Das Protokoll Secure Sockets Layer (SSL) verwenden

WebSphere Partner Gateway - Express verwendet das SSL-Protokoll (Secure Sockets Layer) zur Sicherung eingehender und ausgehender Dokumente. SSL ist ein häufig verwendetes Protokoll für das Verwalten der Sicherheit im Internet. SSL ermöglicht sichere Verbindungen, da zwei Anwendung, die über eine Netzwerkverbindung miteinander verbunden sind, die Identität der jeweils anderen Anwendung authentifizieren können und der Datenaustausch zwischen den Anwendungen verschlüsselt wird.

Eine SSL-Verbindung beginnt mit einem Handshake. Während dieses Stadiums tauschen die Anwendungen digitale Zertifikate aus, sie verständigen sich über die zu verwendenden Verschlüsselungsalgorithmen und generieren Chiffrierschlüssel, die für den verbleibenden Teil der Sitzung verwendet werden.

Das SSL-Protokoll bietet die folgenden Sicherheitsfunktionen:

In den folgenden Abschnitten wird beschrieben, wie Sie SSL zur Server- und Clientauthentifizierung für eingehende Kommunikation sowie zur Clientauthen- tifizierung für ausgehende Kommunikation verwenden.

Keystores für die Serverauthentifizierung für eingehende Dokumente verwenden

Truststores für die Clientauthentifizierung für eingehende Dokumente verwenden

Schlüsselpaare für die Clientauthentifizierung für ausgehende Dokumente verwenden

HTTPS aktivieren

Keystores für die Serverauthentifizierung für eingehende Dokumente verwenden

Ein Keystore zur Sicherung eingehender Dokumente über eine SSL-Verbindung kann in WebSphere Partner Gateway - Express generiert und automatisch hochgeladen oder von einer Position außerhalb der Anwendung hochgeladen werden. Der Keystore kann dann heruntergeladen werden.

Ein Keystore ist eine geschützte Datenbank, in der die Schlüssel und Zertifikate enthalten sind. Wenn Ihre Teilnehmer über Schlüssel und Zertifikate verfügen und SSL verwenden, können Sie auf der Seite Eingehend den Keystore verfügbar machen. In den folgenden Abschnitten wird die Verwendung von Keystores für die Serverauthentifizierung für eingehende Dokumente beschrieben.

Einen selbstsignierenden SSL-Keystore generieren Einen SSL-Keystore hochladen Einen SSL-Keystore herunterladen

Einen selbstsignierenden SSL-Keystore generieren

In der folgenden Prozedur wird beschrieben, wie Sie mit WebSphere Partner Gateway - Express einen selbstsignierenden SSL-Keystore zur Sicherung eingehender Dokumente generieren. Wenn Sie einen selbstsignierenden Keystore generieren, wird er automatisch in WebSphere Partner Gateway - Express hochgeladen.

  1. Klicken Sie auf die Registerkarte Sicherheit, um die Seite Eingehend anzuzeigen. Wenn die Seite nicht angezeigt wird, klicken Sie in der Navigationsleiste auf Eingehend.
  2. Suchen Sie die Zeile SSL-Verbindung und klicken Sie anschließend in der Spalte Generieren auf das Symbol Selbstsignierendes Zertifikat generieren. Die Seite Eingehend von Selbstsignierenden SSL-Keystore generieren wird angezeigt.
  3. Vervollständigen Sie die Einträge auf der Seite Eingehend (siehe Tabelle 11).
  4. Klicken Sie auf die Schaltfläche Erstellen. Der selbstsignierende Keystore wird hochgeladen und auf der Seite Eingehend angezeigt.
    Tabelle 11. Die Seite Eingehend für den generierten selbstsignierenden SSL-Keystore
    Parameter Beschreibung

    Allgemeiner Name

    Geben Sie den Hostnamen des Servers ein.

    Organisation

    Geben Sie den Namen des Unternehmens des Teilnehmers ein.

    Organisationseinheit

    Geben Sie den Namen der Abteilung ein, in der der Teilnehmer arbeitet.

    Lokalität

    Geben Sie die Stadt oder den Ort ein, in dem der Teilnehmer arbeitet.

    Bundesland

    Geben Sie das Bundesland oder die Provinz ein, in dem/der der Teilnehmer arbeitet.

    Land

    Geben Sie das Land ein, in dem der Teilnehmer arbeitet.

    E-Mail-Adresse

    Geben Sie die E-Mail-Adresse des Teilnehmers ein.

    Gültigkeit des Zertifikats

    Geben Sie die Anzahl der Tage ein, für die der Keystore gültig sein soll.

