Guia de Resolução de Problemas

Índice

Lista de Verificação de Resolução de Problemas de Segurança

  1. Etapas para a Resolução de Problemas de TLS ou SSL
  2. Etapas para a Resolução de Problemas de SSH
  3. Você Recebe Mensagens de Erro COMM662, COMM663 ou COMM666?
  4. Você Estará Editando o Registro Se os Drivers Forem Carregados ao Iniciar IKEYMAN
  5. Você Está Utilizando Duas Leitoras de Smartcard no IKEYMAN
  6. Revise a Inclusão de um Certificado Cliente
  7. Revise a Criação de Certificados Auto-assinados em Smartcards
  8. O Certificado Exportado Utilizando o Utilitário z/OS Gskkyman Parece Ser Inválido ou Corrompido
  9. No Sistema Operacional Windows, Depois de Fazer Upgrade do Host On-Demand para um Novo Nível, o Assistente de Certificado Não Aparece Quando o Assistente de Certificado For Iniciado
  10. O Keytool.exe Produz Erros para o Idioma da República Tcheca?
  11. Revise a Limitação do Utilitário de Gerenciamento de Certificado no AIX
  12. Revise Utilizando o Host On-Demand com Outros Produtos de Segurança

  1. Etapas para a Resolução de Problemas de Segurança de TLS ou SSL

    Se não for possível estabelecer uma conexão TLS ou SSL com o servidor, verifique:

    1. Que tipo de certificado você utiliza?
      • Auto-assinado
      • CA

    2. Onde o certificado está armazenado (por exemplo, ele está no conjunto de chaves do servidor)?

    3. Você incluiu o certificado no banco de dados do conjunto de chaves do servidor Host On-Demand? Emita o comando keyrng em um prompt de comandos. A sintaxe é:

      keyrng x connect server_name:port_number ftp

      em que:

      • x é um nome de classe genérico.
      • server_name é o nome do servidor Host On-Demand.
      • port_number é a porta na qual o servidor está atendendo. Para conexões não-FTP, o padrão é 443. Para conexões do FTP, o padrão é 990.
      • ftp indica que uma conexão está sendo feita com um servidor FTP

      Pressione Enter no prompt de senha. Uma lista com todos os certificados do banco de dados conjunto de chaves do servidor é exibida.

    4. Verifique se a senha do arquivo HODServerKeyDb.kdb não expirou e se estão em formato stash.

    5. Se você tiver incluído um certificado, verifique as datas de validade do certificado para determinar se ele expirou.

    6. Se o certificado ainda for válido, inclua-o no conjunto de chaves do servidor Host On-Demand. Pare e reinicie o Service Manager.

    7. Inclua o certificado no conjunto de chaves do cliente, para disponibizá-lo aos clientes.

    8. Utilize o utilitário keyrng, para verificar o certificado correto e as datas de validade. Por exemplo: 
      keyrng CustomizedCAs verify

    9. Utilize o comando keyrng, para conectar-se ao servidor na porta SSL 12173. Por exemplo: 
      keyrng x connect servername:12173

    10. Configure uma sessão TLS ou SSL no cliente, para se conectar a um servidor em uma porta SSL (como 12173).

    11. Tente remover o cliente Host On-Demand em cache, excluindo os arquivos temporários da Internet e tente novamente. A exclusão de arquivos temporários da Internet removerá o CustomizedCAs.class atual.

    12. Se possível, verifique a conectividade tentando conectar. (Consulte Cliente Não Conecta para obter dicas de resolução de problemas.)

    13. No Servidor, verifique se os arquivos HODServerKeyDb.* estão presentes no diretório \hostondemand\HOD. Esse é o arquivo de banco de dados chave utilizado pelo Redirecionador do Host On-Demand e ele contém certificados de CAs já conhecidas. Ele também contém a chave privativa e todos os certificados pessoais do servidor.

