Tivoli Header

IBM Tivoli Storage Manager for Windows Clients für Sichern/Archivieren Installations- und Benutzerhandbuch

Anhang E. Webclient - Secure Socket Layer

Wenn sich Administratoren beim Ausweichserver mit Hilfe des Webschnittstellenclient mit Verwaltungsfunktionen anmelden, geben sie eine Benutzer-ID und ein Kennwort an. Der Ausweichserver generiert ein Sicherheits-Token für diese Benutzer-ID, und die Webschnittstelle mit Verwaltungsfunktionen wird jedesmal, wenn sie einen Befehl an den Server ausgibt, anhand dieses Token überprüft. Das Sicherheits-Token wird verschlüsselt und läuft nach einem bestimmten Zeitraum ab. Wenn der Administrator nach der Anmeldung beim Ausweichserver via Hyperlink eine Verbindung zum Webclient für Sichern/Archivieren herstellt, wird das Sicherheits-Token an den Webclient übergeben und für die Authentifizierung der Benutzer-ID verwendet. Da dieses Token dem Benutzer den Zugriff auf den Client erlaubt, bietet der Webclient dem Benutzer die Möglichkeit, diese Informationen mit Hilfe des HTTPS-Protokolls sicher von der Webschnittstelle mit Verwaltungsfunktionen zum Webclient zu übertragen.

Unter HTTPS versteht man einfach das HTTP-Protokoll, das über Secure Socket Layer übertragen wird. Wenn Ihre Administratoren via Hyperlink eine Verbindung zu Clientmaschinen herstellen, um mit dem Webclient zu arbeiten, und Sie das Sicherheits-Token bei der Übertragung über das Netz schützen müssen, sollten Sie den Webclient für SSL konfigurieren, damit das HTTPS-Protokoll verwendet werden kann.

Die folgenden Abschnitte enthalten Informationen, die Ihnen bei der Verwaltung der SSL-Übertragung helfen:

Das Produktinstallationspaket enthält für die Unterstützung von SSL Dienstprogramme, mit denen Zertifikate erstellt und verwaltet werden können. SSL-Übertragung wird nur auf dem Windows NT-Client unterstützt. Sie können das Dienstprogramm MKKFE (Make Key File) verwenden, um Schlüsselpaare aus öffentlichem und privatem Ring und Zertifikatanforderungen zu erstellen, Zertifikatanforderungen in einem Schlüsselring zu empfangen und Schlüssel in einem Schlüsselring zu verwalten. MKKFE fordert zur Eingabe der erforderlichen Informationen auf. Wahlweise können Sie nach der Erstellung einer Zertifikatanforderung die Anforderung an eine Zertifizierungsinstanz (CA) senden, um sie signieren zu lassen.

SSL-Übertragung konfigurieren

In diesem Abschnitt werden folgende Tasks für das Definieren der SSL-Übertragung für Ihre Sicherungen beschrieben:

Schlüsselpaar erstellen

Gehen Sie wie folgt vor, um ein Schlüsselpaar aus öffentlichem und privatem Schlüssel zu erstellen sowie ein Zertifikat anzufordern und es in eine Schlüsselringdatei zu stellen:

  1. Geben Sie mkkfe ein, um das Dienstprogramm zu starten.

  2. Geben Sie n ein, um eine neue Schlüsselringdatei zu erstellen. Die Schlüsselringdatei wird zum Speichern von einem oder mehreren Schlüsselpaaren und Zertifikaten verwendet.

  3. Vergeben Sie den Namen certkey.kyr für die Datei. Der Webclient erkennt keinen anderen Namen.

Zertifikat anfordern

Gehen Sie wie folgt vor, um ein Zertifikat anzufordern:

  1. Wählen Sie w im Hauptmenü aus, um mit Zertifikaten zu arbeiten.

  2. Wählen Sie c aus, um ein neues Zertifikat zu erstellen. Geben Sie bei der Aufforderung zur Kennworteingabe apollo ein. Dabei handelt es sich um das Kennwort für die Schlüsselringdatei. Der Webclient erkennt kein anderes Kennwort. Nachdem Sie das Kennwort zweimal eingegeben haben, werden Sie gefragt, ob das Kennwort ablaufen wird; antworten Sie mit no.

  3. Drücken Sie s, um ein PEM-Zertifikat zu erstellen. Daraufhin wird eine Anforderung für Zertifikatinformationen angezeigt.

  4. Drücken Sie m, um die geforderten Zertifikatinformationen anzugeben. Sie können die angeforderten Informationen in jedes Feld eingeben oder das Feld durch Drücken von Eingabe leer lassen.
    Anmerkung:

    • Wenn Sie nach dem Schlüsseleintragnamen gefragt werden, geben Sie TSM-Webclient ein.

