Le seguenti sezioni descrivono in che modo creare e installare i
certificati che si desidera utilizzare con WebSphere Business Integration
Connect.
Se la comunità non utilizza SSL, né l'utente, né i partecipanti hanno
bisogno dei certificati SSL in entrata e in uscita.
WebSphere Application Server utilizza il certificato SSL quando riceve le
richieste di connessione dai partecipanti mediante SSL. il
certificato che il Destinatario presenta per identificare l'hub nel
partecipante. Questo certificato del server può essere autofirmato, o
può essere firmato da un CA. Nella maggior parte dei casi si utilizza
un certificato CA per aumentare la sicurezza. possibile utilizzare un
certificato autofirmato in un ambiente di test. Utilizzare ikeyman per
generare un certificato e una coppia di chiavi. Fare riferimento alla
documentazione disponibile dall'IBM per ulteriori informazioni
sull'utilizzo del ikeyman.
Dopo aver generato il certificato e una coppia di chiavi, utilizzare il
certificato per il traffico in entrata SSL per tutti i partecipanti. Se
si dispone di Destinatari e Console multiple, copiare il keystore che ne
risulta in ogni istanza. Se il certificato è autofirmato, fornire
questo certificato ai partecipanti. Per ottenere questo certificato,
utilizzare ikeyman per estrarre il certificato pubblico in un file.
Se si utilizzano i certificati del server autofirmato, utilizzare una delle
seguenti procedure.
- ikeyman:
- Avviare la utility ikeyman, che viene posizionata in
/WBIC_install_root/router/was/bin. Se questa è la prima volta che si
utilizza ikeyman, eliminare il certificato "fittizio" che si trova nel
keystore.
- Utilizzare ikeyman per generare un certificato autofirmato e una coppia di
chiavi per il keystore di Destinatario e Console.
- Utilizzare ikeyman per estrarre in un file il certificato che contiene la
chiave pubblica.
- Installare il file pkcs12 nel keystore di Destinatario e Console per il
quale è stato creato.
- Distribuire il certificato ai partecipanti. Il metodo preferito per
la distribuzione è l'invio del certificato in un file zip che è una
password protetta, per e-mail. I partecipanti devono chiamare e
richiedere la password per il file zip.
- createCert.sh:
- Utilizzare lo script createCert.sh, presente nella directory
/WBIC_install_root/router/was/bin, per generare un certificato autofirmato nel
formato X.509, una chiave privata nel formato PKCS 8 e un file PKCS12
che contiene sia la chiave privata che il certificato.
- Installare il file pkcs12 nel keystore di Destinatario e Console per il
quale è stato creato.
- Distribuire il certificato ai partecipanti. Il metodo preferito per
la distribuzione è l'invio del certificato in un file zip che è una
password protetta, per e-mail. I partecipanti devono chiamare
richiedere la password per il file zip.
Se si utilizza un certificato firmato da un CA, utilizzare la seguente
procedura.
- Avviare la utility ikeyman, che viene posizionata nella directory
/WBIC_install_root/router/was/bin.
- Utilizzare ikeyman per generare una richiesta di certificato e una coppia
di chiavi per il Destinatario.
- Inoltrare un CSR (Certificate Signing Request) a un CA.
- Quando si riceve il certificato firmato da CA, utilizzare ikeyman per
posizionare il certificato firmato nel keystore.
- Distribuire il certificato CA a tutti i partecipanti.
Per l'autenticazione client, utilizzare la seguente procedura:
- Ottenere il certificato del partecipante.
- Installare il certificato nel truststore utilizzando ikeyman.
- Posizionare il relativo CA nella directory CA o keystore relativo.
Nota: Quando si aggiungono più partecipanti alla comunità hub, è possibile
utilizzare ikeyman per aggiungere i propri certificati al truststore.
Se un partecipante lascia la comunità, è possibile utilizzare ikeyman per
rimuovere i certificati del partecipante dal truststore.
Dopo l'installazione del certificato, configurare WebSphere
Application Server per utilizzare l'autenticazione client eseguendo lo
script della utility bcgClientAuth.jacl.