    14. Se estiver utilizando um certificado auto-assinado, verifique se os arquivos CustomizedCAs.p12 (se existir) e CustomizedCAs.class estão presentes no diretório \hostondemand\HOD. Se estiver utilizando um certificado auto-assinado ou um certificado emitido por uma CA desconhecida, extraia o certificado e inclua-o nos arquivos CustomizedCAs.p12 (se existir) e CustomizedCAs.class. Esses arquivos estão localizados no diretório de publicação do Host On-Demand para que os clientes possam acessá-los. O download desse arquivo é executado sempre que é feito download do cliente Host On-Demand.

    15. Se você estiver tendo problemas com o SSL no Redirecionador, verifique se o banco de dados chave do servidor Host On-Demand e os arquivos CustomizedCAs.p12 (se existir) e CustomizedCAs.class foram criados e estão presentes no computador que está executando o Redirecionador do host On-Demand. Consulte Lista de Verificação para a Resolução de Problemas com o Redirecionador, para obter detalhes.

  2. Etapas para a Resolução de Problemas de SSH

    Se não for possível estabelecer uma conexão SSH ou SSL com o servidor, verifique o seguinte:

    1. Certifique-se de que o endereço e o número da porta do servidor estão corretos. O número de porta padrão do servidor SSH é 22, mas ele pode ser diferente.
    2. Verifique o nível de JVM no cliente. A função SSH do Host On-Demand requer JVM Java 2 com JCE (Java Cryptography Extension), que faz parte do JCE, já que o JDK 1.4 está no lado cliente. Se você utilizar um JVM mais antigo, por exemplo nível JDK 1.1 ou JDK 1.3 do JVM sem JCE, faça upgrade do nível JVM para JDK 1.4.
    3. Certifique-se de que o protocolo SSH Versão 2 está ativado no servidor. Servidores SSH mais antigos suportam somente o protocolo SSH Versão 1.x, que o Host On-Demand não compreende.
    4. Se você ativou a autenticação de chave pública, desative-a e tente utilizar apenas a autenticação de senha, pois a configuração para autenticação de chave pública é mais complicada e propensa a erros.
    5. Se a autenticação de senha funcionar, marque duas vezes a configuração para autenticação de chave pública. Em muitos casos, a configuração no servidor não está correta, por exemplo, permissões de arquivos. O procedimento é diferente, dependendo do servidor SSH. Para obter informações adicionais, consulte a documentação do servidor SSH.
    6. O par de chaves particular/público utilizado para autenticação de chave pública é salvo no sistema de arquivos de cada cliente. Se precisar utilizar a autenticação de chave pública de mais de dois clientes, deverá copiar o arquivo KeyStore (geralmente, é o arquivo .keystore no diretório home do usuário) para outras máquinas.
    7. Muitos servidores SSH possuem seus próprios modos de depuração. Se você tiver dificuldades na identificação do problema, poderá desejar utilizá-las. Para obter informações adicionais, consulte a documentação do servidor SSH.
  3. Você Recebe Mensagens de Erro COMM662, COMM663 ou COMM666 ?

    Consulte as seguintes mensagens de erro COMM para obter informações adicionais:

    1. COMM662: O certificado do assinante do certificado do site do host não foi adicionado aos arquivos CustomizedCAs.p12 ou CustomizedCAs.class no servidor Host On-Demand. Este erro pode ocorrer ao utilizar um certificado auto-assinado se você especificou uma senha que não seja hod ao criar o arquivo customizedCAs.p12. Este erro pode também ocorrer se os bits de permissão do arquivo CustomizedCAs.p12 não estiverem definidos como 755.

    2. COMM663: O certificado no servidor pode estar utilizando um nome que não corresponde a seu nome na Internet.

    3. COMM666: O certificado pode ter expirado.

  4. Editando o Registro Se os Drivers Forem Carregados ao Iniciar o IKEYMAN

    Ao iniciar o IKEYMAN em um servidor Host On-Demand do Windows 2000, ocorre uma mensagem de erro ao carregar o slbck.dll durante a inicialização. Uma leitora de smart card Schlumberger deve ser instalada primeiro e depois desinstalada. Algumas entradas do Schlumberger podem permanecer no registro. Para se livrar dessa mensagem, o usuário deve limpar todas as entradas Schlumberger do registro ou editar um arquivo no Host On-Demand.

