使用安全套接字层(SSL)协议

WebSphere Partner Gateway - Express 使用安全套接字层(SSL)协议来保护入站和出站文档。SSL 是一种常用于管理因特网上安全性的协议。SSL 通过使得由网络连接的两个应用程序能够相互认证各自身份,并且通过对在应用程序之间交换的数据进行加密,来提供安全的连接。

SSL 连接从“握手”开始。在此阶段,应用程序交换数字证书、对要使用的加密算法达成一致并生成在会话的余下部分所使用的加密密钥。

SSL 协议提供了下列安全性功能:

以下部分描述如何将 SSL 用于入站服务器和客户机认证,以及出站客户机认证。

将密钥库用于入站服务器认证

将信任密钥库用于入站客户机认证

将密钥对用于出站客户机认证

启用 HTTPS

将密钥库用于入站服务器认证

用于通过 SSL 连接保护入站文档的密钥库可以在 WebSphere Partner Gateway - Express 中自动生成或上载,或者可以从应用程序之外的某个位置上载。然后您可以下载该密钥库。

密钥库是保存密钥和证书的受保护数据库。如果参与者拥有密钥和证书并且使用 SSL,则您可以使用“入站”页面来使得密钥库可用。下列主题描述如何将密钥库用于入站服务器认证。

生成自签名 SSL 密钥库

上载 SSL 密钥库

下载 SSL 密钥库

生成自签名 SSL 密钥库

以下过程描述了如何使用 WebSphere Partner Gateway - Express 来生成自签名的 SSL 密钥库,以便保护入站文档。当生成自签名的密钥库时,它会自动上载到 WebSphere Partner Gateway - Express。

  1. 单击安全性选项卡以显示“入站”页面。如果该页面未出现,则单击导航栏中的入站
  2. 找到“SSL 连接”行,然后在生成列中单击生成自签名证书图标。 这样会出现“入站生成自签名 SSL 密钥库”。
  3. 填写“入站”页面中的各项(请参阅表 11)。
  4. 单击创建按钮。这样会上载自签名密钥库,并显示在“入站”页面中。
    表 11. 用于生成的自签名 SSL 密钥库的入站页面
    参数 描述

    公共名

    输入服务器主机名。

    组织

    输入参与者的公司名称。

    组织部门

    输入参与者所在的部门名称。

    地点

    输入参与者所在的地点或城市。

    省/直辖市/自治区

    输入参与者所在的省/直辖市/自治区。

    国家或地区

    输入参与者所在的国家或地区。

    电子邮件地址

    输入参与者的电子邮件地址。

    证书有效期

    输入密钥库有效的天数。

    密钥库密码

    输入密钥库密码。

    专用密钥密码

    输入专用密钥密码。

上载 SSL 密钥库

如果具有想要上载到 WebSphere Partner Gateway - Express 的 SSL 密钥库,则请使用以下过程。

  1. 单击安全性选项卡以显示“入站”页面。如果该页面未出现,则单击水平导航栏中的入站
  2. 找到“SSL 连接”行,然后在“上载”列中单击添加/更新证书/密钥图标。这样会出现“入站”页面。
  3. 填写“入站”页面中的各项(请参阅表 12)。
  4. 单击提交按钮。这样会上载密钥库,并显示在“入站”页面中。
    表 12. 上载 SSL 密钥库的入站页面
    参数 描述

    密钥库文件

    输入想要上载的密钥库文件的路径和名称。或者,单击浏览按钮以选择想要上载的密钥库文件。

    密钥库密码

    输入想要上载的密钥库的密钥库密码。

    密钥密码

    输入想要上载的密钥库的密钥密码。

下载 SSL 密钥库

在将 SSL 密钥库上载到 WebSphere Partner Gateway - Express 之后,您可以使用以下过程来下载封装在密钥库数据库中的公共证书。

  1. 单击安全性选项卡以显示“入站”页面。如果该页面未出现,则单击水平导航栏中的入站
  2. 找到“SSL 连接”行,然后在“下载”列中单击下载公共证书图标。 这样会出现“文件下载”页面。
    注:
    根据您浏览器的版本和防火墙的设置,对话框会提示您选择打开文件还是保存到磁盘。如果这样的话,则选择“保存”选项。
  3. 单击保存(或同样效果的按钮)以显示“另存为”对话框,选择想要下载证书的位置,然后单击保存

