Utilisation du protocole SSL (Secure Sockets Layer)

WebSphere Partner Gateway - Express utilise le protocole SSL (Secure Sockets Layer) pour sécuriser les documents entrants. SSL est un protocole couramment utilisé pour la gestion de la sécurité sur Internet. Le protocole SSL assure des connexions sécurisées en permettant à deux applications liées via une connexion réseau de s'authentifier l'un l'autre et en chiffrant les données échangées entre les applications.

Une connexion SSL commence par une poignée de main. Durant cette étape, les applications échangent des certificats numériques, se mettent d'accord sur les algorithmes de chiffrement à utiliser et génèrent des clés de chiffrement pour le reste de la session.

Le protocole SSL fournit les dispositifs de sécurité suivants :

Les sections suivantes décrivent comment utiliser SSL pour l'authentification de clients et serveurs entrants et l'authentification d'un client sortant.

Utilisation de magasins de clés pour l'authentification d'un serveur entrant

Utilisation de magasins de relations de confiance pour l'authentification d'un client entrant

Utilisation de paires de clés pour l'authentification d'un client sortant

Activation de HTTPS

Utilisation de magasins de clés pour l'authentification d'un serveur entrant

Vous pouvez créer un magasin de clés pour la sécurisation des documents entrants via une connexion SSL dans WebSphere Partner Gateway - Express et télécharger ce magasin automatiquement, ou le télécharger à partir d'un emplacement externe à l'application. Vous pouvez ensuite télécharger le magasin de clés sur la machine.

Un magasin de clés est une base de données protégée contenant les clés et les certificats. Si vos participants disposent de clés et de certificats et utilisent SSL, la page Entrant vous permet de rendre le magasin de clés accessible. Les rubriques suivantes décrivent la méthode d'utilisation des magasins de clés pour l'authentification d'un serveur entrant.

Création d'un magasin de clés SSL auto-signé

Téléchargement d'un magasin de clés SSL

Téléchargement d'un magasin de clés SSL

Création d'un magasin de clés SSL auto-signé

La procédure suivante décrit comment utiliser WebSphere Partner Gateway - Express pour créer un magasin de clés SSL auto-signé pour la sécurisation des documents entrants. Lorsque vous créez un magasin de clés auto-signé, ce dernier est automatiquement téléchargé dans WebSphere Partner Gateway - Express.

  1. Cliquez sur l'onglet Sécurité pour afficher la page Entrant. Si elle n'apparaît pas, cliquez sur Entrant dans la barre de navigation.
  2. Localisez la ligne Connexion SSL, puis dans la colonne Générer, cliquez sur l'icône Générer un certificat d'auto-signature. La page Générer le magasin de clés SSL d'auto-signature apparaît.
  3. Complétez les entrées dans la page Entrant (voir tableau 11).
  4. Cliquez sur le bouton Créer. Le magasin de clés auto-signé est téléchargé et apparaît dans la page Entrant.
    Tableau 11. Page Entrant pour Générer le magasin de clés SSL d'auto-signature
    Paramètre Description

    Nom usuel

    Entrez le nom d'hôte du serveur.

    Organisation

    Entrez le nom de l'entreprise du participant.

    Unité organisationnelle

    Entrez le nom du département où travaille le participant.

    Localité

    Entrez la localité ou la ville où travaille le participant.

    Etat

    Entrez l'état ou la province où travaille le participant.

    Pays

    Entrez le pays où travaille le participant.

    Adresse électronique

    Entrez l'adresse électronique du participant.

    Validité du certificat

    Entrez la durée de validité du magasin de clés, en nombre de jours.

    Mot de passe du magasin de clés

    Entrez le mot de passe du magasin de clés.

    Mot de passe de la clé privée

    Entrez le mot de passe de la clé privée.

Téléchargement d'un magasin de clés SSL

Pour télécharger un magasin de clés SSL dans WebSphere Partner Gateway - Express, utilisez la procédure suivante.

  1. Cliquez sur l'onglet Sécurité pour afficher la page Entrant. Si elle n'apparaît pas, cliquez sur Entrant dans la barre de navigation horizontale.
  2. Localisez la ligne Connexion SSL, puis dans la colonne Télécharger, cliquez sur l'icône Ajouter/Mettre à jour le certificat/la clé. La page Entrant apparaît.
  3. Complétez les entrées dans la page Entrant (voir tableau 12).
  4. Cliquez sur le bouton Soumettre. Le magasin de clés est téléchargé et apparaît dans la page Entrant.
    Tableau 12. Page Entrant pour le magasin de clés SSL téléchargé
    Paramètre Description

    Fichier du magasin de clés

    Choisissez le chemin et le nom du fichier de magasin de clés que vous souhaitez télécharger. Vous pouvez aussi cliquer sur le bouton Parcourir pour sélectionner le fichier de magasin de clés à télécharger.

