Les sections suivantes décrivent comment créer et installer des certificats
à utiliser avec WebSphere Business Integration Connect.
Si votre communauté n'utilise pas la couche SSL, ni vous, ni vos
participants n'avez besoin de certificat SSL pour les communications
entrantes ou sortantes.
WebSphere Application Server utilise le certificat SSL lorsqu'il
reçoit des demandes de connexion de participants via SSL. Il
s'agit du certificat que le réceptionnaire présente pour identifier le
concentrateur auprès du participant. Ce certificat serveur peut être
auto-signé ou signé par une autorité de certification. Dans la plupart
des cas, vous utilisez un certificat d'une autorité de certification pour
augmenter la sécurité. Vous pouvez utiliser un certificat
d'auto-signature dans un environnement de test. Utilisez ikeyman
pour générer un certificat et une paire de clés. Pour plus
d'informations sur l'utilisation d'ikeyman, reportez-vous à la
documentation disponible auprès d'IBM.
Une fois le certificat et la paire de clés générés, utilisez le certificat
pour le trafic SSL entrant de tous les participants. Si vous disposez
de plusieurs réceptionnaires ou consoles, copiez le magasin de clés résultant
sur chaque instance. Si le certificat est auto-signé, fournissez-le aux
participants. Pour obtenir ce certificat, utilisez l'utilitaire
ikeyman afin d'extraire le certificat public dans un fichier.
Si vous avez l'intention d'utiliser des certificats de serveur
auto-signés, utilisez l'une des procédures ci-dessous.
- ikeyman :
- Lancez l'utilitaire ikeyman qui se trouve dans le répertoire
/racine_install_WBIC/router/was/bin. Si c'est la première fois que
vous utilisez ikeyman, supprimez le certificat fictif se trouvant dans le
magasin de clés.
- Utilisez ikeyman pour générer un certificat d'auto-signature et une
paire de clés pour le magasin de clés du réceptionnaire ou de la
console.
- Utilisez ikeyman pour extraire dans un fichier le certificat qui
contiendra votre clé publique.
- Installez le fichier PKCS12 dans le magasin de clés du réceptionnaire ou
de la console pour lequel il a été créé.
- Distribuez le certificat à vos participants. La méthode de
distribution préférée consiste à envoyer le certificat par courrier
électronique dans un fichier zip protégé par mot de passe. Vos
participants doivent vous appeler et vous demander le mot de passe
correspondant au fichier zip.
- createCert.sh :
- Utilisez le script createCert.sh, se trouvant dans le répertoire
/racine_install_WBIC/router/was/bin, afin de générer un certificat
d'auto-signature au format X.509, une clé privée au format PKCS 8
et un fichier PKCS12 contenant à la fois la clé privée et le
certificat.
- Installez le fichier PKCS12 dans le magasin de clés du réceptionnaire ou
de la console pour lequel il a été créé.
- Distribuez le certificat à vos participants. La méthode de
distribution préférée consiste à envoyer le certificat par courrier
électronique dans un fichier zip protégé par mot de passe. Vos
participants doivent vous appeler et vous demander le mot de passe
correspondant au fichier zip.
Si vous envisagez d'utiliser un certificat signé par une autorité de
certification, suivez la procédure ci-dessous.
- Démarrez l'utilitaire ikeyman qui se trouve dans le répertoire
/racine_install_WBIC/router/was/bin.
- Utilisez ikeyman pour générer une demande de certificat et une paire de
clés pour le réceptionnaire.
- Envoyez une demande de signature de certificat (CSR, Certificate Signing
Request) à une autorité de certification.
- Lorsque vous recevez le certificat signé de l'autorité de
certification, utilisez ikeyman pour le placer dans le magasin de clés.
- Distribuez le certificat de l'autorité de certification à tous les
participants.
Pour l'authentification client, utilisez la procédure
ci-dessous.
- Procurez-vous un certificat pour votre participant.
- Installez-le dans le magasin de relations de confiance à l'aide de
l'utilitaire ikeyman.
- Placez l'autorité de certification associée dans le répertoire CA ou
le magasin de clés connexes.
Remarque : Si vous ajoutez plusieurs participants à la communauté de votre
concentrateur, vous pouvez utiliser ikeyman pour ajouter leurs certificats au
magasin de relations de confiance. Si un participant quitte la
communauté, vous pouvez utiliser ikeyman pour supprimer les certificats du
participant du magasin de relations de confiance.
