Védett socket réteg Ez a témakör írja le a Védett socket réteg (SSL) használatát a szerveren. A Védett socket réteg (SSL) egy olyan ipari szabványként alkalmazott protokoll, amely lehetővé teszi az alkalmazások számára a kommunikációs szekciók nem védett hálózaton, így például az interneten történő biztonságossá tételét.
Az IBM i 7.2 változatának újdonságai A Védett socket réteg új vagy jelentősen módosított információiról olvashat ebben a részben. v Kiegészítő támogatás biztosított a Szállítási réteg biztonság (TLS) protokolljai számára: a TLS 1.2 és a TLS 1.1 változat esetén. v A rendszer új SSL protokollokkal és rejtjelkészletekkel bővült, valamint az aláírási algoritmusok, illetve a kézfogási egyeztetés esetén új tulajdonságok is bevezetésre kerültek. v Hozzáadásra került az a képesség, amellyel több igazolás is beállítható a biztonságos környezet számára. A több igazolás kiválasztása lehetővé teszi a biztonságos környezeteknek az Elliptikus görbe digitális aláírási algoritmussal (ECDSA) készülő igazolások engedélyezését, miközben az RSA igazolások továbbra is érvényben maradnak. v Kiegészítő támogatás biztosított egyes rendszer SSL attribútumok számára. v Kiegészítő támogatás érhető el az OCSP esetében.
Új vagy megváltozott információk elkülönítése A technikai változások helyét az információs központ az alábbiak szerint jelöli: Kép jelöli az új vagy megváltozott információk kezdetének helyét. v v kép jelöli az új vagy megváltozott információk végét. A PDF fájlokban az új és a megváltozott részek mellett módosítást jelző vonal (|) látszik. Ha kíváncsi a kiadás új vagy megváltozott részeire, olvassa el az Emlékeztető a felhasználók számára című részt.
Az SSL című kiadvány PDF fájlja Az információkat PDF formátumban is meg lehet tekinteni, és ki is lehet őket nyomtatni. A dokumentum PDF változatának megtekintéséhez vagy letöltéséhez kattintson a Védett socket réteg (SSL) hivatkozásra.
PDF fájlok mentése A PDF fájl mentése a munkaállomáson megjelenítés vagy nyomtatás céljából: 1. A böngészőben kattintson a jobb egérgombbal a PDF hivatkozására. 2. Válassza az előugró menünek a PDF helyi mentésére vonatkozó menüpontját. 3. Keresse meg a könyvtárat, amelybe a PDF fájlt menteni kívánja. 4. Kattintson a Mentés gombra.
SSL fogalmak Ez a témakör szolgál kiegészítő információkkal a Védett socket réteg (SSL) protokollok alapjairól. Az SSL protokoll felhasználásával lehetővé válik a védett kapcsolatok kialakítása a kliensek és szerveralkalmazások között, továbbá lehetőség van a kapcsolati végpontok hitelesítésére is. Az SSL emellett biztosítja a kliens és a szerveralkalmazás közötti adatcsere bizalmasságát és integritását.
Az SSL működése Az SSL valójában két protokollból áll. Az egyik a megvalósítási, a másik a kézfogási protokoll. A megvalósítási protokoll irányítja az adatfolyamot az SSL szekció két végpontja között. A kézfogási protokoll hitelesíti az SSL szekció végpontját (vagy végpontjait), és alakít ki egy egyedi szimmetrikus kulcsot az SSL szekció adatforgalmának titkosítására és visszafejtésére használt kulcsok előállításához. Az SSL a szekció végpontjainak hitelesítését aszimmetrikus kriptográfiai módszerekkel, illetve digitális igazolásokkal és egy SSL kézfogással végzi el. Az SSL általában a szerver hitelesítésére szolgál. Választhatóan a kliensek hitelesítésére is alkalmas. A végpontoknak vagy az SSL kapcsolatot megvalósító alkalmazásoknak kiosztható egy igazolási hatóság által kibocsátott digitális igazolás. A digitális igazolások egy megbízható igazolási hatóság által aláírt nyilvános kulcsból és néhány azonosító információból állnak. Minden nyilvános kulcshoz tartozik egy magánkulcs is. A magánkulcs tárolása az igazolástól elkülönül. Mind a szerver, mind a klienshitelesítésnél annak ellenőrzése történik meg, hogy a hitelesített fél hozzáfér-e a digitális igazolásához tartozó magánkulcshoz. Az SSL kézfogás a nyilvános és magánkulcsokkal kapcsolatos kriptográfiai műveletek miatt teljesítményigényes tevékenység. A végpontok közötti kezdeti SSL szekció kialakítása után a végpontokra vagy alkalmazásokra vonatkozó SSL szekcióinformációk a későbbi SSL szekciók kialakításának felgyorsítása érdekében egy biztonságos memóriában ideiglenesen tárolhatók. Az SSL szekciók folytatása esetén a végpontok a nyilvános és magánkulcsok felhasználása nélkül egy rövidített kézfogással győződnek meg arról, hogy a másik fél hozzáfér az egyedi szekcióinformációkhoz. Ha mindkét végpont bebizonyítja, hogy hozzáfér az említett egyedi információkhoz, akkor az SSL kialakítja az új szimmetrikus kulcsokat, és az SSL szekció "folytatódik". A TLS 1.2, 1.1, 1.0 és az SSL 3.0 változatú szekciók esetén az ideiglenes tárolt információk legfeljebb 24 órán keresztül maradnak a biztonságos memóriában. A fő CPU erőforrásnak az SSL kézfogásból adódó többletterhelése kriptográfiai hardver használatával minimálisra csökkenthető. Kapcsolódó tájékoztatás: Digitális igazolásokkal kapcsolatos alapelvek Kriptográfiai hardver
Támogatott SSL és Szállítási réteg biztonság protokollok Ez a témakör az IBM® i megvalósítás által támogatott Védett socket réteg (SSL) és Szállítási réteg biztonság (TLS) protokollváltozatokat mutatja be. Az SSL protokollnak többféle változatát is meghatározták. Az IBM i megvalósítás az SSL és TLS protokollok alábbi változatait támogatja: v TLS 1.2 v TLS 1.1 v TLS 1.0 v SSL 3.0 v SSL 2.0 Megjegyzés:
2
IBM i: Védett socket réteg
1. Több protokoll egyidejű meghatározása kompatibilitási módban lehetséges. A kompatibilitás azt jelenti, hogy lehetőség szerint a legmagasabb megadott protokoll kerül egyeztetésre, és ha ez nem lehetséges, akkor a következő legmagasabb protokoll vesz részt az egyeztetésben. Amennyiben a megadott protokollok egyike sem egyeztethető, úgy az SSL kézfogás meghiúsul. 2. Kompatibilitási módban ajánlott az engedélyezett legmagasabb és legalacsonyabb protokoll közötti valamennyi protokollt meghatározni. Váratlan eredmények adódhatnak, ha a TLS 1.2 és a TLS 1.0 megadásra kerül, a TLS 1.1 azonban nem.
A TLS 1.2 és a TLS 1.1 összehasonlítása A legújabb, ipari szabványnak minősülő SSL protokoll a Szállítási réteg biztonság (TLS) 1.2 változata. Specifikációját az Internettervezési munkacsoport (IETF) határozta meg az RFC 5246, A TLS protokoll 1.2 változata című dokumentumban. A TLS 1.2 változata a következő továbbfejlesztéseket biztosítja a TLS 1.1 változatához képest: v A TLSv1.2 változattal egyeztetett valamennyi rejtjelnek kötelező legalább az SHA256 készletet alkalmaznia. A nevükben SHA(1) karaktersorozattal rendelkező meglévő rejtjelek az SHA256 készletet használják. v A digitálisan aláírt elemben szereplő MD5/SHA-1 kombináció helyébe egyetlen kivonat kerül. Az aláírt elemek már tartalmaznak egy olyan mezőt, amely kifejezetten meghatározza a használt kivonatalgoritmust. v A kiterjesztéstámogatás külön meghatározás helyett az RFC dokumentummal került összevonásra. v DES rejtjel nem engedélyezett. Ez azt jelenti, hogy ezt a rejtjelkészletet nem lehet a TLSv1.2 esetében egyeztetni. – 09 = *RSA_DES_CBC_SHA
A TLS 1.1 és a TLS 1.0 összehasonlítása A második legújabb, ipari szabványnak számító SSL protokoll a Szállítási réteg biztonság (TLS) 1.1 változata. Specifikációját az Internettervezési munkacsoport (IETF) határozta meg az RFC 4346, A TLS protokoll 1.1 változata című dokumentumban. A TLS 1.1 változata a következő továbbfejlesztéseket biztosítja a TLS 1.0 változatához képest: v Az implicit inicializálási vektor (IV) helyébe kifejezett IV került, hogy védelmet biztosítson a rejtjelblokkláncolás (CBC) típusú támadások ellenattacks. A kifejezett IV megváltoztatja az AES és DES rejtjelek belső működését. v Az exportálási rejtjelek nem engedélyezettek. Ez azt jelenti, hogy ezen két jelenleg támogatott rejtjelkészlet nem egyeztethető a TLSv1.1 esetében. – 03 = *RSA_EXPORT_RC4_40_MD5 – 06 = *RSA_EXPORT_RC2_CBC_40_MD5 v Egyéb belső továbbfejlesztések: a részletekért forduljon az RFC 4346 dokumentumhoz.
A TLS 1.0 és az SSL 3.0 összehasonlítása Az első, ipari szabványnak számító SSL protokoll az SSL 3.0 változatán alapuló Szállítási réteg biztonság (TLS) protokoll 1.0 változata volt. Specifikációit az Internettervezési munkacsoport (IETF) határozta meg az RFC 2246, A TLS protokoll című dokumentumban. A TLS elsődleges célja az SSL még biztonságosabbá tétele, illetve a protokoll pontos és teljes meghatározása. A TLS az SSL 3.0 változatához képest az alábbi bővítéseket nyújtja: v Még biztonságosabb MAC algoritmus v Finomabban szabályozható riasztások v A "homályos" területek pontosabb definíciója A TLS az alábbi biztonsági továbbfejlesztéseket nyújtja:
Védett socket réteg
3
v Üzenethitelesítési kulcskivonatolás: A TLS az Üzenethitelesítési kulcskivonatolási kódot (HMAC) használja, amely biztosítja, hogy a nyílt hálózatokon, például az interneten forgalmazott adatok nem változtathatók meg a szállítás során. Az SSL 3.0 változata is biztosít kulcs alapján végzett üzenet hitelesítést, de a HMAC biztonságosabb az SSL 3.0 változatában használt Üzenet hitelesítési kódnál (MAC). v Kiterjesztett pszeudorandom függvény (PRF): A PRF végzi a kulcsadatok előállítását. A TLS esetén a HMAC határozza meg a PRF-et. A PRF két kivonatkészítés algoritmust használ oly módon, hogy ez garantálja a biztonságot. Az egyik algoritmus feltörése esetén az adatokat még mindig védi a második algoritmus. v A Befejeződött üzenet tökéletesített ellenőrzése: A TLS 1.0 és az SSL 3.0 is elküld egy Befejeződött üzenetet mindkét végpontnak, amelyek ellenőrzik, hogy a cserélt üzenetek nem változtak-e meg. A TLS viszont a Befejeződött üzenetet a PRF és HMAC értékek alapján származtatja, amelyről már kijelentettük, hogy biztonságosabbak az SSL 3.0 megoldásainál. v Konzisztens igazoláskezelés: Az SSL 3.0 változatától eltérően a TLS megkísérli a felhasználandó igazolás típusának meghatározását. v Specifikus riasztási üzenetek: A TLS több és kifejezőbb riasztást határoz meg a szekció végpontjai által észlelt problémák jelzésére. A TLS emellett dokumentálja bizonyos riasztások kiküldését.
Az SSL 3.0 és az SSL 2.0 összehasonlítása Az SSL 3.0 változata a 2.0 változathoz képest egy teljesen eltérő protokoll. A két protokoll közötti lényegesebb különbségek: v Az SSL 3.0 változatának kézfogási menete eltér az SSL 2.0 változatában alkalmazottól. v Az SSL 3.0 változata tartalmaz bizonyos óvintézkedéseket az időzítési támogatások ellen, és az SHA1 kivonatkészítési algoritmust használja. Az SHA1 algoritmus biztonságosabbnak tekinthető, mint az MD5. Az SHA1 használatával az SSL 3.0 változata további rejtjelkészleteket is biztosít, amelyek az MD5 helyett szintén az SHA1 algoritmust alkalmazzák. v Az SSL protokoll 3.0 változata csökkenti az SSL kézfogás során lehetséges közbeálló ember (MITM) támadások esélyét. Az SSL 2.0 változatában bármennyire is valószínűtlen, elképzelhető volt, hogy egy MITM támadás elérje a rejtjelmeghatározás gyengítését. A rejtjel gyengítése pedig megkönnyíti a jogosulatlan személyeknek az SSL szekciókulcs feltörését. Kapcsolódó tájékoztatás: RFC 5246: "A Szállítási réteg biztonság (TLS) protokoll 1.2 változata" RFC 4346: "A Szállítási réteg biztonság (TLS) protokoll 1.1 változata" RFC 2246: "A TLS protokoll 1.0 változata"
Rendszer SSL A Rendszer SSL az IBM i Licenc belső kód (LIC) által biztosított általános szolgáltatások gyűjteménye, amely lehetővé teszi a TCP/IP kommunikáció biztosítását az SSL/TLS protokoll segítségével. A Rendszer SSL lazán van csatolva az operációs rendszerhez és a socket kódhoz, így nyújt extra teljesítményt és biztonságot. A Rendszer SSL a következő programozási felületekből és JSSE megvalósításból érhető el az alkalmazásfejlesztők számára: v Global Security Kit (GSKit) API-k – Ezek az ILE C API-k elérhetők más ILE nyelvekből v Integrált IBM i SSL_ API-k – Ezek az ILE C API-k elérhetők más ILE nyelvekből – Ennek az API készletnek a használata nem támogatott. A javasolt C felület a GSKit. v Integrált IBM i JSSE megvalósítás |
– Az IBM i JSSE megvalósítás a JDK 1.6, JDK 7 és JDK 8 számára érhető el.
4
IBM i: Védett socket réteg
Az IBM, az IBM üzleti partnerei, a független szoftver szállítók (ISV) vagy a fent leírt három Rendszer SSL felületek egyikét használó vásárlók által készített SSL alkalmazások a Rendszer SSL-t használják. Az FTP és a Telnet például olyan IBM alkalmazások, amelyek a Rendszer SSL-t használják. Az IBM i rendszeren futó, SSL-t engedélyező alkalmazások közül nem mindegyik a Rendszer SSL-t használja.
