Création et installation de certificats

Les sections suivantes décrivent comment créer et installer des certificats à utiliser avec WebSphere Business Integration Connect.

Certificats SSL pour les communications entrantes

Si votre communauté n'utilise pas la couche SSL, ni vous, ni vos participants n'avez besoin de certificat SSL pour les communications entrantes ou sortantes.

Authentification serveur

WebSphere Application Server utilise le certificat SSL lorsqu'il reçoit des demandes de connexion de participants via SSL. Il s'agit du certificat que le réceptionnaire présente pour identifier le concentrateur auprès du participant. Ce certificat serveur peut être auto-signé ou signé par une autorité de certification. Dans la plupart des cas, vous utilisez un certificat d'une autorité de certification pour augmenter la sécurité. Vous pouvez utiliser un certificat d'auto-signature dans un environnement de test. Utilisez ikeyman pour générer un certificat et une paire de clés. Pour plus d'informations sur l'utilisation d'ikeyman, reportez-vous à la documentation disponible auprès d'IBM.

Une fois le certificat et la paire de clés générés, utilisez le certificat pour le trafic SSL entrant de tous les participants. Si vous disposez de plusieurs réceptionnaires ou consoles, copiez le magasin de clés résultant sur chaque instance. Si le certificat est auto-signé, fournissez-le aux participants. Pour obtenir ce certificat, utilisez l'utilitaire ikeyman afin d'extraire le certificat public dans un fichier.

Si vous avez l'intention d'utiliser des certificats de serveur auto-signés, utilisez l'une des procédures ci-dessous.

Si vous envisagez d'utiliser un certificat signé par une autorité de certification, suivez la procédure ci-dessous.

  1. Démarrez l'utilitaire ikeyman qui se trouve dans le répertoire /racine_install_WBIC/router/was/bin.
  2. Utilisez ikeyman pour générer une demande de certificat et une paire de clés pour le réceptionnaire.
  3. Envoyez une demande de signature de certificat (CSR, Certificate Signing Request) à une autorité de certification.
  4. Lorsque vous recevez le certificat signé de l'autorité de certification, utilisez ikeyman pour le placer dans le magasin de clés.
  5. Distribuez le certificat de l'autorité de certification à tous les participants.

Authentification client

Pour l'authentification client, utilisez la procédure ci-dessous.

  1. Procurez-vous un certificat pour votre participant.
  2. Installez-le dans le magasin de relations de confiance à l'aide de l'utilitaire ikeyman.
  3. Placez l'autorité de certification associée dans le répertoire CA ou le magasin de clés connexes.

Remarque : Si vous ajoutez plusieurs participants à la communauté de votre concentrateur, vous pouvez utiliser ikeyman pour ajouter leurs certificats au magasin de relations de confiance. Si un participant quitte la communauté, vous pouvez utiliser ikeyman pour supprimer les certificats du participant du magasin de relations de confiance.

Une fois le certificat installé, configurez WebSphere Application Server afin d'utiliser l'authentification client en exécutant le script de l'utilitaire bcgClientAuth.jacl.

Démarrez le réceptionnaire de WebSphere Application Server pour que ces modifications prennent effet.

Une fonction supplémentaire peut être utilisée avec l'authentification client SSL. Elle est activée via la Console de communauté. Pour HTTP sur SSL (HTTPS), WebSphere Business Integration Connect vérifie les certificats par rapport aux ID métier contenus dans les documents entrants. Pour pouvoir utiliser cette fonction, créez le profil du participant, importez le certificat client et marquez-le comme SSL. Sélectionnez l'option ///Validate Client SSL Certificate dans l'écran de la passerelle du participant.

Certificat SSL pour les communications sortantes

Si votre communauté n'utilise pas la couche SSL, vous n'avez pas besoin de certificat SSL pour les communications entrantes ou sortantes.

Authentification serveur

Si la couche SSL est utilisée pour envoyer des documents sortants à vos participants, WebSphere Business Integration Connect demande un certificat côté serveur aux participants. Si le certificat d'un participant est auto-signé, utilisez la Console de communauté pour l'importer dans le profil d'Opérateur de concentrateur et marquez-le comme certificat racine. Si le certificat est signé par une autorité de certification, il vous suffit de l'importer dans la Console de communauté et de le marquer comme certificat racine.

Remarque : Le même certificat de CA peut être utilisé pour plusieurs participants. Il doit être au format X.509 DER.

Authentification client

Si une authentification SSL client est requise, le participant demande, en retour, un certificat au concentrateur. Utilisez la Console de communauté pour importer votre certificat dans WebSphere Business Integration Connect. Vous pouvez générer le certificat à l'aide de l'utilitaire ikeyman ou du script createCert.sh. Si le certificat est auto-signé, il doit être fourni au participant. S'il s'agit d'un certificat signé par une autorité de certification, il doit être envoyé aux participants, de sorte qu'ils puissent l'ajouter à leurs certificats dignes de confiance.

