Λίστα ενεργειών για την επίλυση προβλημάτων ασφάλειας

1. Βήματα επίλυσης προβλημάτων με το TLS ή το SSL
2. Βήματα επίλυσης προβλημάτων με το SSH
3. Λαμβάνετε τα μηνύματα σφάλματος COMM662, COMM663 ή COMM666;
4. Τροποποίηση του μητρώου αν φορτώνονται προγράμματα οδήγησης κατά την ενεργοποίηση του IKeyMan;
5. Χρησιμοποιείτε δύο συσκευές ανάγνωσης καρτών SmartCard στο IKeyMan;
6. Προσθήκη πιστοποιητικού πελάτη
7. Δημιουργία αυτο-υπογραφόμενων πιστοποιητικών σε κάρτες SmartCard
8. Το πιστοποιητικό που εξάγετε με το βοήθημα gskkyman του z/OS μοιάζει να είναι άκυρο ή αλλοιωμένο;
9. Μετά την αναβάθμιση του Host On-Demand σε λειτουργικό σύστημα Windows, δεν εμφανίζεται πλέον το παράθυρο Οδηγός πιστοποιητικών με την έναρξη του Οδηγού πιστοποιητικών
10. Το Keytool.exe δημιουργεί σφάλματα όταν χρησιμοποιείται η Τσεχική γλώσσα;
11. Περιορισμός στη χρήση της λειτουργίας Certificate Management σε AIX
12. Χρήση του Host On-Demand με άλλα προϊόντα ασφάλειας

1. Βήματα επίλυσης προβλημάτων με το TLS ή το SSL

   Αν δεν μπορείτε να πραγματοποιήσετε μια σύνδεση TLS ή SSL με τον εξυπηρετητή, ελέγξτε τα ακόλουθα:

   1. Τι είδος πιστοποιητικού χρησιμοποιείτε;
      • Αυτο-υπογραφόμενο
      • Υπηρεσίας έκδοσης πιστοποιητικών (CA)
   2. Πού βρίσκεται αποθηκευμένο το πιστοποιητικό (για παράδειγμα, βρίσκεται στο αρχείο κλειδιών (keyring) του εξυπηρετητή);
   3. Έχετε προσθέσει το πιστοποιητικό στη βάση δεδομένων κλειδιών (keyring database) του εξυπηρετητή Host On-Demand; Εκτελέστε την εντολή keyrng από μια γραμμή εντολών. Η σύνταξη της εντολής είναι:

      keyrng x connect όνομα_εξυπηρετητή:αριθμός_θύρας ftp

      όπου:

      • x είναι ένα γενικό όνομα κλάσης.
      • όνομα_εξυπηρετητή είναι το όνομα του εξυπηρετητή Host On-Demand.
      • αριθμός_θύρας είναι ο αριθμός της θύρας στην οποία εκτελεί ακρόαση ο εξυπηρετητής. Για συνδέσεις εκτός από FTP, η προεπιλεγμένη τιμή είναι 443. Για συνδέσεις FTP, η προεπιλεγμένη τιμή είναι 990.
      • ftp είναι μια παράμετρος που δηλώνει ότι πραγματοποιείται σύνδεση σε εξυπηρετητή FTP
        
        

      Πατήστε Enter όταν σας ζητηθεί ο κωδικός πρόσβασης. Εμφανίζεται μια λίστα με όλα τα πιστοποιητικά που περιέχονται στη βάση δεδομένων κλειδιών (keyring database) του εξυπηρετητή.

   4. Βεβαιωθείτε ότι ο κωδικός πρόσβασης για το αρχείο HODServerKeyDb.kdb δεν έχει λήξει και ότι έχει αποθηκευτεί.
   5. Αν έχετε προσθέσει ένα πιστοποιητικό, ελέγξτε τις ημερομηνίες ισχύος του πιστοποιητικού για να διαπιστώσετε αν έχει λήξει.
   6. Αν το πιστοποιητικό δεν έχει λήξει, προσθέστε το στο αρχείο κλειδιών (keyring) του εξυπηρετητή Host On-Demand. Τερματίστε και επανεκκινήστε τη Διαχείριση υπηρεσιών.
   7. Προσθέστε το πιστοποιητικό στο αρχείο κλειδιών (keyring) του πελάτη για να είναι διαθέσιμο στους πελάτες.
   8. Χρησιμοποιήστε την εντολή keyrng για να βεβαιωθείτε ότι είναι σωστό το πιστοποιητικό καθώς και οι ημερομηνίες ισχύος του. Για παράδειγμα:

      keyrng CustomizedCAs verify

   9. Χρησιμοποιήστε την εντολή keyrng για να συνδεθείτε με τον εξυπηρετητή στη θύρα SSL 12173. Για παράδειγμα:

