Info! Please note that this translation has been provided as best effort, for your convenience. The English page remains the official version.

Documento de suporte à autenticação X509

Introdução

Você pode usar a autenticação X.509 com todos os métodos de envio de atualizações para o Whois Base de dados. Seja qual for o método usado, você precisará ter um certificado e uma chave privada. Se você já possui um certificado emitido por outra Autoridade de Certificação, pode usá-lo. Se não e você for um LIR, você pode criar um com RIPE NCC, pois AfriNIC ainda não executa o CA. Caso contrário, você terá que gerar um certificado autoassinado para você mesmo. Implementação de AfriNIC de X.509 para assinar atualizações para o Whois O banco de dados não está preocupado com o caminho de confiança de um certificado. O certificado é usado apenas para armazenar a chave pública em um objeto de certificado de chave para corresponder à sua chave privada. Nenhuma consideração é levada em conta as listas de certificados revogados. É por isso que um certificado autoassinado funcionará bem para fins de assinatura de atualizações de banco de dados.

Se você deseja enviar suas atualizações de um cliente de email compatível com S / MIME, pode importar seu certificado para o cliente de email e usá-lo para assinar as mensagens de atualização. Se o seu cliente de email preferido não suportar S / MIME, você poderá assinar mensagens da linha de comando usando o OpenSSL e recortar e colar a mensagem assinada na janela de composição do cliente de email. Como o banco de dados AfriNIC é baseado no banco de dados RIPE NCC, eles realizaram testes em alguns clientes de correio para verificar a conformidade com S / MIME. Os resultados desses testes podem ser encontrados no documento Teste de cliente de email para conformidade com S / MIME .

Configure seu cliente de email

Primeiro você precisa gerar um certificado.

Depois que o certificado for gerado, selecione uma opção para exportar ou fazer backup do certificado e da chave privada de seu navegador. Algumas diretrizes para isso são fornecidas em Apêndice A1.2 da documentação do RIPE NCC.

Importe o certificado de backup e a chave privada para o seu cliente de email.

Configurar o banco de dados

Agora você está pronto para assinar mensagens do seu cliente de email. O próximo passo é configurar o final do banco de dados AfriNIC. Para isso, você precisa criar um novo X509 objeto key-cert e defina a autorização no objeto mntner para usar o X509.

Criando o objeto key-cert

Você precisa criar um objeto de certificado de chave de acordo com o seguinte modelo:

key-cert: [obrigatório] [único] [chave primária / de pesquisa]
método: [gerado] [único] []
proprietário: [gerado] [múltiplo] []
fingerpr: [gerado] [único] [tecla inversa]
certif: [obrigatório] [múltiplo] []
observações: [opcional] [múltiplo] []
notificar: [opcional] [múltiplo] [chave inversa]
admin-c: [opcional] [múltiplo] [chave inversa]
tech-c: [opcional] [múltiplo] [chave inversa]
mnt-by: [obrigatório] [múltiplo] [chave inversa]
alterado: [obrigatório] [múltiplo] []
fonte: [obrigatório] [único] []

Você precisará usar o OpenSSL para converter o certificado em um formato de texto ascii. O arquivo de backup exportado do seu navegador que contém seu certificado e chave privada está no formato binário e a extensão do arquivo deve ser .p12. Use o OpenSSL para converter esse arquivo binário em um arquivo ascii que terá a extensão .pem.

O comando para fazer isso é:

openssl pkcs12 -clcerts ascii.pem 

Agora abra o arquivo ascii.pem em um editor de texto. Remova tudo do arquivo, exceto o certificado. Isso está contido nas linhas:

----- COMEÇAR CERTIFICADO ----- 
......
----- TERMINAR CERTIFICADO -----

Você também deve manter essas linhas BEGIN e END. Agora, isso formará os dados do certificado para seu objeto de certificado de chave. Adicione ao início de cada uma dessas linhas o nome do atributo "certif:"

Por exemplo:

certif: ----- COMEÇAR CERTIFICADO -----
certif: MIID8zCCA1ygAwIBAgICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx
certif: EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv
certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu
certif: bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC
certif: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD
certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51
certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0
certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9
certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac
certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4
certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y
certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBglg
certif: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG + EIBDQQNFgtSSVBF
certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB
certif: kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw
certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0
certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l
certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn
certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI
certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww
certif: PeUqjPPTZg ==
certif: ----- TERMINAR CERTIFICADO -----

Os atributos "method:", "owner:" e "fingerpr:" serão gerados automaticamente pelo programa de atualização do banco de dados para que possam ser ignorados neste estágio. O único atributo necessário antes dos dados "certif:" é o "key-cert:". O valor do nome desse atributo é gerado automaticamente, portanto, adicione esta linha no início do arquivo:

certificado de chave: AUTO-1 

Este nome é usado apenas como uma tag nos atributos "auth:" do mantenedor, portanto, foi decidido não permitir nenhuma escolha no nome. O nome gerado será do tipo X509-nnn, em que nnn é o próximo número inteiro disponível. Esses números não serão reutilizados. Depois que um objeto de certificado de chave é excluído, não é possível recriar um com o mesmo nome.

