Systemy IBM iSeries
Podpisywanie obiektów i weryfikacja podpisów
Wersja 5 Wydanie 4
Systemy IBM iSeries
Podpisywanie obiektów i weryfikacja podpisów
Wersja 5 Wydanie 4
Uwaga
Przedrozpoczęciemkorzystaniazponiższychinformacjiorazproduktu,któregodotyczą,należyzapoznaćsięz dodatkiem“Uwagi”,nastronie49.
Wydanieczwarte(luty2006)
TowydaniedotyczyWersji5,Wydania4,Modyfikacji0systemuoperacyjnegoIBMi5/OS(numerproduktu5722-SS1)oraz wszystkichkolejnychwydańimodyfikacji,oilewnowychwydaniachnieokreślonoinaczej.Wersjataniedziałanawszystkich modelachkomputerówzprocesoremRISCaninamodelachzprocesoremCISC.
Spis treści
Podpisywanieobiektówiweryfikacja
podpisów . . . . . . . . . . . . . . 1
DrukowanieplikówPDFipodręczników . . . 1
Koncepcjezwiązanezpodpisywaniemobiektów . . . . 2
Podpisycyfrowe. . . 2
Obiektydopodpisywania . . . 3
Przetwarzaniepodpisywaniaobiektów . . . 5
Weryfikowaniepodpisów . . . 5
Funkcjaweryfikacjiintegralnościkontrolerakodu. . . 6
Scenariuszepodpisywaniaobiektów. . . 6
Scenariusz:KorzystaniezprogramuDCMdo podpisywaniaobiektówiweryfikowaniapodpisów . . 7
Scenariusz:KorzystaniezfunkcjiAPIdopodpisywania obiektówiweryfikowaniapodpisów . . . 15
Scenariusz:korzystaniezCentrumZarządzania produktuiSeriesNavigatorwcelupodpisywania obiektów . . . 27
Wymaganiawstępnedotyczącepodpisywaniaobiektówi weryfikacjipodpisów. . . 35
Zarządzaniepodpisanymiobiektami . . . 37
Wartościsystemoweikomendywpływającena podpisaneobiekty . . . 37
Założeniazwiązanezeskładowaniemiodtwarzaniem podpisanychobiektów . . . 41
Komendysprawdzającekodwceluupewnieniasięo integralnościpodpisu . . . 42
Weryfikowanieintegralnościfunkcjikontrolerakodu 43 Rozwiązywanieproblemówdotyczącychobiektów podpisanych . . . 44
Rozwiązywanieproblemówzwiązanychzbłędami podpisywaniaobiektów . . . 44
Rozwiązywanieproblemówzwiązanychzbłędami weryfikowaniapodpisów. . . 44
Interpretowaniekomunikatówobłędachweryfikacji kontrolerakodu . . . 45
Informacjezwiązanezpodpisywaniemobiektówi weryfikowaniempodpisów . . . 46
Dodatek.Uwagi . . . . . . . . . . . 49
Znakitowarowe . . . 51
Warunki. . . 51
Podpisywanie obiektów i weryfikacja podpisów
Informacjedotycząceochronyopartejnapodpisywaniuobiektówiweryfikowaniupodpisówwsystemiei5/OS,którą możnawykorzystaćwceluzapewnieniaintegralnościobiektów.Opiskorzystaniazjednejzkilkumetodoferowanych przezsystemi5/OSwcelutworzeniapodpisówcyfrowychobiektów,abyzidentyfikowaćźródłoobiektuiumożliwić wykryciezmianobiektu.Ponadtoopismetodypoprawieniaochronysystemuwwynikuweryfikowaniapodpisów cyfrowychobiektów,wtymobiektówsystemuoperacyjnego,abywykryć,czyzawartośćobiektuuległazmianieod czasujegopodpisania.
Podpisywanieobiektówiweryfikowaniepodpisówstanowiąelementyochronysystemuisłużąsprawdzeniu integralnościróżnorodnychobiektów.Kluczprywatnycertyfikatucyfrowegosłużydopodpisaniaobiektu,zaś certyfikat(zawierającyodpowiadającymukluczpubliczny)doweryfikowaniapodpisucyfrowego.Podpiscyfrowy zapewniaintegralnośćczasuizawartościpodpisywanegoobiektu.Podpiszapewniadowódzarównoautentyczności, jakiautoryzacji.Możnagoużyćdosprawdzeniapochodzeniaidowykryciafałszerstwa.Podpisującobiekt
identyfikujesięjegoźródłoizapewniamożliwośćwykryciazmianwtymobiekcie.Podczasweryfikowaniapodpisu obiektumożnaokreślić,czyodczasupodpisaniazawartośćobiektuuległazmianie.Możnatakżezweryfikowaćźródło podpisu,abyupewnićsięcodopochodzeniaobiektu.
Abywdrożyćpodpisywanieobiektówiweryfikowaniepodpisów,możnaskorzystaćznastępującychmożliwości:
v funkcjeAPIdoprogramowegopodpisywaniaobiektówiweryfikowaniapodpisów,
v programDigitalCertificateManagerdopodpisywaniaobiektówidoprzeglądaniaiweryfikowaniapodpisówna obiektach,
v CentrumZarządzaniaprogramuiSeriesNavigatordopodpisywaniaobiektówwchodzącychwskładpakietów rozpowszechnianychdoinnychsystemów,
v komendyCL,takiejakSprawdzanieintegralnościobiektu(CheckObjectIntegrity-CHKOBJITG),do weryfikowaniapodpisów.
Więcejometodachpodpisywaniaobiektówioichwpływienaudoskonaleniestrategiiochronymożnaprzeczytaćw artykułach:
Uwaga: Korzystajączprzykładowegokodu,użytkownikakceptujewarunkiokreślonewsekcji“Informacjedotyczące licencjinakod”nastronie47.
Drukowanie plików PDF i podręczników
InformacjezawartewtymartykulepomogąwwydrukowaniucałegodokumentuzplikuwformaciePDF.
AbyotworzyćlubpobraćwersjędokumentuwformaciePDF,kliknijodsyłaczPodpisywanieobiektówi weryfikowaniepodpisów(wielkośćpliku:605KB).
ZapisywanieplikówPDF:
AbyzachowaćplikPDFnastacjiroboczejdoprzeglądanialubwydruku:
1. PrawymprzyciskiemmyszykliknijplikPDFwużywanejprzeglądarce(prawymprzyciskiemmyszykliknij odsyłaczpowyżej).
2. KliknijopcjęZapiszelementdocelowyjako...,jeśliużywaszprzeglądarkiInternetExplorer.KliknijSaveLink As...(Zapiszodsyłaczjako...),jeśliużywaszprzeglądarkiNetscapeCommunicator.
3. Przejdźdokatalogu,wktórymchceszzapisaćplikPDF.
4. KliknijZapisz.
PobieranieprogramuAdobeAcrobatReader
AbywyświetlaćlubdrukowaćplikiPDF,potrzebnyjestprogramAdobeAcrobatReader.Kopięprogramumożna pobraćzserwisuWWWfirmyAdobe(www.adobe.com/products/acrobat/readstep.html)
.
Koncepcje związane z podpisywaniem obiektów
Artykułprzedstawiakoncepcjeiinformacjezwiązanezpodpisamicyfrowymi,podpisywaniemobiektówimetodą weryfikowaniapodpisów.
Przedskorzystaniemzmożliwościpodpisywaniaobiektówiweryfikowaniapodpisówwartozapoznaćsięzniektórymi informacjami:
Podpisy cyfrowe
Czymsąpodpisycyfroweijakązapewniająochronę.
Systemi5/OSobsługujecertyfikatycyfroweumożliwiającecyfrowe″podpisywanie″obiektów.Podpiscyfrowyna obiekciejesttworzonymetodąkryptograficznąidziałajakosobistypodpisnadokumencie.Podpiscyfrowystanowi świadectwopochodzeniaobiektuidajemożliwośćsprawdzeniajegointegralności.Właścicielcertyfikatucyfrowego
″podpisuje″obiektzapomocąkluczaprywatnegocertyfikatu.Odbiorcaobiektukorzystazkluczapublicznegotego samegocertyfikatuwceludeszyfrowaniapodpisu,coweryfikujeintegralnośćpodpisanegoobiektuoraznadawcę.
ObsługapodpisywaniaobiektówwspomagatradycyjnenarzędziaserweraiSeriessłużącedokontrolowaniauprawnień użytkownikówdozmianyobiektów.Tradycyjnenarzędzianiemogąjednakochronićobiektówprzednieuprawnioną modyfikacjąpodczasichprzesyłaniapoprzezInternetlubinnesieciniechronione.Ponieważmożnawykryć,czy zawartośćobiektuuległazmianieodczasujegopodpisania,możnarównieżłatwookreślić,czywtakichprzypadkach możnazaufaćdanemuobiektowi.
Podpiscyfrowytozaszyfrowanasumadanychwobiekcie.Obiektijegozawartośćniesązaszyfrowaneprzezpodpis cyfrowy;zaszyfrowanajesttylkosumakontrolna,abyuniemożliwićdokonaniebezuprawnieńzmianobiektu.Chcąc sięupewnić,żeobiektniezostałzmienionypodczasprzesyłaniaiżepochodzizakceptowanego,legalnegoźródła, należyużyćkluczapublicznegocertyfikatuwykorzystanegodopodpisu,abysprawdzićautentycznośćpodpisu cyfrowego.Jeślipodpisniebędziezgodny,możetooznaczać,żedanezostałyzmienione.Wtakimprzypadkuodbiorca może,zamiastużyćobiektu,skontaktowaćsięznadawcąipoprosićoprzesłaniekopiipodpisanegoobiektu.
Podpisnaobiekciereprezentujesystem,którypodpisałtenobiekt,aniekonkretnegoużytkownikategosystemu (chociażużytkownikmusimiećodpowiednieuprawnienia,abyużyćcertyfikatudopodpisaniaobiektu).