    Keystore-Kennwort

    Geben Sie das Kennwort für den Keystore ein.

    Kennwort für den privaten Schlüssel

    Geben Sie das Kennwort für den privaten Schlüssel ein.

Einen SSL-Keystore hochladen

Verwenden Sie die folgende Prozedur, wenn Sie über einen SSL-Keystore verfügen, den Sie in WebSphere Partner Gateway - Express hochladen möchten.

  1. Klicken Sie auf die Registerkarte Sicherheit, um die Seite Eingehend anzuzeigen. Wenn die Seite nicht angezeigt wird, klicken Sie in der horizontalen Navigationsleiste auf Eingehend.
  2. Suchen Sie die Zeile SSL-Verbindung und klicken Sie anschließend in der Spalte Hochladen auf das Symbol Zertifikat/Schlüssel hinzufügen/aktua- lisieren. Die Seite Eingehend wird angezeigt.
  3. Vervollständigen Sie die Einträge auf der Seite Eingehend (siehe Tabelle 12).
  4. Klicken Sie auf die Schaltfläche Übergeben. Der Keystore wird hochgeladen und auf der Seite Eingehend angezeigt.
    Tabelle 12. Die Seite Eingehend für einen hochgeladenen SSL-Keystore
    Parameter Beschreibung

    Keystore-Datei

    Geben Sie Pfad und Namen der Keystore-Datei ein, die Sie hochladen möchten. Klicken Sie alternativ auf die Schaltfläche Durchsuchen, um die Keystore-Datei auszuwählen, die Sie hochladen möchten.

    Keystore-Kennwort

    Geben Sie das Keystore-Kennwort für den Keystore ein, den Sie hochladen möchten.

    Schlüsselkennwort

    Geben Sie das Kennwort des Schlüssels für den Keystore ein, den Sie hochladen möchten.

Einen SSL-Keystore herunterladen

Wenn Sie einen SSL-Keystore in WebSphere Partner Gateway - Express hochgeladen haben, können Sie anhand der folgenden Prozedur das öffentliche Zerti- fikat herunterladen, das in der Keystore-Datenbank eingebunden ist.

  1. Klicken Sie auf die Registerkarte Sicherheit, um die Seite Eingehend anzuzeigen. Wenn die Seite nicht angezeigt wird, klicken Sie in der horizontalen Navigationsleiste auf Eingehend.
  2. Suchen Sie die Zeile SSL-Verbindung und klicken Sie anschließend in der Spalte Herunterladen auf das Symbol Öffentliches Zertifikat herunterladen. Eine Seite zum Herunterladen von Dateien wird angezeigt.
    Anmerkung:
    Abhängig von Ihrer Browserversion und den Einstellungen der Firewall werden Sie im Dialogfenster möglicherweise aufgefordert, das Öffnen der Datei oder das Speichern auf der Platte auszuwählen. In diesem Fall wählen Sie die Option zum Speichern aus.
  3. Klicken Sie auf Speichern (oder eine eine entsprechende andere Bezeichnung), um das Dialogfenster Speichern unter anzuzeigen, wählen Sie eine Position aus, an der Sie das Zertifikat herunterladen möchten, und klicken Sie auf Speichern.

Truststores für die Clientauthentifizierung für eingehende Dokumente verwenden

Ein Truststore wird für die Clientauthentifizierung verwendet, wenn WebSphere Partner Gateway - Express das Zertifikat überprüfen möchte, das vom Server bereitgestellt wird. Mit Hilfe eines Truststores kann das System feststellen, ob ein Client sicher ist und dem Client Zugriff auf die Site gewähren.

Auf der Seite Eingehend können Sie einen Truststore für die Clientauthentifizierung hochladen. Der Truststore kann dann gelöscht werden, wenn er nicht mehr benötigt wird.

Wenn der Truststore, den Sie hochladen möchten, nicht erstellt wurde, können Sie ihn mit Hilfe von keytool erstellen. Im folgenden Abschnitt wird dieser Vorgang beschrieben.

