Tivoli Public Key Infrastructure Guia do Usuário

Tivoli Public Key Infrastructure Guia do Usuário Versão 3 Release 7.1 S517-6880-03

Tivoli Public Key Infrastructure Guia do Usuário Versão 3 Release 7.1 S517-6880-03

Tivoli Public Key Infrastructure Guia do Usuário Aviso sobre Direitos Autorais Copyright 1999, 2001 by Tivoli Systems Inc., uma Empresa IBM, incluindo esta documentação e todo o software. Todos os direitos reservados. Pode ser usado apenas em conformidade com um Acordo de Licenciamento de Software da Tivoli Systems, Adendo dos Produtos Tivoli para Clientes IBM ou o Acordo de Licenciamento. Nenhuma parte desta publicação pode ser reproduzida, transmitida, transcrita, armazenada em um sistema de recuperação, ou convertida para qualquer linguagem de programação, de nenhuma forma ou por qualquer meio, eletrônico, mecânico, magnético, ótico, químico, manual ou em outro formato, sem uma permissão prévia, por escrito, da Tivoli Systems. A Tivoli Systems concede a você permissão limitada para realização de cópia impressa ou outro tipo de reprodução de qualquer documentação legível por máquina para seu próprio uso, contanto que estas reproduções sejam acompanhadas do aviso de direitos autorais da Tivoli Systems. Nenhum outro direito relacionado aos direitos autorais é concedido sem permissão prévia, por escrito, da Tivoli Systems. O documento não é destinado à produção e é fornecido no estado em que se encontra sem qualquer tipo de garantia. Todas as garantias neste documento são, por isso, negadas incluindo as garantias de comercialização e adequação a um fim especifico.

Marcas Os seguintes nomes de produtos são marcas da Tivoli Systems Inc. ou da International Business Machines Corp. nos Estados Unidos, em outros países ou em ambos: AIX, DB2, DB2 Universal Database, IBM, RS/6000, SecureWay, Tivoli, WebSphere. O programa Tivoli PKI ( o Programa ) contém partes do IBM WebSphere Application Server e do IBM HTTP Web Server ( Servidores IBM ). Você não está autorizado a instalar ou utilizar os Servidores IBM sem a utilização licenciada do Programa. Os Servidores IBM devem se localizar na mesma máquina que o Programa, e você não está autorizado a instalar ou utilizar os Servidores IBM separadamente. O Programa contém partes do DB2 Universal Database. Você está autorizado a instalar e usar estes componentes apenas em conjunto com o uso licenciado do Programa e do IBM WebSphere Application Server para o armazenamento e gerenciamento de dados usados ou gerados pelo Programa e pelo IBM WebSphere Application Server e não para outros fins de gerenciamento de dados. Por exemplo, esta licença não inclui conexões de recepção ao banco de dados a partir de outros aplicativos para consultas ou geração de relatórios. Você está autorizado a instalar e utilizar estes componentes apenas e com a mesma máquina do Programa. Microsoft, Internet Explorer, Windows, Windows NT e o logotipo do Windows são marcas ou marcas de serviço da Microsoft Corporation. UNIX é uma marca de serviço nos Estados Unidos e outros países licenciados exclusivamente pela The Open Group. Java e todas as marcas e logotipos baseados em Java são marcas da Sun Microsystems, Inc. Pentium é marca da Intel Corporation nos Estados Unidos, em outros países ou em ambos. Este programa contém o software de segurança da RSA Data Security, Inc. Copyright 1994 RSA Data Security, Inc. Todos os direitos reservados. Este programa contém o software Standard Template Library (STL) da Hewlett-Packard Company. Copyright (c) 1994. A permissão para utilizar, copiar, modificar, distribuir e vender este software e sua documentação para qualquer propósito é concedida sem encargos, contanto que o aviso de copyright acima apareça em todas as cópias e que, tanto o aviso de copyright, quanto este aviso de permissão, apareçam na documentação de suporte. A Hewlett-Packard Company não faz declarações sobre a adequação deste software para qualquer propósito. Ele é fornecido no estado em que se encontra, sem garantia explícita ou implícita. Este programa contém o software Standard Template Library (STL) da Silicon Graphics Computer Systems, Inc. Copyright (c) 1996 1999. A permissão para utilizar, copiar, modificar, distribuir e vender este software e sua documentação para qualquer propósito é concedida sem encargos, contanto que o aviso de copyright acima apareça em todas as cópias e que, tanto o aviso de copyright, quanto este aviso de permissão, apareçam na documentação de suporte. Silicon Graphics não faz declarações sobre a adequação deste software para qualquer propósito. Ele é fornecido no estado em que se encontra, sem garantia explícita ou implícita. Outros nomes de empresas, produtos e serviços podem ser marcas ou marcas de serviço de terceiros. Tivoli PKI Guia do Usuário iii

Avisos Referências nesta publicação a produtos, programas ou serviços do Tivoli Systems ou IBM não significam que eles estarão disponíveis em todos os países em que o Tivoli Systems ou a IBM operam. Qualquer referência a estes produtos, programas ou serviços não significa que apenas os produtos, programas ou serviços do Tivoli Systems ou IBM possam ser utilizados. Estando submetido ao direito válido de propriedade intelectual do Tivoli System ou da IBM ou a outro direito protegido por lei, qualquer produto, programa ou serviço, funcionalmente equivalente, pode ser usado em lugar do produto, programa ou serviço mencionado. A avaliação e verificação da operação em conjunto com outros produtos, exceto aqueles expressamente designados pelo Tivoli Systems ou pela IBM, são de responsabilidade do usuário. O Tivoli Systems ou a IBM pode ter patentes ou aplicações de patentes pendentes relativas a assuntos descritos neste documento. O fornecimento deste documento não lhe garante nenhum direito sobre tais patentes. Você pode enviar pedidos informações sobre licenças, por escrito, ao Gerente de Relações Comerciais e Industriais da IBM do Brasil Av. Pasteur, 138/146 Botafogo - Rio de Janeiro Cep. 22290-240 - Brasil. O parágrafo a seguir não se aplica ao Reino Unido ou a nenhum outro país em que tais disposições não estejam de acordo com a legislação local: A INTERNATIONAL BUSINESS MACHINES CORPORATION FORNECE ESTA PUBLICAÇÃO NO ESTADO EM QUE SE ENCONTRA SEM QUALQUER TIPO DE GARANTIA, EXPLÍCITA OU IMPLÍCITA, INCLUINDO, PORÉM NÃO LIMITANDO-SE, ÀS GARANTIAS IMPLÍCITAS DE NÃO VIOLAÇÃO, COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM FIM ESPECÍFICO. Alguns países não permitem a exclusão de garantias explícitas ou implícitas em certas transações; portanto, esta disposição pode não se aplicar a você. Esta publicação pode incluir imprecisões técnicas ou erros tipográficos. São feitas alterações periódicas nas informações aqui contidas; tais alterações serão incorporadas em futuras edições destas informações. A IBM pode realizar melhorias e/ou alterações nos produtos e/ou programas descritos nestas informações, a qualquer momento, sem aviso prévio. Quaisquer referências nestas informações a site Web que não são da IBM são fornecidas apenas por conveniência e não constituem, de forma alguma, um endosso a estes sites Web. Os materiais contidos nesses sites Web não fazem parte dos materiais deste produto IBM e a utilização desses sites da Web é de inteira responsabilidade do cliente. iv Versão 3 Release 7.1