      keyrng x connect όνομα_εξυπηρετητή:12173 

   10. Ρυθμίστε στο σύστημα πελάτη μια συνεδρία TLS ή SSL που να συνδέεται σε έναν εξυπηρετητή μέσω μιας θύρας SSL (όπως η 12173).
   11. Αφαιρέστε τον πελάτη τοπικής αποθήκευσης του Host On-Demand και διαγράψτε τα προσωρινά αρχεία του Internet (browser cache). Στη συνέχεια, προσπαθήστε ξανά. Με τη διαγραφή των προσωρινών αρχείων του Internet αφαιρείται και το τρέχον αρχείο CustomizedCAs.class.
   12. Αν είναι δυνατό, ελέγξτε τη σύνδεση επιχειρώντας να συνδεθείτε. (Στην ενότητα Απέτυχε η σύνδεση του συστήματος πελάτη μπορείτε να βρείτε χρήσιμες συμβουλές για την επίλυση προβλημάτων σύνδεσης.)
   13. Στον εξυπηρετητή, βεβαιωθείτε ότι τα αρχεία HODServerKeyDb.* υπάρχουν στον κατάλογο \hostondemand\HOD. Τα αρχεία αυτά αποτελούν τη βάση δεδομένων κλειδιών που χρησιμοποιεί ο Εξυπηρετητής ανακατεύθυνσης του Host On-Demand και περιέχουν πιστοποιητικά από γνωστές υπηρεσίες έκδοσης πιστοποιητικών (CA). Περιέχει επίσης το ιδιωτικό κλειδί και οποιαδήποτε προσωπικά πιστοποιητικά για τον εξυπηρετητή.
   14. Αν χρησιμοποιείτε ένα αυτο-υπογραφόμενο πιστοποιητικό, βεβαιωθείτε ότι το αρχείο CustomizedCAs.p12 file (αν υπάρχει) και το αρχείο CustomizedCAs.class βρίσκονται στον κατάλογο \hostondemand\HOD. Αν χρησιμοποιείτε ένα αυτο-υπογραφόμενο πιστοποιητικό ή ένα πιστοποιητικό που έχει εκδοθεί από άγνωστη Υπηρεσία CA, τότε θα πρέπει να εξαγάγετε το πιστοποιητικό και να το συμπεριλάβετε στα αρχεία CustomizedCAs.p12 (αν υπάρχει) και CustomizedCAs.class. Το αρχείο αυτό βρίσκεται στον κατάλογο δημοσίευσης του Host On-Demand, ώστε να έχουν πρόσβαση σε αυτό τα συστήματα πελάτες. Μεταφορτώνεται κάθε φορά που μεταφορτώνεται το λογισμικό πελάτη του Host On-Demand.
   15. Αν αντιμετωπίσετε προβλήματα με το SSL στον Εξυπηρετητή ανακατεύθυνσης, βεβαιωθείτε ότι έχουν δημιουργηθεί η βάση δεδομένων κλειδιών του εξυπηρετητή Host On-Demand και τα αρχεία CustomizedCAs.p12 (αν υπάρχει) και CustomizedCAs.class και ότι βρίσκονται στον υπολογιστή όπου εκτελείται ο Εξυπηρετητή ανακατεύθυνσης του Host On-Demand. Βλ. τη Λίστα ενεργειών για την επίλυση προβλημάτων με τον Εξυπηρετητή ανακατεύθυνσης για λεπτομέρειες.

2. Βήματα επίλυσης προβλημάτων με το SSH

   Αν δεν μπορείτε να πραγματοποιήσετε σύνδεση SSH με τον εξυπηρετητή, ελέγξτε τα ακόλουθα:

   1. Βεβαιωθείτε ότι είναι σωστή η διεύθυνση και η θύρα του εξυπηρετητή. Ο προεπιλεγμένος αριθμός θύρας του εξυπηρετητή SSH είναι 22, αλλά μπορεί να είναι και διαφορετικός.
   2. Ελέγξτε το επίπεδο JVM στο σύστημα πελάτη. Για τη λειτουργία SSH του Host On-Demand απαιτείται ένα JVM Java 2 με τη λειτουργία Java Cryptography Extension (JCE), η οποία παρέχεται με το JDK 1.4 ή μεταγενέστερο. Αν χρησιμοποιείτε παλιότερο JVM, για παράδειγμα το επίπεδο JDK 1.1 ή JDK 1.3 χωρίς JCE, αναβαθμίστε το JVM εγκαθιστώντας το JDK 1.4.
   3. Βεβαιωθείτε ότι έχει ενεργοποιηθεί στον εξυπηρετητή το πρωτόκολλο SSH Version 2. Οι παλιότεροι εξυπηρετητές SSH υποστηρίζουν μόνο πρωτόκολλα SSH Version 1.x, τα οποία δεν αναγνωρίζονται από το Host On-Demand.
   4. Αν έχετε ενεργοποιήσει την εξακρίβωση στοιχείων μέσω δημόσιου κλειδιού (public-key authentication), απενεργοποιήστε την και προσπαθήστε να χρησιμοποιήσετε εξακρίβωση στοιχείων μέσω κωδικού πρόσβασης (password authentication) μόνο, καθώς οι απαιτούμενες ρυθμίσεις για τα δημόσια κλειδιά είναι πιο περίπλοκες και είναι πιο πιθανό να προκαλέσουν σφάλματα.
   5. Αν η εξακρίβωση στοιχείων μέσω κωδικού πρόσβασης λειτουργεί, ελέγξτε προσεκτικά τις ρυθμίσεις για την εξακρίβωση στοιχείων μέσω δημόσιου κλειδιού. Σε πολλές περιπτώσεις, οι ρυθμίσεις στον εξυπηρετητή, για παράδειγμα τα δικαιώματα επί των αρχείων, δεν είναι σωστές. Η διαδικασία διαφέρει ανάλογα με τον εξυπηρετητή SSH. Για περισσότερες πληροφορίες, ανατρέξτε στην τεκμηρίωση του εξυπηρετητή SSH.
   6. Το ζεύγος ιδιωτικού/δημόσιου κλειδιού που χρησιμοποιείται για την εξακρίβωση στοιχείων μέσω δημόσιου κλειδιού αποθηκεύεται στο σύστημα αρχείων του κάθε συστήματος πελάτη. Αν θέλετε να χρησιμοποιήσετε την εξακρίβωση στοιχείων μέσω δημόσιου κλειδιού από περισσότερα από δύο συστήματα πελάτες, πρέπει να αντιγράψετε το αρχείο αποθήκευσης κλειδιών (συνήθως είναι ένα αρχείο .keystore στον κεντρικό κατάλογο του χρήστη) στα άλλα συστήματα.
   7. Πολλοί εξυπηρετητές SSH διαθέτουν δικές τους λειτουργίες εντοπισμού σφαλμάτων. Αν δυσκολεύεστε να εντοπίσετε το πρόβλημα, μπορείτε να τις χρησιμοποιήσετε. Για περισσότερες πληροφορίες, ανατρέξτε στην τεκμηρίωση του εξυπηρετητή SSH.
3. Λαμβάνετε τα μηνύματα σφάλματος COMM662, COMM663 ή COMM666;

