Basiskonfiguration - Sicherheit für eingehende und ausgehende Dokumente konfigurieren

In diesem Abschnitt erfahren Sie, wie die folgenden Sicherheitstypen der Basiskonfiguration hinzugefügt werden:

SSL-Authentifizierung für Eingangsdokumente konfigurieren

In diesem Abschnitt konfigurieren Sie die Serverauthentifizierung mit dem ikeyman-Tool, so dass Partner Zwei AS2-Dokumente über HTTPS senden kann.

Führen Sie die folgenden Schritte aus, um die Serverauthentifizierung zu konfigurieren:

  1. Initiieren Sie die ikeyman-Anwendung, indem Sie die Datei ikeyman.bat von C:\ProgramFiles\IBM\WBIConnect\receiver\bin öffnen.
  2. Öffnen Sie den Standardschlüsselspeicher des Empfängers, receiver.jks. Wählen Sie in der Menüleiste Key Database File Open aus. Bei einer Standardinstallation befindet sich receiver.jks im folgenden Verzeichnis:

    \WBIConnect\common\security\keystore

  3. Wenn Sie dazu aufgefordert werden, geben Sie das Standardkennwort für receiver.jks ein. Dieses Kennwort lautet WebAS.
  4. Es wird davon ausgegangen, dass Sie receiver.jks zum ersten Mal öffnen, löschen Sie daher das Zertifikat 'dummy'.

Der nächste Schritt besteht darin, ein neues selbst unterzeichnetes Zertifikat zu erstellen. Durch die Erstellung eines selbst unterzeichneten persönlichen Zertifikats werden ein privater Schlüssel und ein öffentlicher Schlüssel in der Server-Keystore-Datei erstellt.

Gehen Sie wie folgt vor, um ein neues selbst unterzeichnetes Zertifikat zu erstellen:

  1. Klicken Sie auf New Self Signed.
  2. Geben Sie dem Zertifikat eine Schlüsselbezeichnung, mit der das Zertifikat innerhalb des Keystores eindeutig gekennzeichnet ist. Verwenden Sie die Bezeichnung selfSignedCert .
  3. Geben Sie den allgemeinen Namen des Servers ein. Dies ist die primäre, universelle Identität für das Zertifikat. Sie sollte den Teilnehmer, den sie darstellt, eindeutig kennzeichnen.
  4. Geben Sie den Namen Ihres Unternehmens ein.
  5. Akzeptieren Sie alle übrigen Standardeinstellungen, und klicken Sie auf OK.

Angenommen, dass Partner Zwei eine EDI-Nachricht über AS2 mit HTTPS senden will. Partner Zwei muss auf das öffentliche Zertifikat verweisen (welches bei der Erstellung des selbst unterzeichneten Zertifikats im vorherigen Schritt mit erstellt wurde), um dies auszuführen.

Um Partner Zwei für die Verwendung des öffentlichen Zertifikats zu aktivieren, exportieren Sie das öffentliche Zertifikat wie folgt aus der Server-Keystore-Datei:

  1. Wählen Sie das neu erstellte selbst unterzeichnete Zertifikat im Tool IBM Key Management (ikeyman) aus.
  2. Klicken Sie auf Extract Certificate.
  3. Ändern Sie den Datentyp in Binary DER data.
  4. Stellen Sie den Dateinamen partnerEinsÖffentlich bereit, und klicken Sie auf OK.

Verwenden Sie ikeyman dann, um das selbst unterzeichnete Zertifikat und das private Schlüsselpaar in Form einer PKCS12-Datei zu exportieren. Diese PCKS12-Datei wird zur Verschlüsselung verwendet, dies wird in einem späteren Abschnitt beschrieben.

Gehen Sie wie folgt vor, um das selbst unterzeichnete Zertifikat und das private Schlüsselpaar zu exportieren:

  1. Klicken Sie auf Export/Import.
  2. Ändern Sie den Schlüsseldateityp in PKCS12.
  3. Stellen Sie den Dateinamen partnerEinsPrivat bereit, und klicken Sie auf OK.
  4. Geben Sie ein Kennwort ein, um die PKCS12-Zieldatei zu schützen. Bestätigen Sie das Kennwort, und klicken Sie auf OK.

Anmerkung: Stoppen und starten Sie den Empfänger erneut, damit diese Änderungen wirksam werden.

