Questa sezione fornisce una panoramica generale sui tipi di protezione, gli strumenti utilizzati per generare e caricare i certificati e i tipi di memorizzazioni di dati installati da WebSphere Business Integration Connect.
Questa sezione fornisce una breve panoramica di SSL, firme digitali e codifica.
WebSphere Business Integration Connect può utilizzare SSL per proteggere i documenti in entrata e in uscita. Un documento in entrata è l'unico che viene inviato all'hub. Un documento in uscita è l'unico che viene inviato dall'hub.
SSL è un protocollo generalmente utilizzato per la gestione della sicurezza in Internet. SSL fornisce connessioni protette consentendo alle due applicazioni collegate mediante la connessione di rete di autenticare ogni altra identificazione.
Una connessione SSL comincia con un handshake. Durante questa fase, le applicazioni si scambiano certificati digitali, l'accordo sugli algoritmi di codifica da utilizzare e generano chiavi di codifica utilizzate per il promemoria della sessione.
Il protocollo SSL fornisce le seguenti funzioni di sicurezza:
La firma digitale è il meccanismo per la garanzia del non-rifiuto. Non-rifiuto significa che un partecipante non può negare di aver originato e inviato un messaggio. Garantisce inoltre che un partecipante non può negare di aver ricevuto un messaggio.
Una firma digitale consente all'originatore di firmare un messaggio in modo che l'originatore viene verificato come la persona che ha effettivamente inviato il messaggio. Garantisce inoltre che il messaggio non è stato modificato da quando è stato firmato.
WebSphere Business Integration Connect utilizza un sistema crittografico noto come codifica di chiave pubblica per proteggere la comunicazione tra i partecipanti e l'hub. La codifica di chiave pubblica utilizza una coppia di chiavi matematicamente relazionate. Un documento codificato con la prima chiave deve essere decodificato con la seconda e un documento codificato con la seconda chiave deve essere codificato con la prima.
Ogni partecipante è un sistema di chiave pubblico con una coppia di chiavi. Una delle chiavi viene conservata segretamente; questa è una chiave privata. L'altra chiave viene distribuita a chiunque la desideri; questa è una chiave pubblica. WebSphere Business Integration Connect utilizza una chiave pubblica del partecipante per decodificare un documento. La chiave privata viene utilizzata per decodificare un documento.
Come descritto nelle sezioni che seguono, si utilizza IBM Key Management Tool (ikeyman) per creare i database della chiave, coppie pubbliche e private e richieste di certificato. inoltre possibile utilizzare ikeyman per creare certificati autofirmati. La ikeyman viene inclusa nella directory <WBIC_install_dir>/router/was/bin, che WebSphere Business Installation Connect crea durante l'installazione.
inoltre possibile utilizzare ikeyman per generare una richiesta per un certificato all'Autorità di certificazione (CA).
Nota: inoltre possibile utilizzare la utility createCert.sh per generare i certificati autofirmati.
Si utilizza la Console comunità per installare tutti i certificati client, di firma e di codifica richiesti per la memoria di WebSphere Business Integration Connect. inoltre possibile utilizzare la Console comunità per installare i certificati Root e CA (Autorità di certificazione).
Nota: Quando un certificato di un partecipante scade, è responsabilità del partecipante ottenere un nuovo certificato. La funzione Avviso della Console comunità include gli avvisi di scadenza del certificato per i certificati memorizzati in WebSphere Business Integration Connect.
Quando si installa WebSphere Business Integration Connect, vengono installati un keystore e truststore per il Destinatario e la Console.
Per impostazione predefinita, i due keystore e i due truststore vengono creati nella directory WBIC_install_root/common/security/keystore. I nomi sono:
La password predefinita per l'accesso a tutti e quattro le memorizzazioni è WebAS. Il WebSphere Application Server integrato viene configurato per utilizzare queste quattro memorizzazioni.
Nota: Il seguente comando Unix può essere utilizzato per modificare la password del file keystore:
/WBIC_install_root/console/was/java/bin/keytool -storepasswd -new $NEW_PASSWORD$ -keystore $KEYSTORE_LOCATION$ -storepass $CURRENT_PASSWORD$ -storetype JKS
Se le password keystore vengono modificate, ogni configurazione di istanza WebSphere Application Server deve essere modificata allo stesso modo. Questo può essere fatto utilizzando lo script bcgChgPassword.jacl. Per l'istanza della Console, navigare nella seguente directory:
/WBIC_install_root/console/was/bin
ed eseguire il seguente comando:
./wsadmin.sh -f /WBIC_install_root/console/scripts/ bcgChgPassword.jacl -conntype NONE
Ripetere questa procedura per le istanze WebSphere Application Server del Destinatario e del Gestore documenti.
Viene richiesta una nuova password.
Nota: Se un certificato nel truststore è scaduto, è necessario aggiungere un nuovo certificato per sostituirlo utilizzando la seguente procedura:
Questo tipo di dati deve corrispondere ai tipi di dati del certificato di importazione.