Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

Documento de suporte à autenticação X509

Introdução

Você pode usar a autenticação X.509 com todos os métodos de envio de atualizações para o Whois Base de dados. Seja qual for o método usado, você precisará ter um certificado e uma chave privada. Se você já possui um certificado emitido por outra Autoridade de Certificação, pode usá-lo. Se não e você for um LIR, você pode criar um com RIPE NCC, pois AfriNIC ainda não executa o CA. Caso contrário, você terá que gerar um certificado autoassinado para você mesmo. Implementação de AfriNIC de X.509 para assinar atualizações para o Whois O banco de dados não está preocupado com o caminho de confiança de um certificado. O certificado é usado apenas para armazenar a chave pública em um objeto de certificado de chave para corresponder à sua chave privada. Nenhuma consideração é levada em conta as listas de certificados revogados. É por isso que um certificado autoassinado funcionará bem para fins de assinatura de atualizações de banco de dados.

Se desejar enviar suas atualizações de um cliente de e-mail compatível com S/MIME, você pode importar seu certificado para o cliente de e-mail e usá-lo para assinar as mensagens de atualização. Se o seu cliente de e-mail preferido não for compatível com S/MIME, você poderá assinar mensagens na linha de comando usando OpenSSL e recortar e colar a mensagem assinada na janela de composição do cliente de e-mail.

Configure seu cliente de email

Primeiro você precisa gerar um certificado.

Depois que o certificado for gerado, selecione uma opção para exportar ou fazer backup do certificado e da chave privada de seu navegador. Algumas diretrizes para isso são fornecidas em Apêndice A1.2 da documentação do RIPE NCC.

Importe o certificado de backup e a chave privada para o seu cliente de email.

Configurar o banco de dados

Agora você está pronto para assinar mensagens do seu cliente de email. O próximo passo é configurar o final do banco de dados AfriNIC. Para isso, você precisa criar um novo X509 objeto key-cert e defina a autorização no objeto mntner para usar o X509.

Criando o objeto key-cert

Você precisa criar um objeto de certificado de chave de acordo com o seguinte modelo:

key-cert: [obrigatório] [único] [chave primária / de pesquisa]
método: [gerado] [único] []
proprietário: [gerado] [múltiplo] []
fingerpr: [gerado] [único] [tecla inversa]
certif: [obrigatório] [múltiplo] []
observações: [opcional] [múltiplo] []
notificar: [opcional] [múltiplo] [chave inversa]
admin-c: [opcional] [múltiplo] [chave inversa]
tech-c: [opcional] [múltiplo] [chave inversa]
mnt-by: [obrigatório] [múltiplo] [chave inversa]
alterado: [obrigatório] [múltiplo] []
fonte: [obrigatório] [único] []

Você precisará usar o OpenSSL para converter o certificado em um formato de texto ascii. O arquivo de backup exportado do seu navegador que contém seu certificado e chave privada está no formato binário e a extensão do arquivo deve ser .p12. Use o OpenSSL para converter esse arquivo binário em um arquivo ascii que terá a extensão .pem.

O comando para fazer isso é:

openssl pkcs12 -clcerts ascii.pem 

Agora abra o arquivo ascii.pem em um editor de texto. Remova tudo do arquivo, exceto o certificado. Isso está contido nas linhas:

----- COMEÇAR CERTIFICADO ----- 
......
----- TERMINAR CERTIFICADO -----

Você também deve manter essas linhas BEGIN e END. Agora, isso formará os dados do certificado para seu objeto de certificado de chave. Adicione ao início de cada uma dessas linhas o nome do atributo "certif:"

Por exemplo:

certif: ----- COMEÇAR CERTIFICADO -----
certificado: MIID8zCCA1ygAwIBAGICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx
certificado: EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv
certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu
certificado: bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC
certificado: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD
certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51
certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0
certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9
certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac
certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4
certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y
certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBglg
certif: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG + EIBDQQNFgtSSVBF
certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB
certificado: kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw
certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0
certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l
certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn
certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI
certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww
certif: PeUqjPPTZg ==
certif: ----- TERMINAR CERTIFICADO -----

Os atributos "method:", "owner:" e "fingerpr:" serão gerados automaticamente pelo programa de atualização do banco de dados para que possam ser ignorados neste estágio. O único atributo necessário antes dos dados "certif:" é o "key-cert:". O valor do nome desse atributo é gerado automaticamente, portanto, adicione esta linha no início do arquivo:

certificado de chave: AUTO-1 

Este nome é usado apenas como uma tag nos atributos "auth:" do mantenedor, portanto, foi decidido não permitir nenhuma escolha no nome. O nome gerado será do tipo X509-nnn, em que nnn é o próximo número inteiro disponível. Esses números não serão reutilizados. Depois que um objeto de certificado de chave é excluído, não é possível recriar um com o mesmo nome.

