配置和验证数字签名

数字签名是一种确保不可抵赖性的机制。不可抵赖性是一种服务,它确保参与者不能否认已经创建并发送了某条消息(称为“源和内容的不可抵赖性”)。它还确保参与者不能否认已经接收了某条消息(称为“接收方的不可抵赖性”)。在使用公用密钥加密的认证系统中,数字签名用于对证书进行签名。

数字签名允许发送方按这样的方法对消息进行签名:即可以验证该消息是由发送方实体签名的,因此证明自从签名后,此消息未被修改过。WebSphere Partner Gateway - Express 使用数字签名来保护入站和出站文档。

下列各部分描述了如何配置出站数字签名以及如何配置对入站文档的数字签名验证。

配置对出站文档的数字签名

要配置出站文档的数字签名,首先必须创建或上载一个文档签名密钥对,然后下载该密钥对的公用密钥部分,以发送给贸易伙伴。您可通过生成新的自签名密钥对或上载现有的文档签名密钥对,来创建文档签名密钥对。下面几部分描述了如何配置对出站文档的数字签名。

生成自签名文档签名密钥对

上载现有的文档签名密钥对

下载文档签名公共证书

生成自签名文档签名密钥对

以下过程描述了如何使用 WebSphere Partner Gateway - Express 来生成新的自签名文档签名密钥对。

注:
如果文档签名密钥对已经存在,则请参阅上载现有的文档签名密钥对

当生成自签名文档签名密钥对时,它会自动上载到 WebSphere Partner Gateway - Express。 要生成用于保护出站文档的自签名文档签名密钥对,请使用下列过程。

  1. 单击安全性选项卡,然后单击导航栏中的出站。会出现“出站”页面。
  2. 选定的参与者下拉菜单中,选择想要为哪个参与者生成自签名密钥对。
  3. 找到“验证”行,然后在“生成”列中单击生成自签名证书图标。 会出现“出站”页面。
  4. 填写“出站”页面中的各项(请参阅表 9)。
  5. 单击创建按钮。这样会上载自签名密钥对,并显示在“出站”页面中。
    注:
    角色从验证更改为签名
    表 9. 用于已生成的自签名密钥对的出站页面
    文档签名密钥对
    参数 描述

    公共名

    输入服务器主机名。

    组织

    输入参与者的公司名称。

    组织部门

    输入参与者所在的部门名称。

    地点

    输入参与者所在的地点或城市。

    省/直辖市/自治区

    输入参与者所在的省/直辖市/自治区。

    国家或地区

    输入参与者所在的国家或地区。

    电子邮件地址

    输入参与者的电子邮件地址。

    证书有效期

    输入密钥对有效的天数。

    专用密钥密码

    输入专用密钥密码。

上载现有的文档签名密钥对

要上载保护出站文档的文档签名密钥对,请使用下列过程。

注:
仅当文档签名密钥对已经存在时,才能使用这些指示信息。否则,请参阅生成自签名文档签名密钥对

  1. 单击安全性选项卡,然后单击导航栏中的出站。会出现“出站”页面。
  2. 选定的参与者下拉菜单中,选择要为哪个参与者上载密钥对。
  3. 找到签名行,然后在“上载”列中单击添加/更新证书/密钥按钮。 这样会出现“上载文档签名密钥对”页面。
  4. 填写该页中的各项(请参阅表 10)。
  5. 单击提交按钮。这样会上载密钥对,并在“出站”页面中显示它。
    表 10. 用于文档签名密钥对的出站页面
    参数 描述

    专用密钥文件

    专用密钥文件必须采用 PKCS#8 格式。 如果专用密钥文件没有以 PKCS#8 格式显示,那么,如果将 PKCS#12 文件上载到“专用密钥”文件,会从 PKCS12 类型的文件中抽取专用密钥。输入想要上载的专用密钥文件的路径和名称。或者,单击浏览按钮以选择想要上载的专用密钥文件。

    专用密钥密码

    输入专用密钥密码。

    公共证书

    公共证书必须采用 DER 格式。 输入想要上载的公共证书的路径和名称。或者,单击浏览按钮以选择想要上载的公共证书文件。

下载文档签名公共证书

在将文档签名密钥对上载到 WebSphere Partner Gateway - Express 之后,您必须在将密钥对的公共证书发送给合作伙伴之前下载该证书。如果合作伙伴正在使用 WebSphere Partner Gateway - Express,则合作伙伴应该将文档签名证书装入到自己的认证中心列表中(请参阅添加新证书)。

  1. 单击安全性选项卡,然后单击水平导航栏中的出站。会出现“出站”页面。
  2. 选定的参与者下拉菜单中,选择要下载哪个参与者的文档签名公共证书。
  3. 找到签名行,然后在“下载”列中单击下载公共证书按钮。 这样会出现“文件下载”页面。
    注:
    根据您浏览器的版本和防火墙的设置,对话框会提示您选择打开文件还是保存到磁盘。如果这样的话,则选择“保存”选项。
  4. 单击保存(或相同效果的按钮)以显示“另存为”对话框。
  5. 选择想要下载文档签名公共证书的位置,将文件重命名为适当的名称,然后单击保存
  6. 将已保存的文件发送给贸易伙伴。

配置对入站文档的数字签名验证

如果贸易伙伴要将数字签名的文档发送给您,则必须获得该贸易伙伴的公共签名证书并将其添加到“认证中心”选项卡。 下列过程描述如何做到这一点。

  1. 单击安全性选项卡,然后单击导航栏中的认证中心。这样会出现“认证中心”页面。
  2. 单击添加新证书按钮。
  3. 输入想要添加的公共证书文件的路径和名称。或者,单击浏览按钮以选择想要添加的公共证书文件。
  4. 单击提交以将文件添加到“认证中心”证书文件的列表中。

启用数字签名

要启用数字签名,请使用下列过程。

  1. 单击配置选项卡,然后单击导航栏中的 AS2
  2. 选定的参与者下拉菜单中,选择您要哪个参与者启用出站文档加密。
  3. 单击编辑按钮。这样会出现“管理 AS2”编辑页面。
  4. 在”出站“部分中,选中签名文档复选框,然后单击保存

Copyright IBM Corp. 2003, 2005