- Navigare nella seguente directory:
/WBIC_install_root/receiver/was/bin
- Per attivare l'autenticazione client, chiamare lo script come
segue:
./wsadmin.sh -f
/WBIC_install_root/receiver/scripts/bcgClientAuth.jacl -conntype NONE
set
- Per disattivare l'autenticazione client, chiamare lo script come
segue:
./wsadmin.sh -f
/WBIC_install_root/receiver/scripts/bcgClientAuth.jacl -conntype NONE
clear
necessario avviare il destinatario WebSphere Application Server per
rendere effettive le modifiche.
C'è una funzione aggiuntiva che può essere utilizzata con
l'autenticazione client SSL. Questa funzione viene abilitata
mediante la Console comunità. Per HTTPS, WebSphere Business Integration
Connect verifica i certificati rispetto agli ID commerciali nei documenti in
entrata. Per utilizzare questa funzione, creare il profilo del
partecipante, importare il certificato client, e contrassegnarlo come
SSL. Selezionare l'opzione Convalida certificato SSL
client sulla schermata del gateway del partecipante.
Se la comunità non utilizza SSL, non è necessario un certificato SSL in
entrata o in uscita.
Quando SSL viene utilizzato per inviare i documenti in uscita ai
partecipanti, WebSphere Business Integration Connect richiede un certificato
di lato server dai partecipanti. Se il certificato di un partecipante è
autofirmato, utilizzare la Console comunità per importarlo nel profilo
Operatore hub e contrassegnarlo come certificato Root. Se il
il certificato è CA firmato, è necessario solo importare il certificato CA
nella Console comunità e contrassegnarlo come certificato
Root.
Nota: Lo stesso certificato CA può essere utilizzato per i partecipanti
multipli. Il certificato deve essere nel formato X.509
DER.
Se l'autenticazione client SSL è necessaria, il partecipante richiede
allora un certificato dall'hub. Utilizzare la Console comunità per
importare il certificato in WebSphere Business Integration Connect.
possibile generare il certificato utilizzando ikeyman o lo script
createCert.sh. Se il certificato è un certificato
autofirmato, deve essere fornito al partecipante. Se è un certificato
CA firmato, il certificato root CA deve essere fornito ai partecipanti in modo
che è possibile aggiungerlo ai certificati affidabili.
Se si utilizza il certificato autofirmato, utilizzare una delle seguenti
procedure.
- ikeyman:
- Avviare la utility ikeyman.
- Utilizzare ikeyman per generare un certificato autofirmato e una coppia di
chiavi.
- Utilizzare ikeyman per estrarre in un file il certificato che contiene la
chiave pubblica.
- Distribuire il certificato ai partecipanti. Il metodo preferito per
la distribuzione è l'invio del certificato in un file zip che è una
password protetta, per e-mail. I partecipanti devono chiamare e
richiedere la password per il file zip.
- Utilizzare ikeyman per esportare il certificato autofirmato e la coppia di
chiavi private nella forma di un file PKCS12.
- Installare il certificato autofirmato e la chiave mediante la Console
comunità. Utilizzare Ammin account > Profili >
Certificati per visualizzare la pagina dei Certificati.
Accertarsi di essersi registrati nella Console comunità come Operatore
hub. Installare il certificato nel proprio profilo e contrassegnarlo
come un tipo di certificato SSL.
- createCert.sh:
- Utilizzare lo script createCert.sh per generare un
certificato autofirmato nel formato X.509, una chiave privata nel
formato PKCS 8 e un file PKCS12 che contiene sia la chiave privata che il
certificato.
- Installare il certificato autofirmato e la chiave mediante la Console
comunità. Utilizzare Ammin account > Profili >
Certificati per visualizzare la pagina dei Certificati.
Accertarsi di essersi registrati nella Console comunità come Operatore
hub. Installare il certificato nel proprio profilo e contrassegnarlo
come un tipo di certificato SSL.
- Inviare il certificato autofirmato o un certificato root CA a tutti i
partecipanti in modo che possono aggiungerlo come certificato
affidabile.