Wichtiger Hinweis:
Um die Clientauthentifizierung zu aktivieren, müssen Sie zuerst das Script bcgClientAuth.jacl ausführen, das sich in folgendem Verzeichnis befindet: <ProductDir>/jaclScripts Anweisungen zum Aufrufen des Scripts befinden sich im Script selbst.

keytool verwenden

keytool ist ein Verwaltungsdienstprogramm für Schlüssel und Zertifikate. Mit diesem Programm können Sie Schlüssel für die Selbstauthentifizierung (WebSphere Partner Gateway - Express authentifiziert sich bei anderen Entitäten und Services jedoch selbst) oder für Datenintegritäts- und Authentifizierungsservices mit Hilfe digitaler Unterschriften erstellen. Außerdem können Sie damit die öffentlichen Schlüssel der kommunizierenden Peers (in Form von Zertifikaten) zwischenspeichern.

keytool speichert die Zertifikate in einem Truststore. Im Verlauf der Standardimplementierung eines Truststores wird der Keystore als Datei implementiert. Sobald Sie die Datei erstellt haben, können Sie die Datei anhand der Prozedur in Einen Truststore zur Clientauthentifizierung hochladen in WebSphere Partner Gateway - Express hochladen.

Die folgenden Prozeduren beschreiben, wie Sie mit keytool einen Truststore erstellen, Zertifikate in einem Truststore auflisten, Zertifikate zu einem Truststore hinzufügen und Zertifikate in einem Truststore löschen. Die Befehle zur Ausführung dieser Prozeduren können von jedem System aus ausgeführt werden, in dem Java installiert ist. Zur Erleichterung wird keytool auf der CD von WebSphere Partner Gateway - Express im Verzeichnis was\java\jre\bin zur Verfügung gestellt.

Anmerkung:
Sie können ferner ikeyman, eine zum Produktpaket von WebSphere Partner Gateway - Express gehörende GUI, verwenden mit der Sie Zertifikate in einem Truststore verwalten können. Die ausführbaren Dateien von ikeyman befinden sich im Verzeichnis was\bin.
Einen Truststore erstellen

Gehen Sie wie folgt vor, um einen Truststore zu erstellen:

  1. Öffnen Sie ein Fenster mit Eingabeaufforderung und wählen Sie als aktuelles Verzeichnis die Position der Datei keytool.exe.
  2. Führen Sie den folgenden Befehl aus:
    keytool -genkey -keystore <truststore_dateiname> -storetype PKCS12
Zertifikate in einem Truststore auflisten

Verwenden Sie zum Auflisten von Zertifikaten in einem Truststore die folgende Prozedur.

  1. Öffnen Sie ein Fenster mit Eingabeaufforderung und wählen Sie als aktuelles Verzeichnis die Position der Datei keytool.exe.
  2. Führen Sie den folgenden Befehl aus:
    keytool -list -v -keystore <truststore>
  3. Wenn Sie von keytool aufgefordert werden, ein Truststore-Kennwort einzugeben, geben Sie das entsprechende Kennwort zum Auflisten der Zertifikate im Truststore ein.
Ein Zertifikat zu einem Truststore hinzufügen

Verwenden Sie zum Hinzufügen eines Zertifikats zu einem Truststore die folgende Prozedur.

  1. Öffnen Sie ein Fenster mit Eingabeaufforderung und wählen Sie als aktuelles Verzeichnis die Position der Datei keytool.exe.
  2. Führen Sie den folgenden Befehl aus. Mit Hilfe der Aliasoption in diesem Befehl können Sie dem Zertifikat einen Namen zuordnen, an den Sie sich leicht erinnern können. Auf diese Art können Sie die Truststore-Einträge leicht identifizieren, wenn Sie sie in Zukunft auflisten.
    keytool -import -keystore <truststore> -file <zertifikatsdatei> -trustcacerts -alias <zertifikatsname>
  3. Wenn Sie von keytool aufgefordert werden, ein Truststore-Kennwort einzugeben, geben Sie das entsprechende Kennwort zum Hinzufügen der Zertifikate zu einem Truststore ein.
Ein Zertifikat aus einem Truststore entfernen

Verwenden Sie zum Entfernen eines Zertifikats aus einem Truststore die folgende Prozedur.

  1. Öffnen Sie ein Fenster mit Eingabeaufforderung und wählen Sie als aktuelles Verzeichnis die Position der Datei keytool.exe.
  2. Führen Sie den folgenden Befehl aus.
    keytool -delete -alias <cert name> -keystore truststore
  3. Wenn Sie von keytool aufgefordert werden, ein Truststore-Kennwort einzugeben, geben Sie das entsprechende Kennwort zum Entfernen des Zertifikats aus dem Truststore ein.
Einen Truststore zur Clientauthentifizierung hochladen

Verwenden Sie nach der Erstellung eines Truststores die folgende Prozedur, um ihn zur Clientauthentifizierung eingehender Dokumente hochzuladen.

