Zertifikate erstellen und installieren

Die folgenden Abschnitte beschreiben, wie Sie Zertifikate erstellen und installieren, die Sie mit WebSphere Business Integration Connect verwenden wollen.

Eingehende SSL-Zertifikate

Wenn Ihre Community SSL nicht verwendet, benötigen weder Sie noch Ihre Teilnehmer ein eingehendes oder ausgehendes SSL-Zertifikat.

Serverauthentifizierung

WebSphere Application Server verwendet das SSL-Zertifikat, wenn er Verbindungsanforderungen von Teilnehmern über SSL empfängt. Es ist das Zertifikat, das der Empfänger präsentiert, um dem Teilnehmer den Hub anzugeben. Dieses Serverzertifikat kann selbst unterzeichnet oder von einer CA unterzeichnet sein. In den meisten Fällen verwenden Sie ein CA-Zertifikat, um die Sicherheit zu erhöhen. Sie könnten ein selbst unterzeichnetes Zertifikat in einer Testumgebung verwenden. Verwenden Sie ikeyman, um ein Zertifikat und ein Schlüsselpaar zu generieren. Weitere Informationen entnehmen Sie der von IBM verfügbaren Dokumentation zur Verwendung von ikeyman.

Nachdem Sie das Zertifikat und das Schlüsselpaar generiert haben, verwenden Sie das Zertifikat für den eingehenden SSL-Datenverkehr aller Teilnehmer. Wenn Sie über mehrere Empfänger oder Konsolen verfügen, kopieren Sie den generierten Keystore auf jedes Exemplar. Wenn das Zertifikat selbst unterzeichnet ist, stellen Sie dieses Zertifikat den Teilnehmern zur Verfügung. Um dieses Zertifikat zu erhalten, extrahieren Sie mit ikeyman das öffentliche Zertifikat in eine Datei.

Wenn Sie selbst unterzeichnete Serverzertifikate verwenden, führen Sie eine der folgenden Prozeduren aus.

Wenn Sie ein von einer Certificate Authority (CA) unterzeichnetes Zertifikat verwenden, führen Sie die folgende Prozedur aus.

  1. Starten Sie das Dienstprogramm ikeyman, welches sich im Verzeichnis /WBIC_install_root/router/was/bin befindet.
  2. Generieren Sie mit ikeyman eine Zertifikatsanforderung und ein Schlüsselpaar für den Empfänger.
  3. Übergeben Sie eine Zertifikatsunterzeichungsanforderung (CSR - Certificate Signing Request) an eine CA.
  4. Wenn Sie das unterzeichnete Zertifikat von der CA empfangen, platzieren Sie mit ikeyman das unterzeichnete Zertifikat in den Keystore.
  5. Verteilen Sie das CA-Zertifikat an alle Teilnehmer.

Clientauthentifizierung

Verwenden Sie für die Clientauthentifizierung die folgende Prozedur:

  1. Rufen Sie das Zertifikat Ihres Teilnehmers ab.
  2. Installieren Sie das Zertifikat mit Hilfe von ikeyman im Truststore.
  3. Platzieren Sie die zugehörige CA in das CA-Verzeichnis oder den zugehörigen Keystore.

Anmerkung: Wenn Sie mehrere Teilnehmer Ihrer Hub-Community hinzufügen, können Sie mit ikeyman ihre Zertifikate dem Truststore hinzufügen. Wenn ein Teilnehmer die Community verlässt, können Sie mit ikeyman die Zertifikate des Teilnehmers aus dem Truststore entfernen.

Nachdem Sie das Zertifikat installiert haben, konfigurieren Sie WebSphere Application Server für die Verwendung der Clientauthentifizierung, indem Sie das Dienstprogrammscript bcgClientAuth.jacl ausführen.

Sie müssen den WebSphere Application Server-Empfänger starten, damit diese Änderungen wirksam werden.

Es gibt eine Zusatzfunktion, die mit der SSL-Clientauthentifizierung verwendet werden kann. Diese Funktion wird über Community Console aktiviert. Für HTTPS überprüft WebSphere Business Integration Connect Zertifikate anhand der Geschäfts-IDs in den eingehenden Dokumenten. Zur Verwendung dieser Funktion erstellen Sie das Teilnehmerprofil, importieren das Clientzertifikat und markieren es als SSL. Wählen Sie die Option Client-SSL-Zertifikat prüfen in der Gateway-Anzeige des Teilnehmers aus.

Ausgehende SSL-Zertifikate

Wenn Ihre Community SSL nicht verwendet, benötigen Sie kein eingehendes oder ausgehendes SSL-Zertifikat.