Une fois le certificat installé, configurez WebSphere Application Server
afin d'utiliser l'authentification client en exécutant le script de
l'utilitaire bcgClientAuth.jacl.
- Naviguez jusqu'au répertoire /racine_install_WBIC/receiver/was/bin
- Pour activer l'authentification client, appelez le script comme suit
:
./wsadmin.sh -f
/racine_install_WBIC/receiver/scripts/bcgClientAuth.jacl -conntype NONE
set
- Pour la désactiver, appelez le script comme suit :
./wsadmin.sh -f
/racine_install_WBIC/receiver/scripts/bcgClientAuth.jacl -conntype NONE
clear
Démarrez le réceptionnaire de WebSphere Application Server pour que ces
modifications prennent effet.
Une fonction supplémentaire peut être utilisée avec l'authentification
client SSL. Elle est activée via la Console de communauté. Pour
HTTP sur SSL (HTTPS), WebSphere Business Integration Connect vérifie les
certificats par rapport aux ID métier contenus dans les documents
entrants. Pour pouvoir utiliser cette fonction, créez le profil du
participant, importez le certificat client et marquez-le comme SSL.
Sélectionnez l'option ///Validate Client SSL Certificate dans
l'écran de la passerelle du participant.
Si votre communauté n'utilise pas la couche SSL, vous n'avez pas
besoin de certificat SSL pour les communications entrantes ou
sortantes.
Si la couche SSL est utilisée pour envoyer des documents sortants à vos
participants, WebSphere Business Integration Connect demande un certificat
côté serveur aux participants. Si le certificat d'un participant
est auto-signé, utilisez la Console de communauté pour l'importer dans le
profil d'Opérateur de concentrateur et marquez-le comme certificat
racine. Si le certificat est signé par une autorité de
certification, il vous suffit de l'importer dans la Console de communauté
et de le marquer comme certificat racine.
Remarque : Le même certificat de CA peut être utilisé pour plusieurs
participants. Il doit être au format X.509 DER.
Si une authentification SSL client est requise, le participant demande, en
retour, un certificat au concentrateur. Utilisez la Console de
communauté pour importer votre certificat dans WebSphere Business Integration
Connect. Vous pouvez générer le certificat à l'aide de
l'utilitaire ikeyman ou du script createCert.sh.
Si le certificat est auto-signé, il doit être fourni au participant.
S'il s'agit d'un certificat signé par une autorité de
certification, il doit être envoyé aux participants, de sorte qu'ils
puissent l'ajouter à leurs certificats dignes de confiance.
Si vous envisagez d'utiliser un certificat d'auto-signature,
utilisez l'une des procédures ci-dessous.
- ikeyman :
- Démarrez l'utilitaire ikeyman.
- Utilisez ikeyman pour générer un certificat d'auto-signature et une
paire de clés.
- Utilisez ikeyman pour extraire dans un fichier le certificat qui
contiendra votre clé publique.
- Distribuez le certificat à vos participants. La méthode de
distribution préférée consiste à envoyer le certificat par courrier
électronique dans un fichier zip protégé par mot de passe. Vos
participants doivent vous appeler et vous demander le mot de passe
correspondant au fichier zip.
- Utilisez ikeyman pour exporter le certificat d'auto-signature et la
paire de clés privées sous forme de fichier PKCS12.
- Installez le certificat d'auto-signature et la clé via la Console de
communauté. Utilisez Administrateur du compte > Profils >
Certificats pour afficher la page Certificats. Veillez à vous
connecter à la Console de communauté en tant qu'opérateur du
concentrateur. Installez le certificat dans votre propre profil et
marquez-le comme certificat de type SSL.
- createCert.sh :
- Utilisez le script createCert.sh pour générer un
certificat d'auto-signature au format X.509, une clé privée au
format PKCS 8 et un fichier PKCS12 contenant la clé privée et le
certificat.
- Installez le certificat d'auto-signature et la clé via la Console de
communauté. Utilisez Administrateur du compte > Profils >
Certificats pour afficher la page Certificats. Veillez à vous
connecter à la Console de communauté en tant qu'Opérateur de
concentrateur. Installez le certificat dans votre propre profil et
marquez-le comme certificat de type SSL.