Das eingegebene Kennwort wird später verwendet, wenn Sie dieses private Zertifikat in den Hub importieren.

Partner Zwei muss auch einige Konfigurationsschritte ausführen, hierzu gehören das Importieren des Zertifikats und das Ändern der Adresse, an die die AS2-Dokumente gesendet werden. Partner Zwei muss z. B. die Adresse wie folgt ändern:

https://<IP_Addesse>:57443/bcgreceiver/submit

Dabei steht <IP_Adresse> für den Hub.

Das selbst unterzeichnete Zertifikat, das im Standard-Keystore des Empfängers platziert wurde, wird Partner Zwei jetzt immer dann angezeigt, wenn Partner Zwei ein Dokument über HTTPS sendet.

Um die entgegengesetzte Situation zu konfigurieren, muss Partner Zwei für den Hub einen SSL-Schlüssel in Form einer .der-Datei (in diesem Fall partnerZweiSSL.der) bereitstellen. Falls nötig, muss Partner Zwei die Konfiguration auch so ändern, dass das Empfangen von Dokumenten über das HTTPS-Transportprotokoll zugelassen wird.

Laden Sie die Datei partnerZweiSSL.der von Partner Zwei in das Profil des Hub-Operators als Rootzertifikat. Ein Rootzertifikat ist ein Zertifikat, das von einer CA (Certifying Authority) ausgestellt wurde, die für das Einrichten einer Zertifikatkette verwendet wurde. In diesem Beispiel hat Partner Zwei das Zertifikat generiert, welches als Rootzertifikat geladen wurde, um den Hub in die Lage zu versetzen, den Sender zu erkennen und ihm zu vertrauen.

Laden Sie partnerZweiSSL.der in den Hub:

  1. Klicken Sie im Hauptmenü auf Kontenadmin > Profile > Community-Teilnehmer.
  2. Klicken Sie auf Suchen.
  3. Wählen Sie Hub-Operator aus, indem Sie das Lupensymbol auswählen.
  4. Klicken Sie auf Zertifikate und dann auf Zertifikat laden.
  5. Setzen Sie den Zertifikatstyp auf Rootzertifikat.
  6. Ändern Sie die Beschreibung in Partner Zwei SSL-Zertifikat.
  7. Setzen Sie den Status auf Aktiviert.
  8. Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis, in dem Sie die Datei partnerZweiSSL.der gespeichert haben.
  9. Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
  10. Klicken Sie auf Hochladen und dann auf Speichern.

Ändern Sie das Gateway von Partner Zwei so, dass es HTTPS verwendet.

  1. Klicken Sie auf Kontenadmin > Profile > Community-Teilnehmer in der horizontalen Navigationsleiste.
  2. Klicken Sie auf Suchen, und wählen Sie Partner Zwei aus, indem Sie auf das Lupensymbol klicken.
  3. Klicken Sie auf Gateways in der horizontalen Navigationsleiste. Wählen Sie als Nächstes HttpGateway aus, indem Sie auf das Lupensymbol klicken.
  4. Bearbeiten Sie es, indem Sie auf das Bearbeitungssymbol klicken.
  5. Ändern Sie den Transportprotokollwert in HTTPS/1.1.
  6. Ändern Sie den Wert der Ziel-URI wie folgt: https://<IP_Adresse>:443/input/AS2,. Dabei steht <IP_Adresse> für das System von Partner Zwei.
  7. Alle anderen Werte können unverändert bleiben. Klicken Sie auf Speichern.

Verschlüsselung konfigurieren

Dieser Abschnitt enthält die Schritte zum Konfigurieren der Verschlüsselung.

Partner Zwei muss alle nötigen Konfigurationsschritte ausführen, z. B. das Importieren des öffentlichen Zertifikats, das aus dem selbst unterzeichneten Zertifikat extrahiert worden ist, und die Verschlüsselung von Dokumenten konfigurieren, die zum Hub gesendet werden.

WebSphere Business Integration Connect verwendet seinen privaten Schlüssel zum Entschlüsseln von Dokumenten. Um dem Hub dies zu ermöglichen, laden Sie zuerst den privaten Schlüssel, den Sie aus dem selbst unterzeichneten Zertifikat extrahiert haben, in Community Console. Führen Sie diese Task aus, wenn Sie als Hub-Operator an Community Console angemeldet sind, und installieren Sie das Zertifikat in Ihrem eigenen Profil.