Rendszer SSL tulajdonságok A rendszer SSL attribútumok adott részhalmaza rendszerszinten teszi lehetővé tulajdonságaik módosítását. Az attribútumok ezen részhalmaza rendszer SSL tulajdonságok néven ismert. A rendszer SSL számos olyan attribútummal rendelkezik, amelyek a biztonságos környezetek vagy a biztonságos szekciók létrehozásának módját határozzák meg. Az alkalmazások fejlesztésekor a tervező az attribútumok mindegyike esetén kiválasztja azok értékét. Egyes esetekben a választás célja, hogy az attribútum értékét kifejezetten egy rögzített értékre állítsa be. Az attribútumok közül egyeseknél a tervező felhasználói felületet biztosít, lehetővé téve az alkalmazásadminisztrátornak az attribútumérték vezérlését. Az attribútumok többsége esetén a tervező az attribútumhoz tartozó rendszer SSL alapértéket használja, hiszen nem kínál kódot annak módosításához. Az alapértelmezett attribútumérték kerül felhasználásra minden olyan alkalommal is, amikor új rendszer SSL attribútumokat vesznek fel az alkalmazások fordítása után. Az összes attribútumhoz hasonlóan a rendszer SSL tulajdonságokat is korlátozzák a támogatott és alapértelmezett értékek. A támogatott értékek az attribútumok működése szempontjából korlátozzák a rendszer SSL beállításokat. Az alapértelmezett értékek azt határozzák meg, hogy mi történik akkor, ha a tervező kifejezetten nem állítja be az attribútumot. A következő rendszer SSL tulajdonságok esetében azok alapértelmezett és/vagy támogatott értékét lehet módosítani. A rendszerváltozókat vagy a Rendszer szervizeszközök (SST) SSLCONFIG speciális elemzési parancsát a megadottak szerint vegye használatba. Kapcsolódó fogalmak: “Az SSLCONFIG makró” oldalszám: 21 Az SSLCONFIG makró a rendszer SSL tulajdonságok esetében a rendszerszintű alapértékek megjelenítését vagy megváltoztatását teszi lehetővé. Kapcsolódó tájékoztatás: SSL rendszerváltozó: QSSLPCL SSL rendszerváltozó: QSSLCSLCTL SSL rendszerváltozó: QSSLCSL SSL protokollok: A rendszer SSL több protokoll támogatásához rendelkezik infrastruktúrával. A rendszer SSL az alábbi protokollokat támogatja: v Szállítási réteg biztonság 1.2 protokoll (TLSv1.2) v Szállítási réteg biztonság 1.1 protokoll (TLSv1.1) v Szállítási réteg biztonság 1.0 protokoll (TLSv1.0) v Védett socket réteg 3.0 protokoll (SSLv3) v Védett socket réteg 2.0 protokoll (SSLv2) – Az SSLv2 a TLSv1.2 támogatása esetén nem használható. A kapott SSL által támogatott protokollok
|
A Rendszer SSL az alábbi támogatott protokollokkal együtt érkezik: v Szállítási réteg biztonság 1.0 protokoll (TLSv1.0) v Szállítási réteg biztonság 1.1 protokoll (TLSv1.1) Védett socket réteg
5
| v Szállítási réteg biztonság 1.2 protokoll (TLSv1.2) | Megjegyzés: Az SSLv3 és az SSLv2 tiltott állapotban kerül a rendszer SSL esetében szállításra. A QSSLPCL | rendszerváltozó segítségével bármely protokoll engedélyezhető vagy tiltható. A kapott SSL alapértelmezett protokolljai A Rendszer SSL a következő alapértelmezett protokollokat használja, ha egy alkalmazás kéri: v Szállítási réteg biztonság 1.0 protokoll (TLSv1) | v Szállítási réteg biztonság 1.1 protokoll (TLSv1.1) | v Szállítási réteg biztonság 1.2 protokoll (TLSv1.2) | | | | |
Megjegyzés: Ha az SSLv3 az adminisztrátor által felvételre kerül a támogatott protokollok listájára, akkor azt a rendszer az alapértelmezett protokollokhoz is hozzáadja. Ha azonban az adminisztrátor felvette az SSLv2 változatot a támogatott protokollok listájára, az nem kerül hozzáadásra az alapértelmezett protokollokhoz. Ha eltávolít egy alapértelmezett protokollt a támogatott protokollok listájáról, akkor az az alapértelmezett protokollok listájáról is eltávolításra kerül. Kapcsolódó tájékoztatás: SSL rendszerváltozó: QSSLPCL SSL rejtjelkészletek: A rendszer SSL a következő rejtjelkészletek támogatásához rendelkezik infrastruktúrával.
A rejtjelkészletek különböző módon vannak megadva az egyes programozási felületekhez. A rendszer SSL az alábbi, rendszerváltozó-formátumban megjelenített rejtjelkészleteket támogatja: | v *RSA_AES_128_GCM_SHA256 | v *RSA_AES_256_GCM_SHA384 | v *ECDHE_ECDSA_NULL_SHA | v *ECDHE_ECDSA_RC4_128_SHA | v *ECDHE_ECDSA_3DES_EDE_CBC_SHA | v *ECDHE_RSA_NULL_SHA | v | v | v | v | v
| v *ECDHE_RSA_AES_256_CBC_SHA384 | v *ECDHE_ECDSA_AES_128_GCM_SHA256 | v *ECDHE_ECDSA_AES_256_GCM_SHA384 | v *ECDHE_RSA_AES_128_GCM_SHA256 | v *ECDHE_RSA_AES_256_GCM_SHA384 v *RSA_AES_128_CBC_SHA256 v *RSA_AES_256_CBC_SHA256 v *RSA_NULL_SHA256 v v v v
6
*RSA_NULL_MD5 *RSA_NULL_SHA *RSA_EXPORT_RC4_40_MD5 *RSA_RC4_128_MD5 IBM i: Védett socket réteg
A szállított SSL által támogatott rejtjel-specifikációk listája A rejtjel-specifikációs lista a rejtjelkészletek felsorolását tartalmazza. A rendszer SSL 29 támogatott rejtjelkészlettel kerül szállításra. Az adminisztrátorok a QSSLCSL és QSSLCSLCTL rendszerváltozókkal vezérelhetik a rendszer SSL által támogatott rejtjeleket. Az adott rejtjelkészlet nem támogatott, ha a hozzá szükséges SSL protokoll sem támogatott. A rendszer SSL az alábbi támogatott rejtjelkészletekkel érkezik: | | | | |
A támogatott rejtjel-specifikációs listát a rendszer által támogatott SSL protokollok, valamint a QSSLCSL rendszerváltozón végzett módosítások egyaránt befolyásolják. A QSSLCSL értékének megjelenítésével megtekintheti a rendszer rejtjel-specifikációs listáját. A szállított SSL alapértelmezett rejtjel-specifikációs listája Itt látható a szállított alapértelmezett rejtjel-specifikációs lista a felsorolás sorrendjében: | v *ECDHE_ECDSA_AES_128_CBC_SHA256 | v *ECDHE_ECDSA_AES_256_CBC_SHA384 | v *ECDHE_ECDSA_AES_128_GCM_SHA256 | v *ECDHE_ECDSA_AES_256_GCM_SHA384 | v v | v v | v | v | v
| v | v | v | v | v *ECDHE_RSA_3DES_EDE_CBC_SHA v *RSA_3DES_EDE_CBC_SHA | v *ECDHE_ECDSA_RC4_128_SHA | v *ECDHE_RSA_RC4_128_SHA v *RSA_RC4_128_SHA
A kapott alapértelmezett rejtjel specifikációs lista a QSSLCSL rendszerváltozó módosításával szűkíthető, és átrendezhető. A következő táblázat az egyes protokollváltozatok esetén támogatott rejtjel-specifikációkat mutatja be. Az egyes protokollok támogatott rejtjel-specifikációját a megfelelő oszlopban szereplő "X" jelzi. 1. táblázat: TLS és SSL protokollok támogatott rejtjel-specifikációi QSSLCSL rendszerváltozó ábrázolása
Kapcsolódó tájékoztatás: SSL rendszerváltozó: QSSLCSLCTL SSL rendszerváltozó: QSSLCSL Aláírási algoritmusok: A TLSv1.2 protokoll a digitális aláírásokhoz használt aláírási és kivonatolási algoritmusokat független jelleggel látta el. Korábban az egyeztetett rejtjelkészlet határozta meg ezeket az algoritmusokat. A rendszer SSL több aláírási algoritmus támogatásához rendelkezik infrastruktúrával. Az engedélyezett aláírási/kivonatolási algoritmuspárok rendezett listája két célt szolgál a TLSv1.2 számára, amelynek nincs jelentése az előző protokollok esetében: Igazolásválasztás | | | | |
Az aláírási algoritmusok rendezett listája elküldésre kerül a partnernek, amikor a rendszer SSL igazolást kér a kézfogás során. A partner a kapott lista segítségével irányítja az igazolásválasztási folyamatot. A partnernek olyan igazolást kell kiválasztania, amely megfelel a listának, azonban ez nem minden megvalósítás és konfiguráció esetén igaz. A rendszer SSL a nem kívánt aláírási algoritmussal rendelkező kapott igazolást szekcióhibaként kezeli, hacsak beállításra nem kerül a választható klienshitelesítés.
| | | |
Amikor a rendszer SSL igazolási kérést kap, és nem képes kiválasztani a megfelelő igazolást, akkor egy elérhető meg nem felelési RSA igazolást küld el. A partner határozza meg, hogy ez az igazolás szekcióhibát fog-e eredményezni. A rendszer SSL igazolásválasztási funkciójával kapcsolatban a következő témakörben találhat további részleteket: “Több igazolás kiválasztása” oldalszám: 20. Védett socket réteg
9
Üzenet-aláírás Az algoritmuspárok listája korlátozza, hogy mely aláírási és kivonatolási algoritmus használható a kézfogási üzenet digitális aláírásaihoz. A TLSv1.2 kézfogási üzenet aláírása különbözhet a szekcióhoz használt igazolás aláírásától. Például a kézfogási üzenetet SHA512 készlettel is lehet védeni, még akkor is, ha MD5 igazolás került a szekció számára kiválasztásra. A rendszer SSL a következő aláírási algoritmusok támogatásához rendelkezik infrastruktúrával: | v ECDSA_SHA512 | v ECDSA_SHA384 | v ECDSA_SHA256 | v ECDSA_SHA224 | v v v v v
v RSA_SHA1 v RSA_MD5 A szállított, SSL által támogatott aláírási algoritmusok A rendszer SSL a támogatott aláírási algoritmusok következő listájával kerül szállításra: | v | v | v | v
ECDSA_SHA512 ECDSA_SHA384
ECDSA_SHA256 ECDSA_SHA224 | v ECDSA_SHA1 v RSA_SHA512 v RSA_SHA384 v RSA_SHA256 v RSA_SHA224 v RSA_SHA1 v RSA_MD5 A szállított alapértelmezett SSL aláírási algoritmusok A következő lista a szállított alapértelmezett aláírási algoritmusok rendezett listáját mutatja be: | | | | |
A szállított alapértelmezett aláírási algoritmusok listáját a Rendszer szervizeszközök (SST) SSLCONFIG speciális elemzési parancsa segítségével lehet megváltoztatni. Kapcsolódó fogalmak: “Az SSLCONFIG makró” oldalszám: 21 Az SSLCONFIG makró a rendszer SSL tulajdonságok esetében a rendszerszintű alapértékek megjelenítését vagy megváltoztatását teszi lehetővé. Újraegyeztetés: A meglévő biztonságos szekción belül elindított új kézfogás-egyeztetést újraegyeztetésnek szokás nevezni. A rendszer SSL újraegyeztetési jellemzőit két tulajdonság határozza meg. Az alkalmazások számos okból használhatnak újraegyeztetést. Az újraegyeztetést a kliens és a szerver is elindíthatja. Előfordulhat, hogy az alkalmazásréteg nincs tudatában a biztonságos szekció partner kérésére végzett újraegyeztetéséről. A GSKit rendszer SSL alkalmazásai gsk_secure_soc_misc() hívással kezdeményeznek újraegyeztetést. Az alapul szolgáló RFC dokumentumukban meghatározott SSL és a TLS protokollarchitektúra hibát tartalmaz az újraegyeztetéssel kapcsolatban. A protokollok nem tudják kriptográfiai módon ellenőrizni, hogy a szekció-újraegyeztetés a meglévő biztonságos szekcióhoz kapcsolódik-e. A kiegészítő RFC 5746 ezen probléma megoldása érdekében egy választható bővítményt határoz meg az alapszintű protokollok számára. Mivel az RFC 5746 a korábban meghatározott protokoll újabb kiegészítése, jelenleg nem minden SSL megvalósítás támogatja azt. Egyes SSL megvalósítások nem kerültek vagy kerülhetnek frissítésre az RFC 5746 támogatására. Az átmenet különféle fázisai során az üzletmenet-folytonosság/együttműködés lehetővé tétele érdekében két újraegyeztetési tulajdonság is létezik. SSL újraegyeztetési mód A rendszer SSL alapértelmezés szerint RFC 5746 szemantikát követel meg minden újraegyeztetett kézfogás esetén. Az alapértelmezett mód a Rendszer szervizeszközök (SST) SSLCONFIG speciális elemzési parancsa segítségével változtatható meg. A mód beállításával engedélyezhető minden nem biztonságos újraegyeztetés, illetve csak a rövidített nem biztonságos újraegyeztetések is. Ezeket a módokat csak alapos megfontolást követően vegye használatba. Létezik egy mód a partnerek által kezdeményezett valamennyi kézfogás-újraegyeztetés letiltására. Ez a mód a biztonságos (RFC 5746 szemantikájú) és a nem biztonságos újraegyeztetést egyaránt megakadályozza. A mód együttműködési problémákat eredményezhet az újraegyeztetés használatát igénylő alkalmazások számára. A helyben kezdeményezett biztonságos újraegyeztetés, így például a gsk_secure_soc_misc() hívás továbbra is engedélyezett ebben a módban. SSL kiterjesztett újraegyeztetés kritikus módja A kiterjesztett újraegyeztetés kritikus módja meghatározza, hogy a rendszer SSL mikor követeli meg az összes partnertől az RFC 5746 újraegyeztetési jelzés megadását a kezdeti szekció-egyeztetés során. A biztonságos szekció mindkét oldalának az újraegyeztetés gyengeségével szembeni teljes védelme érdekében minden kezdeti egyeztetésnek jeleznie kell az RFC 5746 támogatását. Ez a jelzés az RFC 5746 meghatározása szerint a “renegotiation_info” TLS kiterjesztés vagy a jelzést adó rejtjelkészletérték (SCSV) formájában állhat rendelkezésre. A kritikus mód alapértelmezésben le van tiltva, hogy fenntartsa az RFC 5746 megvalósításával nem rendelkező SSL megvalósítások közötti együttműködést. A kritikus mód engedélyezésekor a rendszer SSL az RFC 5746 megvalósítással rendelkező rendszerekkel való egyeztetésre korlátozódik. A korlátozás akkor is fennáll, ha egyik oldal sem támogatja vagy használja az újraegyeztetést. Ha megállapításra került, hogy minden rendszer SSL partner támogatja az RFC 5746 alkalmazását, akkor ezt a módot engedélyezettre lehet módosítani. Védett socket réteg
11
Az alapértelmezett kiterjesztett újraegyeztetés kritikus módja a Rendszer szervizeszközök (SST) SSLCONFIG speciális elemzési parancsa segítségével változtatható meg. Külön tulajdonság tartozik a kliens-, illetve a szerveralkalmazásokhoz. A rendszer SSL mindig elküldi a “renegotiation_info” TLS kiterjesztést vagy az SCSV értéket a ClientHello tartalmában. Az SCSV érték csak akkor kerül elküldésre, ha más kiterjesztés nem képezi a ClientHello részét. Kapcsolódó fogalmak: “Az SSLCONFIG makró” oldalszám: 21 Az SSLCONFIG makró a rendszer SSL tulajdonságok esetében a rendszerszintű alapértékek megjelenítését vagy megváltoztatását teszi lehetővé. Kapcsolódó tájékoztatás: RFC 5746: "Szállítási réteg biztonság (TLS) újraegyeztetésijelzés-bővítmény"
