本节概述了安全性类型、用于生成和上载证书的工具,以及 WebSphere Business Integration Connect 安装的数据存储的类型。
本节简要概述了 SSL、数字签名和加密。
WebSphere Business Integration Connect 可以使用 SSL 来保护入站和出站文档。入站文档是发送到中心的文档。出站文档是从中心发送的文档。
SSL 是一种常在因特网上管理安全性的常用协议。通过使得由网络连接的两个应用程序能够验证相互的身份,SSL 提供了安全的连接。
SSL 连接从“握手”开始。在该阶段,应用程序交换数字证书、就要使用的加密算法达成一致,并且生成用于余下会话的加密密钥。
SSL 协议提供了下列安全性功能:
数字签名是一种用于确保不可抵赖性的机制。不可抵赖性意味着参与者不能否认自己已生成且发送过某个消息。它还能确保参与者无法否认自己已接收到某个消息。
数字签名允许发起方对消息进行签名,以便确保发起方的确是发送消息的人。它还确保消息自签名后不会被修改。
WebSphere Business Integration Connect 使用加密系统(即所谓的公用密钥加密)来确保参与者和中心之间通信的安全。公用密钥加密使用一对在算法上相关的密钥。由第一个密钥加密的文档必须用第二个密钥进行解密,而由第二个密钥加密的文档必须用第一个密钥进行解密。
公用密钥系统中的每个参与者都有一对密钥。其中一个密钥是秘密保存的;即所谓的专用密钥。而另一个密钥则分发给希望得到它的任何人;即所谓的公用密钥。WebSphere Business Integration Connect 使用某个参与者的公用密钥来加密文档。专用密钥用于解密文档。
如下面的章节所描述的,您可以使用 IBM 密钥管理工具(ikeyman)来创建密钥数据库、公用和专用密钥对及证书请求。您还可以使用 ikeyman 来创建自签名证书。ikeyman 实用程序包含在 <WBIC_install_dir>/router/was/bin 目录中,该目录是在 WebSphere Business Installation Connect 安装过程中创建的。
您还可以使用 ikeyman 来生成对认证中心(CA)的证书请求。
注意: 您也可以使用 createCert.sh 实用程序来生成自签名证书。
您可以使用社区控制台来安装 WebSphere Business Integration Connect 存储必需的所有客户机、签名和加密证书。您也可以使用社区控制台来安装根和 CA(认证中心)证书。
注意: 当参与者证书到期时,参与者负责获取新的证书。社区控制台的“警报”功能部件包括了存储在 WebSphere Business Integration Connect 中证书的证书到期警报。
当您安装 WebSphere Business Integration Connect 时,会安装“接收器”和“控制台”的密钥库和信任密钥库。
缺省情况下,在 WBIC_install_root/common/security/keystore 目录中会创建两个密钥库和两个信任密钥库。这些密钥库的名称是:
访问所有四个库的缺省密码都是 WebAS。嵌入的 WebSphere Application Server 配置成使用所有这四个库。
注意: 下列 Unix 命令可用于更改密钥库文件的密码:
/WBIC_install_root/console/was/java/bin/keytool -storepasswd -new $NEW_PASSWORD$ -keystore $KEYSTORE_LOCATION$ -storepass $CURRENT_PASSWORD$ -storetype JKS
如果更改了密钥库密码,则也必须更改每个 WebSphere Application Server 实例配置。这可以使用 bcgChgPassword.jacl 脚本完成。对于控制台实例,请浏览到下列目录:
/WBIC_install_root/console/was/bin
然后执行下列命令:
./wsadmin.sh -f /WBIC_install_root/console/scripts/ bcgChgPassword.jacl -conntype NONE
对于“接收器”和“文档管理器”的 WebSphere Application Server 实例,重复该步骤。
将提示您输入新密码。
注意: 如果信任密钥库中的证书已到期,则您必须通过使用下列步骤来添加新证书,以替换到期证书:
该数据类型必须与导入证书的数据类型匹配。