Índice Introdução... vii Quem Deve Ler Este Manual... vii Informações Relacionadas... vii O Que Contém Este Manual.... viii Convenções Utilizadas Neste Manual... viii Contatando o Suporte ao Cliente... ix Informações do Tivoli PKI na Web.... ix Capítulo 1. Sobre o Tivoli PKI... 1 Capítulo 2. Visão Geral... 3 Capítulo 3. Como Fazer Para...?... 5 Acessar a Página Web de Inscrição... 5 Inscrever-se Utilizando um Navegador.... 5 Pedir um Certificado de Navegador... 6 Inscrever um Servidor ou Dispositivo... 7 Pré-registrar um Usuário... 9 Verificar Status da Inscrição... 10 Utilizar um Navegador para Gerenciar Certificados... 11 Suspender um Certificado... 11 Renovar um Certificado.... 11 Revogar um Certificado.... 12 Cancelar Pedidos Ativos... 13 Trabalhar com Vários Certificados... 13 Emitir um Pedido de Backup de Chave... 13 Emitir um Pedido de Recuperação de Chave... 14 Capítulo 4. Informações Sobre...... 17 Inscrição... 17 Pré-registro... 17 Suporte ao Navegador Web... 18 Registro... 18 Critério de Negócios... 18 Autoridades de Registro.... 18 Bancos de Dados de Registro... 18 Domínios de Registro... 18 Gravar Registros... 19 Tivoli PKI Guia do Usuário v

Atributos do Registro... 19 Certificação.... 19 Autoridades de Certificação... 19 Listas de Revogação de Certificado... 20 Directory.... 20 Nomes Distintos... 20 Certificados.... 20 Certificados de Navegador.... 20 Certificados CA.... 21 Certificados de Servidor ou Dispositivo... 21 Extensões de Certificado... 21 Período de Funcionamento do Certificado... 21 Possibilidade de Renovação... 21 Acesso a Recursos Seguros... 22 Controle de Acesso... 22 Autenticação e Autorização... 22 Assinaturas Digitais.... 22 Recurso de Backup e Recuperação de Chave... 22 Capítulo 5. Referência... 23 Formulário de Inscrição na Página Web... 23 Tipos de Certificados Fornecidos... 25 Razões para Revogar um Certificado... 26 Requisitos do Sistema para Inscrição do Navegador... 27 Considerações sobre Idioma Nacional... 27 Glossário... 29 Índice Remissivo... 47 vi Versão 3 Release 7.1

Introdução Esse manual contém informações sobre como obter e gerenciar certificados. Ele fornece procedimentos para utilizar os formulários de inscrição do navegador Tivoli PKI para solicitar, renovar e revogar certificados. E também explica como fazer o pré-registro de certificados compatíveis com PKIX. Este release do produto suporta apenas plataformas AIX. Você deve ignorar todo material abrangendo o Microsoft Windows. Quem Deve Ler Este Manual Este manual é destinado àqueles que precisam utilizar os recursos baseados no navegador do Tivoli PKI para emitir um pedido de inscrição ou gerenciar um certificado existente emitido pelo Tivoli PKI. Os usuários deste manual devem estar familiarizados com o uso dos navegadores de Internet suportados e devem ter prática em aplicações de e-business. Informações Relacionadas A documentação do produto Tivoli PKI está disponível nos formatos Portable Document Format (PDF) e HTML no site Web Tivoli. As versões em HTML de algumas publicações são instaladas com o produto e estão acessíveis nas interfaces do usuário. Esteja ciente de que o produto pode sofrer alterações depois da produção das publicações. Para obter as informações mais recentes sobre o produto e as informações sobre como acessar uma publicação no idioma e formato de sua escolha, consulte as Notas sobre o Release. A versão mais recente das Notas sobre o Release está disponível no site Web do Tivoli Public Key Infrastructure: http://www.tivoli.com/support/br A biblioteca do Tivoli PKI inclui as seguintes documentações: Instalação e Uso Este guia fornece uma visão geral do produto. Ele lista os requisitos do produto, inclui procedimentos de instalação e fornece informações sobre como acessar o auxílio online, disponível para cada componente do produto. Este guia é impresso e distribuído com o produto. Guia de Administração do Sistema Este guia contém informações gerais sobre como administrar o sistema Tivoli PKI. Ele inclui procedimentos para iniciar e parar os servidores, alterar senhas, administrar os componentes do servidor, executar auditorias e verificações da integridade dos dados. Guia de Configuração Este guia contém informações sobre como utilizar o Assistente de Configuração para configurar um sistema Tivoli PKI. Você pode acessar a versão em HTML deste guia enquanto exibe o auxílio online do Assistente. Registration Authority Desktop - Guia do Programa Ele contém informações sobre como utilizar o RA Desktop para administrar Tivoli PKI Guia do Usuário vii