    O Gerenciador de Certificados do Host On-Demand utiliza a interface PKCS11 para acessar funções do smartcard. Essa interface é utilizada na maioria das vezes para criar certificados auto-assinados em smartcards ou para fazer download de um certificado em um arquivo .pfx ou .p12 para um smartcard.

    Antes que o smartcard possa ser acessado, pode ser necessário fazer configurações adicionais. Quando o Host On-Demand é instalado, ele determina se algum smartcard está presente no sistema. Atualmente, o Host On-Demand reconhece o IBM Security Card e as leitoras Schlumberger Reflex instaladas com o Cryptoflex Security Kit V3.0c.

    O IBM Certificate Management lê todos esses parâmetros em um arquivo de inicialização denominado ikminit_hod.properties que é armazenado em hostondemand\bin. Se o Host On-Demand reconhecer o IBM Security Card, a seguinte linha será exibida no arquivo de propriedades: 

    DEFAULT_CRYPTOGRAPHIC_MODULE=w32pk2ig.dll

    Isso informa ao IBM Certificate Manager para carregar esse dll, quando as funções do smartcard forem necessárias.

    Se o Host On-Demand reconhece uma placa Schlumberger, uma linha semelhante à seguinte aparece no arquivo de propriedades: 

    DEFAULT_CRYPTOGRAPHIC_MODULE=C:\\Program
Files\\Schlumberger\\Smart Cards and Terminals\\Common Files\\slbck.dll

    Esses são os únicos dispositivos de segurança que foram testados com o IBM Certificate Management. Se houver um outro dispositivo de segurança que implemente a interface PKCS11 por meio de um dll, o dispositivo de segurança pode ser testado alterando o nome e o local do dll no arquivo ikminit_hod.properties.

    Se o dispositivo de segurança for removido do sistema, o IBM Certificate Management relatará o seguinte erro na inicialização: 

    Falha na inicialização do token de criptografia.

    Para evitar esse erro, remova a instrução DEFAULT_CRYPTOGRAPHIC_MODULE do arquivo ikminit_hod.properties.

  5. Você Está Utilizando Duas Leitoras de Smartcard no IKEYMAN?

    A instalação de mais de um smartcard no mesmo computador pode fazer com que o suporte ao smartcard do Host On-Demand funcione incorretamente.

    Por exemplo, se o IBM Security Card não puder ser aberto pelo Gerenciador de Certificados do Host On-Demand e um smartcard Schlumberger foi instalado anteriormente em seu computador, pode haver valores deixados em seu registro que talvez façam com que os drivers do IBM Security Card funcionem incorretamente.

    Para resolver o problema, faça um backup do registro e exclua cuidadosamente quaisquer das seguintes chaves que permaneceram depois que você desinstalou o cartão Schlumberger:

  6. Revise a Inclusão de um Certificado Cliente

    Quando o cliente Host On-Demand entra em contato com um servidor SSL que solicita um certificado do cliente, como o Communications Server para Windows NT, o Communications Server para AIX ou o Communications Server para OS/390 em modo de autenticação de cliente, o cliente Host On-Demand pode invocar a interface MSCAPI, para solicitar todos os certificados de clientes disponíveis. O MSCAPI retornará todos os certificados registrados, quer eles estejam armazenados completamente no banco de dados MSCAPI ou estejam associados por meio do MSCAPI com algum dispositivo de segurança, como o smartcard ou a leitora thumbprint. A lista de certificados que estão registrados atualmente no banco de dados MSCAPI pode ser exibida da seguinte maneira:

    1. Inicie o navegador Internet Explorer 5.x.
    2. Na barra de menu, escolha Ferramentas e Opções da Internet.
    3. Na parte superior do painel Opções da Internet, escolha a guia Conteúdo.
    4. No painel Conteúdo, clique no botão Certificados.
    5. Na parte superior do painel Certificados, escolha a guia Pessoal; se ainda não estiver escolhida. Esses são os certificados que aparecerão na lista drop down, no painel de configuração do Host On-Demand e no painel Servidor que Solicita o Certificado. Se o certificado não estiver nessa lista, ele não pode ser utilizado pelo Host On-Demand para autenticação do cliente.