Se si utilizza un certificato firmato da un CA, utilizzare la seguente
procedura:
- Utilizzare ikeyman per generare una richiesta di certificato e una coppia
di chiavi per il Destinatario.
- Inoltrare un CSR (Certificate Signing Request) a un CA.
- Quando si riceve il certificato firmato da CA, utilizzare ikeyman per
posizionare il certificato firmato nel keystore.
- Distribuire il certificato CA di firma a tutti i partecipanti.
Business Integration Connect include una funzione CRL (Certificate
Revocation List). Il CRL, emesso da un CA (Certificate Authority),
identifica i partecipanti che hanno revocato i certificati prima della data di
scadenza pianificata. I partecipanti con i certificati revocati a cui
viene negato l'accesso al Business Integration Connect.
Ogni certificato revocato viene identificato in un CRL dal numero seriale
del certificato. Il Gestore documenti scansiona il CRL ogni 60 secondi
e rifiuta un certificato se viene contenuto nell'elenco CRL.
I CRL vengono memorizzati nella seguente posizione:
/<directory di dati condivisi>/security/crl. Business
Integration Connect utilizza l'impostazione
bcg.http.CRLDir nel file
bcg.properties per identificare la posizione della directory
CRL.
Creare un file.crl che contiene i certificati revocati e
posizionarlo nella directory CRL.
Ad esempio, nel file bcg.properties, si utilizza la
seguente impostazione:
bcg.http.CRLDir=/<directory dei dati
condivisi>/security/crl.
Il Gestore documenti utilizza il certificato firmato del partecipante per
verificare la firma del mittente quando si ricevono i documenti. I
partecipanti inviano i certificati di firma autofirmati nel formato
X.509 DER. Dopo la ricezione si installano i certificati del
partecipante mediante la Console comunità nel rispettivo profilo del
partecipante.
Per installare il certificato, utilizzare la seguente procedura.
- Ricevere il certificato di firma del partecipante nel formato X.509
DER.
- Installare i certificati mediante la Console comunità nel profilo del
partecipante. Utilizzare Ammin account> Profili>
Partecipante comunità, e cercare il profilo del partecipante.
Fare clic su Certificati, e caricare il certificato come un
certificato Firma digitale. Non dimenticare di abilitare e
salvare questo certificato sulla schermata di conferma.
- Se il certificato viene firmato da un CA e il certificato CA root non
viene già installato nel profilo Operatore hub, installarlo adesso.
Utilizzare Ammin account > Profili > Certificati per
visualizzare la pagina dei Certificati. Accertarsi di essersi
registrato nella Console comunità come Operatore hub e installare il
certificato nel proprio profilo.
Nota: Non è necessario effettuare la precedente procedura se il certificato CA è
già installato.
- Abilitare il pacchetto (livello più elevato), partecipante o livello di
connessione (livello inferiore). L'impostazione ignora le altre al
livello di connessione. Il riepilogo di connessioni informa se un
attributo necessario è mancante.
Ad esempio, per alterare gli attributi di una connessione del partecipante,
fare clic suAmmin account > Connessioni partecipante e quindi
selezionare i partecipanti. Fare clic su Attributi e quindi
modificare l'attributo (ad esempio, AS firmato).
Il Gestore documenti utilizza questo certificato quando invia i documenti
firmati in uscita ai partecipanti. Lo stesso certificato e la chiave
vengono utilizzate per tutte le porte e i protocolli.
Se si utilizza un certificato autofirmato, utilizzare una delle seguenti
procedure.
ikeyman:
- Avviare la utility ikeyman.
- Utilizzare ikeyman per generare un certificato autofirmato e una coppia di
chiavi.
- Utilizzare ikeyman per estrarre in un file il certificato che contiene la
chiave pubblica.
- Distribuire il certificato ai partecipanti. Il metodo preferito per
la distribuzione è l'invio del certificato in un file zip che è una
password protetta, per e-mail. I partecipanti devono chiamare e
richiedere la password per il file zip.
