管理端到端隐私

系统上的消息和业务数据从它们离开源适配器的那一刻起,经过 InterChange Server Express,直到到达目标适配器,其安全性非常重要。端点验证对于任何安全系统都是极其重要的。IBM WebSphere Business Integration Server Express 在信息流的每个端点都提供了安全性,从而确保您的信息从端到端是安全的。

InterChange Server Express 中的大多数业务通信都是通过诸如 JMS 和 MQ Series 等异步系统传送的,这会导致消息在等待处理时存储在队列管理器的磁盘上。端到端隐私确保这些消息在此级别是安全的。

为了使用端到端隐私来保护消息,必须在适当的配置文件中激活它。可以对每个单独的适配器打开或关闭端到端隐私。

请注意,使用系统管理器配置端到端隐私将只会影响从 InterChange Server Express 至适配器的消息,而使用连接配置器配置适配器将只会影响从适配器至 InterChange Server 的消息。

注:
有关端到端隐私概念和功能的全面信息,请参阅 Technical Introduction to IBM WebSphere Business Integration Server

本节包括以下主题:

使用系统管理器激活端到端隐私的步骤

使用连接器配置器激活端到端隐私的步骤

使用系统管理器更改隐私配置的步骤

使用连接器配置器更改隐私配置的步骤

管理密钥和密钥库

使用系统管理器激活端到端隐私的步骤

执行下列步骤以使用系统管理器激活端到端隐私:

  1. 在“隐私”选项卡(位于服务器的“编辑配置”上下文菜单中)上,输入密钥库的路径。有关密钥库的其它信息,请参阅管理密钥和密钥库
  2. 输入密钥库的密码。
  3. 要导入特定隐私设置,选择“导入隐私设置”按钮并选择一个可用的连接器。这将装入由特定连接器的配置文件所指定的隐私配置。
  4. 要设置一般隐私设置,从下拉列表中选择一种消息类型。可用的选项为:
  5. 从下拉列表中选择一个安全性级别。可用的选项为:
  6. 为消息选择一个目标,例如,系统测试连接器或目标连接器。这是一个可选特性,仅当为特定连接器设置了端到端隐私时才使用。
  7. 要为各个业务对象设置隐私设置,输入业务对象的名称或从可用列表中选择一个业务对象。
  8. 从下拉列表中选择一个安全性级别。可用的选项为:
  9. 为消息选择一个目标,例如,系统测试连接器或目标连接器。这是一个可选特性,仅当为特定连接器设置了端到端隐私时才使用。

使用连接器配置器激活端到端隐私的步骤

执行下列步骤以激活端到端隐私:

  1. 在连接器配置器中,选择“安全性”选项卡。
  2. 选择打开隐私设置的复选框。仅当交付传输是 JMS 时,此复选框才是活动的。
  3. 从“消息隐私级别”标题下的下拉列表进行选择,以便为每条消息、管理消息和业务对象消息指定适当的隐私级别。可用的选项为:
  4. 保存连接器配置以激活隐私设置。

使用系统管理器更改隐私配置的步骤

执行下列步骤以使用系统管理器更改端到端隐私参数:

  1. 在“隐私”选项卡(位于服务器的“编辑配置”上下文菜单中)上,更新以下信息:

使用连接器配置器更改隐私配置的步骤

执行下列步骤以使用连接器配置器更改端到端隐私参数:

  1. 在连接器配置器中,选择“安全性”选项卡。
  2. 选择或取消选择用于更改隐私设置的复选框。仅当交付传输是 JMS 时,此复选框才是活动的。
  3. 如果隐私是打开的,则从“消息隐私级别”标题下的下拉列表进行选择,以便为每条消息、管理消息和业务对象消息指定适当的隐私级别。可用的选项为:
  4. 保存连接器配置以激活更改的隐私设置。

管理密钥和密钥库

密钥库是用密码保护的文件,用来安全地存储用于隐私验证的公用密钥和专用密钥。对服务器以及每个单独的适配器都提供了一个密钥库。IBM WebSphere Business Integration Server 包含 InterChange Server Express 专用和公用密钥库以及每个适配器的公用密钥。每个单独的适配器密钥库都包含适配器专用和公用密钥库以及 InterChange Server 的公用密钥。

密钥库和适用密码的完整路径是在启动期间加密的,该路径包含在配置文件中。专用密钥的密码应该与密钥库的密码相同。

使用连接器配置器创建密钥的步骤

执行下列步骤以使用随连接器配置器一起提供的图形界面创建密钥和密钥库:

  1. 为适用的连接器打开“连接器配置器”屏幕,并选择“安全性”选项卡。从此选项卡,您可以打开端到端隐私、设置隐私级别、维护密钥以及设置适配器访问控制。
  2. 选择“生成密钥”按钮。将显示“生成密钥”屏幕。
  3. 输入以下信息以完成密钥构建过程:
  4. 输入以下其中一条信息。构建密钥只需要一条信息:
  5. 选择“确定”按钮以保存密钥信息。

使用 keytool 创建密钥的步骤

执行下列步骤以使用 keytool 创建密钥和密钥库:

  1. 打开在 JDK_HOME/bin 目录中找到的 keytool。
  2. 通过输入以下命令行为服务器创建公用和专用密钥条目,其中 name 等于密钥库名称,password 等于密钥库密码,IC.keystore 等于密钥库文件名:

    keytool -genkey -alias name -keyalg RSA -keypass password -storepass password -keystore IC.keystore
  3. 通过输入以下命令行将服务器的公用密钥导出到文件:

    keytool -export -alias name -storepass password -file IC.cer -keystore IC.keystore
    注:
    当适配器代理程序将服务器的公用密钥导入其密钥库时将导入 IC.cer 文件。
  4. 通过输入以下命令行为适配器代理程序创建公用和专用密钥条目,其中 connectorname 等于密钥库名称,password 等于密钥库密码,Adapter.keystore 等于密钥库文件名:

    keytool -genkey -alias connectorname -keyalg RSA -keypass password -storepass password -keystore Adapter.keystore
  5. 通过输入以下命令行将适配器的公用密钥导出到文件:

    keytool -export -alias connectorname -storepass password -file Adapter.cer -keystore Adapter.keystore
  6. 通过输入以下命令行将适配器代理程序的密钥导入到服务器密钥库,打开隐私设置:

    keytool -import -v -trustcacerts - alias connectorname -storepass password -file Adapter.cer -keystore IC.keystore
  7. 通过输入以下命令行将服务器的公用密钥导入到适配器代理程序的密钥库:

    keytool -import -v -trustcacerts - alias connectorname.queue.manager -storepass password -file IC.cer -keystore Adapter.keystore

导出适配器公用密钥的步骤

执行下列步骤来导出适配器公用密钥:

  1. 为适用的连接器打开“连接器配置器”屏幕,并选择“安全性”选项卡。
  2. 选择“导出适配器公用密钥”按钮。
  3. 在“导出适配器公用密钥”屏幕上,输入以下信息:
  4. 选择“确定”按钮以导出适配器密钥。

导入服务器公用密钥的步骤

执行下列步骤来导入服务器公用密钥:

  1. 为适用的连接器打开“连接器配置器”屏幕,并选择“安全性”选项卡。
  2. 选择“导入服务器公用密钥”按钮。
  3. 在“导入服务器公用密钥”屏幕上,输入以下信息:
  4. 选择“确定”按钮以导入服务器密钥。

Copyright IBM Corp. 2004, 2005