  1. Klicken Sie auf die Registerkarte Sicherheit, um die Seite Eingehend anzuzeigen. Wenn die Seite nicht angezeigt wird, klicken Sie in der Navigationsleiste auf Eingehend.
  2. Wählen Sie im Dropdown-Menü Ausgewählter Teilnehmer den Teilnehmer aus, für den Sie den Truststore hochladen möchten.
  3. Suchen Sie die Zeile Client-Auth. und klicken Sie anschließend in der Spalte Hochladen auf das Symbol Zertifikat/Schlüssel hinzufügen/aktualisieren. Die Seite Eingehend von Truststore für die Clientauthentifizierung hochladen wird angezeigt.
  4. Vervollständigen Sie die Einträge auf der Seite (siehe Tabelle 13).
  5. Klicken Sie auf die Schaltfläche Übergeben. Der Truststore wird hochgeladen und auf der Seite Eingehend angezeigt.
    Tabelle 13. Die Seite Eingehend für einen hochgeladenen Truststore für die Clientauthentifizierung
    Parameter Beschreibung

    Truststore-Datei

    Geben Sie Pfad und Namen der Truststore-Datei ein, die Sie hochladen möchten. Klicken Sie alternativ auf die Schaltfläche Durchsuchen, um die Truststore-Datei auszuwählen, die Sie hochladen möchten.

    Truststore-Kennwort

    Geben Sie das Kennwort für den Truststore ein.

Schlüsselpaare für die Clientauthentifizierung für ausgehende Dokumente verwenden

Im Verlauf der Clientauthentifizierung für ausgehende Dokumente identifiziert sich WebSphere Partner Gateway - Express selbst bei einem fernen Server. In den folgenden Abschnitten wird die Verwendung von Schlüsselpaaren für die Clientauthentifizierung für ausgehende Dokumente beschrieben.

Ein selbstsignierendes Schlüsselpaar für SSL-Clientzertifikate generieren

Ein Schlüsselpaar zur Clientauthentifizierung hochladen

Das Clientzertifikat zur Clientauthentifizierung herunterladen

Ein selbstsignierendes Schlüsselpaar für SSL-Clientzertifikate generieren

In der folgenden Prozedur wird beschrieben, wie Sie mit WebSphere Partner Gateway - Express ein selbstsignierendes Schlüsselpaar für SSL-Clientzertifikate generieren. Wenn Sie ein selbstsignierendes Schlüsselpaar für die SSL-Clientzertifizierung generieren, wird es automatisch in WebSphere Partner Gateway - Express hochgeladen.

  1. Klicken Sie auf die Registerkarte Sicherheit und anschließend in der Navigationsleiste auf Ausgehend. Die Seite Ausgehend wird angezeigt.
  2. Wählen Sie im Dropdown-Menü Ausgewählter Teilnehmer den Teilnehmer aus, für den Sie ein selbstsignierendes Schlüsselpaar generieren möchten.
  3. Suchen Sie die Zeile Client-Auth. und klicken Sie anschließend in der Spalte Generieren auf das Symbol Selbstsignierendes Zertifikat generieren. Die Seite Ausgehend wird angezeigt.
  4. Vervollständigen Sie die Einträge auf der Seite Ausgehend (siehe Tabelle 14).
  5. Klicken Sie auf die Schaltfläche Erstellen. Das selbstsignierende Schlüsselpaar wird hochgeladen und auf der Seite Ausgehend angezeigt.
    Tabelle 14. Die Seite Ausgehend für ein generiertes selbstsignierendes
    Schlüsselpaar für SSL-Clientzertifikate
    Parameter Beschreibung

    Allgemeiner Name

    Geben Sie den Hostnamen des Servers ein.

    Organisation

    Geben Sie den Namen des Unternehmens des Teilnehmers ein.

    Organisationseinheit

    Geben Sie den Namen der Abteilung ein, in der der Teilnehmer arbeitet.

    Lokalität

    Geben Sie die Stadt oder den Ort ein, in dem der Teilnehmer arbeitet.

    Bundesland

    Geben Sie das Bundesland oder die Provinz ein, in dem/der der Teilnehmer arbeitet.

    Land

    Geben Sie das Land ein, in dem der Teilnehmer arbeitet.

    E-Mail-Adresse

    Geben Sie die E-Mail-Adresse des Teilnehmers ein.

    Gültigkeit des Zertifikats

    Geben Sie die Anzahl der Tage ein, für die das Schlüsselpaar gültig sein soll.

    Kennwort für den privaten Schlüssel

    Geben Sie das Kennwort für den privaten Schlüssel ein.

Ein Schlüsselpaar zur Clientauthentifizierung hochladen

Verwenden Sie die folgende Prozedur, um ein Schlüsselpaar zur Clientauthentifizierung hochzuladen, das diesen Client an einem fernen für SSL aktivierten Host identifiziert.

