

dB

ased

MA

C=

OID

de

MA

Cba

sad

oen

cont

rase

ña1.

2.84

0.11

3533

.7.6

6.13

No

MyP

olic

y=E

jem

plo

de

una

entr

ada

de

OID

de

Polic

yNam

e1en

lase

cció

nC

ertP

olic

y1.

34.6

7.7

No

My

Lit

ePo

licy=

Eje

mpl

od

eun

aen

trad

ad

eO

IDd

ePo

licyN

ame2

enla

secc

ión

Cer

tPol

icy

2.4.

1.0

No

[Asy

mm

etri

cKey

Alg

s]

DSA

=D

efin

ició

nd

elal

gori

tmo

de

clav

eD

SAid

-dsa

No

RSA

=D

efin

ició

nd

elal

gori

tmo

de

clav

eR

SArs

aEnc

rypt

ion

No

Capítulo 5. Consulta 73

Tabl

a14

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

CA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

[Asy

mm

etri

cEnc

Alg

s]

DSA

=D

efin

ició

nd

elal

gori

tmo

de

cifr

ado

DSA

id-d

saN

o

[Asy

mm

etri

cSig

Alg

s]]

DSA

wit

hSH

A1=

Def

inic

ión

del

algo

ritm

od

efi

rmas

DSA

con

SHA

-1.S

eem

plea

para

visu

aliz

arun

ase

lecc

ión

de

algo

ritm

opo

rpa

rte

de

laG

UI

ose

rvid

or.

id-d

sa-w

ith-

sha1

No

RSA

wit

hSH

A1=

Def

inic

ión

del

algo

ritm

od

efi

rmas

RSA

con

SHA

-1.S

eem

plea

para

visu

aliz

arun

ase

lecc

ión

de

algo

ritm

opo

rpa

rte

de

laG

UI

ose

rvid

or.

sha-

1Wit

hRSA

Enc

rypt

ion

No

[Obj

ectS

tore

]

Nam

e=R

aíz

del

arch

ivo

(sin

exte

nsió

n)qu

ed

ebe

usar

sepa

ralo

sar

chiv

osd

ed

atos

CA

caO

bjec

tSto

reN

o

Path

=R

uta

de

acce

soab

solu

tad

ond

ere

sid

enlo

sar

chiv

osC

Ad

eTr

ust

Aut

hori

tyPa

raW

ind

ows

NT:

c:\

Arc

hivo

sd

epr

ogra

ma\

IBM

\Tr

ust

Aut

hori

ty\

etc\

Trus

tAut

hori

ty\

Para

AIX

:/us

r/lp

p/ia

u/et

c/Tr

ustA

utho

rity

/

No

[Cer

tPol

icy]

Cad

aal

gori

tmo

de

firm

asd

ebe

tene

rsu

OID

dec

lara

do

enla

secc

ión

OID

s.C

ada

nom

bre

de

polít

ica

deb

ete

ner

unO

IDco

rres

pond

ient

een

lase

cció

nO

IDs.

SigA

lg1=

Def

inic

ión

del

prim

eral

gori

tmo

de

firm

as.D

ebe

tene

run

aen

trad

aco

rres

pond

ient

een

lase

cció

nO

IDs.

sha-

1Wit

hRSA

Enc

rypt

ion

No

Star

tTim

eSpe

cifi

able

=E

spec

ific

asi

elso

licit

ante

(ent

idad

clie

nte

aR

Ao

RA

aC

A)

pued

ees

peci

fica

rla

hora

de

inic

io.

VN

o

Max

Lif

etim

e=E

lpe

ríod

od

evi

genc

iam

áxim

ad

eun

cert

ific

ado

(en

hora

s).

1754

4hSí

Lif

eTim

eDef

=E

lpe

ríod

od

evi

genc

iapr

edet

erm

inad

od

eun

cert

ific

ado

(en

día

s).

180d

No


Tabl

a14

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

CA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

Key

Spec

ifia

ble=

Esp

ecif

ica

siel

solic

itan

te(e

ntid

adcl

ient

eo

RA

)pu

ede

espe

cifi

car

lacl

ave

públ

ica

del

suje

to.

VN

o

Key

Usa

geSu

ppor

ted

=E

spec

ific

asi

seso

port

ala

exte

nsió

nd

eus

od

ecl

ave.

VN

o

Key

Usa

geR

equi

red

=E

spec

ific

asi

sere

quie

rela

exte

nsió

nd

eus

od

ecl

ave.

FN

o

Polic

yCri

tica

l=E

spec

ific

asi

lapo

lític

ad

eber

íase

rcr

ític

a.F

No

Polic

yReq

uire

d=

Esp

ecif

ica

sise

requ

iere

lapo

lític

a.F

No

Polic

yNam

e1=

El

nom

bre

de

lapo

lític

apr

imar

ia.D

ebe

tene

run

OID

corr

espo

ndie

nte

enla

secc

ión

OID

s.

MyP

olic

yN

o

Polic

y1O

rg=

El

nom

bre

de

laor

gani

zaci

ónqu

ere

quie

rees

tapo

lític

aSu

Org

aniz

ació

nN

o

Polic

y1N

otic

e1=

Not

ice1

asoc

iad

oa

Polic

y13

No

Polic

y1N

otic

e2=

Not

ice2

asoc

iad

oa

Polic

y117

No

Use

rNot

iceT

ext1

=U

nad

ecla

raci

ónle

gal

oun

are

nunc

iapa

rain

form

ació

nd

ela

part

ed

epen

die

nte,

yen

laqu

eés

tapu

ede

basa

rsu

sd

ecis

ione

s

La

dec

lara

ción

ore

nunc

iale

gal.

No

CPS

1=U

RL

enel

que

pued

ele

erse

lad

ecla

raci

ónd

ePo

licy1

.ht

tp:/

/lo

calh

ost/

ind

ex.h

tml

No

Polic

yNam

e2=

Nom

bre

de

lapo

lític

ase

cund

aria

.Si

exis

te,d

ebe

tene

run

OID

corr

espo

ndie

nte

enla

secc

ión

OID

s.

My

Lit

ePo

licy

No

CPS

2=U

RL

enel

que

pued

ele

erse

lad

ecla

raci

ónd

ePo

licy2

.ht

tp:/

/lo

calh

ost/

ind

ex.h

tml

No

Tim

eBet

wee

nCR

Ls=

Inte

rval

od

eti

empo

pred

eter

min

ado

entr

ela

spu

blic

acio

nes

plan

ific

adas

de

laC

RL

.

1dSí


Tabl

a14

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

CA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

CR

LD

urat

ion=

Perí

odo

de

vige

ncia

de

laC

RL

.2d

Sí

[Cro

ssC

ertP

olic

y]

SigA

lg1=

Def

inic

ión

del

prim

eral

gori

tmo

de

firm

as.D

ebe

tene

run

aen

trad

aco

rres

pond

ient

een

lase

cció

nO

IDs.

sha-

1Wit

hRSA

Enc

rypt

ion

No

Star

tTim

eSpe

cifi

able

=E

spec

ific

asi

elso

licit

ante

(ent

idad

clie

nte

oR

A)

pued

ees

peci

fica

rla

hora

de

inic

io.

VN

o

Max

Lif

eTim

eL

ad

urac

ión

máx

ima

de

unce

rtif

icad

o.17

544h

Sí

Lif

eTim

eDef

El

perí

odo

de

vige

ncia

de

unce

rtif

icad

o.18

0dN

o

Key

Spec

ifia

ble=

Esp

ecif

ica

siel

solic

itan

te(e

ntid

adcl

ient

eo

RA

)pu

ede

espe

cifi

car

lacl

ave

públ

ica

del

suje

to.

VN

o

Key

Usa

geSu

ppor

ted

=E

spec

ific

asi

seso

port

ala

exte

nsió

nd

eus

od

ecl

ave.

VN

o

Key

Usa

geR

equi

red

=E

spec

ific

asi

sere

quie

rela

exte

nsió

nd

eus

od

ecl

ave.

FN

o

Polic

yCri

tica

l=E

spec

ific

asi

lapo

lític

ad

eber

íase

rcr

ític

aF

No

Polic

yReq

uire

d=

Esp

ecif

ica

sise

requ

iere

lapo

lític

a.F

No

Polic

yNam

e1=

El

nom

bre

de

lapo

lític

apr

imar

ia.D

ebe

tene

run

OID

corr

espo

ndie

nte

enla

secc

ión

OID

s.

MyP

olic

yN

o

Polic

y1O

rg=

El

nom

bre

de

laor

gani

zaci

ónqu

ere

quie

rees

tapo

lític

a.Su

Org

aniz

ació

nN

o

Polic

y1N

otic

e1=

Not

ice1

asoc

iad

oa

Polic

y13

No

Polic

y1N

otic

e2=

Not

ice2

asoc

iad

oa

Polic

y117

No


Tabl

a14

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

CA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

Use

rNot

iceT

ext1

=U

nad

ecla

raci

ónle

gal

oun

are

nunc

iaa

títu

loin

form

ativ

opa

rala

part

ed

epen

die

nte,

yen

laqu

eés

tapu

ede

basa

rsu

sd

ecis

ione

s

La

dec

lara

ción

ore

nunc

iale

gal

No

CPS

1=U

RL

enel

que

pued

ele

erse

lad

ecla

raci

ónd

ePo

licy1

http

://

loca

lhos

t/in

dex

.htm

lN

o

Polic

yNam

e2=

Nom

bre

de

lapo

lític

ase

cund

aria

.M

yL

ite

Polic

yN

o

CPS

2=U

RL

enel

que

pued

ele

erse

lad

ecla

raci

ónd

ePo

licy2

.ht

tp:/

/lo

calh

ost/

ind

ex.h

tml

No

Tim

eBet

wee

nCR

Ls=

Inte

rval

od

eti

empo

pred

eter

min

ado

entr

ela

spu

blic

acio

nes

plan

ific

adas

de

laC

RL

.

1dSí

CR

LD

urat

ion=

Peri

odo

de

vige

ncia

de

laC

RL

2dSí

[Gen

eral

]

MyN

ame=

DN

de

laen

tid

adcl

ient

e./

C=

US/

O=

SuO

rgan

izac

ión/

OU

=Tr

ust

Aut

hori

ty/

CN

=C

Ad

eTr

ust

Aut

hori

tyN

o

Def

ault

RA

=L

aR

Apr

edet

erm

inad

a.1

No

Pref

erre

dC

rypt

oPro

vid

er=

El

GU

ID(i

den

tifi

cad

orex

clus

ivo

glob

alm

ente

)pa

rael

prov

eed

orcr

ipto

gráf

ico.

dd

a0c1

e0-7

b73-

11d

0-8e

0c-0

004a

c602

b18

No

Cer

tper

DP=

Cer

tifi

cad

ospo

rpu

nto

de

dis

trib

ució

n.0

Sí

CR

LD

istN

ame=

Nom

bre

del

punt

od

ed

istr

ibuc

ión

que

sein

sert

ará

enel

cert

ific

ado.

MyC

RL

Dis

tNam

e%d

No

Tem

pPat

h=R

uta

de

acce

sopa

rael

alm

acen

amie

nto

de

arch

ivos

tem

pora

les.

Para

Win

dow

sN

T:c:

\A

rchi

vos

de

prog

ram

a\IB

M\

Trus

tA

utho

rity

\et

c\Tr

ustA

utho

rity

\

Para

AIX

:/us

r/lp

p/ia

u/et

c/Tr

ustA

utho

rity

/

No

Path

ToD

LL

s=R

uta

de

acce

soen

laqu

ese

alm

acen

anla

sbi

blio

teca

sPK

IX.

Para

Win

dow

sN

T:c:

\pk

ix\

Para

AIX

:/us

r/pk

ix/

No


Tabl

a14

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

CA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

RA

1=D

Nd

ela

RA

para

esta

CA

./

C=

US/

O=

SuO

rgan

izac

ión/

OU

=Tr

ust

Aut

hori

ty/

CN

=R

Ad

eTr

ust

Aut

hori

tyN

o

[Tra

nspo

rt]

TC

PPor

t=Pu

erto

TC

Pen

elqu

ees

cuch

ala

CA

.18

30Sí

TC

PHos

t=N

ombr

ed

esi

stem

apr

inci

pal

del

equi

poen

elqu

ere

sid

ela

CA

.Su

nom

bre

desi

stem

apr

inci

pal

No

PollI

nter

val=

Inte

rval

od

eso

ndeo

.10

sSí

[Key

Stor

e]

Cur

Key

Stor

e=K

eySt

ore

enus

o.V

SCN

o

[VSC

]É

sta

esun

ase

cció

nre

quer

ida

siel

pará

met

roC

urK

eySt

ore

tien

eun

valo

rd

eV

SC.

Mod

el=

Tipo

de

alm

acen

amie

nto

utili

zad

o.PK

CS1

1_ST

OR

AG

E_M

OD

EL

No

Gui

d=

Iden

tifi

cad

orex

clus

ivo

glob

al.

7F52

9C80

-C94

2-11

D1-

8FB

0-00

04A

C61

389A

No

Init

ialS

Opw

=C

ontr

aseñ

ain

icia

lpa

rael

Ad

min

istr

ador

de

aud

itor

íaSO

PIN

No

Toke

nDir

=R

uta

de

acce

soab

solu

tay

nom

bre

de

arch

ivo

para

lata

rjet

ain

telig

ente

virt

ual.

Para

Win

dow

sN

T:c:

\A

rchi

vos

de

prog

ram

a\IB

M\

Trus

tA

utho

rity

\et

c\Tr

ustA

utho

rity

\ca

KS.

fil

Para

AIX

:/us

r/lp

p/ia

u/et

c/Tr

ustA

utho

rity

/ca

KS.

fil

No

4758

GU

ID=

GU

IDpa

rala

tarj

eta

4758

.47

4d08

80-b

44c-

11d

1-b1

cf-0

0203

5680

b00

No

Use

4758

=In

dic

ador

para

det

erm

inar

sila

CA

utili

zael

4758

.fa

lse

No

4758

Prof

ileU

seri

d=

El

IDd

eus

uari

od

elpe

rfil

del

4758

.D

ispo

nibl

eso

lam

ente

siU

se47

58=

true

.IB

MC

A00

1N

o

4758

Prof

ilePa

ssPh

rase

=L

aco

ntra

seña

para

elpe

rfil

del

4758

.D

ispo

nibl

eso

lam

ente

siU

se47

58=

true

.Se

cure

99N

o

4758

Ret

ain=

Esp

ecif

ica

sila

CA

utili

zala

opci

ón47

58R

etai

n.D

ispo

nibl

eso

lam

ente

siU

se47

58=

true

.

fals

e(t

rue

sola

men

tepa

rala

opci

ónR

ETA

IN,q

ueno

sere

com

iend

a)N

o


Tabl

a14

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

CA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

4758

Key

Len

gth=

La

long

itud

de

lacl

ave

4758

.Los

valo

res

posi

bles

son:

512,

1024

,y20

48.

Dis

poni

ble

sola

men

tesi

Use

4758

=tr

ue.

512

No

[Tru

stPo

licy]

Use

CR

Ls=

Esp

ecif

ica

sila

sC

RL

yla

sA

RL

deb

ería

nut

iliza

rse

com

opa

rte

del

proc

eso

de

valid

ació

n.

VN

o

Allo

wE

xpir

edC

RL

s=E

spec

ific

asi

las

CR

Lca

duc

adas

son

válid

as.

FN

o

Allo

wFu

ture

CR

Ls=

Esp

ecif

ica

sila

sC

RL

con

fech

asfu

tura

sso

nvá

lidas

.F

No

Allo

wE

xpir

edC

erti

fica

tes=

Esp

ecif

ica

silo

sce

rtif

icad

osca

duc

ados

son

válid

os.

FN

o

Allo

wFu

ture

Cer

tifi

cate

s=E

spec

ific

asi

los

cert

ific

ados

futu

ros

son

válid

osF

No

Allo

wC

RL

Sear

chTo

Fail=

Esp

ecif

ica

sino

enco

ntra

rla

CR

Lo

AR

Lpa

raun

emis

ord

eter

min

ado

cons

titu

yeun

erro

r.

FN

o

Max

imum

Cha

inSe

arch

Dep

th=

Prof

und

idad

máx

ima

de

cad

ena

perm

itid

ad

uran

tela

crea

ción

reit

erad

ad

eca

den

asin

icia

lmen

tea

loan

cho.

15N

o

[Rem

oteS

erve

r]

Max

Sess

ions

=Pa

rám

etro

de

ajus

te.

16N

o

Enc

rypt

ionP

olic

y=E

spec

ific

asi

seut

iliza

una

polít

ica

de

cifr

ado

entr

eun

serv

idor

subo

rdin

ado

ysu

adm

inis

trad

orre

mot

osi

ambo

ses

tán

enel

mis

mo

sist

ema.

FN

o

Num

Ad

min

s=N

úmer

od

ead

min

istr

ador

esce

rtif

icad

os.

0N

o

Ad

min

1DN

=D

Nd

eA

dm

inis

trat

or1.

No

seut

iliza

No

[IC

L]


Tabl

a14

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

CA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

IclO

dbc

Prov

ider

=Ti

pod

epr

ovee

dor

para

OD

BC

.U

DB

No

IclP

rote

ctio

nPol

icy

Polít

ica

de

prot

ecci

ónIC

L.L

osva

lore

sso

n:

Igno

re

Con

tinu

eWit

hMes

sage

Term

inat

eTra

nsac

tion

Con

tinu

eWit

hMes

sage

Sí

IclO

dbc

Dri

verC

onne

ct=

Nom

bre

de

laba

sed

ed

atos

para

laIC

L.

DSN

=ib

md

bN

o

MA

CL

abel

=E

tiqu

eta

para

las

clav

esM

AC

enK

eySt

ore.

CA

_MA

C_K

eyN

o

[UR

Ls]

/C

%E

Q%

US/

O%

EQ

%Su

Org

aniz

ació

n/O

U%

EQ

%Tr

ust

Aut

hori

ty/

CN

%E

Q%

RA

de

Trus

tA

utho

rity

=pk

ix:/

/lo

calh

ost:8

29

Est

aen

trad

ase

def

ine

dur

ante

laco

nfig

urac

ión

con

elU

RL

yel

DN

para

laR

A

DN

de

laR

ASí


Archivo del configuración del servidor RALa Tabla 15 en la página 82 proporciona información acerca de los parámetros delarchivo de configuración del servidor RA, jonahra.ini.


Tabl

a15

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

RA

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

[OID

s]

C=

OID

del

país

.2.

5.4.

6N

o

O=

OID

de

laor

gani

zaci

ón.

2.5.

4.10

No

OU

=O

IDd

ela

unid

ador

gani

zati

va.

2.5.

4.11

No

CN

=O

IDd

elno

mbr

eco

mún

.2.

5.4.

3N

o

L=

OID

de

lalo

calid

ad.

2.5.

4.7

No

ST=

OID

del

esta

do.

2.5.

4.8

No

T=

OID

del

carg

o.2.

5.4.

12N

o

id-d

sa=

OID

de

DSA

.1.

2.84

0.10

040.

4.1

No

id-d

sa-w

ith-

sha1

=O

IDd

eD

SAco

nSH

A-1

.1.

2.84

0.10

040.

4.3

No

rsaE

ncry

ptio

n=O

IDd

eci

frad

oR

SA.

1.2.

840.

1135

49.1

.1.1

No

sha-

1Wit

hRSA

Enc

rypt

ion=

OID

de

cifr

ado

SHA

-1co

nR

SA.

