Gestione dei certificati

Modifica online

I certificati vengono utilizzati per firmare, convalidare, codificare e decodificare vari oggetti come le asserzioni SAML e OAuth e JWT (JSON Web Token) OpenID Connect.

Prima di iniziare

  • È necessario disporre dell'autorizzazione di gestione per completare questa attività.
  • Accedere alla console di amministrazione di IBM® Verify come amministratore.
Nota: se viene utilizzato un certificato firmato CA, tutti i certificati intermedi e root nella catena devono essere importati nel truststore IBM Verify . Il certificato firmato CA deve avere un CRL valido definito e il sito CRL deve essere accessibile.

Informazioni su questa attività

Verify utilizza i seguenti certificati:
Certificato personale

Un certificato di attendibilità digitale che un client o un server fornisce ad altri client o server per l'autenticazione.

Il certificato personale contiene un certificato del firmatario o una chiave pubblica e una chiave privata per la firma e la codifica dei dati.

Il provider di identità firma sempre la sua risposta di autenticazione SAML . Quando si configura l'SSO (single sign - on) SAML , è necessario fornire il provider del servizio con il componente certificato firmatario o chiave pubblica del certificato personale. Queste informazioni convalidano l'identità del provider di identità. Il certificato del firmatario o chiave pubblica del certificato personale viene automaticamente inserito nelle Applicazioni > Accesso istruzioni.

Il certificato viene utilizzato anche per firmare i token ID per le applicazioni SSO (single sign - on) OIDC.

Verify include un certificato personale. Tuttavia, questo certificato è destinato solo a scopi dimostrativi, di prova di concetto o di prova di tecnologia. Non utilizzare il certificato fornito in ambiente di produzione. Aggiungere un certificato personale differente durante la configurazione iniziale di Verify .

È possibile aggiungere diversi certificati personali , ma è necessario avere sempre un certificato:
  • Con Nome descrittivo impostato come server.
  • Impostare come predefinito. Viene utilizzato solo il certificato predefinito per firmare la risposta di autenticazione SAML .

Quando il certificato personale predefinito sta per scadere, assicurarsi di modificarlo e quindi riconfigurare SSO per l'applicazione che ha utilizzato la chiave pubblica di tale certificato personale. In caso contrario, la configurazione SSO (single sign - on) non può funzionare se la chiave pubblica non è compatibile con il nuovo certificato personalepredefinito.

Certificato firmatario

Un certificato di attendibilità digitale generato e fornito dal fornitore del servizioed è specifico dell'account o dell'istanza dell'applicazione di destinazione.

Il certificato del firmatario contiene la chiave pubblica associata al certificato personale dell'applicazione di destinazione. Il certificato firmatario convalida e considera attendibile l'emittente del certificato. Verify utilizza questo certificato per convalidare la richiesta di autenticazione SAML firmata che riceve dall'applicazione di destinazione e per indicare che Verify considera attendibile l'applicazione di destinazione.

Se il provider del servizio firma la sua richiesta di autenticazione SAML , fornisce il certificato del firmatario. Generalmente, è possibile ottenere i dettagli del certificato del firmatario dai metadati del provider del servizio . Importarlo in Verify prima di configurare l'SSO SAML per l'applicazione di destinazione.

Se il provider del servizio non firma la sua richiesta di autenticazione SAML , non fornisce un certificato del firmatario.

È possibile aggiungere diversi certificati del firmatario.
Nota: quando si aggiunge un provider di identità aziendale SAML, il relativo certificato di firma viene importato automaticamente nella pagina Sicurezza > Certificati > Certificati di firma.
È possibile eseguire le seguenti attività:

Procedura

  1. Seleziona Sicurezza > Certificati
  2. Visualizzare le informazioni sul certificato
    1. Selezionare il certificato per visualizzare la casella di dialogo Dettagli certificato , che fornisce le seguenti informazioni:
      Tabella 1. Dettagli del certificato
      Informazioni Descrizioni
      Nome descrittivo

      indicato anche come alias del certificato. È il nome di visualizzazione. Viene considerato come un riferimento mirato al certificato invece che al Numero di serie e al DN emittente.