Jeśliużyciecertyfikatówcyfrowychmieścisięwramachzidentyfikowanychpotrzebiprzyjętychstrategii bezpieczeństwa,należyjeszczerozstrzygnąć,czypowinnosięużywaćcertyfikatówpublicznych,czywystawiać certyfikatyprywatne.Wprzypadkudystrybucjiobiektówdoużytkownikówpublicznychnależyrozważyć
podpisywanieobiektówzapomocącertyfikatówzogólnieznanegopublicznegoośrodkacertyfikacjiCA.Certyfikaty publicznepozwalająinnymłatwoitaniozweryfikowaćpodpisyzłożonenawysyłanychimobiektach.Jeślijednak zamierzasięrozpowszechniaćobiektywyłączniewramachwłasnejorganizacji,wygodniejszemożebyćużycie programuDigitalCertificateManager(DCM)wcelupoprowadzeniawłasnegoośrodkacertyfikacjiiwystawiania prywatnychcertyfikatówdopodpisywaniaobiektów.KorzystaniezprywatnychcertyfikatówlokalnegoośrodkaCA jesttańszeniżcertyfikatypochodząceodpowszechnieznanegopublicznegoośrodkaCA.
Rodzaje podpisów cyfrowych
PocząwszyodwersjiV5R2możnapodpisywaćobiektytypukomenda(*CMD)iwybieraćpomiędzydwomatypami podpisówtychobiektów:rdzeniaobiektuicałegoobiektu.
v PodpisycałychobiektówTentyppodpisuzawierawszystkieważnebajtyobiektuopróczkilkumniejistotnych.
v PodstawowepodpisyobiektówTentyppodpisuobejmujenajważniejszebajtyobiektu*CMD.Nieobejmuje natomiasttychbajtów,któresąprzedmiotemnajczęstszychzmian.Umożliwiawprowadzeniepewnychzmiando
komendy,beznaruszeniapodpisu.To,którebajtypodpisywanegordzeniaobiektusąpomijane,zależyod
określonegoobiektu*CMD,naprzykładpodpisyrdzenianieobejmujądomyślnychparametrówobiektów*CMD.
Przykładyzmian,któreniewpłynąnapodpisrdzeniato:
– zmianawartościdomyślnychkomendy,
– dodaniedokomendyprogramusprawdzaniapoprawności, – zmianaparametruDozwoloneśrodowiskowykonania, – zmianaparametruZezwolenienaograniczenieużytkowników.
Pojęciapokrewne
“Obiektydopodpisywania”
Opisobiektów,któreużytkownikmożepodpisać,orazopcjipodpisywaniaobiektówkomendy(*CMD).
Informacjepokrewne
DigitalCertificateManager(DCM)
Obiekty do podpisywania
Opisobiektów,któreużytkownikmożepodpisać,orazopcjipodpisywaniaobiektówkomendy(*CMD).
Niezależnieodużytychdopodpisywaniametod,możnapodpisywaćcyfroworóżnetypyobiektówsystemui5/OS.
Podpisywaćmożnadowolnyobiekt(*STMF)przechowywanywsystemowymzintegrowanymsystemieplików,poza obiektamiprzechowywanymiwbibliotece.JeślidoobiektudołączonyjestprogramwjęzykuJava,zostanieonrównież podpisany.WsystemieplikówQSYS.LIBmożnapodpisywaćtylkonastępująceobiekty:programy(*PGM),programy serwisowe(*SRVPGM),moduły(*MODULE),pakietySQL(*SQLPKG),*FILE(tylkozbioryskładowania)i komendy(*CMD).
Abyobiektmógłbyćpodpisany,musiznajdowaćsięwsystemielokalnym.Naprzykładpodczaspracyzserwerem Windows2000naserwerzeIntegratedxSeriesServerforiSeries,wbudowanysystemplikówoferujesystemplików QNTC.Katalogiwtymsystemieplikówniesąuważanezalokalne,gdyżzawierająplikinależącedosystemu operacyjnegoWindows2000.Niemożnateżpodpisywaćpustychobiektówlubobiektówskompilowanychdlawersji systemuwcześniejszychniżwersjaV5R1.
Podpisywanie obiektów typu komenda (*CMD)
Dopodpisywaniaobiektów*CMDmożnawybraćjedenzdwóchtypówpodpisów.Możnawybraćpomiędzy podpisaniemcałegoobiektulubtylkojegordzennejczęści.Jeślipodpisywanyjestcałyobiekt,podpisobejmuje wszystkie,wtymczęśćmniejważnych,bajtyobiektu.Podpiscałegoobiektuobejmujeelementyzawartewpodpisie rdzeniaobiektu.
Jeśliwybranezostaniepodpisywanietylkordzeniaobiektu,chronioneprzezpodpisbędątylkonajważniejszebajty,zaś bajty,któreulegajączęstszymzmianomniezostanąpodpisane.Którebajtyzostanąniepodpisanezależyodobiektu
*CMD,alemożnawpodpisiezawrzećmiędzyinnymiokreślenietrybu,wktórymobiektjestpoprawnylubokreślenie, czyobiektmaprawobyćuruchamiany.Naprzykładpodpisyrdzenianiezawierająwartościdomyślnychparametrów obiektów*CMD.Umożliwiatowprowadzeniepewnychzmiandokomendy,beznaruszeniajejpodpisu.Przykłady zmian,któreniewpłynąnatentyppodpisuto:
v
zmianawartościdomyślnychkomendy,
v dodaniedokomendyprogramusprawdzaniapoprawności, v
zmianaparametruDozwoloneśrodowiskowykonania, v zmianaparametruZezwolenienaograniczenieużytkowników.
Tabelaprzedstawia,któredokładniebajtyobiektu*CMDzostanązawartewpodpisywanymrdzeniuobiektu.
Skład podpisywanego rdzenia obiektu dla obiektów *CMD
Częśćobiektu Czynależydopodpisywanegordzeniaobiektu
Wartościdomyślnekomendyzmienioneprzez CHGCMDDFT
Niejestczęściąpodpisywanegordzeniaobiektu
Programdoprzetwarzaniakomendzbiblioteką Zawszejestczęściąpodpisywanegordzeniaobiektu ZbiórźródłowyREXXzbiblioteką Włączanydopodpisu,jeślizostałokreślonydlakomendyw
momenciepodpisywania,wprzeciwnymrazieniejestczęścią podpisywanegordzeniaobiektu
PodzbiórźródłowyREXX Włączanydopodpisu,jeślizostałokreślonydlakomendyw momenciepodpisywania,wprzeciwnymrazieniejestczęścią podpisywanegordzeniaobiektu
ŚrodowiskokomendREXXzbiblioteką Włączanydopodpisu,jeślizostałokreślonydlakomendyw momenciepodpisywania,wprzeciwnymrazieniejestczęścią podpisywanegordzeniaobiektu
NazwaprogramuobsługiwyjściaREXX,bibliotekiikod wyjścia
Włączanydopodpisu,jeślizostałokreślonydlakomendyw momenciepodpisywania,wprzeciwnymrazieniejestczęścią podpisywanegordzeniaobiektu
Programsprawdzaniapoprawnościzbiblioteką Włączanydopodpisu,jeślizostałokreślonydlakomendyw momenciepodpisywania,wprzeciwnymrazieniejestczęścią podpisywanegordzeniaobiektu
Poprawnytrybdlakomendy Niejestczęściąpodpisywanegordzeniaobiektu Dozwoloneśrodowiskowykonania Niejestczęściąpodpisywanegordzeniaobiektu Zezwolenienaograniczenieużytkowników Niejestczęściąpodpisywanegordzeniaobiektu
Półkapomocy Włączanydopodpisu,jeślizostałokreślonydlakomendyw momenciepodpisywania,wprzeciwnymrazieniejestczęścią podpisywanegordzeniaobiektu
Panelgrupowypomocyzbiblioteką Włączanydopodpisu,jeślizostałokreślonydlakomendyw momenciepodpisywania,wprzeciwnymrazieniejestczęścią podpisywanegordzeniaobiektu
Identyfikatorpomocy Włączanydopodpisu,jeślizostałokreślonydlakomendyw momenciepodpisywania,wprzeciwnymrazieniejestczęścią podpisywanegordzeniaobiektu
Indekswyszukiwaniapomocyzbiblioteką Włączanydopodpisu,jeślizostałokreślonydlakomendyw momenciepodpisywania,wprzeciwnymrazieniejestczęścią podpisywanegordzeniaobiektu
BibliotekaCurrent Włączanydopodpisu,jeślizostałokreślonydlakomendyw momenciepodpisywania,wprzeciwnymrazieniejestczęścią podpisywanegordzeniaobiektu
Bibliotekaproduktu Włączanydopodpisu,jeślizostałokreślonydlakomendyw momenciepodpisywania,wprzeciwnymrazieniejestczęścią podpisywanegordzeniaobiektu
Programprzesłaniającypodpowiedziibiblioteka Włączanydopodpisu,jeślizostałokreślonydlakomendyw momenciepodpisywania,wprzeciwnymrazieniejestczęścią podpisywanegordzeniaobiektu
Tekst(opis) Niejestczęściąpodpisywanegordzeniaobiektuanipodpisucałego obiektu,gdyżniejestprzechowywanywobiekcie
WłączenieinterfejsuGUI Niejestczęściąpodpisywanegordzeniaobiektu
Pojęciapokrewne
“Podpisycyfrowe”nastronie2
Czymsąpodpisycyfroweijakązapewniająochronę.
Informacjepokrewne
DigitalCertificateManager(DCM)
Przetwarzanie podpisywania obiektów
Opisprocesupodpisywaniaobiektówiparametrówtegoprocesu.
Podczaspodpisywaniaobiektówmożnadlategoprocesuokreślićnastępująceopcje.
Przetwarzaniepowystąpieniubłędu
Pozwalaokreślić,jakiegotypuprzetwarzaniapowystąpieniubłędupowinnaużywaaplikacjapodczas tworzeniapodpisównawięcejniżjednymobiekcie.Dowyborujestzatrzymaniepodpisywaniaobiektówpo wystąpieniubłędulubkontynuacjapodpisywanianapozostałychobiektach.
Podwójnypodpisobiektu
Pozwalaokreślić,wjakisposóbaplikacjaobsługujeprocespodpisywania,jeśliobiektjestpodpisywany ponownie.Dowyborujestzostawieniepierwotnegopodpisulubzastąpieniegonowym.