   Ανατρέξτε στα ακόλουθα μηνύματα σφάλματος COMM για περισσότερες πληροφορίες:

   1. COMM662: Το πιστοποιητικό της εκδότριας υπηρεσίας του πιστοποιητικού δικτυακού τόπου (site certificate) του κεντρικού συστήματος δεν έχει προστεθεί στο αρχείο CustomizedCAs.p12 ή CustomizedCAs.class στον εξυπηρετητή Host On-Demand. Το σφάλμα αυτό μπορεί να προκύψει όταν χρησιμοποιείται ένα αυτο-υπογραφόμενο πιστοποιητικό και έχετε καθορίσει κωδικό πρόσβασης διαφορετικό από hod κατά τη δημιουργία του αρχείου customizedCAs.p12. Επίσης, μπορεί να προκύψει αν τα bits που ορίζουν τα δικαιώματα για το αρχείο CustomizedCAs.p12 δεν έχουν την τιμή 755.
   2. COMM663: Το πιστοποιητικό στον εξυπηρετητή μπορεί να χρησιμοποιεί ένα όνομα που δεν συμφωνεί με το όνομα Internet του εξυπηρετητή.
   3. COMM666: Το πιστοποιητικό ίσως έχει λήξει.
      
      
4. Τροποποίηση του μητρώου αν φορτώνονται προγράμματα οδήγησης κατά την ενεργοποίηση του IKeyMan

   Κατά την ενεργοποίηση της Διαχείρισης πιστοποιητικών (IBM Key Management) σε εξυπηρετητή Host On-Demand στα Windows 2000, μπορεί να εμφανίζεται ένα μήνυμα σφάλματος κατά τη φόρτωση του αρχείου slbck.dll. Αυτό συμβαίνει όταν έχει εγκατασταθεί και στη συνέχεια απεγκατασταθεί μια συσκευή ανάγνωσης SmartCard Schlumberger. Ορισμένες καταχωρήσεις για την κάρτα Schlumberger μπορεί να παραμένουν στο μητρώο. Για να μην εμφανίζεται αυτό το μήνυμα, ο χρήστης πρέπει να αφαιρέσει όλες τις καταχωρήσεις για την κάρτα Schlumberger από το μητρώο ή να τροποποιήσει ένα αρχείο στο Host On-Demand.

   Η Διαχείριση πιστοποιητικών του Host On-Demand χρησιμοποιεί το PKCS11 για την πρόσβαση σε λειτουργίες SmartCard. Το πρόγραμμα αυτό χρησιμοποιείται κυρίως για τη δημιουργία αυτο-υπογραφόμενων πιστοποιητικών στις κάρτες SmartCard ή για τη μεταφόρτωση ενός πιστοποιητικού από αρχείο .pfx ή .p12 σε κάρτα SmartCard.

   Για να είναι δυνατή η πρόσβαση στην κάρτα SmartCard, μπορεί να χρειάζονται πρόσθετες ρυθμίσεις. Κατά την εγκατάστασή του, το Host On-Demand εντοπίζει αν υπάρχουν στο σύστημα κάρτες SmartCard. Προς το παρόν, αναγνωρίζονται οι κάρτες IBM Security Card και οι συσκευές ανάγνωσης Schlumberger Reflex αν έχουν εγκατασταθεί με το Cryptoflex Security Kit V3.0c.

   Οι παράμετροι για τη Διαχείριση πιστοποιητικών καθορίζονται σε ένα αρχείο που ονομάζεται ikminit_hod.properties και βρίσκεται στον κατάλογο hostondemand\bin. Αν το Host On-Demand εντοπίσει την κάρτα IBM Security Card, το αρχείο αυτό θα περιέχει την ακόλουθη γραμμή:

   DEFAULT_CRYPTOGRAPHIC_MODULE=w32pk2ig.dll

   Αυτό πληροφορεί το IBM Certificate Management ότι θα πρέπει να φορτώσει το συγκεκριμένο dll όταν πρέπει να εκτελεστούν λειτουργίες SmartCard.

