Amministrazione del sistema Documentazione IBM HTTP Server

Abilitazione dell'hardware crittografico per SSL (Secure Sockets Layer)

Riservato agli utenti AIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

In questa sezione vengono fornite informazioni relative all'abilitazione dell'hardware crittografico per SSL (Secure Sockets Layer). I collegamenti agli argomenti correlati vengono visualizzati alla fine di questa sezione.

 

La gestione di chiavi crittografiche e la successiva memorizzazione delle stesse sull'hardware crittografico forniscono una struttura molto protetta per le transazioni online. Tale capacità migliora le prestazioni e la sicurezza di un server Web che utilizza SSL.

Nota: Per quest' esempio, i dispositivi di memorizzazione chiavi sono definiti come quei dispositivi in cui la chiave è visibile solo sul dispositivo hardware.

I seguenti dispositivi crittografici sono stati verificati con IBM HTTP Server:

Dispositivo Memorizzazione chiavi? Supporto accelerazione? Note Note

Rainbow Cryptoswift PCI con modello interfaccia BSAFE No Utilizzare solo con la direttiva SSLAcceleratorDisable. Supportata sui sistemi operativi HP, Solaris, Windows NT e Windows 2000.

nCipher nFast Accelerator con plug-in BHAPI su BSAFE 4.0 No Solo acceleratore Richiede un'unità nForce basata su SCSI o su PCI; utilizzare solo con la direttiva SSLAcceleratorDisable. Supportata sui sistemi operativi Solaris, Windows NT e Windows 2000.

nCipher nForce Accelerator, modalità acceleratore No Utilizza l'interfaccia BHAPI e BSAFE. Supportata sui sistemi operativi Solaris, Windows NT e Windows 2000.

nCipher nForce Accelerator, modalità acceleratore memorizzazione chiavi Utilizza l'interfaccia PKCS#11. Richiede un'unità nForce basata su SCSI o su PCI. Passare a nCipher nForce Accelerator V4.0 o versioni successive per migliorare le prestazioni. Supportata sui sistemi operativi AIX, HP, Linux, Solaris, Windows NT e Windows 2000.

IBM 4758 Modello 002/023 con interfaccia PKCS#11 No Utilizza l'interfaccia PKCS11. Supportata sui sistemi operativi AIX, Windows NT e Windows 2000.

 
Riservato agli utenti AIX

Il supporto per i seguenti adattatori è stato verificato con WebSphere Application Server, versione 4.0.2 o successive:

Dispositivo Memorizzazione chiavi? Supporto accelerazione? Note Note

Rainbow Cryptoswift PCI con interfaccia BSAFE modello CS/200 e CS/600 No Supportato sul sistema operativo AIX.

IBM e-business Cryptographic Accelerator No Utilizza l'interfaccia PKCS11. Poiché questo dispositivo utilizza l'interfaccia PKCS11, la direttiva SSLAcceleratorDisable non viene applicata a questo dispositivo. Supportato sul sistema operativo AIX.

Utilizzare Rainbow Cryptoswift, IBM e-business Cryptographic Accelerator, nCipher nFast Accelerator e nCipher nForce Accelerator per le operazioni a chiavi pubbliche e la decodifica chiavi RSA. Questi dispositivi memorizzano le chiavi sul disco rigido. I dispositivi acceleratori velocizzano le funzioni crittografiche delle chiavi pubbliche di SSL, liberando il processore del server, aumentando la velocità di trasmissione e diminuendo i tempi di attesa. Gli acceleratori Rainbow Cryptoswift, IBM e-business Cryptographic Accelerator e nCipher consentono prestazioni più veloci e transazioni multiple simultanee e protette.