- Envoyez votre certificat d'auto-signature ou le certificat de CA
racine à tous les participants de sorte qu'ils puissent l'ajouter
comme un certificat digne de confiance.
Si vous envisagez d'utiliser un certificat signé par une autorité de
certification, suivez la procédure ci-dessous.
- Utilisez ikeyman pour générer une demande de certificat et une paire de
clés pour le réceptionnaire.
- Envoyez une demande de signature de certificat (CSR, Certificate Signing
Request) à une autorité de certification.
- Lorsque vous recevez le certificat signé de l'autorité de
certification, utilisez ikeyman pour le placer dans le magasin de clés.
- Distribuez le certificat de signature de l'autorité de certification
à tous les participants.
Business Integration Connect inclut une fonction de liste de retrait de
certificats. La liste de retrait de certificats, émise par une autorité
de certification, identifie les participants qui ont révoqué des certificats
avant leur date d'expiration prévue. Les participants ayant des
certificats révoqués se voient refusés l'accès à Business Integration
Connect.
Chaque certificat révoqué est identifié par son numéro de série dans la
liste de retrait de certificats. Le Gestionnaire de documents analyse
cette liste toutes les 60 secondes et refuse un certificat s'il est
mentionné dans la liste.
Les listes de retrait de certificats sont stockées à l'emplacement
suivant : /<répertoire de données
partagées>/security/crl. Business Integration Connect utilise
le paramètre bcg.http.CRLDir dans le fichier
bcg.properties pour identifier l'emplacement du
répertoire de la liste de retrait de certificats.
Créez un fichier .crl contenant les certificats révoqués
et placez-le dans le répertoire de la liste de retrait de certificats.
Par exemple, dans le fichier bcg.properties, utilisez le
paramètre suivant :
bcg.http.CRLDir=/<répertoire de données
partagées>/security/crl.
Le Gestionnaire de documents utilise le certificat signé du participant
pour vérifier la signature de l'expéditeur lorsque vous recevez des
documents. Les participants vous envoient leurs certificats de
signature auto-signés au format X.509 DER. En retour, vous
installez les certificats des participants via la Console de communauté sous
leur profil respectif.
Pour installer le certificat, utilisez la procédure ci-dessous.
- Recevez le certificat de signature du participant au format X.509
DER.
- Installez-le via la Console de communauté sous le profil du
participant. Utilisez Administrateur du compte > Profils >
Participant de communauté et recherchez le profil du participant.
Cliquez sur Certificats, puis téléchargez le certificat en tant que
certificat de Signature numérique. N'oubliez pas
d'activer et de sauvegarder ce certificat dans l'écran de
confirmation.
- Si le certificat a été signé par une autorité de certification et que le
certificat de CA racine n'est pas déjà installé dans le profil de
l'opérateur du concentrateur, installez-le dès maintenant.
Utilisez Administrateur du compte > Profils > Certificats
pour afficher la page Certificats. Assurez-vous d'être connecté à
la Console de communauté en tant qu'Opérateur de concentrateur et
installez le certificat dans votre propre profil.
Remarque : Il est inutile d'effectuer l'étape précédente si le certificat de
CA est déjà installé.
- Activez le niveau module (niveau le plus élevé), participant ou connexion
(niveau le plus bas). Votre définition peut remplacer les autres
définitions au niveau connexion. Le résumé de la connexion vous indique
si un attribut requis est manquant.
Par exemple, pour modifier les attributs d'une connexion de
participant, cliquez sur Administrateur du compte > Connexions du
participant et sélectionnez les participants. Cliquez sur
Attributs, puis éditez l'attribut (par exemple, AS
signé).
Le Gestionnaire de documents utilise ce certificat lorsqu'il envoie
des documents signés sortants aux participants. Les mêmes certificat et
clé sont utilisés pour tous les ports et protocoles.
Si vous envisagez d'utiliser un certificat d'auto-signature,
utilisez l'une des procédures ci-dessous.
ikeyman :
- Démarrez l'utilitaire ikeyman.
- Utilisez ikeyman pour générer un certificat d'auto-signature et une
paire de clés.
- Utilisez ikeyman pour extraire dans un fichier le certificat qui
contiendra votre clé publique.
- Distribuez le certificat à vos participants. La méthode de
distribution préférée consiste à envoyer le certificat par courrier
électronique dans un fichier zip protégé par mot de passe. Vos
participants doivent vous appeler et vous demander le mot de passe
correspondant au fichier zip.