certificados em todo o período de validade do certificado. Você pode acessar a versão em HTML deste guia enquanto exibe o auxílio online do Desktop. Guia do Usuário Este guia contém informações sobre como obter e gerenciar certificados. Ele fornece procedimentos para utilizar os formulários de inscrição do navegador Tivoli PKI para solicitar, renovar e revogar certificados. E também explica como fazer o pré-registro de certificados compatíveis com PKIX. Guia de Personalização Esse guia mostra como personalizar o recurso de registro do Tivoli PKI para suportar os objetivos de registro e certificação de seu critério de negócio. Por exemplo, você pode aprender como personalizar páginas HTML e Java Server, cartas de notificação, perfis de certificados e saídas de critérios. O Que Contém Este Manual Este manual contém as seguintes informações: Sobre o Tivoli PKI na página 1 descreve brevemente os recursos e capacidades do Tivoli PKI. Visão Geral na página 3 descreve o processo de inscrição de certificados. Como Fazer Para...? na página 5 oferece informações orientadas por tarefas que permitem a você inscrever-se com o Tivoli PKI e sobre como gerenciar os certificados lá obtidos. Informações Sobre... na página 17 apresenta informações gerais sobre o Tivoli PKI e conceitos relacionados à inscrição, registro e acesso do certificado a recursos seguros. Referência na página 23 inclui descrições de campo, valores e atributos apresentados no formulário de inscrição na página Web. Glossário na página 29 define os termos e abreviações neste manual que talvez sejam novos ou desconhecidos e termos que podem ser de algum interesse. Convenções Utilizadas Neste Manual Este manual utiliza diferentes convenções de face para termos e ações especiais. As convenções possuem o seguinte significado: Convenção Negrito Itálico Monoespaçada Significado Comandos, palavras-chave, flags e outras informações que você deve usar literalmente, aparecem em negrito. Variáveis que você deve fornecer e termos novos aparecem em itálico. Palavras e frases que estão enfatizadas também aparecem em itálico. Exemplos de códigos, saídas e mensagens do sistema aparecem em fonte monoespaçada. viii Versão 3 Release 7.1

Contatando o Suporte ao Cliente Se encontrar alguma dificuldade com qualquer um dos produtos Tivoli, você pode digitar http://www.support.tivoli.com para exibir a home page Tivoli Support. Depois de se conectar e de emitir o formulário de registro do cliente, você pode acessar vários serviços de suporte ao cliente na Web. Utilize os seguintes telefones para entrar em contato com o suporte ao cliente no Brasil: o número é 0 800 7873 78. Esse número conduz sua chamada para o Centro de Atendimento ao Cliente. Temos grande interesse em ficar sabendo como foi sua experiência com os produtos e com a publicação do Tivoli. Suas sugestões são bem-vindas para que possamos realizar melhorias. Se tiver algum comentário ou sugestão sobre esta publicação, envie um e-mail para pubs@tivoli.com. Informações do Tivoli PKI na Web Os clientes Tivoli e IBM Tivoli podem encontrar informações online para qualquer produto de segurança Tivoli e Tivoli PKI. Para obter informações importantes sobre atualizações de última hora no produto e informações de serviço, sobre o Tivoli PKI, comece neste site Web: http://www.tivoli.com/support/secure_download_bridge.html Para obter informações sobre o produto Tivoli Public Key Infrastructure, visite este site Web: http://www.tivoli.com/products/index/secureway_public_key/ Para obter informações sobre outros produtos de gerenciamento de segurança do Tivoli, visite esta localização na Web:http://www.tivoli.com/products/solutions/security/ Tivoli PKI Guia do Usuário ix

x Versão 3 Release 7.1

1 Sobre o Tivoli PKI 1. Sobre o Tivoli PKI O Tivoli Public Key Infrastructure (Tivoli PKI) fornece aplicações com os meios para se autenticar usuários e garantir uma comunicação confiável: Permite que as organizações emitam, publiquem e administrem certificados digitais de acordo com seus critérios de registro e certificação. Suporte para Public Key Infrastructure para X.509 versão 3 (PKIX) e padrões de criptografia da Common Data Security Architecture (CDSA) permitem interoperabilidade de fornecedor. Assinatura digital e protocolos de segurança fornecem os meios para autenticar todas as partes em uma transação. Recursos de registro com base em navegador oferecem flexibilidade máxima. Comunicações criptografadas e armazenamento seguro de informações sobre registro garantem a confiabilidade. Um sistema Tivoli PKI pode ser executado nas plataformas de servidor IBM AIX/6000 e Microsoft Windows NT. Inclui os seguintes recursos principais: Um Certificate Authority (CA) confiável que gerencia o ciclo completo de duração do certificado digital. Para confirmar a autenticidade de um certificado, o CA assina digitalmente em cada um que é emitido. Ele assina também as listas de revogação de certificado (certificate revocation lists - CRLs) para confirmar a validade de um certificado. Para estender a proteção da chave de assinatura, você pode usar um hardware criptográfico, como o IBM 4758 PCI Cryptographic Coprocessor. Um Registration Authority (RA) lida com tarefas administrativas referentes ao registro do usuário. O RA assegura que apenas os certificados que suportam suas atividades comerciais sejam emitidos, e que eles sejam emitidos apenas para usuários autorizados. As tarefas administrativas podem ser executadas através de processos automatizados ou por decisão humana. Uma interface de inscrição baseada na Web que facilita a obtenção de certificados para navegadores, servidores e outros objetivos, como dispositivos virtual private network (VPN), smart cards e e-mail seguro. Uma interface de administração com base na Web, o RA Desktop, permite que registradores autorizados aprovem ou rejeitem pedidos de inscrição e certificados de administrador depois de terem sido emitidos. Um subsistema Audit computa um código de autenticação de mensagem (message authentication code - MAC) para cada registro de auditoria. Se os dados de auditoria forem alterados ou eliminados depois de terem sido gravados no banco de dados de auditoria, o MAC permite que você detecte a intrusão. Tivoli PKI Guia do Usuário 1

Saídas de critério e Business Process Objects (BPOs) permitem que os desenvolvedores de aplicações personalizem os processos de registro. Suporte integrado para mecanismo criptográfico. Para autenticar as comunicações, os componentes do Tivoli PKI central são assinados com uma chave privada gerada de fábrica. Objetos de segurança, como chaves e MACs, são criptografadas e armazenadas em áreas protegidas chamadas KeyStores. Suporte integrado ao IBM Directory. O programa Directory armazena informações sobre certificados válidos e revogados em um formato compatível com LDAP. Suporte integrado ao IBM WebSphere Application Server e ao IBM HTTP Server. O servidor da Web trabalha com o servidor RA para criptografar mensagens, autenticar pedidos e transferir certificados para o recipiente desejado. Suporte integrado ao IBM DB2 Universal Database. 2 Versão 3 Release 7.1

