Das Protokoll Secure Sockets Layer (SSL) verwenden
WebSphere Partner Gateway - Express verwendet das SSL-Protokoll (Secure
Sockets Layer) zur Sicherung eingehender und ausgehender Dokumente. SSL ist ein häufig verwendetes Protokoll für das Verwalten der Sicherheit im Internet. SSL ermöglicht sichere Verbindungen, da zwei Anwendung, die über eine Netzwerkverbindung miteinander verbunden sind, die Identität der jeweils anderen Anwendung authentifizieren können und der Datenaustausch zwischen den Anwendungen verschlüsselt wird.
Eine SSL-Verbindung beginnt mit einem Handshake. Während dieses Stadiums tauschen die Anwendungen digitale Zertifikate aus, sie verständigen sich über die zu verwendenden Verschlüsselungsalgorithmen und generieren Chiffrierschlüssel, die für den verbleibenden Teil der Sitzung verwendet werden.
Das SSL-Protokoll bietet die folgenden Sicherheitsfunktionen:
- Serverauthentifizierung -- dies bedeutet, dass der Server sein digitales Zertifikat, das von einer anerkannten Zertifizierungsstelle ausgestellt wurde, verwendet, um sich bei Clients zu authentifizieren.
- Clientauthentifizierung -- Optional: Clients müssen sich unter Umständen selbst beim Server authentifizieren, indem Sie ihre eigenen digitalen Zertifikate bereitstellen.
Diese Art der Authentifizierung wird auch als gegenseitige Authentifizierung bezeichnet.
- Datenschutz -- alle Clientanforderungen und Serverantworten werden verschlüsselt, um die Vertraulichkeit der im Netz ausgetauschten Daten sicherzustellen.
- Datenintegrität -- Daten, die zwischen einem Client und dem Server ausgetauscht werden, werden vor dem Vortäuschen einer anderen Identität durch Dritte geschützt.
In den folgenden Abschnitten wird beschrieben, wie Sie SSL zur Server- und
Clientauthentifizierung für eingehende Kommunikation sowie zur Clientauthen-
tifizierung für ausgehende Kommunikation verwenden.
Keystores für die Serverauthentifizierung für eingehende Dokumente verwenden
Truststores für die Clientauthentifizierung für eingehende Dokumente verwenden
Schlüsselpaare für die Clientauthentifizierung für ausgehende Dokumente verwenden
HTTPS aktivieren
Keystores für die Serverauthentifizierung für eingehende Dokumente verwenden
Ein Keystore zur Sicherung eingehender Dokumente über eine SSL-Verbindung kann in WebSphere Partner Gateway - Express
generiert und automatisch hochgeladen oder von einer Position außerhalb der Anwendung hochgeladen werden. Der Keystore kann dann heruntergeladen werden.
Ein Keystore ist eine geschützte Datenbank, in der die Schlüssel und Zertifikate enthalten sind.
Wenn Ihre Teilnehmer über Schlüssel und Zertifikate verfügen und SSL verwenden, können Sie auf der Seite Eingehend den Keystore verfügbar machen. In den folgenden Abschnitten wird die Verwendung von Keystores für die Serverauthentifizierung für eingehende Dokumente beschrieben.
Einen selbstsignierenden SSL-Keystore generieren
Einen SSL-Keystore hochladen
Einen SSL-Keystore herunterladen
Einen selbstsignierenden SSL-Keystore generieren
In der folgenden Prozedur wird beschrieben, wie Sie mit WebSphere
Partner Gateway - Express einen selbstsignierenden SSL-Keystore zur Sicherung eingehender Dokumente generieren. Wenn Sie einen selbstsignierenden Keystore generieren, wird er automatisch in WebSphere
Partner Gateway - Express hochgeladen.
- Klicken Sie auf die Registerkarte Sicherheit, um die Seite Eingehend anzuzeigen. Wenn die Seite nicht angezeigt wird, klicken Sie in der Navigationsleiste auf Eingehend.
