Gerenciamento de certificados

Editar online

Os certificados são usados para assinar, validar, criptografar e decriptografar diversos objetos, tais como asserções SAML e OAuth e OpenID Connect JSON Web Tokens (JWT).

Antes de começar

  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console IBM® Verify de administração como administrador.
Observação: Se for utilizado um certificado assinado por uma CA, todos os certificados intermediários e raiz da cadeia precisam ser importados para IBM Verify o truststore. O certificado assinado pela autoridade de certificação deve ter um CRL válido definido e o site do CRL deve ser acessível.

Sobre esta tarefa

Verify utiliza os seguintes certificados:
Certificado pessoal

Um certificado de confiança digital que um cliente ou servidor dá a outros clientes ou servidores para autenticação.

O certificado pessoal contém um certificado de assinante ou uma chave pública e uma chave privada para assinar e criptografar dados.

O provedor de identidade sempre assina sua resposta de autenticação do protocolo SAML. Ao configurar o logon único d SAML, é necessário fornecer ao provedor de serviços o certificado do signatário ou o componente de chave pública do certificado pessoal. Esta informação valida a identidade do provedor de identidade. O certificado de signatário ou chave pública do certificado pessoal é preenchido automaticamente nas Aplicações > Entrar instruções.

O certificado também é usado para assinar tokens de ID para aplicativos de conexão única OIDC.

Verify inclui um certificado pessoal. No entanto, esse certificado é destinado apenas para propósitos de demonstração, prova de conceito ou prova de tecnologia. Não use o certificado fornecido em um ambiente de produção. Adicione um certificado pessoal diferente durante a configuração inicial Verify .

É possível incluir vários certificados pessoais, mas deve-se sempre ter um certificado:
  • Com o Nome Descritivo definido como server.
  • Configurar como padrão. Apenas o certificado padrão é usado para assinar a resposta de autenticação do SAML.

Quando o certificado pessoal padrão está prestes a expirar, deve-se certificar-se de mudá-lo e, em seguida, reconfigurar a conexão única para o aplicativo que utilizou a chave pública desse certificado pessoal. Caso contrário, a configuração da conexão única não poderá funcionar se a chave pública não for compatível com o novo certificado pessoal padrão.

Certificado signatário

Um certificado de confiança digital que é gerado e fornecido pelo provedor de serviços, e ele é específico para a conta ou instância do aplicativo de destino.

O certificado de assinante contém a chave pública que está associada ao certificado pessoal do aplicativo de destino. O certificado de assinante valida e confia no emissor do certificado. Verify usa esse certificado para validar a solicitação de autenticação assinada SAML que recebe do aplicativo de destino e para indicar que Verify confia no aplicativo de destino.

Se o provedor de serviços assinar seu pedido de autenticação SAML, ele fornecerá seu certificado de assinante. Normalmente, é possível obter os detalhes do certificado de assinante por meio dos metadados de provedor de serviços. Importe-o antes Verify de configurar o logon único d SAML para o aplicativo de destino.

Se o provedor de serviços não assinar seu pedido de autenticação SAML, ele não fornecerá um certificado de assinante.

É possível incluir vários certificados de assinante.
Observação: Ao adicionar um provedor de identidade corporativo do tipo “ SAML ”, seu certificado de assinante é importado automaticamente na página Segurança > Certificados > Certificados de assinante.
As seguintes tarefas podem ser executadas:

Procedimento

  1. Selecione Segurança > Certificados
  2. Visualize as informações de certificado.
    1. Selecione o certificado para exibir a caixa de diálogo "Detalhes do certificado ", que fornece as seguintes informações:
      Tabela 1. Detalhes do certificado
      Informações Descrições
      Nome amigável

      Também referido como o alias do certificado. É o nome de exibição. Isso é considerado uma referência direta ao certificado, em vez do número de série e do DN do emissor.

      Ele deve estar com texto em letras minúsculas. Use apenas caracteres alfanuméricos.
      Tipo de certificado

      Identifica o certificado como certificado pessoal ou certificado de assinante.
      DN do Emissor O nome distinto da entidade que assinou e emitiu o certificado. É geralmente o autoridade de certificação.

