Configuración básica - Configuración de seguridad para documentos entrantes y salientes

En este apartado aprenderá a añadir los siguientes tipos de seguridad a la configuración básica:

Configuración de autenticación SSL para documentos entrantes

En este apartado, utilice la herramienta ikeyman para configurar la autenticación del servidor de modo que el Socio Dos pueda enviar documentos AS2 mediante HTTPS.

Para configurar la autenticación del servidor, lleve a cabo los pasos siguientes:

  1. Inicie la aplicación ikeyman; para ello, abra el archivo ikeyman.bat en C:\ProgramFiles\IBM\WBIConnect\receiver\bin
  2. Abra el almacén de claves por omisión del receptor, receiver.jks. En la barra de menús, seleccione la opción para abrir el archivo de base de datos clave para abrir el archivo de base de datos clave. En una instalación por omisión, receiver.jks reside en el directorio:

    \WBIConnect\common\security\keystore

  3. Cuando el sistema lo solicite, especifique la contraseña por omisión correspondiente a receiver.jks. La contraseña es WebAS.
  4. Presuponiendo que ésta es la primera vez que abre el archivo receiver.jks, elimine el certificado 'ficticio'.

El paso siguiente es crear un certificado de firma automática. Al crear un certificado personal de firma automática, se crea una clave privada y una pública dentro del archivo de almacén de claves del servidor.

Para crear un certificado de firma automática:

  1. Pulse New Self Signed (Nuevo certificado de firma automática).
  2. Dé al certificado una etiqueta clave para identificar de forma exclusiva el certificado dentro del almacén de claves. Utilice la etiqueta selfSignedCert.
  3. Especifique el nombre común del servidor. Éste es la identidad principal y del certificado. Debe identificar de forma exclusiva aquello que representa.
  4. Especifique el nombre de la organización.
  5. Acepte todos los otros valores por omisión y pulse Aceptar.

Presuponga que el Socio Dos desea enviar un mensaje EDI en AS2 mediante HTTP seguro. Para ello, el Socio Dos necesitará hacer referencia al certificado público (que se ha creado como parte de la creación del certificado de firma automática en el paso anterior).

Para permitir que el Socio Dos utilice el certificado público, exporte el certificado público del archivo de almacenamiento de claves del servidor, como se explica a continuación:

  1. Seleccione el certificado de firma automática recién creado en la herramienta IBM Key Management.
  2. Pulse Extract Certificate (Extraer certificado).
  3. Cambie el tipo de datos a Binary DER.
  4. Proporcione el nombre de archivo partnerOnePublic y pulse Aceptar.

Por último, utilice la herramienta ikeyman para exportar el par certificado de firma automática y clave privada con el formato de un archivo PKCS12. Este archivo PCKS12 se utilizará para cifrado, que se describe en un apartado posterior.

Para exportar el par certificado de firma automática y clave privada:

  1. Pulse Exportar/Importar.
  2. Cambie el tipo de archivo de claves a PKCS12.
  3. Proporcione el nombre de archivo partnerOnePrivate y pulse Aceptar.
  4. Especifique una contraseña para proteger el archivo PKCS12 destino. Confirme la contraseña y pulse Aceptar.

Nota: detenga y reinicie el receptor para que estos cambios surtan efecto.

La contraseña especificada se utilizará más tarde al importar este certificado privado en el concentrador.

El Socio Dos debe llevar a cabo pasos de configuración, como importar el certificado y cambiar la dirección por aquella adonde envía los documentos AS2. Por ejemplo, el Socio Dos debe cambiar la dirección por:

https://<dirección_IP>:57443/bcgreceiver/submit

donde <dirección_IP> se refiere al concentrador.

Acto seguido, el certificado de firma automática que se ha colocado en el almacén de claves por omisión del receptor se presenta al Socio Dos siempre que éste envía un documento mediante HTTP seguro.

Para configurar la situación inversa, el Socio Dos debe proporcionar al concentrador una clave SSL con el formato de un archivo .der (es este caso, partnerTwoSSL.der). Si fuera necesario, el Socio Dos debe cambiar también la configuración para permitir la recepción de documentos mediante transporte HTTPS.

Cargue el archivo del Socio Dos, partnerTwoSSL.der, en el perfil del operador del concentrador como certificado raíz. Un certificado raíz es un certificado emitido desde una autoridad de certificación (CA) que se utiliza al establecer una cadena de certificados. En este ejemplo, el Socio Dos ha generado el certificado, que se carga como un certificado raíz para permitir al concentrador reconocer al remitente y confiar en él.