Si vous envisagez d'utiliser un certificat d'auto-signature, utilisez l'une des procédures ci-dessous.

Si vous envisagez d'utiliser un certificat signé par une autorité de certification, suivez la procédure ci-dessous.

  1. Utilisez ikeyman pour générer une demande de certificat et une paire de clés pour le réceptionnaire.
  2. Envoyez une demande de signature de certificat (CSR, Certificate Signing Request) à une autorité de certification.
  3. Lorsque vous recevez le certificat signé de l'autorité de certification, utilisez ikeyman pour le placer dans le magasin de clés.
  4. Distribuez le certificat de signature de l'autorité de certification à tous les participants.

Ajout d'une liste de retrait de certificats

Business Integration Connect inclut une fonction de liste de retrait de certificats. La liste de retrait de certificats, émise par une autorité de certification, identifie les participants qui ont révoqué des certificats avant leur date d'expiration prévue. Les participants ayant des certificats révoqués se voient refusés l'accès à Business Integration Connect.

Chaque certificat révoqué est identifié par son numéro de série dans la liste de retrait de certificats. Le Gestionnaire de documents analyse cette liste toutes les 60 secondes et refuse un certificat s'il est mentionné dans la liste.

Les listes de retrait de certificats sont stockées à l'emplacement suivant : /<répertoire de données partagées>/security/crl. Business Integration Connect utilise le paramètre bcg.http.CRLDir dans le fichier bcg.properties pour identifier l'emplacement du répertoire de la liste de retrait de certificats.

Créez un fichier .crl contenant les certificats révoqués et placez-le dans le répertoire de la liste de retrait de certificats.

Par exemple, dans le fichier bcg.properties, utilisez le paramètre suivant :

bcg.http.CRLDir=/<répertoire de données partagées>/security/crl.

Certificat de signature de communication entrante

Le Gestionnaire de documents utilise le certificat signé du participant pour vérifier la signature de l'expéditeur lorsque vous recevez des documents. Les participants vous envoient leurs certificats de signature auto-signés au format X.509 DER. En retour, vous installez les certificats des participants via la Console de communauté sous leur profil respectif.

Pour installer le certificat, utilisez la procédure ci-dessous.

  1. Recevez le certificat de signature du participant au format X.509 DER.
  2. Installez-le via la Console de communauté sous le profil du participant. Utilisez Administrateur du compte > Profils > Participant de communauté et recherchez le profil du participant. Cliquez sur Certificats, puis téléchargez le certificat en tant que certificat de Signature numérique. N'oubliez pas d'activer et de sauvegarder ce certificat dans l'écran de confirmation.
  3. Si le certificat a été signé par une autorité de certification et que le certificat de CA racine n'est pas déjà installé dans le profil de l'opérateur du concentrateur, installez-le dès maintenant. Utilisez Administrateur du compte > Profils > Certificats pour afficher la page Certificats. Assurez-vous d'être connecté à la Console de communauté en tant qu'Opérateur de concentrateur et installez le certificat dans votre propre profil.

    Remarque : Il est inutile d'effectuer l'étape précédente si le certificat de CA est déjà installé.

  4. Activez le niveau module (niveau le plus élevé), participant ou connexion (niveau le plus bas). Votre définition peut remplacer les autres définitions au niveau connexion. Le résumé de la connexion vous indique si un attribut requis est manquant.

    Par exemple, pour modifier les attributs d'une connexion de participant, cliquez sur Administrateur du compte > Connexions du participant et sélectionnez les participants. Cliquez sur Attributs, puis éditez l'attribut (par exemple, AS signé).

Certificat de signature de communication sortante

Le Gestionnaire de documents utilise ce certificat lorsqu'il envoie des documents signés sortants aux participants. Les mêmes certificat et clé sont utilisés pour tous les ports et protocoles.

Si vous envisagez d'utiliser un certificat d'auto-signature, utilisez l'une des procédures ci-dessous.

ikeyman :

  1. Démarrez l'utilitaire ikeyman.
  2. Utilisez ikeyman pour générer un certificat d'auto-signature et une paire de clés.
  3. Utilisez ikeyman pour extraire dans un fichier le certificat qui contiendra votre clé publique.
  4. Distribuez le certificat à vos participants. La méthode de distribution préférée consiste à envoyer le certificat par courrier électronique dans un fichier zip protégé par mot de passe. Vos participants doivent vous appeler et vous demander le mot de passe correspondant au fichier zip.
  5. Utilisez ikeyman pour exporter le certificat d'auto-signature et la paire de clés privées sous forme de fichier PKCS12.
  6. Installez le certificat d'auto-signature et la paire de clés privées sous forme de fichier PKCS12 à l'aide de la fonction certificat de la Console de communauté. Utilisez Administrateur du compte > Profils > Certificats pour afficher la page Certificats. Assurez-vous d'être connecté à la Console de communauté en tant qu'Opérateur de concentrateur et installez le certificat dans votre propre profil. Marquez le certificat du type Signature numérique. Veillez à activer et à sauvegarder le certificat dans l'écran de confirmation.

