Dieser Abschnitt bietet eine allgemeine Übersicht über die Sicherheitstypen, die zum Generieren und Hochladen von Zertifikaten verwendeten Tools und die Datensammlungstypen, die von WebSphere Business Integration Connect installiert wurden.
Dieser Abschnitt gibt eine kurze Übersicht über SSL, digitale Unterschriften und Verschlüsselung.
WebSphere Business Integration Connect kann SSL verwenden, um eingehende und ausgehende Dokumente zu schützen. Ein eingehendes Dokument ist ein Dokument, das an den Hub gesendet wird. Ein ausgehendes Dokument ist ein Dokument, das vom Hub gesendet wird.
SSL ist ein häufig verwendetes Protokoll für das Verwalten der Sicherheit über das Internet. SSL bietet sichere Verbindungen, indem zwei Anwendungen, die über eine Netzverbindung miteinander verbunden sind, in die Lage versetzt werden, die Identität des anderen zu authentifizieren.
Eine SSL-Verbindung beginnt mit einem Handshake. Während dieses Stadiums tauschen die Anwendungen digitale Zertifikate aus, sie verständigen sich über die zu verwendenden Verschlüsselungsalgorithmen und generieren Chiffrierschlüssel, die für den verbleibenden Teil der Sitzung verwendet werden.
Das SSL-Protokoll bietet die folgenden Sicherheitsfunktionen:
Die digitale Unterzeichnung ist der Mechanismus, um einen fälschungssicheren Herkunftsnachweis sicherzustellen. Ein fälschungssicherer Herkunftsnachweis bedeutet, dass ein Teilnehmer nicht bestreiten kann, eine Nachricht verfasst und gesendet zu haben. Es wird ferner sichergestellt, dass der Teilnehmer den Empfang einer Nachricht nicht bestreiten kann.
Eine digitale Unterschrift ermöglicht dem Verfasser, eine Nachricht zu unterzeichnen, so dass der Verfasser als die Person bestätigt wird, die die Nachricht tatsächlich gesendet hat. Außerdem wird sichergestellt, dass die Nachricht seit ihrer Unterzeichnung nicht geändert worden ist.
WebSphere Business Integration Connect verwendet ein verschlüsseltes System, das als Verschlüsselung mit öffentlichem Schlüssel bekannt ist, um die Kommunikation zwischen Teilnehmern und dem Hub zu schützen. Die Verschlüsselung mit öffentlichem Schlüssel verwendet ein Paar mathematisch zusammengehöriger Schlüssel. Ein Dokument, das mit dem ersten Schlüssel verschlüsselt ist, muss mit dem zweiten Schlüssel entschlüsselt werden, und ein Dokument, das mit dem zweiten Schlüssel verschlüsselt ist, muss mit dem ersten Schlüssel entschlüsselt werden.
Jeder Teilnehmer an einem System mit öffentlichen Schlüsseln verfügt über ein Paar Schlüssel. Einer der Schlüssel wird geheim gehalten; dies ist der private Schlüssel. Der andere Schlüssel wird an jeden Interessierten verteilt; dies ist der öffentliche Schlüssel. WebSphere Business Integration Connect verwendet den öffentlichen Schlüssel eines Teilnehmers, um ein Dokument zu verschlüsseln. Der private Schlüssel wird zum Entschlüsseln des Dokuments verwendet.
Wie in den nachfolgenden Abschnitten beschrieben, verwenden Sie IBM Key Management Tool (ikeyman), um Schlüsseldatenbanken, öffentliche und private Schlüsselpaare sowie Zertifikatsanforderungen zu erstellen. Sie können ikeyman auch verwenden, um selbst unterzeichnete Zertifikate zu erstellen. Das Dienstprogramm ikeyman befindet sich im Verzeichnis <WBIC_installationsverz>/router/was/bin, das WebSphere Business Installation Connect während der Installation erstellt hat.
Sie können mit ikeyman auch eine Anforderung für ein Zertifikat von einer CA (Certifying Authority) generieren.
Anmerkung: Außerdem können Sie das Dienstprogramm createCert.sh verwenden, um selbst unterzeichnete Zertifikate zu generieren.
Sie installieren mit Community Console alle erforderlichen Client-, Unterschrifts- und Verschlüsselungszertifikate für den WebSphere Business Integration Connect-Speicher. Sie können mit Community Console auch Root- und CA-Zertifikate (Certifying Authority) installieren.
Anmerkung: Wenn das Zertifikat eines Teilnehmers abläuft, liegt es im Zuständigkeitsbereich des Teilnehmers, sich ein neues Zertifikat zu besorgen. Die Alertfunktion von Community Console schließt Zertifikatablaufalerts für Zertifikate mit ein, die in WebSphere Business Integration Connect gespeichert sind.
Wenn Sie WebSphere Business Integration Connect installieren, werden ein Keystore und Truststore für den Empfänger und die Konsole installiert.
Standardmäßig werden zwei Keystores und zwei Truststores im Verzeichnis WBIC_install_root/common/security/keystore erstellt. Sie heißen wie folgt:
Das Standardkennwort für den Zugriff auf alle vier Speicher ist WebAS. Der eingebettete WebSphere Application Server wird so konfiguriert, dass er diese vier Speicher verwendet.
Anmerkung: Der folgende Unix-Befehl kann zum Ändern des Kennworts der Keystore-Datei verwendet werden:
/WBIC_install_root/console/was/java/bin/keytool -storepasswd -new $NEW_PASSWORD$ -keystore $KEYSTORE_LOCATION$ -storepass $CURRENT_PASSWORD$ -storetype JKS
Wenn die Keystore-Kennwörter geändert werden, muss jede WebSphere Application Server-Exemplarkonfiguration ebenfalls geändert werden. Dies kann mit Hilfe des Scripts bcgChgPassword.jacl geschehen. Navigieren Sie für das Konsolexemplar zum folgenden Verzeichnis:
/WBIC_install_root/console/was/bin
Führen Sie den folgenden Befehl aus:
./wsadmin.sh -f /WBIC_install_root/console/scripts/ bcgChgPassword.jacl -conntype NONE
Wiederholen Sie diesen Schritt für die WebSphere Application Server-Exemplare des Empfängers und von Document Manager.
Sie werden aufgefordert, das neue Kennwort einzugeben.
Anmerkung: Wenn ein Zertifikat in einem Truststore abgelaufen ist, müssen Sie, um es zu ersetzen, ein neues Zertifikat hinzufügen, indem Sie die folgende Prozedur verwenden:
Dieser Datentyp muss mit dem Datentyp des importierenden Zertifikats übereinstimmen.