Utilizando o Protocolo SSL (Secure Sockets Layer)

O WebSphere Partner Gateway - Express utiliza o protocolo SSL (Secure Sockets Layer) para proteger documentos de entrada e de saída. O SSL é um protocolo de uso comum para gerenciamento de segurança via Internet. O SSL fornece conexões seguras permitindo que dois aplicativos vinculados por meio de uma conexão de rede façam a autenticação recíproca de suas identidades e criptografando os dados trocados entre esses aplicativos.

Uma conexão SSL começa com um protocolo de reconhecimento. Durante essa fase, os aplicativos fazem o intercâmbio de certificados digitais, concordam com os algoritmos de criptografia a serem utilizados e geram chaves de criptografia utilizadas até o encerramento da sessão.

O protocolo SSL oferece os seguintes recursos de segurança:

As seções a seguir descrevem como utilizar o SSL para autenticação de cliente e servidor de entrada e para autenticação de cliente de saída.

Utilizando Armazenamentos de Chaves para Autenticação de Servidor de Entrada

Utilizando Truststores para a Autenticação de Cliente de Entrada

Utilizando Pares de Chaves para Autenticação de Cliente de Saída

Ativando o HTTPS

Utilizando Armazenamentos de Chaves para Autenticação de Servidor de Entrada

Um armazenamento de chaves para proteger documentos de entrada durante uma conexão SSL pode ser gerado e transferido automaticamente por upload no WebSphere Partner Gateway - Express ou transferido por upload de um local fora do aplicativo. Em seguida, esse armazenamento de chaves pode ser transferido por download.

Um armazenamento de chaves é um banco de dados protegido que comporta chaves e certificados. Se os seus participantes tiverem chaves e certificados e utilizarem o SSL, você poderá utilizar a página Entrada para disponibilizar o armazenamento de chaves. Os tópicos a seguir descrevem como utilizar armazenamentos de chaves para autenticação de servidor de entrada.

Gerando um Armazenamento de Chaves SSL Auto-assinado

Fazendo o Upload do Armazenamento de Chaves SSL

Fazendo o Download do Armazenamento de Chaves SSL

Gerando um Armazenamento de Chaves SSL Auto-assinado

Os procedimentos a seguir descrevem como utilizar o WebSphere Partner Gateway - Express para gerar um armazenamento de chave SSL auto-assinado para proteger documentos de entrada. Depois de gerado, um armazenamento de chave auto-assinado é automaticamente transferido por upload para o WebSphere Partner Gateway - Express.

  1. Clique na guia Segurança para exibir a página Entrada. Se essa página não aparecer, clique em Entrada na barra de navegação.
  2. Localize a linha Conexão SSL e, na coluna Gerar, clique no ícone Gerar Certificado Auto-assinado. A página Entrada para Gerar Armazenamento de Chaves SSL Auto-assinado é exibida.
  3. Preencha as entradas da página Entrada (consulte a Tabela 11).
  4. Clique no botão Criar. O armazenamento de chaves auto-assinado é transferido por upload e exibido na página Entrada.
    Tabela 11. Página Entrada para Armazenamento de Chaves SSL Auto-assinado Gerado
    Parâmetro Descrição

    Nome Comum

    Digite o nome de host do servidor.

    Organização

    Digite o nome da empresa do participante.

    Organizational Unit

    Digite o nome do departamento em que o participante trabalha.

    Localidade

    Digite o código do idioma ou a cidade em que o participante trabalha.

    Estado

    Digite o estado ou o distrito em que o participante trabalha.

    País

    Digite o país em que o participante trabalha.

    Endereço de E-mail

    Digite o endereço de e-mail do participante.

    Validade do Certificado

    Digite o número de dias durante os quais o armazenamento de chave permanecerá válido.

    Senha do Armazenamento de Chaves

    Digite a senha do armazenamento de chaves.

    Senha de Chave Privada

    Digite a senha de chave privada.

Fazendo o Upload do Armazenamento de Chaves SSL

Se você tiver um armazenamento de chaves SSL que deseja transferir por upload para o WebSphere Partner Gateway - Express, utilize os seguintes procedimentos.