O restante do objeto key-cert após os atributos "certif:" se parece com isso:

Comentários: Sample Key Certificate
notificar: you@seudominio.net
mnt-by: SEU-MNT
alterado: you@seudominio.net 20040101
fonte: AFRINIC

Isso fornece um objeto final de certificação de chave parecido com este:

certificado de chave: AUTO-1
certif: ----- COMEÇAR CERTIFICADO -----
certif: MIID8zCCA1ygAwIBAgICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx
certif: EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv
certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu
certif: bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC
certif: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD
certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51
certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0
certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9
certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac
certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4
certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y
certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBglg
certif: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG + EIBDQQNFgtSSVBF
certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB
certif: kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw
certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0
certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l
certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn
certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI
certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww
certif: PeUqjPPTZg ==
certif: ----- TERMINAR CERTIFICADO -----
Comentários: Sample Key Certificate
notificar: you@seudominio.net
mnt-by: SEU-MNT
alterado: you@seudominio.net 20050101
fonte: AFRINIC

Isso agora pode ser enviado para o programa de atualização do banco de dados, enviando-o por e-mail para auto-dbm@afrinic.net, ou usando os métodos syncupdates ou webupdates.

O objeto final criado no banco de dados será mais ou menos assim:

certificado de chave: X509-23
método: X509
proprietário: /C=NL/O=AFRINIC/OU=Members/CN=tg.dodo.administrator
\ /Email=you@seudominio.net
fingerpr: AC:B5:B1:36:95:F3:46:93:B1:2D:58:EB:E1:46:DA:3F
certif: ----- COMEÇAR CERTIFICADO -----
certif: MIID8zCCA1ygAwIBAgICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx
certif: EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv
certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu
certif: bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC
certif: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD
certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51
certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0
certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9
certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac
certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4
certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y
certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBgl
certif: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG + EIBDQQNFgtSSVBF
certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB
certif: kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw
certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0
certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l
certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn
certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI
certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww
certif: PeUqjPPTZg ==
certif: ----- TERMINAR CERTIFICADO -----
Comentários: Sample Key Certificate
notificar: you@seudominio.net
mnt-by: SEU-MNT
alterado: you@seudominio.net 20040101
fonte: AFRINIC

Atualizando o mantenedor

A etapa final para usar o X.509 é definir a autorização do seu objeto mntner para aceitar o X.509. É recomendável, em primeira instância, manter o método de autorização existente do seu mantenedor e adicionar o X.509 como um método adicional. Depois de testar seu uso com êxito, você poderá excluir qualquer
métodos de autorização menos seguros, como senhas.

Se o seu objeto mntner existente se parece com isso:

mntner: YOUR-MNT
descr: objeto de manutenção da empresa
admin-c: TP1-AFRINIC
atualize para: you@seudominio.net
referência: RIPE-DBM-MNT
mnt-by: SEU-MNT
auth: CRYPT-PW dbOnSHFpKZTBU
alterado: you@seudominio.net 20050101
fonte: AFRINIC

Inclua uma linha de autorização adicional para o X509-23 e envie o objeto ao programa de atualização do banco de dados da maneira usual, fornecendo a autorização existente necessária. Neste exemplo, será a senha do crypt-pw:

mntner: YOUR-MNT
descr: objeto de manutenção da empresa
admin-c: TP1-AFRINIC
atualize para: you@seudominio.net
referência: RIPE-DBM-MNT
mnt-by: SEU-MNT
auth: CRYPT-PW dbOnSHFpKZTBU
auth: X509-23
alterado: you@seudominio.net 20050101
fonte: AFRINIC

Usando a autorização X.509

Agora está tudo pronto para usar a autorização X.509. Você pode escrever uma mensagem no seu cliente de email que contenha a atualização. Assine a mensagem com seu certificado e chave privada. Pode ser necessário verificar com a documentação do seu cliente de email específico para ver como fazer isso. Em seguida, envie o e-mail para auto-dbm@afrinic.net. Depois de enviar uma atualização bem-sucedida, você pode, se desejar, remover o método de autenticação mais fraco, removendo a linha neste exemplo:

auth: CRYPT-PW dbOnSHFpKZTBU 

do seu objeto mntner. Agora, as atualizações só podem ser autorizadas pelo método de autenticação mais forte do X.509.

Data e hora nas Maurícias -