1.2.

840.

1135

49.1

.1.5

No

sha1

=O

IDd

eSH

A-1

.1.

3.14

.3.2

.26

No

hmac

-sha

1=O

IDd

elH

MA

C(H

ashe

dM

essa

geA

uthe

ntic

atio

nC

ode)

SHA

-1.

1.3.

6.1.

5.5.

8.1.

2N

o

pkcs

7-d

ata=

OID

de

PKC

S#7

,1.

2.84

0.11

3549

.1.7

.1N

o

pkcs

12-c

ertb

ag=

OID

de

labo

lsa

de

cert

ific

ados

PKC

S#1

2.1.

2.84

0.11

3549

.1.1

2.10

.1.3

No

pkcs

12-k

eyba

g=O

IDd

ela

bols

ad

ecl

aves

PKC

S#1

2.1.

2.84

0.11

3549

.1.1

2.10

.1.1

No

X50

9-C

erti

fica

te=

OID

del

cert

ific

ado

X.5

09.

1.2.

840.

1135

49.1

.9.2

2.1

No

Pass

wor

dB

ased

MA

C=

OID

del

MA

Cba

sad

oen

cont

rase

ña.

1.2.

840.

1135

33.7

.66.

13N

o

MyP

olic

y=E

jem

plo

de

una

entr

ada

OID

para

Polic

yNam

e1en

lase

cció

nC

ertP

olic

y.

1.34

.67.

7N

o

My

Lit

ePo

licy=

Eje

mpl

od

eun

aen

trad

aO

IDpa

raPo

licyN

ame2

enla

secc

ión

Cer

tPol

icy.

2.4.

1.0

No


Tabl

a15

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

RA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

[Asy

mm

etri

cKey

Alg

s]

DSA

=D

efin

ició

nd

elal

gori

tmo

de

clav

eD

SA.

id-d

saN

o

RSA

=D

efin

ició

nd

elal

gori

tmo

RSA

.rs

aEnc

rypt

ion

No

[Asy

mm

etri

cEnc

Alg

s]

DSA

=D

efin

ició

nd

elal

gori

tmo

de

cifr

ado

DSA

.id

-dsa

No

[Asy

mm

etri

cSig

Alg

s]]

DSA

wit

hSH

A1=

Def

inic

ión

del

algo

ritm

od

efi

rmas

DSA

con

SHA

-1.S

eem

plea

para

visu

aliz

arun

ase

lecc

ión

de

algo

ritm

opo

rpa

rte

de

laG

UI

ose

rvid

or.

id-d

sa-w

ith-

sha1

No

RSA

wit

hSH

A1=

Def

inic

ión

del

algo

ritm

od

efi

rmas

RSA

con

SHA

-1.S

eem

plea

para

visu

aliz

arun

ase

lecc

ión

de

algo

ritm

opo

rpa

rte

de

laG

UI

ose

rvid

or.

sha-

1Wit

hRSA

Enc

rypt

ion

No

[Obj

ectS

tore

]

Nam

e=N

ombr

ed

ear

chiv

osi

nex

tens

ión

que

deb

eut

iliza

rse

para

los

arch

ivos

de

dat

osR

A.

raO

bjec

tSto

reN

o

Path

=R

uta

de

acce

soab

solu

taen

laqu

ese

encu

entr

anlo

sar

chiv

osd

ed

atos

RA

de

Trus

tA

utho

rity

.

Para

Win

dow

sN

T:c:

\A

rchi

vos

de

prog

ram

a\IB

M\

Trus

tA

utho

rity

\pk

rf\

Dom

ains

\Su

Dom

inio

\et

c\

Para

AIX

:/

usr/

lpp/

iau/

pkrf

/D

omai

ns/

SuD

omin

io/

etc/

No

[Iss

uerC

ertP

olic

y]C

ada

algo

ritm

od

efi

rmas

deb

ete

ner

suO

IDd

ecla

rad

oen

lase

cció

nO

IDs.

Cad

ano

mbr

ed

epo

lític

ad

ebe

tene

run

OID

corr

espo

ndie

nte

enla

secc

ión

OID

s.

SigA

lg1=

Def

inic

ión

del

algo

ritm

od

efi

rmas

.D

ebe

tene

run

aen

trad

aco

rres

pond

ient

een

lase

cció

nO

IDs.

sha-

1Wit

hRSA

Enc

rypt

ion

No


Tabl

a15

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

RA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

Star

tTim

eSpe

cifi

able

=E

spec

ific

asi

elso

licit

ante

(ent

idad

clie

nte

aR

A,o

RA

aC

A)

pued

ees

peci

fica

rla

hora

de

inic

iod

elce

rtif

icad

o.

VN

o

Max

Lif

eTim

e=L

ad

urac

ión

máx

ima

de

unce

rtif

icad

o.87

60h

No

Lif

eTim

eDef

=E

lpe

riod

od

evi

genc

iapr

edet

erm

inad

od

eun

cert

ific

ado.

180d

No

Key

Spec

ifia

ble=

Esp

ecif

ica

siel

solic

itan

te(e

ntid

adcl

ient

eo

RA

)pu

ede

espe

cifi

car

lacl

ave

públ

ica

del

suje

to.

VN

o

Key

Usa

geSu

ppor

ted

=E

spec

ific

asi

seso

port

ala

exte

nsió

nd

eus

od

ecl

ave.

VN

o

Key

Usa

geR

equi

red

=E

spec

ific

asi

sere

quie

rela

exte

nsió

nd

eus

od

ecl

ave.

FN

o

Polic

yCri

tica

l=E

spec

ific

asi

lapo

lític

ad

eber

íase

rcr

ític

a.F

No

Polic

yReq

uire

d=

Esp

ecif

ica

sise

requ

iere

lapo

lític

a.F

No

Polic

yNam

e1=

El

nom

bre

de

lapo

lític

apr

imar

ia.

Deb

ete

ner

unO

IDco

rres

pond

ient

een

lase

cció

nO

IDs.

MyP

olic

yN

o

Polic

y1O

rg=

El

nom

bre

de

laor

gani

zaci

ónqu

ere

quie

rela

polít

ica

prim

aria

.Su

Org

aniz

ació

nN

o

Polic

y1N

otic

e1=

Not

ice1

asoc

iad

oa

Polic

y1.

3N

o

Polic

y1N

otic

e2=

Not

ice2

asoc

iad

oa

Polic

y2.

17N

o

Use

rNot

iceT

ext1

=U

nad

ecla

raci

ónle

gal

oun

are

nunc

iaa

títu

loin

form

ativ

opa

rala

part

ed

epen

die

nte,

yen

laqu

eés

tapu

ede

basa

rsu

sd

ecis

ione

s.

La

dec

lara

ción

ore

nunc

iale

gal.

No

CPS

1U

RL

enel

que

pued

ele

erse

lad

ecla

raci

ónd

ePo

licy1

.ht

tp:/

/lo

calh

ost/

ind

ex.h

tml

No


Tabl

a15

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

RA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

Polic

yNam

e2=

Nom

bre

de

lapo

lític

ase

cund

aria

.Si

exis

te,d

ebe

tene

run

OID

corr

espo

ndie

nte

enla

secc

ión

OID

s.

My

Lit

ePo

licy

No

CPS

2=U

RL

enel

que

pued

ele

erse

lad

ecla

raci

ónd

ePo

licy2

.ht

tp:/

/lo

calh

ost/

ind

ex.h

tml

No

EE

Rev

okeR

eque

sts=

Esp

ecif

ica

siun

aen

tid

adcl

ient

epu

ede

solic

itar

lare

voca

ción

de

unce

rtif

icad

o.A

NY

sign

ific

aqu

ela

enti

dad

clie

nte

pued

eso

licit

arla

revo

caci

ónd

eun

cert

ific

ado

que

solic

itó.

NO

NE

sign

ific

aqu

ela

enti

dad

clie

nte

nopu

ede

solic

itar

lare

voca

ción

de

cert

ific

ados

.

Any

No

[Iss

uerC

ross

Cer

tPol

icy]

SigA

lg1=

Nom

bre

del

prim

eral

gori

tmo

de

firm

as.D

ebe

tene

run

aen

trad

aco

rres

pond

ient

een

lase

cció

nO

IDs.

sha-

1Wit

hRSA

Enc

rypt

ion

No

Star

tTim

eSpe

cifi

able

=E

spec

ific

asi

elso

licit

ante

(ent

idad

clie

nte

oR

A)

pued

ees

peci

fica

rla

hora

de

inic

io.

VN

o

Key

Spec

ifia

ble=

Esp

ecif

ica

siel

solic

itan

te(e

ntid

adcl

ient

eo

RA

)pu

ede

espe

cifi

car

lacl

ave

públ

ica

del

suje

to.

VN

o

Key

Usa

geSu

ppor

ted

=E

spec

ific

asi

seso

port

ala

exte

nsió

nd

eus

od

ecl

ave.

VN

o

Key

Usa

geR

equi

red

=E

spec

ific

asi

sere

quie

rela

exte

nsió

nd

eus

od

ecl

ave.

FN

o

Polic

yCri

tica

l=E

spec

ific

asi

lapo

lític

ad

eber

íase

rcr

ític

a.F

No

Polic

yReq

uire

d=

Esp

ecif

ica

sise

requ

iere

lapo

lític

a.F

No


Tabl

a15

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

RA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

Polic

yNam

e1=

El

nom

bre

de

lapo

lític

apr

imar

ia.

Deb

ete

ner

unO

IDco

rres

pond

ient

een

lase

cció

nO

IDs.

MyP

olic

yN

o

Polic

y1O

rg=

El

nom

bre

de

laor

gani

zaci

ónqu

ere

quie

rela

polít

ica

prim

aria

.Su

Org

aniz

ació

nN

o

Polic

y1N

otic

e1=

Not

ice1

asoc

iad

oa

Polic

y1.

3N

o

Polic

y1N

otic

e2=

Not

ice2

asoc

iad

oa

Polic

y1.

17N

o

Use

rNot

iceT

ext1

=U

nad

ecla

raci

ónle

gal

oun

are

nunc

iaa

títu

loin

form

ativ

opa

rala

part

ed

epen

die

nte,

yen

laqu

eés

tapu

ede

basa

rsu

sd

ecis

ione

s.

La

dec

lara

ción

ore

nunc

iale

gal

No

CSP

1U

RL

enel

que

pued

ele

erse

lad

ecla

raci

ónd

ePo

licy1

.ht

tp:/

/lo

calh

ost/

ind

ex.h

tml

No

Polic

yNam

e2=

Nom

bre

de

lapo

lític

ase

cund

aria

.M

yL

ite

Polic

yN

o

CPS

2=U

RL

enel

que

pued

ele

erse

lad

ecla

raci

ónd

ePo

licy2

.ht

tp:/

/lo

calh

ost/

ind

ex.h

tml

No

EE

Rev

okeR

eque

sts=

Esp

ecif

ica

siun

aen

tid

adcl

ient

epu

ede

solic

itar

lare

voca

ción

de

unce

rtif

icad

o.A

NY

sign

ific

aqu

ela

enti

dad

clie

nte

pued

eso

licit

arla

revo

caci

ónd

ecu

alqu

ier

cert

ific

ado.

SEL

Fsi

gnif

ica

que

laen

tid

adcl

ient

epu

ede

solic

itar

lare

voca

ción

de

unce

rtif

icad

oqu

eso

licit

ó.N

ON

Esi

gnif

ica

que

laen

tid

adcl

ient

eno

pued

eso

licit

arla

revo

caci

ónd

ece

rtif

icad

os.

AN

YN

o

[Gen

eral

]

MyN

ame

nom

bre

dis

tint

ivo

de

laen

tid

ad.

/C

=U

S/O

=Su

Org

aniz

ació

n/O

U=

Trus

tA

utho

rity

/C

N=

RA

de

Trus

tA

utho

rity

No

Issu

er1

nom

bre

dis

tint

ivo

de

laC

Ad

ees

taR

A.

/C

=U

S/O

=Su

Org

aniz

ació

n/O

U=

Trus

tA

utho

rity

/C

N=

CA

de

Trus

tA

utho

rity

No


Tabl

a15

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

RA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

Issu

er1U

RL

1U

RL

para

laC

Ad

ees

taR

A.

pkix

://

serv

erna

me:

1830

Sí

Tem

pPat

h=R

uta

de

acce

sopa

rael

alm

acen

amie

nto

de

arch

ivos

tem

pora

les.

Para

Win

dow

sN

T:c:

\A

rchi

vos

de

prog

ram

a\IB

M\

Trus

tA

utho

rity

\pk

rf\

Dom

ains

\Su

Dom

inio

\et

c\

Para

AIX

:/

usr/

lpp/

iau/

pkrf

/D

omai

ns\

SuD

omin

io/

etc/

No

Path

ToD

LL

s=R

uta

de

acce

soen

laqu

ese

inst

alan

las

bibl

iote

cas

PKIX

.Pa

raW

ind

ows

NT:

c:\

pkix

\

Para

AIX

:/us

r/pk

ix/

No

[Tra

nspo

rt]

TC

PPor

t=Pu

erto

TC

Pen

elqu

ees

cuch

ala

RA

.82

9Sí

TC

PHos

t=N

ombr

ed

esi

stem

apr

inci

pal

TC

P/IP

del

equi

poen

elqu

ere

sid

ela

RA

.

Suno

mbr

ed

esi

stem

apr

inci

pal

No

PollI

nter

val=

Inte

rval

od

eso

ndeo

.30

sSí

Ret

ryIn

terv

al=

El

inte

rval

od

eti

empo

entr

eco

nsul

tas

ala

CA

por

part

ed

ela

RA

enca

sod

equ

ela

hora

de

sond

eoqu

ela

CA

haen

viad

oa

laR

Ase

aan

teri

ora

lain

dic

ació

nho

rari

aac

tual

de

laR

A.

1mSí

[Key

Stor

e]

Cur

Key

Stor

e=K

eySt

ore

enus

o.V

SCN

o

[VSC

]E

sta

esun

ase

cció

nre

quer

ida

siel

pará

met

roC

urK

eySt

ore

tien

eun

valo

rd

eV

SC.

Mod

el=

Tipo

de

alm

acen

amie

nto

utili

zad

o.PK

CS1

1_ST

OR

AG

E_M

OD

EL

No

GU

ID=

Iden

tifi

cad

orex

clus

ivo

glob

al.

7F52

9C80

-C94

2-11

D1-

8FB

0-00

04A

C61

389A

No

Init

ialS

Opw

=C

ontr

aseñ

ain

icia

lpa

rael

adm

inis

trad

ord

eau

dit

oría

.SO

PIN

No


Tabl

a15

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

RA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

Toke

nDir

=R

uta

de

acce

soab

solu

tay

nom

bre

de

arch

ivo

para

lata

rjet

ain

telig

ente

virt

ual.

Para

Win

dow

sN

T:c:

\A

rchi

vos

públ

icos

\IB

M\

Trus

tA

utho

rity

\pk

rf\

Dom

ains

\Su

Dom

inio

\et

c\ra

KS.

fil

Para

AIX

:/

usr/

lpp/

iau/

pkrf

/D

omai

ns/

SuD

omin

io/

etc/

raK

S.fi

l

No

[Tru

stPo

licy]

Use

CR

Ls=

Esp

ecif

ica

sila

sC

RL

yla

sA

RL

deb

ería

nut

iliza

rse

com

opa

rte

del

proc

eso

de

valid

ació

n.

VN

o

Allo

wE

xpir

edC

RL

s=E

spec

ific

asi

las

CR

Lca

duc

adas

son

válid

as.

FN

o

Allo

wFu

ture

CR

Ls=

Esp

ecif

ica

sila

sC

RL

con

fech

asfu

tura

sso

nvá

lidas

.F

No

Allo

wE

xpir

edC

erti

fica

tes=

Esp

ecif

ica

silo

sce

rtif

icad

osca

duc

ados

son

válid

os.

FN

o

Allo

wFu

ture

Cer

tifi

cate

s=E

spec

ific

asi

los

cert

ific

ados

futu

ros

son

válid

os.

FN

o

App

lyN

ameC

onst

rain

tsTo

EE

Onl

y=E

spec

ific

asi

deb

enap

licar

sere

stri

ccio

nes

de

nom

bre

ato

dos

los

cert

ific

ados

de

laca

den

ao

sola

men

teal

últi

mo.

FN

o

Allo

wC

RL

Sear

chTo

Fail=

Esp

ecif

ica

sino

enco

ntra

rla

CR

Lo

AR

Lpa

raun

emis

ord

eter

min

ado

cons

titu

yeun

erro

r.

FN

o

Max

imum

Cha

inSe

arch

Dep

th=

Prof

und

idad

máx

ima

de

cad

ena

perm

itid

ad

uran

tela

crea

ción

reit

erad

ad

eca

den

asin

icia

lmen

tea

loan

cho.

15N

o

[LD

AP]

Num

Serv

ers=

Núm

ero

de

serv

idor

esL

DA

P.1

No


Tabl

a15

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

RA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

Serv

er1=

Nom

bre

de

sist

ema

prin

cipa

ly

núm

ero

de

puer

tod

else

rvid

orL

DA

P.

nom

bre

de

sist

ema

prin

cipa

l:pue

rto

Sí

Aut

hNam

e1D

Nd

elad

min

istr

ador

del

Dir

ecto

rio

/C

=U

S/O

=Su

orga

niza

ción

/O

U=

Trus

tA

utho

rity

/C

N=

Dir

Ad

min

No

Aut

hPw

d1

Con

tras

eña

del

adm

inis

trad

ord

elD

irec

tori

o(m

odif

íque

laso

lam

ente

empl

eand

ola

utili

dad

Cam

biar

cont

rase

ñad

eTr

ust

Aut

hori

ty)

Secu

re99

Sí

Post

Inte

rval

=In

terv

alo

entr

eco

mpr

obac

ione

spa

rad

etec

tar

siha

yin

form

ació

nqu

ed

eba

envi

arse

alD

irec

tori

o.

5mSí

[Rem

oteS

erve

r]

Max

Sess

ions

=Pa

rám

etro

de

ajus

te.

16N

o

Enc

rypt

ionP

olic

y=E

spec

ific

asi

seut

iliza

una

polít

ica

de

cifr

ado

entr

eun

serv

idor

subo

rdin

ado

ysu

adm

inis

trad

orre

mot

osi

ambo

ses

tán

enel

mis

mo

sist

ema.

FN

o

Num

Ad

min

s=N

úmer

od

ead

min

istr

ador

esce

rtif

icad

o.0

No

Ad

min

1DN

=D

Nd

eA

dm

inis

trat

or1.

No

seut

iliza

No

Cur

rent

Ad

min

Port

Puer

tod

ead

min

istr

ació

nac

tual

.N

ose

utili

zaN

o

[IC

L]

IclO

dbc

Prov

ider

Tipo

de

prov

eed

orO

DB

C.

UD

BN

o

IclO

dbc

Dri

verC

onne

ctN

ombr

ed

ela

base

de

dat

ospa

rala

ICL

.D

SN=

pkrf

db

No

[UR

Ls]


Tabl

a15

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

RA

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

des

pu

ésd

ela

con

figu

raci

ónp

red

eter

min

ada

¿Se

pu

ede

cam

bia

rd

esp

ués

de

laco

nfi

gura

ción

?

