In diesem Abschnitt erfahren Sie, wie die folgenden Sicherheitstypen der Basiskonfiguration hinzugefügt werden:
In diesem Abschnitt konfigurieren Sie die Serverauthentifizierung mit dem ikeyman-Tool, so dass Partner Zwei AS2-Dokumente über HTTPS senden kann.
Führen Sie die folgenden Schritte aus, um die Serverauthentifizierung zu konfigurieren:
\WBIConnect\common\security\keystore
Der nächste Schritt besteht darin, ein neues selbst unterzeichnetes Zertifikat zu erstellen. Durch die Erstellung eines selbst unterzeichneten persönlichen Zertifikats werden ein privater Schlüssel und ein öffentlicher Schlüssel in der Server-Keystore-Datei erstellt.
Gehen Sie wie folgt vor, um ein neues selbst unterzeichnetes Zertifikat zu erstellen:
Angenommen, dass Partner Zwei eine EDI-Nachricht über AS2 mit HTTPS senden will. Partner Zwei muss auf das öffentliche Zertifikat verweisen (welches bei der Erstellung des selbst unterzeichneten Zertifikats im vorherigen Schritt mit erstellt wurde), um dies auszuführen.
Um Partner Zwei für die Verwendung des öffentlichen Zertifikats zu aktivieren, exportieren Sie das öffentliche Zertifikat wie folgt aus der Server-Keystore-Datei:
Verwenden Sie ikeyman dann, um das selbst unterzeichnete Zertifikat und das private Schlüsselpaar in Form einer PKCS12-Datei zu exportieren. Diese PCKS12-Datei wird zur Verschlüsselung verwendet, dies wird in einem späteren Abschnitt beschrieben.
Gehen Sie wie folgt vor, um das selbst unterzeichnete Zertifikat und das private Schlüsselpaar zu exportieren:
Anmerkung: Stoppen und starten Sie den Empfänger erneut, damit diese Änderungen wirksam werden.
Das eingegebene Kennwort wird später verwendet, wenn Sie dieses private Zertifikat in den Hub importieren.
Partner Zwei muss auch einige Konfigurationsschritte ausführen, hierzu gehören das Importieren des Zertifikats und das Ändern der Adresse, an die die AS2-Dokumente gesendet werden. Partner Zwei muss z. B. die Adresse wie folgt ändern:
https://<IP_Addesse>:57443/bcgreceiver/submit
Dabei steht <IP_Adresse> für den Hub.
Das selbst unterzeichnete Zertifikat, das im Standard-Keystore des Empfängers platziert wurde, wird Partner Zwei jetzt immer dann angezeigt, wenn Partner Zwei ein Dokument über HTTPS sendet.
Um die entgegengesetzte Situation zu konfigurieren, muss Partner Zwei für den Hub einen SSL-Schlüssel in Form einer .der-Datei (in diesem Fall partnerZweiSSL.der) bereitstellen. Falls nötig, muss Partner Zwei die Konfiguration auch so ändern, dass das Empfangen von Dokumenten über das HTTPS-Transportprotokoll zugelassen wird.
Laden Sie die Datei partnerZweiSSL.der von Partner Zwei in das Profil des Hub-Operators als Rootzertifikat. Ein Rootzertifikat ist ein Zertifikat, das von einer CA (Certifying Authority) ausgestellt wurde, die für das Einrichten einer Zertifikatkette verwendet wurde. In diesem Beispiel hat Partner Zwei das Zertifikat generiert, welches als Rootzertifikat geladen wurde, um den Hub in die Lage zu versetzen, den Sender zu erkennen und ihm zu vertrauen.
Laden Sie partnerZweiSSL.der in den Hub:
Ändern Sie das Gateway von Partner Zwei so, dass es HTTPS verwendet.
Dieser Abschnitt enthält die Schritte zum Konfigurieren der Verschlüsselung.
Partner Zwei muss alle nötigen Konfigurationsschritte ausführen, z. B. das Importieren des öffentlichen Zertifikats, das aus dem selbst unterzeichneten Zertifikat extrahiert worden ist, und die Verschlüsselung von Dokumenten konfigurieren, die zum Hub gesendet werden.