   Αν το Host On-Demand εντοπίσει μια κάρτα Schlumberger, προστίθεται μια γραμμή όμοια με την ακόλουθη στο αρχείο ιδιοτήτων:

   DEFAULT_CRYPTOGRAPHIC_MODULE=C:\\Program
   Files\\Schlumberger\\Smart Cards and Terminals\\Common Files\\slbck.dll

   Αυτές είναι οι μοναδικές συσκευές κρυπτογράφησης που έχουν δοκιμαστεί με το IBM Certificate Management. Αν υπάρχει κάποια άλλη συσκευή κρυπτογράφησης που υλοποιεί το PKCS11 μέσω ενός dll, μπορείτε να δοκιμάσετε τη συσκευή αυτή αντικαθιστώντας το όνομα και η θέση του dll στο αρχείο ikminit_hod.properties.

   Αν η συσκευή κρυπτογράφησης αφαιρεθεί κάποια στιγμή από το σύστημα, η Διαχείριση πιστοποιητικών θα αναφέρει το ακόλουθο σφάλμα κατά την εκκίνησή της:

   Απέτυχε η προετοιμασία της συσκευής κρυπτογράφησης.

   Για να αποφύγετε αυτό το σφάλμα, αφαιρέστε την πρόταση DEFAULT_CRYPTOGRAPHIC_MODULE από το αρχείο ikminit_hod.properties.

5. Χρησιμοποιείτε δύο συσκευές ανάγνωσης καρτών SmartCard στο IKeyMan;

   Η εγκατάσταση περισσότερων από μία καρτών SmartCard στον ίδιο υπολογιστή μπορεί να έχει ως αποτέλεσμα να μη λειτουργεί σωστά η υποστήριξη SmartCard του Host On-Demand.

   Για παράδειγμα, αν διαπιστώσετε ότι η Διαχείριση πιστοποιητικών του Host On-Demand δεν μπορεί να ενεργοποιήσει την κάρτα IBM Security Card και είχατε παλιότερα εγκαταστήσει μια κάρτα Schlumberger, μπορεί να έχουν μείνει τιμές στο μητρώο που εμποδίζουν τα προγράμματα οδήγησης (drivers) της κάρτας IBM Security Card να λειτουργήσουν σωστά.

   Για να διορθώσετε αυτό το πρόβλημα, δημιουργήστε ένα αντίγραφο του μητρώου και διαγράψτε προσεκτικά τα ακόλουθα κλειδιά, αν έχουν παραμείνει μετά την απεγκατάσταση της κάρτας Schlumberger:

   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Readers\Schlumberger ...
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\Schlumberger ...
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Schlumberger ...
   • HKEY_LOCAL_MACHINE\SOFTWARE\Schlumber ...

6. Προσθήκη πιστοποιητικού πελάτη

   Όταν ο πελάτης Host On-Demand επικοινωνεί με έναν εξυπηρετητή SSL που απαιτεί πιστοποιητικό πελάτη, για παράδειγμα με έναν εξυπηρετητή Communications Server for Windows NT, Communications Server for AIX ή Communications Server for OS/390 με εξακρίβωση στοιχείων πελάτη, ο πελάτης Host On-Demand μπορεί να καλέσει το πρόγραμμα MSCAPI για να ζητήσει όλα τα διαθέσιμα πιστοποιητικά πελάτη. Το MSCAPI επιστρέφει όλα τα πιστοποιητικά που έχουν δηλωθεί σε αυτό, είτε έχουν αποθηκευτεί πλήρως στη βάση δεδομένων του MSCAPI είτε συσχετίζονται μέσω του MSCAPI με κάποια συσκευή κρυπτογράφησης, όπως κάρτα SmartCard ή συσκευή ανάγνωσης δακτυλικών αποτυπωμάτων. Μπορείτε να εξετάσετε τη λίστα των πιστοποιητικών που έχουν καταχωρηθεί στη βάση δεδομένων του MSCAPI ως εξής:

   1. Ενεργοποιήστε το πρόγραμμα πλοήγησης MS Internet Explorer 5.x.
   2. Από τη γραμμή μενού, επιλέξτε Εργαλεία (Tools) και στη συνέχεια Επιλογές Internet (Internet Options).
   3. Στο πάνω μέρος του παραθύρου Επιλογές Internet (Internet Options), επιλέξτε την καρτέλα Περιεχόμενο (Content).
   4. Στο παράθυρο Περιεχόμενο (Content), πατήστε το κουμπί Πιστοποιητικά (Certificates).
   5. Επιλέξτε την καρτέλα Προσωπικά (Personal), αν δεν εμφανίζεται ήδη. Αυτά είναι τα πιστοποιητικά που θα εμφανίζονται στη λίστα του παραθύρου ρύθμισης συνεδρίας του Host On-Demand καθώς και στο παράθυρο Αίτηση πιστοποιητικού από τον εξυπηρετητή. Αν το πιστοποιητικό δεν περιλαμβάνεται σε αυτή τη λίστα, δεν μπορεί να χρησιμοποιηθεί από το Host On-Demand για εξακρίβωση στοιχείων πελάτη.