- Suchen Sie die Zeile SSL-Verbindung und klicken Sie anschließend in der Spalte
Generieren auf das Symbol Selbstsignierendes Zertifikat generieren.
Die Seite Eingehend von Selbstsignierenden SSL-Keystore generieren wird angezeigt.
- Vervollständigen Sie die Einträge auf der Seite Eingehend
(siehe Tabelle 11).
- Klicken Sie auf die Schaltfläche Erstellen. Der selbstsignierende Keystore
wird hochgeladen und auf der Seite Eingehend angezeigt.
Tabelle 11. Die Seite Eingehend für den generierten selbstsignierenden SSL-Keystore
Parameter |
Beschreibung |
Allgemeiner Name |
Geben Sie den Hostnamen des Servers ein. |
Organisation |
Geben Sie den Namen des Unternehmens des Teilnehmers ein. |
Organisationseinheit |
Geben Sie den Namen der Abteilung ein, in der der Teilnehmer arbeitet. |
Lokalität |
Geben Sie die Stadt oder den Ort ein, in dem der Teilnehmer arbeitet. |
Bundesland |
Geben Sie das Bundesland oder die Provinz ein, in dem/der der Teilnehmer arbeitet. |
Land |
Geben Sie das Land ein, in dem der Teilnehmer arbeitet. |
E-Mail-Adresse |
Geben Sie die E-Mail-Adresse des Teilnehmers ein. |
Gültigkeit des Zertifikats |
Geben Sie die Anzahl der Tage ein, für die der Keystore gültig sein soll. |
Keystore-Kennwort |
Geben Sie das Kennwort für den Keystore ein. |
Kennwort für den privaten Schlüssel |
Geben Sie das Kennwort für den privaten Schlüssel ein. |
Einen SSL-Keystore hochladen
Verwenden Sie die folgende Prozedur, wenn Sie über einen SSL-Keystore verfügen, den Sie in
WebSphere
Partner Gateway - Express hochladen möchten.
- Klicken Sie auf die Registerkarte Sicherheit, um die Seite Eingehend anzuzeigen. Wenn die Seite nicht angezeigt wird, klicken Sie in der
horizontalen Navigationsleiste auf Eingehend.
- Suchen Sie die Zeile SSL-Verbindung und klicken Sie anschließend in der Spalte
Hochladen auf das Symbol Zertifikat/Schlüssel hinzufügen/aktua-
lisieren. Die Seite Eingehend wird angezeigt.
- Vervollständigen Sie die Einträge auf der Seite Eingehend
(siehe Tabelle 12).
- Klicken Sie auf die Schaltfläche Übergeben. Der Keystore
wird hochgeladen und auf der Seite Eingehend angezeigt.
Tabelle 12. Die Seite Eingehend für einen hochgeladenen SSL-Keystore
Parameter |
Beschreibung |
Keystore-Datei |
Geben Sie Pfad und Namen der Keystore-Datei ein, die Sie hochladen möchten. Klicken Sie alternativ auf die Schaltfläche Durchsuchen, um die Keystore-Datei auszuwählen, die Sie hochladen möchten. |
Keystore-Kennwort |
Geben Sie das Keystore-Kennwort für den Keystore ein, den Sie hochladen möchten. |
Schlüsselkennwort |
Geben Sie das Kennwort des Schlüssels für den Keystore ein, den Sie hochladen möchten. |
Einen SSL-Keystore herunterladen
Wenn Sie einen SSL-Keystore in WebSphere
Partner Gateway - Express hochgeladen haben, können Sie anhand der folgenden Prozedur das öffentliche Zerti-
fikat herunterladen,
das in der Keystore-Datenbank eingebunden ist.
- Klicken Sie auf die Registerkarte Sicherheit, um die Seite Eingehend anzuzeigen. Wenn die Seite nicht angezeigt wird, klicken Sie in der
horizontalen Navigationsleiste auf Eingehend.