Obiektywpodkatalogach
Pozwalaokreślić,wjakisposóbaplikacjaobsługujepodpisywaneobiektyznajdującesięwpodkatalogach.Do wyborujestindywidualnepodpisywanieprzezaplikacjęobiektówwewszystkichpodkatalogachlub
podpisywanietylkowkatalogugłównymzwyłączeniempodkatalogów.
Zasięgpodpisuobiektu
Podczaspodpisywaniaobiektów*CMDmożnaokreślić,czypodpisywanymabyćcałyobiekt,czytylkojego rdzennaczęść.
Weryfikowanie podpisów
Opisprocesuweryfikowaniapodpisuobiektuiparametrówtegoprocesu.
Przyweryfikowaniupodpisówmożnaokreślićnastępująceopcje.
Przetwarzaniepowystąpieniubłędu
Pozwalaokreślić,jakiegotypuprzetwarzaniapowystąpieniubłędupowinnaużywaaplikacjapodczas weryfikowaniapodpisównawięcejniżjednymobiekcie.Dowyborujestzatrzymanieweryfikowania podpisówpowystąpieniubłędulubkontynuacjaweryfikacjinapozostałychobiektach.
Obiektywpodkatalogach
Pozwalaokreślić,wjakisposóbaplikacjaobsługujepodpisyweryfikowanenaobiektachznajdującychsięw podkatalogach.Dowyborujestindywidualneweryfikowanieprzezaplikacjępodpisównaobiektachwe wszystkichpodkatalogachlubweryfikowaniepodpisówtylkodlaobiektówwkatalogugłównymz wyłączeniempodkatalogów.
Weryfikowaniepodpisurdzeniaaweryfikowaniepodpisucałości
Istniejąpewneregułysystemoweokreślające,wjakisposóbsystemobsługujepodpisyrdzenialubcałego obiektupodczasprocesuweryfikacji.Regułysąnastępujące:
v Jeślinaobiekcieniemażadnegopodpisu,procesweryfikującyzgłasza,żeobiektniejestpodpisany,a następnieweryfikujekolejneprzetwarzaneobiekty.
v
Jeśliobiektzostałpodpisanyprzezzaufaneźródło(IBM),podpismusibyćzgodny,winnymwypadku procesweryfikacjiniepowiedziesię.Jeślipodpisjestzgodny,toprocesweryfikacjitrwanadal.Podpisjest zaszyfrowanąsumądanychwobiekcie,dlategozakładasię,żepodpisbędziezgodny,jeślidanewobiekcie podczasweryfikowaniasązgodnezdanymiwobiekciewczasiejegopodpisywania.
v Jeśliobiektmajakikolwiekzaufanypodpiscałegoobiektu(zaufanieokreślanewoparciuocertyfikaty znajdującesięwbaziecertyfikatów*SIGNATUREVERIFICATION),toprzynajmniejjedenztych podpisówmusibyćzgodny,inaczejprocesweryfikacjiniepowiedziesię.Jeśliprzynajmniejjedenz podpisówcałegoobiektujestzgodny,toprocesweryfikacjitrwanadal.
v Jeśliobiektmajakikolwiekzaufanypodpisrdzeniaobiektu,toprzynajmniejjedenzpodpisówmusibyć zgodnyzcertyfikatemzbazycertyfikatów*SIGNATUREVERIFICATION,inaczejprocesweryfikacjinie powiedziesię.Jeśliprzynajmniejjedenzpodpisówrdzeniaobiektujestzgodny,toprocesweryfikacjitrwa nadal.
Funkcja weryfikacji integralności kontrolera kodu
Opissposobu,wjakimożnazweryfikowaćintegralnośćfunkcjikontrolerakoduużywanegodoweryfikowania integralnościsystemu.
PocząwszyodwydaniaV5R2,systemi5/OSdostarczanyjestzfunkcjąkontrolerakodu,którejmożnaużyćdo weryfikowaniaintegralnościpodpisanychobiektówwsystemie,wtymcałegokodusystemuoperacyjnego
dostarczonegoipodpisanegoprzezfirmęIBMdladanegosystemu.ObecniewwersjiV5R3możnaużywaćnowego interfejsuAPIdoweryfikowaniaintegralnościsamejfunkcjikontrolerakoduorazkluczowychobiektówsystemu operacyjnego.
FunkcjaAPICheckSystem(QydoCheckSystem)umożliwiazweryfikowanieintegralnościsystemui5/OS.Używasię jejdoweryfikowaniaprogramów(*PGM)iprogramówusługowych(*SRVPGM)orazwybranychkomend(*CMD) obiektówwbiblioteceQSYS.DodatkowofunkcjaAPICheckSystemtestujekomendęOdtwarzanieobiektu(Restore object-RSTOBJ),komendęOdtwarzaniebiblioteki(RestoreLibrary-RSTLIB),komendęSprawdzanieintegralności obiektu(CheckObjectIntegrity-CHKOBJITG)ifunkcjęAPIVerifyObject.Tentestzapewnia,żepowyższe
komendyorazfunkcjaAPIVerifyObjectzgłosząwłaściwebłędysprawdzaniapodpisu,naprzykładwtedy,gdysystem dostarczaobiektniepodpisanylubposiadającynieważnypodpis.
FunkcjaAPICheckSystemzapisujekomunikatyobłędachwprzypadkuniepowodzeniaweryfikacjiorazwrazie wystąpieniainnychbłędówiniepowodzeńweryfikacjiwprotokolezadania.Możnarównieżokreślićdwiedodatkowe metodyraportowaniabłędów,wzależnościodtegojakzostanąustawionenastępująceopcje:
v JeśliwartośćsystemowaQAUDLVLjestustawionana*AUDFAIL,wtedyfunkcjaAPICheckSystemgeneruje rekordkontroli,abyzgłosićkażdeniepowodzenieibłądznalezionyprzezkomendyOdtwarzanieobiektu(Restore Object-RSTOBJ),Odtwarzaniebiblioteki(RestoreLibrary-RSTLIB)iSprawdzanieintegralnościobiektu(Check ObjectIntegrity-CHKOBJITG).
v Jeśliużytkownikokreśli,żefunkcjaAPICheckSystemużywaplikuwynikowegowzintegrowanymsystemie plików,wtedyfunkcjaAPIalbotworzytenplik,jeślinieistnieje,albodołączadoplikuzgłoszonewszystkie niepowodzeniaibłędyznalezioneprzeztęfunkcjęAPI.
Zadaniapokrewne
“Weryfikowanieintegralnościfunkcjikontrolerakodu”nastronie43
Weryfikowanieintegralnościfunkcjikontrolerakoduużywanejdoweryfikowaniaintegralnościsystemui5/OS.
Scenariusze podpisywania obiektów
Informacjezawartewtymtemacieprzedstawiająscenariuszeniektórychtypowychsytuacjizwiązanychz
podpisywaniemobiektówiweryfikowaniempodpisów.Każdyscenariuszprezentujetakżezadaniakonfigurowania, którenależywykonać,abygozaimplementować.
Systemudostępniakilkaróżnychmetodpodpisywaniaobiektówiweryfikowaniapodpisów.Sposóbpodpisywania obiektówiprzetwarzaniepodpisanychobiektówzależyodwymagańicelówzwiązanychzfirmąirealizowaną strategiąochrony.Czasamipotrzebatylkozweryfikowaćpodpisnaobiekcie,abyupewnićsię,żeniezostałanaruszona integralnośćobiektu.Kiedyindziejzaśpodpisaćobiektywysyłanedoinnychużytkownikówlubsystemów.Podpisanie obiektówumożliwiainnymokreśleniepochodzeniaobiektówisprawdzenieichintegralności.
Wybórmetodyzależyodwieluczynników.Przedstawionewtymartykulescenariuszeopisująniektórez
podstawowychcelówpodpisywaniaobiektówiweryfikowaniapodpisówrealizowanychwtypowejfirmie.Każdy scenariuszopisujetakżewymaganiawstępneizadania,któretrzebawykonać,abygozaimplementowaćzgodniez opisem.Abyokreślić,jakkorzystaćzmożliwościpodpisywaniaobiektów,dopasowującjedowymagańfirmyi realizowanejstrategiiochrony,należyprzejrzećponiższescenariusze:
Scenariusz: Korzystanie z programu DCM do podpisywania obiektów i weryfikowania podpisów
Scenariuszprzedstawiaprzedsiębiorstwo,którechcepodpisywaćaplikacjedostępnenaichpublicznymserwerze WWW,abyłatwookreślić,czyzostaływnichwprowadzonenieuprawnionezmiany.Scenariuszopisujetakże wykorzystanieprogramuDigitalCertificateManager(DCM)jakopodstawowejmetodypodpisywaniaobiektówi weryfikowaniapodpisówobiektów,uwzględniateżpotrzebyprzedsiębiorstwaijegostrategięochrony.
Sytuacja
JakoadministratorprzedsiębiorstwaMojaFirmaS.A.użytkownikjestodpowiedzialnyzaadministrowaniedwoma systemamiprzedsiębiorstwa.JednymzsystemówjestpublicznyserwisWWWprzedsiębiorstwa.Zawartośćtego serwisuWWWtworzonajestwwewnętrznym,produkcyjnymsystemieprzedsiębiorstwa,aplikiiobiektyprogramów sąprzenoszonepoichzweryfikowaniunapublicznyserwerWWW.
PublicznyserwerWWWprzedsiębiorstwazawieraserwisWWWzogólnymiinformacjamioprzedsiębiorstwie.
Znajdująsiętamteżformularze,któreklienciwypełniająpodczasrejestrowaniaproduktów,żądaniainformacjio produkcie,zawiadomieniaoaktualizacjiproduktu,informacjeomiejscachdystrybucjiproduktuitp.Zachodziobawa, żeprogramycgi-binudostępniająceteformularzebędąsłabympunktemzabezpieczenia,ponieważmożnaje
modyfikować.Dlategonależystworzyćmożliwośćsprawdzaniaintegralnościtychprogramówiwykrywaniazmian wprowadzonychprzeznieuprawnioneosoby.Abyosiągnąćtencelochrony,wystarczypodpisaćcyfrowoteobiekty.