      Ele consiste em vários pares attribute=value, que são separados por vírgulas.

      CN: CommonName
      O nome completo do domínio para a organização.
      OU: OrganizationalUnit
      Nome da divisão ou do departamento na organização.
      O: Organization
      O nome jurídico da organização que está registrado com a autoridade apropriada da cidade, estado ou país/região.
      L: Locality
      A cidade onde fica o endereço da organização.
      ST: StateOrProvinceName
      O estado ou município onde a organização está localizada fisicamente.
      C®: CountryName
      Um código de país ou região de dois caracteres.
      DN do assunto

      Nome distinto do assunto. O nome da entidade para a qual o certificado é emitido.

      Ele consiste em vários pares attribute=value, que são separados por vírgulas.
      Válido de

      A data inicial em que este certificado é válido. Os certificados são válidos somente por um período específico. A autoridade de certificação configura e inicia o período de validade do certificado quando ele assina o certificado.

      A data especificada depende das configurações de data e hora locais.
      Vence em O certificado não é válido após essa data.

      A data especificada depende das configurações de data e hora locais.
      Número de Série Um identificador exclusivo para distinguir o certificado de outros certificados que a autoridade de certificação emitiu.
      Impressões digitais
      Um algoritmo digest para identificar o certificado. O algoritmo que é usado para executar hash no certificado de chave pública e para assinar mensagens SAML 2.0 de saída.
      • SHA-1
        Observação: as entidades emissoras de certificados do SSL deixaram de oferecer esse algoritmo a partir de janeiro de 2016.
      • SHA-256
      Certificado padrão

      Indica se é o certificado padrão.

      O certificado pessoal padrão não pode se editado ou excluído.
      Algoritmo de assinatura O algoritmo de hash e de criptografia do certificado.
  3. Adicione um certificado pessoal.
    1. Selecione “Adicionar certificado pessoal ”. A caixa de diálogo Incluir certificado pessoal é exibida.
    2. Procure o arquivo ` PKCS#12 ` (.p12) ou ` PKCS#8 ` (.p8). Alternativamente, arraste-o para a área de descarte.
      Observação: apenas certificados RSA são compatíveis com o formato de arquivo PKCS#12, e apenas certificados ECDSA são compatíveis com o formato de arquivo PKCS#8.
      O nome do arquivo selecionado é exibido.
    3. Especifique as seguintes informações para o novo certificado:
      Tabela 2. Caixa de diálogo “Adicionar certificado pessoal”
      Informações Descrição
      Senha do arquivo Necessário apenas para arquivos.p12.

      Senha para decriptografar e instalar o arquivo de certificado.
      Nome amigável Necessário para arquivos .p8, mas opcional para .p12 files.

      Um rótulo para o certificado.
      Certificado padrão Indica se é o certificado padrão.
      Observação: Somente .p12 certificados podem ser usados como certificado padrão.
    4. Selecione OK.
  4. Adicione um certificado de signatário.
    1. Selecione “Adicionar certificado de signatário ”. A caixa de diálogo Incluir certificado de assinante é exibida.
    2. Procure o .pem arquivo ou arraste-o para a área de soltar.
      O nome do arquivo selecionado é exibido.
    3. Especifique o nome descritivo do novo certificado. Consulte a Tabela 1 para obter mais detalhes.
    4. Selecione OK.
      O certificado é exibido na seção “Certificados do signatário”. Ele também é adicionado como um valor para o Certificado de Assinante do Provedor de Serviços na página Aplicativos > Login.
  5. Excluir um certificado pessoal ou um certificado de signatário.
    1. Escolha uma das opções a seguir:
      • Passe o mouse sobre o certificado que deseja excluir e selecione o Excluir ícone.
      • Selecione o certificado.
    2. Selecione Excluir.
    3. Confirme se deseja excluir permanentemente o usuário ou usuários selecionados.