DCM alkalmazásdefiníciók A Digitális igazolás kezelő (DCM) felügyeli az alkalmazásdefiníciókat tartalmazó alkalmazás-adatbázist. Minden egyes alkalmazásdefiníció magában foglalja az adott alkalmazáshoz tartozó igazolásfeldolgozási információkat. Az IBM i 7.1 kiadástól kezdődően az alkalmazásdefiníció az alkalmazáshoz tartozó rendszer SSL attribútumok néhány elemét is tartalmazza. A rendszer SSL felhasználók “alkalmazásazonosító” néven ismerik ezt az alkalmazásdefiníciót. Számos IBM i által biztosított alkalmazás alkalmazásdefiníciót használ az alkalmazáshoz tartozó igazolásinformációk beállításához. Minden alkalmazásfejlesztő tervezhet alkalmazásdefiníciókat használó alkalmazásokat. A DCM alkalmazásdefiníció két olyan mezőt tartalmaz, amely annak azonosítására szolgál. Az Alkalmazás leírása mező segítségével megkereshetők és kezelhetők a Digitális igazolás kezelőben található alkalmazásdefiníciók. Az Alkalmazás azonosítója mezőt a rendszer SSL használja a konfigurációs információkat tároló alkalmazásdefiníció azonosítására. A következő rendszer SSL programozási felületek rendelkeznek metódussal a használni kívánt “alkalmazásazonosító” azonosításához. v Global Security Kit (GSKit) API-k – gsk_attribute_set_buffer (GSK_IBMI_APPLICATION_ID attribútummal) v Integrált IBM i SSL_ API-k – SSL_Init_Application (SSLInitAppStr struct adatszerkezetben beállított érték) v Integrált IBM i JSSE megvalósítás – Beállított os400.secureApplication Java™ rendszertulajdonság A következő DCM alkalmazásdefiníció-mezők használhatók az alkalmazások megfelelő rendszer SSL attribútumainak vezérléséhez: SSL protokollok: Az SSL protokollok alkalmazásdefiníció-mező azt határozza meg, hogy az alkalmazás mely SSL protokollváltozatokat támogatja. Az alapértelmezett érték: *PGM, ami azt jelenti, hogy az ezen "alkalmazásazonosító" értéket használó program állítja be az SSL protokoll attribútum megfelelő értékét. Minden rendszer SSL program rendelkezik egy olyan protokollattribútum-értékkel, amely API híváson keresztül kerül kifejezetten beállításra, vagy implicit módon engedi a rendszer alapértékének használatát. Használja a *PGM értéket, hacsak nem tudja, hogy a kívánt attribútumértéket nem a program állítja be. Ha a *PGM nem a megfelelő protokollokat eredményezi, akkor ez az alkalmazásdefiníció-mező felülbírálhatja az alkalmazás által támogatott protokollokat. Ha az itt azonosított protokollok legalább egyike engedélyezett a rendszeren a QSSLPCL rendszerváltozó által, akkor a rendszeren nem engedélyezett protokollok csendes módon figyelmen kívül
12
IBM i: Védett socket réteg
maradnak. Ahol lehetséges, ott az alkalmazásdefiníció-mező használata helyett a protokollok beállításához kövesse az alkalmazás dokumentációjában szereplő konfigurációs lépéseket. Az adminisztrátorok az ezen mező segítségével korábban megadhatónál gyengébb biztonsági tulajdonságokat is beállíthatnak az IBM alkalmazások számára. Kapcsolódó tájékoztatás: SSL rendszerváltozó: QSSLPCL SSL rejtjel-specifikációs beállítások: Az SSL rejtjel-specifikációs beállítások alkalmazásdefiníció-mező azt határozza meg, hogy az alkalmazás mely SSL rejtjelkészleteket támogatja. Az alapértelmezett érték: *PGM, ami azt jelenti, hogy az ezen "alkalmazásazonosító" értéket használó program állítja be a támogatott rejtjelkészletek attribútumának megfelelő értékét. A program API híváson keresztül kifejezetten állíthatja be az értéket, vagy implicit módon engedheti a rendszer alapértékének használatát. Ha a *PGM helytelen értéket eredményez, akkor ez a mező az alkalmazás által támogatott SSL rejtjelkészleteket határozhatja meg. A QSSLCSL rendszerváltozó által letiltott rejtjelkészletek figyelmen kívül maradnak, ha van legalább egy engedélyezett rejtjelkészlet. A szerveralkalmazás egy prioritással ellátott lista segítségével vezérli a támogatott rejtjelkészleteket. Az adminisztrátor a biztonsági irányelvvel, teljesítménnyel és együttműködéssel kapcsolatos szempontok kombinációját használja a megfelelő konfiguráció megállapításához. A lista módosításainak mérlegelése során járjon el körültekintően. A felhasználó által megadott lista rugalmassága lehetővé teszi a *PGM esetén lehetségesnél gyengébb biztonsági konfigurációt. A biztonság számos módon gyengíthető: v Magasabb prioritás kiválasztása egy viszonylagosan gyenge titkosítási algoritmus számára v Viszonylagosan erős titkosítási algoritmus letiltása v Viszonylagosan gyenge titkosítási algoritmus engedélyezése A szerver olyan biztonságos, mint az általa engedélyezett leggyengébb rejtjelkészlet, az általa a rendezett listában elfoglalt pozíciótól függetlenül. Kapcsolódó tájékoztatás: SSL rendszerváltozó: QSSLCSL Kiterjesztett újraegyeztetés kritikus módja: Ez az alkalmazásdefiníció-mező azt határozza meg, hogy az alkalmazás igényli-e a partnertől az RFC 5746 újraegyeztetési jelzés megadását a kezdeti kézfogás során. Az alapelv részleteivel kapcsolatban a rendszer SSL tulajdonságai részben tekintse meg az SSL kiterjesztett újraegyeztetés kritikus módját a következő témakörben: “Újraegyeztetés” oldalszám: 11. Az alapértelmezett érték: *PGM, ami azt jelenti, hogy az ezen "alkalmazásazonosító" értéket használó program már beállította a módot a megfelelő értékre. A program a rendszer SSL alapértékét, vagy az ezen attribútumhoz kapcsolódó gsk_attribute_set_enum() API hívás által kifejezetten beállított értéket használja. Állítsa “Engedélyezés” értékre, ha a kezdeti kézfogás során meg szeretné követelni az RFC 5746 újraegyeztetési jelzés meglétét ahhoz, hogy a művelet sikeres legyen. Tervezési szempontok miatt ez az alkalmazás már nem képes kezet fogni azokkal a partnerekkel, akik nem kerültek vagy kerülhetnek frissítésre az RFC 5746 támogatására. Állítsa ezt az alkalmazásdefiníció-mezőt “Letiltás” értékűre, ha az alkalmazás nem követeli meg az RFC 5746 újraegyeztetési jelzést a partner részéről a kezdeti kézfogás során. Az RFC 5746 újraegyeztetési jelzés továbbra is kötelező az összes újraegyeztetett kézfogás esetében. Megjegyzés: Az alkalmazás ezen beállítás értékétől függetlenül mindig megadja az RFC 5746 újraegyeztetési jelzés információit a partnernek. Védett socket réteg
13
Kapcsolódó tájékoztatás: RFC 5746: "Szállítási réteg biztonság (TLS) újraegyeztetésijelzés-bővítmény" Szervernévjelzés: A Szervernévjelzés (SNI) alkalmazásdefiníció-mező segítségével az közölhető a rendszer SSL réteggel, hogy korlátozott SNI támogatást kell nyújtania az adott alkalmazás számára. Az RFC 6066 által meghatározott SNI lehetővé teszi a TLS klienseknek, hogy megadják a TLS szervernek azon szerver nevét, amellyel kapcsolatban állnak. Ez a funkció az egyetlen alapul szolgáló hálózati címen több 'virtuális' szervert befogadó szerverekkel kialakított biztonságos kapcsolat elősegítésére szolgál. Az SNI ezen módon - kliensként vagy szerverként - való alkalmazásához gsk_attribute_set_buffer() hívást kell igénybe venni az SNI alkalmazásbeli konfigurálásához. Ha korlátozott SNI támogatásra van szükség, akkor adja meg a szerveralkalmazáshoz tartozó teljes képzésű tartománynév (FQDN) értékét. Amennyiben nincs rá szükség, úgy fogadja el a korlátozott SNI támogatás *NONE alapértelmezett értékét, amely nem bírálja felül a meglévő SNI alkalmazáskonfigurációt. Ha az alkalmazás gsk_attribute_set_buffer() hívással konfigurálja az SNI információkat, akkor az ezen alkalmazásdefiníció-mező számára beállított érték hozzáfűzésre kerül a meglévő információk végéhez. Ha a meglévő információk kritikus fontosságúként kerültek beállításra, akkor ez az érték is kritikus lesz. A kritikus azt jelenti, hogy ha a kliens teljes képzésű tartományneve (FQDN) nem egyezik meg a szerverlista egyik nevével, akkor a szekcióegyeztetés számára a szerver hibát állít elő. Amennyiben nincsenek meglévő információk, úgy a korlátozott SNI támogatás sem lesz kritikus. Használati eset a korlátozott támogatású SNI mező beállításához: Vállalatához fordul az Önök szolgáltatásait igénybe vevő felhasználók egyike. A felhasználó új biztonsági követelménnyel rendelkezik, amely szerint minden olyan TLS szerver, amellyel kapcsolatba lép, megadja a szerver SNI nyugtáját. Az Önök egyszerű szervere csak egy szolgáltatáshoz kerül felhasználásra, így nincs szükség virtuális szerverkonfigurációra. A szerver teljes képzésű tartományevének beállításával a rendszer SSL kérés esetén képes elküldeni az SNI szervernyugtát. Az elküldött szerverigazolás az alkalmazásdefinícióhoz rendelt igazolásnak felel meg. Semmi sem változik a szerver szempontjából, ugyanakkor teljesíthető a kliens által támasztott követelmény. Ha a kliens által kért teljes képzésű tartománynév nem egyezik (mivel ez a mező nem került beállításra vagy eltérő érték szerepel benne), akkor a rendszer nem küld szerver SNI nyugtát. A szerver úgy folytatja a kézfogás-egyeztetést, mintha nem érkezett volna SNI kérés. A kliens állapítja meg, hogy ez a helyzet kritikus hibának számít-e a szekcióegyeztetés szempontjából. Kapcsolódó tájékoztatás: RFC 6066: "Szállítási réteg biztonság (TLS) bővítményei: bővítménymeghatározások" Az Online igazolásállapot protokoll attribútumai: Az Online igazolásállapot protokoll (OCSP) alkalmazásdefiníciókban szereplő attribútummezői segítségével vezérelhető az OCSP engedélyezése. Az OCSP az igazolásokra jellemző visszavonási állapot megállapításának mechanizmusa. A feldolgozás működésének megismeréséhez forduljon az OCSP részletes leírásához. A GSKit API-k teszik lehetővé az OCSP feldolgozást meghatározó számos attribútum beállítását. Az alkalmazásdefiníció két olyan OCSP attribútummezővel rendelkezik, amely az OCSP engedélyezésének vezérlésére szolgál. A többi OCSP attribútumot nem lehet az alkalmazásdefinícióval módosítani. Ezen egyéb attribútumértékeket a GSKit API beállítások vagy belső alapértékek határozzák meg. Kapcsolódó fogalmak:
14
IBM i: Védett socket réteg
“Online igazolásállapot protokoll” oldalszám: 16 Az Online igazolásállapot protokoll (OCSP) módot ad az alkalmazásoknak a digitális igazolások visszavonási állapotának meghatározására. Az OCSP révén ellenőrzött igazolás-visszavonási állapot az igazolás-visszavonási listáknál (CRL) naprakészebb állapotinformációkat nyújt. Kapcsolódó tájékoztatás: RFC 2560: X.509 internetes nyilvános kulcsú infrastruktúra, online igazolásállapot protokoll - OCSP OCSP URL: Az Online igazolásállapot protokoll (OCSP) URL címe alkalmazásdefiníció-mező azt határozza meg, hogy a végegyed-igazolások igazolásellenőrzése során ezen alkalmazás általános OCSP válaszadót használ-e a kérések elküldéséhez. Az URL megléte esetén a rendszer a visszavonási állapot megállapítása céljából a megadott OCSP válaszadóval veszi fel a kapcsolatot az összes végegyed-igazolás esetében. A mező alapértelmezett értéke: *PGM, ami azt jelenti, hogy az ezen "alkalmazásazonosító" értéket használó program állítja be az attribútum megfelelő értékét. Minden rendszer SSL attribútum rendelkezik kezdeti alapértékkel, amely esetén ez az attribútum nem rendelkezik URL értékkel. A programok a gsk_attribute_set_buffer() hívás révén kifejezetten is beállíthatnak egy URL értéket. Ha a *PGM nem a kívánt OCSP válaszadót eredményezi, akkor ebben a mezőben adja meg a megfelelő OCSP válaszadó URL címét. A HTTP az egyedüli támogatott URL protokoll, ezért ennek az értéknek "http://" előtaggal kell kezdődnie. Az érték beállítása felülbírálja a program által az URL célja esetében belsőleg beállított konfigurációt. Az egyéb beállított OCSP attribútumok használata azonban megfelelő módon folytatódik. Ha a *PGM az OCSP válaszadót használó alkalmazást eredményezi, azonban nincs szükség általános OCSP válaszadó-feldolgozásra, akkor állítsa ezt a mezőt “Letiltás” értékűre. Ez a beállítás felülbírálja a gsk_attribute_set_buffer() hívás segítségével belsőleg beállított URL címet. Az OCSP letiltása gyengíti az alkalmazáshoz tartozó biztonsági modellt, így ezen döntés előtt járjon el körültekintően. Kapcsolódó fogalmak: “Igazolás-visszavonás” oldalszám: 19 Az igazolás-visszavonási ellenőrzés az igazolásérvényesítés egyik fázisa, amely a szekcióegyeztetés részeként megy végbe. Az igazoláslánc érvényesítésével lehet meggyőződni arról, hogy az adott igazolás nincs visszavonva. OCSP AIA feldolgozás: Az Online igazolásállapot protokoll (OCSP) hatóságinformáció-elérési (AIA) feldolgozása alkalmazásdefiníció-mező azt határozza meg, hogy az OCSP igazolás-visszavonási ellenőrzés AIA igazoláskiterjesztési információk segítségével kerül végrehajtásra. A visszavonás-ellenőrzés AIA igazoláskiterjesztés-információkkal kerül végrehajtásra, ha az OCSP visszavonási állapot meghatározatlan és mindkét alábbi feltétel igaz: v Az OCSP AIA ellenőrzés engedélyezett. v Az érvényesítendő igazoláshoz olyan PKIK_AD_OCSP elérési metódussal rendelkező AIA kiterjesztés tartozik, amely az OCSP válaszadó HTTP helyének URI azonosítóját foglalja magában. Megjegyzés: Az AIA kiterjesztésben azonosított első OCSP válaszadó kerül a visszavonási állapotért lekérdezésre. A mező alapértelmezett értéke: *PGM, ami azt jelenti, hogy az ezen "alkalmazásazonosító" értéket használó program állítja be az attribútum megfelelő értékét. Minden rendszer SSL attribútum rendelkezik kezdeti alapértékkel, amely esetén ez az attribútum letiltásra kerül. A programok a gsk_attribute_set_enum() hívással kifejezetten engedélyezhetik vagy letilthatják az OCSP AIA ellenőrzést.