    • Der zweite Eintrag gilt der Schlüsselgröße. Die empfohlene Schlüsselgröße ist 512.

    • Wenn Sie nach dem vollständig qualifizierten TCP/IP-Domänennamen des Servers gefragt werden, müssen Sie unbedingt den TCP/IP-Domänennamen eingeben, bei dem der Client installiert ist.

  5. Drücken Sie r, um die Zertifikatanforderung zu erstellen. Wenn Sie nach einem Dateinamen gefragt werden, geben Sie certreq.txt ein.

  6. Drücken Sie x im Schlüsselmenü, um zum Schlüsselringmenü zurückzukehren.

Zertifikat in den Schlüsselring stellen

Gehen Sie wie folgt vor, um das Zertifikat in den Schlüsselring zu stellen:

  1. Drücken Sie r im Schlüsselringmenü. Geben Sie den Dateinamen des Zertifikats ein: certreq.txt. Wenn Sie eine Warnung erhalten, dass das Zertifikat selbstsigniert ist, geben Sie yes ein, um es der Schlüsseldatei hinzuzufügen.

  2. Drücken Sie w, um mit Zertifikaten zu arbeiten.

  3. Drücken Sie l, um das Zertifikat aufzulisten und auszuwählen. Drücken Sie n, um in der Liste nach unten zu navigieren, bis Sie TSM-Webclient finden, und drücken Sie s, um es auszuwählen.

  4. Drücken Sie f, um das Zertifikat zum Standardzertifikat zu machen. Drücken Sie y, wenn Sie gefragt werden: Soll dieser Schlüssel wirklich der Standardschlüssel sein?

  5. Drücken Sie x, um zum Schlüsselringmenü zurückzukehren.

  6. Drücken Sie s, um den Schlüsselring zu sichern. Möglicherweise werden Sie darauf hingewiesen, dass die Datei bereits vorhanden ist; Sie können dieses Datei ruhig überschreiben.

  7. Drücken Sie x, um MKKFE zu verlassen.

Webclient für SSL konfigurieren

Nachdem das Zertifikat erstellt und in die Schlüsselringdatei gestellt wurde, kopieren Sie die Schlüsselringdatei certkey.kyr in das Clientinstallationsverzeichnis. Bevor Sie den TSM-Clientakzeptor starten, müssen Sie die Option httpsport definieren. Die Option httpsport gibt die TCP/IP-Anschlussadresse an, die von der HTTPS-SSL-Schnittstelle verwendet wird, um mit dem Webclient zu kommunizieren. Weitere Informationen siehe Httpsport.

Definieren Sie die Umgebungsvariable NLSPATH wie folgt:

Folgen Sie den Anweisungen in Webclientsitzung starten, um den TSM-Clientakzeptor zu starten.

Der Client startet die Initialisierung der SSL-Übertragungsmethode.

Sie können unter Verwendung der SSL-Übertragungsmethode mit einem beliebigen Browser, der Java 1.3.1-fähig ist, auf den Webclient zugreifen, indem Sie folgende URL eingeben: 

https://your_machine_name:httpsport_number

Dabei steht your_machine_name für den Hostnamen der Maschine, die den Webclient mit der SSL-Übertragungsmethode ausführt, und httpsport_number steht für die Anschlussnummer, die Sie über die Option httpsport angegeben haben. Weitere Informationen siehe Httpsport.

Auf die Webclient-Workstation kann auch über die Systemverwaltungs-GUI zugegriffen werden.

Wenn Sie das erste Mal die Verbindung zur Clientmaschine herstellen, erhalten Sie Warnungen vom Webbrowser, da das von Ihnen erstellte Zertifikat vom Browser nicht anerkannt wird. Jeder Browser handhabt diese Situation anders. Netscape lässt zu, dass Sie das Zertifikat als Website-Zertifikat empfangen. Das empfangene Zertifikat wird dann mit dem Zertifikat verglichen, das vom Client bei jedem Verbindungsaufbau mit dem Server gesendet wird. Nach Abschluss der Konfiguration erhalten Sie keine Systemanfragen mehr, wenn Sie die Listenpunktmarkierung Immer akzeptieren im Assistenten anklicken. Internet Explorer gibt eine Anfrage an Sie aus, wenn das empfangene Zertifikat nicht anerkannt wird. Sie erhalten diese Nachricht bei jedem Verbindungsaufbau mit dem Client, sofern Sie die Warnung nicht inaktivieren.

[ Seitenanfang | Vorherige Seite | Nächste Seite | Inhaltsverzeichnis | Index ]