Certificados que são usados para servidores de chaves de criptografia
Quando você ativa a criptografia com servidores principais, dois tipos de certificados são necessários para garantir a comunicação segura entre o sistema e o servidor principal de criptografia.
Os certificados são o método primário que é usado pelos servidores de chaves para autenticar o sistema e para o sistema se autenticar nos servidores de chaves. A troca desses certificados verifica se esse acesso às chaves de criptografia, armazenadas nos servidores de chaves, é permitido. A autenticação do sistema garante que os servidores de chaves não concedam acesso às chaves a uma parte não confiável. A autenticação dos servidores de chaves garante que o sistema não solicite que chaves sensíveis sejam armazenadas por uma parte não confiável. A segurança do sistema depende de dois fatores. Primeiro: os certificados públicos dos servidores de chaves e do sistema devem ser trocados de forma segura, para que cada dispositivo possa confiar no outro. Segundo: os servidores de chaves e o sistema devem manter sua chave privada, que está associada ao certificado, segura.
Os certificados do servidor de chaves, que são usados pelo sistema para verificar os servidores de chaves, devem ser transferidos para o sistema e instalados. Quando você estiver incluindo servidores de chaves no sistema, um certificado que é assinado por um terceiro confiável ou um certificado autoassinado pode ser usado. Uma combinação desses certificados poderá ser usada se você estiver incluindo mais de um servidor de chaves. Se uma combinação de certificados autoassinados e certificados assinados por uma autoridade de certificação estiver instalada, os certificados do servidor de chaves autoassinados que são instalados no sistema assumem a prioridade de qualquer certificado do servidor de chaves assinado por CA que estiver instalado no sistema.
Se todos os servidores de chaves estiverem usando um certificado que é assinado pela mesma autoridade de certificação, ele é recomendado que o certificado CA esteja instalado nas configurações do tipo de servidor de chaves (por exemplo, chkeyserverisklm -sslcert...) em vez dos terminais do servidor principal (por exemplo, mkkeyserver -sslcert...). O certificado de autoridade de certificação para as configurações do tipo do servidor de chaves será usado apenas quando você se conectar a um servidor de chaves se o terminal do servidor de chaves não tiver um certificado que esteja instalado. Se você estiver usando certificados autoassinados individuais para cada servidor de chaves, os certificados serão instalados em cada terminal do servidor de chaves. Se você estiver usando certificados do servidor de chaves que fazem parte de uma cadeia de confiança, consulte Usando cadeias de certificados para servidores de chaves.
Se os servidores de chaves forem parte do mesmo sistema e estiverem configurados para replicar suas chaves e certificados uns com os outros, os certificados do servidor de chaves serão copiados para todos os servidores de chaves. O sistema pode se conectar a todos os servidores de chaves com o mesmo certificado do servidor. Além disso, o certificado do sistema deve ser instalado em cada um dos servidores de chaves configurados. O administrador do servidor de chaves aceita o certificado do sistema para conceder acesso aos servidores de chaves. Para configurar o certificado do sistema para comunicações seguras, selecione .
Usando cadeias de certificados para servidores de chaves
Para que o sistema se autentique usando SSL com um servidor de chaves que use cadeias de certificados assinados, o sistema requer que vários certificados sejam instalados. Todos os certificados na cadeia de certificados (excluindo o próprio certificado do servidor, ou seja, o certificado leaf) devem ser instalados. Por exemplo, se o certificado do servidor de chaves X for assinado pela autoridade de certificação Y, em que o certificado da autoridade de certificação Y é assinado pela autoridade de certificação raiz Z, o sistema exigirá que os certificados Y e Z sejam instalados no sistema para se comunicarem com sucesso com o servidor de chaves X. Para instalar esse certificado, crie um único arquivo de certificado que contenha a cadeia completa de certificados, exceto do certificado do servidor de chaves. O primeiro certificado no arquivo é o certificado de autoridade de certificação, que foi usado para assinar a folha da cadeia de certificados (o certificado do servidor de chaves). O último certificado no arquivo é o certificado de autoridade de certificação raiz. Entre o primeiro certificado do arquivo e o certificado raiz, todos os certificados de autoridade de certificação intermediários são especificados em ordem. Se existirem vários certificados intermediários, inclua esses certificados por ordem de folha para raiz.
O arquivo de certificados resultante deve conter o primeiro certificado intermediário na parte superior do arquivo, seguido por certificados de autoridade de certificação intermediários subsequentes por ordem, um por um. Finalmente, o certificado de autoridade de certificação raiz é o último na parte inferior do arquivo. O arquivo resultante contém apenas os dados PEM para cada certificado com qualquer outra coisa, como comentários, removidos do arquivo. Cada certificado no arquivo é separado por uma nova linha e cada certificado começa com o cabeçalho "-----BEGIN CERTIFICATE-----" e termina com "-----END CERTIFICATE -----".
-----INICIAR CERTIFICADO-----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-----FIM DO CERTIFICADO-----
-----INICIAR CERTIFICADO-----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-----FIM DO CERTIFICADO-----