- Utilisez ikeyman pour exporter le certificat d'auto-signature et la
paire de clés privées sous forme de fichier PKCS12.
- Installez le certificat d'auto-signature et la paire de clés privées
sous forme de fichier PKCS12 à l'aide de la fonction certificat de la
Console de communauté. Utilisez Administrateur du compte >
Profils > Certificats pour afficher la page Certificats.
Assurez-vous d'être connecté à la Console de communauté en tant
qu'Opérateur de concentrateur et installez le certificat dans votre
propre profil. Marquez le certificat du type Signature
numérique. Veillez à activer et à sauvegarder le certificat dans
l'écran de confirmation.
createCert.sh :
- Utilisez le script createCert.sh pour générer un certificat
d'auto-signature au format X.509, une clé privée au format PKCS 8
et un fichier PKCS12 contenant la clé privée et le certificat.
- Installez le certificat d'auto-signature et la clé via l'option
Certificats de la Console de communauté. Utilisez Administrateur
du compte > Profils > Certificats pour afficher la page
Certificats. Assurez-vous d'être connecté à la Console de
communauté en tant qu'Opérateur de concentrateur et installez le
certificat dans votre propre profil. Marquez le certificat du type
Signature numérique. Veillez à activer et à sauvegarder le
certificat dans l'écran de confirmation.
- Distribuez le certificat à vos participants. La méthode de
distribution préférée consiste à envoyer le certificat par courrier
électronique dans un fichier zip protégé par mot de passe. Vos
participants doivent vous appeler et vous demander le mot de passe
correspondant au fichier zip.
- Activez le niveau module (niveau le plus élevé), participant ou connexion
(niveau le plus bas). Votre définition peut remplacer les autres
définitions au niveau connexion. Le résumé de la connexion vous indique
si un attribut requis est manquant. Par exemple, pour modifier les
attributs d'une connexion de participant, cliquez sur Administrateur
du compte > Connexions du participant et sélectionnez les
participants. Cliquez sur Attributs, puis éditez
l'attribut (par exemple, AS signé).
Si vous envisagez d'utiliser un certificat signé par une autorité de
certification, suivez la procédure ci-dessous.
- Démarrez l'utilitaire ikeyman.
- Utilisez ikeyman pour générer une demande de certificat et une paire de
clés pour le réceptionnaire.
- Envoyez une demande de signature de certificat (CSR, Certificate Signing
Request) à une autorité de certification.
- Lorsque vous recevez le certificat signé de l'autorité de
certification, utilisez ikeyman pour le placer dans le magasin de clés.
- Distribuez le certificat de signature de l'autorité de certification
à tous les participants.
Ce certificat est utilisé par le réceptionnaire pour déchiffrer les
fichiers chiffrés, reçus de participants. Le réceptionnaire utilise
votre clé privée pour déchiffrer les documents. Le chiffrement est
utilisé pour empêcher toute autre personne que l'expéditeur et le
destinataire prévu de visualiser les documents en transit.
Si vous envisagez d'utiliser un certificat d'auto-signature,
utilisez l'une des procédures ci-dessous.
- ikeyman :
- Démarrez l'utilitaire ikeyman.
- Utilisez ikeyman pour générer un certificat d'auto-signature et une
paire de clés.
- Utilisez ikeyman pour extraire dans un fichier le certificat qui
contiendra votre clé publique.
- Distribuez le certificat à vos participants. Ils doivent importer
le fichier dans leur produit B2B pour l'utiliser comme certificat de
chiffrement. Conseillez-leur de l'utiliser lorsqu'ils
désirent envoyer des fichiers chiffrés au Gestionnaire de communauté.
Si votre certificat est signé par une autorité de certification, fournissez
également le certificat de CA.
- Utilisez ikeyman pour exporter le certificat d'auto-signature et la
paire de clés privées sous forme de fichier PKCS12.
- Installez certificat d'auto-signature et la paire de clés privées
sous forme de fichier PKCS12 via la Console de communauté. Utilisez
Administrateur du compte > Profils > Certificats pour
afficher la page Certificats. Assurez-vous d'être connecté à la
Console de communauté en tant qu'Opérateur de concentrateur et installez
le certificat dans votre propre profil. Marquez le certificat du type
Chiffrement et veillez à activer et à sauvegarder le certificat
installé dans l'écran de confirmation.