2 Visão Geral Quando uma organização possui aplicativos seguros protegidos pelo Tivoli PKI, apenas usuários com as credenciais apropriadas podem acessar esses aplicativos. Alguém que deseje uma credencial, tal como um certificado digital, pode solicitá-lo fornecendo informações apropriadas. Dados do pedido de inscrição formam a base para decidir se o pedido será aprovado ou rejeitado. Quando um pedido de inscrição é aprovado, o Registration Authority (RA) do Tivoli PKI processa o pedido e o Certificate Authority (CA) do Tivoli PKI emite o certificado. Os registros de pedidos de inscrição e os certificados são armazenados em um banco de dados de registro criptografado. 2. Visão Geral Em um sistema do Tivoli PKI, um certificado é solicitado utilizando-se os formulários de inscrição do Tivoli PKI, disponíveis em uma página Web. Os formulários de inscrição permitem a você emitir as informações necessárias para a solicitação de um certificado e, em seguida, retornar para obter a resposta do recurso de registro do Tivoli PKI. Você pode solicitar um certificado de navegador, um certificado de servidor ou um certificado de dispositivo. Você também pode registrar-se previamente em um certificado para obter acesso a um aplicativo compatível com o PKIX. Você também pode retornar à página de inscrição Web para gerenciar os certificados recebidos diretamente dela. Este guia funciona como suporte em qualquer uma dessas tarefas de inscrição. Tivoli PKI Guia do Usuário 3

4 Versão 3 Release 7.1

3 Como Fazer Para...? Os tópicos nesta seção fornecem instruções para cada fase da inscrição para um certificado na página Web de inscrição do Tivoli PKI e sobre como utilizar esta página para gerenciar certificados do navegador lá obtidos. Acessar a Página Web de Inscrição Para acessar a página Web de inscrição: 1. Assegure-se de que sua estação de trabalho atenda aos requisitos listados na seção Requisitos do Sistema para Inscrição do Navegador na página 27. 2. Obtenha o site Web de sua empresa para acessar a página Web de inscrição. O site Web terá o seguinte formato: http://mypublicwebserver/mydomain/index.jsp 3. Abra seu navegador e digite o site Web: No Netscape, digite o site Web na caixa de texto em Localização. No Internet Explorer, digite-a na caixa de texto em Endereço. 4. Pressione a tecla Enter. A página Web de inscrição do Tivoli PKI é exibida. Para uma instalação padrão, o nome da página é Central de Credencial. 3. Como Fazer Para...? 5. Se você estiver utilizando os serviços de inscrição do Tivoli PKI pela primeira vez, clique em Instalar o certificado CA do nosso servidor. Este certificado ativa seu navegador a autenticar comunicações dos serviços de inscrição. A próxima vez em que você utilizar esses serviços, você poderá omitir esta etapa. Inscrever-se Utilizando um Navegador Os tópicos nesta seção descrevem como utilizar seu navegador Web para pedir um certificado na página de inscrição do Tivoli PKI. Se você estiver utilizando os serviços de inscrição pela primeira vez, você deve obter um certificado CA para seu navegador Web antes de continuar. Depois disso, você pode utilizar as páginas de inscrição várias vezes. Dependendo da forma como o recurso de registro foi personalizado para sua organização, os procedimentos para se obter um certificado válido podem variar. Os tópicos a seguir fornecem as etapas básicas. Entre em contato com o administrador do sistema para obter os procedimentos apropriados de seu site. Tivoli PKI Guia do Usuário 5

Pedir um Certificado de Navegador Para obter um certificado através do navegador Web: 1. Acesse a página Web de inscrição a partir de seu navegador. 2. Em Tipo de Inscrição, abra a lista e selecione Certificado de Navegador. 3. Em Ação, selecione Inscrever. 4. Clique em OK. O formulário de inscrição solicitado é exibido. 5. Siga as instruções na página Web para completar os campos no formulário. A seção Formulário de Inscrição na Página Web na página 23 descreve os campos. O formulário possui as seguintes seções: Uma seção Informações sobre o Registro com caixas de texto que você preenche com suas informações pessoais ou com informações sobre você. Uma seção Informações sobre o Pedido de Certificado com caixas de texto que você preenche com informações sobre o certificado desejado. Se você não fornecer valores nos campos de opção da seção, o Tivoli PKI fornecerá padrões que são associados com o tipo de certificado que você está pedindo. Dê atenção particular aos seguintes campos: Tipo de Certificado Selecione o tipo de certificado de navegador que sua organização deseja que você apresente. A seção Tipos de Certificados Fornecidos na página 25 descreve os tipos de certificado. Instalar o Certificado CA para o Navegador Clique para obter um certificado CA correspondente que seja compatível com o tipo de certificado. Se você clicar neste botão, o certificado CA será carregado imediatamente. Este certificado ativa seu navegador a autenticar comunicações do Tivoli PKI. Se por alguma razão você já possuir o mesmo certificado CA, você não precisará de outro. Endereço de E-mail Para selecionar Notificação por E-mail, você precisa fornecer seu endereço de e-mail. Notificação por E-mail Selecione aqui para receber e-mail sobre o resultado de seu pedido. Resposta do Desafio Não se esqueça de que a Resposta do Desafio fornecida faz distinção entre maiúsculas e minúsculas. Você precisará saber mais tarde para verificar o status do pedido de inscrição. Nome Comum O campo Nome Comum é pré-preenchido com informações que você especifica em Primeiro Nome e Sobrenome. Se, posteriormente, você voltar a esse campo para modificar as entradas de primeiro nome ou sobrenome, as alterações poderão não ser refletidas automaticamente em seu nome comum. Se isso 6 Versão 3 Release 7.1