createCert.sh :

  1. Utilisez le script createCert.sh pour générer un certificat d'auto-signature au format X.509, une clé privée au format PKCS 8 et un fichier PKCS12 contenant la clé privée et le certificat.
  2. Installez le certificat d'auto-signature et la clé via l'option Certificats de la Console de communauté. Utilisez Administrateur du compte > Profils > Certificats pour afficher la page Certificats. Assurez-vous d'être connecté à la Console de communauté en tant qu'Opérateur de concentrateur et installez le certificat dans votre propre profil. Marquez le certificat du type Signature numérique. Veillez à activer et à sauvegarder le certificat dans l'écran de confirmation.
  3. Distribuez le certificat à vos participants. La méthode de distribution préférée consiste à envoyer le certificat par courrier électronique dans un fichier zip protégé par mot de passe. Vos participants doivent vous appeler et vous demander le mot de passe correspondant au fichier zip.
  4. Activez le niveau module (niveau le plus élevé), participant ou connexion (niveau le plus bas). Votre définition peut remplacer les autres définitions au niveau connexion. Le résumé de la connexion vous indique si un attribut requis est manquant. Par exemple, pour modifier les attributs d'une connexion de participant, cliquez sur Administrateur du compte > Connexions du participant et sélectionnez les participants. Cliquez sur Attributs, puis éditez l'attribut (par exemple, AS signé).

Si vous envisagez d'utiliser un certificat signé par une autorité de certification, suivez la procédure ci-dessous.

  1. Démarrez l'utilitaire ikeyman.
  2. Utilisez ikeyman pour générer une demande de certificat et une paire de clés pour le réceptionnaire.
  3. Envoyez une demande de signature de certificat (CSR, Certificate Signing Request) à une autorité de certification.
  4. Lorsque vous recevez le certificat signé de l'autorité de certification, utilisez ikeyman pour le placer dans le magasin de clés.
  5. Distribuez le certificat de signature de l'autorité de certification à tous les participants.

Certificat de chiffrement de communication entrante

Ce certificat est utilisé par le réceptionnaire pour déchiffrer les fichiers chiffrés, reçus de participants. Le réceptionnaire utilise votre clé privée pour déchiffrer les documents. Le chiffrement est utilisé pour empêcher toute autre personne que l'expéditeur et le destinataire prévu de visualiser les documents en transit.

Si vous envisagez d'utiliser un certificat d'auto-signature, utilisez l'une des procédures ci-dessous.

Si vous envisagez d'utiliser un certificat signé par une autorité de certification, suivez la procédure ci-dessous.

  1. Démarrez l'utilitaire ikeyman.
  2. Utilisez ikeyman pour générer une demande de certificat et une paire de clés pour le réceptionnaire.
  3. Envoyez une demande de signature de certificat (CSR, Certificate Signing Request) à une autorité de certification.
  4. Lorsque vous recevez le certificat signé de l'autorité de certification, utilisez ikeyman pour le placer dans le magasin de clés.
  5. Distribuez le certificat de signature de l'autorité de certification à tous les participants.

Certificat de chiffrement de communication sortante

Ce certificat est utilisé lorsque le concentrateur envoie des documents chiffrés aux participants. Business Integration Connect chiffre les documents à l'aide des clés publiques des participants et ces derniers déchiffrent les documents avec leurs clés privées.

  1. Procurez-vous le certificat de chiffrement de votre participant. Le certificat doit être au format X.509 DER.
  2. Installez le certificat via l'option Certificats de la Console de communauté. Effectuez cette tâche en étant connecté à la console en tant qu'Opérateur de concentrateur et installez le certificat dans le profil du participant. Utilisez Administrateur du compte > Profils > Participant de communauté et recherchez le profil du participant. Ensuite, cliquez sur Certificats et téléchargez le certificat en tant que certificat de type Chiffrement. Veillez à activer et à sauvegarder le certificat dans l'écran de confirmation.
  3. Si le certificat est signé par une autorité de certification et qu'il n'est pas installé sur le système, connectez-vous à la console en tant qu'Opérateur de concentrateur et installez le certificat dans votre propre profil. Utilisez Administrateur du compte > Profils > Certificats pour afficher la page Certificats. Installez le certificat dans votre propre profil. Un certificat de CA ne doit être chargé qu'une seule fois.
  4. Activez le niveau module (niveau le plus élevé), participant ou connexion (niveau le plus bas). Votre définition peut remplacer les autres définitions au niveau connexion. Le résumé de la connexion vous indique si un attribut requis est manquant.

    Par exemple, pour modifier les attributs d'une connexion de participant, cliquez sur Administrateur du compte > Connexions du participant et sélectionnez les participants. Cliquez sur Attributs, puis éditez l'attribut (par exemple, AS chiffré).

Copyright IBM Corp. 1997, 2004