WebSphere Business Integration Connect verwendet seinen privaten Schlüssel zum Entschlüsseln von Dokumenten. Um dem Hub dies zu ermöglichen, laden Sie zuerst den privaten Schlüssel, den Sie aus dem selbst unterzeichneten Zertifikat extrahiert haben, in Community Console. Führen Sie diese Task aus, wenn Sie als Hub-Operator an Community Console angemeldet sind, und installieren Sie das Zertifikat in Ihrem eigenen Profil.
Gehen Sie wie folgt vor, um die PKCS12-Datei zu laden:
Das beendet die Konfiguration, die erforderlich ist, damit ein Teilnehmer verschlüsselte Transaktionen über HTTPS an den Hub senden kann.
Im folgenden Abschnitt wird die vorherige Prozedur umgekehrt; nun sendet der Hub eine verschlüsselte EDI-Transaktion über HTTPS.
Partner Zwei muss ein Schlüsselpaar zur Dokumententschlüsselung generieren (in diesem Beispiel die Datei partnerZweiEntschlüsseln.der), und es für den Hub verfügbar machen.
Wie bereits erwähnt, wird der öffentliche Schlüssel vom Hub verwendet, wenn Transaktionen verschlüsselt werden, die an den Teilnehmer gesendet werden sollen. Damit dies geschehen kann, laden Sie das öffentliche Zertifikat in den Hub.
Der letzte Schritt in der Hubkonfiguration zum Senden von verschlüsselten Nachrichten über HTTPS mit AS2 besteht darin, die Teilnehmerverbindung zu modifizieren, die zwischen Partner Eins und Partner Zwei vorhanden ist.
Gehen Sie wie folgt vor, um die Teilnehmerverbindung über Community Console zu modifizieren:
Anmerkung: Sie müssen in der Anzeige vorblättern, damit diese Option angezeigt wird.
Wenn Sie eine Transaktion oder Nachricht digital unterzeichnen, verwendet WebSphere Business Integration Connect den privaten Schlüssel des Teilnehmers, um die Unterschrift zu erstellen und zu unterzeichnen. Ihr Partner, der diese Nachricht empfängt, verwendet Ihren öffentlichen Schlüssel, um die Unterschrift zu prüfen. Aus diesem Grund verwendet WebSphere Business Integration Connect digitale Unterschriften.
Dieser Abschnitt stellt die Schritte bereit, die erforderlich sind, um sowohl den Hub als auch einen Teilnehmer zur Verwendung für digitale Unterschriften zu konfigurieren.
Partner Zwei muss die nötigen Konfigurationsschritte ausführen (z. B. das Erstellen eines selbst unterzeichneten Dokuments, das in diesem Beispiel partnerZweiUnterzeichnend.der genannt wurde) und die Unterzeichnung von Dokumenten konfigurieren. Partner Zwei muss partnerZweiUnterzeichnend.der für den Hub verfügbar machen.
Gehen Sie wie folgt vor, um das digitale Zertifikat in den Hub zu laden:
Damit ist die Anfangskonfiguration für digitale Unterschriften abgeschlossen.
Der Teilnehmer verwendet das öffentliche Zertifikat, das als CA (Certifying Authority) importiert wurde, um unterzeichnete, an den Hub gesendete Transaktionen zu authentifizieren.
Der Hub verwendet den privaten Schlüssel, um ausgehende Transaktionen, die an den Teilnehmer gesendet wurden, digital zu unterzeichnen. Zuerst aktivieren Sie den privaten Schlüssel für die digitale Unterschrift.
Gehen Sie wie folgt vor, um den privaten Schlüssel für die digitale Unterschrift zu aktivieren:
Anmerkung: Dies war das private Zertifikat, das Sie zuvor in den Hub geladen haben.
Als Nächstes ändern Sie die Attribute der vorhandenen Teilnehmerverbindung zwischen Partner Eins und Partner Zwei, um unterzeichnete AS2-Transaktionen zu unterstützen.
Gehen Sie wie folgt vor, um die Attribute der Teilnehmerverbindung zu ändern:
Damit ist die Konfiguration abgeschlossen, die zum Senden einer unterzeichneten AS2-Transaktion von WebSphere Business Integration Connect an den Teilnehmer erforderlich ist.