配置加密和解密

WebSphere Partner Gateway - Express 利用稱為公開金鑰加密的加密系統來確保交易夥伴之間的安全通訊。 公開金鑰加密會使用數學上相關的一對金鑰。 用第一個金鑰加密的文件必須用第二個金鑰來解密,用第二個金鑰加密的文件必須用第一個金鑰來解密。 公開金鑰系統中的每個參與者都有一對金鑰。 其中一個金鑰會保持秘密;它是私密金鑰。 另一個金鑰會分送給需要它的人;它是公開金鑰。 WebSphere Partner Gateway - Express 會利用夥伴的公開金鑰來加密文件,用私密金鑰解密。

本節說明如何配置 WebSphere Partner Gateway - Express 的加密,其中包括下列主題:

配置離埠文件的加密

如果要配置離埠文件的加密,您必須先上傳交易夥伴的公開憑證(其中包含公開金鑰), 再啟用傳送給該夥伴的離埠文件的加密。 這些配置步驟會自動利用夥伴的公開金鑰來加密任何傳給這個夥伴的離埠文件。 之後,當接收加密文件時,交易夥伴必須利用他們的私密金鑰來將文件解密。 下列各節說明如何配置離埠文件的加密。

上傳交易夥伴的公開憑證

啟用離埠文件的加密

上傳交易夥伴的公開憑證

如果要上傳交易夥伴的公開憑證(其中包含公開金鑰),請使用下列程序。

  1. 按一下安全標籤,然後按一下導覽列中的離埠。這時會出現「離埠」頁面。
  2. 選取的參與者下拉功能表中, 選取您要上傳其公開憑證的參與者。
  3. 找到「加密」列,然後在上傳直欄中, 按一下新增/更新憑證/金鑰圖示。 這時會出現「上傳加密公開憑證」頁面。
  4. 在「公開憑證」欄位中,輸入您要上傳的公開憑證檔的路徑和名稱。 另外,您也可以按一下瀏覽按鈕來選取您要上傳的公開憑證,再按一下開啟
    註:
    憑證必須使用 DER 編碼。DER 編碼的憑證通常會使用 .der.cer 副檔名。
  5. 按一下送出按鈕。

啟用離埠文件的加密

如果要啟用傳給特定交易夥伴之文件的加密,請遵循下列程序。

  1. 按一下配置標籤,然後按一下導覽列中的 AS2
  2. 選取的參與者下拉功能表中, 選取要為其離埠文件加密的參與者。
  3. 按一下編輯按鈕。這時會開啟「管理 AS2」編輯頁面, 讓您編輯「入埠」和「離埠」的 AS2 參數。
  4. 在頁面的「離埠」區段中,選取加密文件勾選框,然後按一下儲存

配置入埠文件的解密

如果要接收來自夥伴的已加密的文件,您必須先建立一個公開憑證,或公開金鑰,再將這個公開憑證傳給夥伴。 如果要建立公開憑證,您必須先產生或上傳自行簽章的文件加密金鑰組,再下載和儲存這個金鑰組的公開憑證部分,並將它傳給夥伴。 下列各節說明如何建立公開憑證。

產生新的自行簽章的文件解密金鑰組

上傳現有的解密金鑰組

下載解密的公開憑證

產生新的自行簽章的文件解密金鑰組

下列程序說明如何利用 WebSphere Partner Gateway - Express 來產生新的自簽解密金鑰組,以保護入埠文件的安全。

註:
如果文件解密金鑰組已經存在,請參閱上傳現有的解密金鑰組

當您產生自簽解密金鑰組時,它會自動上傳至 WebSphere Partner Gateway - Express。 產生的解密憑證也會儲存在 Express 憑證管理中心 (CA) 目錄中。

