Creazione e installazione dei certificati

Le seguenti sezioni descrivono in che modo creare e installare i certificati che si desidera utilizzare con WebSphere Business Integration Connect.

Certificati SSL in entrata

Se la comunità non utilizza SSL, né l'utente, né i partecipanti hanno bisogno dei certificati SSL in entrata e in uscita.

Autenticazione del server

WebSphere Application Server utilizza il certificato SSL quando riceve le richieste di connessione dai partecipanti mediante SSL. il certificato che il Destinatario presenta per identificare l'hub nel partecipante. Questo certificato del server può essere autofirmato, o può essere firmato da un CA. Nella maggior parte dei casi si utilizza un certificato CA per aumentare la sicurezza. possibile utilizzare un certificato autofirmato in un ambiente di test. Utilizzare ikeyman per generare un certificato e una coppia di chiavi. Fare riferimento alla documentazione disponibile dall'IBM per ulteriori informazioni sull'utilizzo del ikeyman.

Dopo aver generato il certificato e una coppia di chiavi, utilizzare il certificato per il traffico in entrata SSL per tutti i partecipanti. Se si dispone di Destinatari e Console multiple, copiare il keystore che ne risulta in ogni istanza. Se il certificato è autofirmato, fornire questo certificato ai partecipanti. Per ottenere questo certificato, utilizzare ikeyman per estrarre il certificato pubblico in un file.

Se si utilizzano i certificati del server autofirmato, utilizzare una delle seguenti procedure.

Se si utilizza un certificato firmato da un CA, utilizzare la seguente procedura.

  1. Avviare la utility ikeyman, che viene posizionata nella directory /WBIC_install_root/router/was/bin.
  2. Utilizzare ikeyman per generare una richiesta di certificato e una coppia di chiavi per il Destinatario.
  3. Inoltrare un CSR (Certificate Signing Request) a un CA.
  4. Quando si riceve il certificato firmato da CA, utilizzare ikeyman per posizionare il certificato firmato nel keystore.
  5. Distribuire il certificato CA a tutti i partecipanti.

Autenticazione client

Per l'autenticazione client, utilizzare la seguente procedura:

  1. Ottenere il certificato del partecipante.
  2. Installare il certificato nel truststore utilizzando ikeyman.
  3. Posizionare il relativo CA nella directory CA o keystore relativo.

Nota: Quando si aggiungono più partecipanti alla comunità hub, è possibile utilizzare ikeyman per aggiungere i propri certificati al truststore. Se un partecipante lascia la comunità, è possibile utilizzare ikeyman per rimuovere i certificati del partecipante dal truststore.

Dopo l'installazione del certificato, configurare WebSphere Application Server per utilizzare l'autenticazione client eseguendo lo script della utility bcgClientAuth.jacl.

necessario avviare il destinatario WebSphere Application Server per rendere effettive le modifiche.

C'è una funzione aggiuntiva che può essere utilizzata con l'autenticazione client SSL. Questa funzione viene abilitata mediante la Console comunità. Per HTTPS, WebSphere Business Integration Connect verifica i certificati rispetto agli ID commerciali nei documenti in entrata. Per utilizzare questa funzione, creare il profilo del partecipante, importare il certificato client, e contrassegnarlo come SSL. Selezionare l'opzione Convalida certificato SSL client sulla schermata del gateway del partecipante.

Certificato SSL in uscita

Se la comunità non utilizza SSL, non è necessario un certificato SSL in entrata o in uscita.

Autenticazione del server

Quando SSL viene utilizzato per inviare i documenti in uscita ai partecipanti, WebSphere Business Integration Connect richiede un certificato di lato server dai partecipanti. Se il certificato di un partecipante è autofirmato, utilizzare la Console comunità per importarlo nel profilo Operatore hub e contrassegnarlo come certificato Root. Se il il certificato è CA firmato, è necessario solo importare il certificato CA nella Console comunità e contrassegnarlo come certificato Root.

Nota: Lo stesso certificato CA può essere utilizzato per i partecipanti multipli. Il certificato deve essere nel formato X.509 DER.

Autenticazione client

Se l'autenticazione client SSL è necessaria, il partecipante richiede allora un certificato dall'hub. Utilizzare la Console comunità per importare il certificato in WebSphere Business Integration Connect. possibile generare il certificato utilizzando ikeyman o lo script createCert.sh. Se il certificato è un certificato autofirmato, deve essere fornito al partecipante. Se è un certificato CA firmato, il certificato root CA deve essere fornito ai partecipanti in modo che è possibile aggiungerlo ai certificati affidabili.