    Qualquer smartcard ou dispositivo de segurança que seja reconhecido pelo MSIE pode ser utilizado pelo Host On-Demand para autenticação de cliente. Os certificados geralmente são obtidos, visitando-se uma página da Web com o navegador MSIE, preenchendo um formulário na página da Web e, em seguida, armazenando o novo certificado no banco de dados do navegador ou em um dispositivo de segurança.

    Por exemplo, carregue http://freecerts.entrust.com/webcerts/ag_browser_req.htm no navegador MSIE. Preencha as informações solicitadas, pressione Continuar na Etapa 2 e, em seguida, Continuar na Etapa 3. Na parte inferior desta página há uma lista suspensa que permite que você especifique o local do certificado.

    A escolha do Microsoft Base Cryptographic Provider 1.0 colocará o certificado no banco de dados MSCAPI. Nenhum hardware extra será necessário para acessá-lo.

    A escolha do Schlumberger Cryptographic Service Provider ou do Gemplus GemSAFE Card CSP v1.0 colocará o certificado em um smartcard. Se você escolher esse destino, o nome do certificado aparecerá na janela Certificados do MSIE; exatamente como um certificado que foi colocado no banco de dados MSCAPI. No entanto, o certificado será acessível apenas se você tiver ligado o smartcard pelo qual foi feito o download do certificado.

    O certificado obtido do freecerts.entrust.com deve ser utilizado apenas para objetivos de teste. Depois de fazer o download do certificado, vá para a janela Certificados MSIE clique na guia Autoridades de Certificação de Raiz Confiável. Percorra a lista até localizar um certificado emitido para Entrust PKI Demonstration Certificates. Destaque esse certificado e exporte-o para um arquivo. Em seguida, inclua o arquivo exportado na lista de confiáveis de seu servidor SSL de autenticação de clientes. Com essa configuração, o servidor SSL deve confiar no certificado Entrust, se ele for retornado pelo cliente Host On-Demand. Esse exercício deve ser utilizado apenas para fins de teste e o Entrust PKI Demonstration Certificate deverá ser removido de qualquer servidor de produção.

  7. Revise a Criação de Certificados Auto-assinados em Smartcards

    O Gerenciador de Certificados do Host On-Demand utiliza a interface PKCS11 para acessar funções do smartcard. Essa interface é utilizada na maioria das vezes para criar certificados auto-assinados em smartcards ou para fazer download de um certificado em um arquivo .pfx ou .p12 para um smartcard. (Nota: O IBM Security Card suporta a criação de um certificado auto-assinado, mas não o download de um certificado existente em um arquivo .pfx ou .p12.)

    Antes que o smartcard possa ser acessado, pode ser necessário fazer configurações adicionais. Quando o Host On-Demand é instalado, ele tenta determinar se algum smartcard está presente no sistema. Atualmente, os únicos smartcards reconhecidos são o IBM Security Card e as leitoras Schlumberger Reflex instaladas com o Cryptoflex Security Kit V3.0c.

    O IBM Certificate Management lê todos esses parâmetros em um arquivo de inicialização denominado ikminit_hod.properties que é armazenado no diretório hostondemand\bin. Se o IBM Security Card for reconhecido, a seguinte linha será exibida no arquivo de propriedades: 

        DEFAULT_CRYPTOGRAPHIC_MODULE=w32pk2ig.dll

    Isso informa ao IBM Certificate Manager para carregar esse dll, quando as funções do smartcard forem necessárias.

    Se nenhum IBM Security Card for detectado, mas for detectado um cartão Schlumberger, a linha será semelhante a: 

        DEFAULT_CRYPTOGRAPHIC_MODULE=C:\\Program Files\\Schlumberger\\Smart Cards and Terminals\\Common Files\\slbck.dll

    Esses são os únicos dispositivos de segurança que foram testados com o IBM Certificate Management. Se houver um outro dispositivo de segurança que implemente a interface PKCS11 por meio de um dll, o dispositivo de segurança pode ser testado alterando o nome e o local do dll no arquivo ikminit_hod.properties. Se os smartcards forem removidos do sistema, essas linhas devem ser removidas do ikminit_hod.properties.