  1. Clique na guia Segurança para exibir a página Entrada. Se essa página não aparecer, clique em Entrada na barra de navegação horizontal.
  2. Localize a linha Conexão SSL e, na coluna Upload, clique no ícone Incluir/Atualizar Certificado/Chave. A página Entrada é exibida.
  3. Preencha as entradas da página Entrada (consulte a Tabela 12).
  4. Clique no botão Submeter. O armazenamento de chaves é transferido por upload e exibido na página Entrada.
    Tabela 12. Página Entrada para Armazenamento de Chaves SSL Transferido por Upload
    Parâmetro Descrição

    Arquivo de Armazenamento de Chaves

    Digite o caminho e o nome do arquivo de armazenamento de chaves que você deseja transferir por upload. Como alternativa, clique no botão Procurar para selecionar o arquivo de armazenamento de chaves para upload.

    Senha do Armazenamento de Chaves

    Digite a senha correspondente ao armazenamento de chaves que você deseja transferir por upload.

    Senha-Chave

    Digite a senha-chave correspondente ao armazenamento de chaves que você deseja transferir por upload.

Fazendo o Download do Armazenamento de Chaves SSL

Depois de fazer o upload de um armazenamento de chave SSL para o WebSphere Partner Gateway - Express, você poderá utilizar os procedimentos a seguir para fazer o download do certificado público encapsulado no banco de dados de armazenamento de chaves.

  1. Clique na guia Segurança para exibir a página Entrada. Se essa página não aparecer, clique em Entrada na barra de navegação horizontal.
  2. Localize a linha Conexão SSL e, na coluna Download, clique no ícone Fazer Download de Certificado Público. Uma página de "download de arquivo" é exibida.
    Nota:
    Dependendo da versão do navegador e das configurações do firewall, essa caixa de diálogo poderá solicitar que você opte por abrir o arquivo ou por salvá-lo em disco. Se isso ocorrer, selecione a opção "Salvar".
  3. Clique em Salvar (ou equivalente) para exibir a caixa de diálogo Salvar como, selecione um local para o download do certificado e clique em Salvar.

Utilizando Truststores para a Autenticação de Cliente de Entrada

Um truststore é utilizado para autenticação de cliente quando o WebSphere Partner Gateway - Express deseja verificar o certificado fornecido pelo servidor. A partir de um truststore, o sistema pode confirmar se o cliente é ou não confiável e se deve ter acesso ao site.

Utilizando a página Entrada, é possível fazer o upload de um truststore para autenticação de cliente. Em seguida, o truststore pode ser excluído quando não é mais necessário.

Se o truststore que você deseja transferir por upload não tiver sido criado, utilize o keytool para criá-lo. A seção a seguir descreve esse procedimento.

Importante:
Para ativar a autenticação de cliente, primeiro é necessário executar o script bcgClientAuth.jacl, localizado em <ProductDir>/jaclScripts. As instruções para chamar o script estão no próprio script.

Utilizando o Keytool

O keytool é um utilitário de gerenciamento de chaves e de certificados, que permite criar chaves para uso na auto-autenticação (no qual o WebSphere Partner Gateway - Express se autentica em outras entidades e serviços) ou permite criar serviços de integridade de dados e autenticação, utilizando assinaturas digitais. Além disso, ele também possibilita o armazenamento em cache das chaves públicas (no formato de certificados) dos respectivos períodos de comunicação.

O keytool armazena os certificados em um truststore. A implementação do truststore padrão implementa o armazenamento de chaves como um arquivo. Depois de criar o arquivo, você poderá utilizar o procedimento em Fazendo o Upload de um Truststore para Autenticação de Cliente para fazer o upload do arquivo no WebSphere Partner Gateway - Express.

Os procedimentos a seguir descrevem como utilizar o keytool de forma a criar um truststore, listar certificados em um truststore, incluir certificados em um truststore e excluir certificados de um truststore. Os comandos utilizados para desempenhar esses procedimentos podem ser executados a partir de qualquer sistema com o Java instalado. Por questões de conveniência, o keytool é fornecido no diretório was\java\jre\bin do CD do WebSphere Partner Gateway - Express.

Nota:
Também é possível utilizar o ikeyman, uma GUI que acompanha o WebSphere Partner Gateway - Express e possibilita o gerenciamento de certificados em um truststore. Os executáveis do ikeyman estão localizados no diretório was\bin.
Criando um Truststore

Para criar um truststore, siga este procedimento.