Védett socket réteg
15
Ha a *PGM nem a kívánt OCSP AIA érvényesítést és visszavonás-ellenőrzést eredményezi, akkor állítsa ezt a mezőt “Engedélyezés” értékűre. A belső beállítást a rendszer felülbírálja, és az OCSP ellenőrzésre akkor kerül sor, ha elérhetők AIA információk. Ha a *PGM OCSP AIA érvényesítést eredményez, ugyanakkor a visszavonás-ellenőrzésre nincs szükség, akkor állítsa ezt a mezőt “Letiltás” értékűre. Az OCSP letiltása gyengíti az alkalmazáshoz tartozó biztonsági modellt, így ezen döntés előtt járjon el körültekintően. Kapcsolódó fogalmak: “Igazolás-visszavonás” oldalszám: 19 Az igazolás-visszavonási ellenőrzés az igazolásérvényesítés egyik fázisa, amely a szekcióegyeztetés részeként megy végbe. Az igazoláslánc érvényesítésével lehet meggyőződni arról, hogy az adott igazolás nincs visszavonva. SSL aláírási algoritmusok: Az SSL aláírási algoritmusok alkalmazásdefiníció-mező azt határozza meg, hogy az alkalmazás mely algoritmusokat támogatja. A létező aláírási algoritmusok és használati módjuk áttekintéséért az SSL tulajdonságok részben tekintse meg a következő témakört: “Aláírási algoritmusok” oldalszám: 9. Az alapértelmezett érték: *PGM, ami azt jelenti, hogy az ezen "alkalmazásazonosító" értéket használó program állítja be az SSL aláírási algoritmusok megfelelő értékét. Minden rendszer SSL attribútum rendelkezik kezdeti alapértékkel. A programok a gsk_attribute_set_buffer() hívás segítségével kifejezetten meghatározhatják a listát. Ha a *PGM helytelen konfigurációt eredményez, akkor állítsa be úgy ezt a mezőt, hogy tartalmazza a támogatott aláírási algoritmusok rendezett listáját.
Online igazolásállapot protokoll Az Online igazolásállapot protokoll (OCSP) módot ad az alkalmazásoknak a digitális igazolások visszavonási állapotának meghatározására. Az OCSP révén ellenőrzött igazolás-visszavonási állapot az igazolás-visszavonási listáknál (CRL) naprakészebb állapotinformációkat nyújt. Az OCSP visszavonásiállapot-ellenőrzés megvalósítása az RFC 2560 előírásaival összhangban történik. Az OCSP igazolás-visszavonási állapot ellenőrzése a végegyed-igazolás számára áll rendelkezésre. A HTTP feletti 1-es protokollváltozat és az alapvető választípus támogatott. Az igazolás-visszavonási állapot alkalmazások általi, OCSP révén történő ellenőrzésére akkor kerül sor, amikor a következő feltételek legalább egyike igaz: v Az OCSP válaszadó URL címe beállításra került. v Engedélyezett a hatóságinformációk elérésének (AIA) ellenőrzése, az ellenőrzendő igazolás pedig rendelkezik AIA kiterjesztéssel. Az AIA kiterjesztésnek tartalmaznia kell egy olyan URI azonosítóval rendelkező PKIK_AD_OCSP hozzáférési metódust, amely jelzi az OCSP válaszadó HTTP helyét. Megjegyzés: Csak az AIA kiterjesztésben azonosított első OCSP válaszadó kerül a visszavonási állapotért lekérdezésre. Az URL és az AIA ellenőrzés engedélyezése esetén csak akkor kerül sor AIA ellenőrzésre, ha az URL válaszadónak küldött lekérdezés meghatározatlan visszavonási állapotot eredményez. Kapcsolódó fogalmak: “Igazolás-visszavonás” oldalszám: 19 Az igazolás-visszavonási ellenőrzés az igazolásérvényesítés egyik fázisa, amely a szekcióegyeztetés részeként megy végbe. Az igazoláslánc érvényesítésével lehet meggyőződni arról, hogy az adott igazolás nincs visszavonva. Kapcsolódó tájékoztatás: RFC 2560: X.509 internetes nyilvános kulcsú infrastruktúra, online igazolásállapot protokoll - OCSP
16
IBM i: Védett socket réteg
OCSP konfiguráció: Az Online igazolásállapot protokoll (OCSP) engedélyezése mellett számos olyan tulajdonság létezik, amelyet az alkalmazások beállíthatnak az OCSP kliensviselkedés személyre szabása érdekében. Az OCSP visszavonás-ellenőrzés engedélyezése esetén egy HTTP kérés kerül elküldésre az OCSP válaszadónak. A kérés azon igazolás azonosítására szolgáló információkat tartalmaz, amely esetében a visszavonási állapot lekérdezésre kerül, valamint egy választható aláírás is elhelyezhető benne. A kéréshez tartozó választható aláírás segítségével a válaszadó ellenőrizheti a kliensektől kapott kérések érvényességét. A kérésaláírás alapértelmezésben le van tiltva. A kérés a válaszadónak GET vagy POST metódussal kerül HTTP felett elküldésre. A GET metódussal elküldött kérések engedélyezik a HTTP gyorsítótárazást. Ha a konfiguráció azt jelzi, hogy a GET metódus az előnyben részesített megoldás, a kérés pedig 255 byte-nál kisebb, akkor a kérés GET metódussal kerül elküldésre. Ellenkező esetben a rendszer POST metódussal küldi el a kérést. Alapértelmezésben a rendszer a GET metódust részesíti előnyben. Miután a kérés elküldésre került, az OCSP visszavonás-ellenőrzés addig blokkolja a feldolgozást, amíg válasz nem érkezik a válaszadótól, vagy túllépi az időkorlátot. A visszavonás-ellenőrzésre a szekcióegyeztetés részeként kerül sor, azonban a szekcióellenőrzés a visszavonás-ellenőrzés végrehajtásáig blokkolja a feldolgozást. Ha a szekcióegyeztetésre beállított időkorlát kisebb a konfigurált OCSP időkorlátnál, akkor a rendszer a kisebb értéket használja OCSP időkorlátként. Az OCSP időkorlát értéke alapértelmezés szerint 10 másodperc, de az alkalmazások is beállíthatják azt. Az érvényes válasz alá van írva és tartalmazza a lekérdezett igazolás visszavonási állapotát jelző adatokat. Az igazolás visszavonási állapota jó, ismeretlen vagy visszavont értékű lehet. A választ olyan igazolással kell aláírni, amely teljesíti az alábbi követelmények legalább egyikét: v Az aláíró igazolás megbízható a helyi igazolástároló számára. v Az aláíró igazolás az érvényesítendő igazolást kiadó igazolási hatóság igazolása. v Az aláíró igazolás tartalmaz egy id-ad-ocspSigning értéket az ExtendedKeyUsage kiterjesztésben, valamint a kérdéses igazolást kiadó CA adta ki. A válasz mérete változó lehet. Az alkalmazáson múlik az engedélyezett maximális válaszméret megállapítása. Alapértelmezésben az engedélyezett maximális válaszméret 20480 byte. Ha a válasz nagyobb, mint az engedélyezett maximális méret, akkor a válasz figyelmen kívül marad, és a rendszer ugyanúgy kezeli, mint az ismeretlen igazolásállapotot jelző választ. A kriptográfiai egyszeri érték egy olyan biztonság mechanizmus, amellyel ellenőrizheti, hogy a kapott válasz egy adott kérésre érkezett-e. A véletlenszerűen előállított bitsorozat formátumú egyszeri érték a kérés és a válasz esetében egyaránt kiszámításra és befoglalásra kerül. Ha engedélyezett az egyszeri érték ellenőrzése, akkor a válaszban szereplő egyszeri érték a kérésben elküldött egyszeri értékkel kerül összehasonlításra. Ha az egyszeri értékek nem egyeznek, akkor a válasz figyelmen kívül marad. Az egyszeri érték ellenőrzése alapértelmezésben le van tiltva. A visszavonás-ellenőrzés lelassíthatja a szekcióegyeztetést. Az OCSP válaszok gyorsítótárazása azonban lehetővé teszi a kliensnek, hogy ugyanazon kérés ismételt elküldése nélkül kérdezze le a visszavonási állapotot a korábbi kérésekből. Az OCSP válaszgyorsítótár alapértelmezésben engedélyezett, de az alkalmazások le is tilthatják azt. Proxy HTTP szerverek köztes szerverként használhatók a gyorsítótárazott válaszokból származó OCSP kérések kezeléséhez, vagy a kérések beállított válaszadónak való továbbításához. Ha az alkalmazáshoz beállításra került egy proxyszerver, akkor az alkalmazáshoz tartozó valamennyi OCSP kérés a konfigurált szervernek kerül elküldésre. Az alapértelmezett proxyport: 80. A proxyszerver alapértelmezésben nincs beállítva. A Global Security Kit (GSKit) gsk_attribute_set_buffer(), gsk_attribute_set_numeric_value() és gsk_attribute_set_enum() API felülete segítségével a következő API attribútumok állíthatók be az OCSP esetében: v GSK_OCSP_URL - Azon OCSP válaszadó URL címe, akinek az OCSP kérések elküldésre kerülnek v GSK_OCSP_ENABLE - AIA ellenőrzés engedélyezése v GSK_OCSP_REQUEST_SIGKEYLABEL - Azon igazoláshoz tartozó igazoláscímke, amely az OCSP kérés aláírására szolgál v GSK_OCSP_REQUEST_SIGALG - Aláírási algoritmus, amely az OCSP kérés aláírásának előállítására szolgál Védett socket réteg
17
v v v v v
GSK_OCSP_RETRIEVE_VIA_GET - Az a metódus, amellyel az OCSP kérés elküldésre kerül GSK_OCSP_TIMEOUT - Az OCSP válaszadótól származó válaszra való várakozás másodperceinek száma GSK_OCSP_MAX_RESPONSE_SIZE - Az OCSP válaszadótól elfogadható maximális válaszméret byte-ban GSK_OCSP_CLIENT_CACHE_SIZE - Az OCSP kliensválasz-gyorsítótár engedélyezése vagy letiltása GSK_OCSP_NONCE_GENERATION_ENABLE - Egyszeriérték-kiterjesztés küldése az OCSP kérés részeként
v GSK_OCSP_NONCE_CHECK_ENABLE - Az OCSP válaszban szereplő egyszeriérték-kiterjesztés ellenőrzése, hogy az megegyezik-e az OCSP kérésben elküldöttel v GSK_OCSP_NONCE_SIZE - Az egyszeri érték előállításához használandó byte-ok száma v GSK_OCSP_PROXY_SERVER_NAME - Azon proxyszerver neve, amelynek az OCSP kérések elküldésre kerülnek v GSK_OCSP_PROXY_SERVER_PORT - Azon proxyszerver portszáma, amelynek az OCSP kérések elküldésre kerülnek Az integrált IBM i SSL_ API felületeket vagy az IBM i JSSE eszközt használó alkalmazások nem rendelkeznek felülettel az OCSP konfigurálásához. Azonban az "alkalmazásazonosító" értéket használó programok mindegyike engedélyezheti vagy letilthatja az OCSP visszavonás-ellenőrzést a Digitális igazolás kezelő segítségével. Minden egyéb OCSP konfigurációs beállítás esetén az alapértelmezett értékek kerülnek felhasználásra. Kapcsolódó fogalmak: “Az Online igazolásállapot protokoll attribútumai” oldalszám: 14 Az Online igazolásállapot protokoll (OCSP) alkalmazásdefiníciókban szereplő attribútummezői segítségével vezérelhető az OCSP engedélyezése. Kapcsolódó tájékoztatás: Global Security Kit (GSKit) API-k OCSP visszavonási állapot: Az OCSP visszavonási állapotot az OCSP kérésre küldött OCSP válasz határozza meg. A válaszok két típusát lehet fogadni. Az egyik azt jelzi, hogy az OCSP válaszadó érvényes választ küldött, a másik pedig azt, hogy a válaszadó az előző kérés feldolgozása során problémába ütközött. A válaszadó által a kérés feldolgozása során észlelhető problémák közé tartoznak az alábbiak: v malformedRequest - A kérés rosszul formázott volt. v internalError - Az OCSP válaszadónál belső hiba történt. v tryLater - Az OCSP válaszadó ideiglenesen nem tud válaszolni; később próbálkozzon újra a kéréssel. v sigRequired - Az OCSP válaszadó megköveteli a kérés aláírását. v unauthorized - Az OCSP kliens nem jogosult az OCSP válaszadó lekérdezésére. Az érvényes válasz tartalmazza a lekérdezett igazoláshoz tartozó igazolás-visszavonási állapotot. Az igazolás állapotértékei: jó, visszavont és ismeretlen. Az OCSP visszavonási állapot-ellenőrzés befejeződik, ha az igazolás jó vagy visszavont értékű visszavonási állapotot kap. A jó állapot lehetővé teszi a kézfogás folytatását, a visszavont állapot miatt pedig a kézfogás meghiúsul. Ha az URL és AIA ellenőrzéstől származó visszavonási állapot egyaránt meghatározatlan, akkor az érvényesítés úgy folytatódik, mintha az állapot nem lenne visszavont. A meghatározatlan visszavonási állapottal rendelkező igazolással kapcsolatos információkat a gsk_attribute_get_buffer() hívással és a GSK_UNKNOWNREVOCATIONSTATUS_SUBJECT attribútummal lehet lekérni. Meghatározatlan visszavonási állapot A következő válaszok meghatározatlan visszavonási állapotot eredményeznek: v A megadott időkorláton belül nem érkezik válasz v Az OCSP válasz állapota azt jelzi, hogy a válaszadó problémába ütközött
18
IBM i: Védett socket réteg
v Az érvényes válasz az alábbi helyzetek egyikét tükrözi: – Ismeretlen választípus (csak a PKIX_AD_OCSP_basic választípus támogatott) – Ismeretlen válaszváltozat (csak az 1-es változat támogatott) – Érvénytelen aláírás vagy érvénytelen aláíró igazolás - Az aláíró igazolásnak teljesítenie kell a következő feltételek egyikét:
– – – –
v Megbízható a helyi kulcstároló számára v A kérdéses igazolást kiadó igazolási hatóság (CA) igazolása v Tartalmaz egy id-ad-ocspSigning értéket az ExtendedKeyUsage kiterjesztésben, valamint a kérdéses igazolást kiadó CA adta ki Nem szerepel egyszeri érték a válaszban, ha szükséges az egyszeri érték ellenőrzése Helytelen egyszeri érték szerepel a válaszban, ha szükséges az egyszeri érték ellenőrzése Érvénytelen vagy lejárt nextUpdate érték került megadásra a válaszban Ismeretlen igazolásállapot-érték, amely azt jelzi, hogy a válaszadó nem ismeri az igazolás állapotát
Igazolás-visszavonás Az igazolás-visszavonási ellenőrzés az igazolásérvényesítés egyik fázisa, amely a szekcióegyeztetés részeként megy végbe. Az igazoláslánc érvényesítésével lehet meggyőződni arról, hogy az adott igazolás nincs visszavonva. Az igazolás-visszavonási ellenőrzésre az alábbi lépések vonatkoznak: 1. Visszavonási állapot ellenőrzése az igazolás-visszavonási lista (CRL) helye alapján. a. Amikor a CRL helye a Digitális igazolás kezelő (DCM) révén kerül beállításra, akkor a rendszer a CRL adatbázis- (LDAP) szervert kérdezi le az igazolás visszavonási állapotát tartalmazó CRL listákért. v Ha az igazolás visszavonásra került, akkor az igazolásérvényesítés igazolás-visszavonási fázisa befejeződött, a szekcióegyeztetés pedig meghiúsul. v Ellenkező esetben folytatódik az igazolás-visszavonás feldolgozása. Megjegyzés: A CRL helyek konfigurálására egyenként kerül sor a helyi igazolástárolóban szereplő valamennyi igazolási hatóság (CA) esetében. 2. Visszavonási állapot ellenőrzése az Online igazolásállapot protokoll (OCSP) alapján. a. Az OCSP URL válaszadói cím beállítása esetén a válaszadó kerül lekérdezésre. v Ha az igazolás visszavonásra került, akkor az igazolásérvényesítés igazolás-visszavonási fázisa befejeződött, a szekcióegyeztetés pedig meghiúsul. v Amennyiben jó az igazolás, úgy az igazolásérvényesítés igazolás-visszavonási fázisa befejeződött, az igazolásérvényesítés pedig folytatódik. v Ha az igazolás-visszavonási állapot meghatározatlan, akkor az igazolás-visszavonás feldolgozása folytatódik. b. Ha az AIA ellenőrzés engedélyezése esetén az igazolás olyan PKIK_AD_OCSP hozzáférési metódussal rendelkezik, amelynek URI azonosítója jelzi a HTTP helyet, akkor a válaszadó kerül lekérdezésre. v Ha az igazolás visszavonásra került, akkor az igazolásérvényesítés igazolás-visszavonási fázisa befejeződött, a szekcióegyeztetés pedig meghiúsul. v Amennyiben jó az igazolás, úgy az igazolásérvényesítés igazolás-visszavonási fázisa befejeződött, az igazolásérvényesítés pedig folytatódik. v Amennyiben az igazolás-visszavonási állapot meghatározatlan, úgy az igazolásérvényesítés igazolás-visszavonási fázisa befejeződött, az igazolásérvényesítés pedig folytatódik. Megjegyzés: Ha a visszavonási állapot meghatározatlan, akkor a GSKit tárolja a meghatározatlan visszavonási állapotú igazolás információit, majd úgy folytatja, mintha az állapot nem lenne visszavont. Az alkalmazás a gsk_attribute_get_buffer() hívással és a GSK_UNKNOWNREVOCATIONSTATUS_SUBJECT attribútummal kérheti le a meghatározatlan igazolási állapotot, majd meghozhatja az irányelvdöntést a csatlakozás folytatására vagy befejezésére vonatkozóan. Védett socket réteg
19
Megjegyzés: A Digitális igazolás kezelőben beállított alkalmazásdefiníciók felülbírálhatják az őket használó alkalmazások által konfigurált CRL és OCSP visszavonási ellenőrzést. Kapcsolódó fogalmak: “Online igazolásállapot protokoll” oldalszám: 16 Az Online igazolásállapot protokoll (OCSP) módot ad az alkalmazásoknak a digitális igazolások visszavonási állapotának meghatározására. Az OCSP révén ellenőrzött igazolás-visszavonási állapot az igazolás-visszavonási listáknál (CRL) naprakészebb állapotinformációkat nyújt. Kapcsolódó tájékoztatás: CRL helyek kezelése | | | | |
Több igazolás kiválasztása
| | | |
A maximális együttműködés érdekében a szervereknek képesnek kell lenniük arra, hogy a különféle SSL képességekkel rendelkező kliensek széles skálájával végezzenek egyeztetést. Arra az esetre, ha a kliensek egyike nem támogatja a TLSv1.2 vagy az ECDSA igazolásokat, a szervernek továbbra is meg kell őriznie az RSA igazolással történő egyeztetés képességét.