    Mot de passe du magasin de clés

    Entrez le mot de passe du magasin de clés que vous souhaitez télécharger.

    Mot de passe de la clé

    Entrez le mot de passe clé du magasin de clés que vous souhaitez télécharger.

Téléchargement d'un magasin de clés SSL

Une fois le magasin de clés SSL téléchargé dans WebSphere Partner Gateway - Express, vous pouvez utiliser la procédure suivante pour télécharger le certificat public encapsulé dans la base de données du magasin de clés.

  1. Cliquez sur l'onglet Sécurité pour afficher la page Entrant. Si elle n'apparaît pas, cliquez sur Entrant dans la barre de navigation horizontale.
  2. Localisez la ligne Connexion SSL, puis dans la colonne Télécharger, cliquez sur l'icône Télécharger un certificat public. Une page de téléchargement de fichier apparaît.
    Remarque :
    Selon la version de votre navigateur et des paramètres du pare-feu, la boîte de dialogue peut vous inviter à sélectionner à ouvrir le fichier ou à l'enregistrer sur le disque. Si tel est le cas, choisissez l'option "Enregistrer".
  3. Cliquez sur Enregistrer (ou équivalent) pour afficher la boîte de dialogue Enregistrer sous. Sélectionnez l'emplacement où vous souhaitez télécharger le certificat, puis cliquez sur Enregistrer.

Utilisation de magasins de relations de confiance pour l'authentification d'un client entrant

Un magasin de relations de confiance est utilisé pour l'authentification d'un client, lorsque WebSphere Partner Gateway - Express doit vérifier le certificat fourni par le serveur. A partir d'un magasin de relations de confiance, le système peut vérifier si un client est fiable et l'autoriser à accéder au site.

Dans la page Entrant, vous pouvez télécharger un magasin de relations de confiance pour l'authentification d'un client. Vous pouvez ensuite supprimer le magasin de relations de confiance lorsqu'il n'est plus nécessaire.

Si le magasin de relations de confiance que vous souhaitez télécharger n'existe pas, vous pouvez le créer à l'aide de Keytool. La section suivante décrit cette procédure.

Important :
Pour activer l'authentification du client, vous devez d'abord exécuter le script bcgClientAuth.jacl qui se trouve dans <ProductDir>/jaclScripts . Les instructions d'appel du script se trouvent dans le script lui-même.

Utilisation de Keytool

Keytool est un programme de gestion de clés et de certificats. Il permet de créer des clés à utiliser pour l'authentification automatique (où WebSphere Partner Gateway - Express s'authentifie auprès d'autres entités et services) ou avec des services d'intégrité de données et d'authentification, à l'aide de signatures numériques. Il vous permet également de mettre en cache les clés publiques (sous la forme de certificats) des homologues de communication.

Keytool enregistre les certificats dans un magasin de relations de confiance. Par défaut, le magasin de relations de confiance est mis en oeuvre sous forme de fichier. Une fois le fichier créé, vous pouvez appliquer la procédure sous Téléchargement d'un magasin de relations de confiance pour l'authentification d'un client pour télécharger le fichier dans WebSphere Partner Gateway - Express.

Les procédures suivantes décrivent l'utilisation de Keytool pour créer un magasin de relations de confiance, y répertorier, ajouter et supprimer des certificats. Les commandes permettant d'exécuter ces procédures peuvent être exécutées à partir de n'importe quel système équipé de Java. Pour des raisons pratiques, Keytool se trouve dans le répertoire was\java\jre\bin du CD de WebSphere Partner Gateway - Express.

Remarque :
Vous pouvez également utiliser ikeyman, une interface graphique associée à WebSphere Partner Gateway - Express qui permet de gérer les certificats dans un magasin de relations de confiance. Les exécutables ikeyman se trouvent dans le répertoire was\bin .
Création d'un magasin de relations de confiance

Pour créer un magasin de relations de confiance, appliquez la procédure suivante.

  1. Ouvrez une invite de commande et passez au répertoire dans lequel se trouve le fichier keytool.exe.
  2. Exécutez la commande suivante :
    keytool -genkey -keystore <nom_fichier magasin_relations_confiance>
     -storetype PKCS12
Affichage de la liste des certificats d'un magasin de relations de confiance

Pour répertorier les certificats d'un magasin de relations de confiance, appliquez la procédure suivante.