- Activez le niveau module (niveau le plus élevé), participant ou connexion
(niveau le plus bas). Votre définition peut remplacer les autres
définitions au niveau connexion. Le résumé de la connexion vous indique
si un attribut requis est manquant.
Par exemple, pour modifier les attributs d'une connexion de
participant, cliquez sur Administrateur du compte > Connexions du
participant et sélectionnez les participants. Cliquez sur
Attributs, puis éditez l'attribut (par exemple, AS
chiffré).
- createCert.sh :
- Utilisez le script createCert.sh pour générer un certificat
d'auto-signature au format X.509, une clé privée au format PKCS 8
et un fichier PKCS12 contenant la clé privée et le certificat.
- Installez le certificat d'auto-signature et la clé via l'option
Certificats de la console. Utilisez Administrateur du compte >
Profils > Certificats pour afficher la page Certificats.
Assurez-vous d'être connecté à la Console de communauté en tant
qu'Opérateur de concentrateur et installez le certificat dans votre
propre profil. Marquez le certificat du type
Chiffrement. Veillez à activer et à sauvegarder le
certificat installé dans l'écran de confirmation.
- Distribuez le certificat à vos participants. Ils doivent
l'importer dans leur produit B2B pour l'utiliser comme certificat de
chiffrement. Conseillez-leur de l'utiliser lorsqu'ils
désirent envoyer des fichiers chiffrés au Gestionnaire de communauté.
- Activez le niveau module (niveau le plus élevé), participant ou connexion
(niveau le plus bas). Votre définition peut remplacer les autres
définitions au niveau connexion. Le résumé de la connexion vous indique
si un attribut requis est manquant.
Par exemple, pour modifier les attributs d'une connexion de
participant, cliquez sur Administrateur du compte > Connexions du
participant et sélectionnez les participants. Cliquez sur
Attributs, puis éditez l'attribut (par exemple, AS
chiffré).
Si vous envisagez d'utiliser un certificat signé par une autorité de
certification, suivez la procédure ci-dessous.
- Démarrez l'utilitaire ikeyman.
- Utilisez ikeyman pour générer une demande de certificat et une paire de
clés pour le réceptionnaire.
- Envoyez une demande de signature de certificat (CSR, Certificate Signing
Request) à une autorité de certification.
- Lorsque vous recevez le certificat signé de l'autorité de
certification, utilisez ikeyman pour le placer dans le magasin de clés.
- Distribuez le certificat de signature de l'autorité de certification
à tous les participants.
Ce certificat est utilisé lorsque le concentrateur envoie des documents
chiffrés aux participants. Business Integration Connect chiffre les
documents à l'aide des clés publiques des participants et ces derniers
déchiffrent les documents avec leurs clés privées.
- Procurez-vous le certificat de chiffrement de votre participant. Le
certificat doit être au format X.509 DER.
- Installez le certificat via l'option Certificats de la Console de
communauté. Effectuez cette tâche en étant connecté à la console en
tant qu'Opérateur de concentrateur et installez le certificat dans le
profil du participant. Utilisez Administrateur du compte >
Profils > Participant de communauté et recherchez le profil du
participant. Ensuite, cliquez sur Certificats et téléchargez
le certificat en tant que certificat de type Chiffrement.
Veillez à activer et à sauvegarder le certificat dans l'écran de
confirmation.
- Si le certificat est signé par une autorité de certification et qu'il
n'est pas installé sur le système, connectez-vous à la console en tant
qu'Opérateur de concentrateur et installez le certificat dans votre
propre profil. Utilisez Administrateur du compte > Profils >
Certificats pour afficher la page Certificats. Installez le
certificat dans votre propre profil. Un certificat de CA ne doit être
chargé qu'une seule fois.
- Activez le niveau module (niveau le plus élevé), participant ou connexion
(niveau le plus bas). Votre définition peut remplacer les autres
définitions au niveau connexion. Le résumé de la connexion vous indique
si un attribut requis est manquant.
Par exemple, pour modifier les attributs d'une connexion de
participant, cliquez sur Administrateur du compte > Connexions du
participant et sélectionnez les participants. Cliquez sur
Attributs, puis éditez l'attribut (par exemple, AS
chiffré).