Przeglądmożliwościpodpisywaniaobiektówwsystemiei5/OSpokazuje,żejestkilkametod,zktórychmożna skorzystaćwcelupodpisywaniaobiektówiweryfikowaniapodpisówobiektów.Ponieważużytkownikodpowiadaza administrowaniemałąliczbąsystemówinieprzewidujekoniecznościczęstegopodpisywaniaobiektów,decydujesięna wykorzystanieprogramuDigitalCertificateManager(DCM)wceluwykonywaniatychzadań.Ponadtochcesz
utworzyćlokalnyośrodekCAidopodpisywaniaobiektówużywaćcertyfikatówprywatnych.Wykorzystanie certyfikatówprywatnych,wydawanychprzezlokalnyośrodekCA,ograniczawydatkizwiązanezużywaniemtej technologiiochrony,gdyżnietrzebakupowaćcertyfikatuodogólnieznanegoośrodkaCA.
Przykładtenjestpraktycznymwprowadzeniemdokonfigurowaniaikorzystaniazpodpisywaniaobiektówdlamałej liczbysystemów.
Zalety scenariusza
Scenariusztenmanastępującezalety:
v Podpisywanieobiektówumożliwiasprawdzanieintegralnościobiektównarażonychnaatakiłatweokreślenie,czy zostałyonezmienioneodczasupodpisania.Pozwalazmniejszyćnakładynaprzyszłerozwiązywanieiśledzenie problemówwaplikacjilubwsystemie.
v Wykorzystaniedopodpisywaniaobiektówiweryfikowaniapodpisówobiektówgraficznegointerfejsuużytkownika programuDCMumożliwiaszybkieiłatwewykonywanietychzadań.
v ProgramDCMzastosowanydopodpisywaniaobiektówiweryfikowaniapodpisówobiektówpozwalazredukować czasprzeznaczonynazrozumienieiwykorzystaniepodpisywaniaobiektówjakoczęścistrategiiochrony.
v Wykorzystaniedopodpisywaniaobiektówcertyfikatuwystawionegoprzezprywatnyośrodekcertyfikacjiobniża kosztywprowadzeniapodpisywaniaobiektów.
Cele
Wramachscenariuszazałożono,żeużytkownikzamierzapodpisywaćcyfrowowrażliweobiekty,takiejakgenerujące formularzeprogramycgi-binznajdującesięnapublicznymserwerzeprzedsiębiorstwa.Jakoadministratorsystemu przedsiębiorstwaMojaFirmachceszdopodpisywaniatychobiektówidoweryfikowaniaichpodpisówużyćprogramu DigitalCertificateManager(DCM).
Głównezałożeniascenariuszasąnastępujące:
v Aplikacjeprzedsiębiorstwaiinnenarażonenaatakobiekty,któreznajdująsięnadostępnympublicznieserwerze WWW(systemB),musząbyćpodpisanecertyfikatempochodzącymzlokalnegoośrodkaCA,abyograniczyć kosztypodpisywaniaaplikacji.
v Administratorzysystemuiinniwyznaczeniużytkownicymusząmiećmożliwośćprostegoweryfikowaniapodpisów cyfrowychwsystemach,abysprawdzićźródłoiautentycznośćobiektówpodpisanychprzezprzedsiębiorstwo.Aby osiągnąćpostawionycel,każdysystemmusimiećwbaziecertyfikatów*SIGNATUREVERIFICATIONzarówno kopięcertyfikatuprzedsiębiorstwadoweryfikowaniapodpisów,jakicertyfikatlokalnegoośrodkaCA.
v
Dziękiweryfikowaniupodpisówaplikacjiprzedsiębiorstwaiinnychobiektów,administratorzyiinniużytkownicy mogąwykryć,czyzawartośćobiektuzostałazmienionaodczasujegopodpisania.
v AdministratorsystemumusikorzystaćzprogramuDCMdopodpisywaniaobiektów,ponadtozarównoadministrator systemu,jakiinniużytkownicy,powinnikorzystaćzprogramuDCMdoweryfikowaniapodpisówobiektów.
Informacje szczegółowe
Poniższyrysunekprzedstawiaprocespodpisywaniaobiektuiweryfikowaniapodpisuwedługscenariusza:
Rysunekilustrujenastępującepunktyscenariusza:
SystemA
v WsystemieAzainstalowanyjestsystemoperacyjnyi5/OSWersja5,Wydanie2(V5R2).
v SystemAjestwewnętrznymserweremprodukcyjnymprzedsiębiorstwaiplatformąrozwojowądlapublicznego serweraWWWiSeries(SystemB).
v WsystemieAzainstalowanyjestproduktCryptographicAccessProvider128-bitforiSeries(5722–AC3).
v
WsystemieAzainstalowanoiskonfigurowanoproduktyDigitalCertificateManager(opcja34systemui5/OS)oraz IBMHTTPServer(5722–DG1).
v SystemAfunkcjonujejakolokalnyośrodekCAiwtymsystemieznajdująsięcertyfikatypodpisująceobiekty.
v SystemAzapomocąprogramuDCMpodpisujeobiektyijestpodstawowymsystemempodpisującymobiektydla publicznychaplikacjiiinnychobiektówprzedsiębiorstwa.
v SystemAzostałskonfigurowanywtakisposób,abyumożliwiałweryfikowaniepodpisów.
SystemB
v WsystemieBzainstalowanyjestsystemoperacyjnyi5/OSWersja5,Wydanie1(V5R1).
v SystemBjestzewnętrznym,publicznymserweremWWW,znajdującymsiępozasieciąprzedsiębiorstwachronioną przezfirewall.
v WsystemieBzainstalowanyjestproduktCryptographicAccessProvider128-bit(5722–AC3).
v
WsystemieBzainstalowanoiskonfigurowanoproduktyDigitalCertificateManager(opcja34systemui5/OS)oraz IBMHTTPServer(5722–DG1).
v SystemBniefunkcjonujejakolokalnyośrodekCA,ponadtoniepodpisujeobiektów.
v SystemBmawłączoneweryfikowaniepodpisówprzyużyciuprogramuDCMtworzącegobazęcertyfikatów
*SIGNATUREVERIFICATIONiimportującegoniezbędnecertyfikatyweryfikacjiilokalnegoośrodkaCA.
v programDCMużywanyjestdoweryfikowaniapodpisównaobiektach.
Wymagania wstępne i założenia
Scenariuszzależyodspełnienianastępującychzałożeńiwymagańwstępnych:
1. WszystkiesystemyspełniająwymaganiawzakresieinstalowaniaiużywaniaproduktuDigitalCertificateManager (DCM).
2. WżadnymsystemieniebyłwcześniejkonfigurowanyaniużywanyprogramDCM.
3. WewszystkichsystemachzainstalowanonajnowsząwersjęprogramulicencjonowanegoCryptographicAccess Provider128-bit(5722-AC3).
4. DlawartościsystemowejWeryfikowaniepodpisówobiektówpodczasodtwarzania(VeriFYOBJectsignatures duringReSTore-QVFYOBJRST)określonodomyślnąwartość3wewszystkichsystemachobjętychscenariuszem iniezostałaonazmieniona.Ustawieniedomyślnedajegwarancje,żeserwerbędziemógłzweryfikowaćpodpisypo odtworzeniupodpisanychobiektów.
5. AbyadministratorsystemuAmógłpodpisywaćobiekty,musimiećuprawnieniaspecjalne*ALLOBJlubjego profilużytkownikamusibyćuprawnionydokorzystaniazaplikacjipodpisującejobiekty.
6. Administratorsystemulubinnaosoba,któratworzybazęcertyfikatówwprogramieDCM,musimiećuprawnienia specjalne*SECADMi*ALLOBJ.
7. Administratorsystemulubinniużytkownicypozostałychsystemówmusząmiećuprawnieniespecjalne*AUDITw celuweryfikowaniapodpisówobiektów.
Czynności konfiguracyjne
Poniżejprzedstawionodwazestawyzadań,którenależywykonać,abywdrożyćtenscenariusz.Jedenzestawzadań pozwalaskonfigurowaćsystemAjakolokalnyośrodekCAipodpisywaćorazweryfikowaćpodpisyobiektów.Drugi zestawzadańpozwalaskonfigurowaćsystemBwceluweryfikowaniautworzonychprzezsystemApodpisów obiektów.
Więcejinformacjidotyczącychwykonaniatychczynnościzamieszczonowszczegółowychopisachscenariuszy poniżej.
ZadaniadotyczącesystemuA
AbyzgodniezescenariuszemsystemAstałsięlokalnymośrodkiemCAimógłpodpisywaćobiektyorazweryfikować podpisyobiektów,należywykonaćnastępująceczynności:
1. Spełnieniewszystkichwymagańwstępnychkoniecznychdozainstalowaniaiskonfigurowaniawszystkich wymaganychproduktówserweraiSeries
2. UżywanieprogramuDCMwceluutworzenialokalnegoośrodkaCAwystawiającegocertyfikatpodpisującyobiekt.
3. UżywanieprogramuDCMwcelutworzeniadefinicjiaplikacji
4. UżywanieprogramuDCMwceluprzypisanacertyfikatudodefinicjiaplikacjipodpisującejobiekty 5. UżywanieprogramuDCMwcelupodpisaniaobiektówprogramówcgi-bin
6. UżywanieprogramuDCMwcelueksportowaniacertyfikatów,którychinnesystemymusząużyćdo zweryfikowaniapodpisówobiektów.Koniecznejestwyeksportowaniedoplikuzarównokopiicertyfikatu lokalnegoośrodkaCA,jakikopiicertyfikatudopodpisywaniaobiektów,jakocertyfikatudoweryfikowania podpisów.
7. PrzesłanieplikówcertyfikatównapublicznyserwerWWW(systemB),dziękiczemuużytkownikiinneosoby mogąweryfikowaćpodpisyutworzoneprzezsystemA
ZadaniadotyczącesystemuB
Jeśliplanowanejestprzywróceniepodpisanychobiektów,którezostałyprzesłanenapublicznyserwerWWWw ramachtegoscenariusza(systemB),zadaniazwiązanezkonfiguracjąweryfikacjipodpisówwsystemieBnależy zrealizowaćprzedprzesłaniempodpisanychobiektów.Konfigurowanieweryfikacjipodpisunależyzakończyćprzed rozpoczęciemweryfikowanianapublicznymserwerzeWWWpodpisówodtworzonychpodpisanychobiektów.