Serverauthentifizierung

Wenn SSL zum Senden der ausgehenden Dokumente an Ihre Teilnehmer verwendet wird, fordert WebSphere Business Integration Connect ein serverseitiges Zertifikat von den Teilnehmern an. Wenn das Zertifikat eines Teilnehmers selbst unterzeichnet ist, importieren Sie es mit Community Console in das Profil des Hub-Operators und markieren es als Rootzertifikat. Wenn das Zertifikat CA-unterzeichnet ist, müssen Sie nur das CA-Zertifikat in Community Console importieren und es als Rootzertifikat markieren.

Anmerkung: Dasselbe CA-Zertifikat kann für mehrere Teilnehmer verwendet werden. Das Zertifikat muss in X.509-DER-Format sein.

Clientauthentifizierung

Wenn SSL-Clientauthentifizierung erforderlich ist, wird der Teilnehmer seinerseits ein Zertifikat vom Hub anfordern. Importieren Sie mit Community Console Ihr Zertifikat in WebSphere Business Integration Connect. Sie können das Zertifikat mit ikeyman oder dem Script createCert.sh generieren. Wenn das Zertifikat ein selbst unterzeichnetes Zertifikat ist, muss es dem Teilnehmer zur Verfügung gestellt werden. Wenn es ein CA-unterzeichnetes Zertifikat ist, muss das CA-Rootzertifikat den Teilnehmern gegeben werden, so dass sie es ihren vertrauenswürdigen Zertifikaten hinzufügen können.

Wenn Sie ein selbst unterzeichnetes Zertifikat verwenden, führen Sie eine der folgenden Prozeduren aus.

Wenn Sie ein von einer CA unterzeichnetes Zertifikat verwenden, führen Sie die folgende Prozedur aus:

  1. Generieren Sie mit ikeyman eine Zertifikatsanforderung und ein Schlüsselpaar für den Empfänger.
  2. Übergeben Sie eine Zertifikatsunterzeichungsanforderung (CSR - Certificate Signing Request) an eine CA.
  3. Wenn Sie das unterzeichnete Zertifikat von der CA empfangen, platzieren Sie mit ikeyman das unterzeichnete Zertifikat in den Keystore.
  4. Verteilen Sie das unterzeichnende CA-Zertifikat an alle Teilnehmer.

Zertifikatswiderrufsliste (CRL) hinzufügen

Business Integration Connect enthält eine CRL-Funktion (CRL - Certificate Revocation List - Zertifikatswiderrufsliste). Die CRL, die von einer Certificate Authority (CA) herausgegeben wird, gibt Teilnehmer an, die Zertifikate vor ihrem terminierten Ablaufdatum widerrufen haben. Teilnehmern mit widerrufenen Zertifikaten wird der Zugriff auf Business Integration Connect verweigert.

Jedes widerrufene Zertifikat wird in einer CRL durch seine fortlaufende Zertifikatsnummer angegeben. Document Manager durchsucht die CRL alle 60 Sekunden und lehnt ein Zertifikat ab, wenn es in der CRL-Liste enthalten ist.

CRLs werden an der folgenden Position gespeichert: /<gemeinsames datenverzeichnis>/security/crl. Business Integration Connect verwendet die Einstellung bcg.http.CRLDir in der Datei bcg.properties, um die Position des CRL-Verzeichnisses anzugeben.

Erstellen Sie eine .crl-Datei, die die widerrufenen Zertifikate enthält, und platzieren Sie diese im CRL-Verzeichnis.

In der Datei bcg.properties würden Sie z. B. die folgende Einstellung verwenden:

bcg.http.CRLDir=/<gemeinsames datenverzeichnis>/security/crl.

Eingehendes Unterschriftszertifikat

Document Manager verwendet das unterzeichnete Zertifikat des Teilnehmers, um die Unterschrift des Senders zu prüfen, wenn Sie Dokumente empfangen. Die Teilnehmer senden ihre selbst unterzeichneten Unterschriftszertifikate in X.509-DER-Format an Sie. Sie installieren Ihrerseits die Zertifikate der Teilnehmer über Community Console in dem Profil des jeweiligen Teilnehmers.

Verwenden Sie die folgende Prozedur, um das Zertifikat zu installieren.

  1. Empfangen Sie das Unterschriftszertifikat des Teilnehmers in X.509-DER-Format.
  2. Installieren Sie die Zertifikate über Community Console im Profil des Teilnehmers. Verwenden Sie Kontenadmin > Profile > Community-Teilnehmer, und suchen Sie nach dem Profil des Teilnehmers. Klicken Sie auf Zertifikate, und laden Sie dann das Zertifikat als Zertifikatstyp Digitale Unterschrift hoch. Vergessen Sie nicht, dieses Zertifikat in der Bestätigungsanzeige zu aktivieren und zu speichern.
  3. Wenn das Zertifikat von einer CA unterzeichnet wurde und das CA-Rootzertifikat nicht bereits im Profil des Hub-Operators installiert ist, installieren Sie es jetzt. Zeigen Sie mit Kontenadmin > Profile > Zertifikate die Seite Zertifikate an. Stellen Sie sicher, dass Sie an Community Console als Hub-Operator angemeldet sind, und installieren Sie das Zertifikat in Ihrem eigenen Profil.