/C

%E

Q%

US/

O%

EQ

%Su

Org

aniz

ació

n/O

U%

EQ

%Tr

ust

Aut

hori

ty/

CN

%E

Q%

CA

de

Trus

tA

utho

rity

=pk

ix:/

/lo

calh

ost:1

830

Est

aen

trad

ase

def

ine

dur

ante

laco

nfig

urac

ión

con

elU

RL

yel

DN

de

laC

A

DN

de

laC

ASí


Archivo de configuración del servidor de auditoríaEl archivo de configuración del servidor de auditoría, AuditServer.ini, especifica lasvariables de configuración para el servidor de auditoría. Estas variables configuranlas características de funcionamiento básicas del servidor y especifican el modo deregistrar cronológicamente los mensajes de depuración y error. Las variablestambién controlan los eventos que se registran cronológicamente. Las siguientessecciones proporcionan información suplementaria acerca de las entradas en laTabla 16 en la página 92.v Parámetros del manejador de servicios genéricosv Niveles de gravedad de los eventosv Niveles de seguimiento

Parámetros del manejador de servicios genéricosLos siguientes parámetros del manejador de servicios pueden utilizarse para cadaservicio:v service.count - El número de servicios disponiblesv service.x.name - El nombre de un serviciov service.x.classname - El nombre de clase de un serviciov service.x.dpolicy - El nombre de clase de una política de entregav service.default.count - El número de servicios predeterminadosv service.default.x.name - El nombre de un servicio predeterminado

Niveles de seguimientoLos niveles de seguimiento son los siguientes:v All - Registra cronológicamente mensajes de error, advertencia, información y

seguimiento de eventosv Error - Registra cronológicamente mensajes de errorv Warning - Registra cronológicamente mensajes de error y mensajes de

advertenciav Eventinfo - Registra cronológicamente mensajes de error y mensajes de

seguimiento de eventosv None - No registra cronológicamente mensajes


Tabl

a16

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

deau

dito

ría

Par

ámet

roD

escr

ipci

ónV

alor

pre

det

erm

inad

o¿S

ep

ued

eca

mb

iar

des

pu

ésd

ela

con

figu

raci

ón?

Puer

tod

ese

rvid

or

acce

ptor

.cla

ssna

me=

El

nom

bre

de

clas

ed

elqu

eac

epta

com

.ibm

.irg.

sysm

gmt.d

aem

on.a

ccep

tors

.SM

Sock

etA

ccep

tor

No

acce

ptor

.arg

=E

lpu

erto

enel

cual

escu

cha

else

rvid

ord

eau

dit

oría

7222

Sí

acce

ptor

.init

.ret

ries

=E

lnú

mer

od

eve

ces

que

sein

tent

aun

enla

ceco

nel

sock

etd

else

rvid

or3

Sí

acce

ptor

.init

.del

ay=

El

núm

ero

de

segu

ndos

de

espe

raen

tre

inte

ntos

de

enla

ce.(

El

prog

ram

aas

ume

que

son

segu

ndos

.)

3Sí

Man

ejad

ord

ese

rvic

ios

serv

ice.

coun

t=E

lnú

mer

od

ese

rvic

ios

dis

poni

bles

2N

o

Serv

icio

de

regi

stro

serv

ice.

1.na

me=

El

nom

bre

del

serv

icio

de

regi

stro

log

No

serv

ice.

1.cl

assn

ame=

El

nom

bre

de

clas

ed

else

rvic

iod

ere

gist

roco

m.ib

m.ir

g.sy

smgm

t.dae

mon

.ser

vice

s.lo

g.SM

Log

Serv

ice

No

serv

ice.

1.d

polic

y=E

lno

mbr

ed

ecl

ase

de

lapo

lític

ad

een

treg

ad

else

rvic

iod

ere

gist

roco

m.ib

m.ir

g.sy

smgm

t.dae

mon

.ser

vice

s.lo

g.SM

Log

Del

iver

yPol

icy

No

Serv

icio

de

aud

itor

ía

serv

ice.

2.na

me=

El

nom

bre

del

serv

icio

de

aud

itor

íaau

dit

No

serv

ice.

2.cl

assn

ame=

El

nom

bre

de

clas

ed

else

rvic

iod

eau

dit

oría

com

.ibm

.irg.

sysm

gmt.d

aem

on.s

ervi

ces.

aud

it.S

MA

udit

Serv

ice

No

serv

ice.

2.d

polic

y=E

lno

mbr

ed

ecl

ase

de

lapo

lític

ad

een

treg

ad

else

rvic

iod

eau

dit

oría

com

.ibm

.irg.

sysm

gmt.d

aem

on.s

ervi

ces.

aud

it.S

MA

udit

Del

iver

yPol

icy

No

Serv

icio

spr

edet

erm

inad

os

serv

ice.

def

ault

.cou

nt=

El

núm

ero

de

serv

icio

spr

edet

erm

inad

osd

ispo

nibl

es2

No

serv

ice.

def

ault

.1.n

ame=

El

nom

bre

del

serv

icio

pred

eter

min

ado

log

No

serv

ice.

def

ault

.2.n

ame=

El

nom

bre

del

serv

icio

pred

eter

min

ado

aud

itN

o


Tabl

a16

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

deau

dito

ría

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

pre

det

erm

inad

o¿S

ep

ued

eca

mb

iar

des

pu

ésd

ela

con

figu

raci

ón?

Con

figu

raci

ónd

eev

ento

s

irgs

md

.eve

nt.c

onfi

g=E

lar

chiv

od

eco

nfig

urac

ión

de

even

tos

smev

ents

.con

fN

o

Reg

istr

ocr

onol

ógic

od

eev

ento

s

even

t.log

.file

nam

e=E

lar

chiv

opa

raca

ptur

arev

ento

sPa

raW

ind

ows

NT:

c:\

\A

rchi

vos

de

prog

ram

a\\

IBM

\\

Trus

tA

utho

rity

\\

logs

\\

smev

ents

.log

Para

AIX

:/us

r/lp

p/ia

u/lo

gs/

smev

ents

.log

Sí

even

t.log

.app

end

=E

lin

dic

ador

que

ind

ica

sid

ebe

agre

gars

eo

sobr

escr

ibir

seel

regi

stro

cron

ológ

ico

de

even

tos

true

Sí

De

aud

itor

ía

aud

it.k

sfile

=E

lar

chiv

oK

eySt

ore

de

aud

itor

ía.E

ste

arch

ivo

seem

plea

para

alm

acen

arla

scl

aves

crip

togr

áfic

asd

eau

dit

oría

.

No

aud

it.c

atal

ogE

lno

mbr

ed

ear

chiv

od

elar

chiv

od

eca

tálo

goN

LS.

Para

Win

dow

sN

T:c:

\\

Arc

hivo

sd

epr

ogra

ma\

\IB

M\

\Tr

ust

Aut

hori

ty\

\ca

talo

g\\

IRG

VD

S.D

LL

Para

AIX

:/us

r/lp

p/ia

u/ca

talo

g/IR

GV

DS.

cat

No

aud

it.d

b.in

stan

ce=

El

nom

bre

de

lain

stan

cia

DB

2d

eau

dit

oría

.N

o

aud

it.d

b.na

me=

El

nom

bre

de

laba

sed

ed

atos

de

aud

itor

ía.

No

aud

it.d

b.co

nnec

tion

=E

lal

gori

tmo

para

gest

iona

rla

cone

xión

de

laba

sed

ed

atos

.si

ngle

No

aud

it.lo

g.co

nnec

t.ret

ries

=E

lnú

mer

od

ere

inte

ntos

perm

itid

opa

raef

ectu

arla

cone

xión

con

laba

sed

ed

atos

/ar

chiv

od

ere

gist

rocr

onol

ógic

o

3Sí

aud

it.lo

g.up

dat

e.re

trie

s=E

lnú

mer

od

ere

inte

ntos

perm

itid

ospa

raac

tual

izar

elre

gist

rocr

onol

ógic

od

eau

dit

oría

3Sí


Tabl

a16

.Arc

hivo

deco

nfig

urac

ión

dels

ervi

dor

deau

dito

ría

(con

tinua

ción

)

Par

ámet

roD

escr

ipci

ónV

alor

pre

det

erm

inad

o¿S

ep

ued

eca

mb

iar

des

pu

ésd

ela

con

figu

raci

ón?

aud

it.lo

g.ti

meo

utE

lva

lor

de

tiem

pod

ees

pera

para

actu

aliz

arel

regi

stro

cron

ológ

ico

de

aud

itor

ía

60s

Sí

aud

it.lo

g.in

tegr

ity=

Act

iva

od

esac

tiva

laco

mpr

obac

ión

de

inte

grid

adtr

ueN

o

De

segu

imie

nto

trac

e.en

able

=U

nin

dic

ador

para

acti

var

od

esac

tiva

rel

segu

imie

nto

fals

eSí

trac

e.le

vel.n

ame=

El

nom

bre

que

repr

esen

taun

nive

ld

ese

guim

ient

oal

lSí

trac

e.ev

ent.e

nabl

e=A

ctiv

ao

des

acti

vael

segu

imie

nto

de

even

tos

fals

eN

o

trac

e.lo

g.fi

lena

me=

El

nom

bre

de

arch

ivo

del

regi

stro

cron

ológ

ico

de

segu

imie

nto

Para

Win

dow

sN

T:c:

\\

Arc

hivo

sd

epr

ogra

ma\

\IB

M\

\Tr

ust

Aut

hori

ty\

\lo

gs\

\ia

usm

d.lo

g

Para

AIX

:/us

r/lp

p/ia

u/lo

gs/

iaus

md

.log

Sí

trac

e.lo

g.ap

pend

=E

lin

dic

ador

que

ind

ica

sid

ebe

agre

gars

eal

arch

ivo

de

segu

imie

nto

exis

tent

e

true

Sí

De

erro

r

erro

r.log

.file

nam

e=E

lno

mbr

ed

elar

chiv

od

eer

rore

sPa

raW

ind

ows

NT:

c:\

\A

rchi

vos

de

prog

ram

a\\

IBM

\\

Trus

tA

utho

rity

\\

logs

\\

iaus

md

.err

Para

AIX

:/us

r/lp

p/ia

u/lo

gs/

iaus

md

.err

Sí


Archivo de configuración del cliente de auditoría,AuditClient.ini

El archivo de configuración del cliente de auditoría, AuditClient.ini, especifica lasvariables de configuración para el cliente de auditoría.


Tabl

a17

.Arc

hivo

deco

nfig

urac

ión

delc

lient

ede

audi

torí

a

Par

ámet

roD

escr

ipci

ónV

alor

pre

det

erm

inad

o¿S

ep

ued

eca

mb

iar

des

pu

ésd

ela

con

figu

raci

ón?

Val

ores

de

cone

xión

[CO

NN

EC

TIO

N]

Ena

bleA

udit

=A

ctiv

ao

des

acti

valo

sev

ento

sd

eau

dit

oría

true

No

Hos

tNam

e=Si

stem

apr

inci

pal

del

serv

idor

de

aud

itor

íasu

nom

bre

desi

stem

apr

inci

pal

No

Port

=Pu

erto

del

serv

idor

de

aud

itor

ía.D

ebe

coin

cid

irco

nel

puer

toes

peci

fica

do

enel

arch

ivo

Aud

itSe

rver

.ini

5999

8Sí

Aut

hTyp

e=M

ecan

ism

od

eau

tent

ific

ació

n.E

ste

pará

met

rono

seso

port

aen

este

rele

ase

de

Trus

tA

utho

rity

Nin

guno

No

Use

SSL

=¿D

eber

íaut

iliza

rse

SSL

para

lase

sión

de

clie

nte/

serv

idor

?Pa

raun

uso

futu

ro.E

ste

pará

met

rono

seso

port

aen

este

rele

ase

de

Trus

tA

utho

rity

No

No

SSL

Key

DB

=B

ase

de

dat

osd

ecl

aves

SSL

.Est

epa

rám

etro

nose

sopo

rta

enes

tere

leas

ed

eTr

ust

Aut

hori

ty

Para

AIX

:/us

r/lp

p/ia

u/au

dit

/cl

ient

/ss

l.kd

b

Para

Win

dow

sN

T:c:

\A

rchi

vos

de

prog

ram

a\IB

M\

Trus

tA

utho

rity

\au

dit

\cl

ient

\ss

l.kd

b

No

SSL

v2To

ken=

Sím

bolo

de

base

de

dat

osd

ecl

aves

SSL

.E

ste

pará

met

rono

seso

port

aen

este

rele

ase

de

Trus

tA

utho

rity

sím

bolo

No

Ret

ries

=N

úmer

od

ein

tent

ospa

raen

viar

elev

ento

4Sí

Tim

erE

lin

terv

alo

de

tiem

poqu

ed

ebe

espe

rars

e,en

mili

segu

ndos

,ent

rere

inte

ntos

para

cone

ctar

con

else

rvid

or

1000

Sí

Secc

ione

sd

ela

más

cara

de

com

pone

nte

[CA

]

Exc

lud

edE

vent

s=E

vent

osd

eC

Aqu

eno

seen

viar

ánSí

[RA

]

Exc

lud

edE

vent

s=E

vent

osd

eR

Aqu

eno

seen

viar

ánR

ecei

ptO

fCer

tReq

uest

Sí


Utilidades de línea de mandatosEsta sección proporciona la descripción de los parámetros y la sintaxis para lassiguientes utilidades de línea de mandatos:v Utilidad CA Certificationv Utilidad Add RA Userv Utilidad Enable RA Encryptionv Utilidad Audit Archive and Signv Utilidad Audit Integrity Check

Utilidad CA CertificationLa utilidad CA Certification le permite solicitar la certificación de otra CA ennombre de la autoridad de certificado (CA) de Trust Authority utilizando elmodelo de certificación cruzada o el modelo de jerarquía de confianza.

Nota: Si tiene la intención de descargar los certificados CA jerárquicos en NetscapeCommunicator como parte de su solución global de jerarquía, deberíaemplear el indicador ″-m ..″ con la utilidad CA Certification para excluir laextensión de restricciones de nombres del certificado CA resultante. Nodebería utilizar otra opción de la línea de mandatos de restricciones denombres que no sea ″-m ..″ (en otras palabras, no emplee -i/I, -d/D, -u/U,-n/N, ni -m/M) con la utilidad CA Certification. Por ejemplo, una instanciade un mandato de este tipo puede tener este aspecto:CaCertRq-m .. -h -r "c:\Archivos de programa\IBM\Trust Authority\ccprereg.reg"

-P 1835 -W Secure99

SintaxisLa sintaxis para esta utilidad es:CaCertRq

[-i máscaraDirecciónIp [-I máscaraDirecciónIp]][-d dns [-D dns]][-m direcciónCorreoElectrónico [-M direcciónCorreoElectrónico]][-u uri [-U uri]][-n nombreDirectorio [-N nombreDirectorio]][-p inhibitPolMap][-h [-m ..]][-C nombreArchivo | -B

nombreArchivo][-S nombresArchivo]-r rutaRegistroPrevio-P 1835-W contraseña

Parámetros[-i máscaraDirecciónIp [-I máscaraDirecciónIp]]

La máscara de dirección del protocolo Internet (IP) especificada en formatoCDIF. El parámetro en minúsculas (-i) agrega la máscara de dirección IPespecificada a la lista de subárboles permitidos. El parámetro en mayúsculas(-I) es el mismo que el parámetro en minúsculas con la salvedad de que agregala máscara de dirección IP especificada a la lista de subárboles excluidos.

Por ejemplo, la máscara de la Organización X es 9.0.0.0/255.0.0.0, mientras quela máscara actual de la División Y de la Organización X es9.210.134.0/255.255.254.0.


[-d dns [-D dns]]Dirección del servidor de nombres de dominio (DNS). El parámetro enminúsculas (-d) agrega la dirección DNS especificada a la lista de subárbolespermitidos. El parámetro en mayúsculas (-D) es el mismo que el parámetro enminúsculas con la salvedad de que agrega la dirección DNS especificada a lalista de subárboles excluidos.

Si la dirección empieza por un punto, quedan incluidos todos los sistemasprincipales que terminen con esa subcadena (incluyendo el ″.″), pero si no esasí sólo se incluye el sistema principal que concuerda con esa cadena.

Por ejemplo, la restricción ″.orga.com″ concuerda con us.orga.com,vneto.orga.com, y w3.software.orga.com, pero no con orga.com (nikidorga.com). La restricción orga.com concuerda con orga.com pero no conus.orga.com o el resto. Esto sugiere que un subárbol permitido sin un ″.″ inicialindica solamente un único nodo posible.

[-m direcciónCorreoElectrónico [-M direcciónCorreoElectrónico]]Direcciones de correo electrónico. El parámetro en minúsculas (-m) agrega ladirección de correo electrónico especificada a la lista de subárboles permitidos.El parámetro en mayúsculas (-M) es el mismo que el parámetro en minúsculascon la salvedad de que agrega la dirección de correo electrónico especificada ala lista de subárboles excluidos.

Una dirección de correo electrónico puede estar en formato estándar (sincomodines) o puede ser simplemente la dirección DNS. Si especifica unadirección DNS, las reglas son las mismas que las que se detallan para la opción-d. Esto sugiere que un subárbol permitido que contenga una dirección decorreo electrónico estándar indica solamente un único usuario posible.

[-u uri [-U uri]]URI. El parámetro en minúsculas (-u) agrega el URI especificado a la lista desubárboles permitidos. El parámetro en mayúsculas (-U) es el mismo que elparámetro en minúsculas con la salvedad de que agrega el URI especificado ala lista de subárboles excluidos.

La parte del nodo del Identificador de recursos uniformes (URI) está sujeta alas mismas reglas que las que se detallan para la opción -d, a menos quecontenga una dirección IP. En este caso, se trata como una correspondenciaexacta.

[-n nombreDirectorio [-N nombreDirectorio]]El nombre del Directorio. El parámetro en minúsculas (-n) agrega el nombredel Directorio especificado a la lista de subárboles permitidos. El parámetro enmayúsculas (-N) es el mismo que el parámetro en minúsculas con la salvedadde que agrega el nombre del Directorio a la lista de subárboles excluidos.

Estos nombres deberían tener el formato LDAP estándar. Los nombres quecoincidan con cada uno de los nombres distintivos relativos (RDN) facilitadosen una restricción se considerarán coincidentes con la restricción, conindependencia de los otros RDN que estén presentes.

Nota: Al especificar una ruta de acceso de directorio que contenga espaciosintercalados como el parámetro de un mandato, debe especificar la rutade acceso entre comillas dobles (″ ″).


[-h ]Especifica que la solicitud de certificado utiliza el modelo de jerarquía deconfianza.

[-m ..]Especifica que debe excluirse la extensión de restricciones de nombres delcertificado.

[-C nombreArchivo]Especifica el nombre de archivo en el que se escribe la solicitud PKCS núm. 10codificada en binario. Los parámetros -C y -B se excluyen entre sí.

[-B nombreArchivo]Especifica el nombre de archivo en el que se escribe la solicitud PKCS núm. 10codificada binariamente en base 64. Los parámetros -C y -B se excluyen entresí.

[-S nombreArchivo]Especifica el nombre de archivo que contiene la respuesta de PKCS núm. 7.

-r rutaRegistroPrevioEl nombre de la ruta de acceso de un archivo de registro previo generado porel sistema emisor.

-P 1835El número de puerto administrativo de la CA, que es 1835.

-p inhibitPolMapEl valor del campo de extensión inhibitPolicyMapping.

Si esta opción no está presente, el campo tiene un valor predeterminado de 1.

-W contraseñaLa contraseña entrada cuando se generó el archivo de registro previo

Utilidad Add RA UserLa utilidad Add RA User le permite agregar un usuario administrativo RA (oresponsable de registros) a un dominio de registro de Trust Authority especificado.