A rendszer SSL lehetővé teszi legfeljebb négy igazolás hozzárendelését a biztonságos környezethez. A több igazolás célja, hogy lehetővé tegyék az elliptikus görbe digitális aláírási algoritmussal (ECDSA) készülő igazolások engedélyezését, miközben az RSA algoritmust igénylő kliensek által használt RSA igazolások továbbra is érvényben maradnak.
| A környezetben használt többféle igazolás konfigurálására két módszer is létezik: | v A Digitális igazolás kezelő (DCM) segítségével több igazolás hozzárendelése a biztonságos környezet számára beállított alkalmazásdefinícióhoz. | | v A GSKit gsk_attribute_set_buffer (GSK_KEYRING_LABEL_EX) API felületének alkalmazása a használandó igazoláscímkék listájának beállításához. | | Minden egyes SSL kézfogás során a szekció a hozzá tartozó attribútumok alapján választja ki a használni kívánt | megfelelő igazolást. A kiválasztási folyamat a klienstől és szervertől egyaránt származó SSL attribútumok segítségével | hozza meg a döntést. Előfordulhat, hogy az attribútumok adott kombinációja esetén nincsenek használható igazolások. | Kiválasztási szempontok | Amikor a TLSv1.1, TLSv1.0, SSLv3 vagy SSLv2 az egyeztetett protokoll, akkor az első olyan RSA igazolás kerül | felhasználásra, amely RSA aláírással is rendelkezik. | Amikor a TLSv1.2 az egyeztetett protokoll, akkor a kiválasztási folyamat több lépést foglal magában. | 1. A kiválasztási folyamatot a kliens által támogatott, a szerver leginkább előnyben részesített rejtjelkészletének kulcstípusa indítja el. Az igazolás ECDSA vagy RSA kulccsal rendelkezik. Ha a rejtjelkészlet neve az “ECDSA” | karaktersorozatot tartalmazza, akkor egy ECDSA kulcsot/igazolást kell használni. Amennyiben az “RSA” | karaktersorozat szerepel a rejtjelkészlet nevében, úgy kötelező egy RSA kulcsot/igazolást használni. Ha nem létezik | egyező igazolás, akkor a kiválasztás egészen addig a lista következő rejtjelkészletére lép át, amíg meg nem találja | az igazolások egyikével együtt nem működő rejtjelkészletet. | Amikor található legalább egy igazoláskulcstípus-egyezés, a rendszer további feltételeket ellenőriz, hogy | meghatározza, a további kézfogás-attribútumok alapján felhasználható-e valamelyikük. | | 2. Ha ECDSA a mérlegelt kulcstípus, akkor a partnernek támogatnia kell a megnevezett görbét (amelynek egyenlete megadja a kulcsméretet). Ha a vizsgált ECDSA igazolások más megnevezett görbékkel rendelkeznek, akkor az | előnyben részesített görbék meghatározásához a megnevezett görbék partner által előnyben részesített sorrendje | kerül felhasználásra. Ezen lépést követően akár több igazolás is kapcsolódhat a kiválasztáshoz. Ha e lépés után nem | maradnak alkalmas igazolások, akkor vissza kell térni az előző lépésre. | | 3. Az RSA és ECDSA igazolások mindegyike rendelkezik aláírással az igazolást kiadó igazolási hatóságtól. Az aláírási kulcs típusa eltérhet a szerverigazolás kulcstípusától. Amikor ebben a fázisban több igazolás is | kiválasztásra alkalmas marad, akkor a partner által leginkább előnyben részesített aláírással rendelkező kerül | kiválasztásra. |
20
IBM i: Védett socket réteg
| | | | | | | | | | | | | | |
Az ECDSA igazolásnak olyan aláírási algoritmussal kell rendelkeznie, amelyet a partner rendezett aláírásialgoritmus-listája megenged. Amennyiben ebben a lépésben nincs olyan ECDSA igazolás, amely támogatott aláírási algoritmussal rendelkezne, úgy vissza kell térni az előző lépésre, ahol egy kevésbé előnyben részesített megnevezett görbe vizsgálható meg a kiválasztás további feldolgozása érdekében. Amennyiben ebben a lépésben nincs olyan RSA igazolás, amely támogatott aláírási algoritmussal rendelkezne, úgy vissza kell térni az első lépésre, ahol egy másik kulcstípus vizsgálható meg a kiválasztás további feldolgozása érdekében. Ha ezen lépés után még mindig több igazolás számít egyenértékűnek, akkor az elsőként feldolgozott kerül kiválasztásra. A többi egyenértékű igazolás sosem választható ki, mivel azok az első igazolással kriptográfiailag azonosak. A felesleges kiválasztásfeldolgozás kiküszöbölése érdekében távolítsa el a további igazolásokat a konfigurációból. 4. A korábbi kiadásokkal való kompatibilitás érdekében az RSA igazolásokhoz kapcsolódik még egy utolsó mérlegelendő szempont. Amikor a feldolgozás befejezésekor nincs olyan igazolás, amely megfelelne az előző kiválasztási feltételeknek, akkor az elsőként feldolgozott RSA igazolás kerül kiválasztásra, feltéve, hogy szerepel RSA rejtjelkészlet a listán.
|
Az SSLCONFIG makró Az SSLCONFIG makró a rendszer SSL tulajdonságok esetében a rendszerszintű alapértékek megjelenítését vagy megváltoztatását teszi lehetővé. Az SSL konfiguráció IBM által biztosított SSL makrótámogatásának használatához tegye a következőket: 1. 2. 3. 4. 5.
Az SST segítségével nyissa meg a Rendszer szervizeszközöket. Válassza a Szervizeszköz indítása lehetőséget. Válassza a Megjelenítés/megváltoztatás/kiíratás lehetőséget. Válassza a Tároló megjelenítése/megváltoztatása lehetőséget. Válassza a Licenc belső kód (LIC) adatok lehetőséget.
6. Válassza a Speciális elemzés lehetőséget. (A beállítás eléréséhez lefelé kell lapoznia.) 7. Addig lapozzon lefelé, amíg megtalálja az SSLCONFIG beállítást. Ezután helyezzen 1-es (Kiválasztás) értéket a beállítás mellé, majd nyomja meg az Entert. Ezzel a Speciális elemzési beállítások meghatározása ablakba kerül. A megjelenített parancs: SSLCONFIG. 8. A rendelkezésre álló beállítások megjelenítéséhez idézőjelek nélkül adja meg a '-h' paramétert, majd nyomja meg az Entert.
Szerver hitelesítés A szerver hitelesítéssel a kliens meggyőződhet arról, hogy a szerver igazolása érvényes, és olyan igazolási hatóság írta alá, amelyben a kliens megbízik. Az SSL aszimmetrikus kriptográfiai módszerekkel és a kézfogási protokoll segítségével előállít egy szimmetrikus kulcsot, amely csak az adott SSL szekcióban kerül felhasználásra. Ezen kulcs alapján jön létre egy kulcskészlet, amely az SSL szekció adatforgalmának titkosítását és visszafejtését elvégzi. Ennek megfelelően az SSL kézfogás végére a kommunikációs összeköttetés mindkét végpontja hitelesítésre kerül. Emellett létrejön egy egyedi kulcs az adatok titkosításához és visszafejtéséhez. A kézfogás befejezése után az alkalmazásszintű adatok titkosított formában haladnak át az SSL szekcióban.
Klienshitelesítés Több alkalmazás is lehetőséget nyújt klienshitelesítésre. A klienshitelesítéssel a szerver meggyőződhet arról, hogy a kliens igazolása érvényes, és olyan igazolási hatóság írta alá, amelyben a szerver megbízik. A klienshitelesítést a következő IBM i alkalmazások támogatják: v IBM HTTP Server for i v FTP szerver v Telnet szerver Védett socket réteg
21
v Kezelőközpont végpont rendszer v IBM Tivoli Directory Server for IBM i Kapcsolódó tájékoztatás: Védett socket réteg (SSL) és Szállítási réteg biztonság (TLS) Címtárszerverrel FTP kliensek biztonságossá tétele Szállítási réteg biztonság vagy Védett socket réteg segítségével Telnet biztonságossá tétele SSL segítségével SSL beállítása a HTTP szerver adminisztrációs (ADMIN) szerveréhez
SSL előfeltételek Ez a témakör a rendszer SSL előfeltételeit mutatja be az IBM i platformon, valamint néhány hasznos tippet is ad. Az SSL telepítése előtt ellenőrizze, hogy telepítve vannak-e a következő opciók: v IBM Digitális igazolás kezelő (DCM) (5770-SS1, 34. opció) Megjegyzés: Az IBM Java Védett socket bővítmény (JSSE) és az OpenSSL nem igényel DCM-et. v IBM TCP/IP Connectivity Utilities for i (5770-TC1) v IBM HTTP Server for i (5770-DG1) v Ha a DCM használatát HTTP szerverrel próbálja megoldani, akkor győződjön meg róla, hogy az IBM Developer Kit for Java (5770-JV1) telepítve van. Ellenkező esetben a HTTP adminisztrációs szerver nem indul el. v Az SSL kézfogási feldolgozás felgyorsítása érdekében célszerű lehet egy kriptográfiai hardver beszerzése is. Kriptográfiai hardver beszerelése esetén telepíteni kell az IBM CCA Service Provider (5770-SS1, 35. opció) és az IBM Cryptographic Device Manager (5733-CY3) összetevőt is. Kapcsolódó fogalmak: “SSL hibaelhárítás” oldalszám: 34 Az alábbi nagyon alapszintű hibaelhárítási információk segítségével leszűkítheti az IBM i platformon az SSL használatával kapcsolatban fellépő lehetséges problémák körét. Kapcsolódó tájékoztatás: Kriptográfiai hardver Nyilvános és magánigazolások A Digitális igazolás kezelő beállítása
Alkalmazások biztonságossá tétele SSL segítségével Az IBM i számos alkalmazása tehető biztonságossá az SSL segítségével. A részletekért forduljon az egyes alkalmazások dokumentációjához. Kapcsolódó fogalmak: “Példahelyzet: A Kezelőközpont szerver összes kapcsolatának biztonságossá tétele az SSL segítségével” oldalszám: 26 Ez a példahelyzet azt írja le, hogy egy központi rendszerként működő IBM i platform valamennyi kapcsolatának biztonságossá tétele hogyan oldható meg a System i navigátor Kezelőközpont rendszer használatával. Kapcsolódó tájékoztatás: Vállalati azonosság leképezés FTP szerver biztonságossá tétele SSL segítségével HTTP szerver Védett socket réteg (SSL) adminisztráció (iSeries Access for Windows témakör) Telnet példahelyzet: Biztonságos Telnet Védett Socket API
22
IBM i: Védett socket réteg
Példahelyzetek: SSL Az alábbi SSL példahelyzetek kialakítása úgy történt, hogy segítségükkel és ezek alapján maximálisan kihasználhassa az IBM i SSL támogatása által biztosított előnyöket. A példahelyzetek elolvasásával néhány lehetséges példán keresztül ismerheti meg az SSL protokoll felhasználási lehetőségeit IBM i rendszeren. Kapcsolódó tájékoztatás: Példahelyzet: Biztonságos Telnet Példahelyzet: Magánkulcsok védelme kriptográfiai hardverrel
Példahelyzet: Kezelőközpont kliens kapcsolatának biztonságossá tétele az SSL segítségével Ez a példahelyzet azt írja le, hogyan használható az SSL egy távoli kliens és egy System i navigátor Kezelőközpont szerver futtatásával központi rendszerként működő IBM i platform közötti kapcsolat biztonságossá tételére.
Alaphelyzet: Egy vállalat helyi hálózatán (LAN) számos IBM i rendszer található. A vállalati rendszeradminisztrátor az IBM i rendszerek egyikét kijelölte a hálózat központi rendszerének (a továbbiakban A rendszer). Az adminisztrátor az A rendszeren futó Kezelőközpont szerverrel kezeli a LAN többi csomópontját. Az adminisztrátor óvakodik az A rendszeren futó Kezelőközpont szerverre csatlakozástól a vállalat saját hálózatán kívülről. Mivel munkája sok utazással jár, jogos igényként merül fel benne egy biztonságos kapcsolat kialakítása a Kezelőközpont szerverrel, amíg úton van. Biztosítani szeretné, hogy a számítógépe és a Kezelőközpont szerver közötti kapcsolat biztonságos, amikor kívül van a vállalati irodán. Úgy dönt, hogy SSL kapcsolatot alakít ki a saját számítógépe és az A rendszer Kezelőközpont szervere között. Az SSL ilyetén engedélyezésével biztos lehet abban, hogy a Kezelőközpont szerverrel kialakított kapcsolata utazás közben is biztonságos.