realmente ocorrer, certifique-se de atualizar o campo Nome Comum com os valores revisados de Primeiro Nome e Sobrenome antes de emitir o formulário de registro. Nome de Domínio Forneça o nome do host da máquina em que o certificado está sendo instalado, se ela estiver relacionada ao uso do certificado. Esse campo é opcional para certificados de navegador; utilize-o apenas se for instruído a fazê-lo. 6. Clique em Emitir Pedido de Inscrição. Depois que o Tivoli PKI recebe o formulário de inscrição, ocorre o seguinte: Se o formulário contiver erros, ele os mostrará. Faça as alterações e clique em Emitir Pedido de Inscrição Novamente. Se o formulário não contiver erros, outra página Web exibirá seu ID do pedido. 7. Certifique-se de registrar seu ID do pedido. Ele o identificará posteriormente, para que você possa verificar o status do pedido e receber seu certificado quando estiver pronto. Execute um dos seguintes procedimentos, conforme descrito na página Web: Coloque a página Web no marcador para que possa retornar facilmente a ela e verificar seu certificado. Registre o ID do pedido para que possa fornecê-lo ao retornar. Aguarde que o ID do pedido chegue a você através de e-mail. Inscrever um Servidor ou Dispositivo Qualquer servidor ou dispositivo que você inscrever deve ter características específicas conforme descritas neste manual. A seção Certificados de Servidor ou Dispositivo na página 21 descreve essas características. Para obter um certificado de servidor ou dispositivo através do navegador Web: 1. Acesse a página Web de inscrição a partir de seu navegador. 3. Como Fazer Para...? 2. Em Tipo de Inscrição, abra a lista e selecione Certificado de servidor ou dispositivos. 3. Em Ação, selecione Inscrever. 4. Clique em OK. O formulário de inscrição solicitado é exibido. 5. Siga as instruções na página Web para completar os campos no formulário. A seção Formulário de Inscrição na Página Web na página 23 descreve os campos. O formulário possui as seguintes seções: Uma seção Informações sobre o Registro com caixas de texto que você preenche com suas informações pessoais ou com informações sobre você. Uma seção Informações sobre o Pedido de Certificado com caixas de texto que você preenche com informações sobre o certificado desejado para servidor ou dispositivo. Se você não fornecer valores nos campos de opção da seção, o Tivoli PKI fornecerá padrões que são associados com o tipo de certificado que você está pedindo. Dê atenção particular aos seguintes campos: Tivoli PKI Guia do Usuário 7

Tipo de Certificado Selecione o tipo de certificado de servidor ou dispositivo que sua organização deseja que você peça. A seção Tipos de Certificados Fornecidos na página 25 descreve os tipos de certificado. Salvar o Certificado CA para o Arquivo Clique para obter um certificado CA correspondente que seja compatível com o tipo de certificado. O navegador solicitará que você forneça o caminho. Se você clicar neste botão, o certificado CA será carregado imediatamente. Este certificado ativa o servidor ou dispositivo a autenticar comunicações do Tivoli PKI. Se por alguma razão você já possui o mesmo certificado CA, você não precisará de outro. Endereço de E-mail Para selecionar Notificação por E-mail, você precisa fornecer seu endereço de e-mail. Notificação por E-mail Selecione aqui para receber e-mail sobre o resultado de seu pedido. Resposta do Desafio Não se esqueça de que a Resposta do Desafio fornecida faz distinção entre maiúsculas e minúsculas. Você precisará saber mais tarde para verificar o status do pedido de inscrição. Nome Comum O campo Nome Comum é pré-preenchido com informações que você especifica em Primeiro Nome e Sobrenome. Se, posteriormente, você voltar a esse campo para modificar as entradas de primeiro nome ou sobrenome, as alterações poderão não ser refletidas automaticamente em seu nome comum. Se isso realmente ocorrer, certifique-se de atualizar o campo Nome Comum com os valores revisados de Primeiro Nome e Sobrenome antes de emitir o formulário de registro. Nome de Domínio Forneça o nome do host da máquina em que o certificado está sendo instalado, se ela estiver relacionada ao uso do certificado. Esse campo é opcional para certificados de servidores; se incluí-lo, identifique a máquina em que o servidor da Web está instalado. O Nome de Domínio é requerido para certificados IPSec; você deve identificar o dispositivo IPSec em que o certificado será instalado. 6. Clique em Emitir Pedido de Inscrição. Depois que o Tivoli PKI recebe o formulário de inscrição, ocorre o seguinte: Se o formulário contiver erros, ele os mostrará. Faça as alterações e clique em Emitir Pedido de Inscrição Novamente. Se o formulário não contiver erros, outra página Web exibirá seu ID do pedido. 7. Certifique-se de registrar seu ID do pedido. Ele o identificará posteriormente, para que você possa verificar o status do pedido e receber seu certificado quando estiver pronto. Execute um dos seguintes procedimentos, conforme descrito na página Web: Coloque a página Web no marcador para que possa retornar facilmente a ela e verificar seu certificado. Registre o ID do pedido para que possa fornecê-lo ao retornar. 8 Versão 3 Release 7.1

Aguarde que o ID do pedido chegue a você através de e-mail. Pré-registrar um Usuário Você pode utilizar os serviços de inscrição para pré-registrar a si mesmo ou alguém mais em um certificado para acessar um aplicativo compatível com PKIX. Para pré-registrar outra pessoa através de seu navegador Web: 1. Acesse a página Web de inscrição a partir de seu navegador. 2. Em Tipo de Inscrição, abra a lista e selecione Pré-registro do Certificado. 3. Em Ação, selecione Inscrever. 4. Clique em OK. O formulário de inscrição solicitado é exibido. 5. Siga as instruções na página Web para completar os campos no formulário. A seção Formulário de Inscrição na Página Web na página 23 descreve os campos. O formulário possui as seguintes seções: Uma seção Informações sobre o Registro com caixas de texto que você preenche com as informações sobre a pessoa que você está pré-registrando. Você também pode fornecer aqui algumas informações que permitirão que você verifique o status de seu pedido. Uma seção Informações sobre o Pedido de Certificado com caixas de texto que você preenche com informações sobre o certificado desejado. Se você não fornecer valores nos campos de opção da seção, o Tivoli PKI fornecerá padrões que são associados com o tipo de certificado que você está pedindo. Dê atenção particular aos seguintes campos: Tipo de Certificado Selecione o tipo de certificado necessário para a pessoa que você está pré-registrando. A seção Tipos de Certificados Fornecidos na página 25 descreve os tipos de certificado. 3. Como Fazer Para...? Endereço de E-mail Para selecionar Notificação por E-mail, você precisa fornecer seu próprio endereço de e-mail. Notificação por E-mail Selecione aqui para receber e-mail sobre o resultado de seu pedido. Resposta do Desafio Não se esqueça de que a Resposta do Desafio fornecida faz distinção entre maiúsculas e minúsculas. Você precisará saber mais tarde para verificar o status do pedido de inscrição. Nome Comum O campo Nome Comum é pré-preenchido com informações que você especifica em Primeiro Nome e Sobrenome. Se, posteriormente, você voltar a esse campo para modificar as entradas de primeiro nome ou sobrenome, as alterações poderão não ser refletidas automaticamente em seu nome comum. Se isso realmente ocorrer, certifique-se de atualizar o campo Nome Comum com os valores revisados de Primeiro Nome e Sobrenome antes de emitir o formulário de registro. Tivoli PKI Guia do Usuário 9