- Suchen Sie die Zeile SSL-Verbindung und klicken Sie anschließend in der Spalte
Herunterladen auf das Symbol Öffentliches Zertifikat herunterladen.
Eine Seite zum Herunterladen von Dateien wird angezeigt.
Anmerkung:
Abhängig von Ihrer Browserversion und den Einstellungen der Firewall werden Sie im
Dialogfenster möglicherweise aufgefordert, das Öffnen der Datei oder das Speichern auf der Platte auszuwählen. In diesem Fall wählen Sie die
Option zum Speichern aus.
- Klicken Sie auf Speichern (oder eine eine entsprechende andere Bezeichnung), um das Dialogfenster Speichern unter anzuzeigen, wählen Sie eine Position aus, an der Sie das Zertifikat herunterladen möchten, und klicken Sie auf Speichern.
Truststores für die Clientauthentifizierung für eingehende Dokumente verwenden
Ein Truststore wird für die Clientauthentifizierung verwendet, wenn WebSphere
Partner Gateway - Express das Zertifikat überprüfen möchte, das vom Server bereitgestellt wird. Mit Hilfe eines Truststores kann das System feststellen, ob ein Client sicher ist und dem Client Zugriff auf die Site gewähren.
Auf der Seite Eingehend können Sie einen Truststore für die Clientauthentifizierung hochladen. Der Truststore kann dann gelöscht werden, wenn er nicht mehr benötigt wird.
Wenn der Truststore, den Sie hochladen möchten, nicht erstellt wurde, können Sie ihn mit Hilfe von keytool erstellen. Im folgenden Abschnitt wird dieser Vorgang beschrieben.
Wichtiger Hinweis:
Um die Clientauthentifizierung zu aktivieren, müssen Sie zuerst das Script bcgClientAuth.jacl ausführen,
das sich in folgendem Verzeichnis befindet: <ProductDir>/jaclScripts Anweisungen zum Aufrufen des Scripts befinden sich im Script selbst.
keytool verwenden
keytool ist ein Verwaltungsdienstprogramm für Schlüssel und Zertifikate. Mit diesem Programm können Sie Schlüssel für
die Selbstauthentifizierung (WebSphere
Partner Gateway - Express authentifiziert sich bei anderen Entitäten und Services jedoch selbst)
oder für Datenintegritäts- und Authentifizierungsservices mit Hilfe digitaler Unterschriften erstellen. Außerdem können Sie damit die öffentlichen Schlüssel der kommunizierenden Peers (in Form von Zertifikaten) zwischenspeichern.
keytool speichert die Zertifikate in einem Truststore. Im Verlauf der Standardimplementierung eines Truststores wird der Keystore als Datei implementiert. Sobald Sie die Datei erstellt haben, können Sie die Datei anhand der
Prozedur
in
Einen Truststore zur Clientauthentifizierung hochladen in WebSphere
Partner Gateway - Express hochladen.
Die folgenden Prozeduren beschreiben, wie Sie mit keytool einen Truststore erstellen,
Zertifikate in einem Truststore auflisten, Zertifikate zu einem Truststore hinzufügen und Zertifikate in einem Truststore löschen. Die Befehle zur Ausführung dieser Prozeduren können von jedem System aus ausgeführt werden, in dem Java installiert ist. Zur Erleichterung wird keytool auf
der CD von
WebSphere
Partner Gateway - Express im Verzeichnis was\java\jre\bin zur Verfügung gestellt.
Anmerkung:
Sie können ferner ikeyman, eine zum Produktpaket von WebSphere
Partner Gateway - Express gehörende GUI, verwenden
mit der Sie Zertifikate in einem Truststore verwalten können. Die ausführbaren Dateien von ikeyman befinden sich
im Verzeichnis was\bin.
Einen Truststore erstellen
Gehen Sie wie folgt vor, um einen Truststore zu erstellen:
- Öffnen Sie ein Fenster mit Eingabeaufforderung und wählen Sie als aktuelles Verzeichnis die
Position der Datei keytool.exe.