   Οποιαδήποτε κάρτα SmartCard ή συσκευή κρυπτογράφησης που αναγνωρίζεται από το MSIE μπορεί να χρησιμοποιηθεί από το Host On-Demand για εξακρίβωση στοιχείων πελάτη. Για να προμηθευτείτε ένα πιστοποιητικό, συνήθως πρέπει να επισκεφθείτε μια ιστοσελίδα με το πρόγραμμα πλοήγησης MSIE, να συμπληρώσετε μια φόρμα και να αποθηκεύσετε το νέο πιστοποιητικό είτε στη βάση δεδομένων του προγράμματος πλοήγησης είτε σε μια συσκευή κρυπτογράφησης.

   Για παράδειγμα, μεταβείτε στη σελίδα http://freecerts.entrust.com/webcerts/ag_browser_req.htm με το πρόγραμμα πλοήγησης MSIE. Συμπληρώστε τις πληροφορίες που σας ζητούνται και στη συνέχεια επιλέξτε Proceed to Step 2 και Proceed to Step 3. Στο κάτω μέρος αυτής της σελίδας βρίσκεται μια λίστα η οποία σας επιτρέπει να καθορίσετε πού θα τοποθετηθεί το πιστοποιητικό.

   Αν επιλέξετε Microsoft Base Cryptographic Provider 1.0, το πιστοποιητικό θα τοποθετηθεί στη βάση δεδομένων του MSCAPI. Δεν χρειάζεται πρόσθετος υλικός εξοπλισμός για την πρόσβαση σε αυτό.

   Αν επιλέξετε Schlumberger Cryptographic Service Provider ή Gemplus GemSAFE Card CSP v1.0, το πιστοποιητικό θα τοποθετηθεί σε κάρτα SmartCard. Αν επιλέξετε αυτό τον προορισμό, το όνομα του πιστοποιητικού θα εμφανίζεται στο παράθυρο Πιστοποιητικά (Certificates) του MSIE, όπως και τα πιστοποιητικά που έχουν αποθηκευτεί στη βάση δεδομένων του MSCAPI. Όμως, η πρόσβαση στο πιστοποιητικό θα είναι δυνατή μόνο αν έχετε τοποθετήσει την κάρτα SmartCard στην οποία μεταφορτώσατε το πιστοποιητικό στη συκευή ανάγνωσης.

   Τα πιστοποιητικά που προμηθεύεστε από τη διεύθυνση freecerts.entrust.com θα πρέπει να χρησιμοποιούνται μόνο για δοκιμαστικούς σκοπούς. Αφού μεταφορτώσετε το πιστοποιητικό, μεταβείτε στο παράθυρο Πιστοποιητικά (Certificates) του MSIE και επιλέξτε την καρτέλα Αρχές έκδοσης πιστοποιητικών αξιόπιστης ρίζας (Trusted Root Certification Authorities). Εντοπίστε στη λίστα ένα πιστοποιητικό που έχει εκδοθεί στο Entrust PKI Demonstration Certificates. Επιλέξτε αυτό το πιστοποιητικό και εξαγάγετέ το σε ένα αρχείο. Στη συνέχεια, προσθέστε το αρχείο αυτό στη λίστα έμπιστων πιστοποιητικών του εξυπηρετητή SSL που χρησιμοποιεί εξακρίβωση στοιχείων πελάτη. Μετά από τις ενέργειες αυτές, ο εξυπηρετητής SSL θα πρέπει να θεωρεί έμπιστο το πιστοποιητικό Entrust, αν αποσταλεί από τον πελάτη Host On-Demand. Η διαδικασία αυτή θα πρέπει να εκτελεστεί μόνο για δοκιμαστικούς σκοπούς, και το πιστοποιητικό Entrust PKI Demonstration Certificate θα πρέπει να αφαιρεθεί από οποιονδήποτε εξυπηρετητή παραγωγής.

7. Δημιουργία αυτο-υπογραφόμενων πιστοποιητικών σε κάρτες SmartCard

   Η Διαχείριση πιστοποιητικών του Host On-Demand χρησιμοποιεί το PKCS11 για την πρόσβαση σε λειτουργίες SmartCard. Το πρόγραμμα αυτό χρησιμοποιείται κυρίως για τη δημιουργία αυτο-υπογραφόμενων πιστοποιητικών στις κάρτες SmartCard ή για τη μεταφόρτωση ενός πιστοποιητικού από αρχείο .pfx ή .p12 file σε κάρτα SmartCard. (Σημείωση: Η κάρτα IBM Security Card υποστηρίζει τη δημιουργία αυτο-υπογραφόμενων πιστοποιητικών αλλά όχι τη μεταφόρτωση ενός υπάρχοντος πιστοποιητικού σε αρχείο .pfx ή .p12.)

   Για να είναι δυνατή η πρόσβαση στην κάρτα SmartCard, μπορεί να χρειάζονται πρόσθετες ρυθμίσεις. Κατά την εγκατάστασή του, το Host On-Demand προσπαθεί να εντοπίσει τυχόν κάρτες SmartCard στο σύστημα. Προς το παρόν, αναγνωρίζονται μόνο οι κάρτες IBM Security Card και οι συσκευές ανάγνωσης Schlumberger Reflex αν έχουν εγκατασταθεί με το Cryptoflex Security Kit V3.0c.

