Como criptografar a comunicação com os DSAs
Para criptografar a comunicação com os DSAs, é necessário um certificado raiz, um certificado DSA.
cad126br
Para criptografar a comunicação com os DSAs, é necessário um certificado raiz, um certificado DSA.
- Configure os certificados.
- Certifique-se de que cada DXserver conhece o seguinte:
- A porta na qual ele escuta as solicitações
- O local dos certificados DSA e do usuário e as chaves públicas e privadas
- O local do certificado raiz
Observação:se você estiver usando um HSM, deverá fornecer também as informações específicas do HSM.
Criptografar as vinculações de LDAP
Você pode forçar a criptografia SSL por links LDAP tanto para vinculações anônimas quanto para autenticadas.
Para forçar a criptografia SSL em vinculações anônimas, inclua o seguinte comando no arquivo de configuração de definições do DSA:
set force-encrypt-anon = true | false
Quando essa opção estiver ativada, se um usuário tentar criar uma vinculação anônima sem o SSL, o DSA o reprovará e retornará um erro de "Autenticação inadequada".
Para forçar a criptografia SSL em vinculações autenticadas, inclua o seguinte comando no arquivo de configuração de definições do DSA:
set force-encrypt-auth = true | false
Quando essa opção estiver ativada, se um usuário tentar criar uma vinculação autenticada sem o SSL, o DSA o reprovará e retornará um erro de "Autenticação inadequada".
A configuração
set force-encrypt-auth
não impede que as credenciais sejam enviadas sem criptografia pela rede. No entanto, ela recusa qualquer solicitação de vinculação não criptografada.Observação:
ao usar a criptografia de links entre os DSAs que residem no mesmo computador, não é possível usar a configuração trust-flags = ssl-encryption-remote
com esses comandos. Em vez disso, use trust-flags = ssl-encryption
. Caso contrário, os DSAs que se conectam uns aos outros localmente falharão no nível de autenticação com senha sem criptografia, pois o link não está criptografado. Como alternativa, você pode forçar a criptografia SSL apenas nos DSAs roteadores e pode impedir que os clientes se conectem diretamente aos DSAs de dados. Use o comando set disable-client-binds = true
; para impedir que os clientes se conectem diretamente aos DSAs de dados. Essa configuração permite que a configuração trust-flags = ssl-encryption-remote
seja usada.Configurar o DSA para atuar como um cliente LDAP com criptografia SSL
Você pode configurar a criptografia SSL entre os servidores LDAP de terceiros e o backbone do CA Directory.
Os DSAs do CA Directory operam como clientes SSL quando eles atuam como clientes LDAP para se comunicar com servidores LDAP. Isso significa que os servidores LDAP não precisam de cópias da raiz do DSA do CA Directory nem de certificados DSA.
É possível proteger a conexão por meio de criptografia SSL usando as seguintes etapas:
- Certifique-se de que você tem acesso a uma Autoridade de certificação.
- Usando a Autoridade de certificação, gere certificados de servidor tanto para o servidor LDAP quanto para o DSA e assine-os com o certificado raiz da Autoridade de certificação.
- Configure o CA Directory e o servidor LDAP para confiar na Autoridade de certificação importando o certificado raiz.
- Configure o CA Directory e o servidor LDAP para usar o certificado do servidor assinado pela Autoridade de certificação para operações de SSL.
- Configure o CA Directory para estabelecer conexão com o servidor LDAP.
- Verifique se tudo está funcionando corretamente da seguinte maneira:
- Inicie o servidor LDAP.
- Inicie o DSA.
- Certifique-se de que o SSL está sendo usado usando o seguinte comando em um console do DSA:
trace x500;As operações SSL agora têm o prefixo(SSL).