WsystemieBnależywykonaćponiższeczynności,abyzgodniezzałożeniamiscenariuszamócweryfikowaćpodpisy obiektów:
1. UżyjprogramuDigitalCertificateManager(DCM)wceluutworzeniabazycertyfikatów
*SIGNATUREVERIFICATION
2. UżyjprogramuDCMwceluzaimportowaniacertyfikatulokalnegoośrodkaCAicertyfikatudoweryfikowania podpisu
3. UżyjprogramuDCMwceluweryfikowaniapodpisówprzesłanychobiektów
Informacjepokrewne
DigitalCertificateManager(DCM)
Scenariusz: korzystanie z programu DCM w celu podpisywania obiektów i weryfikowania podpisów
Abyzgodniezescenariuszempodpisaćobiekty,należywykonaćnastępująceczynnościzwiązanezkonfigurowaniemi użyciemprogramuDigitalCertificateManager.
Czynność 1: spełnienie wszystkich wymagań wstępnych
Przedwykonaniemokreślonychzadańkonfiguracyjnychzwiązanychzimplementacjątegoscenariuszanależyw całościspełnićwszystkiewymaganiawstępnewzakresieinstalowaniaikonfigurowaniawszystkichpotrzebnych produktówserweraiSeries.
Czynność 2: tworzenie lokalnego ośrodka certyfikacji w celu wystawienia certyfikatu do podpisywania obiektu prywatnego
PodczastworzenialokalnegoośrodkaCAzapomocąprogramuDigitalCertificateManagernależywypełnićszereg formularzy.FormularzeteprowadząprzezprocestworzeniaośrodkaCAiinneczynnościniezbędne,abyrozpocząć
korzystaniezcertyfikatówcyfrowychwpołączeniuzprotokołemSSL,czylipodpisywanieobiektówiweryfikowanie podpisów.WprawdziewtymscenariuszunietrzebakonfigurowaćcertyfikatówwpołączeniuzprotokołemSSL,alew celuskonfigurowaniasystemudopodpisywaniaobiektównależywypełnićwszystkieformularze.
AbyużyćprogramuDCMwceluutworzeniaistosowanialokalnegoośrodkaCA,wykonajnastępująceczynności:po utworzeniulokalnegoośrodkaCAicertyfikatupodpisującegoobiekt,przedpodpisywaniemobiektównależy
zdefiniowaćkorzystającązcertyfikatuaplikacjępodpisującąobiekty.
1. UruchomprogramDCM.
2. WramcenawigacjiprogramuDCMwybierzTworzenieośrodkacertyfikacji,abywyświetlićszeregformularzy.
Uwaga: Wprzypadkupojawieniasiępytańdotyczącychokreślonegoformularzawtymzadaniunależykliknąć przyciskznakuzapytania(?)ugórystrony,abyuzyskaćdostępdosystemupomocy.
3. Wypełnijwszystkieformularzezadań.Pozakończeniutegozadania,wykonajponiższeczynności:
a. WprowadźinformacjeidentyfikującelokalnyośrodekCA.
b. ZainstalujcertyfikatlokalnegoośrodkaCAwswojejprzeglądarce,abyoprogramowaniemogłogorozpoznaći sprawdzaćpoprawnośćcertyfikatówwystawionychprzeztenośrodek.
c. ZdefiniujstrategięlokalnegoośrodkaCA.
d. UżyjnowegolokalnegoośrodkaCAdowystawieniacertyfikatuklientalubserwera,zktóregoaplikacjabędzie mogłaskorzystaćdopołączeńzużyciemprotokołuSSL.
Uwaga: Wprawdzieopisywanyscenariuszniekorzystaztegocertyfikatu,jegoutworzeniejestjednak niezbędneprzedużyciemlokalnegoośrodkaCAdowystawieniapotrzebnegocertyfikatu podpisującegoobiekt.Jeślizadaniezostanieanulowanebezutworzeniacertyfikatu,tonależy utworzyćcertyfikatpodpisującyobiektibazęcertyfikatów*OBJECTSIGNING,wktórejbędzieon przechowywany.
e. Wybierzaplikacje,którebędąmogłyużywaćcertyfikatuserweralubklientawpołączeniachSSL.
Uwaga: Napotrzebytegoscenariuszaniewybierajżadnejaplikacji,tylkokliknijKontynuuj,abywyświetlić następnyformularz.
f. UżyjnowegolokalnegoośrodkaCAdowystawieniacertyfikatupodpisującegoobiekt,zktóregoaplikacja będziemogłaskorzystaćdocyfrowegopodpisywaniaobiektów.Wtympodzadaniutworzonajestbaza certyfikatów*OBJECTSIGNING.Jesttobazaumożliwiającazarządzaniecertyfikatamidopodpisywania obiektów.
g. Wybierzaplikacje,którepowinnyufaćlokalnemuośrodkowiCA.
Uwaga: WramachtegoscenariuszaniewybierajżadnychaplikacjiikliknijprzyciskKontynuuj,aby zakończyćzadanie.
Czynność 3: tworzenie definicji aplikacji podpisującej obiekty
PoutworzeniucertyfikatupodpisującegoobiektnależyzapomocąprogramuDigitalCertificateManagerutworzyć definicjęaplikacjipodpisującejobiekty,którabędzieużywanadopodpisywaniaobiektów.Definicjaaplikacjiniemusi odnosićsiędoistniejącejaplikacji.Tworzonadefinicjaaplikacjipowinnaopisywaćtyplubgrupęobiektów,które zamierzaszpodpisywać.Definicjajestniezbędna,żebymożnabyłopowiązaćidentyfikatoraplikacjizcertyfikatemi umożliwićprocespodpisywania.
AbyutworzyćdefinicjęaplikacjipodpisującejobiektyzapomocąprogramuDCM,wykonajnastępująceczynności:
1. WramcenawigacyjnejkliknijopcjęWybórbazycertyfikatówiwybierz*OBJECTSIGNINGjakobazę certyfikatów,któramazostaćotworzona.
2. PowyświetleniustronyBazacertyfikatówihasłowpiszhasłookreślonedlabazycertyfikatówprzyjejtworzeniui kliknijprzyciskKontynuuj.
3. WramcenawigacjiwybierzZarządzanieaplikacjami,abywyświetlićlistęzadań.
4. ZlistyzadańwybierzDodajaplikację,abywyświetlićformularzdefiniowaniaaplikacji.
5. WypełnijformularzikliknijDodaj.
Należyterazprzypisaćcertyfikatpodpisującyobiektdoutworzonejaplikacji.
Czynność 4: przypisanie certyfikatu do definicji aplikacji podpisującej obiekty
Abyprzypisaćcertyfikatdoaplikacjipodpisującejobiekty,wykonajnastępująceczynności:
1. WramcenawigacjiprogramuDCMwybierzZarządzaniecertyfikatami,abywyświetlićlistęzadań.
2. ZlistytejwybierzPrzypisaniecertyfikatu,abywyświetlićlistęcertyfikatówbieżącejbazycertyfikatów.
3. WybierzcertyfikatzlistyikliknijPrzypiszdoaplikacji,abywyświetlićlistędefinicjiaplikacjibieżącejbazy certyfikatów.
4. WybierzjednąlubwięcejaplikacjizlistyikliknijKontynuuj.Pojawisięstronakomunikatów,przedstawiająca albopotwierdzenieprzypisaniacertyfikatu,alboinformacjeobłędzie,jeśliwystąpiłjakiśproblem.
PozakończeniutychczynnościmożnakorzystaćzprogramuDCMwcelupodpisywaniaobiektówprogramów,które będąwykorzystywanenapublicznymserwerzeWWWfirmy(systemB).
Czynność 5: podpisywanie obiektów programów
AbyzapomocąprogramuDCMpodpisywaćprogramyużywanenapublicznymserwerzeWWWprzedsiębiorstwa (systemB),wykonajnastępująceczynności:
1. WramcenawigacyjnejkliknijopcjęWybórbazycertyfikatówiwybierz*OBJECTSIGNINGjakobazę certyfikatów,któramazostaćotworzona.
2. Wprowadźhasłobazycertyfikatów*OBJECTSIGNINGikliknijprzyciskKontynuuj.
3. PoodświeżeniuwidokuramkinawigacjiwybierzZarządzanieobiektamidopodpisywania,abywyświetlićlistę zadań.
4. ZlistyzadańwybierzPodpisanieobiektu,abywyświetlićlistędefinicjiaplikacji,którychmożnaużyćdo podpisywaniaobiektów.
5. WybierzaplikacjęzdefiniowanąwramachpoprzedniejczynnościikliknijopcjęPodpisanieobiektu.Pojawisię formularzumożliwiającypodaniepołożeniaobiektów,któremająbyćpodpisane.
6. Wwyświetlonepolawpiszpełnąścieżkęinazwęplikuobiektulubkataloguobiektów,którechceszpodpisać,i kliknijKontynuuj.MożnarównieżwpisaćpołożeniekataloguikliknąćPrzeglądaj,abyprzejrzećzawartość kataloguiwybraćobiektydopodpisu.
Uwaga: Nazwaobiektumusizaczynaćsięodukośnika,wprzeciwnymraziemogąwystąpićbłędy.Dookreślenia częściobiektówkatalogu,któremajązostaćpodpisane,możnatakżeużyćznakówzastępczych.Teznaki togwiazdka(*),którazastępujedowolnyciągznaków,iznakzapytania(?),któryzastępujedowolny pojedynczyznak.Naprzykład,abypodpisaćwszystkieobiektywokreślonymkatalogu,możnawpisać /mydirectory/*;abypodpisaćwszystkieprogramywokreślonejbibliotece,możnawpisać
/QSYS.LIB/QGPL.LIB/*.PGM.Znakówzastępczychnależyużywaćtylkowostatnimczłonienazwy ścieżki;wpisanienaprzykład/moj_katalog*/nazwa_plikuspowodujewyświetleniekomunikatuo błędzie.AbyużyćfunkcjiPrzeglądajdowyświetlenialistyzawartościbibliotekilubkatalogu,należy użyćznakówzastępczychwnazwieścieżki,anastępniekliknąćprzyciskPrzeglądaj.