Cargue partnerTwoSSL.der en el concentrador:

  1. En el menú principal, pulse Administración de cuentas > Perfiles > Participante de comunidad.
  2. Pulse Buscar.
  3. Seleccione el operador de concentrador pulsando el icono de la lupa.
  4. Pulse Certificados y, a continuación, Cargar certificado.
  5. Establezca el Tipo de certificado como Certificado raíz.
  6. Cambie la descripción a Partner Two SSL Certificate (Certificado SSL de Socio Dos).
  7. Establezca el campo Estado en Habilitado.
  8. Pulse Examinar y vaya al directorio en el que ha guardado partnerTwoSSL.der.
  9. Seleccione el certificado y pulse Abrir.
  10. Pulse Subir y, a continuación, Guardar.

Cambie la pasarela del Socio Dos de modo que utilice HTTP seguro.

  1. Pulse Administración de cuentas > Perfiles > Participante de comunidad en la barra de navegación horizontal.
  2. Pulse Buscar y seleccione el Socio Dos pulsando el icono de la lupa.
  3. Pulse Pasarelas en la barra de navegación horizontal. A continuación, seleccione HttpGateway pulsando el icono de la lupa.
  4. Edítelo pulsando el icono de edición.
  5. Cambie el valor del transporte a HTTPS/1.1
  6. Cambie el valor del URI de destino como se indica a continuación: https://<dirección_IP>:443/input/AS2, donde <dirección_IP> se refiere a la máquina del Socio Dos.
  7. No es necesario modificar el resto de valores. Pulse Guardar.

Configuración de cifrado

En este apartado se proporcionan instrucciones para configurar el cifrado.

El Socio Dos debe llevar a cabo los pasos de configuración necesarios (por ejemplo, importar el certificado público extraído del certificado de firma automática) y configurar el cifrado en documentos enviados al concentrador.

WebSphere Business Integration Connect utilizará su clave privada para descifrar documentos. Para ello, primero debe cargar la clave privada extraída desde el certificado de firma automática a la Consola de comunidad. Realice esta tarea una vez que ha iniciado sesión en la Consola de comunidad como operador del concentrador e instale el certificado en su propio perfil.

Para cargar el archivo PKCS12:

  1. Pulse Administración de cuentas > Perfiles > Participante de comunidad en la barra de navegación horizontal.
  2. Pulse Buscar.
  3. Seleccione Operador de concentrador pulsando el icono de la lupa.
  4. Pulse Certificados y, a continuación, Cargar PKCS12.
  5. Seleccione el recuadro de selección que hay a la izquierda de Cifrado.
  6. Cambie la descripción a Partner One Private (Privada de Socio Uno)
  7. Seleccione Habilitado.
  8. Pulse Examinar y vaya al directorio en el que se encuentra el archivo PKCS12, partnerOnePrivate.p12.
  9. Seleccione el archivo y pulse Abrir.
  10. Especifique la contraseña proporcionada para el archivo PKCS12.
  11. En Tipo de pasarela, deje el valor Producción.
  12. Pulse Subir y, a continuación, Guardar.

Esto completa la configuración necesaria para permitir que un participante envíe transacciones cifradas mediante HTTP seguro al concentrador.

En el apartado siguiente, el procedimiento anterior se invierte: el concentrador envía una transacción EDI cifrada mediante HTTP seguro.

El Socio Dos debe generar un par de claves de descifrado de documentos (en este ejemplo, partnerTwoDecrypt.der) y ponerlo a disposición del concentrador.

Como se ha mencionado anteriormente, el concentrador utilizará la clave pública al cifrar transacciones que va a enviar al participante. Para ello, primero debe cargar el certificado público en el concentrador.

  1. En el menú principal, pulse Administración de cuentas > Perfiles > Participante de comunidad.
  2. Pulse Buscar.
  3. Seleccione el Socio Dos pulsando el icono de la lupa.
  4. Pulse Certificados en la barra de navegación horizontal.
  5. Pulse Cargar certificado.
  6. Seleccione el recuadro de selección que hay junto a Cifrado.
  7. Cambie la descripción a Partner Two Decrypt (Descifrado de Socio Dos).
  8. Establezca el campo Estado en Habilitado.
  9. Pulse Examinar.
  10. Vaya al directorio en el que se ha almacenado el certificado de descifrado, partnerTwoDecrypt.der.
  11. Seleccione el certificado y pulse Abrir.
  12. En Tipo de pasarela, deje el valor Producción, pulse Subir y, a continuación, Guardar.