Nota: Al especificar una ruta de acceso de directorio que contenga espaciosintercalados como el parámetro de un mandato, debe especificar la ruta deacceso entre comillas dobles (″ ″).

Sintaxisadd_rauser archivo_configuración_dominio nombre_dominio ID [perfil_acceso]

Parámetrosarchivo_configuración_dominio

La ruta de acceso absoluta al archivo de configuración del dominio(domain.cfg). Este archivo contiene una sección para cada dominio de registroconfigurado en el sistema. Se utiliza para localizar el directorio raíz virtual deldominio de registro especificado.

nombre_dominioEl nombre del dominio de registro que va a administrar el responsable deregistros agregado.

ID El ID de solicitud devuelto por el navegador en el momento en el que elusuario solicitó el certificado, o el UUID de credencial obtenido al utilizar RADesktop para ver el informe de certificado del usuario.


Al especificar el parámetro ID, el programa asume en primer lugar que el IDes un ID de solicitud. Seguidamente, utiliza este valor para obtener el UUID decredencial (por ejemplo, sp0ApHvpzvCicr1Ts8ssKw==). En resumen, el certificadodebe haberse emitido previamente para el usuario que está solicitandoautorización como un responsable de registros.

Si no se encuentra un informe coincidente en la base de datos de registro, elprograma asume que el ID es un UUID de credencial. Seguidamente, intentaencontrar un informe de solicitud correspondiente. Si no existe ningunacoincidencia, el programa emite un mensaje de aviso e intenta agregar unaentrada a la tabla del responsable de registros (rausers) en la base de datos.

perfil_accesoUn parámetro opcional que especifica el perfil de acceso asociado alresponsable de registros que se está agregando al sistema. Si no especifica unvalor, el programa toma como valor predeterminado RAUser.

Este parámetro debe ser un perfil válido especificado en uno de los archivos deconfiguración de administración de registro de Trust Authority. El perfil listalos tipos de consultas, acciones, etc., que pueden efectuar los responsable deregistross asociados.

Utilidad Enable RA Database EncryptionPor defecto, la información almacenada en la base de datos del servicio de registrono está cifrada. Después de la configuración, puede activar el cifrado de la base dedatos ejecutando el programa Enable RA Database Encryption(iauEnableRADBSec).

SintaxisiauEnableRADBSec -d nombre_dominio -r directorio_instalación [i]

Parámetros-d nombre_dominio

El nombre de su dominio de registro. Este valor debe coincidir con el valorespecificado para el nombre del Dominio de registro en el Asistente para lainstalación.

-r directorio_instalaciónLa ruta de acceso completa en la que se ha instalado el producto TrustAuthority.

-i directorio_instalaciónUn parámetro opcional que hace que el sistema muestre mensajes dedepuración (actualmente sólo en inglés).

Utilidad Audit Archive and SignLa utilidad Audit Archive and Sign le permite realizar copias archivadas y firmararchivos de registro de auditoría.


SintaxisAuditArchiveAndSign [-c RutaArchivoConfig] [-n] NombreArchivoModificado


Parámetros-c RutaArchivoConfig

El nombre de la ruta de acceso absoluta del archivo de configuración delservidor de auditoría.v La ruta de acceso predeterminada en AIX es:

/usr/lpp/iau/etc/TrustAuthority/AuditServer.iniv La ruta de acceso predeterminada en Windows NT es: c:\Archivos de

programa\IBM\Trust Athority\etc\TrustAuthority\AuditServer.ini

Nota: Este parámetro es opcional. Si no especifica un valor, se utiliza elarchivo de configuración del servidor de auditoría predeterminado.

-n Especifica que los informes de auditoría no deberían eliminarse de la base dedatos.

NombreArchivoModificadoEl prefijo del nombre de archivo en el que se han de grabar los registroscronológicos de auditoría. La utilidad agrega las extensiones .ixf y .sig a losarchivos de copia archivada y de firmas, respectivamente.

Utilidad Audit Integrity CheckLa utilidad Audit Integrity Check lleva a cabo la comprobación de la integridad enlas copias archivadas de los informes de auditoría y también en la base de datosdel servidor de auditoría. Esta herramienta es eficaz solamente si se activa lacomprobación de integridad en su sistema. La sintaxis para este mandato adoptalos siguientes formatos:v Formato 1

Este formato comprueba la integridad de la base de datos del servidor deauditoría, y le solicita la contraseña del Administrador de auditoría.

v Formato 2Este formato comprueba la integridad de uno o más archivos de copia archivadadel servidor de auditoría, y le solicita la contraseña del Administrador deauditoría.

v Formato 3Este formato comprueba la integridad de todos los archivos de copia archivadadel directorio especificado y le solicita la contraseña del Administrador deauditoría.


SintaxisFormato 1:AuditIntegrityCheck [-c RutaArchivoConfig] -d

Formato 2:AuditIntegrityCheck [-c RutaArchivoConfig] -a NombreArchivoModificado1 NombreArchivoModificado2NombreArchivoModificado3

Formato 3:AuditIntegrityCheck [-c RutaArchivoConfig] -A DirectorioArchivosModificados


Parámetros-c RutaArchivoConfig

El nombre de la ruta de acceso absoluta del archivo de configuración delservidor de auditoría.v La ruta de acceso predeterminada en AIX es:

/usr/lpp/iau/etc/TrustAuthority/AuditServer.iniv La ruta de acceso predeterminada en Windows NT es: c:\Archivos de

programa\IBM\Trust Authority\etc\TrustAuthority\AuditServer.ini

Nota: Este parámetro es opcional. Si no especifica un valor, se utiliza elarchivo de configuración del servidor de auditoría predeterminado.

-a NombreCopiaArchivada1 NombreCopiaArchivada2 NombreCopiaArchivada3El prefijo del nombre de ruta de acceso de los archivos de copia archivada enlos que se realizarán las comprobaciones de integridad. El prefijo representa unconjunto de archivos que están asociados a la copia archivada.

Por ejemplo, el mandato -a /local/archive/archive1-1067 procesaría diversosarchivos con el prefijo del nombre de ruta de acceso /local/archive/archive1-1067, del modo siguiente:/local/archive/archive1-1067_audit_log.ixf/local/archive/archive1-1067_audit_log.sig

-A DirectorioArchivosModificadosEl nombre de la ruta de acceso del directorio que contiene los archivos decopia archivada en los que se realizará la comprobación de integridad. Todoslos archivos con _audit_log.ixf y _audit_log.sig se procesan.


Campos de los eventos de auditoríaLa Tabla 18 lista y describe la información que contienen los eventos de auditoríade Trust Authority.

Tabla 18. Campos de los eventos de auditoría

Nombre del campo Descripción

Event Name El identificador del evento, que un cliente deauditoría especifica como un símbolo.

Affected Entity La entidad afectada por la acción por la quese está enviando un evento de auditoría.Esta información la especifica un cliente deauditoría.

Affected Entity Type El tipo de entidad afectada. Esta informaciónla especifica un cliente de auditoría.

Authorized Entity La entidad que ha autorizado la operación.Esta información la especifica un cliente deauditoría.

Authorized Entity Role La función de la entidad autorizada.

Storage Media Si corresponde, el medio de almacenamientoal que se hace referencia en la operación.Esta información la especifica un cliente deauditoría.

Severity La gravedad del evento, que puede serinformativa o de alerta.

Reporting Component Type El tipo de componente de Trust Authorityque está informando del evento.

Client Source Información identificativa para elcomponente de Trust Authority que estáenviando el evento.

Client Timestamp La hora en la que se envió el evento deauditoría desde un componente de TrustAuthority.

TimeStamp La hora en la que se grabó el evento deauditoría en la base de datos o archivo.

Extra Info Cualquier información adicional que searelevante para la operación. Estainformación la especifica un cliente deauditoría.

Eventos de auditoríaLa Tabla 19 lista y describe los eventos de auditoría de Trust Authority e indica sison obligatorios u opcionales.

Tabla 19. Eventos de auditoría

Evento Descripción Obligatorio uopcional

Gestión de claves

KeyGeneration Indica que se ha generado una clavecriptográfica.

Obligatorio


Tabla 19. Eventos de auditoría (continuación)


KeyImport Indica que se ha importado una clavecriptográfica en Trust Authority.

Opcional

KeyExport Indica que se ha exportado una clavecriptográfica desde Trust Authority.

Opcional

KeyStorage Indica que se ha almacenado una clavecriptográfica.

Opcional

KeyRollover Indica que se ha sustituido una clavecriptográfica por una nueva clave que seutiliza para el mismo fin que la clave a laque ha sustituido.

Opcional

KeyCompromise Indica que se ha comprometido laseguridad de una clave criptográfica.

Obligatorio

CAKeyDistribution Indica que la clave pública de la CA se hagrabado en el Directorio.

Obligatorio

Gestión de certificados

CertGeneration Indica que se ha generado un certificado. Obligatorio

CertRevocation Indica que se ha revocado un certificado. Obligatorio

CertRenewal Indica que se ha renovado un certificado. Obligatorio

CertSuspension Indica que se ha suspendido temporalmenteun certificado.

Obligatorio

CertResumption Indica que un certificado que se habíasuspendido con anterioridad vuelve a estaractivo.

Obligatorio

CRLQuery Indica que se ha leído la Lista derevocación de certificados (CRL).

Opcional

CRLUpdate Indica que se ha actualizado la Lista derevocación de certificados (CRL).

Obligatorio

SubmitCertRequest Indica que se ha enviado una solicitud decertificado.

Opcional

Enrollment Indica que una RA ha solicitado lainscripción en una CA.

Obligatorio

Unenrollment Indica que una RA ha solicitado larevocación de la inscripción en una CA.

Obligatorio

CertDeletion Indica que la CA ha eliminado uncertificado de su base de datos decertificados.

Opcional

Sensible a la seguridad

SuccessfulAuthWithPassword Indica que un intento de autentificaciónmediante una contraseña ha sidosatisfactorio.

Obligatorio

UnsuccessAuthWithPassword Indica que un intento de autentificaciónmediante una contraseña ha fallado.

Obligatorio

SuccessfulAuthWithCert Indica que un intento de autentificaciónmediante un certificado ha sidosatisfactorio.

Obligatorio

UnsuccessfulAuthWithCert Indica que un intento de autentificaciónmediante un certificado ha fallado.

Obligatorio




SuccessfulCertValidation Indica que se ha verificado la totalidad dela cadena de certificados hasta el certificadode la CA raíz.

Obligatorio

UnsuccessfulCertValidation Indica que se ha invalidado la totalidad dela cadena de certificados hasta el certificadode la CA raíz.

Obligatorio

PasswordChange Indica que un intento de cambiar lacontraseña ha sido satisfactorio.

Obligatorio

ACLUpdate Indica que una entidad o un usuario hasido agregado o eliminado de la Lista decontrol de accesos (ACL).

Obligatorio

SuccessfulIntegrityCheck Indica que un intento de comprobar laintegridad de un informe de auditoríaresultante de una transacción con uncomponente que no forma parte de TrustAuthority ha sido satisfactorio.

Obligatorio

UnsuccessfulIntegrityCheck Indica que un intento de comprobar laintegridad de un informe de auditoríaresultante de una transacción con uncomponente que no forma parte de TrustAuthority ha fallado.

Obligatorio

SuccessfulAcquirePrivilege Indica que un intento de obtener ciertonivel de acceso a KeyStore de TrustAuthority ha sido satisfactorio.

Obligatorio

UnsuccessfulAcquirePrivilege Indica que un intento de obtener ciertonivel de acceso a KeyStore de TrustAuthority ha fallado.

Obligatorio

Acciones del responsable de seguridad

SOAdd Indica que se ha agregado unAdministrador de auditoría al sistema.

Obligatorio

SODelete Indica que se ha eliminado unAdministrador de auditoría del sistema.

Obligatorio

AudEventMaskChange Indica que se ha modificado la máscara quedefine el conjunto de eventos de auditoríaque puede enviar un cliente al servidor.

Obligatorio

CACrossCertRequest Indica que se ha solicitado un certificadoCA con certificación cruzada.

Obligatorio

CAHierarchicalCertRequest Indica que se ha solicitado un certificadoCA con certificación jerárquica.

Obligatorio

SubmitRevocationRequest Indica que un responsable de registros(administrador de RA) ha enviado unasolicitud de revocación.

Opcional

RequestSetRenewable Indica que un responsable de registros hasolicitado que el estado de un certificado seestablezca en renovable.

Obligatorio

RequestSetNonRenewable Indica que un responsable de registros hasolicitado que el estado de un certificado seestablezca en no renovable.

Obligatorio




RequestPend Indica que un responsable de registros hasolicitado que el estado de una solicitud decredenciales se establezca en pendiente.

Obligatorio

Eventos de RA

ReceiptOfCertRequest Indica que una RA ha recibido una solicitudde certificado.

Opcional

ReceiptOfRevocationRequest Indica que una RA ha recibido una solicitudde revocación de un certificado.

Opcional

ReceiptOfRenewalRequest Indica que una RA ha recibido una solicitudde renovación de un certificado.

Opcional

RequestApproval Indica que una RA ha aprobado unasolicitud de certificado.

Obligatorio

RequestRejection Indica que una RA ha rechazado unasolicitud de certificado.

Obligatorio

RequestCompletion Indica que se ha completado una solicitudde certificado.

Opcional

Preregistration Indica que un responsable de registros harecibido una solicitud de registro previo.

Obligatorio

Datos de la base de datos de auditoríaLa base de datos de auditoría de Trust Authority utiliza un esquema que se basaen las recomendaciones que se describen en el estándar PKC (Public KeyCryptography) para el sector de servicios financieros, X9.57. Esta sección describelas siguientes tablas de bases de datos.

Nota: En esta sección, los nombres de los campos de los registros de auditoríacorresponden a los nombres de columna de las tablas de bases de datos.

v ClavesUna tabla de control para las claves privadas/secretas utilizadas para la firma, elcifrado y la generación de códigos de autentificación de mensajes (MAC).

v Niveles de gravedad de los eventos (event_severities)Esta tabla describe todos los niveles de gravedad de los eventos.

v Control de eventos (event_ctl)Esta tabla describe todos los eventos que pueden auditarse.

v OrígenesEsta tabla contiene una lista de todos los orígenes de los eventos.

v Entidades autorizadas (auth_entities)Esta tabla contiene una lista de todas las entidades autorizadas.

v Tipos de entidades afectadas (afctd_entity_types)Esta tabla contiene una lista de todas las funciones autorizadas.

v Funciones autorizadas (auth_roles)Esta tabla contiene una lista de todas las funciones para las entidadesautorizadas.

v Tipos de componentes (component_types)


Esta tabla contiene una lista de todos los tipos de componentes.v Registro de auditoría (audit_log)

Esta es la tabla principal para los informes del registro de auditoría.v Sistema

Esta tabla contiene información que se aplica a la totalidad del sistema deauditoría. Sólo tiene una fila.

Tabla de clavesLa tabla de claves mantiene la información acerca de todas las claves criptográficasque utiliza el subsistema de auditoría.

Tabla 20. Campos de la tabla de claves

Campo Descripción Tipo de datos

key_id El identificador interno exclusivo dela clave

smallint

alg_oid El algoritmo asociado a la clave. varchar

label La etiqueta de KeyStore o algúnsímbolo utilizado para localizar laclave real.

varchar

integrity Este campo se utiliza para mantenerla integridad del informe.

varchar para datos de bits

Tabla de niveles de gravedad de los eventosEsta tabla mantiene información acerca de los niveles de gravedad de los eventos.Se trata de una tabla de sólo lectura que se carga durante la instalación y laconfiguración.

Tabla 21. Campos de la tabla de niveles de gravedad de los eventos


severity_id El identificador internoexclusivo para la gravedaddel evento.

smallint

severity_desc La cadena del soporte delidioma nacional (NLS) quedescribe la gravedad.

varchar

Tabla de control de eventosEsta tabla mantiene información acerca de todos los eventos que puede enviar uncliente de auditoría al servidor de auditoría. Se trata de una tabla de sólo lecturaque se carga durante la instalación y la configuración.

Tabla 22. Campos de la tabla de control de eventos


event_id El identificador exclusivo delevento.

smallint

event_desc Una descripción visualizabledel evento. Este campopuede utilizarse con fines devisualización.

varchar


Tabla 22. Campos de la tabla de control de eventos (continuación)


event_key Una cadena corta exclusivaque identifica y describe elevento. La utilizan lospaquetes de recursos de Java.

varchar

event_severity_id El ID de gravedad de esteevento. Se trata de la claveexterna que hace referencia ala tabla event_severities.

smallint

Tabla de orígenesEsta tabla mantiene la lista de todos los clientes de auditoría. Un cliente deauditoría es un componente de Trust Authority que genera eventos de auditoría.

Tabla 23. Campos de la tabla de orígenes


source_id El identificador exclusivo delcliente de auditoría.

smallint

source El identificador del cliente deauditoría que puedeemplearse con fines devisualización. En la mayoríade los casos, se trata del DNdel cliente de auditoría.

varchar

integrity Este campo se utiliza paramantener la integridad delinforme.


Tabla de entidades autorizadasEsta tabla mantiene una lista de todas las entidades autorizadas. Una entidadautorizada es la entidad que autorizó la operación para la que se generó un eventode auditoría.

Tabla 24. Campos de la tabla de entidades autorizadas


auth_entity_id El identificador internoexclusivo de la entidadautorizada.

smallint

auth_entity_desc El identificador de la entidadautorizada que puedeemplearse con fines devisualización. En la mayoríade los casos, se trata del DNde la entidad autorizada.

varchar




Tabla de funciones autorizadasEsta tabla mantiene información acerca de las funciones de las entidadesautorizadas. Se trata de una tabla de sólo lectura que se carga durante lainstalación y la configuración.

Tabla 25. Campos de la tabla de funciones autorizadas


auth_role_id El identificador internoexclusivo de la funciónautorizada.

smallint

auth_role_desc La cadena NLS que describela función autorizada.

varchar

Tabla de tipos de entidades afectadasEsta tabla mantiene información acerca de los diversos tipos de entidadesafectadas. Una entidad afectada es la entidad afectada por la operación por la quese genera el evento de auditoría. La tabla es de sólo lectura y se carga durante lainstalación y la configuración.

Tabla 26. Campos de la tabla de tipos de entidades afectadas


afctd_entity_id El identificador internoexclusivo del tipo de entidadafectada.

smallint

afctd_entity_desc La cadena NLS que describeel tipo de entidad afectada.

varchar

Tabla de tipos de componentesEsta tabla mantiene información acerca de los tipos de componentes de los clientesde auditoría. Se trata de una tabla de sólo lectura que se carga durante lainstalación y la configuración.

Tabla 27. Campos de la tabla de tipos de componentes


component_type_id El identificador internoexclusivo del tipo decomponente.

smallint

component_desc La cadena NLS que describeel tipo de componente.

varchar

Tabla de registros cronológicos de auditoríaEsta tabla contiene los informes de auditoría.