- Führen Sie den folgenden Befehl aus:
keytool -genkey -keystore <truststore_dateiname> -storetype PKCS12
Zertifikate in einem Truststore auflisten
Verwenden Sie zum Auflisten von Zertifikaten in einem Truststore die folgende Prozedur.
- Öffnen Sie ein Fenster mit Eingabeaufforderung und wählen Sie als aktuelles Verzeichnis die
Position der Datei keytool.exe.
- Führen Sie den folgenden Befehl aus:
keytool -list -v -keystore <truststore>
- Wenn Sie von keytool aufgefordert werden, ein Truststore-Kennwort einzugeben, geben Sie das entsprechende Kennwort zum Auflisten der Zertifikate im Truststore ein.
Ein Zertifikat zu einem Truststore hinzufügen
Verwenden Sie zum Hinzufügen eines Zertifikats zu einem Truststore die folgende Prozedur.
- Öffnen Sie ein Fenster mit Eingabeaufforderung und wählen Sie als aktuelles Verzeichnis die
Position der Datei keytool.exe.
- Führen Sie den folgenden Befehl aus.
Mit Hilfe der Aliasoption in diesem Befehl können Sie dem Zertifikat einen Namen zuordnen, an den Sie sich leicht erinnern können. Auf diese Art können Sie die Truststore-Einträge leicht identifizieren, wenn Sie sie in Zukunft auflisten.
keytool -import -keystore <truststore> -file <zertifikatsdatei> -trustcacerts -alias <zertifikatsname>
- Wenn Sie von keytool aufgefordert werden, ein Truststore-Kennwort einzugeben, geben Sie das entsprechende Kennwort zum Hinzufügen der Zertifikate zu einem Truststore ein.
Ein Zertifikat aus einem Truststore entfernen
Verwenden Sie zum Entfernen eines Zertifikats aus einem Truststore die folgende Prozedur.
- Öffnen Sie ein Fenster mit Eingabeaufforderung und wählen Sie als aktuelles Verzeichnis die
Position der Datei keytool.exe.
- Führen Sie den folgenden Befehl aus.
keytool -delete -alias <cert name> -keystore truststore
- Wenn Sie von keytool aufgefordert werden, ein Truststore-Kennwort einzugeben, geben Sie das entsprechende Kennwort zum Entfernen des Zertifikats aus dem Truststore ein.
Einen Truststore zur Clientauthentifizierung hochladen
Verwenden Sie nach der Erstellung eines Truststores die folgende Prozedur, um ihn zur Clientauthentifizierung eingehender Dokumente hochzuladen.
- Klicken Sie auf die Registerkarte Sicherheit, um die Seite Eingehend anzuzeigen. Wenn die Seite nicht angezeigt wird, klicken Sie in der Navigationsleiste auf Eingehend.
- Wählen Sie im Dropdown-Menü Ausgewählter Teilnehmer den Teilnehmer aus, für den
Sie den Truststore hochladen möchten.
- Suchen Sie die Zeile Client-Auth. und klicken Sie anschließend in der Spalte
Hochladen auf das Symbol Zertifikat/Schlüssel hinzufügen/aktualisieren. Die Seite Eingehend von Truststore für die Clientauthentifizierung hochladen wird angezeigt.
- Vervollständigen Sie die Einträge auf der Seite (siehe Tabelle 13).
- Klicken Sie auf die Schaltfläche Übergeben. Der Truststore
wird hochgeladen und auf der Seite Eingehend angezeigt.
Tabelle 13. Die Seite Eingehend für einen hochgeladenen Truststore für die Clientauthentifizierung
Parameter |
Beschreibung |
Truststore-Datei |
Geben Sie Pfad und Namen der Truststore-Datei ein, die Sie hochladen möchten. Klicken Sie alternativ auf die Schaltfläche Durchsuchen, um die Truststore-Datei auszuwählen, die Sie hochladen möchten. |
Truststore-Kennwort |
Geben Sie das Kennwort für den Truststore ein. |
Schlüsselpaare für die Clientauthentifizierung für ausgehende Dokumente verwenden
Im Verlauf der Clientauthentifizierung für ausgehende Dokumente identifiziert sich WebSphere
Partner Gateway - Express selbst bei einem fernen Server. In den folgenden Abschnitten wird die Verwendung von Schlüsselpaaren für die Clientauthentifizierung für ausgehende Dokumente beschrieben.