Se si utilizza il certificato autofirmato, utilizzare una delle seguenti procedure.

Se si utilizza un certificato firmato da un CA, utilizzare la seguente procedura:

  1. Utilizzare ikeyman per generare una richiesta di certificato e una coppia di chiavi per il Destinatario.
  2. Inoltrare un CSR (Certificate Signing Request) a un CA.
  3. Quando si riceve il certificato firmato da CA, utilizzare ikeyman per posizionare il certificato firmato nel keystore.
  4. Distribuire il certificato CA di firma a tutti i partecipanti.

Aggiunta di un CRL (Certificate Revocation List)

Business Integration Connect include una funzione CRL (Certificate Revocation List). Il CRL, emesso da un CA (Certificate Authority), identifica i partecipanti che hanno revocato i certificati prima della data di scadenza pianificata. I partecipanti con i certificati revocati a cui viene negato l'accesso al Business Integration Connect.

Ogni certificato revocato viene identificato in un CRL dal numero seriale del certificato. Il Gestore documenti scansiona il CRL ogni 60 secondi e rifiuta un certificato se viene contenuto nell'elenco CRL.

I CRL vengono memorizzati nella seguente posizione: /<directory di dati condivisi>/security/crl. Business Integration Connect utilizza l'impostazione bcg.http.CRLDir nel file bcg.properties per identificare la posizione della directory CRL.

Creare un file.crl che contiene i certificati revocati e posizionarlo nella directory CRL.

Ad esempio, nel file bcg.properties, si utilizza la seguente impostazione:

bcg.http.CRLDir=/<directory dei dati condivisi>/security/crl.

Certificato di firma in entrata

Il Gestore documenti utilizza il certificato firmato del partecipante per verificare la firma del mittente quando si ricevono i documenti. I partecipanti inviano i certificati di firma autofirmati nel formato X.509 DER. Dopo la ricezione si installano i certificati del partecipante mediante la Console comunità nel rispettivo profilo del partecipante.

Per installare il certificato, utilizzare la seguente procedura.

  1. Ricevere il certificato di firma del partecipante nel formato X.509 DER.
  2. Installare i certificati mediante la Console comunità nel profilo del partecipante. Utilizzare Ammin account> Profili> Partecipante comunità, e cercare il profilo del partecipante. Fare clic su Certificati, e caricare il certificato come un certificato Firma digitale. Non dimenticare di abilitare e salvare questo certificato sulla schermata di conferma.
  3. Se il certificato viene firmato da un CA e il certificato CA root non viene già installato nel profilo Operatore hub, installarlo adesso. Utilizzare Ammin account > Profili > Certificati per visualizzare la pagina dei Certificati. Accertarsi di essersi registrato nella Console comunità come Operatore hub e installare il certificato nel proprio profilo.

    Nota: Non è necessario effettuare la precedente procedura se il certificato CA è già installato.

  4. Abilitare il pacchetto (livello più elevato), partecipante o livello di connessione (livello inferiore). L'impostazione ignora le altre al livello di connessione. Il riepilogo di connessioni informa se un attributo necessario è mancante.

    Ad esempio, per alterare gli attributi di una connessione del partecipante, fare clic suAmmin account > Connessioni partecipante e quindi selezionare i partecipanti. Fare clic su Attributi e quindi modificare l'attributo (ad esempio, AS firmato).

Certificato di firma in uscita

Il Gestore documenti utilizza questo certificato quando invia i documenti firmati in uscita ai partecipanti. Lo stesso certificato e la chiave vengono utilizzate per tutte le porte e i protocolli.

Se si utilizza un certificato autofirmato, utilizzare una delle seguenti procedure.

ikeyman:

  1. Avviare la utility ikeyman.
  2. Utilizzare ikeyman per generare un certificato autofirmato e una coppia di chiavi.
  3. Utilizzare ikeyman per estrarre in un file il certificato che contiene la chiave pubblica.
  4. Distribuire il certificato ai partecipanti. Il metodo preferito per la distribuzione è l'invio del certificato in un file zip che è una password protetta, per e-mail. I partecipanti devono chiamare e richiedere la password per il file zip.
  5. Utilizzare ikeyman per esportare il certificato autofirmato e la coppia di chiavi private nella forma di un file PKCS12.
  6. Installare il certificato autofirmato e la coppia di chiavi private nella forma di un file PKCS12 mediante la funzione del certificato della Console comunità. Utilizzare Ammin account > Profili > Certificati per visualizzare la pagina dei Certificati. Accertarsi di essersi registrato nella Console comunità come Operatore hub e installare il certificato nel proprio profilo. Contrassegnare il certificato come tipo Firma digitale. Accertarsi di abilitare e salvare il certificato sulla schermata di conferma.