  1. 按一下安全標籤來顯示「入埠」頁面。如果這個頁面沒有出現,請按一下導覽列中的入埠
  2. 選取的參與者下拉功能表中, 選取您要為其產生自簽金鑰組的參與者。
  3. 找到「解密」列,然後在產生直欄中, 按一下產生自簽憑證圖示。 這時會出現「入埠」頁面。
  4. 完成「入埠」頁面中的項目(請參閱表 7)。
  5. 按一下建立按鈕。這時會上傳自簽金鑰組,然後它會出現在「入埠」頁面中。 這時會在解密列中新增一個名稱為 decrypt.der 的新檔案, 而且會將憑證自動新增至憑證管理中心頁面中。 同時,也會自動將夥伴名稱新增至檔名中。比方說,如果 夥伴的名稱是 Partner1,則檔名將會是 decryptPartner1.der
    表 7. 產生的自簽憑證的入埠頁面
    文件解密金鑰儲存庫
    參數 說明

    一般名稱

    請輸入伺服器主機名稱。

    組織

    請輸入參與者公司的名稱。

    組織單位

    請輸入參與者的工作部門名稱。

    地區

    請輸入參與者工作所在的位置或城市。

    州/省

    請輸入參與者工作所在的州或省。

    國家

    請輸入參與者工作所在的國家。

    電子郵件位址

    請輸入參與者的電子郵件位址。

    憑證有效性

    請輸入憑證的有效天數。

    私密金鑰密碼

    請輸入私密金鑰密碼。

上傳現有的解密金鑰組

如果要上傳現有的解密金鑰組來維護入埠文件的安全,請遵循下列程序。

註:
請只在解密金鑰組已存在時,才使用這些指示。 否則,請參閱產生新的自行簽章的文件解密金鑰組

  1. 按一下安全標籤來顯示「入埠」頁面。如果這個頁面沒有出現,請按一下導覽列中的入埠
  2. 選取的參與者下拉功能表中, 選取您要上傳其金鑰組的參與者。
  3. 找到「解密」列,然後在上傳直欄中, 按一下新增/更新憑證金鑰圖示。 這時會出現「入埠」頁面。
  4. 完成「入埠」頁面中的項目(請參閱表 7)。
  5. 按一下送出按鈕。這時會上傳解密配對,然後它會出現在「入埠」頁面中。 也會將一份解密憑證上傳到 Express 憑證管理中心 (CA) 目錄中。
    表 8. 上傳現有解密金鑰組的入埠頁面
    參數 說明
    私密金鑰檔 私密金鑰檔必須使用 PKCS#8 格式。 如果私密金鑰檔不是使用 PKCS#8 格式, 而且如果已經將 PKCS#12 檔上傳至「私密金鑰檔上傳」欄位中, 就會從 PKCS12 類型的檔案擷取私密金鑰。請輸入您要上傳的私密金鑰檔的完整路徑和名稱。另外,您也可以按一下 瀏覽來瀏覽至檔案,然後選取檔案, 之後再按一下開啟,將完整路徑名稱載入到欄位中。
    私密金鑰密碼 請輸入解密檔的私密金鑰密碼。
    公開憑證 公開憑證必須使用 DER 格式。 請輸入您要上傳的公開憑證檔的完整路徑和名稱。另外,您也可以按一下 瀏覽來瀏覽至檔案,然後選取檔案, 之後再按一下開啟,將完整路徑名稱載入到欄位中。

下載解密的公開憑證

在產生金鑰組或將它上傳至 WebSphere Partner Gateway - Express 之後, 您必須先下載公開憑證,然後才能將它傳送給交易夥伴。這是夥伴要用來加密文件的憑證,您在收到這份文件時,將利用私密金鑰來解密。

  1. 按一下安全標籤來顯示「入埠」頁面。如果這個頁面沒有出現,請按一下導覽列中的入埠
  2. 選取的參與者下拉功能表中,選取您要下載其憑證的參與者。
  3. 找到「解密」列,然後在「下載」直欄中, 按一下下載公開憑證圖示。 這時會出現一個「檔案 - 下載」對話框。
    註:
    視您的瀏覽器版本和防火牆設定而定, 對話框可能會提示您,讓您選擇要開啟檔案,還是將檔案儲存到磁碟中。如果發生這種情況,請選取「儲存」選項。
  4. 按一下儲存(或功能相等的選項)來顯示「另存新檔」對話框。
  5. 在「另存新檔」對話框中,選取您要下載憑證的位置,適當地重新命名檔案,再按一下儲存
  6. 將這個檔案傳給交易夥伴。

Copyright IBM Corp. 2003, 2005