  1. Abra um janela de prompt de comandos e configure o diretório atual como o local do arquivo keytool.exe.
  2. Execute o seguinte comando:
    keytool -genkey -keystore <nome do arquivo truststore> -storetype PKCS12
Listando Certificados em um Truststore

Para listar certificados em um truststore, siga este procedimento.

  1. Abra um janela de prompt de comandos e configure o diretório atual como o local do arquivo keytool.exe.
  2. Execute o seguinte comando:
    keytool -list -v -keystore <truststore>
  3. Quando o keytool solicitar a senha do truststore, digite a senha apropriada para listar os certificados no truststore.
Incluindo um Certificado em um Truststore

Para incluir um certificado em um truststore, siga este procedimento.

  1. Abra um janela de prompt de comandos e configure o diretório atual como o local do arquivo keytool.exe.
  2. Execute o comando a seguir. Nesse comando, a opção alias permite designar ao certificado um nome mais fácil de memorizar. Isso também possibilitará a identificação antecipada de entradas no truststore quando ele for listado no futuro.
    keytool -import -keystore <truststore> -file <arquivo de certificado> -trustcacerts -alias <nome do certificado>
  3. Quando o keytool solicitar a senha do truststore, digite a senha apropriada para incluir o certificado no truststore.
Removendo um Certificado de um Truststore

Para remover um certificado de um truststore, siga este procedimento.

  1. Abra um janela de prompt de comandos e configure o diretório atual como o local do arquivo keytool.exe.
  2. Execute o comando a seguir.
    keytool -delete -alias <nome do certificado> -keystore truststore
  3. Quando o keytool solicitar a senha do truststore, digite a senha apropriada para remover o certificado do truststore.
Fazendo o Upload de um Truststore para Autenticação de Cliente

Após a criação de um truststore, siga este procedimento de forma a transferi-lo por upload para a autenticação de cliente de documentos de entrada.

  1. Clique na guia Segurança para exibir a página Entrada. Se essa página não aparecer, clique em Entrada na barra de navegação.
  2. No menu drop-down Participante Selecionado, escolha o participante para o qual você deseja fazer o upload do truststore.
  3. Localize a linha Autenticação de Cliente e, na coluna Upload, clique no ícone Incluir/Atualizar Certificado/Chave. A página Entrada para Fazer Upload de Truststore para Autenticação de Cliente é exibida.
  4. Preencha as entradas da página (consulte a Tabela 13).
  5. Clique no botão Submeter. O truststore é transferido por upload e exibido na página Entrada.
    Tabela 13. Página Entrada para Truststore Transferido por Upload para Autenticação de Cliente
    Parâmetro Descrição

    Arquivo Truststore

    Digite o caminho e o nome do arquivo truststore a ser transferido por upload. Como alternativa, clique no botão Procurar para selecionar o arquivo truststore para upload.

    Senha do Truststore

    Digite a senha do truststore.

Utilizando Pares de Chaves para Autenticação de Cliente de Saída

Para documentos de saída, a autenticação de cliente é o momento em que o WebSphere Partner Gateway - Express se identifica em um servidor remoto. Os tópicos a seguir descrevem como utilizar pares de chaves para autenticação de cliente de saída.

Gerando um Par de Chaves de Certificado Cliente SSL Auto-assinado

Fazendo o Upload de um Par de Chaves de Autenticação de Cliente

Fazendo o Download do Certificado Cliente para Autenticação de Cliente

Gerando um Par de Chaves de Certificado Cliente SSL Auto-assinado

Os procedimentos a seguir descrevem como utilizar o WebSphere Partner Gateway - Express para gerar um novo par de chaves de certificado cliente SSL auto-assinado. Depois de gerado, um par de chaves de certificação de cliente SSL auto-assinado é automaticamente transferido por upload para o WebSphere Partner Gateway - Express.

