创建和安装证书

下面的章节描述了如何创建和安装您希望与 WebSphere Business Integration Connect 一起使用的证书。

入站 SSL 证书

如果您的社区不使用 SSL,则您或您的参与者不需要入站或出站 SSL 证书。

服务器认证

当 WebSphere Application Server 接收到来自参与者通过 SSL 发送的连接请求时,它使用 SSL 证书。接收器提供该证书来将中心标识到参与者。该服务器证书可以自签名,也可以由 CA 签名。在大多数情况下,您可以使用 CA 证书以提高安全性。在测试环境中,可以使用自签名的证书。使用 ikeyman 来生成证书和密钥对。请参考可从 IBM 获取的文档以获取有关使用 ikeyman 的更多信息。

在您生成证书和密钥对之后,请将该证书用于所有参与者的入站 SSL 通信。如果有多个接收器或控制台,则请将获得的密钥库复制到每个实例。如果证书是自签名的,则将该证书提供给参与者。要获取该证书,请使用 ikeyman 将公共证书抽取到某个文件。

如果您将使用自签名的服务器证书,则请使用下列某个步骤。

如果您打算使用由 CA 签名的证书,则请使用下列步骤。

  1. 启动 ikeyman 实用程序,该实用程序位于 /WBIC_install_root/router/was/bin 目录。
  2. 使用 ikeyman 生成接收器的证书请求和密钥对。
  3. 将证书签名请求(CSR)提交到 CA。
  4. 当从 CA 接收到已签名证书时,使用 ikeyman 将已签名证书放入密钥库。
  5. 将 CA 证书分发给所有参与者。

客户机认证

对于客户机认证,请使用下列步骤:

  1. 获取参与者的证书。
  2. 使用 ikeyman 将证书安装进信任密钥库。
  3. 将相关的 CA 放入 CA 目录或相关的密钥库。

注意: 当向中心社区添加多个参与者时,可以使用 ikeyman 将其证书添加到信任密钥库。如果参与者离开社区,则可以使用 ikeyman 将该参与者的证书从信任密钥库中除去。

安装证书之后,请通过运行实用程序脚本 bcgClientAuth.jacl 来配置 WebSphere Application Server,以使用客户机认证。

要使这些更改生效,您必须启动 WebSphere Application Server 接收器。

还有另一项功能可与 SSL 客户机认证一起使用。该功能是通过社区控制台启用的。对于 HTTPS,WebSphere Business Integration Connect 根据入站文档中的企业标识来检查证书。要使用该功能,请创建参与者概要文件,导入客户机证书,然后将其标记为 SSL。在“参与者网关”屏幕上选择验证客户机 SSL 证书选项。

出站 SSL 证书

如果您的社区不使用 SSL,则不需要入站或出站 SSL 证书。

服务器认证

当使用 SSL 将出站文档发送给参与者时,WebSphere Business Integration Connect 请求来自参与者的服务器端证书。如果参与者的证书是自签名的,则请使用社区控制台将其导入到中心操作者的概要文件中,并将其标记为证书。如果证书是 CA 签名的,则只需将 CA 证书导入社区控制台,然后将其标记为证书。

注意: 同一个 CA 证书可用于多个参与者。该证书必须是 X.509 DER 格式的。

客户机认证

如果需要 SSL 客户机认证,则反过来参与者将请求来自中心的证书。请使用社区控制台将您的证书导入 WebSphere Business Integration Connect。可以使用 ikeyman 或 createCert.sh 脚本生成证书。如果证书是自签名的,则必须将其提供给参与者。如果它是 CA 签名的证书,则必须将 CA 根证书提供给参与者,以便他们可以将该证书添加到其可信的证书。

如果您将使用自签名证书,则请使用下列某个步骤。

如果您打算使用由 CA 签名的证书,请使用下列步骤:

  1. 使用 ikeyman 生成接收器的证书请求和密钥对。
  2. 将证书签名请求(CSR)提交到 CA。
  3. 当从 CA 接收到已签名证书时,使用 ikeyman 将已签名证书放入密钥库。
  4. 将签名的 CA 证书分发给所有参与者。

添加证书撤销列表(CRL)

Business Integration Connect 包括了证书撤销列表(CRL)功能。CRL 是由认证中心(CA)颁发的,它标识了拥有已撤销证书的参与者,这些证书是在既定的截止日期前撤销的。拥有已撤销证书的参与者将被拒绝访问 Business Integration Connect。

CRL 中每个已撤销证书是通过其证书序列号标识的。“文档管理器”每隔 60 秒扫描 CRL,如果某个证书包含在 CRL 列表中,则拒绝该证书。

CRL 存储在下列位置:/<shared data directory>/security/crl。Business Integration Connect 使用 bcg.properties 文件中的设置 bcg.http.CRLDir 来标识 CRL 目录的位置。

创建包含已撤销证书的 .crl 文件,并将其放入 CRL 目录。

例如,在 bcg.properties 文件中,您必须使用下列设置:

bcg.http.CRLDir=/<shared data directory>/security/crl

入站签名证书

当您接收到文档时,文档管理器使用参与者签名的证书来验证发送者的签名。参与者将 X.509 DER 格式的自签名签名证书发送给您。接下来,您通过社区控制台将参与者的证书安装在相应参与者的概要文件下。