Célok: Az adminisztrátor biztonságossá szeretné tenni a számítógépe és a Kezelőközpont szerver közötti kapcsolatot. Az A rendszeren futó Kezelőközpont szerver és a helyi hálózat többi végpont rendszere között kialakított kapcsolatok nem igényelnek kiegészítő biztonságot. A többi alkalmazott a vállalati irodában dolgozik, így nekik szintén nincs szükségük biztonságos Kezelőközpont szerver kapcsolatra. Az adminisztrátor úgy tervezi beállítani a számítógépe és az A rendszeren futó Kezelőközpont szerver közötti kapcsolatot, hogy kliense szerver hitelesítést alkalmazzon. A hálózaton található többi számítógép és IBM i rendszer Kezelőközpont kapcsolatát nem szükséges az SSL protokollal védeni.
Részletek: Az alábbi táblázat mutatja be a felhasznált hitelesítési típusokat a PC kliens SSL támogatásának engedélyezésén és tiltásán alapulva: 2. táblázat: Kliens és Kezelőközpont szerver közötti SSL kapcsolat kialakításához szükséges elemek SSL állapota az adminisztrátor számítógépén
Az A rendszer Kezelőközpont szerveréhez megadott hitelesítési szint
SSL kapcsolat
SSL kikapcsolva
Bármelyik
Nincs
SSL bekapcsolva
Bármelyik
Igen (szerver hitelesítés)
A szerver hitelesítés azt jelenti, hogy az adminisztrátor számítógépe hitelesíti a Kezelőközpont szerver igazolását. A Kezelőközpont szerverhez csatlakozáskor a számítógép SSL kliensként működik. A Kezelőközpont szerver SSL szerverként működik, így neki bizonyítania kell azonosságát. A Kezelőközpont szerver ezt egy olyan igazolási hatóságtól származó igazolás bemutatásával éri el, amelyben az adminisztrátor számítógépe megbízik. Védett socket réteg
23
Előfeltételek és feltételezések: A számítógép és a Kezelőközpont szerver közötti kapcsolat biztonságossá tételéhez az alábbi adminisztrációs és beállítási lépések elvégzése szükséges: 1. Az A rendszernek meg kell felelnie az SSL előfeltételeknek. 2. Az A rendszeren i5/OS V5R3, vagy újabb verzió fut. 3. A PC kliens az IBM i Access for Windows V5R3 vagy újabb változatú terméket futtatja. 4. Szerezzen be egy igazolási hatóságot (CA) az IBM i rendszerekhez. 5. Létre kell hozni egy igazolási hatóság által aláírt igazolást az A rendszer számára. 6. Az igazolási hatóság és a szerver igazolását el kell juttatni az A rendszerre, ott importálni kell azokat a kulcsadatbázisba. 7. Az igazolást hozzá kell rendelni a Kezelőközpont szerverazonosítójához, illetve az összes IBM i rendszer alkalmazásazonosítójához. Az IBM i rendszerek közé a TCP központi szerver, az adatbázis szerver, az adatsor szerver, a hálózati nyomtatási szerver, a távoli parancs szerver és a bejelentkezési szerver tartozik. a. Az A rendszeren Indítsa el az IBM Digitális igazolás kezelőt. Ezen a ponton kell beszerezni vagy létrehozni az igazolásokat, vagy beállítani az igazolások rendszerét. b. Kattintson az Igazolástároló kiválasztása hivatkozásra. c. Válassza ki a *SYSTEM igazolástárolót, majd kattintson a Folytatás gombra. d. Adja meg a *SYSTEM Igazolástároló jelszavát, majd kattintson a Folytatás gombra. A menü újratöltése után bontsa ki az Alkalmazások kezelése kategóriát. e. Kattintson az Igazolás hozzárendelés frissítése hivatkozásra. f. Válassza ki a Szerver típust, majd kattintson a Folytatás gombra. g. Válassza ki a Kezelőközpont szerver bejegyzést, majd kattintson az Igazolás hozzárendelés frissítése gombra. Itt rendelheti hozzá a Kezelőközpont szerverhez az igazolást. h. Kattintson az Új igazolás hozzárendelése elemre. A Digitális igazolás kezelő újratölti az Igazolás hozzárendelés frissítése oldalt, és megjelenik egy megerősítést kérő üzenet. i. Kattintson a Kész gombra. j. Rendelje hozzá az igazolást minden iSeries Access szerverhez. 8. Töltse le az igazolási hatóság igazolását a PC kliensre. Mielőtt a Kezelőközpont szerveren engedélyezni lehetne az SSL támogatást, telepíteni kell az SSL előfeltételeket, és be kell állítani a digitális igazolásokat a rendszeren. Az előfeltételek teljesülésekor a Kezelőközpont szerver SSL támogatásának beállítása az alábbi eljárással történik.
Konfigurációs lépések A PC kliens és az A rendszeren futó Kezelőközpont szerver kapcsolatának SSL védelméhez az alábbi lépéseket kell elvégezni: 1. “1. lépés: SSL leállítása a System i navigátor kliensben” oldalszám: 25 2. “2. lépés: A hitelesítési szint beállítása a Kezelőközpont szerveren” oldalszám: 25 3. “3. lépés: A Kezelőközpont rendszer újraindítása a központi rendszeren” oldalszám: 25 4. “4. lépés: SSL aktiválása a System i navigátor kliensben” oldalszám: 25 5. “Nem kötelező lépés: SSL leállítása a System i navigátor kliensben” oldalszám: 26 Kapcsolódó fogalmak: “SSL előfeltételek” oldalszám: 22 Ez a témakör a rendszer SSL előfeltételeit mutatja be az IBM i platformon, valamint néhány hasznos tippet is ad. Kapcsolódó tájékoztatás: A Digitális igazolás kezelő beállítása A Digitális igazolás kezelő indítása
24
IBM i: Védett socket réteg
Beállítás részletei: Kezelőközpont kliens kapcsolatának biztonságossá tétele az SSL segítségével Ez a témakör írja le a Kezelőközpont szerver kliens kapcsolatainak biztonságossá tételére vonatkozó további beállítási lépéseket. Az alábbi szakasz feltételezi, hogy már végigolvasta a Példahelyzet: Kezelőközpont kliens kapcsolatának biztonságossá tétele az SSL segítségével című témakört. A példahelyzetben egy IBM i platform van kijelölve a vállalat helyi hálózatának központi rendszereként. Az adminisztrátor az A rendszernek nevezett központi rendszeren futó Kezelőközpont szerver segítségével kezeli a vállalati hálózat végpontjait. A most következő szakasz írja le egy külső kliens és a Kezelőközpont szerver kapcsolatának biztosításához szükséges lépéseket. A leírt példahelyzet megvalósításához kövesse a megadott lépéseket. Kapcsolódó fogalmak: “SSL előfeltételek” oldalszám: 22 Ez a témakör a rendszer SSL előfeltételeit mutatja be az IBM i platformon, valamint néhány hasznos tippet is ad. “Példahelyzet: A Kezelőközpont szerver összes kapcsolatának biztonságossá tétele az SSL segítségével” oldalszám: 26 Ez a példahelyzet azt írja le, hogy egy központi rendszerként működő IBM i platform valamennyi kapcsolatának biztonságossá tétele hogyan oldható meg a System i navigátor Kezelőközpont rendszer használatával. Kapcsolódó tájékoztatás: Igazolások beállítása az első alkalommal 1. lépés: SSL leállítása a System i navigátor kliensben: Erre a lépésre csak akkor van szükség, ha már engedélyezte az SSL támogatást a System i navigátor kliensben. 1. A System i navigátor képernyőn bontsa ki a Saját kapcsolatok elemet. 2. Kattintson a jobb egérgombbal az A rendszerre, majd válassza az előugró menü Tulajdonságok menüpontját. 3. Kattintson az SSL lapra, majd szüntesse meg a Védett socket réteg (SSL) kapcsolat használata beállítás kijelölését. 4. Lépjen ki a System i navigátor termékből, majd indítsa újra. A System i navigátor termékben eltűnik a lakat a Kezelőközpont tárolóból, így jelezve a nem biztonságos kapcsolatot. Ez jelzi, hogy a kliens és a vállalat központi rendszere közötti kapcsolat nem áll az SSL védelme alatt. 2. lépés: A hitelesítési szint beállítása a Kezelőközpont szerveren: 1. Kattintson a jobb egérgombbal a System i navigátor Kezelőközpont nézetére, majd válassza az előugró menü Tulajdonságok menüpontját. 2. Kattintson a Biztonság lapra, majd válassza ki a Védett socket réteg (SSL) használata beállítást. 3. Válassza ki a Bármely hitelesítési szintet (elérhető IBM i Access for Windows rendszeren). 4. Kattintson az OK gombra az érték beállításához a központi rendszeren. 3. lépés: A Kezelőközpont rendszer újraindítása a központi rendszeren: 1. A System i navigátor képernyőn bontsa ki a Saját kapcsolatok elemet. 2. Az A rendszeren bontsa ki a Hálózat > szerverek kategóriát, majd válassza ki a TCP/IP bejegyzést. 3. Kattintson a jobb egérgombbal a Kezelőközpont szerverre, majd válassza az előugró menü Leállítás menüpontját. A központi rendszer nézet összeesik, és egy üzenet tudatja, hogy nem rendelkezik csatlakozással a szerverhez. 4. A Kezelőközpont szerver leállása után kattintson az Indítás gombra az újraindításához. 4. lépés: SSL aktiválása a System i navigátor kliensben: 1. A System i navigátor képernyőn bontsa ki a Saját kapcsolatok elemet. 2. Kattintson a jobb egérgombbal az A rendszerre, majd válassza az előugró menü Tulajdonságok menüpontját. 3. Kattintson az SSL lapra, majd válassza ki a Védett socket réteg (SSL) kapcsolat használata beállítást. 4. Lépjen ki a System i navigátor termékből, majd indítsa újra. Védett socket réteg
25
A System i navigátor termékben a Kezelőközpont szerver mellett megjelenik egy lakat, amely a biztonságos kapcsolatot jelzi. Ez jelzi, hogy a kliens és a vállalat központi rendszere közötti kapcsolat biztonságos. Megjegyzés: Az eljárás csak egy PC és a Kezelőközpont rendszer közötti kapcsolatot biztosítja. A Kezelőközpont szerverhez csatlakozó más kliensek kapcsolatai, illetve a végpont rendszerek és a Kezelőközpont szerver között kialakított kapcsolatok nem lesznek biztonságosak. További kliensek biztonságossá tételéhez győződjön meg róla, hogy megfelelnek az előfeltételeknek, majd ismételje meg a “4. lépés: SSL aktiválása a System i navigátor kliensben” oldalszám: 25 helyen leírtakat. A Kezelőközpont szerver további kapcsolatainak biztonságossá tételével kapcsolatban olvassa el a Példahelyzet: A Kezelőközpont szerver összes kapcsolatának biztonságossá tétele az SSL segítségével című témakört. Nem kötelező lépés: SSL leállítása a System i navigátor kliensben: Ha az adminisztrátor a vállalati irodából fog dolgozni, vagyis nem kívánja a számítógépének teljesítményét csökkentő SSL biztonságot, akkor könnyen kikapcsolhatja azt az alábbi lépésekkel: 1. A System i navigátor képernyőn bontsa ki a Saját kapcsolatok elemet. 2. Kattintson a jobb egérgombbal az A rendszerre, majd válassza az előugró menü Tulajdonságok menüpontját. 3. Kattintson az SSL lapra, majd szüntesse meg a Védett socket réteg (SSL) kapcsolat használata beállítás kijelölését. 4. Lépjen ki a System i navigátor termékből, majd indítsa újra.
Példahelyzet: A Kezelőközpont szerver összes kapcsolatának biztonságossá tétele az SSL segítségével Ez a példahelyzet azt írja le, hogy egy központi rendszerként működő IBM i platform valamennyi kapcsolatának biztonságossá tétele hogyan oldható meg a System i navigátor Kezelőközpont rendszer használatával.
Alaphelyzet: A vállalat éppen befejezte egy több IBM i rendszerből (végpontból) álló nagy kiterjedésű hálózat (WAN) kialakítását. A végpontok központi kezelése a vállalat központjában található központi rendszerről történik. Tom a cég biztonsági szakembere. Tom a Védett socket réteg (SSL) használatával biztosítani kívánja a Kezelőközpont szerver és a vállalati hálózat IBM i rendszerei és kliensei közötti összes kapcsolatot.
Részletek: A Kezelőközpont szerver összes kapcsolatán engedélyezhető az SSL biztonság. Ahhoz, hogy az SSL használható legyen a Kezelőközponttal, biztosítani kell a központi rendszer elérésére használt System i navigátor programokat a számítógépen. Ehhez kétféle hitelesítési szint közül lehet választani a Kezelőközpont szervernél: Szerver hitelesítés Ez a szerver igazolásának hitelesítését biztosítja. Ilyenkor a kliens hitelesíti a szervert, akkor is, ha a kliens egy System i navigátor, és akkor is, ha a kliens a központi rendszer Kezelőközpont szervere. Amikor a System i navigátor csatlakozik a központi szerverre, akkor a PC az SSL kliens, és a központi rendszeren futó Kezelőközpont szerver az SSL szerver. A végpont rendszerekhez csatlakozó központi rendszer viszont SSL kliensként működik. Ilyenkor a végpont rendszer az SSL szerver. A szervernek igazolnia kell azonosságát a kliens felé egy olyan igazolás bemutatásával, amelyet a kliens által megbízhatónak tekintett igazolási hatóság bocsátott ki. Minden SSL szervernek rendelkeznie kell egy megbízható igazolási hatóság által kiadott igazolással. Kliens és szerver hitelesítés Ez a módszer a központi rendszer és a végpont rendszer igazolását is hitelesíti. Ez magasabb biztonsági szintet jelent a szerver hitelesítéshez képest. Más alkalmazások ezt klienshitelesítésként emlegetik, amikor a
26
IBM i: Védett socket réteg
kliensnek kell bemutatnia egy megbízható igazolást. Amikor a központi rendszer (SSL kliens) kapcsolatot kezdeményez egy végpont rendszerrel (SSL szerver), akkor a központi rendszer és a végpont rendszer is hitelesíti a másik fél igazolását. Megjegyzés: Egyidejű kliens- és szerverhitelesítés csak két IBM i rendszer között szokott történni. A szerver nem végez klienshitelesítést, ha a kliens egy PC. Más alkalmazásoktól eltérően a Kezelőközpont emellett ellenőrzési lista (más néven Megbízható csoport ellenőrzési lista) alapján is végezhet hitelesítést. Az ellenőrzési lista általában felhasználó azonosítási és hitelesítési információkat, például jelszavakat, személyi azonosítószámokat vagy digitális igazolásokat tartalmaz. A hitelesítési információk tárolás természetesen titkosított. A legtöbb alkalmazás általában nem hangsúlyozza a szerver és klienshitelesítés együttes alkalmazásának szükségességét, mivel a szerver hitelesítésre majdnem minden esetben sor kerül az SSL szekció kialakítása során. Az alkalmazások többsége klienshitelesítéshez szükséges konfigurációs beállításokkal rendelkezik. A Kezelőközpont a klienshitelesítés helyett a "szerver és kliens" hitelesítés kifejezés használatával a központi szervernek a hálózatban betöltött kettős szerepére utal. Amikor egy személyi számítógép csatlakozik a központi rendszerhez, akkor a központi rendszer működik szerverként. Amikor azonban a központi rendszer a végpont rendszerekhez csatlakozik, akkor már kliensként működik. A központi rendszer szerver és kliens működését az alábbi ábra szemlélteti. Megjegyzés: Az illusztráción látható Igazolási hatóság igazolását tárolni kell a központi rendszer és minden végpont rendszer kulcsadatbázisában. Az igazolási hatóság igazolásának a központi rendszeren, a végpont rendszereken és a személyi számítógépeken is meg kell lennie.