  1. Ouvrez une invite de commande et passez au répertoire dans lequel se trouve le fichier keytool.exe.
  2. Exécutez la commande suivante :
    keytool -list -v -keystore <magasin de relations de confiance>
  3. Lorsque Keytool vous demande d'entrer un mot de passe de magasin de relations de confiance, entrez le mot de passe approprié pour répertorier les certificats du magasin de relations de confiance.
Ajout d'un certificat à un magasin de relations de confiance

Pour ajouter un certificat à un magasin de relations de confiance, appliquez la procédure suivante.

  1. Ouvrez une invite de commande et passez au répertoire dans lequel se trouve le fichier keytool.exe.
  2. Exécutez la commande suivante. Dans cette commande, l'option d'alias vous permet d'affecter au certificat un nom facile à mémoriser. Vous pourrez ainsi identifier les entrées du magasin de relations de confiance aisément lorsque vous en afficherez la liste ultérieurement.
    keytool -import -keystore <magasin de relations de confiance> -file <fichier de certificat> -trustcacerts -alias <nom cert>
  3. Lorsque Keytool vous demande d'entrer un mot de passe de magasin de relations de confiance, entrez le mot de passe approprié pour ajouter les certificats au magasin de relations de confiance.
Suppression d'un certificat d'un magasin de relations de confiance

Pour supprimer un certificat d'un magasin de relations de confiance, appliquez la procédure suivante.

  1. Ouvrez une invite de commande et passez au répertoire dans lequel se trouve le fichier keytool.exe.
  2. Exécutez la commande suivante.
    keytool -delete -alias <nom cert> -keystore truststore
  3. Lorsque Keytool vous demande d'entrer un mot de passe de magasin de relations de confiance, entrez le mot de passe approprié pour supprimer le certificat du magasin de relations de confiance.
Téléchargement d'un magasin de relations de confiance pour l'authentification d'un client

Une fois qu'un magasin de relations de confiance a été créé, appliquez la procédure suivante pour le télécharger pour l'authentification d'un client de documents entrants.

  1. Cliquez sur l'onglet Sécurité pour afficher la page Entrant. Si elle n'apparaît pas, cliquez sur Entrant dans la barre de navigation.
  2. Dans le menu déroulant Participant sélectionné, sélectionnez le participant pour lequel vous souhaitez télécharger le magasin de relations de confiance.
  3. Localisez la ligne Authentification client, puis dans la colonne Télécharger, cliquez sur l'icône Ajouter/Mettre à jour le certificat/la clé. La page Télécharger le fichier Truststore pour l'authentification client apparaît.
  4. Complétez les entrées dans la page (voir tableau 13).
  5. Cliquez sur le bouton Soumettre. Le magasin de relations de confiance est téléchargé et apparaît dans la page Entrant.
    Tableau 13. Page Entrant pour Télécharger le fichier Truststore pour l'authentification client
    Paramètre Description

    Fichier Truststore

    Choisissez le chemin et le nom du fichier du magasin de relations de confiance (truststore) à télécharger. Vous pouvez aussi cliquer sur le bouton Parcourir pour sélectionner le fichier du magasin de relations de confiance à télécharger.

    Mot de passe Truststore

    Entrez le mot de passe du magasin de relations de confiance.

Utilisation de paires de clés pour l'authentification d'un client sortant

Pour les documents sortants, l'authentification du client désigne l'identification de WebSphere Partner Gateway - Express auprès d'un serveur distant. Les rubriques suivantes décrivent la méthode d'utilisation des paires de clés pour l'authentification d'un client sortant.

Création d'une paire de clés de certificat client SSL auto-signée

Téléchargement d'une paire de clés d'authentification d'un client

Téléchargement d'un certificat client pour l'authentification d'un client

Création d'une paire de clés de certificat client SSL auto-signée

La procédure suivante explique comment utiliser WebSphere Partner Gateway - Express pour générer une nouvelle paire de clés de certificat client SSL auto-signé. Lorsque vous créez une paire de clés de certificat client SSL auto-signée, cette dernière est automatiquement téléchargée dans WebSphere Partner Gateway - Express.

  1. Cliquez sur l'onglet Sécurité, puis sur Sortant dans la barre de navigation. La page Sortant apparaît.
  2. Dans le menu déroulant Participant sélectionné, sélectionnez le participant pour lequel vous souhaitez créer la paire de clés auto-signée.
  3. Localisez la ligne Authentification client, puis dans la colonne Générer, cliquez sur l'icône Générer un certificat d'auto-signature. La page Sortant apparaît.
  4. Complétez les entrées dans la page Sortant (voir tableau 14).
  5. Cliquez sur le bouton Créer. Le magasin de clés auto-signé est téléchargé et apparaît dans la page Sortant.
    Tableau 14. Page Sortant pour Générer la paire de
    clés des certificats du client SSL auto-signés
    Paramètre Description

    Nom usuel

    Entrez le nom d'hôte du serveur.