    Anmerkung: Sie müssen den vorherigen Schritt nicht ausführen, wenn das CA-Zertifikat bereits installiert ist.

  4. Führen Sie die Aktivierung auf der Ebene für Pakete (höchste Ebene), Teilnehmer oder Verbindungen (unterste Ebene) aus. Ihre Einstellung kann andere Einstellungen auf der Verbindungsebene überschreiben. Die Verbindungszusammenfassung informiert Sie darüber, ob ein erforderliches Attribut fehlt.

    Zum Ändern der Attribute von z. B. einer Teilnehmerverbindung klicken Sie auf Kontenadmin > Teilnehmerverbindungen, und wählen Sie dann die Teilnehmer aus. Klicken Sie auf Attribute, und bearbeiten Sie dann das Attribut. Beispiel: AS unterzeichnet.

Ausgehendes Unterschriftszertifikat

Document Manager verwendet dieses Zertifikat, wenn er ausgehende, unterzeichnete Dokumente an Teilnehmer sendet. Dasselbe Zertifikat und derselbe Schlüssel werden für alle Ports und Protokolle verwendet.

Wenn Sie ein selbst unterzeichnetes Zertifikat verwenden, führen Sie eine der folgenden Prozeduren aus.

ikeyman:

  1. Starten Sie das Dienstprogramm ikeyman.
  2. Verwenden Sie ikeyman, um ein selbst unterzeichnetes Zertifikat und ein Schlüsselpaar zu generieren.
  3. Extrahieren Sie mit ikeyman das Zertifikat in eine Datei, das Ihren öffentlichen Schlüssel enthalten wird.
  4. Verteilen Sie das Zertifikat an Ihre Teilnehmer. Die bevorzugte Verteilungsmethode ist das Senden des Zertifikats in einer kennwortgeschützten ZIP-Datei per E-Mail. Ihre Teilnehmer müssen sich an Sie wenden und das Kennwort für die ZIP-Datei anfordern.
  5. Verwenden Sie ikeyman, um das selbst unterzeichnete Zertifikat und das private Schlüsselpaar in Form einer PKCS12-Datei zu exportieren.
  6. Installieren Sie das selbst unterzeichnete Zertifikat und das private Schlüsselpaar in Form einer PKCS12-Datei über die Zertifikatsfunktion von Community Console. Zeigen Sie mit Kontenadmin > Profile > Zertifikate die Seite Zertifikate an. Stellen Sie sicher, dass Sie an Community Console als Hub-Operator angemeldet sind, und installieren Sie das Zertifikat in Ihrem eigenen Profil. Markieren Sie das Zertifikat als Typ Digitale Unterschrift. Stellen Sie sicher, dass Sie das Zertifikat in der Bestätigungsanzeige aktivieren und speichern.

createCert.sh:

  1. Verwenden Sie das Script createCert.sh, um ein selbst unterzeichnetes Zertifikat in X.509-Format, einen privaten Schlüssel in PKCS-8-Format und eine PKCS12-Datei zu generieren, die sowohl den privaten Schlüssel als auch das Zertifikat enthält.
  2. Installieren Sie das selbst unterzeichnete Zertifikat und den Schlüssel über die Zertifikatsfunktion von Community Console. Zeigen Sie mit Kontenadmin > Profile > Zertifikate die Seite Zertifikate an. Stellen Sie sicher, dass Sie an Community Console als Hub-Operator angemeldet sind, und installieren Sie das Zertifikat in Ihrem eigenen Profil. Markieren Sie das Zertifikat als Typ Digitale Unterschrift. Stellen Sie sicher, dass Sie das Zertifikat in der Bestätigungsanzeige aktivieren und speichern.
  3. Verteilen Sie das Zertifikat an Ihre Teilnehmer. Die bevorzugte Verteilungsmethode ist das Senden des Zertifikats in einer kennwortgeschützten ZIP-Datei per E-Mail. Ihre Teilnehmer müssen sich an Sie wenden und das Kennwort für die ZIP-Datei anfordern.
  4. Führen Sie die Aktivierung auf der Ebene für Pakete (höchste Ebene), Teilnehmer oder Verbindungen (unterste Ebene) aus. Ihre Einstellung kann andere Einstellungen auf der Verbindungsebene überschreiben. Die Verbindungszusammenfassung informiert Sie darüber, ob ein erforderliches Attribut fehlt. Zum Ändern der Attribute von z. B. einer Teilnehmerverbindung klicken Sie auf Kontenadmin > Teilnehmerverbindungen, und wählen Sie dann die Teilnehmer aus. Klicken Sie auf Attribute, und bearbeiten Sie dann das Attribut. Beispiel: AS unterzeichnet.