Il protocollo PKCS#11 memorizza le chiavi RSA sull'hardware crittografico o decodifica le chiavi utilizzando l'hardware crittografico per assicurare la protezione. nCipher nForce Accelerator può eseguire l'accelerazione e la memorizzazione delle chiavi con il supporto PKCS#11 oppure solamente l'accelerazione. IBM 4758 e nCipher nForce Accelerator con il supporto PKCS#11 garantiscono l'inaccessibilità della chiave dall'esterno. Questo supporto non rivela mai le chiavi in una forma non criptata poiché la chiave è criptata dall'hardware o memorizzata sull'hardware.

nCipher nForce Accelerator V4.0 e versioni successive con memorizzazione delle chiavi PKCS11 dispongono di un'opzione non rimovibile che può migliorare notevolmente le prestazioni. Contattare il Supporto tecnico nCipher per le istruzioni riguardanti l'attivazione di questa funzione.

Introduzione

IBM 4758 richiede il software di supporto PKCS11 per la macchina host e il firmware interno. Inoltre, è necessario il manuale per le istruzioni sull'installazione software e sul caricamento del microcodice del coprocessore della scheda. Il manuale e il software di supporto non vengono forniti con la scheda IBM 4758 ma possono essere scaricati dal sito web: http://www-3.ibm.com/security/cryptocards/index.shtml. Da questo sito, scaricare il software PKCS#11 modello 002/023 e il manuale di installazione PKCS#11.

Dopo l'installazione del software di supporto sulla macchina e il caricamento del microcodice su IBM 4758, inizializzare la scheda.

Configurare IBM HTTP Server per inoltrare il modulo del dispositivo PKCS11, l'etichetta del token, l'etichetta della chiave creata dal dispositivo PKCS11, la password del PIN utente del token a GSKit per l'accesso alla chiave per il dispositivo PKCS11 modificando il file di configurazione. Il modulo PKCS11 è diverso per ogni piattaforma e dispositivo PKCS11. Per i dispositivi di crittografia hardware IBM - scheda IBM 4758, disponibile per i sistemi operativi AIX e Windows, e IBM e-business Cryptographic Accelerator, il modulo PKCS11 viene distribuito con il pacchetto bos.pkcs11 su AIX.

Installare il dispositivo devices.pci.14109f00 per IBM 4758 e il dispositivo devices.pci.1410e601 per IBM e-business Cryptographic Accelerator. Si consiglia il livello09 di manutenzione di AIX V4.3.3 quando si utilizza IBM e-business Cryptographic Accelerator.

Per IBM 4758 su Windows, il modulo PKCS11 viene fornito con il software PKCS11 disponibile all'indirizzo: http://www.ibm.com/security/cryptocards/html/ordersoftware.shtml. Per nCipher, il modulo PKCS11 viene distribuito con il software nCipher e si trova nella directory $NFAST_HOME/toolkits/pkcs11.

Di seguito, sono riportate le posizioni predefinite dei moduli PKCS11 per ciascun dispositivo PKCS11:

Riservato agli utenti AIX
Riservato agli utenti HP-UX
Riservato agli utenti Linux
Riservato agli utenti Solaris
Riservato agli utenti Windows NT
Riservato agli utenti Windows 2000
  • nCipher:
    • AIX - /opt/nfast/toolkits/pkcs11/libcknfast.so
    • HP-UX - /opt/nfast/toolkits/pkcs11/libcknfast.sl
    • Linux - /opt/nfast/toolkits/pkcs11/libcknfast.so
    • SUN - /opt/nfast//toolkits/pkcs11/libcknfast.so
    • Windows NT - C:\nfast\toolkits\pkcs11\cknfast.dll
  • IBM 4758:
    • AIX - /usr/lib/pkcs11/PKCS11_API.so
    • Windows NT - $PKCS11_HOME\bin\nt\cryptoki.dll
  • IBM e-business Cryptographic Accelerator:
    • AIX - /usr/lib/pkcs11/PKCS11_API.so
Riservato agli utenti AIX

Inizializzazione dell'hardware crittografico IBM (IBM 4758 e IBM e-business Cryptographic Accelerator) sul sistema operativo AIX