Tabla 28. Campos de la tabla de registros cronológicos de auditoría


serial_num El número de serie exclusivodel informe de auditoría.

smallint


Tabla 28. Campos de la tabla de registros cronológicos de auditoría (continuación)


src_date_time El indicador de fecha y horaque especifica el momento enel que el origen (cliente deauditoría) generó el evento.

indicación de fecha y hora

cr_date_time El indicador de fecha y horaque especifica cuándo elservidor de auditoría creó elinforme de auditoría.

indicación de fecha y hora

event_id El identificador interno delevento. Se trata de una claveexterna que hace referencia ala tabla event_ctl.

smallint

source_id El identificador interno delorigen que generó esteevento. Se trata de una claveexterna que hace referencia ala tabla de orígenes.

smallint

component_type_id El identificador interno deltipo de componente delorigen que generó esteevento. Se trata de una claveexterna que hace referencia ala tabla component_types.

smallint

auth_entity_id El identificador interno de laentidad que autorizó elevento. Se trata de una claveexterna que hace referencia ala tabla auth_entities.

smallint

auth_role_id El identificador interno de lafunción de la entidad queautorizó el evento. Se tratade una clave externa quehace referencia a la tablaauth_entities.

smallint

afctd_entity El nombre o DN del tipo dela entidad afectada por elevento.

varchar

afctd_entity_id El identificador interno deltipo de la entidad afectadapor el evento.

smallint

storage_media El medio de almacenamientoasociado al evento deauditoría.

varchar

extra_info Información adicionalasociada al evento deauditoría.

varchar

sig_key_id El identificador interno de laclave utilizada para generarel campo de integridad. Setrata de una clave externaque hace referencia a la tablade claves.

smallint


Tabla 28. Campos de la tabla de registros cronológicos de auditoría (continuación)


enc_key_id El identificador interno de laclave utilizada para cifrarcampos seleccionados en esteinforme. Se trata de unaclave externa que hacereferencia a la tabla declaves. En el release actual deTrust Authority, ninguno delos campos está cifrado.

smallint



Tabla del sistemaEsta tabla mantiene información de estado acerca de la base de datos de auditoría.

Tabla 29. Campos de la tabla del sistema


first_sn El número de serie delprimer informe de auditoríaen audit_log.

entero

next_sn El número de serie delsiguiente informe deauditoría en audit_log.

entero

audit_int Se utiliza para mantener laintegridad de la tablaaudit_log.


archive_int Se utiliza para mantener laintegridad de la tablaarchive_ctl.


events_int Se utiliza para mantener laintegridad de la tablaevents_ctl.


auth_ent_int Se utiliza para mantener laintegridad de la tablaauth_entities.


auth_role_int Se utiliza para mantener laintegridad de la tablaauth_roles.


sources_int Se utiliza para mantener laintegridad de la tabla deorígenes.


afctd_ent_type_int Se utiliza para mantener laintegridad de la tablaafctd_entities.


keys_int Se utiliza para mantener laintegridad de la tabla declaves.



Tabla 29. Campos de la tabla del sistema (continuación)


event_sevs_int Se utiliza para mantener laintegridad de la tabla deniveles de gravedad de loseventos.


comp_types_int Se utiliza para mantener laintegridad de la tabla detipos de componentes.


system_int Se utiliza para mantener laintegridad de la tabla delsistema.


sig_key_id El identificador interno de laclave utilizada para generarlos campos de integridad deeste informe. Se trata de unaclave externa que hacereferencia a la tabla declaves.

smallint

Resolución de problemasLa instalación predeterminada de Trust Authority no genera archivos de registrocronológico para el nivel verboso o de depuración de los mensajes de error. Estasección proporciona los pasos básicos para la resolución de problemas con losmensajes de nivel de depuración desactivados. Si posteriormente requiere másinformación, puede activar los mensajes de depuración utilizando el procedimientodescrito en el apartado “Resolución de problemas con el servicio de mensajes denivel de depuración activado”.

Resolución de problemas básicaPara llevar a cabo la resolución de problemas hallados durante el curso de laadministración de Trust Authority, siga estos pasos básicos:1. Detenga el sistema Trust Authority.2. Reinicie el equipo.3. Inicie el sistema Trust Authority.4. Compruebe el estado del componente para asegurarse de que se inició

completamente y de que está funcionando.5. Reproduzca el problema y compruebe los registros cronológicos de cada

componente para localizar el error.

Resolución de problemas con el servicio de mensajes de nivelde depuración activado

Si detecta un problema y requiere ayuda detallada para resolverlo, active lavariable de entorno de nivel de depuración. Puede ajustar este valor según seanecesario para obtener un mayor o menor grado de detalle para el mensaje. Elnivel de anotación del registro cronológico especificado en la variable de nivel dedepuración determina la cantidad de anotaciones del registro cronológico que seefectúan. El valor es un entero positivo con un rango útil de 0 a 1000. Cuantomayor sea el nivel, mayor será la cantidad de anotaciones del registro cronológico.A continuación se detallan los niveles de depuración recomendados:de TrustAuthority:


v DebugLevel=25 - anotación en el registro cronológico mínima, pero todos loserrores se anotan en el registro cronológico.Utilice este nivel para las operaciones estables en las que no se esténdiagnosticando problemas de forma activa, pero para las que aún desee poderver los registros cronológicos en caso de que haya algún contratiempo.

v DebugLevel=75 - incluye la anotación adicional en el registro cronológico de lascapas de software inferiores.Utilice este nivel cuando existan problemas entre los servidores CA y RA. Elvolumen de la salida es aproximadamente cinco veces mayor que en el nivel dedepuración 25.

v DebugLevel=101 - incluye la anotación en el registro cronológico extensiva ydetallada del proceso del servidor RA de alto nivel incluidos el proceso deperfiles de certificados y las interacciones AFW (Application Framework).Utilice esta opción cuando intente diagnosticar problemas en las capas deproceso de certificados del servidor RA. El volumen de la salida esaproximadamente diez veces mayor que en el nivel de depuración 25.

v DebugLevel=201 - seguimiento extensivo de las funciones internas críticasutilizadas con mucha frecuencia.Utilice este nivel solamente cuando intente diagnosticar problemas comoterminaciones anormales del servidor RA. El volumen de la salida esaproximadamente cien veces mayor que en el nivel de depuración 25.

Nota: Dado que el volumen de anotación en el registro cronológico es tan grandeen el nivel 100, no debería emplear este valor en un entorno de producción,excepto en circunstancias especiales. En este nivel de depuración o en unnivel superior es posible agotar la cantidad de espacio libre disponible en elsistema de archivos, con lo que se provocarán anomalías en todo el sistema.

Para llevar a cabo la resolución de problemas con el servicio de mensajes de nivelde depuración activado, siga estos pasos (este procedimiento utiliza 100 como unvalor de nivel de depuración de ejemplo):1. Detenga el sistema Trust Authority.2. Modifique el archivo irgAutoCa.ini del modo siguiente:v En AIX, establezca el parámetro de depuración entre 50 y 100 en

/usr/lpp/iau/etc/TrustAuthority/irgAutoCa.ini

v En Windows NT, establezca el parámetro de depuración entre 50 y 100 enC:\Archivos de programa\IBM\TrustAuthority\etc\TrustAuthority\irgAutoCa.ini

3. Active la variable de entorno del nivel de depuración, de este modo:v En AIX, entre el siguiente mandato en la línea de mandatos del sistema en el

que resida el servidor RA:export DebugLevel=

v En Windows NT:a. Invoque las Propiedades del sistema haciendo clic con el botón derecho

en el icono Mi PC del Explorador de Windows NT y haciendo clic enPropiedades.

b. Haga clic en la ficha Entorno.c. Entre DebugLevel en el campo Variable y 100 en el campo Valor.d. Haga clic en Establecer y seguidamente haga clic en Aplicar.e. Haga clic en Aceptar para cerrar la ventana Propiedades del sistema.

4. Inicie el sistema Trust Authority.


5. Compruebe el estado de cada componente para asegurarse de que se iniciócompletamente y de que está funcionando.

6. Reproduzca el problema y compruebe los registros cronológicos de cadacomponente para localizar el error.Se crean archivos de registro cronológico llamados irgrasvr.log.nnnn, dondennnn es un número generado de forma aleatoria.v En AIX, la ubicación predeterminada de los archivos del registro cronológico

es /usr/lpp/iau/etc/TrustAuthority/caSS.log.xxxxxv En Windows NT, la ubicación predeterminada es c:\Archivos de

programa\IBM\Trust Authority\etc\TrustAuthority\caSS.log.xxxxx


Avisos

Esta información ha sido desarrollada para productos y servicios que se ofrecen enlos EE.UU. Puede que en otros países IBM no ofrezca los productos, servicios odispositivos que figuran en este documento. Consulte a su representante de IBMlocal si desea información acerca de los productos y servicios que están disponiblesen su país. Cualquier referencia a un producto, programa o servicio IBM nopretende afirmar ni implica que sólo se pueda utilizar dicho producto, programa oservicio IBM. En su lugar, puede utilizarse cualquier producto, programa o serviciofuncionalmente equivalente que no infrinja ningún derecho de propiedadintelectual de IBM. Sin embargo, es responsabilidad del usuario evaluar y verificarel funcionamiento de cualquier producto, programa o servicio que no sea de IBM.

IBM puede tener patentes o aplicaciones pendientes de patente relacionadas con eltema de este documento. La posesión de este documento no le otorga ningunalicencia para dichas patentes. Puede enviar consultas acerca de licencias, porescrito, a:

IBM Director of LicensingIBM CorporationNorth Castle DriveArmonk, NY 10504-1785EE.UU.

Si desea realizar consultas acerca de licencias relacionadas con información dedoble byte (DBCS), póngase en contacto con el departamento de la propiedadintelectual de IBM (IBM Intellectual Property Department) de su país o envíe lasconsultas por escrito a:

IBM World Trade Asia Corporation Licensing2-31 Roppongi 3-chome, Minato-kuTokyo 106, Japón

El párrafo siguiente no afecta al Reino Unido ni a ningún país en el cual elcontenido del mismo no sea coherente con la normativa local: INTERNATIONALBUSINESS MACHINES CORPORATION PROPORCIONA ESTA PUBLICACIÓN“TAL CUAL” SIN NINGÚN TIPO DE GARANTÍA, NI EXPLÍCITA NI IMPLÍCITA,INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTÍAS IMPLÍCITAS DE NOVULNERACIÓN, COMERCIABILIDAD O IDONEIDAD CON UN FINDETERMINADO. Algunas legislaciones no contemplan la exclusión de garantías,ni implícitas ni explícitas, por lo que puede haber usuarios a los que no les afectedicha declaración.

Esta información puede contener imprecisiones técnicas o errores tipográficos.Periódicamente se efectúan cambios en la información aquí contenida; dichoscambios se incorporarán en nuevas ediciones de la publicación. IBM se reserva elderecho a realizar, si lo considera oportuno, cualquier modificación en losproductos o programas que se describen en el presente manual.

Cualquier referencia en este documento a sitios Web que no son de IBM seproporciona sólo para su comodidad y no sirve, bajo ningún concepto, comorecomendación de estos sitios Web. El material que puede encontrar en estos sitiosWeb no forma parte del material de este producto de IBM y es responsabilidad delusuario el uso de dichos sitios Web.


IBM puede utilizar o distribuir la información que se le suministre de la forma enque lo crea conveniente sin que incurra en ninguna obligación con usted.

Los usuarios bajo licencia de este programa que deseen información acerca delmismo con el fin de permitir: (i) el intercambio de información entre programascreados independientemente y otros programas (incluido éste) y (ii) el uso mutuode la información que se ha intercambiado, deberán ponerse en contacto con:

IBM CorporationDepartment LZKS11400 Burnet RoadAustin, TX 78758EE.UU.

Esta información puede estar disponible, sujeta a los términos y condicionescorrespondientes incluido, en algunos casos, el pago de una tarifa.

El programa bajo licencia descrito en este documento así como todo el materialbajo licencia disponible para el mismo los suministra IBM bajo los términos delIBM Customer Agreement, IBM International Program License Agreement o decualquier otro acuerdo equivalente entre ambas partes.

Los datos de rendimiento que pudieran aparecer en este documento se hanobtenido en un entorno controlado. Por lo que, los resultados que se pudieranobtener en entornos operativos distintos podrían variar significativamente. Se hantomado ciertas medidas en cuanto a los sistemas de nivel de desarrollo y no hayninguna garantía de que tales medidas sean las mismas en sistemas que suelenestar disponibles. Además, algunas de las medidas se han estimado a partir de unaextrapolación. Los resultados reales pueden variar. Los usuarios de este documentodeberán comprobar los datos disponibles para su entorno determinado.

La información relacionada con productos que no son de IBM ha sido obtenida delos distribuidores de dichos productos, de sus anuncios publicados o de otrasfuentes públicas disponibles. IBM no ha probado estos productos y no puedeconfirmar su buen rendimiento, la compatibilidad ni ningún otro tipo deafirmación relacionada con productos que no son de IBM. Si tiene preguntas acercade las posibilidades que ofrecen los productos que no son de IBM puede dirigirlasa los proveedores de dichos productos.

Todas las afirmaciones relacionadas con futuros planes de IBM están sujetas acambios o pueden ser retiradas sin previo aviso y sólo representan metas yobjetivos a cumplir.

Todos los precios de IBM son precios sugeridos por IBM para minoristas, estánactualizados y se pueden modificar sin previo aviso. Los precios de losdistribuidores pueden variar.

Marcas registradas y marcas de servicioLos siguientes términos son marcas registradas de International Business MachinesCorporation en los Estados Unidos, otros países, o en ambos casos:

IBMAIXAIX/6000DB2DB2 Universal Database


RISC System/6000RS/6000SecureWayWebSphere

El programa Trust Authority (″el Programa″) incluye partes de DB2 UniversalDatabase. Se le autoriza a instalar y utilizar estos componentes solamente enasociación con el uso bajo licencia del Programa para el almacenamiento y lagestión de datos utilizados o generados por el Programa, y nunca con otros finesde gestión de datos. Por ejemplo, esta licencia no incluye las conexiones de entradaa la base de datos desde otras aplicaciones para consultas o generación deinformes. Se le autoriza a instalar y utilizar estos componentes solamente con y enel mismo sistema que el Programa.

El programa incluye partes de WebSphere Application Server de IBM y de HTTPWeb Server de IBM (″Servidores IBM″). No se le autoriza a instalar o utilizar losServidores IBM si no es en conexión con el uso bajo licencia del Programa. LosServidores IBM deben residir en el mismo sistema que el Programa, y no se leautoriza a instalar o utilizar los Servidores IBM con independencia del Programa.

Java y todas las marcas registradas y logotipos basados en Java son marcasregistradas de Sun Microsystems, Inc. en los Estados Unidos, otros países, o enambos casos.

Microsoft, Windows, Windows NT, y el logotipo Windows son marcas registradasde Microsoft Corporation en los Estados Unidos, otros países, o ambos.

UNIX es una marca registrada en los Estados Unidos, otros países o en amboscasos, bajo licencia exclusiva de X/Open Company Limited.

Pentium es una marca registrada de Intel Corporation en los Estados Unidos, enotros países o en ambos casos.

Este programa contiene software de seguridad de RSA Data Security,Inc. Copyright © 1994 RSA Data Security, Inc. Todos los derechos reservados.

Este programa contiene software Standard Template Library (STL) deHewlett-Packard Company. Copyright (c) 1994.v Se autoriza el uso, la copia, modificación y venta de este software y de su

documentación para cualquier finalidad sin cargo alguno, siempre que el avisode copyright anterior aparezca en todas las copias y que tanto el aviso decopyright como este aviso aparezcan en la documentación adjunta.Hewlett-Packard Company no efectúa declaración alguna acerca de la idoneidadde este software para cualquier finalidad. Se proporciona ″tal cual″ sin garantíasexplícitas o implícitas.

Este programa contiene software (STL) Standard Template Library) de SiliconGraphics Computer Systems, Inc. Copyright (c) 1996–1999.v Se autoriza el uso, la copia, modificación y venta de este software y de su

documentación para cualquier finalidad sin cargo alguno, siempre que el avisode copyright anterior aparezca en todas las copias y que tanto el aviso decopyright como este aviso aparezcan en la documentación adjunta. Silicon

Avisos 117

Graphics no efectúa declaración alguna acerca de la idoneidad de este softwarepara cualquier finalidad. Se proporciona ″tal cual″ sin garantías explícitas oimplícitas.

Otros nombres de empresas, servicios y productos pueden ser marcas registradas omarcas de servicio de terceros.


Información relacionada

La documentación del producto Trust Authority está disponible en formato PDF(Portable Document Format) y HTML en el CD-ROM de IBM SecureWay TrustAuthority Documentation. Las versiones HTML de algunas de las publicaciones seinstalan con el producto y puede accederse a ellas desde las interfaces de usuario.

Tenga en cuenta que el producto puede haber experimentado cambios desde lafecha de elaboración de las publicaciones. Para obtener la información del productomás reciente y para obtener información acerca del acceso a la publicación en elidioma y el formato de su elección, consulte el archivo Readme. La versión másreciente del archivo Readme está disponible en el sitio Web de IBM SecureWay TrustAuthority:http://www.tivoli.com/support

La biblioteca de Trust Authority incluye la siguiente documentación:

Cómo empezarEste manual proporciona una visión general del producto. Detalla losrequisitos del producto, incluye los procedimientos de instalación yproporciona información acerca del método de acceso a la ayuda en líneadisponible para cada componente del producto. Esta publicación seimprime y se distribuye con el producto.

Guía de administración del sistemaEste manual contiene información general acerca de la administración delsistema Trust Authority. Incluye procedimientos para iniciar y detener losservidores, cambiar las contraseñas, administrar los componentes deservidor, efectuar auditorías y ejecutar comprobaciones de integridad delos datos.

Guía de configuraciónEste manual contiene información acerca del método de empleo delAsistente para la instalación para configurar un sistema Trust Authority.Puede acceder a la versión HTML de esta guía mientras está visualizandola ayuda en línea para el Asistente.

Guía de Registration Authority DesktopEste manual contiene información sobre cómo utilizar RA Desktop paraadministrar certificados durante todo el periodo de vigencia del certificado.Puede acceder a la versión HTML de esta guía mientras está visualizandola ayuda en línea de Desktop.

Guía del usuarioEste manual contiene información sobre cómo obtener y gestionarcertificados. Proporciona procedimientos para utilizar los formularios deinscripción en navegador de Trust Authority con el fin de solicitar, renovary revocar certificados. También describe el método de registro previo paralos certificados en conformidad con PKIX, y cómo utilizar Client de TrustAuthority para gestionar estos certificados. Puede acceder a la versiónHTML de esta guía mientras está visualizando la ayuda en línea paraClient.

Guía de personalizaciónEste manual le muestra cómo personalizar el servicio de registro de TrustAuthority para dar soporte a los objetivos de registro y certificación de sus




/iaug.htm

/iaus.htm

/iauc.htm

/iaud.htm

/iauu.htm

/iaut.htm

políticas empresariales. Por ejemplo, puede aprender a personalizarpáginas HTML y de Java Server, cartas de notificación, perfiles decertificados y salidas de políticas.

El sitio Web de Trust Authority incluye otros documentos que pueden serle deutilidad al instalar, administrar y utilizar Trust Authority. Por ejemplo, puedeencontrar directrices adicionales acerca del esquema del Directorio y puedeaprender a integrar Trust Authority con el coprocesador PCI SecureWay 4758 deIBM.



Glosario

Este glosario define los términos y abreviaturasde este manual que pueden ser nuevos o pocofamiliares y los términos que pueden ser deinterés. Incluye los términos y definiciones de:v IBM Dictionary of Computing, New York:

McGraw-Hill, 1994.v American National Standard Dictionary for

Information Systems, ANSI X3.172–1990,American National Standards Institute (ANSI),1990.

v Answers to Frequently Asked Questions,Version 3.0, California: RSA Data Security, Inc.,1998.