- Utilizzare ikeyman per esportare il certificato autofirmato e la coppia di
chiavi private nella forma di un file PKCS12.
- Installare il certificato autofirmato e la coppia di chiavi private nella
forma di un file PKCS12 mediante la funzione del certificato della Console
comunità. Utilizzare Ammin account > Profili >
Certificati per visualizzare la pagina dei Certificati.
Accertarsi di essersi registrato nella Console comunità come Operatore hub e
installare il certificato nel proprio profilo. Contrassegnare il
certificato come tipo Firma digitale. Accertarsi di
abilitare e salvare il certificato sulla schermata di conferma.
createCert.sh:
- Utilizzare lo script createCert.sh per generare un certificato
autofirmato nel formato X.509, una chiave privata nel formato PKCS 8 e
un file PKCS12 che contiene sia la chiave privata che il certificato.
- Installare il certificato autofirmato e la chiave mediante la funzione
della Console comunità. Utilizzare Ammin account > Profili >
Certificati per visualizzare la pagina dei Certificati.
Accertarsi di essersi registrato nella Console comunità come Operatore hub e
installare il certificato nel proprio profilo. Contrassegnare il
certificato come tipo Firma digitale. Accertarsi di
abilitare e salvare il certificato sulla schermata di conferma.
- Distribuire il certificato ai partecipanti. Il metodo preferito per
la distribuzione è l'invio del certificato in un file zip che è una
password protetta, per e-mail. I partecipanti devono chiamare e
richiedere la password per il file zip.
- Abilitare il pacchetto (livello più elevato), partecipante o livello di
connessione (livello inferiore). L'impostazione ignora le altre al
livello di connessione. Il riepilogo di connessioni informa se un
attributo necessario è mancante. Ad esempio, per alterare gli attributi
di una connessione del partecipante, fare clic suAmmin account >
Connessioni partecipante e quindi selezionare i partecipanti.
Fare clic su Attributi e quindi modificare l'attributo (ad
esempio, AS firmato).
Se si utilizza un certificato firmato da un CA, utilizzare la seguente
procedura:
- Avviare la utility ikeyman.
- Utilizzare ikeyman per generare una richiesta di certificato e una coppia
di chiavi per il Destinatario.
- Inoltrare un CSR (Certificate Signing Request) a un CA.
- Quando si riceve il certificato firmato da CA, utilizzare ikeyman per
posizionare il certificato firmato nel keystore.
- Distribuire il certificato CA di firma a tutti i partecipanti.
Il certificato viene utilizzato dal Destinatario per decodificare i file
codificati ricevuti dai partecipanti. Il Destinatario utilizza la
chiave provata per decodificare i documenti. La codifica viene
utilizzata per impedire a tutti tranne che al mittente e al destinatario
previsto di visualizzare i documenti in transito.
Se si utilizza il certificato autofirmato, utilizzare una delle seguenti
procedure.
- ikeyman:
- Avviare la utility ikeyman.
- Utilizzare ikeyman per generare un certificato autofirmato e una coppia di
chiavi.
- Utilizzare ikeyman per estrarre in un file il certificato che contiene la
chiave pubblica.
- Distribuire il certificato ai partecipanti. Questi sono necessari
per importare il file nel prodotto B2B per uso come certificato di
codifica. Avvisarli di utilizzarlo quando desiderano per inviare i file
codificati al Gestore comunità. Se il certificato è un CA firmato,
fornire anche il certificato CA.
- Utilizzare ikeyman per esportare il certificato autofirmato e la coppia di
chiavi private nella forma di un file PKCS12.
- Installare il certificato autofirmato e la coppia di chiavi private nella
forma di un file PKCS12 mediante la funzione del certificato della Console
comunità. Utilizzare Ammin account > Profili >
Certificati per visualizzare la pagina dei Certificati.
Accertarsi di essersi registrato nella Console comunità come Operatore hub e
installare il certificato nel proprio profilo. Contrassegnare il
certificato come un tipo di Codifica e accertarsi di abilitare e
salvare il certificato installato sulla schermata di conferma.