   Οι παράμετροι για το IBM Certificate Management καθορίζονται σε ένα αρχείο που ονομάζεται ikminit_hod.properties και βρίσκεται στον κατάλογο hostondemand\bin. Αν αναγνωριστεί η κάρτα IBM Security Card, το αρχείο αυτό θα περιέχει την ακόλουθη γραμμή:

       DEFAULT_CRYPTOGRAPHIC_MODULE=w32pk2ig.dll

   Αυτό πληροφορεί το IBM Certificate Management ότι θα πρέπει να φορτώσει το συγκεκριμένο dll όταν πρέπει να εκτελεστούν λειτουργίες SmartCard.

   Αν δεν εντοπιστεί κάρτα IBM Security Card, αλλά εντοπιστεί κάρτα Schlumberger, θα υπάρχει μια γραμμή όμοια με την ακόλουθη:

       DEFAULT_CRYPTOGRAPHIC_MODULE=C:\\Program Files\\Schlumberger\\Smart Cards and Terminals\\Common Files\\slbck.dll

   Αυτές είναι οι μοναδικές συσκευές κρυπτογράφησης που έχουν δοκιμαστεί με το IBM Certificate Management. Αν έχετε κάποια άλλη συσκευή κρυπτογράφησης που υποστηρίζει το PKCS11 μέσω ενός dll, μπορείτε να δοκιμάσετε τη συσκευή αυτή αντικαθιστώντας το όνομα και η θέση του dll στο αρχείο ikminit_hod.properties. Αν κάποια στιγμή οι κάρτες SmartCard αφαιρεθούν από το σύστημα, θα πρέπει να αφαιρέσετε τις παραπάνω προτάσεις από το αρχείο ikminit_hod.properties.

   Με τις ρυθμίσεις αυτές, μπορείτε να δημιουργήσετε ένα αυτο-υπογραφόμενο πιστοποιητικό στην κάρτα SmartCard ως εξής:

   1. Ενεργοποιήστε το IBM Certificate Management
   2. Από τη γραμμή μενού, επιλέξτε Cryptographic Token
   3. Στο παράθυρο Cryptographic Token, πληκτρολογήστε τον αριθμό PIN της κάρτας SmartCard και εκκαθαρίστε την εξωτερική βάση δεδομένων, και πατήστε OK
   4. Το Cryptographic Token (η κάρτα SmartCard) είναι τώρα ενεργή.

   Τόσο η κάρτα IBM Security Card όσο και η κάρτα Schlumberger μπορούν να δημιουργήσουν αυτο-υπογραφόμενα πιστοποιητικά. Η κάρτα Schlumberger παρέχει επίσης τη δυνατότητα εισαγωγής στην κάρτα ενός πιστοποιητικού από αρχείο .p12 ή .pfx.

   Αν δημιουργήσετε αυτο-υπογραφόμενα πιστοποιητικά, το δημόσιο τμήμα των πιστοποιητικών θα πρέπει να αντιγραφεί (χωρίς να εξαχθεί) στη λίστα έμπιστων πιστοποιητικών του εξυπηρετητή SSL που θα ζητήσει το πιστοποιητικό.

   Αν δημιουργήσετε ένα αυτο-υπογραφόμενο πιστοποιητικό στην κάρτα IBM Security Card, θα πρέπει να το δηλώσετε στο MSCAPI. Για να γίνει αυτό, ενεργοποιήστε το εργαλείο GemSAFE Card Details Tool. Το εργαλείο αυτό θα ελέγξει την κάρτα, θα εντοπίσει ότι δεν έχει δηλωθεί στο MSCAPI και θα σας ρωτήσει αν θέλετε να τη δηλώσετε.

   Κατά τις δικές μας δοκιμές, δεν υποστήριζαν όλες οι συσκευές ανάγνωσης όλες τις λειτουργίες σε όλες τις πλατφόρμες. Ακολουθεί ένας πίνακας με τις συσκευές ανάγνωσης και τις πλατφόρμες στις οποίες δοκιμάστηκαν.

   	Έμπιστο	Αυτο-υπογραφόμενο	Προσθήκη .p12	Λειτουργικό σύστημα Windows 98/NT	Λειτουργικό σύστημα Windows 2000
   IBM Security Card PCMCIA Reader	X	X		X
   IBM Security Card Serial Reader	X			X
   Schlumberger Reflex 20 Reader	X	X	X	X	X
   Schlumberger Reflex 72 Reader	X	X	X	X
   Schlumberger Reflex Lite	X	X	X		X

8. Το πιστοποιητικό που εξάγετε με το βοήθημα gskkyman του z/OS μοιάζει να είναι άκυρο ή αλλοιωμένο;

   Το Host On-Demand και οι λειτουργίες της δεν αναγνωρίζουν τα αρχεία PKCS12 που έχουν εξαχθεί με τη λειτουργία gskkyman του z/OS. Αυτό το πρόβλημα οφείλεται στο γεγονός ότι η λειτουργία gskkyman χρησιμοποιεί τη διαμόρφωση PFX v1 για τα αρχεία PKCS12, ενώ το Host On-Demand και οι λειτουργίες της χρησιμοποιούν τη διαμόρφωση PFX v3 για τα αρχεία PKCS12.