Védett socket réteg
27
Előfeltételek és feltételezések: A Kezelőközpont szerver összes kapcsolatának biztosításához az alábbi adminisztrációs és konfigurációs feladatokat kell elvégezni:
28
IBM i: Védett socket réteg
1. Az A rendszernek meg kell felelnie az SSL előfeltételeknek. 2. A központi rendszer, és az összes végpont rendszer OS/400 V5R2, illetve i5/OS V5R3 vagy újabb operációs rendszert futtat.
3. 4. 5. 6. 7.
Megjegyzés: Az IBM i 5.4 vagy újabb változatú rendszerek csatlakozása az OS/400 V5R1 rendszerekhez nem engedélyezett. A PC kliens System i navigátor for IBM i Access for Windows V5R3 vagy újabb terméket futtat. Szerezzen be egy igazolási hatóságot (CA) az IBM i rendszerek számára. Létre kell hozni egy igazolási hatóság által aláírt igazolást az A rendszer számára. Az igazolási hatóság és a szerver igazolását el kell juttatni az A rendszerre, ott importálni kell azokat a kulcsadatbázisba. Az igazolásokat hozzá kell rendelni a Kezelőközpont alkalmazásazonosítójához, illetve az összes IBM i rendszer alkalmazásazonosítójához. Az IBM i rendszerek közé a TCP központi szerver, az adatbázis szerver, az adatsor szerver, a hálózati nyomtatási szerver, a távoli parancs szerver és a bejelentkezési szerver tartozik. a. Indítsa el az IBM Digitális igazolás kezelőt a Kezelőközpont szerveren. Ha igazolások beszerzésére vagy létrehozására, illetve az igazolási rendszer beállítására vagy módosítására van szükség, akkor erre ezen a ponton kell sort keríteni. b. Kattintson az Igazolástároló kiválasztása hivatkozásra. c. Válassza ki a *SYSTEM igazolástárolót, majd kattintson a Folytatás gombra. d. Adja meg a *SYSTEM Igazolástároló jelszavát, majd kattintson a Folytatás gombra. A menü újratöltése után bontsa ki az Alkalmazások kezelése kategóriát. e. Kattintson az Igazolás hozzárendelés frissítése hivatkozásra. f. Válassza ki a Szerver típust, majd kattintson a Folytatás gombra. g. Válassza ki a Kezelőközpont szerver bejegyzést, majd kattintson az Igazolás hozzárendelés frissítése gombra. Itt rendelheti hozzá a Kezelőközpont rendszerhez az igazolást. h. Válassza ki az alkalmazáshoz hozzárendelni kívánt igazolást, majd kattintson az Új igazolás hozzárendelése gombra. A Digitális igazolás kezelő újratölti az Igazolás hozzárendelés frissítése oldalt, és megjelenik egy megerősítést kérő üzenet. i. A Mégse gombra kattintva térjen vissza az alkalmazások listájához. j. Ismételje meg az eljárást az összes IBM i rendszerhez.
8. Töltse le a CA-t a System i navigátor PC kliensre.
Konfigurációs lépések: Mielőtt a Kezelőközpont szerveren engedélyezni lehetne az SSL támogatást, telepíteni kell az előfeltétel programokat és be kell állítani a digitális igazolásokat a központi rendszeren. Mielőtt folytatná, nézze meg a példahelyzetre vonatkozó Előfeltételek és feltételezések című részt. Az előfeltételek teljesülése esetén a Kezelőközpont szerver összes kapcsolatának biztosítása az alábbi eljárással történik: Megjegyzés: Ha az SSL engedélyezett a System i navigátor termékben, akkor ezt először le kell tiltani a Kezelőközpont rendszer SSL támogatásának engedélyezéséhez. Ha az SSL engedélyezett a System i navigátor termékben, de a Kezelőközpont szerveren nem, akkor a System i navigátor terméknek a központi rendszerre való csatlakozási kísérletei meghiúsulnak. 1. “1. lépés: Központi rendszer beállítása szerver hitelesítésre” oldalszám: 31 2. “2. lépés: Végpont rendszerek beállítása szerver hitelesítésre” oldalszám: 31 3. “3. lépés: A Kezelőközpont rendszer újraindítása a központi rendszeren” oldalszám: 31 4. 5. 6. 7.
“4. lépés: A Kezelőközpont rendszer újraindítása az összes végpont rendszeren” oldalszám: 31 “5. lépés: SSL aktiválása a System i navigátor kliensben” oldalszám: 32 “6. lépés: Központi rendszer beállítása klienshitelesítésre” oldalszám: 32 “7. lépés: Végpont rendszerek beállítása klienshitelesítésre” oldalszám: 32 Védett socket réteg
29
8. “8. lépés: Ellenőrzési lista másolása a végpont rendszerekre” oldalszám: 33 9. “9. lépés: A Kezelőközpont rendszer újraindítása a központi rendszeren” oldalszám: 33 10. “10. lépés: A Kezelőközpont rendszer újraindítása az összes végpont rendszeren” oldalszám: 33 Kapcsolódó fogalmak: “SSL előfeltételek” oldalszám: 22 Ez a témakör a rendszer SSL előfeltételeit mutatja be az IBM i platformon, valamint néhány hasznos tippet is ad. “Alkalmazások biztonságossá tétele SSL segítségével” oldalszám: 22 Az IBM i számos alkalmazása tehető biztonságossá az SSL segítségével. A részletekért forduljon az egyes alkalmazások dokumentációjához. Kapcsolódó feladatok: “Beállítás részletei: Kezelőközpont kliens kapcsolatának biztonságossá tétele az SSL segítségével” oldalszám: 25 Ez a témakör írja le a Kezelőközpont szerver kliens kapcsolatainak biztonságossá tételére vonatkozó további beállítási lépéseket. “Beállítás részletei: A Kezelőközpont rendszer összes kapcsolatának biztonságossá tétele az SSL segítségével” Ez a témakör írja le a Kezelőközpont szerver összes kapcsolatának biztonságossá tételére vonatkozó részleteket. Kapcsolódó tájékoztatás: DCM konfigurálása Igazolások beállítása az első alkalommal
Beállítás részletei: A Kezelőközpont rendszer összes kapcsolatának biztonságossá tétele az SSL segítségével Ez a témakör írja le a Kezelőközpont szerver összes kapcsolatának biztonságossá tételére vonatkozó részleteket. Az alábbi szakasz feltételezi, hogy már végigolvasta a Példahelyzet: A Kezelőközpont szerver összes kapcsolatának biztonságossá tétele az SSL segítségével című témakört. A most következő szakasz írja le a Kezelőközpont szerver összes kapcsolatának biztonságossá tételéhez szükséges lépéseket. A leírt példahelyzet megvalósításához kövesse a megadott lépéseket. Mielőtt a Kezelőközpont rendszerén engedélyezni lehetne az SSL támogatást, telepíteni kell az előfeltételi programokat és be kell állítani a digitális igazolásokat az IBM i rendszeren. Az előfeltételek teljesülése esetén a Kezelőközpont szerver összes kapcsolatának biztosítása az alábbi eljárással történik. Megjegyzés: Ha az SSL engedélyezett a System i navigátor termékben, akkor ezt először le kell tiltani a Kezelőközpont rendszer SSL támogatásának engedélyezéséhez. Ha az SSL engedélyezett a System i navigátor termékben, de a Kezelőközpont szerveren nem, akkor a System i navigátor terméknek a központi rendszerre való csatlakozási kísérletei meghiúsulnak. Az SSL lehetővé teszi a központi rendszer és a végpont rendszerek, illetve a System i navigátor kliens és a központi rendszer közötti adatforgalom titkosítását. Az SSL szállítási, igazolás hitelesítési és adattitkosítási szolgáltatásokat biztosít. SSL kapcsolat csak olyan végpontok között építhető ki, amelyek mindegyike támogatja az SSL használatát. A szerver hitelesítés beállítását a klienshitelesítés beállítása előtt el kell végezni. Kapcsolódó fogalmak: “SSL előfeltételek” oldalszám: 22 Ez a témakör a rendszer SSL előfeltételeit mutatja be az IBM i platformon, valamint néhány hasznos tippet is ad. “Példahelyzet: A Kezelőközpont szerver összes kapcsolatának biztonságossá tétele az SSL segítségével” oldalszám: 26 Ez a példahelyzet azt írja le, hogy egy központi rendszerként működő IBM i platform valamennyi kapcsolatának biztonságossá tétele hogyan oldható meg a System i navigátor Kezelőközpont rendszer használatával. Kapcsolódó tájékoztatás: Igazolások beállítása az első alkalommal
30
IBM i: Védett socket réteg
1. lépés: Központi rendszer beállítása szerver hitelesítésre: 1. Kattintson a jobb egérgombbal a System i navigátor Kezelőközpont nézetére, majd válassza az előugró menü Tulajdonságok menüpontját. 2. Kattintson a Biztonság lapra, majd válassza ki a Védett socket réteg (SSL) használata beállítást. 3. Válassza ki a Szerver hitelesítési szintet. 4. Kattintson az OK gombra az érték beállításához a központi rendszeren. Megjegyzés: A Kezelőközpont szervert még NE indítsa újra, csak ha amikor az útmutatások ezt kifejezetten előírják. Ha ezen a ponton indítja újra a szervert, akkor nem fogja tudni elérni a végponti szervereket. A szerver újraindítása, vagyis az SSL aktiválása előtt további beállítási lépéseket is el kell még végezni. Ennek részeként át kell vinni az SSL konfigurációt a végpont rendszerekre az összehasonlítás és frissítés feladat segítségével. 2. lépés: Végpont rendszerek beállítása szerver hitelesítésre: A központi rendszer szerver hitelesítésének beállítása után a végpont rendszereket is be kell állítani a szerver hitelesítésre. Ez a következő feladatokból áll: 1. Bontsa ki a Kezelőközpont nézetet. 2. Hasonlítsa össze és frissítse a végpont rendszerek rendszerváltozóit: a. A Végpont rendszerek mappában kattintson a jobb egérgombbal a központi rendszerre, majd válassza az előugró menü Tároló > Adatgyűjtés menüpontját. b. Az Adatgyűjtés párbeszédablakban válassza ki a Rendszerváltozók adatgyűjtését a központi rendszer rendszerváltozóira vonatkozó értékek összegyűjtéséhez. A többi beállítás kiválasztását szüntesse meg. Kattintson az OK gombra, és várja meg a feladat befejeződését. c. Kattintson a jobb egérgombbal, majd válassza az előugró menü Rendszercsoportok > Új rendszercsoport menüpontját. d. Határozzon meg egy új rendszercsoportot, amely az összes olyan végpont rendszert tartalmazza, amelyen engedélyezni kívánja az SSL-t. Nevezze el az új rendszercsoportot mondjuk "Megbízható rendszerek"-nek. e. Az új "Megbízható rendszerek" csoport megjelenítéséhez bontsa ki a rendszercsoportok listáját. f. Az adatgyűjtés befejezése után kattintson a jobb egérgombbal a rendszercsoportra, majd válassza az előugró menü Rendszerváltozók > Összehasonlítás és frissítés menüpontját. g. Ellenőrizze, hogy a Modellrendszer mezőben a központi rendszer látható-e. h. A Kategória mezőben válassza ki a Kezelőközpont bejegyzést. i. Ellenőrizze, hogy az SSL használata beállítás értéke Igen-e, majd kattintson a Frissítés gombra az értéknek a "Megbízható rendszerek" csoportra terjesztéséhez. j. Ellenőrizze, hogy az SSL hitelesítési szint beállítás értéke Szerver-e, majd kattintson a Frissítés gombra az értéknek a "Megbízható rendszerek" csoportra terjesztéséhez. Megjegyzés: Ha az értékek nincsenek beállítva, akkor végezze el az 1. lépés: Központi rendszer beállítása szerver hitelesítésre helyen leírtakat. k. Kattintson az OK gombra. A folytatás előtt várja meg az Összehasonlítás és frissítés feladat feldolgozásának befejeződését. 3. lépés: A Kezelőközpont rendszer újraindítása a központi rendszeren: 1. A System i navigátor képernyőn bontsa ki a Saját kapcsolatok elemet. 2. Bontsa ki a központi rendszert. 3. Bontsa ki a Hálózat > Szerverek kategóriát, majd válassza ki a TCP/IP bejegyzést. 4. Kattintson a jobb egérgombbal a Kezelőközpont szerverre, majd válassza az előugró menü Leállítás menüpontját. A központi rendszer nézet összeesik, és egy üzenet tudatja, hogy nem rendelkezik csatlakozással a szerverhez. 5. A Kezelőközpont szerver leállása után kattintson az Indítás gombra az újraindításához. 4. lépés: A Kezelőközpont rendszer újraindítása az összes végpont rendszeren:
Védett socket réteg
31
1. 2. 3. 4. 5.
A System i navigátor képernyőn bontsa ki a Saját kapcsolatok elemet. Bontsa ki az újraindításban érintett végpont rendszert. Bontsa ki a Hálózat > Szerverek kategóriát, majd válassza ki a TCP/IP bejegyzést. Kattintson a jobb egérgombbal a Kezelőközpont szerverre, majd válassza az előugró menü Leállítás menüpontját. A Kezelőközpont szerver leállása után kattintson az Indítás gombra az újraindításához.