    Organisation

    Entrez le nom de l'entreprise du participant.

    Unité organisationnelle

    Entrez le nom du département où travaille le participant.

    Localité

    Entrez la localité ou la ville où travaille le participant.

    Etat

    Entrez l'état ou la province où travaille le participant.

    Pays

    Entrez le pays où travaille le participant.

    Adresse électronique

    Entrez l'adresse électronique du participant.

    Validité du certificat

    Entrez la durée de validité de la paire de clés, en nombre de jours.

    Mot de passe de la clé privée

    Entrez le mot de passe de la clé privée.

Téléchargement d'une paire de clés d'authentification d'un client

Pour télécharger une paire de clés d'authentification de client, identifiant ce client sur un hôte distant, activé pour SSL, appliquez la procédure suivante.

  1. Cliquez sur l'onglet Sécurité, puis sur Sortant dans la barre de navigation. La page Sortant apparaît.
  2. Dans le menu déroulant Participant sélectionné, sélectionnez le participant pour lequel vous souhaitez télécharger la paire de clés.
  3. Localisez la ligne Authentification client, puis dans la colonne Télécharger, cliquez sur l'icône Ajouter/Mettre à jour le certificat/la clé. La page Télécharger la paire de clés de l'authentification client apparaît.
  4. Complétez uniquement l'entrée Certificat public dans la page Sortant (voir tableau 15).
  5. Cliquez sur le bouton Soumettre. La paire de clés est téléchargée et apparaît dans la page Sortant.
    Tableau 15. Page Sortant pour Télécharger la paire de clés de l'authentification client
    Paramètre Description

    Certificat public

    Choisissez le chemin et le nom du fichier de certificat public que vous souhaitez télécharger. Vous pouvez aussi cliquer sur le bouton Parcourir pour sélectionner le fichier de certificat public à télécharger.

Téléchargement d'un certificat client pour l'authentification d'un client

Lorsque vous avez téléchargé une paire de clés dans WebSphere Partner Gateway - Express, vous pouvez utiliser la procédure suivante pour télécharger le certificat public. Vous pouvez envoyer ce certificat public par courrier électronique au partenaire afin qu'il l'intègre dans son magasin de relations de confiance.

  1. Cliquez sur l'onglet Sécurité, puis sur Sortant dans la barre de navigation. La page Sortant apparaît.
  2. Dans le menu déroulant Participant sélectionné, sélectionnez le participant dont vous souhaitez télécharger la paire de clé.
  3. Localisez la ligne Authentification client, puis dans la colonne Télécharger, cliquez sur l'icône Télécharger un certificat public. Une page de téléchargement de fichier apparaît.
    Remarque :
    Selon la version de votre navigateur et des paramètres du pare-feu, la boîte de dialogue peut vous inviter à sélectionner à ouvrir le fichier ou à l'enregistrer sur le disque. Si tel est le cas, choisissez l'option "Enregistrer".
  4. Cliquez sur Enregistrer (ou équivalent) pour afficher la boîte de dialogue Enregistrer sous. Sélectionnez l'emplacement où vous souhaitez télécharger la paire de clés, puis cliquez sur Enregistrer.

Activation de HTTPS

La procédure suivante décrit comment activer HTTPS.

  1. Cliquez sur l'onglet Configuration, puis sur Mon profil dans la barre de navigation. La page Gestion de mon profil apparaît.
  2. Cliquez sur le bouton Editer pour ouvrir la page d'édition Gestion de mon profil.
  3. Dans la zone Sécurisé (sous Domaine) de la section Adresse de réception, entrez un nom de domaine, puis un numéro de port HTTPS disponible dans la zone Port correspondante.
  4. Si besoin est ou le cas échéant, complétez les zones sous ID AS2 de société et Détails de la société, puis cliquez sur Enregistrer.
  5. Cliquez sur l'onglet Configuration, puis sur Gestion des participants dans la barre de navigation. La page Gestion des participants apparaît.
  6. Cliquez sur Editer en regard des participants pour lesquels vous souhaitez activer HTTPS. La fenêtre Modification des données d'un participant apparaît.
  7. Cochez la case HTTPS, puis cliquez sur Enregistrer.

Copyright IBM Corp. 2003, 2005