Nome de Domínio Forneça o nome do host da máquina em que o certificado está sendo instalado, se ela estiver relacionada ao uso do certificado. Esse campo é opcional para certificados de pré-registro; utilize-o apenas se for instruído a fazê-lo. 6. Clique em Emitir Pedido de Inscrição. Depois que o Tivoli PKI recebe o formulário de inscrição, ocorre o seguinte: Se o formulário contiver erros, ele os mostrará. Faça as alterações e clique em Emitir Pedido de Inscrição Novamente. Se o formulário não contiver erros, outra página Web exibirá seu ID do pedido. 7. Certifique-se de registrar seu ID do pedido. Ele o identificará posteriormente, para que você possa verificar o status do pedido e receber seu certificado quando estiver pronto. Execute um dos seguintes procedimentos, conforme descrito na página Web: Coloque a página Web no marcador para que possa retornar facilmente a ela e verificar seu certificado. Registre o ID do pedido para que possa fornecê-lo ao retornar. Aguarde que o ID do pedido chegue a você através de e-mail. Verificar Status da Inscrição Para verificar o status de seu pedido de inscrição, retorne à página Web que você colocou no marcador durante a inscrição, ou siga as seguintes etapas: 1. Acesse a página Web de inscrição. 2. Em Tipo de Inscrição, selecione o tipo de inscrição solicitado. 3. Em Ação, selecione Verificar Status. 4. Clique em OK. A tela contém campos onde você deve autenticar sua identidade antes de poder obter qualquer informação sobre o pedido. 5. Forneça informações nos campos: Em ID do Pedido, digite o ID do pedido que foi mostrado a você depois de ter emitido o formulário de inscrição. Em Resposta do Desafio, digite a mesma Resposta do Desafio fornecida no formulário de inscrição. 6. Clique em Verificar Status da Inscrição. Uma mensagem indica o status atual de seu pedido. Se seu pedido ainda estiver pendente, poderá retornar mais tarde e verificar novamente. Se seu pedido foi aprovado, o tipo de pedido determina o que acontecerá depois: Certificado de Navegador O certificado de navegador é obtido em download imediatamente para seu navegador. 10 Versão 3 Release 7.1

Certificado de Servidor ou Dispositivo Seu navegador solicita que você selecione um formato e especifique um caminho, então o certificado do servidor ou dispositivo é carregado nesse caminho. Pré-registro do Certificado Você vê informações que o provável proprietário do certificado precisa para solicitar o certificado: uma ID de transação, uma senha e o site Web do RA que aprovou o pedido. A partir destas informações, é produzido um arquivo de pré-registro, o qual você utiliza ao fazer o registro com o administrador. Utilizar um Navegador para Gerenciar Certificados Na página Web de inscrição, você também pode renovar ou revogar um certificado de navegador recebido. Se for necessário, poderá colocá-lo em suspensão, em vez de revogá-lo permanentemente. Isso não se aplica a certificados para os quais você pré-registrou. Nota: Se você receber uma mensagem de erro enquanto estiver utilizando o Microsoft Internet Explorer para renovar ou revogar certificados, talvez você não tenha conseguido estabelecer uma sessão SSL autenticada por cliente com o servidor Web. Para resolver esse problema, selecione Ferramentas Opções da Internet no navegador. Na janela Opções da Internet, selecione a guia Avançado e clique no botão Restaurar Padrões. Isso reativará o SSL versão 3.0. Clique em OK e feche o navegador. Reinicie o programa Internet Explorer e tente conectar o servidor novamente. Suspender um Certificado Você pode suspender um certificado de navegador obtido diretamente da página Web de inscrição. Para suspender seu certificado: 3. Como Fazer Para...? 1. Acesse a página Web de inscrição. 2. Em Tipo de Inscrição, selecione Certificado de Navegador. 3. Em Ação, selecione Suspender. 4. Clique em OK. A exibição contém informações que identificam você e o certificado. 5. Examine as informações para certificar-se de que este seja o certificado a ser suspenso. 6. Clique em Suspender Certificado. Nota: Caso deseje reativar um certificado suspenso, entre em contato com o Administrador do RA antes do vencimento do período de tolerância. Depois de vencido o período de tolerância, um certificado suspenso não pode ser reativado Renovar um Certificado Você pode renovar um certificado de navegador obtido diretamente da página Web de inscrição. Para renovar seu certificado: 1. Acesse a página Web de inscrição. Tivoli PKI Guia do Usuário 11

2. Em Tipo de Inscrição, selecione Certificado de Navegador. 3. Em Ação, selecione Renovar. 4. Clique em OK. Um formulário de renovação é exibido. 5. Examine o formulário para certificar-se de que seja o certificado que você deseja renovar. 6. Altere os valores dos campos editáveis, se desejado. A seção Formulário de Inscrição na Página Web na página 23 descreve os campos. Endereço de E-mail Para selecionar Notificação por E-mail, você precisa fornecer seu endereço de e-mail. Notificação por E-mail Selecione aqui para ser notificado por e-mail sobre o resultado de seu pedido. Pergunta do Desafio Você pode alterar a pergunta que será feita à você ao verificar seu pedido. Resposta do Desafio Não se esqueça de que a Resposta do Desafio fornecida faz distinção entre maiúsculas e minúsculas. Você precisará saber mais tarde para verificar o status do pedido de inscrição. Para Internet Explorer Siga as instruções no formulário se deseja alterar o provedor de seu serviço criptográfico. Decida se deve gerar uma nova chave ou reutilizar a já existente. Para definir uma nova chave, você possui a opção de nomeá-la você mesmo. Selecione Opções Adicionais de Segurança para pedir mais medidas de segurança a partir do Microsoft Internet Explorer, se desejado. 7. Clique em Renovar Certificado. 8. Guarde o ID do Pedido quando ele for exibido, de forma que você possa verificar o status de seu pedido posteriormente. A seção Verificar Status da Inscrição na página 10 descreve como verificar o status de seu pedido. Revogar um Certificado Você pode revogar um certificado de navegador obtido diretamente da página Web de inscrição. Para revogar seu certificado: 1. Acesse a página Web de inscrição. 2. Em Tipo de Inscrição, selecione Certificado de Navegador. 3. Em Ação, selecione Revogar. 4. Clique em OK. São exibidas informações de identificação do certificado. 5. Examine as informações para certificar-se de que este seja o certificado que você deseja revogar. 12 Versão 3 Release 7.1