Gehen Sie wie folgt vor, um die PKCS12-Datei zu laden:

  1. Klicken Sie auf Kontenadmin > Profile > Community-Teilnehmer in der horizontalen Navigationsleiste.
  2. Klicken Sie auf Suchen.
  3. Wählen Sie Hub-Operator aus, indem Sie auf das Lupensymbol klicken.
  4. Klicken Sie auf Zertifikate und dann auf PKCS12 laden.
  5. Wählen Sie das Markierungsfeld links von Verschlüsselung aus.
  6. Ändern Sie die Beschreibung in Partner Eins privat.
  7. Wählen Sie Aktiviert aus.
  8. Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis, in dem die PKCS12-Datei partnerEinsPrivat.p12 gespeichert ist.
  9. Wählen Sie die Datei aus, und klicken Sie auf Öffnen.
  10. Geben Sie das Kennwort ein, das für die PKCS12-Datei bereitgestellt wurde.
  11. Übernehmen Sie den Gateway-Typ Produktion.
  12. Klicken Sie auf Hochladen und dann auf Speichern.

Das beendet die Konfiguration, die erforderlich ist, damit ein Teilnehmer verschlüsselte Transaktionen über HTTPS an den Hub senden kann.

Im folgenden Abschnitt wird die vorherige Prozedur umgekehrt; nun sendet der Hub eine verschlüsselte EDI-Transaktion über HTTPS.

Partner Zwei muss ein Schlüsselpaar zur Dokumententschlüsselung generieren (in diesem Beispiel die Datei partnerZweiEntschlüsseln.der), und es für den Hub verfügbar machen.

Wie bereits erwähnt, wird der öffentliche Schlüssel vom Hub verwendet, wenn Transaktionen verschlüsselt werden, die an den Teilnehmer gesendet werden sollen. Damit dies geschehen kann, laden Sie das öffentliche Zertifikat in den Hub.

  1. Klicken Sie im Hauptmenü auf Kontenadmin > Profile > Community-Teilnehmer.
  2. Klicken Sie auf Suchen.
  3. Wählen Sie Partner Zwei aus, indem Sie auf das Lupensymbol klicken.
  4. Klicken Sie auf Zertifikate in der horizontalen Navigationsleiste.
  5. Klicken Sie auf Zertifikat laden.
  6. Wählen Sie das Markierungsfeld neben Verschlüsselung aus.
  7. Ändern Sie die Beschreibung in Partner Zwei verschlüsseln.
  8. Setzen Sie den Status auf Aktiviert.
  9. Klicken Sie auf Durchsuchen.
  10. Navigieren Sie zum Verzeichnis, in dem das Entschlüsselungszertifikat partnerZweiDecrypt.der gespeichert ist.
  11. Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
  12. Übernehmen Sie den Gateway-Typ Produktion, klicken Sie auf Hochladen und dann auf Speichern.

Der letzte Schritt in der Hubkonfiguration zum Senden von verschlüsselten Nachrichten über HTTPS mit AS2 besteht darin, die Teilnehmerverbindung zu modifizieren, die zwischen Partner Eins und Partner Zwei vorhanden ist.

Gehen Sie wie folgt vor, um die Teilnehmerverbindung über Community Console zu modifizieren:

  1. Klicken Sie auf Kontenadmin > Profile > Teilnehmerverbindungen in der horizontalen Navigationsleiste.
  2. Wählen Sie in der Liste Quelle den Eintrag Partner Eins aus.
  3. Wählen Sie in der Liste Ziel den Eintrag Partner Zwei aus.
  4. Klicken Sie auf Suchen.
  5. Klicken Sie für das Ziel auf die Schaltfläche Attribute.
  6. Beachten Sie in der Verbindungszusammenfassung, dass das Attribut AS verschlüsselt den aktuellen Wert Nein hat. Bearbeiten Sie diesen Wert, indem Sie auf das Ordnersymbol neben Paket: AS (N/A) klicken.

    Anmerkung: Sie müssen in der Anzeige vorblättern, damit diese Option angezeigt wird.

  7. Aktualisieren Sie in der Liste das Attribut AS verschlüsselt in Ja, und klicken Sie auf Speichern.

Dokumentenunterschrift konfigurieren

Wenn Sie eine Transaktion oder Nachricht digital unterzeichnen, verwendet WebSphere Business Integration Connect den privaten Schlüssel des Teilnehmers, um die Unterschrift zu erstellen und zu unterzeichnen. Ihr Partner, der diese Nachricht empfängt, verwendet Ihren öffentlichen Schlüssel, um die Unterschrift zu prüfen. Aus diesem Grund verwendet WebSphere Business Integration Connect digitale Unterschriften.

