Utilice la información y los procedimientos descritos a continuación para configurar la operación de firma digital. Es posible firmar digitalmente:
Aprobaciones (incluidas las de cambios)
Acciones de revisión de acceso
Remediaciones de infracciones de cumplimiento
En esta sección se explica la configuración del lado del servidor y del lado del cliente necesaria para agregar el certificado y la CRL a Identity Manager para las aprobaciones firmadas.
Abra el objeto de configuración del sistema para editarlo y defina security.nonrepudiation.signedApprovals=true
Encontrará instrucciones para editar el objeto de configuración del sistema en Edición de objetos de configuración de Identity Manager.
En caso de utilizar PKCS11, también deberá definir security.nonrepudiation.defaultKeystoreType=PKCS11
Si utiliza un proveedor de claves PKCS11 personalizado, también deberá definir security.nonrepudiation.defaultPKCS11KeyProvider= nombre de su proveedor
Para obtener más información acerca de cuándo es necesario incluir un proveedor personalizado, consulte los elementos siguientes en el kit REF.
com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider |
El kit REF (Resource Extension Facility) se encuentra en el directorio /REF del CD del producto o en la imagen de instalación.
Agregue los certificados de su autoridad de certificación (AC) como certificados de confianza. Para ello debe obtener primero una copia de los certificados.
Por ejemplo, si utiliza una autoridad de certificación de Microsoft, siga un procedimiento como éste:
Agregue el certificado a Identity Manager como un certificado de confianza:
En la interfaz de administración, seleccione Seguridad y después Certificados. Identity Manager muestra la página Certificados.
En el área Certificados de CA en los que se confía, haga clic en Añadir. Identity Manager muestra la página Importar certificado.
Busque y seleccione el certificado de confianza y haga clic en Importar.
Al hacerlo, el certificado aparece en la lista de certificados de confianza.
Agregue la lista de revocación de certificados (CRL) de su AC.
En el área CRLs de la página Certificados, pulse Agregar.
Especifique la URL de la CRL emitida por la autoridad de certificación (AC).
La lista de revocación de certificados (CRL) es una lista de números de serie de certificados que se han revocado o no son válidos.
La URL de la CRL emitida por la autoridad de certificación (AC) puede ser http o LDAP.
Cada AC tiene una URL distinta donde se distribuyen las CRL. Puede averiguar cuál es examinando la extensión de puntos de distribución de CRL del certificado.
Haga clic en Conexión de prueba para verificar la URL.
Haga clic en Guardar.
Firme los applets/ts2.jar mediante jarsigner.
Encontrará más información en http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html. El archivo ts2.jar suministrado con Identity Manager se firma mediante un certificado firmado automáticamente y no debe utilizarse con sistemas de producción. En producción conviene volver a firmar este archivo utilizando un certificado de firma codificada emitido por su AC de confianza.
La siguiente información de configuración corresponde a aprobaciones firmadas mediante PKCS12. Obtenga un certificado y una clave privada, y después expórtelos a un almacén de claves PKCS#12. Por ejemplo, si utiliza una autoridad de certificación de Microsoft, siga un procedimiento como éste:
Identity Manager ahora requiere como mínimo JRE 1.5.
Con Internet Explorer, vaya a http://IPAddress/certsrv e inicie la sesión con privilegios administrativos.
Seleccione Request a certificate y pulse Next.
Seleccione Advanced request y pulse Next.
Pulse Next.
Seleccione User for Certificate Template.
Seleccione estas opciones:
Pulse Submit y después OK.
Haga clic en Install this certificate.
Seleccione Run -> mmc para iniciar mmc.
Agregue el componente de certificado:
Seleccione Console -> Add/Remove Snap-in.
Haga clic en Add.
Seleccione Computer account.
Pulse Next y después Finish.
Haga clic en Close.
Haga clic en OK.
Vaya a Certificates -> Personal -> Certificates.
Haga clic con el botón secundario en Administrator All Tasks -> Export.
Pulse Siguiente.
Pulse Next para confirmar la exportación de la clave privada.
Pulse Siguiente.
Introduzca una contraseña y pulse Next.
Archivo CertificateLocation.
Pulse Next y después Finish. Pulse OK para confirmar.
Anote la información utilizada en los pasos 10l (contraseña) y 10m (ubicación del certificado) de la configuración del lado del cliente. Necesitará dicha información para firmar aprobaciones.
Si va a utilizar PKCS11 para las aprobaciones firmadas
Consulte los recursos siguientes en el kit REF para obtener información sobre la configuración:
com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider |
El kit REF (Resource Extension Facility) se encuentra en el directorio /REF del CD del producto o en la imagen de instalación.