Configuration de base - Configuration de la sécurité pour les échanges entrants et sortants

Dans cette section, vous allez découvrir comment ajouter les dispositifs de sécurité suivants à la configuration de base :

Configuration de l'authentification SSL pour les documents entrants

Dans cette section, l'authentification serveur est configurée à l'aide de l'outil ikeyman pour permettre au partenaire B d'envoyer des documents AS2 via HTTPS.

Pour configurer l'authentification serveur, procédez comme suit :

  1. Lancez l'application ikeyman en ouvrant le fichier ikeyman.bat à partir du répertoire C:\ProgramFiles\IBM\WBIConnect\receiver\bin
  2. Ouvrez le magasin de clés par défaut du Réceptionnaire, receiver.jks. Dans la barre de menus, sélectionnez Key Database File Open. Dans le cas d'une installation par défaut, receiver.jks se trouve dans le répertoire :

    \WBIConnect\common\security\keystore

  3. Lorsque vous y êtes invité, entrez le mot de passe par défaut associé à receiver.jks. Ce mot de passe est WebAS.
  4. En supposant que vous ouvrez le fichier receiver.jks pour la première fois, supprimez le certificat 'fictif'.

L'étape suivante consiste à créer un nouveau certificat d'auto-signature. En créant un certificat d'auto-signature personnelle, vous créez également une clé privée et une clé publique dans le fichier "magasin de clés" du serveur.

Pour créer un nouveau certificat d'auto-signature, procédez comme suit :

  1. Cliquez sur New Self Signed.
  2. Attribuez un intitulé de clé au certificat afin de l'identifier de façon unique dans le magasin de clés. Utilisez l'intitulé CertAutoSign.
  3. Indiquez le nom CN du serveur. Il s'agit de l'identité principale et universelle du certificat. Il doit identifier de façon unique le principal qu'il représente.
  4. Indiquez le nom de votre organisation.
  5. Acceptez toutes les autres valeurs par défaut, puis cliquez sur OK.

Supposons que le partenaire B souhaite envoyer un message EDI via AS2 et le protocole HTTP sécurisé. Pour ce faire, le partenaire B devra faire référence au certificat public (qui a été créé en même temps que le certificat d'auto-signature à l'étape précédente).

Pour permettre au partenaire B d'utiliser le certificat public, exportez ce même certificat à partir du fichier de magasin de clés du serveur en procédant comme suit :

  1. Sélectionnez le certificat d'auto-signature nouvellement dans l'outil de gestion des clés d'IBM.
  2. Cliquez sur ///Extract Certificate.
  3. Sélectionnez le type de données ///Binary DER data.
  4. Indiquez le nom de fichier partenaireAPublic, puis cliquez sur OK.

Enfin, vous devez exporter le certificat d'auto-signature et la paire de clés privées sous la forme d'un fichier PKCS12 à l'aide d'ikeyman. Ce fichier PCKS12 sera utilisé pour le chiffrement, qui est décrit dans la section suivante.

Pour exporter le certificat d'auto-signature et la paire de clés privées, procédez comme suit.

  1. Cliquez sur ///Export/Import.
  2. Sélectionnez le type de fichier de clé PKCS12.
  3. Indiquez le nom de fichier partenaireAPrivé, puis cliquez sur OK.
  4. Entrez un mot de passe pour protéger le fichier PKCS12 cible. Confirmez le mot de passe, puis cliquez sur OK.

Remarque : Arrêtez puis redémarrez le Réceptionnaire pour que ces modifications prennent effet.

Le mot de passe que vous avez indiqué vous servira par la suite lorsque vous importerez ce certificat privé dans le concentrateur.

Le partenaire B doit également exécuter certaines étapes de configuration, à savoir, importer le certificat et modifier l'adresse de destination des documents AS2 qu'il envoie. Par exemple, le partenaire B devrait modifier l'adresse comme suit :

https://<Adresse_IP>:57443/bcgreceiver/submit

où <Adresse_IP> fait référence au concentrateur.

Désormais, le certificat d'auto-signature qui a été placé dans le magasin de clés par défaut du Réceptionnaire sera présenté au partenaire B chaque fois que celui-ci enverra un document par le biais du protocole HTTP sécurisé.

Pour définir la situation inverse, le partenaire B doit fournir au concentrateur une clé SSL sous la forme d'un fichier .der (dans ce cas, partenaireBSSL.der). Si nécessaire, le partenaire B doit également modifier la configuration pour permettre la réception de documents via le mode de transfert HTTPS.

Chargez le fichier du partenaire B (c.-a.-d., partenaireBSSL.der) dans le profil de l'Opérateur de concentrateur en tant que certificat racine. Un certificat racine est un certificat émis par une autorité de certification utilisé lors de l'établissement d'une hiérarchie de certificats. Dans cet exemple, le partenaire B a généré le certificat, qui est chargé en tant que certificat racine pour permettre au concentrateur de reconnaître et habiliter l'expéditeur.