Ein selbstsignierendes Schlüsselpaar für SSL-Clientzertifikate generieren
Ein Schlüsselpaar zur Clientauthentifizierung hochladen
Das Clientzertifikat zur Clientauthentifizierung herunterladen
Ein selbstsignierendes Schlüsselpaar für SSL-Clientzertifikate generieren
In der folgenden Prozedur wird beschrieben, wie Sie mit WebSphere
Partner Gateway - Express ein selbstsignierendes Schlüsselpaar für SSL-Clientzertifikate generieren. Wenn Sie ein
selbstsignierendes Schlüsselpaar für die SSL-Clientzertifizierung generieren, wird es automatisch in WebSphere
Partner Gateway - Express hochgeladen.
- Klicken Sie auf die Registerkarte Sicherheit und anschließend in der Navigationsleiste auf Ausgehend. Die Seite Ausgehend
wird angezeigt.
- Wählen Sie im Dropdown-Menü Ausgewählter Teilnehmer den Teilnehmer aus, für den
Sie ein selbstsignierendes Schlüsselpaar generieren möchten.
- Suchen Sie die Zeile Client-Auth. und klicken Sie anschließend in der Spalte
Generieren auf das Symbol Selbstsignierendes Zertifikat generieren.
Die Seite Ausgehend
wird angezeigt.
- Vervollständigen Sie die Einträge auf der Seite Ausgehend (siehe Tabelle 14).
- Klicken Sie auf die Schaltfläche Erstellen. Das selbstsignierende Schlüsselpaar
wird hochgeladen und auf der Seite Ausgehend angezeigt.
Tabelle 14. Die Seite Ausgehend für ein generiertes selbstsignierendes
Schlüsselpaar für SSL-Clientzertifikate
Parameter |
Beschreibung |
Allgemeiner Name |
Geben Sie den Hostnamen des Servers ein. |
Organisation |
Geben Sie den Namen des Unternehmens des Teilnehmers ein. |
Organisationseinheit |
Geben Sie den Namen der Abteilung ein, in der der Teilnehmer arbeitet. |
Lokalität |
Geben Sie die Stadt oder den Ort ein, in dem der Teilnehmer arbeitet. |
Bundesland |
Geben Sie das Bundesland oder die Provinz ein, in dem/der der Teilnehmer arbeitet. |
Land |
Geben Sie das Land ein, in dem der Teilnehmer arbeitet. |
E-Mail-Adresse |
Geben Sie die E-Mail-Adresse des Teilnehmers ein. |
Gültigkeit des Zertifikats |
Geben Sie die Anzahl der Tage ein, für die das Schlüsselpaar gültig sein soll. |
Kennwort für den privaten Schlüssel |
Geben Sie das Kennwort für den privaten Schlüssel ein. |
Ein Schlüsselpaar zur Clientauthentifizierung hochladen
Verwenden Sie die folgende Prozedur, um ein Schlüsselpaar zur Clientauthentifizierung hochzuladen, das diesen Client an einem fernen für SSL aktivierten Host identifiziert.
- Klicken Sie auf die Registerkarte Sicherheit und anschließend in der Navigationsleiste auf Ausgehend. Die Seite Ausgehend
wird angezeigt.
- Wählen Sie im Dropdown-Menü Ausgewählter Teilnehmer den Teilnehmer aus, für den
Sie das Schlüsselpaar hochladen möchten.