6. Em Razão, selecione uma razão para revogar o certificado. A seção Razões para Revogar um Certificado na página 26 descreve as razões válidas. 7. Em A Data do Certificado não é mais Válida, especifique quando revogar o certificado. Selecione a data atual ou uma data no passado. Se a razão estiver associada com a data, utilize essa data. Por exemplo, se você suspeitar que sua chave foi comprometida, selecione a data em que você acredita que isso aconteceu. 8. Clique em Revogar Certificado. Cancelar Pedidos Ativos Quando você emite um pedido para renovar um certificado, revogar um certificado ou suspender um certificado, e, depois, tenta cancelar o pedido, o navegador retorna um erro como O documento não contém dados. Também será impossível exibir novamente a página de inscrição da Web. Esse problema pode ocorrer se o navegador transmitir o pedido ao servidor RA antes de solicitar a você que apresente um certificado para autenticação. Quando o certificado não acompanha o pedido, é retornado um erro. Esse é o comportamento normal do navegador. Nessa situação, o navegador não possui conhecimento de qual pedido deve ser cancelado quando você clicar no botão Cancelar. Trabalhar com Vários Certificados Quando você emite um pedido para renovar um certificado, revogar um certificado ou suspender um certificado, e, depois, retorna à página Web de inscrição para trabalhar com outro certificado, você não poderá fazê-lo até que saia do navegador e reinicie-o. Esse é o comportamento normal do navegador. Você deve limpar o certificado atual do cache do navegador antes de tentar gerenciar outro. Da mesma forma, depois de fazer download de um certificado, você não poderá renová-lo ou revogá-lo na mesma sessão do navegador. Você deve sair do navegador antes de tentar gerenciar um certificado recentemente instalado. Emitir um Pedido de Backup de Chave Você pode solicitar que um backup seja criado para um certificado e sua chave privada. O arquivo PKCS #12 que você utiliza como entrada para este pedido é criado quando você exporta um certificado a partir de um navegador suportado. O arquivo PKCS #12 pode ser recuperado posteriormente emitindo-se um pedido de recuperação de chave. 3. Como Fazer Para...? Para emitir um pedido de backup de chave: 1. Obtenha o site Web de sua empresa para acessar a página Web Pedido de Backup de Chave. A URL terá o seguinte formato: http://mypublicwebserver/mydomain/keybackup_request.jsp 2. Abra seu navegador e digite o site Web: No Netscape, digite o site Web na caixa de texto em Localização. No Internet Explorer, digite-a na caixa de texto em Endereço. 3. Pressione a tecla Enter. A página Web Pedido de Backup de Chave do Tivoli PKI é exibida. Tivoli PKI Guia do Usuário 13

4. Em Arquivo PKCS #12, digite o caminho e o nome do arquivo ou clique em Navegar para especificar o arquivo PKCS #12 exportado que contém o certificado do qual se efetuará o backup. 5. Em Senha do Arquivo PKCS #12, digite a senha especificada quando este arquivo for criado. 6. Clique em Emitir Pedido de Backup de Chave. Uma mensagem indica o status do pedido. Emitir um Pedido de Recuperação de Chave Você pode emitir um pedido para recuperar um certificado e sua chave privada a partir de um backup previamente criado através de um pedido de backup de chave. Com a aprovação do pedido de recuperação feita pelo Administrador do RA, o arquivo PKCS #12 fica disponível e pronto para você efetuar o download do mesmo. A senha para o arquivo não é fornecida já que você já deveria conhecê-la. No entanto, o Administrador do RA pode exibir os atributos do arquivo, incluindo a senha, no caso do solicitador precisar destas informações. Geralmente, o mecanismo para distribuição destas informações é definido pela empresa (por exemplo, correio eletrônico ou algum outro meio de correspondência). Depois de emitir o pedido de recuperação da chave, você pode verificar o status para determinar se o pedido foi aprovado, rejeitado ou está pendente. Para emitir um pedido de recuperação de chave: 1. Obtenha o site Web de sua empresa para acessar a página Web Pedido de Recuperação da Chave. A URL terá o seguinte formato: http://mypublicwebserver/mydomain/keyrecovery_request.jsp 2. Abra seu navegador e digite o site Web: No Netscape, digite o site Web na caixa de texto em Localização. No Internet Explorer, digite-a na caixa de texto em Endereço. 3. Pressione a tecla Enter. A página Web Pedido de Recuperação de Chave do Tivoli PKI é exibida. 4. Em Tipo de Certificado, selecione o tipo de certificado a ser recuperado da lista suspensa. 5. Em Nome, digite seu nome. 6. Em Sobrenome, digite seu sobrenome ou nome de família. 7. No ID do Pedido, digite o ID do Pedido a partir do seu certificado original do processo de inscrição, caso você o conheça; caso contrário, deixe esse campo em branco. 8. Clique em Emitir Pedido de Recuperação de Chave. 9. Se existirem entradas múltiplas no banco de dados RA que contenham o mesmo nome inicial e final como seu pedido de recuperação chave, uma Lista de Seleção dos Pedidos de Recuperação Chave é exibido. Esta é uma lista de certificados possíveis ou chaves que você pode recuperar. A lista contem o assunto DN, o número de série certificado e as datas do período de validade. Selecione o certificado ou chave corretos para a recuperação. 10. Clique em Enviar Pedido de Recuperação de Chave. 14 Versão 3 Release 7.1

11. Clique em Verificar Status de Recuperação da Chave para determinar o status de seu pedido. Quando o Administrador do RA aprova o pedido, a página Pedido de Recuperação da Chave Status Concluído é exibida. 12. Clique em Salvar Arquivo PKCS #12 Recuperado para efetuar o download e salvar o arquivo recuperado. 3. Como Fazer Para...? Tivoli PKI Guia do Usuário 15