6. Ismételje meg az eljárást minden végpont rendszernél. 5. lépés: SSL aktiválása a System i navigátor kliensben: 1. A System i navigátor képernyőn bontsa ki a Saját kapcsolatok elemet. 2. Kattintson a jobb egérgombbal a központi rendszerre, majd válassza az előugró menü Tulajdonságok menüpontját. 3. Kattintson az SSL lapra, majd válassza ki a Védett socket réteg (SSL) kapcsolat használata beállítást. 4. Lépjen ki a System i navigátor termékből, majd indítsa újra. Megjegyzés: A lépések végrehajtásával a szerver hitelesítés a központi és a végpont rendszereken is be van állítva. Választható jelleggel a központi és végpont rendszerek klienshitelesítésre is beállíthatók. A 6-10. lépéseket csak akkor kell elvégezni, ha a klienshitelesítést is engedélyezni kívánja a központi és végpont rendszereken. 6. lépés: Központi rendszer beállítása klienshitelesítésre: A szerver hitelesítéssel kapcsolatos beállítások befejeződtek. Most már sor kerülhet a nem kötelező klienshitelesítés beállítására. A klienshitelesítés a végpont rendszereket és a központi rendszert is ellenőrzi az igazolási hatóság és a megbízható csoport alapján. Amikor a központi rendszer (SSL kliens) SSL kapcsolatot próbál létesíteni egy végpont rendszerrel (SSL szerver), akkor a központi rendszer és a végpont rendszer szerver és klienshitelesítéssel is hitelesíti a másik fél igazolását. Ezt a folyamatot más néven igazolási hatóság és megbízható csoport hitelesítésnek is nevezzük. Megjegyzés: A klienshitelesítés beállítása nem kezdhető meg addig, amíg a szerver hitelesítés nincs beállítva. Ha a szerver hitelesítés még nincs beállítva, akkor menjen vissza a megfelelő helyre, és végezze el a beállítást. 1. Kattintson a jobb egérgombbal a System i navigátor Kezelőközpont nézetére, majd válassza az előugró menü Tulajdonságok menüpontját. 2. Kattintson a Biztonság lapra, majd válassza ki a Védett socket réteg (SSL) használata beállítást. 3. Válassza ki a Kliens és szerver hitelesítési szintet. 4. Kattintson az OK gombra az érték beállításához a központi rendszeren. Megjegyzés: A Kezelőközpont szervert még NE indítsa újra, csak ha amikor az útmutatások ezt kifejezetten előírják. Ha ezen a ponton indítja újra a szervert, akkor nem fogja tudni elérni a végponti szervereket. A szerver újraindítása, vagyis az SSL aktiválása előtt további beállítási lépéseket is el kell még végezni. Ennek részeként át kell vinni az SSL konfigurációt a végpont rendszerekre az összehasonlítás és frissítés feladat segítségével. 7. lépés: Végpont rendszerek beállítása klienshitelesítésre: Hasonlítsa össze és frissítse a végpont rendszerek rendszerváltozóit: 1. Bontsa ki a Kezelőközpont nézetet. 2. Hasonlítsa össze és frissítse a végpont rendszerek rendszerváltozóit: a. A Végpont rendszerek mappában kattintson a jobb egérgombbal a központi rendszerre, majd válassza az előugró menü Tároló > Adatgyűjtés menüpontját. b. Az Adatgyűjtés párbeszédablakban válassza ki a Rendszerváltozók adatgyűjtését a központi rendszer rendszerváltozóira vonatkozó értékek összegyűjtéséhez. A többi beállítás kiválasztását szüntesse meg. Kattintson az OK gombra, és várja meg a feladat befejeződését. c. Az adatgyűjtés befejezése után kattintson a jobb egérgombbal a "Megbízható rendszerek" csoportra, majd válassza az előugró menü Rendszerváltozók > Összehasonlítás és frissítés menüpontját. d. Ellenőrizze, hogy a Modellrendszer mezőben a központi rendszer látható-e. e. A Kategória mezőben válassza ki a Kezelőközpont bejegyzést.
32
IBM i: Védett socket réteg
f. Ellenőrizze, hogy az SSL használata beállítás értéke Igen-e, majd kattintson a Frissítés gombra az értéknek a "Megbízható rendszerek" csoportra terjesztéséhez. g. Ellenőrizze, hogy az SSL hitelesítési szint beállítás értéke Kliens és szerver-e, majd kattintson a Frissítés gombra az értéknek a "Megbízható rendszerek" csoportra terjesztéséhez. Megjegyzés: Ha az értékek nincsenek beállítva, akkor végezze el a 6. lépés: Központi rendszer beállítása klienshitelesítésre helyen leírtakat. h. Kattintson az OK gombra. A folytatás előtt várja meg az Összehasonlítás és frissítés feladat feldolgozásának befejeződését. 8. lépés: Ellenőrzési lista másolása a végpont rendszerekre: Ez a feladat azt feltételezi, hogy a központi rendszeren IBM i V5R3, vagy újabb verzió fut. OS/400 V5R2 vagy régebbi rendszereken a QYPSVLDL.VLDL a QUSRSYS.LIB könyvtárban, nem pedig a QMGTC2.LIB könyvtárban helyezkedett el. Éppen ezért, ha V5R3 előtti rendszerei vannak, el kell küldenie az érvényesítési listát hozzájuk, és a QUSRSYS.LIB könyvtárban kell elhelyezni QMGTC2.LIB helyett. V5R3 és újabb rendszereknél tegye a következőket: 1. A System i navigátor képernyőjén bontsa ki a Kezelőközpont > Meghatározások menüpontot. 2. Kattintson a jobb egérgombbal a Csomag elemre, majd válassza az előugró menü Új meghatározás menüpontját. 3. Az Új meghatározás ablakban állítsa be az alábbi értékeket: a. Név: Írja be a meghatározás nevét. b. Forrásrendszer: Válassza ki a központi rendszer nevét. c. Kijelölt fájlok és mappák: Kattintson a mezőre, majd írja be a /QSYS.LIB/QMGTC2.LIB/ QYPSVLDL.VLDL elérési utat. 4. Kattintson a Beállítások lapra, majd jelölje ki a Meglévő fájl felülírása az átküldött fájllal választógombot. 5. Kattintson a Továbbiak gombra. 6.
A Speciális beállítások ablakban válassza az Igen értéket az Objektum különbségek engedélyezéséhez a visszaállításkor, és állítsa a Célkiadás mezőt a végpont rendszereken használt legkorábbi kiadásra. 7. Kattintson az OK gombra a meghatározások listájának frissítéséhez, vagyis az új csomag megjelenítéséhez. 8. Kattintson a jobb egérgombbal a csomagra, majd válassza az előugró menü Küldés menüpontját. 9. A Küldés párbeszédablak Rendelkezésre álló rendszerek és csoportok listájában bontsa ki a Rendszercsoportok -> Megbízható rendszerek bejegyzést. Ez a “2. lépés: Végpont rendszerek beállítása szerver hitelesítésre” oldalszám: 31 helyen meghatározott csoport.
Megjegyzés: A Küldési feladat a központi rendszernél mindig meghiúsul, mivel minden esetben ez a forrásrendszer. A végpont rendszereken a Küldési feladatnak sikeresen le kell futnia. 10. Ha a Megbízható rendszerek csoportjában vannak IBM i V5R3, vagy régebbi rendszerek, akkor ezeken a rendszereken saját kezűleg át kell helyeznie a QYPSVLDL.VLDL objektumot a QMGTC2.LIB könyvtárból a QUSRSYS.LIB könyvtárba. Ha a QYPSVLDL.VLDL már megtalálható a QUSRSYS.LIB könyvtárban, akkor törölje azt, és cserélje le a QMGTC2.LIB könyvtárból származó újabb változattal. 9. lépés: A Kezelőközpont rendszer újraindítása a központi rendszeren: 1. A System i navigátor képernyőn bontsa ki a Saját kapcsolatok elemet. 2. Bontsa ki a központi rendszert. 3. Bontsa ki a Hálózat > Szerverek kategóriát, majd válassza ki a TCP/IP bejegyzést. 4. Kattintson a jobb egérgombbal a Kezelőközpont szerverre, majd válassza az előugró menü Leállítás menüpontját. A központi rendszer nézet összeesik, és egy üzenet tudatja, hogy nem rendelkezik csatlakozással a szerverhez. 5. A Kezelőközpont szerver leállása után kattintson az Indítás gombra az újraindításához. 10. lépés: A Kezelőközpont rendszer újraindítása az összes végpont rendszeren: Megjegyzés: Ismételje meg az eljárást minden végpont rendszernél. Védett socket réteg
33
1. 2. 3. 4. 5.
A System i navigátor képernyőn bontsa ki a Saját kapcsolatok elemet. Bontsa ki az újraindításban érintett végpont rendszert. Bontsa ki a Hálózat > Szerverek kategóriát, majd válassza ki a TCP/IP bejegyzést. Kattintson a jobb egérgombbal a Kezelőközpont szerverre, majd válassza az előugró menü Leállítás menüpontját. A Kezelőközpont szerver leállása után kattintson az Indítás gombra az újraindításához.
SSL hibaelhárítás Az alábbi nagyon alapszintű hibaelhárítási információk segítségével leszűkítheti az IBM i platformon az SSL használatával kapcsolatban fellépő lehetséges problémák körét. Fontos megjegyezni, hogy ez távol áll egy teljes hibaelhárítási útmutatótól, csak egyszerű irányvonalakat nyújt a legáltalánosabb problémák megoldásához. Ellenőrizze, hogy teljesülnek-e a következők: v Az IBM i platform megfelel az SSL előfeltételeknek. v Az igazolási hatóság és az igazolások érvényesek, és nem jártak le. Ha a fentieket ellenőrizte a rendszeren, és még mindig SSL problémákat tapasztal, akkor próbálkozzon meg a következőkkel: v A szerver munkanaplójában található SSL hibakód kikereshető egy hibatáblázatból, amely több információt nyújt a hibáról. Ez a táblázat például a -93 hibakódot az SSL_ERROR_SSL_NOT_AVAILABLE konstansra képezi le. – A negatív visszatérési kódok SSL_ API használatára utalnak. – A pozitív visszatérési kódokat a GSKit API használatakor kaphat. A programozók a gsk_strerror() vagy SSL_Strerror() segítségével szerezhetnek egy rövid leírást a hibás visszatérési kódról. Bizonyos alkalmazások ez alapján részletesebb hibaüzenetet írnak a munkanaplóba. Ha részletesebb információkra van szükség, akkor a táblázatban megadott üzenetazonosító megjeleníthető az IBM i platformon a hiba lehetséges okának és elhárításának feltüntetésével. A hibakódokkal kapcsolatban elképzelhető, hogy további dokumentációt biztosít a hibát visszaadó védett socket API is. v Az aktuális biztonságos szekcióra vonatkozó legutóbbi igazolásérvényesítési hibával kapcsolatos kiegészítő információkat a GSK_LAST_VALIDATION_ERROR attribútum gsk_attribute_get_numeric_value() esetében való alkalmazásával lehet lekérni. Ha a gsk_secure_soc_init() vagy a gsk_secure_soc_startInit() hibát ad vissza, akkor előfordulhat, hogy ez az attribútum további hibainformációkkal tud szolgálni. v A következő két header fájl a táblázattal megegyező SSL visszatérési kódokat tartalmazza az üzenetazonosítók kereszthivatkozásai nélkül: – QSYSINC/H.GSKSSL – QSYSINC/H.QSOSSL Ne feledje, hogy bár a rendszer SSL visszatérési kódjai konstansok a két fájlban, minden egyes visszatérési kódhoz egynél több egyedi hiba is társítható. Kapcsolódó fogalmak: “SSL előfeltételek” oldalszám: 22 Ez a témakör a rendszer SSL előfeltételeit mutatja be az IBM i platformon, valamint néhány hasznos tippet is ad. Kapcsolódó tájékoztatás: Védett Socket API hibakód üzenetek
Az SSL-hez kapcsolódó információk Ezen dokumentum segítségével megismerheti a Védett socket réteg (SSL) használatával kapcsolatos egyéb erőforrásokat és információkat.
34
IBM i: Védett socket réteg
Webhelyek v RFC 5246: "A Szállítási réteg biztonság (TLS) protokoll 1.2 változata" (http://www.ietf.org/rfc/rfc5246.txt) Részletes magyarázatot biztosít a TLS protokoll 1.2 változatával kapcsolatban. (http://www.ietf.org/rfc/rfc4346.txt) v RFC 4346: "A Szállítási réteg biztonság (TLS) protokoll 1.1 változata" Részletes magyarázatot biztosít a TLS protokoll 1.1 változatával kapcsolatban. (http://www.ietf.org/rfc/rfc2246.txt) v RFC 2246: "A TLS protokoll 1.0 változata" Részletes magyarázatot biztosít a TLS protokoll 1.0 változatával kapcsolatban. (http://www.ietf.org/rfc/rfc2818.txt) v RFC2818: "HTTP TLS felett" Ez a hely írja le a TLS használatát az Interneten folyó HTTP kapcsolatok biztonságossá tételére. v RFC 5746: "Szállítási réteg biztonság (TLS) újraegyeztetésijelzés-bővítménye" rfc5746.txt) A TLS újraegyeztetésijelzés-bővítményét mutatja be.
(http://www.ietf.org/rfc/
v RFC 6066: "Szállítási réteg biztonság (TLS) bővítményei: bővítménymeghatározások" (http://www.ietf.org/rfc/rfc6066.txt) A TLS bővítményeket mutatja be.
| | |
v RFC 2560: "X.509 Internetes nyilvános kulcsú infrastruktúra online igazolásállapot protokollja - OCSP" (http://www.ietf.org/rfc/rfc2560.txt) A digitális igazolások visszavonási állapotának megállapítására szolgáló OCSP protokollt mutatja be. v RFC 4492: "Elliptikus görbét használó kriptográfiai (ECC) rejtjelkészletek a Szállítási réteg biztonsága (TLS) (http://www.ietf.org/rfc/rfc4492.txt) számára" A TLS új kulcscsere-algoritmusait mutatja be.
Egyéb információk v Az SSL és a Java védett socket kiterjesztése v IBM Toolbox for Java
Védjegyek Az IBM, az IBM logó és az ibm.com az International Business Machines Corporationnek a világ számos országában regisztrált védjegye. Más termékek és szolgáltatások neve is az IBM vagy más vállalatok védjegye lehet. A jelenlegi IBM védjegyek felsorolása a “Copyright and trademark information” oldalon tekinthető meg a www.ibm.com/legal/ copytrade.shtml címen. Az Adobe, az Adobe logó, a PostScript és a PostScript logó az Adobe Systems Incorporated védjegye vagy bejegyzett védjegye az Egyesült Államokban és/vagy más országokban. A Java, valamint minden Java-alapú jelzés és logó az Oracle, Inc. védjegye az Egyesült Államokban és/vagy más országokban. Más termékek és szolgáltatások neve is az IBM vagy más vállalatok védjegye lehet.
Feltételek és kikötések A kiadványok használata az alábbi feltételek és kikötések alapján lehetséges. Személyes használat: A kiadványok másolhatók személyes, nem kereskedelmi célú használatra, de valamennyi tulajdonosi feljegyzést meg kell tartani. Az IBM kifejezett engedélye nélkül nem szabad a kiadványokat vagy azok részeit terjeszteni, megjeleníteni, illetve belőlük származó munkát készíteni. Kereskedelmi használat: A kiadványok másolhatók, terjeszthetők és megjeleníthetők, de kizárólag a vállalaton belül, és csak az összes tulajdonosi feljegyzés megtartásával. Az IBM kifejezett hozzájárulása nélkül nem készíthetők olyan munkák, amelyek a kiadványokból származnak, továbbá nem másolhatók, nem terjeszthetők és nem jeleníthetők meg, még részben sem, a vállalaton kívül. A jelen engedélyben foglalt, kifejezetten megadott hozzájáruláson túlmenően a kiadványokra, illetve a bennük található információkra, adatokra, szoftverekre vagy egyéb szellemi tulajdonra semmilyen más kifejezett vagy vélelmezett engedély nem vonatkozik. Az IBM fenntartja magának a jogot, hogy jelen engedélyeket saját belátása szerint bármikor visszavonja, ha úgy ítéli meg, hogy a kiadványokat az IBM érdekeit sértő módon használják fel, vagy a fenti útmutatásokat nem megfelelően követik. Jelen információk kizárólag valamennyi vonatkozó törvény és előírás betartásával tölthetők le, exportálhatók és reexportálhatók, beleértve az Egyesült Államok exportra vonatkozó törvényeit és előírásait is. AZ IBM A KIADVÁNYOK TARTALMÁRA VONATKOZÓAN SEMMIFÉLE GARANCIÁT NEM NYÚJT. A KIADVÁNYOK "JELENLEGI FORMÁJUKBAN", BÁRMIFÉLE KIFEJEZETT VAGY VÉLELMEZETT GARANCIA VÁLLALÁSA NÉLKÜL KERÜLNEK KÖZREADÁSRA, IDEÉRTVE, DE NEM KIZÁRÓLAG A KERESKEDELMI ÉRTÉKESÍTHETŐSÉGRE, A SZABÁLYOSSÁGRA ÉS AZ ADOTT CÉLRA VALÓ ALKALMASSÁGRA VONATKOZÓ VÉLELMEZETT GARANCIÁKAT IS.
