Configuración de aprobaciones y acciones por firma digital (Guía del administrador de negocio de Sun Identity Manager 8.1)

Guía del administrador de negocio de Sun Identity Manager 8.1

Configuración de aprobaciones y acciones por firma digital

Utilice la información y los procedimientos descritos a continuación para configurar la operación de firma digital. Es posible firmar digitalmente:

Aprobaciones (incluidas las de cambios)
Acciones de revisión de acceso
Remediaciones de infracciones de cumplimiento

En esta sección se explica la configuración del lado del servidor y del lado del cliente necesaria para agregar el certificado y la CRL a Identity Manager para las aprobaciones firmadas.

Para habilitar la configuración del lado del servidor para aprobaciones firmadas

Abra el objeto de configuración del sistema para editarlo y defina security.nonrepudiation.signedApprovals=true

Encontrará instrucciones para editar el objeto de configuración del sistema en Edición de objetos de configuración de Identity Manager.

En caso de utilizar PKCS11, también deberá definir security.nonrepudiation.defaultKeystoreType=PKCS11

Si utiliza un proveedor de claves PKCS11 personalizado, también deberá definir security.nonrepudiation.defaultPKCS11KeyProvider= nombre de su proveedor

Nota –
Para obtener más información acerca de cuándo es necesario incluir un proveedor personalizado, consulte los elementos siguientes en el kit REF.
com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider
El kit REF (Resource Extension Facility) se encuentra en el directorio /REF del CD del producto o en la imagen de instalación.

Agregue los certificados de su autoridad de certificación (AC) como certificados de confianza. Para ello debe obtener primero una copia de los certificados.

Por ejemplo, si utiliza una autoridad de certificación de Microsoft, siga un procedimiento como éste:
1. Vaya a http://IPAddress/certsrv e inicie la sesión con privilegios administrativos.
2. Elija recuperar el certificado de AC o la lista de revocación de certificados y pulse Next.
3. Descargue el certificado de AC y guárdelo.

Agregue el certificado a Identity Manager como un certificado de confianza:
1. En la interfaz de administración, seleccione Seguridad y después Certificados. Identity Manager muestra la página Certificados.
  
  Figura 6–6 Página Certificados
2. En el área Certificados de CA en los que se confía, haga clic en Añadir. Identity Manager muestra la página Importar certificado.
3. Busque y seleccione el certificado de confianza y haga clic en Importar.
  
  Al hacerlo, el certificado aparece en la lista de certificados de confianza.

Agregue la lista de revocación de certificados (CRL) de su AC.
1. En el área CRLs de la página Certificados, pulse Agregar.
2. Especifique la URL de la CRL emitida por la autoridad de certificación (AC).
  
  Nota –
  - La lista de revocación de certificados (CRL) es una lista de números de serie de certificados que se han revocado o no son válidos.
  - La URL de la CRL emitida por la autoridad de certificación (AC) puede ser http o LDAP.
  - Cada AC tiene una URL distinta donde se distribuyen las CRL. Puede averiguar cuál es examinando la extensión de puntos de distribución de CRL del certificado.

Haga clic en Conexión de prueba para verificar la URL.

Haga clic en Guardar.

Firme los applets/ts2.jar mediante jarsigner.

Nota –
Encontrará más información en http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html. El archivo ts2.jar suministrado con Identity Manager se firma mediante un certificado firmado automáticamente y no debe utilizarse con sistemas de producción. En producción conviene volver a firmar este archivo utilizando un certificado de firma codificada emitido por su AC de confianza.

Para habilitar la configuración del lado del servidor para aprobaciones firmadas mediante PKCS12

La siguiente información de configuración corresponde a aprobaciones firmadas mediante PKCS12. Obtenga un certificado y una clave privada, y después expórtelos a un almacén de claves PKCS#12. Por ejemplo, si utiliza una autoridad de certificación de Microsoft, siga un procedimiento como éste:

Antes de empezar

Identity Manager ahora requiere como mínimo JRE 1.5.

Con Internet Explorer, vaya a http://IPAddress/certsrv e inicie la sesión con privilegios administrativos.

Seleccione Request a certificate y pulse Next.

Seleccione Advanced request y pulse Next.

Pulse Next.

Seleccione User for Certificate Template.

Seleccione estas opciones:
1. Mark keys as exportable.
2. Enable strong key protection.
3. Use local machine store.

Pulse Submit y después OK.

Haga clic en Install this certificate.

Seleccione Run -> mmc para iniciar mmc.

Agregue el componente de certificado:
1. Seleccione Console -> Add/Remove Snap-in.
2. Haga clic en Add.
3. Seleccione Computer account.
4. Pulse Next y después Finish.
5. Haga clic en Close.
6. Haga clic en OK.
7. Vaya a Certificates -> Personal -> Certificates.
8. Haga clic con el botón secundario en Administrator All Tasks -> Export.
9. Pulse Siguiente.
10. Pulse Next para confirmar la exportación de la clave privada.
11. Pulse Siguiente.
12. Introduzca una contraseña y pulse Next.
13. Archivo CertificateLocation.
14. Pulse Next y después Finish. Pulse OK para confirmar.
  
  Nota –
  Anote la información utilizada en los pasos 10l (contraseña) y 10m (ubicación del certificado) de la configuración del lado del cliente. Necesitará dicha información para firmar aprobaciones.

Para habilitar la configuración del lado del cliente para aprobaciones firmadas mediante PKCS11

Si va a utilizar PKCS11 para las aprobaciones firmadas

Consulte los recursos siguientes en el kit REF para obtener información sobre la configuración:
com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider
El kit REF (Resource Extension Facility) se encuentra en el directorio /REF del CD del producto o en la imagen de instalación.