7. Wybierzopcjeprzetwarzania,którychchceszużyćdopodpisywaniawybranychobiektów,ikliknijKontynuuj.
Uwaga: Wybranieopcjioczekiwanianawynikizadaniaspowodujewyświetlenieplikuwynikowegobezpośrednio wprzeglądarce.Wynikibieżącegozadaniazostanądopisanenakońcuplikuwyników.Wrezultacieplik tenmożezawieraćopróczwynikówbieżącegozadaniatakżewynikipoprzednichzadań.Abyzaznaczyć, którewierszeplikuodnosząsiędobieżącegozadania,możnaużyćpoladaty.Poletomaformat
RRRRMMDD.PierwszympolemwplikumożebyćalboIDkomunikatu(jeślipodczasprzetwarzania obiektówwystąpiłbłąd)albopoledaty(określającedatęprzetwarzaniazadania).
8. Podajpełnąścieżkęinazwęplikudozapisywaniawynikówzadaniadlaoperacjipodpisywaniaobiektówikliknij Kontynuuj.MożnatakżewpisaćścieżkędokataloguikliknąćPrzeglądaj,abywyświetlićzawartośćtego kataloguiwybraćplikdozapisywaniawynikówzadania.Wyświetlisiękomunikatinformujący,żezostało uruchomionepodpisanieobiektów.Abywyświetlićwynikizadania,znajdźzadanieQOBJSGNBATwprotokole zadania.
Abysprawdzić,czyużytkowniklubinneosobymogąweryfikowaćpodpisy,należynajpierwwyeksportować niezbędnecertyfikatydopliku,aplikcertyfikatówprzesłaćdosystemuB.Przedprzesłaniempodpisanychobiektów programówdosystemuBnależytakżezakończyćwszystkiezadaniakonfiguracyjnezwiązanezweryfikowaniem podpisówwtymsystemie.PrzedzweryfikowaniempodpisówodtworzonychobiektówwsystemieBnależyzakończyć konfigurowanieweryfikowaniapodpisów.
Czynność 6: eksportowanie certyfikatów umożliwiających weryfikowanie podpisów w systemie B
Podpisywanieobiektówwceluochronyintegralnościichzawartościmasenstylkowtedy,gdyistniejąmetody weryfikowaniaautentycznościpodpisu.Abyzweryfikowaćpodpisyobiektówwtymsamymsystemie,którypodpisuje obiekty(systemA),należyużyćprogramuDCMwceluutworzeniabazycertyfikatów
*SIGNATUREVERIFICATION.Musionazawieraćzarównokopięcertyfikatupodpisującegoobiekt,jakikopię certyfikatuośrodkaCA,którywystawiłcertyfikatpodpisujący.
Abyinniużytkownicymogliweryfikowaćpodpis,należyimdostarczyćkopięcertyfikatupodpisującegoobiekt.Jeśli dowystawieniacertyfikatukorzystasięzlokalnegoośrodkaCA,trzebaimzapewnićtakżekopięcertyfikatulokalnego ośrodkaCA.
AbyzapomocąprogramuDCMweryfikowaćpodpisywtymsamymsystemie,którypodpisujeobiekty(wtym scenariuszujesttosystemA),wykonajnastępująceczynności:
1. WoknienawigacjiwybierzTworzenienowejbazycertyfikatów,anastępnie,jakobazęcertyfikatówdo utworzeniawybierz*SIGNATUREVERIFICATION.
2. WybierzTak,abyskopiowaćdonowejbazycertyfikatówistniejącecertyfikatypodpisująceobiektyjako certyfikatyweryfikującepodpisy.
3. PodajhasłodlanowejbazycertyfikatówikliknijKontynuuj,abyjąutworzyć.Odtegomomentuzapomocą programuDCMmożeszweryfikowaćpodpisyobiektównatymsamymsystemie,któregoużywaszdo podpisywaniaobiektów.
AbyużyćprogramuDCMdoeksportowaniakopiicertyfikatulokalnegoCAikopiicertyfikatupodpisującegoobiekty jakocertyfikatuweryfikującegopodpisywceluweryfikacjipodpisówobiektównainnychsystemach(systemB), wykonajnastępująceczynności:
1. WramcenawigacjiwybierzZarządzaniecertyfikatami,anastępniewybierzzadanieEksportcertyfikatu.
2. WybierzopcjęOśrodekcertyfikacji(CA)ikliknijprzyciskKontynuuj,abywyświetlićlistęcertyfikatówCA, któremożnawyeksportować.
3. WybierzzlistyuprzednioutworzonycertyfikatlokalnegoCAikliknijEksportuj.
4. OkreślPlikjakomiejscedoceloweeksportowaniaikliknijprzyciskKontynuuj.
5. PodajpełnąścieżkęinazwędlaplikueksportowanegocertyfikatulokalnegoCAikliknijKontynuuj,aby wyeksportowaćcertyfikat.
6. KliknijOK,abyopuścićstronępotwierdzeniaeksportu.Możeszjużeksportowaćkopięcertyfikatupodpisującego obiekty.
7. PonowniewybierzzadanieEksportujcertyfikat.
8. WybierzPodpisywanieobiektów,abywyświetlićlistęcertyfikatówpodpisującychobiekty,któremożna eksportować.
9. WybierzzlistyodpowiednicertyfikatpodpisującyobiektyikliknijopcjęEksportuj.
10. WybierzPlik,jakocertyfikatdoweryfikowaniapodpisówjakomiejscedoceloweikliknijKontynuuj.
11. Podajpełnąścieżkęinazwędlaplikueksportowanegocertyfikatudoweryfikowaniapodpisówikliknij Kontynuuj,abywyeksportowaćcertyfikat.
Odtegomomentumożnaprzesyłaćteplikidosystemówkońcowych,naktórychmająbyćweryfikowanepodpisy utworzonezapomocącertyfikatu.
Czynność 7: przesłanie plików certyfikatów na publiczny serwer przedsiębiorstwa (system B)
Przedskonfigurowaniemsystemówwceluweryfikowaniapodpisanychobiektównależyprzesłaćplikicertyfikatów utworzonewsystemieAdosystemuB,publicznegoserweraWWWprzedsiębiorstwawramachtegoscenariusza.Do przesłaniaplikówcertyfikatówmożnaużyćkilkumetod,naprzykładskorzystaćzprotokołuFTPlubz
rozpowszechnianiapakietówwprogramieCentrumZarządzania.
Czynność 8: zadania z zakresu weryfikowania podpisu: tworzenie bazy certyfikatów
*SIGNATUREVERIFICATION
AbyweryfikowaćpodpisyobiektówwsystemieB(napublicznymserwerzeWWWprzedsiębiorstwa),systemBmusi miećkopięodpowiedniegocertyfikatuweryfikującegopodpisywbaziecertyfikatów*SIGNATUREVERIFICATION.
PonieważdopodpisywaniaobiektówkorzystasięzcertyfikatuwystawionegoprzezlokalnyośrodekCA,baza certyfikatówmusizawieraćtakżekopięjegocertyfikatu.
Abyutworzyćbazęcertyfikatów*SIGNATUREVERIFICATION,wykonajnastępująceczynności:
1. UruchomprogramDCM.
2. WramcenawigacyjnejprogramuDigitalCertificateManagerwybierzopcjęTworzenienowejbazycertyfikatów, anastępniewybierz*SIGNATUREVERIFICATIONjakonowąbazęcertyfikatów.
Uwaga: WprzypadkuwątpliwościdotyczącychokreślonegoformularzapodczaskorzystaniazprogramuDCM należykliknąćprzyciskznakuzapytania(?)ugórystrony,abyuzyskaćdostępdosystemupomocy.
3. PodajhasłodlanowejbazycertyfikatówikliknijKontynuuj,abyjąutworzyć.Możeszterazimportować certyfikatydobazyikorzystaćznichdoweryfikowaniapodpisówobiektów.
Czynność 9: zadania z zakresu weryfikowania podpisu: importowanie certyfikatów
Abyweryfikowaćpodpisnaobiekcie,baza*SIGNATUREVERIFICATIONmusizawieraćkopięcertyfikatudo weryfikowaniapodpisów.Jeślicertyfikatpodpisującyjestprywatny,towbaziecertyfikatówmusiznaleźćsięrównież kopiacertyfikatulokalnegoośrodkaCA,którygowystawił.Wopisywanymscenariuszuobydwacertyfikatyzostały wyeksportowanedopliku,któryzostałprzesłanydokażdegosystemukońcowego.
Wykonajnastępująceczynności,abyzaimportowaćtecertyfikatydobazy*SIGNATUREVERIFICATION:Odtego momentumożnajużużywaćprogramuDCMwsystemieBwceluweryfikowaniapodpisówobiektówutworzonychza pomocąodpowiedniegocertyfikatupodpisującegowsystemieA.
1. WoknienawigacjiprogramuDCMkliknijWybórośrodkacertyfikacjiiwybierz
*SIGNATUREVERIFICATIONjakobazęcertyfikatówdootwarcia.
2. PowyświetleniustronyBazacertyfikatówihasłowpiszhasłookreślonedlabazycertyfikatówprzyjejtworzeniui kliknijprzyciskKontynuuj.
3. PoodświeżeniuwidokuramkinawigacjiwybierzopcjęZarządzaniecertyfikatami,abywyświetlićlistęzadań.
4. ZlistyzadańwybierzImportcertyfikatu.
5. JakotypcertyfikatuwybierzOśrodekcertyfikacjiikliknijKontynuuj.
Uwaga: Przedzaimportowaniemprywatnegocertyfikatudoweryfikowaniapodpisównależyzaimportować certyfikatlokalnegoośrodkaCA,inaczejprocesimportucertyfikatudoweryfikowaniapodpisównie powiedziesię.
6. PodajpełnąścieżkęinazwędlaplikucertyfikatuośrodkaCAikliknijKontynuuj.Pojawisiękomunikat potwierdzającypomyślnezakończenieimportulubinformacjaobłędzie,jeśliprocesniepowiódłsię.
7. PonowniewybierzzadanieImportcertyfikatu.
8. JakotypcertyfikatuwybierzSprawdzaniapodpisuikliknijKontynuuj.
9. PodajpełnąścieżkęinazwędlaplikucertyfikatudoweryfikowaniapodpisówikliknijKontynuuj.Pojawisię komunikatpotwierdzającypomyślnezakończenieimportulubinformacjaobłędzie,jeśliprocesniepowiódłsię.