Pour charger le fichier partenaireBSSL.der dans le concentrateur, procédez comme suit :

  1. Dans le menu principal, cliquez sur Administrateur du compte > Profils > Participant de communauté.
  2. Cliquez sur Rechercher.
  3. Sélectionnez l'Opérateur de concentrateur en cliquant sur l'icône symbolisant une loupe.
  4. Cliquez sur Certificats, puis sur Charger le certificat.
  5. Réglez le paramètre Type de certificat sur Certificat racine.
  6. Modifiez la description en indiquant Certificat SSL du partenaire B.
  7. Attribuez au paramètre Etat la valeur Activé.
  8. Cliquez sur Parcourir et naviguez jusqu'au répertoire dans lequel vous avez sauvegardé partnerTwoSSL.der.
  9. Sélectionnez le certificat, puis cliquez sur Ouvrir.
  10. Cliquez sur Télécharger, puis sur Sauvegarder.

Modifiez la passerelle du partenaire B de sorte qu'elle utilise le protocole HTTP sécurisé.

  1. Cliquez sur Administrateur du compte > Profils > Participant de communauté dans la barre de navigation horizontale.
  2. Cliquez sur Rechercher, puis sélectionnez Partenaire B en cliquant sur l'icône symbolisant une loupe.
  3. Cliquez sur Passerelles dans la barre de navigation horizontale. Puis sélectionnez PasserelleHttp en cliquant sur l'icône symbolisant une loupe.
  4. Modifiez-la en cliquant sur l'icône d'édition.
  5. Sélectionnez la valeur de transfert HTTPS/1.1
  6. Modifiez la valeur de l'identificateur URI cible comme suit : https://<Adresse_IP>:443/input/AS2, où <Adresse_IP> fait référence à la machine du partenaire B.
  7. Toutes les autres valeurs peuvent rester en l'état. Cliquez sur Sauvegarder.

Configuration du chiffrement

Cette section présente les étapes de configuration du chiffrement.

Le partenaire B doit exécuter les étapes de configuration nécessaires (par exemple, importer le certificat public extrait du certificat d'auto-signature) et configurer le chiffrement des documents envoyés au concentrateur.

WebSphere Business Integration Connect utilise sa clé privée pour déchiffrer les documents. Pour permettre au concentrateur d'effectuer cette opération, vous devez d'abord charger la clé privée extraite du certificat d'auto-signature dans la Console de communauté. Pour ce faire, vous devez être connecté à la Console de communauté en tant qu'Opérateur de concentrateur et installer le certificat dans votre propre profil.

Pour charger le fichier PKCS12, procédez comme suit :

  1. Cliquez sur Administrateur du compte > Profils > Participant de communauté dans la barre de navigation horizontale.
  2. Cliquez sur Rechercher.
  3. Sélectionnez Opérateur de concentrateur en cliquant sur l'icône symbolisant une loupe.
  4. Cliquez sur Certificats, puis sur Charger PKCS12.
  5. Activez la case à cocher située à gauche de Chiffrement.
  6. Modifiez la description en indiquant Certificat privé partenaire A.
  7. Sélectionnez Activé.
  8. Cliquez sur Parcourir et naviguez jusqu'au répertoire dans lequel le fichier PKCS12, partnerOnePrivate.p12, est stocké.
  9. Sélectionnez le fichier, puis cliquez sur Ouvrir.
  10. Entrez le mot de passe fourni pour le fichier PKCS12.
  11. Laissez le paramètre Type de passerelle associé à la valeur Production.
  12. Cliquez sur Télécharger, puis sur Sauvegarder.

La procédure de configuration requise pour permettre à un participant d'envoyer des transactions chiffrées via HTTP sécurisé vers le concentrateur est à présent terminée.

La section suivante décrit une procédure inverse à la précédente--le concentrateur envoie une transaction EDI chiffrée à l'aide du protocole HTTP sécurisé.

Le partenaire B doit générer une paire de clés de déchiffrement de document (dans cet exemple, partenaireBDéchiffr.der) et la mettre à la disposition du concentrateur.

Comme indiqué précédemment, la clé publique sera utilisée par le concentrateur pour chiffrer les transactions qui doivent être envoyées au participant. Pour cela, vous devez charger le certificat public dans le concentrateur.

  1. Dans le menu principal, cliquez sur Administrateur du compte > Profils > Participant de communauté.
  2. Cliquez sur Rechercher.
  3. Sélectionnez le Partenaire A en cliquant sur l'icône symbolisant une loupe.
  4. Cliquez sur Certificats dans la barre de navigation horizontale.
  5. Cliquez sur Charger le certificat.
  6. Activez la case à cocher située en regard de Chiffrement.
  7. Modifiez la description en indiquant Déchiffrement partenaire B.
  8. Attribuez à l'état la valeur Activé.
  9. Cliquez sur Parcourir.
  10. Naviguez jusqu'au répertoire dans lequel le certificat de déchiffrement, partnerTwoDecrypt.der, est stocké.
  11. Sélectionnez le certificat, puis cliquez sur Ouvrir.
  12. Laissez le paramètre Type de passerelle associé à la valeur Production, cliquez sur Télécharger, puis sur Sauvegarder.