将信任密钥库用于入站客户机认证

当 WebSphere Partner Gateway - Express 想要验证服务器提供的证书时,信任密钥库用于客户机认证。通过信任密钥库,系统可以确定是否信任某个客户机,并允许它访问该站点。

使用“入站”页面,您可以上载用于客户机认证的信任密钥库。当不在需要信任密钥库时,可以删除它。

如果想要上载的信任密钥库还未创建,您可以使用 keytool 来创建它。以下部分描述了该过程。

要点:
要启用客户机认证,您必须首先运行 bcgClientAuth.jacl 脚本,该脚本位于 <ProductDir>/jaclScripts。调用脚本的指示信息位于脚本自身之中。

使用 keytool

Keytool 是一个密钥和证书管理实用程序。它允许您使用数字签名创建用于自我认证(其中 WebSphere Partner Gateway - Express 向其他实体和服务认证自己)或数据完整性和认证服务的密钥。它还允许将各通信方的公用密钥(以证书的形式)存于高速缓存中。

Keytool 将证书存储在信任密钥库中。缺省的信任密钥库实现将密钥库作为文件实现。一旦创建了该文件,您可以使用 上载用于客户机认证的信任密钥库 下的过程将该文件上载到 WebSphere Partner Gateway - Express。

以下过程描述了如何使用 keytool 来创建信任密钥库、列出信任密钥库中的证书、将证书添加到信任密钥库,以及从信任密钥库中删除证书。用于执行这些过程的命令可以在安装了 Java 的任何系统上执行。出于方便起见,keytool 会在 WebSphere Partner Gateway - Express CD 的目录 was\java\jre\bin 中提供。

注:
您也可以使用 ikeyman(WebSphere Partner Gateway - Express 随附的 GUI),它允许您管理信任密钥库中的证书。ikeyman 可执行文件位于 was\bin 目录中。
创建信任密钥库

要创建信任密钥库,请使用以下过程。

  1. 打开命令提示符窗口,并将当前目录设置为 keytool.exe 文件的位置。
  2. 执行以下命令:
    keytool -genkey -keystore <truststore filename> -storetype PKCS12
列出信任密钥库中的证书

要列出信任密钥库中的证书,请使用下面的过程。

  1. 打开命令提示符窗口,并将当前目录设置为 keytool.exe 文件的位置。
  2. 执行以下命令:
    keytool -list -v -keystore <truststore>
  3. 当 keytool 提示您提供信任密钥库密码时,请输入相应的密码以列出信任密钥库中的证书。
将证书添加到信任密钥库

要将证书添加到信任密钥库,请使用下面的过程。

  1. 打开命令提示符窗口,并将当前目录设置为 keytool.exe 文件的位置。
  2. 执行以下命令。 在该命令中,别名(alias)选项允许您将一个易于记忆的名称指派给证书。当将来列出信任密钥库中的证书时,该名称将使您很容易就能标识信任密钥库项。
    keytool -import -keystore <truststore> -file <certificate file> -trustcacerts -alias <cert name>
  3. 当 keytool 提示您提供信任密钥库密码时,请输入相应的密码从而将证书添加到信任密钥库。
将证书从信任密钥库除去

要将证书从信任密钥库除去,请使用下面的过程。

  1. 打开命令提示符窗口,并将当前目录设置为 keytool.exe 文件的位置。
  2. 执行以下命令。
    keytool -delete -alias <cert name> -keystore truststore
  3. 当 keytool 提示您提供信任密钥库密码时,请输入相应的密码以将证书从信任密钥库中除去。
上载用于客户机认证的信任密钥库

在创建信任密钥库之后,可以使用下面的过程上载它以用于入站文档的客户机认证。

  1. 单击安全性选项卡以显示“入站”页面。如果该页面未出现,则单击导航栏中的入站
  2. 选定的参与者下拉菜单中,选择要为哪个参与者上载信任密钥库。
  3. 找到“客户认证”行,然后在“上载”列中单击添加/更新证书/密钥图标。这样会出现“用于客户机认证的入站上载信任密钥库”页面。
  4. 填写该页中的各项(请参阅表 13)。
  5. 单击提交按钮。这样会上载信任密钥库,并显示在“入站”页面中。
    表 13. 用于客户机认证的已上载信任密钥库的入站页面
    参数 描述