Czynność 10: zadania z zakresu weryfikowania podpisu: weryfikowanie podpisów obiektów programów
Abyużyćprogramudoweryfikowaniapodpisównaprzesłanychobiektachprogramów,wykonajnastępujące czynności:
1. WramcenawigacyjnejkliknijopcjęWybórbazycertyfikatów,anastępniewybierz
*SIGNATUREVERIFICATIONjakobazęcertyfikatów,któramazostaćotworzona.
2. Wpiszhasłodobazycertyfikatów*SIGNATUREVERIFICATIONikliknijKontynuuj.
3. PoodświeżeniuwidokuramkinawigacjiwybierzZarządzanieobiektamidopodpisywania,abywyświetlićlistę zadań.
4. ZlistyzadańwybierzSprawdzaniepodpisuobiektu,abyokreślićpołożenieobiektów,dlaktórychchcesz weryfikowaćpodpisy.
5. Wwyświetlonepolawpiszpełnąścieżkęinazwęplikuobiektulubkataloguobiektów,którychpodpisychcesz zweryfikować,ikliknijKontynuuj.MożnarównieżwpisaćpołożeniekataloguikliknąćPrzeglądaj,abyprzejrzeć zawartośćkataloguiwybraćobiektydoweryfikacjipodpisu.
Uwaga: Dookreśleniaczęściobiektówkatalogu,któremajązostaćzweryfikowane,możnatakżeużyćznaków zastępczych.Teznakitogwiazdka(*),którazastępujedowolnyciągznaków,iznakzapytania(?),który zastępujedowolnypojedynczyznak.Naprzykład,abypodpisaćwszystkieobiektywokreślonymkatalogu, możnawpisać/mydirectory/*;abypodpisaćwszystkieprogramywokreślonejbibliotece,możnawpisać /QSYS.LIB/QGPL.LIB/*.PGM.Znakówzastępczychnależyużywaćtylkowostatnimczłonienazwy ścieżki;wpisanienaprzykład/moj_katalog*/nazwa_plikuspowodujewyświetleniekomunikatuo błędzie.AbyużyćfunkcjiPrzeglądajdowyświetlenialistyzawartościbibliotekilubkatalogu,należyużyć znakówzastępczychwnazwieścieżki,anastępniekliknąćprzyciskPrzeglądaj.
6. Wybierzopcjeprzetwarzania,którychchceszużyćdoweryfikowaniapodpisówwybranychobiektów,ikliknij Kontynuuj.
Uwaga: Wybranieopcjioczekiwanianawynikizadaniaspowodujewyświetlenieplikuwynikowegobezpośrednio wprzeglądarce.Wynikibieżącegozadaniazostanądopisanenakońcuplikuwyników.Wrezultacieplik tenmożezawieraćopróczwynikówbieżącegozadaniatakżewynikipoprzednichzadań.Abyzaznaczyć, którewierszeplikuodnosząsiędobieżącegozadania,możnaużyćpoladaty.Poletomaformat
RRRRMMDD.PierwszympolemwplikumożebyćalboIDkomunikatu(jeślipodczasprzetwarzania obiektówwystąpiłbłąd)albopoledaty(określającedatęprzetwarzaniazadania).
7. Podajpełnąścieżkęinazwęplikudozapisywaniawynikówzadaniadlaoperacjiweryfikacjipodpisówobiektówi kliknijKontynuuj.MożnatakżewpisaćścieżkędokataloguikliknąćPrzeglądaj,abywyświetlićzawartośćtego kataloguiwybraćplikdozapisywaniawynikówzadania.Wyświetlisiękomunikatinformujący,żezostało wprowadzonezadaniewceluweryfikacjipodpisówobiektów.Abywyświetlićwynikizadania,znajdźzadanie QOBJSGNBATwprotokolezadania.
Scenariusz: Korzystanie z funkcji API do podpisywania obiektów i weryfikowania podpisów
Scenariuszprzedstawiaprzedsiębiorstwoprojektująceaplikacje,którechcesprzedawaneprzezsiebieaplikacje podpisywaćprogramowo,abykliencipodczasinstalacjibylipewni,żeaplikacjepochodząodproducentaiabymieli możliwośćwykryciawnichzmianwprowadzonychprzezosobybezuprawnień.Scenariuszopisujetakże
wykorzystaniefunkcjiAPISignObjectiAddVerifierdopodpisywaniaobiektówiweryfikowaniapodpisów, uwzględniateżpotrzebyprzedsiębiorstwaijegostrategięochrony.
Sytuacja
Przedsiębiorstwo(MojaFirma)jestpartneremhandlowymrozwijającymaplikacjedlaklientów.Jakotwórca oprogramowaniadlaprzedsiębiorstwajesteśodpowiedzialnyzatworzeniepakietówrozpowszechnianychwśród klientów.Doutworzeniapakietuaplikacjiużywaszpewnychprogramów.KliencimogązamówićdyskCD-ROMlub pobraćaplikacjęzserwisuWWW.
Nabieżącozapoznajeszsięznowinkamitechnicznymi,szczególniedotyczącymiochrony.Dlategowiesz,żekliencisą żywotniezainteresowaniźródłempochodzeniaizawartościąotrzymywanychlubpobieranychprogramów.Zdarzająsię przypadki,żekliencimyślą,żeotrzymalilubpobraliproduktzzaufanegoźródła,potemjednakokazujesię,żeniejest toprawdziwemiejscepochodzeniategoproduktu.Czasamiwynikatozfaktu,żeklienciinstalująinnyprogram,niż oczekiwali.Czasamizaśprogramokazujesiębyćinnymprogramemlubzostałzamienionyipowodujeuszkodzenie systemu.
Tegorodzajuproblemyniesącoprawdanapotykaneczęstoprzezklientów,użytkownikpragniejednakzapewnić klientów,żeotrzymywaneprzeznichaplikacjepochodząnaprawdęzfirmyużytkownika.Chcesztakżedostarczyć klientomnarzędziadosprawdzeniaintegralnościorazautentycznościpochodzeniainstalowanychaplikacji.
Poanaliziemożliwychrozwiązańużytkownikzdecydowałsięnawykorzystaniemożliwościpodpisywaniaobiektów oferowanychprzezsystemi5/OSwceluosiągnięciawyznaczonychcelówwzakresieochrony.Cyfrowepodpisywanie aplikacjiumożliwiaklientomsprawdzenie,czydaneprzedsiębiorstwojestprawowitymźródłemaplikacji,które otrzymalilubpobrali.Ponieważtworzeniepakietówaplikacjiodbywasięprogramowo,zdecydowałeśsięużyćfunkcji API,abywprostysposóbdołączyćpodpisywanieobiektówdoistniejącegoprocesutworzeniapakietów.Ponadto podjąłeśdecyzjęoużyciudopodpisywaniaobiektówcertyfikatupublicznego,abyprocesweryfikowaniapodpisubył dlaklientówinstalującychproduktcałkowicieprzezroczysty.
Dotworzonegopakietudołączaszkopięcertyfikatucyfrowegoużytegodopodpisaniaobiektu.Pootrzymaniupakietu klientskorzystazkluczapublicznegocertyfikatudozweryfikowaniapodpisunaaplikacji.Dziękitemuprocesowi klientmożeokreślićisprawdzićźródłoaplikacjiorazzyskaćpewność,żezawartośćaplikacjinieuległazmianieod czasujejpodpisania.
Przykładtenjestpraktycznymwprowadzeniemdoprogramowegopodpisywaniaobiektów,takichjakopracowywane aplikacjeczypakietyprzeznaczonedlainnychosób.
Zalety scenariusza
Scenariusztenmanastępującezalety:
v KorzystaniezfunkcjiAPIdoprogramowegotworzeniapakietówipodpisywaniaobiektówpozwalanaredukcję czasuspędzonegonaimplementowaniutegośrodkaochrony.
v KorzystaniezfunkcjiAPIdopodpisywaniaobiektówpodczastworzeniapakietówzmniejszailośćkoniecznych działań,gdyżprocespodpisywaniajestczęściąprocesutworzeniapakietów.
v Podpisywaniepakietuobiektówumożliwiałatweokreślenie,czyobiektyzostałyzmienioneodczasupodpisania.
Pozwalazmniejszyćnakładynaprzyszłerozwiązywanieiśledzenieproblemówpojawiającychsięwaplikacjach działającychuklientów.
v WykorzystaniedopodpisaniaobiektówcertyfikatupowszechnieznanegopublicznegoośrodkaCApozwalana zastosowaniewczęściprogramuobsługiwyjściaprogramuinstalacyjnegoproduktufunkcjiAPIAddVerifier.
Wykorzystanietejfunkcjipozwalaautomatyczniedodaćdosystemuklientapublicznycertyfikatużytydo podpisaniaaplikacji.Tozaśdajepewność,żeweryfikowaniepodpisujestprzezroczystedlaklienta.
Cele
Wscenariuszuzakładamy,żeprzedsiębiorstwoMojaFirmachceprogramowopodpisywaćtworzonepakietyaplikacji rozpowszechnianedoklientów.JakoprogramistawprzedsiębiorstwieMojaFirmaprogramowotworzyszpakiety
aplikacji,którenastępniesąrozpowszechnianedoklientów.DlategoużytkownikpragnieużyćfunkcjiAPIsystemudo podpisywaniaaplikacjiwtakisposób,abysystemklientamógłprogramowoweryfikowaćpodpispodczasinstalowania produktu.
Głównezałożeniascenariuszasąnastępujące:
v DostawcaaplikacjimusimiećmożliwośćpodpisywaniaobiektówzapomocąfunkcjiAPISignObjectwtrakcie opracowanegojużprocesutworzeniapakietuaplikacji.
v
Aplikacjemusząbyćpodpisanecertyfikatempublicznym,abyprocesweryfikowaniapodpisu,następującywtrakcie instalacjiaplikacji,byłcałkowicieprzezroczystydlaklienta.
v FirmamusimiećmożliwośćużywaniafunkcjiAPIsystemudoprogramowegododawaniaodpowiedniego
certyfikatuweryfikującegopodpisdobazycertyfikatów*SIGNATUREVERIFICATIONwsystemieklienta.Firma musimiećmożliwośćprogramowegotworzeniatejbazycertyfikatówwsystemieklientajakoczęśćprocesu instalowaniaproduktu,jeślibazatajeszczenieistnieje.
v Pozainstalowaniuproduktukliencimusząmiećmożliwośćprostegoweryfikowaniapodpisówcyfrowychna aplikacji.Jesttoniezbędne,abyustalićźródłoiautentycznośćpodpisanejaplikacjiorazokreślić,czyodczasu podpisaniaaplikacjaniezostałazmieniona.