Dieser Abschnitt stellt die Schritte bereit, die erforderlich sind, um sowohl den Hub als auch einen Teilnehmer zur Verwendung für digitale Unterschriften zu konfigurieren.

Partner Zwei muss die nötigen Konfigurationsschritte ausführen (z. B. das Erstellen eines selbst unterzeichneten Dokuments, das in diesem Beispiel partnerZweiUnterzeichnend.der genannt wurde) und die Unterzeichnung von Dokumenten konfigurieren. Partner Zwei muss partnerZweiUnterzeichnend.der für den Hub verfügbar machen.

Gehen Sie wie folgt vor, um das digitale Zertifikat in den Hub zu laden:

  1. Klicken Sie auf Kontenadmin > Profile > Community-Teilnehmer in der horizontalen Navigationsleiste.
  2. Klicken Sie auf Suchen.
  3. Wählen Sie Partner Zwei aus, indem Sie auf das Lupensymbol klicken.
  4. Wählen Sie Zertifikate in der horizontalen Navigationsleiste aus.
  5. Klicken Sie auf Zertifikat laden.
  6. Wählen Sie das Markierungsfeld neben Digitale Unterschrift aus.
  7. Ändern Sie die Beschreibung in Partner Eins unterzeichnend.
  8. Setzen Sie den Status auf Aktiviert.
  9. Klicken Sie auf Durchsuchen.
  10. Navigieren Sie zum Verzeichnis, in dem das digitales Zertifikat partnerZweiUnterzeichnend.der gespeichert ist, wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
  11. Klicken Sie auf Hochladen und dann auf Speichern.

Damit ist die Anfangskonfiguration für digitale Unterschriften abgeschlossen.

Der Teilnehmer verwendet das öffentliche Zertifikat, das als CA (Certifying Authority) importiert wurde, um unterzeichnete, an den Hub gesendete Transaktionen zu authentifizieren.

Der Hub verwendet den privaten Schlüssel, um ausgehende Transaktionen, die an den Teilnehmer gesendet wurden, digital zu unterzeichnen. Zuerst aktivieren Sie den privaten Schlüssel für die digitale Unterschrift.

Gehen Sie wie folgt vor, um den privaten Schlüssel für die digitale Unterschrift zu aktivieren:

  1. Klicken Sie auf Kontenadmin > Profile > Zertifikate in der horizontalen Navigationsleiste.
  2. Klicken Sie auf das Lupensymbol neben Hub-Operator.
  3. Klicken Sie auf das Lupensymbol neben Partner Eins privat.

    Anmerkung: Dies war das private Zertifikat, das Sie zuvor in den Hub geladen haben.

  4. Klicken Sie auf das Bearbeitungssymbol.
  5. Wählen Sie das Markierungsfeld neben Digitale Unterschrift aus.
  6. Klicken Sie auf Speichern.

Als Nächstes ändern Sie die Attribute der vorhandenen Teilnehmerverbindung zwischen Partner Eins und Partner Zwei, um unterzeichnete AS2-Transaktionen zu unterstützen.

Gehen Sie wie folgt vor, um die Attribute der Teilnehmerverbindung zu ändern:

  1. Klicken Sie auf Kontenadmin > Profile > Teilnehmerverbindungen in der horizontalen Navigationsleiste.
  2. Wählen Sie Partner Eins in der Liste Quelle aus.
  3. Wählen Sie Partner Zwei in der Liste Ziel aus.
  4. Klicken Sie auf Suchen.
  5. Klicken Sie für Partner Zwei auf die Schaltfläche Attribute.
  6. Bearbeiten Sie das Attribut AS unterzeichnet, indem Sie auf das Ordnersymbol neben Paket: AS (N/A) klicken.
  7. Wählen Sie Ja in der Liste AS unterzeichnet aus.
  8. Klicken Sie auf Speichern.

Damit ist die Konfiguration abgeschlossen, die zum Senden einer unterzeichneten AS2-Transaktion von WebSphere Business Integration Connect an den Teilnehmer erforderlich ist.

Copyright IBM Corp. 1997, 2004