16 Versão 3 Release 7.1

4 Informações Sobre... 4. Informações Sobre... Os tópicos desta seção definem ou descrevem os conceitos relacionados à inscrição, registro, certificação, certificados e acesso aos recursos seguros. Inscrição Inscrição é a solicitação de um certificado. O Tivoli PKI oferece mais de um método de inscrição, e os critérios de sua organização ditam quais métodos estarão disponíveis. Os formulários de inscrição podem ser acessados através do navegador Web quando há necessidade de solicitar um certificado. Na página Web de inscrição, você pode ligar-se, concluir e emitir um formulário de inscrição. Seu objetivo pode ser um dos seguintes: Solicitar um certificado CA em preparação para suas tarefas de inscrição. Solicitar um certificado de navegador para você mesmo. Solicitar um certificado para um servidor ou dispositivo específico. Pré-registrar-se ou alguma outra pessoa de um certificado para acessar um aplicativo compatível com PKIX. Os dados dos formulários de inscrição são incluídos nos registros de banco de dados que os registradores do Registration Authority (RA) podem exibir na Registration Authority Desktop (RA Desktop) do Tivoli PKI. Pré-registro O Tivoli PKI permite a um programa ou administrador pré-registrar usuários em perspectiva. Se você for pré-registrar outras pessoas para os certificados, veja o cenário para isso: Você precisa obter informações sobre a pessoa que deseja pré-registrar. Elas podem ser obtidas com a pessoa ou nos registros da organização, como as informações contidas em um banco de dados. Você acessa a página de inscrição em seu navegador Web. Há um formulário de inscrição especialmente para o pré-registro de alguém. Você conclui o formulário, fornecendo informações que descrevam a pessoa e o tipo de certificado que desejam. Em seguida, você emite o formulário. Você verifica o status do pedido. Depois de aprovado o pedido de pré-registro, você recebe uma ID de transação, senha e o site Web do RA que aprovou o pedido. Você fornece essas informações por telefone, e-mail ou pessoalmente para a pessoa que foi pré-registrada. Opcionalmente, para a conveniência delas, você pode Tivoli PKI Guia do Usuário 17

fornecer-lhes um arquivo de pré-registro que contenha outras informações sobre o pedido. A pessoa utiliza o que foi enviado quando estiver pronta para solicitar seu certificado. Suporte ao Navegador Web O Tivoli PKI permite que você crie um pedido de inscrição, concluindo e emitindo um formulário de inscrição através de um dos seguintes navegadores Web: Registro Microsoft Internet Explorer, release 5.0 ou posterior. Netscape Navigator ou Communicator, versão 4.7x Registro é o processo de concessão de um certificado digital a uma pessoa ou outra entidade. No Tivoli PKI, antes do registro, um programa ou um registrador avalia as informações fornecidas com o pedido de inscrição. Em seguida, independente do pedido ser concedido ou não, o RA do Tivoli PKI cria um registro para o pedido no banco de dados de registro. Se a decisão for conceder o certificado, o Certificate Authority (CA) do Tivoli PKI emite o certificado. Critério de Negócios Quando um programa ou um registrador avalia suas informações de inscrição, eles aplicam os critérios de negócios de sua organização a algumas das informações de inscrição. O tipo de informação que um programa pode avaliar é menos complexo que o tipo que um registrador avalia. Os valores tendem a ser precisos, como o número mínimo de anos em uma residência. O Tivoli PKI permite que sua organização forneça informações de critérios para esse programa. O programa utiliza essas informações em suas avaliações. Autoridades de Registro No Tivoli PKI, o RA é um aplicativo do servidor. Ele é responsável por algumas das tarefas administrativas necessárias para o registro de usuários, incluindo o seguinte: Confirmar a identidade do usuário Verificar se o solicitador tem a concessão de direito a um certificado com os atributos e permissões solicitados Aprovar ou rejeitar pedidos para criar ou revogar certificados Suspender ou reativar certificados Verificar se alguém que tenta acessar um aplicativo seguro possui a chave privada associada à chave pública dentro de um certificado Bancos de Dados de Registro Um banco de dados de registro do Tivoli PKI armazena informações sobre registros. O banco de dados de registro é um banco de dados relacional, criado com o IBM DB2 Universal Database. O Tivoli PKI criptografa os registros. Contudo, através do RA Desktop um registrador autorizado pode ler a maioria das informações do registro. Domínios de Registro Cada sistema Tivoli PKI possui um único domínio de registro. Este domínio define os critérios de negócio, critérios de certificados e os recursos associados aos registros e certificação em sua organização. Os usuários que desejam acessar um recurso deve ser registrados no domínio desse recurso. 18 Versão 3 Release 7.1

Quando o software do servidor RA é instalado, ele contém uma estrutura que permite que uma organização configure o recurso de registro. Ele pode utilizar um dos idiomas ou critérios suportados pelo RA. O nome de domínio, idioma e caminho de instalação compõem o site Web para acesso a uma determinada instância do recurso de registro. Por exemplo, se o nome do servidor Web público fosse MyPublicWebServer e o nome de domínio do seu registro fosse MyDomain, você utilizaria o seguinte site Web para acessar o recurso de registro: http://mypublicwebserver/mydomain/index.jsp 4. Informações Sobre... Um sistema Tivoli PKI inclui um Java Server Page (index.jsp) padrão com o recurso de registro. Esta página é exibida no site Web de inscrição para seu domínio de registro. Ela fornece os seguintes tipos de serviços de inscrição: Usuários em perspectiva vão para essa página Web para solicitar um certificado e para renovar ou revogar seus próprios certificados de navegador. Os administradores também podem visitar a página de inscrição da Web para pré-registrar outros usuários. Os registradores do Tivoli PKI acessam o RA Desktop para trabalhar com os pedidos de registro e certificados que estão associados a um domínio de registro. Gravar Registros Cada pedido de certificado é um formulário de inscrição emitido ao RA do Tivoli PKI. Cada pedido de inscrição resulta em um registro do banco de dados de registro. As atualizações desse registro refletem todas as ações no pedido, mesmo que seja uma rejeição. Quando um certificado é criado, o mesmo registro reflete qualquer evento que se relacione a esse certificado. Portanto, os registros contêm todos os eventos do período de validade do pedido e do certificado associado. Atributos do Registro Os atributos de um registro no banco de dados de registro são variáveis que descrevem o pedido de inscrição. Para pedidos preenchidos completamente, as variáveis também descrevem o certificado que foi concedido. Outros atributos são variáveis de processamento que ajudam sua organização a impor seus critérios de negócio. Muitos atributos e seus valores são visíveis aos administradores do RA através do RA Desktop. Certificação Certificação é a criação de um certificado digital para uma entidade ou pessoa. No Tivoli PKI, a certificação ocorre apenas após avaliação e aprovação de um pedido de inscrição. Como resultado do registro, a Certificate Authority (CA) emite os certificados. No Tivoli PKI, o tipo de certificado emitido é consistente com os critérios de negócio de sua organização. Autoridades de Certificação No Tivoli PKI, o CA é um programa servidor responsável pela emissão de certificados digitais, de acordo com os critérios de sua organização. O Tivoli PKI suporta certificação cruzada, na qual os CAs que confiam um no outro concordam em aceitar seus certificados como prova de autenticidade. O Tivoli PKI também suporta uma hierarquia do CA. Os CAs confiam nos CAs acima deles na hierarquia e aceitam os certificados desses CAs como prova de autenticidade. Tivoli PKI Guia do Usuário 19