  1. Klicken Sie auf die Registerkarte Sicherheit und anschließend in der Navigationsleiste auf Ausgehend. Die Seite Ausgehend wird angezeigt.
  2. Wählen Sie im Dropdown-Menü Ausgewählter Teilnehmer den Teilnehmer aus, für den Sie das Schlüsselpaar hochladen möchten.
  3. Suchen Sie die Zeile Client-Auth. und klicken Sie anschließend in der Spalte Hochladen auf das Symbol Zertifikat/Schlüssel hinzufügen/aktualisieren. Die Seite Ausgehend für Schlüsselpaar für die Clientauthentifizierung hochladen wird angezeigt.
  4. Vervollständigen Sie nur den Eintrag Öffentliches Zertifikat auf der Seite in Ausgehend (siehe Tabelle 15).
  5. Klicken Sie auf die Schaltfläche Übergeben. Das Schlüsselpaar wird hochgeladen und auf der Seite Ausgehend angezeigt.
    Tabelle 15. Die Seite Ausgehend für ein Schlüsselpaar zur Clientauthentifizierung
    Parameter Beschreibung

    Öffentliches Zertifikat

    Geben Sie Pfad und Namen der Datei mit dem öffentlichen Zertifikat ein, die Sie hochladen möchten. Klicken Sie alternativ auf die Schaltfläche Durchsuchen, um die Datei mit dem öffentlichen Zertifikat auszuwählen, die Sie hochladen möchten.

Das Clientzertifikat zur Clientauthentifizierung herunterladen

Wenn Sie ein Schlüsselpaar in WebSphere Partner Gateway - Express hochgeladen haben, können Sie anhand der folgenden Prozedur das öffentliche Zertifikat herunterladen. Dieses öffentliche Zertifikat kann per E-Mail an den Partner gesendet werden, damit dieser es in seinen Truststore übernehmen kann.

  1. Klicken Sie auf die Registerkarte Sicherheit und anschließend in der Navigationsleiste auf Ausgehend. Die Seite Ausgehend wird angezeigt.
  2. Wählen Sie im Dropdown-Menü Ausgewählter Teilnehmer den Teilnehmer aus, dessen Schlüsselpaar Sie herunterladen möchten.
  3. Suchen Sie die Zeile Client-Auth. und klicken Sie anschließend in der Spalte Herunterladen auf das Symbol Öffentliches Zertifikat herunterladen. Eine Seite zum Herunterladen von Dateien wird angezeigt.
    Anmerkung:
    Abhängig von Ihrer Browserversion und den Einstellungen der Firewall werden Sie im Dialogfenster möglicherweise aufgefordert, das Öffnen der Datei oder das Speichern auf der Platte auszuwählen. In diesem Fall wählen Sie die Option zum Speichern aus.
  4. Klicken Sie auf Speichern (oder eine eine entsprechende andere Bezeichnung), um das Dialogfenster Speichern unter anzuzeigen, wählen Sie eine Position aus, an der Sie das Schlüsselpaar herunterladen möchten, und klicken Sie auf Speichern.

HTTPS aktivieren

Die folgenden Schritte beschreiben, wie Sie HTTPS aktivieren.

  1. Klicken Sie auf die Registerkarte Konfiguration und anschließend auf Mein Profil in der Navigationsleiste. Die Seite Eigenes Profil verwalten wird angezeigt.
  2. Klicken Sie auf die Schaltfläche Bearbeiten, um die Bearbeitungsseite zu Eigenes Profil verwalten anzuzeigen.
  3. Geben Sie im Feld Gesichert (unter Domäne) des Abschnitts Empfangsadresse einen Domänennamen ein. Geben Sie anschließend die Nummer eines verfügbaren HTTPS-Ports im entsprechenden Feld Port ein.
  4. Nehmen Sie bei Bedarf die entsprechenden Eingaben in den Feldern AS2-ID des Unternehmens und Einzelheiten zum Unternehmen vor, und klicken Sie anschließend auf Speichern.
  5. Klicken Sie auf die Registerkarte Konfiguration und anschließend in der Navigationsleiste auf Teilnehmer verwalten. Die Seite Teilnehmer verwalten wird angezeigt.
  6. Klicken Sie für den Teilnehmer auf Bearbeiten, für den Sie HTTPS aktivieren möchten. Die Seite Teilnehmer bearbeiten wird angezeigt.
  7. Wählen Sie das Markierungsfeld HTTPS aus, und klicken Sie auf Speichern.

Copyright IBM Corp. 2003, 2005