O restante do objeto key-cert após os atributos "certif:" se parece com isso:

Comentários: Sample Key Certificate
notificar: you@seudominio.net
mnt-by: SEU-MNT
alterado: you@seudominio.net 20040101
fonte: AFRINIC

Isso fornece um objeto final de certificação de chave parecido com este:

certificado de chave: AUTO-1
certif: ----- COMEÇAR CERTIFICADO -----
certificado: MIID8zCCA1ygAwIBAGICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx
certificado: EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv
certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu
certificado: bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC
certificado: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD
certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51
certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0
certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9
certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac
certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4
certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y
certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBglg
certif: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG + EIBDQQNFgtSSVBF
certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB
certificado: kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw
certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0
certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l
certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn
certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI
certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww
certif: PeUqjPPTZg ==
certif: ----- TERMINAR CERTIFICADO -----
Comentários: Sample Key Certificate
notificar: you@seudominio.net
mnt-by: SEU-MNT
alterado: you@seudominio.net 20050101
fonte: AFRINIC

Isso agora pode ser enviado para o programa de atualização do banco de dados, enviando-o por e-mail para auto-dbm@afrinic.net, ou usando os métodos syncupdates ou webupdates.

O objeto final criado no banco de dados será mais ou menos assim:

certificado de chave: X509-23
método: X509
proprietário: /C=NL/O=AFRINIC/OU=Members/CN=tg.dodo.administrator
\ /Email=you@seudominio.net
fingerpr: AC:B5:B1:36:95:F3:46:93:B1:2D:58:EB:E1:46:DA:3F
certif: ----- COMEÇAR CERTIFICADO -----
certificado: MIID8zCCA1ygAwIBAGICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx
certificado: EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv
certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu
certificado: bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC
certificado: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD
certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51
certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0
certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9
certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac
certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4
certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y
certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBgl
certif: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG + EIBDQQNFgtSSVBF
certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB
certificado: kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw
certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0
certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l
certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn
certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI
certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww
certif: PeUqjPPTZg ==
certif: ----- TERMINAR CERTIFICADO -----
Comentários: Sample Key Certificate
notificar: you@seudominio.net
mnt-by: SEU-MNT
alterado: you@seudominio.net 20040101
fonte: AFRINIC

Atualizando o mantenedor

A etapa final para usar o X.509 é definir a autorização do seu objeto mntner para aceitar o X.509. É recomendável, em primeira instância, manter o método de autorização existente do seu mantenedor e adicionar o X.509 como um método adicional. Depois de testar seu uso com êxito, você poderá excluir qualquer
métodos de autorização menos seguros, como senhas.

Se o seu objeto mntner existente se parece com isso:

mntner: SEU-MNT
descr: objeto de manutenção da empresa
admin-c: TP1-AFRINIC
atualize para: you@seudominio.net
referência: RIPE-DBM-MNT
mnt-by: SEU-MNT
autenticação: CRYPT-PW dbOnSHFpKZTBU
alterado: you@seudominio.net 20050101
fonte: AFRINIC

Inclua uma linha de autorização adicional para o X509-23 e envie o objeto ao programa de atualização do banco de dados da maneira usual, fornecendo a autorização existente necessária. Neste exemplo, será a senha do crypt-pw:

mntner: SEU-MNT
descr: objeto de manutenção da empresa
admin-c: TP1-AFRINIC
atualize para: you@seudominio.net
referência: RIPE-DBM-MNT
mnt-by: SEU-MNT
autenticação: CRYPT-PW dbOnSHFpKZTBU
autenticação: X509-23
alterado: you@seudominio.net 20050101
fonte: AFRINIC

Usando a autorização X.509

Agora está tudo pronto para usar a autorização X.509. Você pode escrever uma mensagem no seu cliente de email que contenha a atualização. Assine a mensagem com seu certificado e chave privada. Pode ser necessário verificar com a documentação do seu cliente de email específico para ver como fazer isso. Em seguida, envie o e-mail para auto-dbm@afrinic.net. Depois de enviar uma atualização bem-sucedida, você pode, se desejar, remover o método de autenticação mais fraco, removendo a linha neste exemplo:

autenticação: CRYPT-PW dbOnSHFpKZTBU 

do seu objeto mntner. Agora, as atualizações só podem ser autorizadas pelo método de autenticação mais forte do X.509.