AAbstract Syntax Notation One (ASN.1). Notación ITUque se utiliza para definir la sintaxis de los datos deinformación. Define un número de tipos de datossimple y especifica una notación para identificar estostipos y especificar valores de estos tipos. Estasnotaciones se pueden aplicar siempre que sea necesariodefinir la sintaxis abstracta de información sin limitar lamanera en que se codificará la información para sertransmitida.

ACL. Lista de control de accesos.

American National Standard Code for InformationInterchange (ASCII). Código estándar que se utilizapara intercambiar información a través de sistemas deproceso de datos, sistemas de comunicación de datos yel equipo asociado. El conjunto ASCII utiliza unconjunto de caracteres que consta de caracterescodificados de 7 bits (8 bits incluido un bit de controlde paridad). El juego de caracteres consta de caracteresde control y caracteres gráficos.

American National Standards Institute (ANSI).Organización que establece los procedimientos por losque las organizaciones acreditadas crean y mantienenestándares voluntarios del sector en los EE.UU. Estáformado por fabricantes, consumidores y grupos deinterés general.

ANSI. American National Standards Institute(Instituto americano de normas nacionales).

anti-rechazo. Utilización de una clave privada digitalpara evitar que el firmante de un documento nieguefalsamente haberlo firmado.

aplicación. Programa de sistema que está escrito enJava y se ejecuta en un navegador de Web compatiblecon Java. También conocido como subprograma Java.

aplicación de Java. Programa autónomo escrito enlenguaje Java. Se ejecuta fuera del contexto de unnavegador de Web.

ASCII. American National Standard Code forInformation Interchange (Código americano estándarpara intercambio de información).

ASN.1. Abstract Syntax Notation One (Notación desintaxis abstracta 1).

atributo de inscripción. Variable de inscripcióncontenida en un formulario de inscripción. Su valorrefleja la información que se consigue durante lainscripción. El valor del atributo de inscripciónpermanece sin cambios durante el ciclo de vida de lacredencial.

autentificación. Proceso de determinación fiable de laidentidad de un comunicante.

autentificación de usuario. Proceso para validar queel autor de un mensaje es el propietario identificable ylegítimo del mensaje. También valida que se estárealizando una comunicación con el usuario final o elsistema que se esperaba.

autoridad de certificado (CA). Software responsablede seguir las políticas de seguridad de una empresa yasignar identidades electrónicas seguras en forma decertificados. La CA procesa las solicitudes de los RApara emitir, renovar y revocar certificados. La CAinteractúa con el RA para emitir certificados y las CRLen Directorio. Véase también certificado digital.

autorización. Permiso para acceder a un recurso.

Bbase de datos de registro. Contiene información sobrelas solicitudes de certificados y los certificadosemitidos. La base de datos almacena los datos deinscripción y todos los cambios en los datos delcertificado durante su ciclo de vida. La base de datospuede actualizarse mediante los procesos de la RA y lassalidas de política o por los administradores de la RA.

Basic Encoding Rules (BER). Reglas especificadas enla ISO 8825 para codificar unidades de datos descritasen la notación de sintaxis abstracta 1 (ASN.1). Lasreglas especifican la técnica de codificación, no lasintaxis abstracta.


BER. Basic Encoding Rules (Normas básicas decodificación).

Biblioteca de almacenamientos de datos (DL).Módulo que proporciona acceso a almacenamientos dedatos permanentes de certificados, CRL, claves,políticas y otros objetos relacionados con la seguridad.

CCA. Autoridad de certificado.

CAST-64. Algoritmo de cifrado de bloques que utilizaun tamaño de bloques de 64 bits y una clave de 6 bits.Fue diseñado por Carlisle Adams y Stafford Tavares.

CA superior. CA que se encuentra en la parte superiorde la jerarquía CA de la PKI.

CCA. Arquitectura criptográfica común de IBM.

CDSA. Arquitectura de seguridad de datos común.

certificación. El proceso durante el cual una terceraparte de confianza emite una credencial electrónica queasegura una identidad individual, empresarial uorganizativa.

certificación cruzada. Modelo de fiabilidad medianteel cual una CA emite un certificado a otra CA, el cualcontiene la clave pública asociada a la clave de firmaprivada. Un certificado con certificación cruzadapermite que los sistemas cliente o entidades finales deun dominio administrativo se comuniquen de formasegura con sistemas cliente o entidades finales de otrodominio.

certificación digital. Véase certificación.

certificado de CA. Certificado aceptado por elnavegador de Web, bajo solicitud, procedente de unaCA que no reconoce. El navegador puede utilizar estecertificado para autentificar las comunicaciones con losservidores que mantienen los certificados emitidos pordicha CA.

certificado del servidor. Certificado digital, emitidopor una CA para permitir a un servidor Web querealice transacciones basadas en SSL. Cuando unnavegador conecta con el servidor mediante elprotocolo SSL, el servidor envía al navegador su clavepública. Esto permite la autentificación de la identidaddel servidor. También permite enviar informacióncifrada al servidor. Véase también certificado de CA,certificado digital y certificado del navegador.

certificado de navegador. Certificado digital quetambién recibe el nombre de certificado para el cliente.Lo emite un CA a través de un servidor web habilitadopara SSL. Las claves de un archivo cifrado permitenque el poseedor del certificado cifre, descifre y firmedatos. Normalmente el navegador de Web almacenaestas claves. Ciertas aplicaciones permiten el

almacenamiento de las claves en tarjetas inteligentes uotros medios. Véase también certificado digital.

certificado de sitio. Parecido a un certificado de CA,pero sólo es válido para un sitio Web específico. Véasetambién certificado de CA.

certificado digital. Credencial electrónica que emitióuna tercera parte fiable a una persona o entidad. Cadacertificado se firma con la clave privada del CA.Asegura una identidad individual, empresarial uorganizativa.

En función del rol del CA, el certificado puedeconfirmar a la autoridad del portador con el fin de quepueda realizar actividades de e-business en Internet. Encierto modo, un certificado digital desempeña un papelparecido al de un permiso de conducir o un diplomamédico. Certifica que el titular de la clave privadacorrespondiente tiene autoridad para realizardeterminadas actividades de e-business.

Un certificado contiene información sobre la entidadque certifica, ya sea una persona, máquina o programadel sistema. Incluye la clave pública certificada dedicha entidad.

certificado X.509. Estándar de certificación muyaceptado que fue diseñado para soportar la gestión ydistribución segura de certificados firmadosdigitalmente a través de redes Internet seguras. Elcertificado X.509 define las estructuras de datos quealojan a los procedimientos que distribuyen las clavespúblicas firmadas digitalmente por terceros deconfianza.

certificado X.509 Versión 3. El certificado X.509v3tiene estructuras de datos ampliadas para almacenar yrecuperar información de la aplicación de certificados,información de distribución del certificado, informaciónde revocación del certificado, información de políticas yfirmas digitales.

Los procesos de X.509v3 crean las CRL con indicaciónde la hora para todos los certificados. Cada vez que seutiliza un certificado, las posibilidades del X.509v3permiten que la aplicación compruebe la validez delcertificado. También permite a la aplicación determinarsi el certificado está en la CRL. Las CRL de X.509v3pueden crearse para un período de validez específico.También pueden basarse en otras circunstancias quepueden invalidar un certificado. Por ejemplo, si unempleado deja la organización, su certificado sepondría en la CRL.

CGI. Interfaz de pasarela común.

cifrado/descifrado. Utilización de la clave pública deldestinatario para cifrar los datos que van dirigidos aesta persona, quien posteriormente utiliza la claveprivada del par para descifrar los datos.


cifrar. Codificar información para que sólo la personaque disponga del código de descifrado apropiadopueda obtener la información original mediante sudescifrado.

clase. En diseño o programación orientada a objetos,grupo de objetos que comparten una definición comúny que, además, comparten propiedades, operaciones ycomportamientos comunes.

clase de Java. Unidad del código de programa Java.

clave. Cantidad utilizada en criptografía para cifrar ydescifrar información.

clave privada. Clave dentro de un par de clavespública/privada que está disponible solamente para supropietario. Permite al propietario recibir unatransacción privada o crear una firma digital. Los datosfirmados con una clave privada sólo pueden verificarsecon la clave pública correspondiente. Compárese conclave pública. Véase también par de clavespública/privada.

clave pública. Clave dentro de un par de clavespública/privada que está disponible para otros. Permitedirigir una transacción hacia el propietario de la clave overificar la firma digital. Los datos cifrados con la clavepública sólo pueden descifrarse con la clave privadacorrespondiente. Compárese con clave privada. Véasetambién par de claves pública/privada.

clave simétrica. Clave que puede utilizarse para cifrary descifrar. Véase también criptografía simétrica.

cliente. (1) Unidad funcional que recibe servicioscompartidos de un servidor. (2) Equipo o programa quesolicita un servicio de otro equipo o programa.

cliente de auditoría. Cualquier cliente del sistema queenvía eventos de auditoría al servidor de auditoría deTrust Authority. Antes de que el cliente de auditoríaenvíe un evento al servidor de auditoría, establece unaconexión con el servidor de auditoría. Después deestablecerse la conexión, el cliente utiliza la bibliotecacliente del subsistema de auditoría para entregar loseventos al servidor de auditoría.

cliente/servidor. Modelo del proceso distribuido en elque un programa de un sitio envía una solicitud a unprograma de otro sitio y espera una respuesta. Elprograma solicitante se denomina cliente; el quecontesta se denomina servidor.

CMP PKIX. Protocolo de gestión de certificados PKIX.

codificación base64. Medio habitual de transportardatos binarios con MIME.

código de autentificación de mensajes (MAC). Clavesecreta compartida entre el emisor y el receptor. Elemisor autentifica y el receptor verifica. En Trust

Authority, las claves MAC se almacenan en KeyStorede CA y de los componentes de auditoría.

código de byte. Código independiente del tipo demáquina generado por el compilador Java y ejecutadopor el intérprete de Java.

Common Cryptographic Architecture (CCA).Software de IBM que permite un enfoque coherente dela criptografía en las principales plataformas desistemas de IBM. Soporta software de aplicaciones queesté escrito en una gran variedad de lenguajes deprogramación. El software de aplicaciones puede llamara servicios CCA para llevar a cabo un gran número defunciones criptográficas, incluido el cifrado DES y RSA.

Common Data Security Architecture (CDSA ). Unainiciativa para definir un enfoque completo del serviciode seguridad y de la gestión de la seguridad en lasaplicaciones de seguridad basadas en equipos. Fuediseñada por Intel para que las plataformas de equiposfueran más seguras para las aplicaciones.

Common Gateway Interface (CGI). Método estándarde transmisión de información entre páginas web yservidores web.

comprobación de integridad. Comprobación de losregistros de auditoría resultantes de las transaccionescon componentes externos.

comunicación asíncrona. Modo de comunicación queno necesita que el emisor y el receptor estén presentesal mismo tiempo.

condensación de mensajes. Función irreversible quetoma un mensaje de tamaño arbitrario y produce unacantidad de longitud fija. MD5 es un ejemplo dealgoritmo de condensación de mensajes.

confidencialidad. La no divulgación a partes noautorizadas.

Coprocesador criptográfico PCI 4758. Tarjeta bus PCIcriptográfica programable con protección antemanipulaciones indebidas que ofrece los procesoscriptográficos DES y RSA de alto rendimiento. Losprocesos criptográficos ocurren dentro de unalojamiento seguro de la tarjeta. La tarjeta cumple losrequisitos rigurosos del estándar FIPS PUB 140-1 denivel 4. El software puede ejecutarse dentro delalojamiento seguro. Por ejemplo, el proceso detransacciones de tarjetas de crédito puede utilizar elestándar SET.

cortafuegos. Pasarela entre redes que restringe el flujode información entre redes. Normalmente, el propósitode un cortafuegos es proteger las redes internas del usono autorizado procedente del exterior.

credencial. Información confidencial utilizada parademostrar la identidad propia en un intercambio deautentificación. En entornos de redes de sistemas, el

Glosario 123

tipo más común de credenciales es un certificado queuna CA ha creado y firmado.

criptografía. En seguridad de equipos, principios,medios y métodos para cifrar texto plano y descifrartexto cifrado.

criptografía asimétrica. Criptografía que utiliza clavesasimétricas diferentes para cifrar y descifrar datos.Cada usuario recibe un par de claves: una clave públicaaccesible para todos y una clave privada que sóloconoce el usuario. Se puede producir una transacciónsegura cuando la clave pública y la correspondienteclave privada coinciden, lo que permite descifrar de latransacción. Este proceso también se conoce comocriptografía de par clave. Compárese con criptografíasimétrica.

criptografía simétrica. Criptografía que utiliza lamisma clave para cifrar y descifrar. Su seguridad resideen la clave; si se revela la clave cualquiera podría cifrary descifrar los mensajes. La comunicación es secretasólo mientras la clave siga siendo secreta. Compárese concriptografía asimétrica.

criptográfico. Relativo a la transformación de datospar ocultar su significado.

CRL. Lista de revocación de certificados.

Ddaemon. Programa que realiza tareas de formasubordinada. Se llama implícitamente a este programacuando se produce una determina condición querequiera su ayuda. El usuario no tiene que estarpendiente del daemon porque el sistema lo utilizaautomáticamente. Un daemon puede estar siempreactivo o el sistema puede regenerarlo a intervalos.

El término (pronunciado demon) procede de lamitología. Posteriormente, se racionalizó comoacrónimo DAEMON: Disk And Execution MONitor.

Data Encryption Standard (DES). Cifra de un bloquede cifrado definida y endosada por el gobierno de losEE.UU. en 1977 como estándar oficial. IBM lodesarrolló originalmente. DES se ha estudiadoampliamente desde su publicación y es un sistemacriptográfico bien conocido y muy utilizado.

DES es un sistema criptográfico simétrico. Cuando seutiliza para comunicaciones, tanto el emisor como elreceptor deben conocer la misma clave secreta. Estaclave se utiliza para cifrar y descifrar el mensaje. DEStambién se puede utilizar para el cifrado por un solousuario, por ejemplo, para almacenar archivos en undisco duro en formato de cifrado. DES tiene un tamañode bloques de 64 bits y utiliza una clave de 56 bitsdurante el cifrado. Originalmente se diseñó para suimplementación en el hardware. El NIST ha seguidocertificando DES como el estándar de cifrado delgobierno de los EE.UU. cada cinco años.

DEK. Document encrypting key (Clave de cifrado dedocumentos).

DER. Distinguished Encoding Rules (Normasdistintivas de codificación).

DES. Data Encryption Standard (Estándar de cifradode datos).

descifrado. Para deshacer el proceso de cifrado.

destino. Origen de datos designado o seleccionado.

DES triple. Algoritmo simétrico que cifra el textoplano tres veces. Aunque existen muchas formas dehacerlo, la forma más segura de cifrado múltiple es laDES triple con tres claves distintas.

Diffie-Hellman. Método para establecer una clavecompartida en un medio inseguro, que recibe elnombre de sus inventores (Diffie y Hellman).

Digital Signature Algorithm (DSA). Algoritmo declave pública que se utiliza como parte del Estándar defirma digital. No puede utilizarse para cifrado, sólopara firmas digitales.

Directorio. Estructura jerárquica utilizada comodepósito global para la información relacionada con lascomunicaciones (como el correo electrónico o losintercambios criptográficos). El Directorio almacenaelementos específicos esenciales para la estructura PKI,incluyendo claves públicas, certificados y listas derevocación de certificados.

Los datos del Directorio están organizadosjerárquicamente en forma de árbol, con la raíz en laparte superior del árbol. A menudo, las organizacionesde nivel más alto representan a individuos, gobiernos ocompañías. Los usuarios y los dispositivos estánrepresentados normalmente como hojas de cada árbol.Estos usuarios, organizaciones, localidades, países ydispositivos tienen cada uno su propia entrada. Cadaentrada consta de atributos de tipo. Éstos proporcionaninformación sobre el objeto que representa la entrada.

Cada entrada del Directorio está enlazada con unnombre distintivo (DN). Éste es único cuando laentrada incluye un atributo que se sabe que es único enel objeto del mundo real. Considere el siguiente DN deejemplo. En él, el país (C) es US, la organización (O) esIBM, la unidad organizativa (OU) es Trust y el nombrecomún (CN) es CA1.

C=US/O=IBM/OU=Trust/CN=CA1

Distinguished Encoding Rules (DER). Establecerestricciones sobre las BER. Las DER seleccionan unsolo tipo de codificación de todos los que permiten lanormas de codificación, eliminando todas las opcionesdel emisor.

DL. Biblioteca de almacenamiento de datos.

DN. nombre distintivo.


document encrypting key (DEK). Normalmente, unaclave de cifrado/descifrado simétrico, como DES.

dominio. Véase dominio de seguridad y dominio deregistro.

dominio de confianza. Conjunto de entidades cuyoscertificados han sido certificados por la misma CA.

dominio de registro. Conjunto de recursos, políticas yopciones de configuración relacionados con procesosespecíficos de registro de certificados. El nombre deldominio es un subconjunto del URL utilizado paraejecutar recursos de registro.

dominio de seguridad. Grupo (compañía, grupo detrabajo o equipo, docente o gubernamental) cuyoscertificados han sido certificados por la misma CA. Losusuarios con certificados firmados por una CA puedenconfiar en la identidad de otro usuario que tiene uncertificado firmado por la misma CA.

DSA. Algoritmo de firma digital.

Ee-business. Transacciones comerciales sobre redes ymediante sistemas. Incluye la compra y venta demercancías y servicios. También incluye la transferenciade fondos mediante comunicaciones digitales.

e-commerce. Transacciones de empresa a empresa.Incluye la compra y venta de mercancías y servicios(con clientes, distribuidores, proveedores y otros) enInternet. Es un elemento principal del e-business.

entidad final. Sujeto de un certificado que no sea unaCA.

escucha PKIX. Servidor HTTP público que utiliza undominio de registro particular para escuchar lassolicitudes procedentes de la aplicación Client TrustAuthority.

esquema. En lo que se refiere al Directorio, estructurainterna que define las relaciones entre los diferentestipos de objeto.

estructura interna. Véase esquema.

extensión de certificado. Dispositivo opcional delformato de certificado X.509v3 que se proporciona paraincluir campos adicionales en el certificado. Hayextensiones estándar y extensiones definidas por elusuario. Las extensiones estándar sirvan para variosfines, incluida la información de política y claves,atributos del sujeto y del emisor, y limitaciones de laruta de certificación.

extranet. Derivada de Internet que utiliza unatecnología similar. Las empresas están empezando aaplicar publicaciones Web, comercio electrónico,

transmisión de mensajes y groupware en diferentesgrupos de clientes, business partners y personalinterno.

Ffirma digital. Mensaje codificado añadido a undocumento o datos que garantiza la identidad delremitente.

Una firma digital puede proporcionar mayor nivel deseguridad que una firma física. La razón por la queesto ocurre es que una firma digital no es un nombrecifrado o una serie de códigos de identificaciónsencillos. En realidad es un resumen cifrado delmensaje que se firma. De este modo, al añadir unafirma digital a un mensaje se proporciona un mediosólido de identificación del emisor. Solamente la clavedel emisor puede crear la firma. También se asegura elcontenido del mensaje que se firma (el resumen cifradodel mensaje debe coincidir con el contenido delmensaje o la firma no será válida). De este modo, unafirma digital no puede copiarse de un mensaje yaplicarse en otro, porque el resumen, o dato de control,no coincidiría. Cualquier modificación del mensajefirmado también invalidaría la firma.

firma en código. Técnica para firmar programasejecutables mediante firmas digitales. El proceso defirma en código se ha diseñado para mejorar lafiabilidad del software que se distribuye en Internet.

firmar. Utilizar la clave privada para generar unafirma. La firma es un medio de probar que se esresponsable del mensaje que se firma y que se aprueba.

firma/verificación. Firmar es utilizar una clave digitalprivada para generar una firma. Verificar es utilizar laclave pública correspondiente para verificar la firma.