  1. Clique na guia Segurança e selecione Saída na barra de navegação. A página Saída é exibida.
  2. No menu drop-down Participante Selecionado, selecione o participante para o qual você deseja gerar o par de chaves auto-assinado.
  3. Localize a linha Autenticação de Cliente e, na coluna Gerar, clique no ícone Gerar Certificado Auto-assinado. A página Saída é exibida.
  4. Preencha as entradas da página Saída (consulte a Tabela 14).
  5. Clique no botão Criar. O armazenamento de chave auto-assinado é transferido por upload e exibido na página Saída.
    Tabela 14. Página Saída para Pares de Chaves de Certificado
    Cliente SSL Auto-assinado Gerado
    Parâmetro Descrição

    Nome Comum

    Digite o nome de host do servidor.

    Organização

    Digite o nome da empresa do participante.

    Organizational Unit

    Digite o nome do departamento em que o participante trabalha.

    Localidade

    Digite o código do idioma ou a cidade em que o participante trabalha.

    Estado

    Digite o estado ou o distrito em que o participante trabalha.

    País

    Digite o país em que o participante trabalha.

    Endereço de E-mail

    Digite o endereço de e-mail do participante.

    Validade do Certificado

    Digite o número de dias durante os quais o par de chaves permanecerá válido.

    Senha de Chave Privada

    Digite a senha de chave privada.

Fazendo o Upload de um Par de Chaves de Autenticação de Cliente

Para fazer o upload de um par de chaves de autenticação de cliente que identifique esse cliente em um host remoto ativado para SSL, siga este procedimento.

  1. Clique na guia Segurança e selecione Saída na barra de navegação. A página Saída é exibida.
  2. No menu drop-down Participante Selecionado, selecione o participante para o qual você deseja fazer o upload do par de chaves.
  3. Localize a linha Autenticação de Cliente e, na coluna Upload, clique no ícone Incluir/Atualizar Certificado/Chave. A página Saída para Upload de Par de Chaves de Certificado Cliente é exibida.
  4. Preencha apenas a entrada Certificado Público na página Saída (consulte a Tabela 15).
  5. Clique no botão Submeter. O par de chaves será transferido por upload e exibido na página Saída.
    Tabela 15. Página Saída para Par de Chaves de Autenticação de Cliente
    Parâmetro Descrição

    Certificado Público

    Digite o caminho e o nome do arquivo de certificado público que você deseja transferir por upload. Como alternativa, clique no botão Procurar para selecionar o arquivo de certificado público para upload.

Fazendo o Download do Certificado Cliente para Autenticação de Cliente

Depois de fazer o upload de um par de chaves para o WebSphere Partner Gateway - Express, utilize os procedimentos a seguir para fazer download do certificado público. Esse certificado público pode ser enviado por e-mail ao parceiro para inclusão em seu truststore.

  1. Clique na guia Segurança e selecione Saída na barra de navegação. A página Saída é exibida.
  2. No menu drop-down Participante Selecionado, escolha o participante cujo par de chaves você deseja fazer download.
  3. Localize a linha Autenticação de Cliente e, na coluna Download, clique no ícone Fazer Download de Certificado Público. Uma página de "download de arquivo" é exibida.
    Nota:
    Dependendo da versão do navegador e das configurações do firewall, essa caixa de diálogo poderá solicitar que você opte por abrir o arquivo ou por salvá-lo em disco. Se isso ocorrer, selecione a opção "Salvar".
  4. Clique em Salvar (ou equivalente) para exibir a caixa de diálogo Salvar como, selecione um local para o download do par de chaves e clique em Salvar.

Ativando o HTTPS

As etapas a seguir descrevem como ativar o HTTPS.

  1. Clique na guia Configuração e selecione Meu Perfil na barra de navegação. A página Gerenciar Meu Perfil é exibida.
  2. Clique no botão Editar para abrir a página de edição Gerenciar Meu Perfil.
  3. No campo Seguro (em Domínio) da seção Endereço de Recebimento, digite um nome de domínio e digite um número de porta HTTPS disponível no campo Porta correspondente.
  4. Se apropriado ou necessário, preencha os campos em ID AS2 da Empresa e Detalhes da Empresa. Em seguida, clique em Salvar.
  5. Clique na guia Configuração e selecione Gerenciar Participantes na barra de navegação. A página Gerenciar Participantes é exibida.
  6. Clique em Editar para o participante cujo HTTPS você deseja permitir. A página Editar Participante é exibida.
  7. Marque a caixa de opções HTTPS e clique em Salvar.

Copyright IBM Corp. 2003, 2005