   Ακολουθεί ένα παράδειγμα αυτού του προβλήματος:

   1. Σε κάποιον εξυπηρετητή z/OS, ο διαχειριστής του συστήματος:
   1. Χρησιμοποιεί τη λειτουργία gskkyman για τη δημιουργία ενός αυτο-υπογραφόμενου πιστοποιητικού που θα λειτουργεί ως προσωπικό πιστοποιητικό για έναν πελάτη Host On-Demand.
   2. Χρησιμοποιεί τη λειτουργία gskkyman για την εξαγωγή του κλειδιού και του πιστοποιητικού σε ένα αρχείο PKCS12. (Πρόκειται για την επιλογή 'Export keys to a PKS12 file' στο μενού Export Key της λειτουργίας gskkyman.)
   3. Διαβιβάζει το αρχείο PKCS12 στο χρήστη του σταθμού εργασίας πελάτη.
   
   
   2. Στο σταθμό εργασίας πελάτη, ο χρήστης:
   1. Ξεκινά μια συνεδρία τερματικού 3270 που απαιτεί την αποστολή ενός πιστοποιητικού από το σύστημα πελάτη στο κεντρικό σύστημα, όπου η προέλευση του πιστοποιητικού πρέπει να είναι ένα αρχείο PKCS12 ή PFX.
   2. Παρέχει, όταν του τη ζητήσει το πρόγραμμα έναρξης της συνεδρίας τερματικού 3270, τη διαδρομή του αρχείου PKCS12 που έλαβε από το διαχειριστή του συστήματος z/OS.
   
   
   3. Στο σταθμό εργασίας πελάτη, το πρόγραμμα έναρξης της συνεδρίας τερματικού 3270 εμφανίζει το ακόλουθο μήνυμα σφάλματος:
      Ο κωδικός πρόσβασης του πιστοποιητικού δεν ήταν έγκυρος ή το πιστοποιητικό που βρέθηκε στη θέση <διαδρομή του αρχείου PKCS12> είχε αλλοιωθεί. (ECL0034)

   Επίσης ενδέχεται να μην είναι δυνατή η ανάγνωση του πιστοποιητικού από τις λειτουργίες πιστοποιητικού του Host On-Demand.

Για να διορθώσετε αυτό το πρόβλημα, θα πρέπει να μετατρέψετε το αρχείο PKCS12 σε μορφή PFX v3 προτού το στείλετε σε κάποιο χρήστη ή το χρησιμοποιήσετε με οποιαδήποτε λειτουργία ή συνεδρία του Host On-Demand. Για να μετατρέψετε τη μορφή του αρχείου, ακολουθήστε τα παρακάτω βήματα:

1. Μεταφορτώστε το πιστοποιητικό σε ένα σταθμό εργασίας όπου έχει εγκατασταθεί ένα πρόγραμμα πλοήγησης Netscape 4.x ή Netscape 6.x.
2. Χρησιμοποιήστε το Netscape για να εισαγάγετε το πιστοποιητικό από το αρχείο PKCS12. Το Netscape αναγνωρίζει τη διαμόρφωση PFX v1. Για να εισαγάγετε το αρχείο με το Netscape 4.x:
   1. Επιλέξτε Communicator > Tools > Security Info.
   2. Κάτω από την επιλογή Certificates, επιλέξτε Yours.
   3. Επιλέξτε Import a Certificate... και ακολουθήστε τις οδηγίες που σας παρέχονται για να εισαγάγετε το πιστοποιητικό από το αρχείο PKCS12.
3. Χρησιμοποιήστε το Netscape για να εξαγάγετε το πιστοποιητικό σε ένα αρχείο PKCS12. Το Netscape θα εξαγάγει το πιστοποιητικό σε μορφή PFX v3. Για να εξαγάγετε το αρχείο με το Netscape 4.x:
   1. Επιλέξτε Communicator > Tools > Security Info.
   2. Κάτω από την επιλογή Certificates, επιλέξτε Yours.
   3. Επιλέξτε το πιστοποιητικό που εισαγάγατε προηγουμένως.
   4. Επιλέξτε Export a Certificate... και ακολουθήστε τις οδηγίες που σας παρέχονται για να εξαγάγετε το πιστοποιητικό σε ένα αρχείο PKCS12.
9. Μετά την αναβάθμιση του Host On-Demand σε λειτουργικά συστήματα Windows, δεν εμφανίζεται πλέον το παράθυρο Οδηγός πιστοποιητικών με την έναρξη του Οδηγού πιστοποιητικών

   Όταν αναβαθμίσετε το Host On-Demand σε κάποια νεότερη έκδοση σε λειτουργικά συστήματα Windows, το παράθυρο του Οδηγού πιστοποιητικών μπορεί να μην εμφανιστεί όταν επιλέξετε την έναρξη του Οδηγού πιστοποιητικών.