El último paso en la configuración del concentrador para que envíe mensajes cifrados mediante HTTP seguro utilizando AS2 es modificar la conexión de participante que existe entre el Socio Uno y el Socio Dos.

Para modificar la conexión de participante en la Consola de comunidad:

  1. Pulse Administración de cuentas > Perfiles > Conexiones de participante en la barra de navegación horizontal.
  2. En la lista Origen, seleccione Socio Uno.
  3. En la lista Destino, seleccione Socio Dos.
  4. Pulse Buscar.
  5. Pulse el botón Atributos correspondiente a Destino.
  6. En el Resumen de conexión, observe que el atributo AS cifrado tiene el valor actual de No. Edite este valor pulsando el icono de la carpeta junto a Paquete: AS (N\A).

    Nota: Para ver esta opción, desplácese por la pantalla.

  7. En la lista, actualice el atributo AS cifrado con el valor y pulse Guardar.

Configuración de la firma de documentos

Al firmar digitalmente una transacción o mensaje, WebSphere Business Integration Connect utiliza una clave privada de participante para crear la firma y firmar. El socio que recibe el mensaje utiliza la clave pública para validar la firma. WebSphere Business Integration Connect utiliza firmas digitales a este efecto.

En este apartado se describen los pasos necesarios para configurar el concentrador y un participante para utilizar con firmas digitales.

El Socio Dos debe llevar a cabo los pasos de configuración necesarios (por ejemplo, crear un documento de firma automática llamado, en este caso, partnerTwoSigning.der) y configurar la firma de documentos. El Socio Dos debe poner partnerTwoSigning.der a disposición del concentrador.

Para cargar el certificado digital en el concentrador:

  1. Pulse Administración de cuentas > Perfiles > Participante de comunidad en la barra de navegación horizontal.
  2. Pulse Buscar.
  3. Seleccione el Socio Dos pulsando el icono de la lupa.
  4. Elija Certificados en la barra de navegación horizontal.
  5. Pulse Cargar certificado.
  6. Seleccione el recuadro de selección que hay junto a Firma digital.
  7. Cambie la descripción a Partner One Signing (Firmado de Socio Uno).
  8. Establezca el campo Estado en Habilitado.
  9. Pulse Examinar.
  10. Vaya al directorio que contiene el certificado digital, partnerTwoSigning.der, selecciónelo y pulse Abrir.
  11. Pulse Subir y, a continuación, Guardar.

Esto completa la configuración inicial de firmas digitales.

El participante utiliza el certificado público importado como una Autoridad de certificación para autenticar transacciones firmadas enviadas al concentrador.

El concentrador utilizará la clave privada para firmar digitalmente transacciones salientes que se envían al participante. Habilite primero la clave privada para firma digital.

Para habilitar la clave privada para firma digital:

  1. Pulse Administración de cuentas > Perfiles > Certificados en la barra de navegación horizontal.
  2. Pulse el icono de la lupa junto a Operador del concentrador.
  3. Pulse el icono de la lupa junto a Privada de Socio Uno.

    Nota: éste es el certificado privado cargado en el concentrador previamente.

  4. Pulse el icono de editar.
  5. Seleccione el recuadro de selección que hay junto a Firma digital.
  6. Pulse Guardar.

A continuación, modifique los atributos de la conexión de participante existente entre el Socio Uno y el Socio Dos para albergar AS2 firmado.

Para modificar los atributos de la conexión de participante:

  1. Pulse Administración de cuentas > Perfiles > Conexiones de participante en la barra de navegación horizontal.
  2. Seleccione Socio Uno en la lista Origen.
  3. Seleccione Socio Dos en la lista Destino.
  4. Pulse Buscar.
  5. Pulse el botón Atributos correspondiente Socio Dos.
  6. Edite el atributo AS firmado pulsando el icono de la carpeta junto a Paquete: AS (N/D).
  7. Seleccione en la lista AS firmado.
  8. Pulse Guardar.

Esto completa la configuración necesaria para enviar una transacción de AS2 firmado desde WebSphere Business Integration Connect al participante.

Copyright IBM Corp. 1997, 2004