LDAP-Position für Benutzerzertifikate verwalten

Digital Certificate Manager (DCM) kann zur Speicherung von Benutzerzertifikaten unter einer Verzeichnisposition auf einem LDAP-Server (Lightweight Directory Access Protocol) verwendet werden, so dass EIM (Enterprise Identity Mapping) auch für Benutzerzertifikate eingesetzt werden kann.

Standardmäßig speichert Digital Certificate Manager (DCM) die Benutzerzertifikate, die von der lokalen Zertifizierungsinstanz (CA) ausgestellt werden, zusammen mit den IBM® i-Benutzerprofilen. Sie können Digital Certificate Manager (DCM) zusammen mit EIM (Enterprise Identity Mapping) so konfigurieren, dass bei der Ausstellung von Benutzerzertifikaten durch die lokale Zertifizierungsinstanz (CA) die öffentliche Kopie des Zertifikats unter einer Verzeichnisposition des LDAP-Servers (LDAP = Lightweight Directory Access Protocol) gespeichert wird. Wenn Sie EIM und DCM gemeinsam konfigurieren, können Sie Benutzerzertifikate unter einer LDAP-Verzeichnisposition speichern, um die Zertifikate anderen Anwendungen einfacher zur Verfügung zu stellen. Durch diese kombinierte Konfiguration ist es außerdem möglich, EIM zur Verwaltung von Benutzerzertifikaten als Benutzeridentität innerhalb des Unternehmens einzusetzen.

Anmerkung: Wenn ein Benutzer ein Zertifikat einer anderen CA an der LDAP-Position speichern soll, muss dieser die Task Benutzerzertifikat zuordnen ausführen.

Bei EIM handelt es sich um eine eServer-Technologie, mit der die Benutzeridentitäten Ihres Unternehmens einschließlich der IBM i-Benutzerprofile und der zugehörigen Benutzerzertifikate verwaltet werden können. Wenn Sie EIM zur Verwaltung von Benutzerzertifikaten verwenden wollen, müssen Sie vor der Ausführung der erforderlichen DCM-Konfigurations-Tasks die folgenden EIM-Konfigurations-Tasks ausführen:

Verwenden Sie zur Konfiguration von EIM den EIM-Konfigurationsassistenten im System i Navigator.
Erstellen Sie das X.509-Register in der EIM-Domäne, das für Zertifikatszuordnungen verwendet werden soll.
Verwenden Sie die Menüauswahl "Eigenschaften für den Konfigurationsordner" in der EIM-Domäne, und geben Sie dann den Namen des X.509-Registers ein.
Erstellen Sie eine EIM-Kennung für alle Benutzer, die EIM nutzen sollen.
Erstellen Sie im lokalen IBM i-Benutzerregister eine Zielzuordnung zwischen den einzelnen EIM-Kennungen und den Benutzerprofilen der Benutzer. Verwenden Sie den EIM-Registerdefinitionsnamen des lokalen IBM i-Benutzerregisters, das im EIM-Konfigurationsassistenten angegeben wurde.

Nach Abschluss der erforderlichen EIM-Konfigurations-Tasks müssen Sie die folgenden Tasks ausführen, um die Konfigurationsmaßnahmen für den gemeinsamen Einsatz von EIM und DCM abzuschließen:

Verwenden Sie in DCM die Task LDAP-Position verwalten, um das LDAP-Verzeichnis anzugeben, das von DCM zum Speichern eines Benutzerzertifikats verwendet werden soll, das die lokale Zertifizierungsinstanz (CA) erstellt. Die LDAP-Position muss sich nicht auf dem lokalen IBM i-Modell befinden, und es ist auch nicht erforderlich, dass diese sich auf demselben LDAP-Server befindet, der auch von EIM verwendet wird. Bei der Konfiguration der LDAP-Position in DCM verwendet DCM das angegebene LDAP-Verzeichnis, um alle von der lokalen Zertifizierungsinstanz (CA) ausgestellten Benutzerzertifikate zu speichern. DCM verwendet die LDAP-Position außerdem zum Speichern der Benutzerzertifikate, die mit der Task Benutzerzertifikat zuordnen verarbeitet wurden. Diese werden normalerweise zusammen mit einem Benutzerprofil gespeichert.
Führen Sie den Befehl CVTUSRCERT (Benutzerzertifikate konvertieren) aus. Dieser Befehl dient zum Kopieren vorhandener Benutzerzertifikate an die gewünschte LDAP-Verzeichnisposition. Der Befehl kopiert allerdings nur die Zertifikate von Benutzern, für die eine Zielzuordnung zwischen einer EIM-Kennung und dem entsprechenden Benutzerprofil vorhanden ist. Der Befehl erstellt dann eine Quellenzuordnung zwischen den einzelnen Zertifikaten und der jeweils zugehörigen EIM-Kennung. Der Befehl verwendet den registrierten Subjektnamen (DN) des Zertifikats, den DN des Ausstellers und einen Hash-Code dieser DNs sowie den öffentlichen Zertifikatsschlüssel, um den Namen der Benutzeridentität für die Quellenzuordnung zu definieren.

Anmerkung: Um eine anonyme Bindung zu einem LDAP-Server für die CRL-Verarbeitung herzustellen, müssen Sie das Directory-Server-Webverwaltungstool verwenden und dort die Task "Schemadateien verwalten" auswählen, um die Sicherheitsklasse (Zugriffsklasse) der Attribute certificateRevocationList und authorityRevocationList von "kritisch" in "normal" zu ändern und sowohl das Feld Anmelde-DN als auch das Feld Kennwort leer zu lassen.