Informacje szczegółowe
Poniższyrysunekprzedstawiaprocespodpisywaniaobiektuiweryfikowaniapodpisuwedługscenariusza:
Rysunekilustrujenastępującepunktyscenariusza:
SystemcentralnyA)
v WsystemieAzainstalowanyjestsystemoperacyjnyi5/OSWersja5,Wydanie2(V5R2).
v SystemAuruchamiaprogramtworzącypakietyaplikacjiopracowanejprzezprogramistę.
v WsystemieAzainstalowanyjestproduktCryptographicAccessProvider128-bitforiSeries(5722–AC3).
v WsystemieAzainstalowanoiskonfigurowanoproduktyDigitalCertificateManager(opcja34systemui5/OS)oraz IBMHTTPServer(5722–DG1).
v
SystemAjestpodstawowymsystemempodpisującymobiektydlaaplikacjiwprzedsiębiorstwie.Podpisywanie obiektówproduktówprzeznaczonychdodystrybucjiwśródklientówprzebiegawsystemieAwnastępującysposób:
1. AplikacjajestpodpisywanazapomocąfunkcjiAPI.
2. CertyfikatdoweryfikowaniapodpisówjesteksportowanydoplikuzapomocąprogramuDCM,abyklienci mogliweryfikowaćpodpisaneobiekty.
3. Powstajeprogramsłużącydododawaniacertyfikatuweryfikującegodopodpisywanejaplikacji.
4. PowstajeprogramprzedinstalacyjnyobsługiwyjściakorzystającyzfunkcjiAPIAddVerifier.TafunkcjaAPI zezwalaprocesowiinstalowaniaproduktównaprogramowedodawaniecertyfikatuweryfikującegodobazy certyfikatów*SIGNATUREVERIFICATIONwsystemieklienta(systemyBiC).
SystemyBiCklienta
v WsystemieBzainstalowanyjestsystemoperacyjnyOS/400Wersja5,Wydanie2(V5R2)lubpóźniejszewydanie systemui5/OS.
v WsystemieCzainstalowanyjestsystemoperacyjnyOS/400Wersja5,Wydanie2(V5R2)lubnowszewydanie systemui5/OS.
v WsystemachBiCzainstalowanoiskonfigurowanoproduktyDigitalCertificateManager(opcja34)orazIBM HTTPServer(5722–DG1).
v SystemyBiCkupująipobierająaplikacjęzserwisuWWWprzedsiębiorstwarozwijającegoaplikacje(którejest właścicielemsystemuA).
v SystemyBiCuzyskująkopiecertyfikatuweryfikowaniapodpisówprzedsiębiorstwaMojaFirma,gdyproces instalowaniaaplikacjiprzedsiębiorstwaMojaFirmatworzybazęcertyfikatów*SIGNATUREVERIFICATIONw każdymzsystemówklienta.
Wymagania wstępne i założenia
Scenariuszzależyodspełnienianastępującychzałożeńiwymagańwstępnych:
1. WszystkiesystemyspełniająwymaganiawzakresieinstalowaniaiużywaniaproduktuDigitalCertificateManager (DCM).
Uwaga: Spełnienieprzezklientów(wtymscenariuszuprzezsystemyBiC)wymagańwstępnychzwiązanychz instalowaniemikorzystaniemzproduktuDCMjestwymogiemopcjonalnym.JednakfunkcjaAPIAdd Verifierpodczasprocesuinstalacjiproduktu,jeślijesttopotrzebne,tworzybazęcertyfikatów
*SIGNATUREVERIFICATIONzhasłemdomyślnym.Abyzaślepiejchronićbazęcertyfikatówprzez dostępembezuprawnieńimóczmienićtohasło,kliencimusząkorzystaćzprogramuDCM.
2. WżadnymsystemieniebyłwcześniejkonfigurowanyaniużywanyprogramDCM.
3. WewszystkichsystemachzainstalowanonajnowsząwersjęprogramulicencjonowanegoCryptographicAccess Provider128-bit(5722-AC3).
4. DlawartościsystemowejWeryfikowaniepodpisówobiektówpodczasodtwarzania(VeriFYOBJectsignatures duringReSTore-QVFYOBJRST)określonodomyślnąwartość3wewszystkichsystemachobjętychscenariuszem iniezostałaonazmieniona.Ustawieniedomyślnedajegwarancje,żeserwerbędziemógłzweryfikowaćpodpisypo odtworzeniupodpisanychobiektów.
5. AbyadministratorsiecisystemuAmógłpodpisywaćobiekty,musimiećuprawnieniaspecjalneprofilu
użytkownika*ALLOBJalbojegoprofilużytkownikamusibyćuprawnionydokorzystaniazaplikacjipodpisującej obiekty.
6. Administratorsystemulubinnaosoba,któratworzybazęcertyfikatówwprogramieDCM,musimiećuprawnienia specjalneprofiluużytkownika*SECADMi*ALLOBJ.
7. Wceluweryfikowaniapodpisówobiektówadministratorzysystemówlubinniużytkownicywszystkich pozostałychsystemówmusząmiećuprawnieniaspecjalneprofiluużytkownika*AUDIT.
Czynności konfiguracyjne
Informacjedotyczącepodpisywaniaobiektówwedługopisuprzedstawionegowramachtegoscenariuszazamieszczono poniżejwszczegółachdoscenariusza.Zawierająonelistęczynnościumożliwiającąwykonaniekażdegoz
następującychzadańwsystemieA:
1. Spełnieniewszystkichwymagańwstępnychkoniecznychdozainstalowaniaiskonfigurowaniawszystkich wymaganychproduktówserweraiSeries
2. UżywanieprogramuDCMdoutworzeniażądaniacertyfikatuwceluuzyskaniacertyfikatupodpisującegoobiekty odpowszechnieznanego,publicznegoośrodkacertyfikacji(CA)
3. UżywanieprogramuDCMwceluutworzeniadefinicjiaplikacjipodpisującejobiekty
4. UżywanieprogramuDCMwceluimportowaniapodpisanegocertyfikatudopodpisywaniaobiektówiprzypisania godefinicjiaplikacjipodpisującejobiekty
5. UżywanieprogramuDCMwcelueksportowaniacertyfikatupodpisującegoobiektyjakocertyfikatusłużącegodo weryfikowaniapodpisów,abykliencimogligoużyćdoweryfikowaniapodpisówwobiektachaplikacji
6. Aktualizowanieprogramutworzeniapakietuaplikacjiwtakisposób,abydopodpisywaniaaplikacjibyłaużywana funkcjaAPISignObject
7. UtworzenieprzedinstalacyjnegoprogramuobsługiwyjściaużywającegofunkcjiAPIAddVerifierwramach procesutworzeniapakietuaplikacji.Programobsługiwyjściaumożliwiautworzeniepodczasinstalowaniaproduktu bazycertyfikatów*SIGNATUREVERIFICATIONidodanieniezbędnegocertyfikatudoweryfikowaniapodpisów wsystemieklienta.
8. KorzystanieprzezklientówzprogramuDCMwceluzresetowaniadomyślnegohasłabazycertyfikatów
*SIGNATUREVERIFICATIONwsystemie
Informacjepokrewne
DigitalCertificateManager(DCM)
Scenariusz: Korzystanie z funkcji API do podpisywania obiektów i weryfikowania podpisów obiektów
AbyzgodniezescenariuszemużyćfunkcjiAPIsystemui5/OSdopodpisywaniaobiektów,należywykonaćponiższe czynności.
Czynność 1: spełnienie wszystkich wymagań wstępnych
Przedwykonaniemokreślonychzadańkonfiguracyjnychzwiązanychzimplementacjątegoscenariuszanależyw całościspełnićwszystkiewymaganiawstępnewzakresieinstalowaniaikonfigurowaniawszystkichpotrzebnych produktówserweraiSeries.
Czynność 2: zastosowanie programu DCM w celu pobrania certyfikatu z powszechnie znanego, publicznego ośrodka CA
Scenariuszzakłada,żewcześniejnieużywanozprogramuDigitalCertificateManagerdotworzeniaizarządzania certyfikatami.Dlategojakoczęśćprocesutworzeniawłasnegocertyfikatupodpisującegoobiektynależyutworzyćbazę certyfikatów*OBJECTSIGNING.Podczastworzeniabazycertyfikatówzrealizowanezostanązadaniapotrzebnedo tworzeniaizarządzaniacertyfikatamipodpisującymiobiekty.Abyuzyskaćodpowszechnieznanegopublicznego ośrodkaCAcertyfikat,użyjprogramuDCMdoutworzeniainformacjiidentyfikującychiparykluczy
publiczny-prywatnydlacertyfikatuiwysłaniatychinformacjidoośrodkaCA.
Abyutworzyćwniosekocertyfikat,którynależydostarczyćdopowszechnieznanegopublicznegoośrodkaCAwcelu otrzymaniacertyfikatupodpisującegoobiekty,wykonajnastępująceczynności:
1. UruchomprogramDCM.
2. WramcenawigacjiprogramuDCMwybierzTworzenienowejbazycertyfikatów,abyrozpocząćproceduręi wypełnićszeregformularzy.Formularzeteprowadząprzezprocestworzeniabazycertyfikatówicertyfikatu, któregomożnabędzieużywaćdopodpisywaniaobiektów.
Uwaga: Wprzypadkupojawieniasiępytańdotyczącychokreślonegoformularzawtymzadaniunależykliknąć przyciskznakuzapytania(?)ugórystrony,abyuzyskaćdostępdosystemupomocy.
3. Wybierz*OBJECTSIGNINGjakobazęcertyfikatów,któramazostaćutworzona,anastępniekliknijprzycisk Kontynuuj.