FTP. Protocolo de transferencia de archivos.

Hhipertexto. Texto que contiene palabras, frases ográficos sobre los que el lector puede pulsar con elratón para recuperar y visualizar otro documento. Estaspalabras, frases o gráficos se les conoce comohiperenlaces. Recuperarlos se conoce como enlazar conellos.

historial de acciones. Eventos acumulados durante elciclo de vida de una credencial.

HTML. Lenguaje de marcas de hipertexto.

HTTP. Protocolo de transferencia de hipertexto.

Glosario 125

IICL. Issued certificate list (Lista de certificadosemitidos).

ID de solicitud. Valor ASCII de 24 a 32 caracteres queidentifica de forma exclusiva una solicitud decertificado de la RA. Este valor se puede utilizar en latransacción de solicitud del certificado para recuperarel estado de la solicitud o el certificado con el que estáasociada.

ID de transacción. Identificador proporcionado por laRA como respuesta a una solicitud de inscripción deprerregistro. Permite al usuario que ejecuta laaplicación Client Trust Authority obtener el certificadoprevio a la aprobación.

identificador de objeto (OID). Valor de datosasignado administrativamente del tipo definido en lanotación de sintaxis abstracta 1 (ASN.1).

IETF (Internet Engineering Task Force). Grupocentrado en la técnica y desarrollo de protocolos paraInternet. Representa una comunidad internacional dediseñadores, operadores, proveedores e investigadoresde redes. El IETF se ocupa del desarrollo de laarquitectura de Internet y de su uso fluido.

IniEditor. En Trust Authority, herramienta utilizadapara editar los archivos de configuración.

inscripción. En Trust Authority, proceso para obtenerlas credenciales a utilizar en Internet. La inscripciónengloba la solicitud, renovación y revocación decertificados.

instancia. En DB2, una instancia es un entorno lógicode gestión de base de datos para almacenar datos yejecutar aplicaciones. Permite definir un conjuntocomún de parámetros de configuración para bases dedatos múltiples.

integridad. Un sistema protege la integridad de losdatos si evita modificaciones no autorizadas (adiferencia de proteger la confidencialidad de los datos,que evita su revelación no autorizada).

Interconexión de sistemas abiertos (OSI). Nombresde los estándares para redes de sistemas aprobados porla ISO.

International Standards Organization (ISO).Organización internacional que tiene como cometidodesarrollar y publicar estándares para todo, desdecopas de vino hasta protocolos de redes de sistemas.

International Telecommunication Union (ITU).Organismo internacional en el que los gobiernos y elsector privado coordinan las redes y servicios detelecomunicaciones globales. Es el editor principal deinformación sobre tecnología de comunicaciones,normativas y estándares.

Internet. Grupo de redes a nivel mundial queproporciona conexión electrónica entre sistemas. Estoles permite comunicarse entre ellos mediantedispositivos de software como son el correo electrónicoy los navegadores Web. Por ejemplo, algunasuniversidades forman una red que a su vez enlaza conotras redes similares para formar Internet.

intervalo de publicación de la CRL. Definido en elarchivo de configuración de CA, intervalo de tiempoentre publicaciones periódicas de la CRL al Directorio.

intranet. Red interna de una empresa que suele residirdetrás de los cortafuegos. Es una derivada de Internet yutiliza una tecnología similar. Técnicamente, unaintranet es una mera extensión de Internet. HTML yHTTP son algunos de los elementos que comparten.

IPSec. Estándar de Seguridad del protocolo deInternet desarrollado por el IETF. IPSec es un protocolode capa de red, diseñado para proporcionar servicioscriptográficos de seguridad que soportan de formaflexible combinaciones de autentificación, integridad,control de acceso y confidencialidad. Por sus fuertescaracterísticas de autentificación, ha sido adoptado pormuchos proveedores de productos VPN como protocolopara establecer conexiones seguras punto a punto enInternet.

ISO. International Standards Organization(Organización internacional de estándares).

ITU. International Telecommunication Union (Unióninternacional de telecomunicaciones).

JJava. Conjunto de tecnologías de sistemas sinplataforma específica preparado para redes ydesarrollado por Sun Microsystems, Incorporated. Elentorno Java consta del sistema operativo Java,máquinas virtuales para distintas plataformas, lenguajede programación Java orientado a objetos y variasbibliotecas de clases.

jerarquía de CA. En Trust Authority, estructura fiableen la que en la parte superior de la estructura seencuentra un CA y por debajo se encuentran cuatroniveles de CA subordinados. Cuando los usuarios oservidores se registran con un CA, reciben uncertificado firmado por esa CA y heredan la jerarquíade certificación de los niveles superiores.

KKeyStore. DL para almacenar credenciales delcomponente Trust Authority, como claves y certificados,en formato cifrado.


LLDAP. Lightweight Directory Access Protocol(Protocolo sencillo de acceso al Directorio).

Lenguaje de marcas de hipertexto (HTML). Lenguajede marcas para codificar las páginas Web. Está basadoen SGML.

lenguaje Java. Lenguaje de programación,desarrollado por Sun Microsystems, diseñadoespecíficamente para ser utilizado en subprogramas yaplicaciones agente.

Lightweight Directory Access Protocol (LDAP ).Protocolo utilizado para acceder al Directorio.

lista de certificados emitidos (ICL). Lista completa decertificados que han sido emitidos y su estado actual.Los certificados están indexados por número de serie yestado. La CA mantiene esta lista y se almacena en labase de datos de la CA.

lista de control de accesos (ACL). Mecanismo paralimitar el uso de un recurso específico a los usuariosautorizados.

lista de revocación de certificados (CRL). Lista confirma digital y con indicación de la hora que contienelos certificados que la autoridad de certificados harevocado. Los certificados de esta lista se debenconsiderar no aceptables. Véase también certificadodigital.

Localizador uniforme de recursos (URL). Esquemapara direccionar recursos en Internet. El URL especificael protocolo, el nombre del sistema principal o ladirección IP. También incluye el número de puerto, laruta y los detalles de los recursos que son necesariospara acceder a un recurso desde una máquina concreta.

MMAC. Código de autentificación de mensajes.

Máquina virtual de Java (JVM). Parte del entorno deejecución de Java responsable de interpretar los códigosde bytes.

MD2. Función de control numérico de condensaciónde mensajes de 128 bits, diseñada por Ron Rivest. Seutiliza con MD5 en los protocolos PEM.

MD4. Función de control numérico de condensaciónde mensajes de 128 bits, diseñada por Ron Rivest. Esvarias veces más rápida que MD2.

MD5. Función de control de numérico decondensación de mensajes de sentido único, diseñadapor Ron Rivest. Es una versión mejorada de MD4. MD5procesa el texto de entrada en bloques de 512 bits,divididos en 16 sub-bloques de 32 bits. La salida del

algoritmo es un conjunto de cuatro bloques de 32 bits,que se concatenan para formar un único valor decontrol de 128 bits. También se utiliza junto con MD2en los protocolos PEM.

MIME (Multipurpose Internet Mail Extensions).Conjunto de especificaciones disponible libremente quepermite intercambiar texto entre idiomas con juegos decaracteres diferentes. También permite el correoelectrónico multimedia entre gran variedad de sistemasdiferentes que utilizan los estándares de correo Internet.Por ejemplo, los mensajes de correo electrónico puedencontener juegos de caracteres distintos a US-ASCII,texto enriquecido, imágenes y sonidos.

modelo de confianza. Convenio de estructuración quedetermina la forma en que las autoridades decertificado certifican a otras autoridades de certificado.

modulus. En el sistema criptográfico de clave públicaRSA, producto (n) de dos números primos grandes: p yq. El mejor tamaño para un modulus RA depende delas necesidades de cada uno. Cuanto más grande sea elmodulus, mayor será la seguridad. Los tamaños declave recomendados actualmente por los laboratoriosRSA dependen del uso al que vaya destinada la clave:768 bits para uso personal, 1024 bits para usocorporativo y 2048 bits para claves de gran valor comoel par de claves de una CA. Se supone que una clavede 768 bits será segura como mínimo hasta el año 2004.

NNational Security Agency (NSA). Organismo deseguridad oficial del gobierno de los EE.UU.

navegador. Véase navegador de Web.

navegador de Web. Software cliente que se ejecuta enun PC de sobremesa y que permite al usuario navegarpor la World Wide Web o las páginas HTML locales. Esuna herramienta de recuperación que proporcionaacceso universal a la inmensa colección de materialhipermedia disponible en la Web e Internet. Algunosnavegadores pueden mostrar texto y gráficos, peroalgunos sólo pueden mostrar texto. La mayoría de losnavegadores pueden manejar las principales formas decomunicación de Internet, como las transacciones FTP.

NIST. Instituto nacional de estándares y tecnología,conocido anteriormente como NBS (Agencia nacionalde estándares). Promueve los estándares abiertos y lainteroperatividad en el sector de sistemas.

NLS. Soporte del idioma nacional.

nombre distintivo (DN). Nombre exclusivo de unaentrada de datos que se almacena en el Directorio. ElDN identifica de forma exclusiva la posición de unaentrada en la estructura jerárquica del Directorio.

Glosario 127

nonce. Cadena de caracteres enviada por un servidoro aplicación solicitando la autorización del usuario. Elusuario al que se le solicita autentificación firma elnonce con una clave privada. La clave pública delusuario y el nonce firmado se envían de vuelta alservidor o aplicación que solicitó la autentificación.Luego el servidor intenta descifrar el nonce firmadocon la clave pública del usuario. Si el nonce descifradoes el mismo que el original que se envió, el usuario esautentificado.

NSA. Agencia nacional de seguridad.

Oobjeto. En diseño o programación orientada a objetos,abstracción que encapsula los datos y las operacionesasociadas con dichos datos. Véase también clase.

objetos de proceso empresarial. Código utilizado pararealizar una determinada operación de registro, comopor ejemplo la comprobación del estado de unasolicitud de inscripción o la verificación de que se haenviado una clave pública.

ODBC. Open Database Connectivity (Conectividadabierta de bases de datos).

Open Database Connectivity (ODBC). Estándar paraacceder a diferentes sistemas de base de datos.

OSI. Open Systems Interconnect (Interconexión desistemas abiertos).

Ppar de claves. Claves correspondientes que se utilizanen criptografía asimétrica. Una clave se utiliza paracifrar y otra para descifrar.

par de claves pública/privada. El par de clavespública/privada es parte del concepto de la criptografíade par de claves (introducido en 1976 por Diffie yHellman para resolver el problema de la gestión declaves). Según su concepto, cada persona obtiene unpar de claves, denominadas clave pública y claveprivada. La clave pública de cada persona se hacepública mientras que la clave privada se mantiene ensecreto. El emisor y el receptor no necesitan compartirla información secreta: en todas las comunicaciones sólose ven involucradas las claves públicas, y la claveprivada nunca se transmite o comparte. Ya no esnecesario confiar en que algún canal de comunicaciónsea seguro contra escuchas o revelaciones. El únicorequisito es que las claves públicas deben estarasociadas con sus usuarios mediante una relación defiabilidad (autentificadas), como por ejemplo en undirectorio fiable. Cualquiera puede enviar un mensajeconfidencial utilizando información pública. Sinembargo, el mensaje solamente puede descifrarse conuna clave privada, que está en posesión exclusiva del

destinatario al que va dirigido. Es más, la criptografíade par de claves no sólo puede utilizarse por motivosde privacidad (cifrado), sino también paraautentificación (firmas digitales).

pasarela. Unidad funcional que permite que las redeso aplicaciones incompatibles se comuniquen entre ellas.

PEM. Privacy-enhanced mail (Correo con privacidadmejorada).

perfil de certificado. Conjunto de características quedefinen el tipo de certificado que se desea (por ejemplocertificados SSL o certificados IPSec). El perfil facilita lagestión de las especificaciones y el registro de loscertificados. El emisor puede cambiar los nombres delos perfiles y especificar las características delcertificado que desee, por ejemplo el período devalidez, el uso de claves, las limitaciones DN, etcétera.

pista de auditoría. Datos, en forma de ruta lógica, queenlazan una secuencia de eventos. El pista de auditoríapermite rastrear transacciones o el historial de unaactividad determinada.

PKCS. Public Key Cryptography Standards(Estándares de criptografía de clave pública).

PKCS núm. 7. Véase Public key CryptographyStandards (Estándares de criptografía de clave pública).





PKI. Public key infrastructure (Infraestructura de clavepública).

PKIX. PKI basada en X.509v3.

plantilla de proceso empresarial. Conjunto de objetosde proceso empresarial que se ejecutan en un ordenespecificado.

políticas de certificados. Conjunto de reglas connombre que indican si se puede aplicar un certificado auna clase determinada de aplicaciones que tienenrequisitos de seguridad comunes. Por ejemplo, unapolítica de certificado puede indicar si un cierto tipo decertificación determinada permite que un usuariorealice transacciones de productos en un rango deprecios dado.

prerregistro. En Trust Authority, proceso que permitea un usuario, normalmente un administrador, inscribira otros usuarios. Si la solicitud es aprobada, la RA


proporciona la información que más tarde permite alusuario obtener el certificado utilizando la aplicaciónClient Trust Authority.

privacidad. Protección contra la revelación noautorizada de datos.

privacy-enhanced mail (PEM). Estándar de correo conprivacidad mejorada de Internet, que adoptó el Comitéde arquitectura Internet (IAB) para proporcionar correoelectrónico seguro en Internet. Los protocolos PEMproporcionan cifrado, autentificación integridad demensajes y gestión de claves.

proceso de registro. En Trust Authority, pasos paravalidar a un usuario, para que el usuario y la clavepública del usuario puedan ser certificados y participenen transacciones. Este proceso puede ser local o basadoen la Web, y puede estar automatizado o seradministrado por interacción de los usuarios.

protocolo. Convenio acordado para lascomunicaciones entre sistemas.

Protocolo de control de transmisión/protocolo Internet(TCP/IP ). Conjunto de protocolos de comunicacionesque soportan funciones de conectividad de igual aigual para redes locales y de área amplia.

protocolo de gestión de certificados PKIX (CMP).Protocolo que permite las conexiones con aplicacionescompatibles PKIX. El CMP PKIX utiliza TCP/IP comomecanismo de transporte principal, pero existe unacapa de abstracción sobre sockets. Esto permitesoportar transportes de sondeos adicionales.

Protocolo de transferencia de archivos (FTP).Protocolo cliente/servidor de Internet que se utilizapara transferir archivos entre sistemas.

Protocolo de transferencia de hipertexto (HTTP).Protocolo cliente/servidor de Internet para transferirarchivos de hipertexto a través de la Web.

Protocolo simple de transferencia de correo (SMTP).Protocolo que transfiere correo electrónico por Internet.

Public Key Cryptography Standards (PKCS).Estándares informales entre proveedores desarrolladosen 1991 por los laboratorios RSA con representantes devarios proveedores de sistemas. Estos estándarescontemplan el cifrado RSA, el acuerdo Diffie-Hellman,el cifrado basado en contraseña, la sintaxis decertificados extendidos, la sintaxis de mensajescriptográficos, la sintaxis de la información de claveprivada y la sintaxis de certificación.

v PKCS núm. 1 describe un método para cifrar losdatos utilizando el sistema criptográfico de clavepública RSA. Se utiliza para la construcción defirmas digitales y sobres digitales.

v PKCS núm. 7 especifica el formato general de losmensajes criptográficos.

v PKCS núm. 10 especifica la sintaxis estándar de lassolicitudes de certificación.

v PKCS núm. 11 define la interfaz de programaciónindependiente de la tecnología para los dispositivoscriptográficos como las tarjetas inteligentes.

v PKCS núm. 12 especifica el formato portátil paraalmacenar o transportar las claves privadas,certificados, secretos varios, etc. del usuario.

public key infrastructure (PKI). Estándar para elsoftware de seguridad que está basado en lacriptografía de clave pública. PKI es un sistema decertificados digitales, autoridades de certificado,autoridades de registro, servicios de gestión decertificados y servicios de directorio distribuido. Seutiliza para verificar la identidad y autoridad de cadauna de las partes involucradas en cualquier transacciónrealizada en Internet. En estas transacciones podríanestar involucradas operaciones en las que se requiere laverificación de identidad. Por ejemplo, podríanconfirmar el origen de los intentos de propuesta, losautores de los mensajes de correo electrónico o lastransacciones financieras.

PKI logra todo esto haciendo que las claves de cifradopúblicas y los certificados estén disponibles para laautentificación a través de un individuo u organizaciónválido. Proporciona directorios en línea que contienenlas claves de cifrado públicas y los certificados que seutilizan para verificar los certificados digitales,credenciales y firmas digitales.

PKI ofrece un medio para obtener respuestas rápidas yeficaces a las consultas de verificación y las solicitudesde claves de cifrado públicas. También avisa al sistemade los peligros potenciales de seguridad y mantiene losrecursos necesarios para tratar las violaciones deseguridad. Por último, PKI proporciona un servicio deindicación de la hora digital para las transaccionescomerciales importantes.

RRA. Autoridad de registro.

RA Desktop. Subprograma de Java que proporciona alas RA una interfaz gráfica para procesar las solicitudesde credenciales y administrarlas durante su ciclo devida.

RC2. Cifrado de bloques con tamaño de clavevariable, diseñado por Ron Rivest para la Seguridad dedatos RSA. RC significa Ron’s Code (código de Ron) oRivest’s Cipher (cifrado de Rivest). Es más rápido queDES y está diseñado para sustituir a DES a corto plazo.Puede ser más o menos seguro que DES en labúsqueda exhaustiva de claves utilizando los tamañosde clave apropiados. Tiene un tamaño de bloques de 64bits y, en cuanto al software, es dos o tres veces másrápido que DES. RC2 puede utilizarse con las mismasmodalidades que DES.

Glosario 129

Un acuerdo entre la Asociación de editores de software(SPA) y el gobierno de los EE.UU. da a RC2 unaposición especial. Esto hace más sencillo y rápido elproceso de aprobación de exportación que el procesode exportación criptográfico habitual. Sin embargo,para permitir la aprobación de exportación rápida, elproducto debe limitar el tamaño de la clave RC2 a 40bits con algunas excepciones. Se puede utilizar unacadena de caracteres adicional para burlar aintromisiones que intenten calcular previamente unatabla de búsqueda de gran tamaño de posibles cifrados.

rechazar. Desestimar como falso; por ejemplo, negarque se ha enviado un mensaje específico o que se haremitido una solicitud específica.

Red privada virtual (VPN). Red privada de datos queutiliza Internet en lugar de líneas telefónicas paraestablecer conexiones remotas. Las organizacionespueden reducir significativamente los costes de accesoremoto si los usuarios acceden a los recursos de lasredes de la empresa mediante un proveedor deservicios Internet (ISP) en lugar de hacerlo a través deuna compañía telefónica. Una VPN también mejora laseguridad de los intercambios de datos. En latecnología de cortafuegos tradicional, el contenido delmensaje puede cifrarse, pero no las direcciones origen ydestino. En la tecnología VPN, los usuarios puedenestablecer una conexión por túnel en la que el paquetecompleto de información (contenido y cabecera) estácifrado y encapsulado.

autoridad de registro (RA). Software que administralos certificados digitales para garantizar que se aplicanlas políticas de gestión de una organización desde laentrada inicial de una solicitud de inscripción hasta larevocación de certificados.

registro de auditoría. En Trust Authority, tabla de unabase de datos que almacena un registro por cadaevento de auditoría.

responsable de registros. Usuario que ha sidoautorizado a acceder al RA Desktop, para administrarcertificados y solicitudes de certificados.

