Comprensione di termini e concetti

Questa sezione fornisce una panoramica generale sui tipi di protezione, gli strumenti utilizzati per generare e caricare i certificati e i tipi di memorizzazioni di dati installati da WebSphere Business Integration Connect.

Tipi di sicurezza

Questa sezione fornisce una breve panoramica di SSL, firme digitali e codifica.

SSL

WebSphere Business Integration Connect può utilizzare SSL per proteggere i documenti in entrata e in uscita. Un documento in entrata è l'unico che viene inviato all'hub. Un documento in uscita è l'unico che viene inviato dall'hub.

SSL è un protocollo generalmente utilizzato per la gestione della sicurezza in Internet. SSL fornisce connessioni protette consentendo alle due applicazioni collegate mediante la connessione di rete di autenticare ogni altra identificazione.

Una connessione SSL comincia con un handshake. Durante questa fase, le applicazioni si scambiano certificati digitali, l'accordo sugli algoritmi di codifica da utilizzare e generano chiavi di codifica utilizzate per il promemoria della sessione.

Il protocollo SSL fornisce le seguenti funzioni di sicurezza:

Firma digitale

La firma digitale è il meccanismo per la garanzia del non-rifiuto. Non-rifiuto significa che un partecipante non può negare di aver originato e inviato un messaggio. Garantisce inoltre che un partecipante non può negare di aver ricevuto un messaggio.

Una firma digitale consente all'originatore di firmare un messaggio in modo che l'originatore viene verificato come la persona che ha effettivamente inviato il messaggio. Garantisce inoltre che il messaggio non è stato modificato da quando è stato firmato.

Codifica

WebSphere Business Integration Connect utilizza un sistema crittografico noto come codifica di chiave pubblica per proteggere la comunicazione tra i partecipanti e l'hub. La codifica di chiave pubblica utilizza una coppia di chiavi matematicamente relazionate. Un documento codificato con la prima chiave deve essere decodificato con la seconda e un documento codificato con la seconda chiave deve essere codificato con la prima.

Ogni partecipante è un sistema di chiave pubblico con una coppia di chiavi. Una delle chiavi viene conservata segretamente; questa è una chiave privata. L'altra chiave viene distribuita a chiunque la desideri; questa è una chiave pubblica. WebSphere Business Integration Connect utilizza una chiave pubblica del partecipante per decodificare un documento. La chiave privata viene utilizzata per decodificare un documento.

La utiliy ikeyman

Come descritto nelle sezioni che seguono, si utilizza IBM Key Management Tool (ikeyman) per creare i database della chiave, coppie pubbliche e private e richieste di certificato. inoltre possibile utilizzare ikeyman per creare certificati autofirmati. La ikeyman viene inclusa nella directory <WBIC_install_dir>/router/was/bin, che WebSphere Business Installation Connect crea durante l'installazione.

inoltre possibile utilizzare ikeyman per generare una richiesta per un certificato all'Autorità di certificazione (CA).

Nota: inoltre possibile utilizzare la utility createCert.sh per generare i certificati autofirmati.

Console comunità

Si utilizza la Console comunità per installare tutti i certificati client, di firma e di codifica richiesti per la memoria di WebSphere Business Integration Connect. inoltre possibile utilizzare la Console comunità per installare i certificati Root e CA (Autorità di certificazione).

Nota: Quando un certificato di un partecipante scade, è responsabilità del partecipante ottenere un nuovo certificato. La funzione Avviso della Console comunità include gli avvisi di scadenza del certificato per i certificati memorizzati in WebSphere Business Integration Connect.

Keystore e truststore

Quando si installa WebSphere Business Integration Connect, vengono installati un keystore e truststore per il Destinatario e la Console.

Per impostazione predefinita, i due keystore e i due truststore vengono creati nella directory WBIC_install_root/common/security/keystore. I nomi sono:

La password predefinita per l'accesso a tutti e quattro le memorizzazioni è WebAS. Il WebSphere Application Server integrato viene configurato per utilizzare queste quattro memorizzazioni.

Nota: Il seguente comando Unix può essere utilizzato per modificare la password del file keystore:

/WBIC_install_root/console/was/java/bin/keytool
  -storepasswd -new $NEW_PASSWORD$ -keystore $KEYSTORE_LOCATION$
  -storepass $CURRENT_PASSWORD$
  -storetype JKS
 

Se le password keystore vengono modificate, ogni configurazione di istanza WebSphere Application Server deve essere modificata allo stesso modo. Questo può essere fatto utilizzando lo script bcgChgPassword.jacl. Per l'istanza della Console, navigare nella seguente directory:

/WBIC_install_root/console/was/bin
 

ed eseguire il seguente comando:

./wsadmin.sh -f /WBIC_install_root/console/scripts/
 bcgChgPassword.jacl -conntype NONE
 

Ripetere questa procedura per le istanze WebSphere Application Server del Destinatario e del Gestore documenti.

Viene richiesta una nuova password.

Nota: Se un certificato nel truststore è scaduto, è necessario aggiungere un nuovo certificato per sostituirlo utilizzando la seguente procedura:

  1. Avviare ikeyman, se non è già in esecuzione.
  2. Aprire il file truststore.
  3. Digitare la password e fare clic su OK.
  4. Selezionare Certificati del firmatario dal menu.
  5. Fare clic su Aggiungi.
  6. Fare clic su Tipo di dati e selezionare un tipo di dati, come i dati Base64-encoded ASCII.

    Questo tipo di dati deve corrispondere ai tipi di dati del certificato di importazione.

  7. Digitare un nome di file del certificato e la posizione per il certificato digitale CA root o fare clic su Sfoglia per selezionare il nome e la posizione.
  8. Fare clic su OK.
  9. Digitare un'etichetta per il certificato di importazione.
  10. Fare clic su OK.

Copyright IBM Corp. 1997, 2004