- Abilitare il pacchetto (livello più elevato), partecipante o livello di
connessione (livello inferiore). L'impostazione ignora le altre al
livello di connessione. Il riepilogo di connessioni informa se un
attributo necessario è mancante.
Ad esempio, per alterare gli attributi di una connessione del partecipante,
fare clic suAmmin account > Connessioni partecipante e quindi
selezionare i partecipanti. Fare clic su Attributi e quindi
modificare l'attributo (ad esempio, AS codificato).
- createCert.sh:
- Utilizzare lo script createCert.sh per generare un certificato
autofirmato nel formato X.509, una chiave privata nel formato PKCS 8 e
un file PKCS12 che contiene sia la chiave privata che il certificato.
- Installare il certificato autofirmato e la chiave mediante la funzione del
certificato della console. Utilizzare Ammin account > Profili
> Certificati per visualizzare la pagina dei Certificati.
Accertarsi di essersi registrato nella Console comunità come Operatore hub e
installare il certificato nel proprio profilo. Contrassegnare il
certificato come un tipo di Codifica. Accertarsi di
abilitare e salvare il certificato installato sulla schermata di
conferma.
- Distribuire il certificato ai partecipanti. Questi sono necessari
per importare il file nel prodotto B2B per uso come certificato di
codifica. Avvisarli di utilizzarlo quando desiderano per inviare i file
codificati al Gestore comunità.
- Abilitare il pacchetto (livello più elevato), partecipante o livello di
connessione (livello inferiore). L'impostazione ignora le altre al
livello di connessione. Il riepilogo di connessioni informa se un
attributo necessario è mancante.
Ad esempio, per alterare gli attributi di una connessione del partecipante,
fare clic suAmmin account > Connessioni partecipante e quindi
selezionare i partecipanti. Fare clic su Attributi e quindi
modificare l'attributo (ad esempio, AS codificato).
Se si utilizza un certificato firmato da un CA, utilizzare la seguente
procedura:
- Avviare la utility ikeyman.
- Utilizzare ikeyman per generare una richiesta di certificato e una coppia
di chiavi per il Destinatario.
- Inoltrare un CSR (Certificate Signing Request) a un CA.
- Quando si riceve il certificato firmato da CA, utilizzare ikeyman per
posizionare il certificato firmato nel keystore.
- Distribuire il certificato CA di firma a tutti i partecipanti.
Il certificato di codifica in uscita viene utilizzato quando l'hub
invia i documenti ai partecipanti. Business Integration Connect
codifica i documenti con le chiavi pubbliche dei partecipanti e i partecipanti
codificano i documenti con le proprie chiavi private.
- Ottenere il certificato di codifica del partecipante. Il
certificato deve essere nel formato X.509 DER.
- Installare il certificato mediante la funzione certificati della Console
comunità. Si effettua questa attività quando nella console si è
registrati come Operatore hub e installare il certificato nel profilo
partecipante. Utilizzare Ammin account> Profili>
Partecipante comunità, e cercare il profilo del partecipante.
Quindi fare clic su Certificati e caricare il certificato come un
tipo di certificato di Codifica. Accertarsi di abilitare e
salvare questo certificato sulla schermata di conferma.
- Se il certificato viene firmato da un CA e tale certificato CA non è
installato nel sistema, accedere alla console come Operatore hub e installare
questo certificato nel proprio profilo. Utilizzare Ammin account
> Profili > Certificati per visualizzare la pagina dei
Certificati. Installare il certificato nel proprio profilo.
necessario solo caricare un certificato CA alla volta.
- Abilitare il pacchetto (livello più elevato), partecipante o livello di
connessione (livello inferiore). L'impostazione ignora le altre al
livello di connessione. Il riepilogo di connessioni informa se un
attributo necessario è mancante.
Ad esempio, per alterare gli attributi di una connessione del partecipante,
fare clic suAmmin account > Connessioni partecipante e quindi
selezionare i partecipanti. Fare clic su Attributi e quindi
modificare l'attributo (ad esempio, AS codificato).