要安装证书,请使用下列过程。

  1. 接收 X.509 DER 格式的参与者签名证书。
  2. 通过社区控制台将证书安装在参与者的概要文件下。使用帐户管理 > 概要文件> 社区参与者,然后搜索参与者的概要文件。单击证书,然后以数字签名证书类型上载证书。别忘记在确认屏幕上启用并保存该证书。
  3. 如果证书是由 CA 签名的,但 CA 根证书尚未安装在中心操作者的概要文件中,则现在就安装它。使用帐户管理 > 概要文件 > 证书来显示“证书”页面。确保以中心操作者身份登录进社区控制台,然后将证书安装在您自己的概要文件中。

    注意: 如果 CA 证书已经安装,则无须执行上述步骤。

  4. 在包(最高级别)、参与者或连接级别(最低级别)上启用。您的设置可以覆盖连接级别上的其它设置。如果缺失任何必需的属性,则连接摘要会通知您。

    例如,要修改参与者连接的属性,请单击帐户管理 > 参与者连接,然后选择参与者。单击属性,然后编辑属性(例如 AS 签名的)。

出站签名证书

当文档管理器向参与者发送出站、签名文档时,它使用该证书。相同的证书和密钥用于所有端口和协议。

如果您将使用自签名证书,则请使用下列某个步骤。

ikeyman

  1. 启动 ikeyman 实用程序。
  2. 使用 ikeyman 生成自签名证书和密钥对。
  3. 使用 ikeyman 将包含公用密钥的证书抽取到文件。
  4. 将证书分发给参与者。首选的分发方法是通过电子邮件以受密码保护的 zip 文件形式发送证书。参与者必须向您致电,索取 zip 文件形式的密码。
  5. 使用 ikeyman 导出 PKCS12 文件格式的自签名证书以及专用密钥对。
  6. 通过社区控制台的“证书”功能部件来安装 PKCS12 文件格式的自签名证书和专用密钥对。使用帐户管理 > 概要文件 > 证书来显示“证书”页面。确保以中心操作者身份登录进社区控制台,然后将证书安装在您自己的概要文件中。将证书标记为数字签名类型。请务必在确认屏幕上启用并保存该证书。

createCert.sh

  1. 使用 createCert.sh 脚本来生成 X.509 格式的自签名证书、PKCS 8 格式的专用密钥和 PKCS12 文件(该文件包含了专用密钥和证书)。
  2. 通过社区控制台的“证书”功能安装自签名证书和密钥。使用帐户管理 > 概要文件 > 证书来显示“证书”页面。确保以中心操作者身份登录进社区控制台,然后将证书安装在您自己的概要文件中。将证书标记为数字签名类型。确保在确认屏幕上启用并保存该证书。
  3. 将证书分发给参与者。首选的分发方法是通过电子邮件以受密码保护的 zip 文件形式发送证书。参与者必须向您致电,索取 zip 文件形式的密码。
  4. 在包(最高级别)、参与者或连接级别(最低级别)上启用。您的设置可以覆盖连接级别上的其它设置。如果缺失任何必需的属性,则连接摘要会通知您。 例如,要修改参与者连接的属性,请单击帐户管理 > 参与者连接,然后选择参与者。单击属性,然后编辑属性(例如 AS 签名的)。

如果您打算使用由 CA 签名的证书,请使用下列步骤:

  1. 启动 ikeyman 实用程序。
  2. 使用 ikeyman 生成接收器的证书请求和密钥对。
  3. 将证书签名请求(CSR)提交到 CA。
  4. 当从 CA 接收到已签名证书时,使用 ikeyman 将已签名证书放入密钥库。
  5. 将签名的 CA 证书分发给所有参与者。

入站加密证书

接收器使用该证书来对从参与者接收到的加密文件进行解密。接收器使用您的专用密钥来解密文档。加密用于防止发送者和既定接收人之外的任何人在传输过程中查看文档。

如果您将使用自签名证书,则请使用下列某个步骤。

如果您打算使用由 CA 签名的证书,请使用下列步骤:

  1. 启动 ikeyman 实用程序。
  2. 使用 ikeyman 生成接收器的证书请求和密钥对。
  3. 将证书签名请求(CSR)提交到 CA。
  4. 当从 CA 接收到已签名证书时,使用 ikeyman 将已签名证书放入密钥库。
  5. 将签名的 CA 证书分发给所有参与者。

出站加密证书

当中心向参与者发送经过加密的文档时,它使用出站加密证书。Business Integration Connect 利用参与者的公用密钥对文档进行加密,而参与者用其专用密钥对文档进行解密。

  1. 获取参与者的加密证书。该证书必须是 X.509 DER 格式的。
  2. 通过社区控制台的“证书”功能安装证书。以中心操作者身份登录进控制台以执行该任务,并且将证书安装进参与者概要文件。使用帐户管理 > 概要文件 > 社区参与者,然后搜索参与者的概要文件。然后单击证书并以加密类型上载证书。确保在确认屏幕上启用并保存该证书。
  3. 如果证书是由 CA 签名的,但是未将 CA 的证书安装在系统中,则请以中心操作者身份登录进控制台,然后将该证书安装在您自己的概要文件中。使用帐户管理 > 概要文件 > 证书来显示“证书”页面。将证书安装进您自己的概要文件中。您只需装入一次 CA 证书。
  4. 在包(最高级别)、参与者或连接级别(最低级别)上启用。您的设置可以覆盖连接级别上的其它设置。如果缺失任何必需的属性,则连接摘要会通知您。

    例如,要修改参与者连接的属性,请单击帐户管理 > 参与者连接,然后选择参与者。单击属性,然后编辑属性(例如 AS 加密的)。

Copyright IBM Corp. 1997, 2004