    信任密钥库文件

    输入想要上载的信任密钥库文件的路径和名称。或者,单击浏览按钮以选择想要上载的信任密钥库文件。

    信任密钥库密码

    输入信任密钥库密码。

将密钥对用于出站客户机认证

对于出站文档,WebSphere Partner Gateway - Express 在客户机认证中对远程服务器标识自己。下列主题描述了如何将密钥对用于出站客户机认证。

生成自签名 SSL 客户机证书密钥对

上载客户机认证密钥对

下载用于客户机认证的客户机证书

生成自签名 SSL 客户机证书密钥对

以下过程描述了如何使用 WebSphere Partner Gateway - Express 来生成自签名的 SSL 客户机证书密钥对。当生成自签名的 SSL 客户机证书密钥对时,它会自动上载到 WebSphere Partner Gateway - Express。

  1. 单击安全性选项卡,然后单击导航栏中的出站。会出现“出站”页面。
  2. 选定的参与者下拉菜单中,选择想要为哪个参与者生成自签名密钥对。
  3. 找到“客户认证”行,然后在“生成”列中单击生成自签名证书图标。 会出现“出站”页面。
  4. 填写“出站”页面中的各项(请参阅表 14)。
  5. 单击创建按钮。这样会上载自签名密钥库,并显示在“出站”页面中。
    表 14. 用于已生成的自签名密钥对的出站页面
    SSL 客户机证书密钥对
    参数 描述

    公共名

    输入服务器主机名。

    组织

    输入参与者的公司名称。

    组织部门

    输入参与者所在的部门名称。

    地点

    输入参与者所在的地点或城市。

    省/直辖市/自治区

    输入参与者所在的省/直辖市/自治区。

    国家或地区

    输入参与者所在的国家或地区。

    电子邮件地址

    输入参与者的电子邮件地址。

    证书有效期

    输入密钥对有效的天数。

    专用密钥密码

    输入专用密钥密码。

上载客户机认证密钥对

要将标识该客户机的客户机认证密钥对上载到支持 SSL 的远程主机,请使用下面的过程。

  1. 单击安全性选项卡,然后单击导航栏中的出站。会出现“出站”页面。
  2. 选定的参与者下拉菜单中,选择要为哪个参与者上载密钥对。
  3. 找到“客户认证”行,然后在“上载”列中单击添加/更新证书/密钥图标。这样会出现“出站上载客户机证书密钥对”页面。
  4. 只填写“出站”页面中的公共证书项(请参阅表 15)。
  5. 单击提交按钮。这样会上载密钥对,并在“出站”页面中显示它。
    表 15. 客户机认证密钥对的出站页面
    参数 描述

    公共证书

    输入想要上载的公共证书的路径和名称。或者,单击浏览按钮以选择想要上载的公共证书文件。

下载用于客户机认证的客户机证书

在将密钥对上载到 WebSphere Partner Gateway - Express 之后,您可以使用以下过程来下载公共证书。该公共证书可以通过电子邮件方式发送给合作伙伴,以便将其包含在合作伙伴的信任密钥库内。

  1. 单击安全性选项卡,然后单击导航栏中的出站。会出现“出站”页面。
  2. 选定的参与者下拉菜单中,选择您要下载哪个参与者的密钥对。
  3. 找到“客户认证”行,然后在“下载”列中单击下载公共证书图标。这样会出现“文件下载”页面。
    注:
    根据您浏览器的版本和防火墙的设置,对话框会提示您选择打开文件还是保存到磁盘。如果这样的话,则选择“保存”选项。
  4. 单击保存(或相同效果的按钮)以显示“另存为”对话框,然后单击保存

启用 HTTPS

下列步骤描述了如何启用 HTTPS。

  1. 单击配置选项卡,然后单击导航栏中的我的概要文件。这样会出现“管理我的概要文件”页面。
  2. 单击编辑按钮以打开“管理我的概要文件”编辑页面。
  3. 在“收件人地址”部分的“安全”字段(位于“域”下面)中,输入一个域名,然后在相应的“端口”字段中输入一个可用的 HTTPS 端口号。
  4. 如果合适或者需要,填写“公司 AS2 标识”和“公司详细信息”下的字段,然后单击保存
  5. 单击配置选项卡,然后单击导航栏中的管理参与者。这样会出现“管理参与者”页面。
  6. 单击编辑,为期望的参与者启用 HTTPS。这样会出现“编辑参与者”页面。
  7. 选择“HTTPS”复选框,然后单击保存

Copyright IBM Corp. 2003, 2005