    Com essa configuração, um certificado auto-assinado pode ser criado no smartcard com as seguintes etapas:

    1. Inicie o IBM Certificate Management
    2. Na barra de menu, selecione Token Criptográfico
    3. No painel Token Criptográfico, digite o número PIN do smartcard, limpe o banco de dados externo e pressione OK
    4. O Token Criptográfico (smartcard) é aberto.

    Os cartões BM Security Card e Schlumberger podem criar certificados auto-assinados. O cartão Schlumberger também pode ter um certificado em um arquivo .p12 ou .pfx importado no cartão.

    Se cartões auto-assinados forem criados, a parte pública dos certificados deve ser extraída (não exportada) e incluída na lista confiável do servidor SSL que solicitará o certificado.

    Se um certificado auto-assinado for criado no IBM Security Card, ele deverá ser registrado com o MSCAPI. Para fazer isso, inicie a GemSAFE Card Details Tool. Ela verificará o cartão para ver se o certificado no cartão não foi registrado com o MSCAPI e perguntará se você deseja registrá-lo.

    Em nosso teste, nem todas as leitoras suportavam todas as operações em todas as plataformas. A seguir, apresentamos uma tabela das leitoras e das plataformas testadas.

      Confiável Auto-assinado Incluir .p12 Sistema Operacional Windows 98/NT Sistema Operacional Windows 2000
    IBM Security Card Leitora PCMCIA X X   X  
    IBM Security Card Leitora Serial X     X  
    Leitora Schlumberger Reflex 20 X X X X X
    Leitora Schlumberger Reflex 72 X X X X  
    Schlumberger Reflex Lite X X X   X

  8. O Certificado É Exportado Utilizando o Utilitário z/OS Gskkyman Parece Ser Inválido ou Corrompido

    O Host On-Demand e seus utilitários não lerão arquivos PKCS12 exportados utilizando o utilitário gskkyman do z/OS. O problema é que o gskkyman utiliza o formato PFX v1 para arquivos PKCS12, enquanto que o Host On-Demand e seus utilitários utilizam o formato PFX v3 para arquivos PKCS12.

    Aqui está um exemplo de um cenário em falha:

    1. Em um servidor z/OS, o administrador do sistema:
      1. Utiliza gskkyman para criar um certificado auto-assinado para servir como certificado pessoal para um cliente Host On-Demand.
      2. Utiliza gskkyman para exportar a chave e o certificado para um arquivo PKCS12. (A função no Menu Exportar Chave do gskkyman é 'Exportar chaves para um arquivo PKCS12'.
      3. Transmite o arquivo PKCS12 para o usuário.

    2. No cliente, o usuário:
      1. Inicia uma sessão 3270 Display que requer que o cliente envie um certificado ao host e que especifica que a origem do certificado seja um arquivo PKCS12 ou PFX.
      2. Fornece, quando solicitado pelo programa de inicialização da sessão 3270 Display, o caminho do arquivo PKCS12 que foi recebido do administrador do sistema.

    3. No cliente, o programa de inicialização da sessão 3270 Display exibe a seguinte mensagem de erro:
      A senha do certificado estava incorreta ou o certificado localizado no <caminho do arquivo PKCS12> estava corrompido. (ECL0034)

    Outro cenário em falha pode ser que o certificado não pode ser lido por nenhum dos utilitários de certificados do Host On-Demand.

    9. A correção é converter o arquivo PKCS12 para o formato PFX v3 antes de enviar o arquivo PKCS12 a um usuário e antes de utilizar o arquivo PKCS12 com qualquer utilitário ou sessão do Host On-Demand. Para converter o formato, siga as seguintes etapas:

    1. Faça o download do certificado em uma estação de trabalho que tenha um navegador Netscape 4.x ou Netscape 6.x instalado.
    2. Utilize o Netscape para importar o certificado do arquivo PKCS12. O Netscape pode ler o formato PFX v1. Para importar o arquivo utilizando o Netscape 4.x:
      1. Clique em Communicator > Ferramentas > Informações de Segurança.
      2. Sob Certificados, clique em Seus.
      3. Clique em Importar um Certificado... e siga as instruções para importar o certificado de um arquivo PKCS12.
    3. Utilize o Netscape para exportar o certificado para um arquivo PKCS12. O Netscape irá exportar o certificado no formato PFX v3. Para exportar o arquivo utilizando o Netscape 4.x:
      1. Clique em Communicator > Ferramentas > Informações de Segurança.
      2. Sob Certificados, clique em Seus.
      3. Clique no certificado importado.
      4. Clique em Exportar um Certificado... e siga as instruções para exportar o certificado para um arquivo PKCS12.

