配置加密和解密

WebSphere Partner Gateway - Express 使用密码系统(即所谓的公用密钥加密)来确保贸易伙伴之间的通信是安全的。公用密钥加密使用一对算术相关的密钥。使用第一个密钥加密的文档必须使用第二个密钥来解密,而使用第二个密钥加密的文档必须使用第一个密钥解密。公用密钥系统中的每个参与者都有一对密钥。其中一个密钥是保密的;即专用密钥。另一个密钥分发给任何需要它的人;即公共密钥。WebSphere Partner Gateway - Express 使用合作伙伴的公用密钥来加密文档;使用专用密钥进行解密。

本部分描述了如何用 WebSphere Partner Gateway - Express 配置加密,并且包括了以下主题:

配置对出站文档的加密

要为出站文档配置加密,首先必须上载贸易伙伴的公共证书(其中包括公用密钥),然后对该合作伙伴的出站文档进行加密。这些配置步骤将自动使用合作伙伴的公用密钥加密任何发送给该合作伙伴的出站文档。接收到加密文档时,贸易伙伴必须使用他们的专用密钥来解密该文档。下面几部分描述如何配置对出站文档的加密。

上载贸易伙伴的公共证书

启用出站文档的加密

上载贸易伙伴的公共证书

要上载贸易伙伴的公用证书(其中包括公用密钥),请使用以下过程。

  1. 单击安全性选项卡,然后单击导航栏中的出站。会出现“出站”页面。
  2. 选定的参与者下拉菜单中,选择您要为哪个参与者上载公共证书。
  3. 找到“加密”行,然后在上载列中单击添加/更新证书/密钥图标。 这样会出现“上载加密公用证书”页面。
  4. 在“公共证书”字段中,输入想要上载的公共证书的路径和名称。或者,单击浏览按钮以选择想要上载的公共证书文件,然后单击打开
    注:
    该证书必须是用 DER 编码的。DER 编码的证书通常带有扩展名 .der.cer
  5. 单击提交按钮。

启用出站文档的加密

要为将发送给特定贸易伙伴的文档启用加密,请使用下列过程。

  1. 单击配置选项卡,然后单击导航栏中的 AS2
  2. 选定的参与者下拉菜单中,选择要为哪个参与者加密出站文档。
  3. 单击编辑按钮。打开“管理 AS2”编辑页面,您可以编辑入站和出站 AS2 参数。
  4. 在该页面的“出站”部分,选中加密文档复选框,然后单击保存

配置对入站文档的解密

为了接收来自合作伙伴的加密文档,首先必须创建公共证书(也称为公用密钥),然后将该公共证书发送给合作伙伴。要创建公共证书,首先必须生成或上载自签名文档解密密钥对,然后下载并保存该密钥对的公共证书部分,并将它发送给合作伙伴。下面几部分描述了如何创建公共证书。

生成新的自签名文档解密密钥对

上载现有的解密密钥对

下载用于解密的公共证书

生成新的自签名文档解密密钥对

以下过程描述了如何使用 WebSphere Partner Gateway - Express 来生成新的自签名解密密钥对,以便保护入站文档。

注:
如果文档解密密钥对已经存在,请参阅上载现有的解密密钥对

当生成自签名解密密钥对时,它会自动上载到 WebSphere Partner Gateway - Express。所生成的解密证书也存储在 Express Certifying Authority(CA)目录中。

  1. 单击安全性选项卡以显示“入站”页面。如果该页面未出现,则单击导航栏中的入站
  2. 选定的参与者下拉菜单中,选择要为哪个参与者生成自签名密钥对。
  3. 找到“解密”行,然后在生成列中单击生成自签名证书图标。 这样会出现“入站”页面。
  4. 填写“入站”页面中的各项(请参阅表 7)。
  5. 单击创建按钮。这样就会上载自签名密钥对,并显示在“入站”页面中。将名为 decrypt.der的新文件添加到解密行,并将证书自动添加到认证中心页面。 另外,将合作伙伴的名称自动添加到文件名。例如,如果合作伙伴的名称为 Partner1,则文件名为 decryptPartner1.der
    表 7. 针对所生成的自签名密钥对的“入站”页面
    文档解密密钥库
    参数 描述

    公共名

    输入服务器主机名。

    组织

    输入参与者的公司名称。

    组织部门

    输入参与者所在的部门名称。

    地点

    输入参与者所在的地点或城市。

    省/直辖市/自治区

    输入参与者所在的省/直辖市/自治区。

    国家或地区

    输入参与者所在的国家或地区。

    电子邮件地址

    输入参与者的电子邮件地址。

    证书有效期

    输入证书有效的天数。

    专用密钥密码

    输入专用密钥密码。

上载现有的解密密钥对

要上载用于保护入站文档的现有解密密钥对,请使用下列过程。

注:
仅当解密密钥对已经存在时,才能使用这些指示信息。否则,请参阅生成新的自签名文档解密密钥对

  1. 单击安全性选项卡以显示“入站”页面。如果该页面未出现,则单击导航栏中的入站
  2. 选定的参与者下拉菜单中,选择要为哪个参与者上载密钥对。
  3. 找到“解密”行,然后在上载列中单击添加/更新证书密钥图标。 这样会出现“入站”页面。
  4. 填写“入站”页面中的各项(请参阅表 7)。
  5. 单击提交按钮。这样就会上载解密密钥对,并显示在“入站”页面中。解密证书的副本将上载到 Express Certifying Authority(CA)目录。
    表 8. 上载现有解密密钥对的入站页面
    参数 描述
    专用密钥文件 专用密钥文件必须采用 PKCS#8 格式。 如果专用密钥文件没有以 PKCS#8 格式显示,那么,如果将 PKCS#12 文件上载到“专用密钥”文件,会从 PKCS12 类型的文件中抽取专用密钥。输入要上载的专用密钥文件的完整路径和名称。或者,单击浏览以浏览文件,然后选择该文件并单击打开,以在字段中装入完整的路径名。
    专用密钥密码 输入解密文件的专用密钥密码
    公共证书 公共证书必须采用 DER 格式。 输入要上载的公共证书文件的完整路径和名称。或者,单击浏览以浏览文件,然后选择该文件并单击打开,以在字段中装入完整的路径名。

下载用于解密的公共证书

在 WebSphere Partner Gateway - Express 中生成密钥对,或将密钥对上载到 WebSphere Partner Gateway - Express 中之后,您必须在将公共证书发送给贸易伙伴之前下载该证书。合作伙伴将使用该证书来加密文档,当您接收到该文档时将使用专用密钥对其进行解密。

  1. 单击安全性选项卡以显示“入站”页面。如果该页面未出现,则单击导航栏中的入站
  2. 选定的参与者下拉菜单中,选择要下载哪个参与者的证书。
  3. 找到“解密”行,然后在“下载”列中单击下载公共证书图标。这样会出现“文件下载”对话框。
    注:
    根据您浏览器的版本和防火墙的设置,对话框会提示您选择打开文件还是保存到磁盘。如果这样的话,则选择“保存”选项。
  4. 单击保存(或相同效果的按钮)以显示“另存为”对话框。
  5. 在“另存为”对话框中,选择想要下载证书的位置,将文件重命名为适当的名称,然后单击保存
  6. 将该文件发送给贸易伙伴。

Copyright IBM Corp. 2003, 2005