   Αυτό το πρόβλημα μπορεί να οφείλεται στο γεγονός ότι κάποιες διεργασίες του προγράμματος που σχετίζονται με τον Οδηγό πιστοποιητικών βρίσκονταν σε λειτουργία κατά τη διάρκεια της διαδικασίας αναβάθμισης. Στα Windows 2000, πρόκειται για τις ακόλουθες διεργασίες:

   • javaw.exe, που είναι ένα JVM
   • hodsgsk.exe, που είναι μια λειτουργία ασφάλειας

   Μέχρι να διορθωθεί το πρόβλημα, μπορείτε να χρησιμοποιήσετε τη λειτουργία Διαχείριση πιστοποιητικών.

   Για να διορθώσετε αυτό το πρόβλημα στο λειτουργικό σύστημα Windows 2000, ακολουθήστε τα εξής βήματα:

   1. Τερματίστε τις διεργασίες, αν είναι ακόμα ενεργές.
   1. Πατήστε το συνδυασμό πλήκτρων Ctrl-Alt-Delete.
   2. Επιλέξτε Διαχείριση εργασιών (Task Manager).
   3. Στο παράθυρο της Διαχείρισης εργασιών, πατήστε στην καρτέλα Εφαρμογές (Applications).
   4. Στο παράθυρο της Διαχείρισης εργασιών, επιλέξτε "Οδηγός πιστοποιητικών του IBM Host On-Demand" και πατήστε το κουμπί Τέλος εργασίας (End Task). Η εργασία "Οδηγός πιστοποιητικών του IBM Host On-Demand" εξαφανίζεται από τη λίστα των ενεργών εργασιών.
   5. Στο παράθυρο της Διαχείρισης εργασιών, επιλέξτε Αρχείο (File) > Έξοδος από τη Διαχείριση εργασιών (Exit Task Manager).
   2. Απεγκαταστήστε το Host On-Demand χρησιμοποιώντας τον Οδηγό προσθαφαίρεσης προγραμμάτων (Add/Remove Programs) των Windows.
   3. Επανεγκαταστήστε το Host On-Demand.

10. Το Keytool.exe δημιουργεί σφάλματα όταν χρησιμοποιείται η Τσεχική γλώσσα;

Το Keytool.exe είναι ένα δυαδικό εκτελέσιμο αρχείο για τα Windows που περιλαμβάνεται στο JRE που εγκαθίσταται με το Host On-Demand. Όταν είναι ενεργό το keytool.exe, εμφανίζονται σφάλματα μετάφρασης για την Τσεχική γλώσσα.

Για να διορθώσετε αυτό το πρόβλημα, εγκαταστήστε την τελευταία έκδοση του IBM JRE από το δικτυακό τόπο υποστήριξης του Host On-Demand.

11. Περιορισμός στη χρήση της λειτουργίας Certificate Management σε AIX

    Για τη λειτουργία διαχείρισης πιστοποιητικών (Certificate Management) σε AIX απαιτείται το JRE 1.1.8. Αν χρησιμοποιείτε το JVM 1.3, θα εμφανιστεί το ακόλουθο μήνυμα:
    Exception in thread "main" java.lang.VerifyError

    Για να χρησιμοποιήσετε τη λειτουργία διαχείρισης πιστοποιητικών σε AIX με το JRE 1.1.8, αλλάξτε την τιμή της μεταβλητής περιβάλλοντος JAVA_HOME ώστε να παραπέμπει στον κατάλογο εγκατάστασης του Java 1.1.8, προτού εκτελέσετε το σενάριο "CertificateManagement".

12. Χρήση του Host On-Demand με άλλα προϊόντα ασφάλειας

    Όταν χρησιμοποιείτε προϊόντα ασφάλειας άλλων προμηθευτών τα οποία κλειδώνουν ή αντικαθιστούν αρχεία, όπως το Mission Control της Netscape, τότε να έχετε υπόψη σας ότι τα τροποποιημένα αρχεία ρυθμίσεων πελάτη ενδέχεται να προκαλέσουν προβλήματα κατά την αναβάθμιση του Host On-Demand σε νεότερη έκδοση.

    Για παράδειγμα, αν έχει κλειδωθεί ή αντικατασταθεί το αρχείο signed.db, τότε παρουσιάζεται η προηγούμενη έκδοση του ενυπόγραφου πιστοποιητικού του Host On-Demand. Κατά συνέπεια, επειδή εξακολουθεί να παρουσιάζεται η λανθασμένη έκδοση του πιστοποιητικού, οι χρήστες ζητούνται να εκχωρήσουν ή να απορρίψουν την πρόσβαση στις νεότερες εκδόσεις των μικροεφαρμογών του Host On-Demand κάθε φορά που συνδέονται. Η επιλογή του τετραγωνίδιου "Remember this decision" (Αυτή η ρύθμιση θα ισχύει πάντα) δεν αλλάζει τη συμπεριφορά αυτή. Άλλα συμπτώματα είναι η εμφάνιση κενών γραμμών ή απροσδιόριστων δεκαεξαδικών δεδομένων πιστοποιητικών στη λίστα πιστοποιητικών Java/JavaScript του Netscape.

    Για να λύσετε αυτό το πρόβλημα, ακολουθήστε τις οδηγίες του χρησιμοποιούμενου προγράμματος ασφάλειας για να ανακτήσετε τη νεότερη έκδοση του ενυπόγραφου πιστοποιητικού του Host On-Demand προτού το διανείμετε στους χρήστες.