- Suchen Sie die Zeile Client-Auth. und klicken Sie anschließend in der Spalte
Hochladen auf das Symbol Zertifikat/Schlüssel hinzufügen/aktualisieren. Die Seite
Ausgehend für
Schlüsselpaar für die Clientauthentifizierung hochladen wird angezeigt.
- Vervollständigen Sie nur den Eintrag Öffentliches Zertifikat auf der
Seite in Ausgehend (siehe Tabelle 15).
- Klicken Sie auf die Schaltfläche Übergeben. Das Schlüsselpaar wird hochgeladen und auf der
Seite Ausgehend angezeigt.
Tabelle 15. Die Seite Ausgehend für ein Schlüsselpaar zur Clientauthentifizierung
Parameter |
Beschreibung |
Öffentliches Zertifikat |
Geben Sie Pfad und Namen der Datei mit dem öffentlichen Zertifikat ein, die Sie hochladen möchten. Klicken Sie alternativ auf die Schaltfläche Durchsuchen, um die Datei mit dem öffentlichen Zertifikat auszuwählen, die Sie hochladen möchten. |
Das Clientzertifikat zur Clientauthentifizierung herunterladen
Wenn Sie ein Schlüsselpaar in WebSphere
Partner Gateway - Express hochgeladen haben, können Sie anhand der folgenden Prozedur das öffentliche Zertifikat herunterladen. Dieses öffentliche Zertifikat kann per E-Mail an den Partner gesendet werden, damit dieser
es in seinen Truststore übernehmen kann.
- Klicken Sie auf die Registerkarte Sicherheit und anschließend in der Navigationsleiste auf Ausgehend. Die Seite Ausgehend
wird angezeigt.
- Wählen Sie im Dropdown-Menü Ausgewählter Teilnehmer den Teilnehmer aus, dessen
Schlüsselpaar Sie herunterladen möchten.
- Suchen Sie die Zeile Client-Auth. und klicken Sie anschließend in der Spalte
Herunterladen auf das Symbol Öffentliches Zertifikat herunterladen. Eine Seite zum Herunterladen von Dateien wird angezeigt.
Anmerkung:
Abhängig von Ihrer Browserversion und den Einstellungen der Firewall werden Sie im
Dialogfenster möglicherweise aufgefordert, das Öffnen der Datei oder das Speichern auf der Platte auszuwählen. In diesem Fall wählen Sie die
Option zum Speichern aus.
- Klicken Sie auf Speichern (oder eine eine entsprechende andere Bezeichnung), um das Dialogfenster Speichern unter anzuzeigen, wählen Sie eine Position aus, an der Sie das Schlüsselpaar herunterladen möchten, und klicken Sie auf Speichern.
HTTPS aktivieren
Die folgenden Schritte beschreiben, wie Sie HTTPS aktivieren.
- Klicken Sie auf die Registerkarte Konfiguration und anschließend auf Mein Profil in der Navigationsleiste. Die Seite Eigenes Profil verwalten wird angezeigt.
- Klicken Sie auf die Schaltfläche Bearbeiten, um die Bearbeitungsseite zu
Eigenes Profil verwalten anzuzeigen.
- Geben Sie im Feld Gesichert (unter Domäne) des Abschnitts Empfangsadresse
einen Domänennamen ein. Geben Sie anschließend die Nummer eines verfügbaren HTTPS-Ports im entsprechenden
Feld Port ein.
- Nehmen Sie bei Bedarf die entsprechenden Eingaben in den Feldern AS2-ID des Unternehmens und
Einzelheiten zum Unternehmen vor, und klicken Sie anschließend auf Speichern.
- Klicken Sie auf die Registerkarte Konfiguration und anschließend in der Navigationsleiste
auf Teilnehmer verwalten. Die Seite Teilnehmer verwalten wird angezeigt.
- Klicken Sie für den Teilnehmer auf Bearbeiten, für den Sie HTTPS aktivieren möchten. Die Seite Teilnehmer bearbeiten wird angezeigt.
- Wählen Sie das Markierungsfeld HTTPS aus, und klicken Sie auf Speichern.