  9. No Sistema Operacional Windows, Depois de Fazer Upgrade do Host On-Demand para um Novo Nível, a Janela do Assistente de Certificado Não Aparece Quando o Assistente de Certificado For Iniciado

    Nos sistemas operacionais Windows, depois de fazer o upgrade do Host On-Demand para um novo nível, o painel Assistente para Certificado pode não aparecer quando o Assistente para Certificado for iniciado.

    Esse problema é causado pelo fato dos processos de programas associados ao Assistente para Certificado terem sido deixados em execução durante o upgrade. Nos sistemas operacionais Windows 2000, esses processos de programas são:

    Como solução alternativa temporária, você pode utilizar o Gerenciador de Certificados.

    Para realmente corrigir esse problema utilizando o sistema operacional Windows 2000, siga estas etapas:

    1. Pare os processos, se ainda estiverem em execução.
      1. Pressione Ctrl-Alt-Delete.
      2. Clique em Gerenciador de Tarefas.
      3. No painel Gerenciador de Tarefas, clique na guia Aplicativos.
      4. No painel Gerenciador de Tarefas, clique no Assistente para Certificados do Host On-Demand, em seguida, clique em Finalizar Tarefa. A entrada para o Assistente para Certificados do Host On-Demand deve desaparecer.
      5. No painel Gerenciador de Tarefas, clique em Arquivo > Sair do Gerenciador de Tarefas.
    2. Desinstale o Host On-Demand utilizando o assistente para Adicionar ou remover programas do Windows 2000.
    3. Reinstale o Host On-Demand.

  10. O Keytool.exe Produz Erros para o Idioma da República Tcheca?

    11. O Keytool.exe é um executável binário para Windows incluído com o JRE instalado com o Host On-Demand. Ao executar o keytool.exe, existem erros de tradução para o idioma da República Tcheca.

    Para resolvee esse problema, faça upgrade para o IBM JRE mais recente no Web site do Host On-Demand Service Key.

  11. Revise a Limitação do Utilitário de Gerenciamento de Certificado no AIX

    O utilitário de gerenciamento de certificados em AIX requer o JRE 1.1.8. Se estiver executando o JVM 1.3, você receberá a seguinte mensagem de erro:
    Exceção no encadeamento "main" java.lang.VerifyError

    Para utilizar o utilitário de gerenciamento de certificados no AIX com o JRE 1.1.8, defina a variável de ambiente JAVA_HOME para apontar para a instalação do Java 1.1.8 antes de executar o script "CertificateManagement".

  12. Revise Utilizando o Host On-Demand com Outros Produtos de Segurança

    Ao utilizar produtos de segurança de outros fornecedores que travam ou sobrescrevem arquivos, como o Mission Control do Netscape, esteja ciente que os arquivos de configuração editados do cliente podem causar problemas ao fazer uppgrade para versão mais recente do Host On-Demand.

    Por exemplo, se o arquivo signed.db está travado ou sobrescrito, a versão anterior do certificado assinado do Host On-Demand é apresentado. Conseqüentemente, como a versão incorreta do certificado continua a ser apresentada, os usuários são solicitados a conceder ou negar acesso aos applets da versão mais recente do Host On-Demand cada vez que tentarem efetuar login. Selecionando a caixa de opções "Lembrar esta Decisão" não tem efeito. Outros sintomas incluem linhas em branco ou informações de certificado hexadecimal não definidas na lista de Certificados Java/Javascript do Netscape.

    Para resolver isso, siga as instruções do programa de segurança sobre como recapturar a configuração para utilizar a versão mais recente do certificado assinado do Host On-Demand antes de distribuir aos usuários.

    Topo da Página Índice