Per inizializzare l'hardware crittografico IBM (IBM 4758 e IBM e-business Cryptographic Accelerator) su AIX, richiedere e installare il software bos.pkcs11. Suggerimento: richiedere il pacchetto bos.pkcs11 più recente da: Scarica correzioni AIX. Per la versione 4.3, fare clic su AIX 4.3 OS, Java, compilatori > Scarica correzioni selettive. Per la versione 5.1, fare clic su AIX 5.1 OS, Java, compilatori > Scarica correzioni selettive. Il pacchetto installa il modulo PKCS11 necessario per la direttiva SSLPKCSDriver sopra menzionata. È inoltre necessario il dispositivo devices.pci.1410e601 per IBM e-business Cryptographic Accelerator, e i dispositivi devices.pci.14109f00 e devices.pci.14109f00 per IBM 4758.

Dopo aver installato il software PKCS11, inizializzare il dispositivo. Per inizializzare il dispositivo PKCS11 è possibile accedere al pannello secondario Gestisci PKCS11 da Smitty. Per inizializzare il token:

  1. Selezionare Inizializza token
  2. Impostare un PIN Utente e un PIN SO (security officer), se non è stato già fatto
  3. Inizializzare il PIN utente. Per ulteriori informazioni, vedere ilCapitolo 5: Inizializzazione di token dal manuale PKCS11.
Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Inizializzazione di token IBM sui sistemi operativi Windows

Per inizializzare la scheda IBM 4758 sui sistemi operativi Windows NT e Windows 2000, richiedere il software PKCS11 per questi sistemi operativi da http://www-3.ibm.com/security/cryptocards/html/ordersoftware.shtml.

È possibile utilizzare il programma di utilità TOKUTIL.EXE che si installa con il software PKCS11, per inizializzare la scheda sui sistemi operativi Windows.

Per ulteriori informazioni, fare riferimento al Capitolo 5: Inizializzazione di token dal manuale PKCS11.

Suggerimento: Verificare che il modulo cryptoki.dll sia nel percorso.

Utilizzo di IKEYMAN per memorizzare le chiavi nel dispositivo PKCS11

Riservato agli utenti AIX
Riservato agli utenti HP-UX
Riservato agli utenti Linux
Riservato agli utenti Solaris
Riservato agli utenti Windows NT
Riservato agli utenti Windows 2000

Per creare delle chiavi per il dispositivo PKCS11, fornire un file ikmuser.properties per IKEYMAN. Per fornire questo file:

  1. Copiare il file ikmuser.sample spedito con IBM HTTP Server e GSKit, installato di solito nelle directory seguenti:
    • AIX = /usr/opt/ibm/gskkm/classes
    • HP = /opt/ibm/gsk5/classes
    • Linux = /usr/local/ibm/gsk5/classes
    • Solaris = /opt/ibm/gsk5/classes
    • Windows NT = C:\Program Files\ibm\gsk5\classes
    su un file chiamato ikmuser.properties nella directory classes. Suggerimento: Il token crittografico potrebbe non funzionare se il file ikmuser.properties non si trova nella directory classes.
  2. Modificare il file ikmuser.properties per impostare la proprietà DEFAULT_CRYPTOGRAPHIC_MODULE sul nome del modulo che gestisce il dispositivo PKCS11. Ad esempio:
    DEFAULT_CRYPTOGRAPHIC_MODULE=C:\pkcs11\bin\NT\cryptoki.dll

    • nCipher:
      • AIX - /opt/nfast/toolkits/pkcs11/libcknfast.so
      • HP-UX - /opt/nfast/toolkits/pkcs11/libcknfast.sl
      • Linux - /opt/nfast/toolkits/pkcs11/libcknfast.so
      • SUN - /opt/nfast/toolkits/pkcs11/libcknfast.so
      • Windows NT - C:\nfast\toolkits\pkcs11\cknfast.dll
    • IBM 4758:
      • AIX - /usr/lib/pkcs11/PKCS11_API.so
      • Windows NT - $PKCS11_HOME\bin\NT\cryptoki.dll
    • IBM e-business Cryptographic Accelerator:
      • AIX - /usr/lib/pkcs11/PKCS11_API.so

    Il modulo viene solitamente installato nel sistema durante l'installazione del software per il dispositivo PKCS11.