createCert.sh:

  1. Utilizzare lo script createCert.sh per generare un certificato autofirmato nel formato X.509, una chiave privata nel formato PKCS 8 e un file PKCS12 che contiene sia la chiave privata che il certificato.
  2. Installare il certificato autofirmato e la chiave mediante la funzione della Console comunità. Utilizzare Ammin account > Profili > Certificati per visualizzare la pagina dei Certificati. Accertarsi di essersi registrato nella Console comunità come Operatore hub e installare il certificato nel proprio profilo. Contrassegnare il certificato come tipo Firma digitale. Accertarsi di abilitare e salvare il certificato sulla schermata di conferma.
  3. Distribuire il certificato ai partecipanti. Il metodo preferito per la distribuzione è l'invio del certificato in un file zip che è una password protetta, per e-mail. I partecipanti devono chiamare e richiedere la password per il file zip.
  4. Abilitare il pacchetto (livello più elevato), partecipante o livello di connessione (livello inferiore). L'impostazione ignora le altre al livello di connessione. Il riepilogo di connessioni informa se un attributo necessario è mancante. Ad esempio, per alterare gli attributi di una connessione del partecipante, fare clic suAmmin account > Connessioni partecipante e quindi selezionare i partecipanti. Fare clic su Attributi e quindi modificare l'attributo (ad esempio, AS firmato).

Se si utilizza un certificato firmato da un CA, utilizzare la seguente procedura:

  1. Avviare la utility ikeyman.
  2. Utilizzare ikeyman per generare una richiesta di certificato e una coppia di chiavi per il Destinatario.
  3. Inoltrare un CSR (Certificate Signing Request) a un CA.
  4. Quando si riceve il certificato firmato da CA, utilizzare ikeyman per posizionare il certificato firmato nel keystore.
  5. Distribuire il certificato CA di firma a tutti i partecipanti.

Certificato di codifica in entrata

Il certificato viene utilizzato dal Destinatario per decodificare i file codificati ricevuti dai partecipanti. Il Destinatario utilizza la chiave provata per decodificare i documenti. La codifica viene utilizzata per impedire a tutti tranne che al mittente e al destinatario previsto di visualizzare i documenti in transito.

Se si utilizza il certificato autofirmato, utilizzare una delle seguenti procedure.

Se si utilizza un certificato firmato da un CA, utilizzare la seguente procedura:

  1. Avviare la utility ikeyman.
  2. Utilizzare ikeyman per generare una richiesta di certificato e una coppia di chiavi per il Destinatario.
  3. Inoltrare un CSR (Certificate Signing Request) a un CA.
  4. Quando si riceve il certificato firmato da CA, utilizzare ikeyman per posizionare il certificato firmato nel keystore.
  5. Distribuire il certificato CA di firma a tutti i partecipanti.

Certificato di codifica in uscita

Il certificato di codifica in uscita viene utilizzato quando l'hub invia i documenti ai partecipanti. Business Integration Connect codifica i documenti con le chiavi pubbliche dei partecipanti e i partecipanti codificano i documenti con le proprie chiavi private.

  1. Ottenere il certificato di codifica del partecipante. Il certificato deve essere nel formato X.509 DER.
  2. Installare il certificato mediante la funzione certificati della Console comunità. Si effettua questa attività quando nella console si è registrati come Operatore hub e installare il certificato nel profilo partecipante. Utilizzare Ammin account> Profili> Partecipante comunità, e cercare il profilo del partecipante. Quindi fare clic su Certificati e caricare il certificato come un tipo di certificato di Codifica. Accertarsi di abilitare e salvare questo certificato sulla schermata di conferma.
  3. Se il certificato viene firmato da un CA e tale certificato CA non è installato nel sistema, accedere alla console come Operatore hub e installare questo certificato nel proprio profilo. Utilizzare Ammin account > Profili > Certificati per visualizzare la pagina dei Certificati. Installare il certificato nel proprio profilo. necessario solo caricare un certificato CA alla volta.
  4. Abilitare il pacchetto (livello più elevato), partecipante o livello di connessione (livello inferiore). L'impostazione ignora le altre al livello di connessione. Il riepilogo di connessioni informa se un attributo necessario è mancante.

    Ad esempio, per alterare gli attributi di una connessione del partecipante, fare clic suAmmin account > Connessioni partecipante e quindi selezionare i partecipanti. Fare clic su Attributi e quindi modificare l'attributo (ad esempio, AS codificato).

Copyright IBM Corp. 1997, 2004