RSA. Algoritmo criptográfico de clave pública quelleva el nombre de sus inventores (Rivest, Shamir yAdelman). Se utiliza para cifrado y firmas digitales.

Ssalida de política. En un servicio de registro,programa definido por una organización al que llamala aplicación de registro. Las normas especificadas enuna política de salida aplican las preferencias degestión y seguridad de la organización en los procesosde inscripción.

Secure Electronic Transaction (SET). Estándar delmercado que ofrece seguridad en los pagos mediantetarjeta de crédito o de débito en redes que no son

seguras. El estándar incorpora autentificación de lostitulares, comerciantes y bancos emisores de tarjetasporque exige la emisión de certificados.

Secure Sockets Layer (SSL ). Protocolo decomunicaciones estándar IETF con servicios deseguridad incorporados que son lo más transparenteposibles para el usuario final. Proporciona un canal decomunicación digitalmente seguro.

Un servidor con capacidad SSL normalmente aceptasolicitudes de conexión SSL en un puerto diferente alsolicitado en las solicitudes HTTP estándar. SSL creauna sesión durante la cual el intercambio de señalespara establecer la comunicación entre dos módemsdebe producirse una sola vez. Después de eso, se cifrala comunicación. La comprobación de integridad de losmensajes continúa hasta que finaliza la sesión SSL.

servicio de registro. Infraestructura de aplicaciónTrust Authority que proporciona recursosespecializados de entidades de inscripción (comonavegadores, direccionadores, correo electrónico yaplicaciones cliente seguras) y gestión de certificadosdurante su ciclo de vida.

servidor. (1) En una red, estación de datos queproporciona funciones a otras estaciones; por ejemplo,un servidor de archivos. (2) En TCP/IP, sistema en unared que maneja las solicitudes de un sistema en otraubicación, denominado cliente/servidor.

servidor de auditorías. Servidor de Trust Authorityque recibe eventos de auditoría de los clientes deauditoría y los escribe en un registro de auditoría.

servidor de CA. Servidor del componente CA(Autoridad de certificado) de Trust Authority.

Servidor del Directorio. En Trust Authority, elDirectorio de IBM SecureWay. Este Directorio soportaestándares LDAP y utiliza DB2 como base.

servidor HTTP. Servidor que maneja lascomunicaciones basadas en Web con navegadores yotros programas en una red.

servidor proxy. Intermediario entre el sistema quesolicita acceso (sistema A) y el sistema al que se accede(sistema B). Así, si un usuario final solicita un recursoal sistema A, la solicitud se dirige al servidor proxy. Elservidor proxy hace la solicitud, obtiene la respuestadel sistema B y luego reenvía la respuesta al usuariofinal. Los servidores proxy son de utilidad para accedera los recursos de la World Wide Web desde el interiorde un cortafuegos.

servidor RA. Servidor del componente RA de TrustAuthority.

servidor Web. Programa servidor que responde a lassolicitudes de recursos de información procedentes delos programas navegadores. Véase también servidor.


servlet. Programa de la parte servidor queproporciona funcionalidad adicional a los servidorespreparados para Java.

SET. Transacción electrónica segura.

SGML. Standard Generalized Markup Language(Lenguaje estandarizado de marcas general).

SHA-1 (Secure Hash Algorithm). Algoritmo diseñadopor el NIST y la NSA para utilizarse con el estándarDigital Signature Standard. El estándar es Secure HashStandard; SHA es el algoritmo utilizado por el estándar.SHA produce un dato de control numérico de 160 bits.

S/MIME. Estándar que soporta la firma y cifrado decorreo electrónico transmitido a través de Internet.Véase MIME.

SMTP. Simple Mail Transfer Protocol (Protocolosimple de transferencia de correo).

Soporte del idioma nacional (NLS). Soporte dentro deun producto de las diferencias entre escenarios,incluidos el idioma, la moneda, los formatos de fecha yhora y la representación numérica.

SSL. Secure Sockets Layer (Capa de socketsprotegida).

Standard Generalized Markup Language (SGML).Estándar para describir los lenguajes de marcas. HTMLestá basado en SGML.

subprograma de Java. Véase subprograma. Compáresecon aplicación de Java.

subsistema de auditoría. En Trust Authority,subsistema que proporciona el soporte para registrarcronológicamente acciones relacionadas con laseguridad. Cumple con las recomendaciones delestándar X9.57, del conjunto de estándares explicadospor PKI (Public Key Cryptography) para el sector deservicios financieros.

TTarjeta inteligente. Pieza de hardware, normalmentedel tamaño de una tarjeta de crédito, para almacenarlas claves digitales del usuario. Una tarjeta inteligentepuede estar protegida con contraseña.

tarjeta PC. Similar a una tarjeta inteligente,denominada a veces tarjeta PCMCIA. Esta tarjeta esalgo más grande que una tarjeta inteligente y sueletener mayor capacidad.

TCP/IP. Protocolo de control de transmisión/protocoloInternet.

texto claro. Datos no cifrados. Sinónimo detexto plano.

texto plano. Datos no cifrados. Sinónimo de textolimpio.

tipo. Véase tipo de objeto.

tipo de objeto. Tipo de objeto que puede almacenarseen el Directorio. Por ejemplo, una organización, sala dereuniones, dispositivo, persona, programa o proceso.

TP. Política de confianza.

Trust Authority. Solución de seguridad IBMSecureWay integrada que soporta la emisión,renovación y revocación de certificados digitales. Estoscertificados pueden utilizarse en una gran variedad deaplicaciones Internet, proporcionando un medio paraautentificar usuarios y asegurar comunicacionesseguras.

trusted computer base (TCB). Elementos de softwarey hardware que conjuntamente hacen respetar lapolítica de seguridad de sistemas de una organización.Cualquier elemento o parte de un elemento que puedatener efecto para hacer cumplir la política de seguridades de importancia en la seguridad y forma parte de laTCB. La TCB es un objeto que está delimitado por elperímetro de seguridad. Los mecanismos que llevan acabo la política de seguridad no deben ser eludibles ydeben evitar que los programas consigan acceder a losprivilegios del sistema por aquellos que no esténautorizados.

túnel. En tecnología VPN, conexión punto a puntovirtual bajo demanda realizada mediante Internet.Mientras están conectados, los usuarios remotospueden utilizar el túnel para intercambiar informaciónsegura, cifrada y encapsulada con los servidoresubicados en la red privada de la empresa.

UUnicode. Juego de caracteres de 16 bits definido porISO 10646. El estándar de codificación de caracteresUnicode es un código de caracteres internacional parael proceso de información. El estándar Unicode englobalos principales scripts del mundo y proporciona loscimientos para la internacionalización y localización delsoftware. Todo el código fuente del entorno deprogramación Java está escrito en Unicode.

URL. Localizador uniforme de recursos.

UTF-8. Formato de transformación. Permite a lossistemas de proceso de información que manejan juegosde caracteres de 8 bits convertir Unicode de 16 bits aun equivalente de 8 bits y volver a retroceder sinperder información.

Glosario 131

Vvalidación en cadena. Validación de todas las firmasCA en la jerarquía de confianza a través de la cual seemite el certificado en cuestión. Por ejemplo, si una CAha emitido este su certificado de firma a través de otroCA, ambas firmas se validad durante el proceso devalidación del certificado que presenta el usuario.

variable de inscripción. Véase atributo de inscripción.

VPN. Red privada virtual.

WWebSphere Application Server. Producto IBM quefacilita a los usuarios el desarrollo y gestión de sitiosWeb de alto rendimiento. Simplifica la transición depublicaciones Web sencillas a aplicaciones Web dee-business avanzadas. WebSphere Application Serverconsta de un sistema servlet basado en Java que esindependiente del servidor Web y de su sistemaoperativo subyacente.

World Wide Web (WWW). Parte de Internet donde seestablece una red de conexiones entre sistemas quecontienen material hipermedia. Este materialproporciona información y puede ofrecer enlaces conotro material de la WWW e Internet. Se accede a losrecursos de la WWW mediante un programa denavegador de Web.

XX.500. Estándar para poner en práctica un servicio dedirectorio multipropósito, distribuido y reproducidomediante la interconexión de sistemas informáticos. Fuedefinido conjuntamente por la Unión internacional detelecomunicaciones (ITU), conocida anteriormente comoCCITT, y la Comisión internacional de electroquímica(ISO/IEC).


Índice

Aadministración

coprocesador criptográfico 4758 56DB2 UDB 52HTTP Server 17servidor CA 19servidor del Directorio 54servidor RA 31subsistema de auditoría 39Trust Authority 5WebSphere Application Server 15

administrador, agregar el primer RA 32agregar el primer responsable de

registros 32agregar responsable de registross 31AIX

copia de seguridad 12restauración 12

archivos, configuración 71archivos de configuración 9, 71

AuditClient.ini 95AuditServer.ini 91cliente de auditoría 95jonahca.ini 72jonahra.ini 81modificación 9servidor CA 72servidor de auditoría 91servidor RA 81

asignación de alias, IP 68asignación de alias IP 68ASN.1 68AuditClient.ini 9, 95auditoría

cambiar el intervalo entre enlaces 44cambiar el intervalo entre

reintentos 43cambiar intentos de enlace 44cambiar nombre de sistema

principal 41cambiar puerto 41, 43campos de los eventos 103datos de base de datos 106informes, buscar 41informes, generar 48máscara 42registro cronológico 46

AuditServer.ini 9, 91autentificación 1Autoridad de certificado (CA) 57

Bbases de datos DB2 67

administración 52estado 52registros cronológicos 54

CCA (autoridad de certificado)

certificación cruzada 58jerarquías 58

campos, evento de auditoría 103CCITT 68certificación, digital 1, 62certificación cruzada 24, 58, 61certificación digital 1certificado

emisión 1extensiones 58lista de revocación (CRL) 61lista de revocación de certificados

(CRL) 1renovación 1revocación 1seguimiento de la actividad 14seguimiento del uso 12

certificados 62certificados digitales 62cifrado, activar base de datos RA 34clave de cifrado 63clave MAC 63claves

cifrado 63MAC 63

código de autentificación de mensajes(MAC) 58

componentes, Trust Authoritycoprocesador criptográfico 4758 56detener el servidor 7Directorio de IBM SecureWay 54IBM HTTP Server 17iniciar el servidor 7servidor CA 19servidor de auditoría 39servidor RA 31WebSphere Application Server 15

comprobación de la integridad 23, 49, 66comprobación de los registros

cronológicos de HTTP Server 18comunicaciones, fiabilidad 1comunicaciones seguras 1confidencialidad 63contraseña del administrador de

auditoría 5contraseña del administrador del

Directorio 5contraseña del programa de control 5contraseñas

administrador de auditoría 5administrador del Directorio 5cambiar 5Perfil de 4758 CA 6programa de control 5

copia de seguridad 12AIX 12bases de datos de Trust Authority 11Windows NT 12

coprocesador criptográfico, 4758 64

coprocesador criptográfico 4758 56administración 56coprocesador criptográfico 64duplicación 12

CRL (lista de revocación decertificados) 61

intervalo de creación 21valores, cambiar 20vida 21

Ddatos, base de datos de auditoría 106datos de base de datos, auditoría 106DES 56detener los componentes de servidor 7direcciones de correo electrónico 25, 28direcciones DNS 25, 28direcciones IP, cambiar 11Directorio 54dominios, registro 63dominios de registro 63duplicación del 4758 12

Eenlace 44estado

bases de datos de DB2 52HTTP Server 17servidor CA 30servidor de auditoría 50servidor del Directorio 55servidor RA 36WebSphere Application Server 15

estándar ITU 58, 68estándares

ASN.1 68CCITT 68ISO 68ITU 58, 68RFC 2459 58X.509v3 58X.680 68

eventos, auditoría 42, 103eventos de acción del administrador de

auditoría 66eventos de auditoría 103

acción del administrador deauditoría 66

gestión de certificados 65gestión de claves 65máscaras 66obligatorios 66opcionales 66RA 66sensibles a la seguridad 65

eventos de gestión de certificados 65eventos de gestión de claves 65eventos de RA 66eventos sensibles a la seguridad 65


extensión Authority InformationAccess 58

extensión Authority Key Identifier 58extensión Basic Constraints 58extensión Certificate Policies 58extensión CRL Distribution Points 58extensión de restricciones de

nombres 29extensión Extended Key Usage 58extensión Issuer Alternative Name 58extensión Key Usage 58extensión Name Constraints 58extensión Policy Constraints 58extensión Policy Mappings 58extensión Private Key Usage Period 58extensión Subject Alternative Name 58extensión Subject Directory

Attributes 58extensión Subject Key Identifier 58extensiones

certificado 58comunes 60estándar 58privadas 60restricciones de nombres 29secuencia de solicitud 61

extensiones comunes 60extensiones estándar 58extensiones privadas 60

Ffirma 63

HHTTP Server 17

administración 17estado 17registros cronológicos,

comprobación 18HTTP Server de IBM 67

IIBM HTTP Server 17ICL (lista de certificados emitidos) 62

clave de protección 22política de protección 22

identificadores de objeto (OID) 68Identificadores de recursos uniformes

(URI) 26Informe de actividad 14informes

Actividad 14Uso 12

informes, auditoría 48iniciar componentes de servidor 7integridad 63intervalo de creación, CRL 21intervalo de envío 38intervalo de reintento 36intervalo de sondeo 20, 35ISO 68

Jjerarquía 26jerarquías, CA 58

jonahca.ini 9, 72jonahra.ini 9, 81

LLDAP, (Lightweight Directory Access

Protocol) 54lista de certificados emitidos (ICL) 62lista de control de accesos (ACL) 57lista de revocación (CRL), certificados 1

Mmandato SQL 32mandatos, entrar 5máscara, auditoría 42máscara de dirección IP 25, 28mensajes, PKIX 57mensajes PKIX 57modificación de los archivos de

configuración 9

Nnombre de sistema principal 38, 41nombre distintivo (DN) 62

PPerfil de 4758 CA 6política de protección, ICL 22protección

clave, ICL 22política, ICL 22

puerto 38, 41, 43servidor CA 20servidor de auditoría 41, 43servidor del Directorio 38servidor RA 35

puerto de escucha 35

RRA (autoridad de registro)

acerca de 63administradores (responsables de

registros) 63agregar el primer administrador 32agregar el primer responsable de

registros 32agregar un administrador 33utilidad Add RA User 33, 99

registro cronológico de errores 47registro cronológico de eventos 45registro cronológico de seguimiento 46registros cronológicos

auditoría 45, 46DB2 54error 47evento 45HTTP Server 18seguimiento 46servidor CA 29servidor de auditoría 52servidor del Directorio 56servidor RA 36

registros cronológicos (continuación)subsistema de auditoría 48WebSphere Application Server 16

reintentos 43resolución de problemas 112responsable de registross, agregar 31restauración 12

AIX 12bases de datos de Trust Authority 11Windows NT 12

RFC 2459 58RSA 56

Sseguridad, Trust Authority 57sellado de integridad 66servidor CA

administración 19archivo de configuración 72cambiar el intervalo de sondeo 20cambiar los valores de la CRL 20comprobación de la integridad de la

base de datos 23estado 30puerto escucha 20registros cronológicos 29

servidor RA 31activar el cifrado en la base de

datos 34administración 31archivo de configuración 81cambiar el intervalo de reintento 36cambiar el intervalo de sondeo 35cambiar el nombre de sistema

principal del Directorio 38cambiar el puerto de escucha 35cambiar el puerto del Directorio 38enable database encryption 100estado 36registros cronológicos 36

servidoresauditoría 39detener los componentes 7Directorio 38, 68HTTP 17, 67iniciar componentes 7RA 31servidor CA 19Web 67WebSphere Application 15, 67

servidores del Directorioacerca de 68administración 54cambiar los valores de la RA para 38entradas 26, 29estado 55registros cronológicos 56servidor 38

servidores Web 67sistema criptográfico 57subsistema de auditoría

acerca de 65administración 39archivo de configuración del

cliente 95archivo de configuración del

servidor 91


subsistema de auditoría (continuación)archivos del registro cronológico,

efectuar una copia archivada 48archivos del registro cronológico,

firmar 48cambiar el intervalo entre

reintentos 43cambiar la configuración del registro

cronológico de auditoría 46cambiar la configuración del registro

cronológico de errores 47cambiar la configuración del registro

cronológico de seguimiento 46cambiar los valores del registro

cronológico de eventos 45cambiar máscara de auditoría 42cambiar nombre de sistema

principal 43cambiar puerto 43estado 50eventos, acerca de 65eventos obligatorios 66eventos opcionales 66informes, acerca de 65máscaras de eventos 66registros cronológicos 45, 52utilidad Audit Archive and Sign 100utilidad Audit Integrity Check 101vistas de base de datos 40

Ttabla de claves 107tabla de Control de eventos 107tabla de entidades autorizadas 108tabla de funciones autorizadas 109tabla de niveles de gravedad de los

eventos 107tabla de orígenes 108tabla de registros cronológicos de

auditoría 109tabla de tipos de componentes 109tabla de tipos de entidades

afectadas 109tabla del sistema 111tablas, base de datos de auditoría

claves 107Control de eventos 107entidades autorizadas 108funciones autorizadas 109niveles de gravedad de los

eventos 107orígenes 108tabla de registros cronológicos de

auditoría 109tabla de tipos de componentes 109tabla de tipos de entidades

afectadas 109tabla del sistema 111

tarjetas inteligentes 64temporizador 43Trust Authority

administrar 5copia de seguridad 11descripción 1dirección IP, cambiar 11informes 12, 14

Trust Authority (continuación)restauración 11seguridad 57utilidad de Control 7

UURI 29Usage Report 12utilidad CAIntegrityCheck 23utilidad Cambiar contraseña 5utilidad CARemac 22utilidad IniEditor

adición de un parámetro 11adición de una sección 11edición de parámetros 11ejecutar 9guardado de un archivo 11utilizar 10

utilidadesAdd RA User 33Audit Archive and Sign 48, 100Audit Integrity Check 49CA Certification 24, 26, 97, 99CAIntegrityCheck 23Cambiar contraseña 5CARemac 22Control de Trust Authority 7Enable RA Database Encryption 100Informe de actividad 14IniEditor 9Usage Report 12utilidad Audit Integrity Check 101

utilidades de línea de mandatosAdd RA User 99Audit Archive and Sign 48Audit Integrity Check 49CA Certification 24, 26, 97Enable RA Database Encryption 100

Vvalidación, firma 63validación de firmas 63vida, CRL 21vistas, base de datos de auditoría 40

WWebSphere Application Server 15, 67

administración 15estado 15registros 16

Windows NT

copia de seguridad 12restauración 12

XX.509v3 58

X.680 68

Índice 135


IBM

Número de Programa: 5648-D09

Printed in Denmark by IBM Danmark A/S

SH10-9270-00

Documents

Guía de administración del sistema - publib.boulder.ibm.compublib.boulder.ibm.com/tividd/td/IBM_TA/SH09-4532-01/es_ES/PDF/... · Este manual es la traducción del original inglés