      Deve essere in minuscolo. Utilizzare solo caratteri alfanumerici.
      Tipo di certificato

      Identifica il certificato come certificato personale o certificato firmatario.
      DM emittente Il DN dell'entità che ha firmato ed emesso il certificato. Generalmente è l' autorità di certificazione.

      È composto da diverse coppie attribute=value , separate da virgole.

      CN: CommonName
      Il nome dominio completo per l'organizzazione.
      OU: OrganizationalUnit
      Nome della divisione o del reparto nell'organizzazione.
      O: Organizzazione
      Il nome legale dell'organizzazione registrata con l'autorità di città, stato o paese / regione appropriata.
      L: Località
      La città in cui si trova l'indirizzo dell'organizzazione.
      ST: StateOrProvinceName
      Lo stato o la provincia in cui si trova fisicamente l'organizzazione.
      C®: CountryName
      Un codice paese o regione di due caratteri.
      DN soggetto

      DN (distinguished name) oggetto. Il nome dell'entità a cui viene emesso il certificato.

      È composto da diverse coppie attribute=value , separate da virgole.
      Valido da

      La data di inizio in cui questo certificato è valido. I certificati sono validi solo per un'ora specifica. L' autorità di certificazione imposta e avvia il periodo di validità del certificato quando firma il certificato.

      La data specificata dipende dalle impostazioni di data e ora locali.
      Scadenza Il certificato non è valido dopo questa data.

      La data specificata dipende dalle impostazioni di data e ora locali.
      Numero di serie Un identificativo univoco per distinguere il certificato da altri certificati emessi dall' autorità di certificazione .
      Impronte digitali
      Un algoritmo digest per identificare il certificato. L'algoritmo utilizzato per eseguire l'hash del certificato della chiave pubblica e per firmare i messaggi SAML in uscita 2.0 .
      • SHA-1
        Nota: gli emittenti di certificato SSL hanno dichiarato obsoleto questo algoritmo a partire da gennaio 2016.
      • SHA-256
      Certificato predefinito

      Indica se è il certificato predefinito.

      Il certificato personale predefinito non può essere modificato o eliminato.
      Algoritmo di firma L'algoritmo di codifica e hash del certificato.
  3. Aggiungere un certificato personale .
    1. Selezionare Aggiungi certificato personale. Viene visualizzata la finestra di dialogo Aggiungi certificato personale .
    2. Ricercare il file PKCS#12 (.p12) o il file PKCS#8 (.p8). In alternativa, trascinarlo nell'area di rilascio.
      Nota: solo i certificati RSA sono supportati nel formato file PKCS#12 e solo i certificati ECDSA sono supportati in formato file PKCS#8 .
      Viene visualizzato File selezionato .
    3. Specificare le seguenti informazioni per il nuovo certificato:
      Tabella 2. Aggiungi finestra di dialogo certificato personale
      Informazioni Descrizione
      Password di file Obbligatorio solo per i file .p12 .

      Password per decodificare e installare il file del certificato.
      Nome descrittivo Obbligatorio per i file .p8 , ma facoltativo per .p12 files.

      Un'etichetta per il certificato.
      Certificato predefinito Indica se è il certificato predefinito.
      Nota: come certificato predefinito è possibile utilizzare solo .p12 certificati.
    4. Selezionare OK.
  4. Aggiungere un certificato del firmatario .
    1. Selezionare Aggiungi certificato firmatario. Viene visualizzata la finestra di dialogo Aggiungi certificato firmatario .
    2. Ricerca il file .pem o trascinarlo nell'area di rilascio.
      Viene visualizzato il nome del file selezionato .
    3. Specificare il Nome descrittivo per il nuovo certificato. Consultare Tabella 1 per i dettagli.
    4. Selezionare OK.
      Il certificato viene visualizzato nella sezione Certificati firmatario . Viene inoltre aggiunto come valore per il certificato del firmatario del fornitore di servizi nella pagina Applicazioni > Accesso.
  5. Eliminare un certificato personale o un certificato del firmatario.
    1. Scegliere tra le seguenti opzioni:
      • Passa con il mouse sul certificato che desideri eliminare e seleziona Elimina l'icona.
      • Selezionare il certificato.
    2. Selezionare Elimina.
    3. Confermare che si desidera eliminare in modo definitivo l'utente o gli utenti selezionati.