Wenn Sie ein von einer CA unterzeichnetes Zertifikat verwenden, führen Sie die folgende Prozedur aus:

  1. Starten Sie das Dienstprogramm ikeyman.
  2. Generieren Sie mit ikeyman eine Zertifikatsanforderung und ein Schlüsselpaar für den Empfänger.
  3. Übergeben Sie eine Zertifikatsunterzeichungsanforderung (CSR - Certificate Signing Request) an eine CA.
  4. Wenn Sie das unterzeichnete Zertifikat von der CA empfangen, platzieren Sie mit ikeyman das unterzeichnete Zertifikat in den Keystore.
  5. Verteilen Sie das unterzeichnende CA-Zertifikat an alle Teilnehmer.

Eingehendes Verschlüsselungszertifikat

Dieses Zertifikat wird vom Empfänger verwendet, um verschlüsselte Dateien zu entschlüsseln, die von Teilnehmern empfangen wurden. Der Empfänger verwendet Ihren privaten Schlüssel, um die Dokumente zu entschlüsseln. Die Verschlüsselung wird verwendet, um zu verhindern, dass Dritte neben dem Absender und dem beabsichtigten Empfänger Transitdokumente anzeigen können.

Wenn Sie ein selbst unterzeichnetes Zertifikat verwenden, führen Sie eine der folgenden Prozeduren aus.

Wenn Sie ein von einer CA unterzeichnetes Zertifikat verwenden, führen Sie die folgende Prozedur aus:

  1. Starten Sie das Dienstprogramm ikeyman.
  2. Generieren Sie mit ikeyman eine Zertifikatsanforderung und ein Schlüsselpaar für den Empfänger.
  3. Übergeben Sie eine Zertifikatsunterzeichungsanforderung (CSR - Certificate Signing Request) an eine CA.
  4. Wenn Sie das unterzeichnete Zertifikat von der CA empfangen, platzieren Sie mit ikeyman das unterzeichnete Zertifikat in den Keystore.
  5. Verteilen Sie das unterzeichnende CA-Zertifikat an alle Teilnehmer.

Ausgehendes Verschlüsselungszertifikat

Das ausgehende Verschlüsselungszertifikat wird verwendet, wenn der Hub verschlüsselte Dokumente an Teilnehmer sendet. Business Integration Connect verschlüsselt Dokumente mit den öffentlichen Schlüsseln der Teilnehmer und die Teilnehmer entschlüsseln die Dokumente mit ihren privaten Schlüsseln.

  1. Rufen Sie das Verschlüsselungszertifikat des Teilnehmers ab. Das Zertifikat muss in X.509-DER-Format sein.
  2. Installieren Sie das Zertifikat über die Zertifikatsfunktion von Community Console. Sie führen diese Task aus, wenn Sie an der Konsole als Hub-Operator angemeldet sind, und installieren Sie das Zertifikat im Profil des jeweiligen Teilnehmers. Verwenden Sie Kontenadmin > Profile > Community-Teilnehmer, und suchen Sie nach dem Profil des Teilnehmers. Klicken Sie dann auf Zertifikate, und laden Sie das Zertifikat als Zertifikatstyp Verschlüsselung hoch. Stellen Sie sicher, dass Sie dieses Zertifikat in der Bestätigungsanzeige aktivieren und speichern.
  3. Wenn das Zertifikat von einer CA unterzeichnet ist, und Sie das CA-Zertifikat nicht auf Ihrem System installiert haben, melden Sie sich an der Konsole als Hub-Operator an, und installieren Sie dieses Zertifikat in Ihrem eigenen Profil. Zeigen Sie mit Kontenadmin > Profile > Zertifikate die Seite Zertifikate an. Installieren Sie das Zertifikat in Ihrem eigenen Profil. Sie müssen ein CA-Zertifikat nur einmal laden.
  4. Führen Sie die Aktivierung auf der Ebene für Pakete (höchste Ebene), Teilnehmer oder Verbindungen (unterste Ebene) aus. Ihre Einstellung kann andere Einstellungen auf der Verbindungsebene überschreiben. Die Verbindungszusammenfassung informiert Sie darüber, ob ein erforderliches Attribut fehlt.

    Zum Ändern der Attribute von z. B. einer Teilnehmerverbindung klicken Sie auf Kontenadmin > Teilnehmerverbindungen, und wählen Sie dann die Teilnehmer aus. Klicken Sie auf Attribute, und bearbeiten Sie dann das Attribut. Beispiel: AS verschlüsselt.

Copyright IBM Corp. 1997, 2004