La dernière étape de la procédure de configuration du concentrateur en vue de permettre l'envoi de messages chiffrés à l'aide du protocole HTTP sécurisé et d'AS2 consiste à modifier la connexion des participants existant entre le partenaire A et le partenaire B.

Pour modifier la connexion des participants dans la Console de communauté, procédez comme suit :

  1. Cliquez sur Administrateur du compte > Profils > Connexions du participant dans la barre de navigation horizontale.
  2. Dans la liste Source, sélectionnez Partenaire A.
  3. Dans la liste Cible, sélectionnez Partenaire B.
  4. Cliquez sur Rechercher.
  5. Cliquez sur le bouton Attributs correspondant à la cible.
  6. Dans le Récapitulatif de la connexion, notez que la valeur courante de l'attribut AS chiffré est Non. Modifiez cette valeur en cliquant sur l'icône de dossier située en regard de Module : AS (N\A).

    Remarque : Pour faire apparaître cette option, vous devez faire défiler l'écran.

  7. Dans la liste, mettez à jour l'attribut AS chiffré en lui attribuant la valeur Oui, puis cliquez sur Sauvegarder.

Configuration de la signature de documents

Pour signer numériquement une transaction ou un message, WebSphere Business Integration Connect utilise la clé privée d'un participant pour créer la signature et signer. Votre partenaire utilise ensuite votre clé publique pour valider la signature lors de la réception de ce message. C'est à cet effet que WebSphere Business Integration Connect utilise les signatures numériques.

Cette section présente les étapes à suivre pour configurer le concentrateur et un participant en vue de l'utilisation de signatures numériques.

Le partenaire B doit exécuter toutes les étapes de configuration requises (par exemple, créer un document d'auto-signature appelé partnerTwoSigning.der, dans cet exemple et configurer la signature des documents). Le partenaire B doit mettre le fichier partenaireBSignature.der à la disposition du concentrateur.

Pour charger le certificat numérique dans le concentrateur, procédez comme suit :

  1. Cliquez sur Administrateur du compte > Profils > Participant de communauté dans la barre de navigation horizontale.
  2. Cliquez sur Rechercher.
  3. Sélectionnez le Partenaire B en cliquant sur l'icône symbolisant une loupe.
  4. Choisissez Certificats dans la barre de navigation horizontale.
  5. Cliquez sur Charger le certificat.
  6. Activez la case à cocher située en regard de Signature numérique.
  7. Modifiez la description en indiquant Signature partenaire A.
  8. Attribuez au paramètre Etat la valeur Activé.
  9. Cliquez sur Parcourir.
  10. Naviguez jusqu'au répertoire dans lequel le certificat numérique, partnerTwoSigning.der, est enregistré, sélectionnez-le et cliquez sur Ouvrir.
  11. Cliquez sur Télécharger, puis sur Sauvegarder.

La configuration initiale des signatures numériques est à présent terminée.

Le participant utilise le certificat public importé comme autorité de certification pour authentifier les transactions signées qui sont envoyées au concentrateur.

Le concentrateur quant à lui utilisera la clé privée pour signer numériquement les transactions sortantes envoyées au participant. Vous devez tout d'abord activer la clé privée pour la signature numérique.

Pour activer la clé privée pour la signature numérique, procédez comme suit :

  1. Cliquez sur Administrateur du compte > Profils > Certificats dans la barre de navigation horizontale.
  2. Cliquez sur l'icône symbolisant une loupe située en regard d'Opérateur de concentrateur.
  3. Cliquez sur l'icône symbolisant une loupe située en regard de Certificat privé partenaire A.

    Remarque : Il s'agit du certificat privé qui a été chargé dans le concentrateur précédemment.

  4. Cliquez sur l'icône d'édition.
  5. Activez la case à cocher située en regard de Signature numérique.
  6. Cliquez sur Sauvegarder.

L'étape suivante consiste à modifier les attributs de la connexion de participants existante entre le partenaire A et le partenaire B en vue de permettre l'envoi d'une transaction AS2 signée.

Pour modifier les attributs de la connexion des participants, procédez comme suit :

  1. Cliquez sur Administrateur du compte > Profils > Connexions du participant dans la barre de navigation horizontale.
  2. Sélectionnez Partenaire A dans la liste Source.
  3. Sélectionnez Partenaire B dans la liste Cible.
  4. Cliquez sur Rechercher.
  5. Cliquez sur le bouton Attributs correspondant au partenaire B.
  6. Modifiez l'attribut AS signé en cliquant sur l'icône de dossier situé en regard de Module : AS (N/A).
  7. Sélectionnez Oui dans la liste AS signé.
  8. Cliquez sur Sauvegarder.

L'étape de configuration requise pour permettre l'envoi d'une transaction AS2 signée de WebSphere Business Integration Connect vers le participant est maintenant terminée.

Copyright IBM Corp. 1997, 2004