  3. Salvare il file ikmuser.properties

Finché il file ikmuser.properties si trova nella directory classes, il dispositivo legge i contenuti del file ikmuser.properties ogni volta che viene attivato IKEYMAN. Quando IKEYMAN viene attivato, la finestra IBM Key Management presenta una voce di menu supplementare chiamata token crittografico.

  1. Fare clic su Token crittografico dalla finestra IBM Key Management.
  2. Fare clic su Apri.
  3. Viene visualizzata la finestra Apri token crittografico. Selezionare l'etichetta del token crittografico e immettere la password e il pin utente, specificato durante l'inizializzazione del token con il programma di utilità di configurazione.
  4. Se si desidera aprire un database di chiavi secondarie esistente, selezionare Apri un file database di chiavi secondarie esistente e specificare la posizione e il nome del file. Altrimenti, disabilitare questa funzione rimuovendo il segno di spunta. Se si desidera creare un nuovo file database di chiavi secondarie, selezionare Crea nuovo file database di chiavi secondarie e specificare un file database di chiavi del sistema di controllo interattivo (CMS, conversational monitor system), la posizione e il nome del file. Altrimenti, rimuovere il segno di spunta su questa opzione. Fare clic su OK.
  5. Proseguire le operazioni come se il database di chiavi fosse aperto. E' possibile proseguire con le stesse operazioni per creare un'autocertificazione o aggiungere un nuovo certificato con firma digitale. Invece di utilizzare Database di chiavi > Apri, utilizzare Token crittografico > Apri.
  6. Suggerimento: Con IBM HTTP Server, è necessario specificare un file di chiavi per eseguire la codifica. Se si utilizzano i dispositivi PKCS11, questo file di chiavi deve contenere i certificati del firmatario del certificato personale, creati con il dispositivo PKCS11.

Configurazione di IBM HTTP Server per utilizzare i dispositivi di accelerazione nCipher e Rainbow

IBM HTTP Server attiva i dispositivi di accelerazione nCipher e Rainbow per impostazione predefinita. Per disattivare il dispositivo di accelerazione, aggiungere al file di configurazione la seguente direttiva: SSLAcceleratorDisable

Configurazione di IBM HTTP Server per utilizzare i dispositivi PKCS11

Nota: Quando si utilizza IBM e-business Cryptographic Accelerator o IBM 4758, l'ID utente su cui il server Web è in esecuzione deve essere un membro del gruppo PKCS11. È possibile creare il gruppo PKCS11 installando il pacchetto bos.pkcs11 o i relativi aggiornamenti. Modificare la direttiva Gruppo nel file di configurazione a: group pkcs11.

Se si desidera utilizzare, con IBM HTTP Server, l'interfaccia PKCS11, configurare quanto segue:

  1. Eseguire lo stash della password nel dispositivo PKCS11:

    Sintassi: sslstash [-c] <file> <funzione> <password>

  2. dove:
    • -c: crea un nuovo file stash. Se non specificato, viene aggiornato un file stash esistente
    • file: indica un nome completo del file da creare o aggiornare
    • funzione: indica la funzione per la quale il server utilizza la password. Valori validi comprendono crl o crypto
    • password: indica la password su cui eseguire lo stash.
  3. Posizionare le seguenti istruzioni nel file di configurazione:
    • SSLPKCSDriver <nome completo del driver PKCS11 utilizzato per accedere al dispositivo PKCS11>

      Vedere la direttiva SSLPKCSDriver, per informazioni sulle posizioni predefinite del modulo PKCS11 per ogni dispositivo PKCS11.

    • SSLServerCert <etichetta token:etichetta chiave del certificato sul dispositivo PKCS11>
    • SSLStashfile <percorso completo del file contenente la password per il dispositivo PKCS11>
    • Keyfile <percorso completo del file di chiavi con i certificati del firmatario>
 
Informazioni correlate

     (Torna all'inizio)