使用 Secure Sockets Layer (SSL) 通訊協定

WebSphere Partner Gateway - Express 使用 Secure Socket Layer (SSL) 通訊協定來保護入埠和離埠文件的安全。 SSL 是網際網路安全管理常用的通訊協定。 SSL 使網路連線所鏈結的兩個應用程式能夠相互鑑別身分,且會將應用程式交換的資料加密,以提供安全連線。

SSL 連線起始於訊息交換。 在這個階段中,應用程式會交換數位憑證,協議使用的加密演算法,以及產生階段作業的其餘部分所用的加密金鑰。

SSL 通訊協定提供下列安全特性:

下列各節說明如何利用 SSL 來進行入埠伺服器和用戶端鑑別及離埠用戶端鑑別。

利用金鑰儲存庫進行入埠伺服器鑑別

利用信任儲存庫進行入埠用戶端鑑別

利用金鑰組進行離埠用戶端鑑別

啟用 HTTPS

利用金鑰儲存庫進行入埠伺服器鑑別

透過 SSL 連線來保護入埠文件安全的金鑰儲存庫可以在 WebSphere Partner Gateway - Express 內產生並自動上傳,或是從應用程式以外的位置上傳。 之後,就可以下載金鑰儲存庫。

金鑰儲存庫是一個保留了金鑰和憑證的受保護的資料庫。 如果您的參與者有金鑰和憑證,而且是使用 SSL,您可以利用「入埠」頁面將金鑰儲存庫提供給參與者使用。 下列主題說明如何利用金鑰儲存庫來進行入埠伺服器鑑別。

產生自行簽章的 SSL 金鑰儲存庫

上傳 SSL 金鑰庫

下載 SSL 金鑰庫

產生自行簽章的 SSL 金鑰儲存庫

下列程序說明如何利用 WebSphere Partner Gateway - Express 來產生自簽 SSL 金鑰儲存庫,以保護入埠文件的安全。 當您產生自簽金鑰儲存庫時,它會自動上傳至 WebSphere Partner Gateway - Express 中。

  1. 按一下安全標籤來顯示「入埠」頁面。如果這個頁面沒有出現,請按一下導覽列中的入埠
  2. 找到「SSL 連線」列,然後在產生直欄中, 按一下產生自簽憑證圖示。 這時會出現「入埠產生自簽 SSL 金鑰儲存庫」頁面。
  3. 完成「入埠」頁面中的項目(請參閱表 11)。
  4. 按一下建立按鈕。這時會上傳自簽金鑰儲存庫,然後它會出現在「入埠」頁面中。
    表 11. 產生的自簽 SSL 金鑰儲存庫的「入埠」頁面
    參數 說明

    一般名稱

    請輸入伺服器主機名稱。

    組織

    請輸入參與者公司的名稱。

    組織單位

    請輸入參與者的工作部門名稱。

    地區

    請輸入參與者工作所在的位置或城市。

    州/省

    請輸入參與者工作所在的州或省。

    國家

    請輸入參與者工作所在的國家。

    電子郵件位址

    請輸入參與者的電子郵件位址。

    憑證有效性

    請輸入金鑰儲存庫的有效天數。

    金鑰儲存庫密碼

    請輸入金鑰儲存庫密碼。

    私密金鑰密碼

    請輸入私密金鑰密碼。

上傳 SSL 金鑰庫

如果您有要上傳至 WebSphere Partner Gateway - Express 的 SSL 金鑰儲存庫,請使用下列程序。

  1. 按一下安全標籤來顯示「入埠」頁面。如果這個頁面沒有出現,請按一下導覽列中的入埠
  2. 找到「SSL 連線」列,然後在「上傳」直欄中,按一下 新增/更新憑證/金鑰圖示。這時會出現「入埠」頁面。
  3. 完成「入埠」頁面中的項目(請參閱表 12)。
  4. 按一下送出按鈕。這時會上傳金鑰儲存庫,然後它會出現在「入埠」頁面中。
    表 12. 上傳的 SSL 金鑰儲存庫的「入埠」頁面
    參數 說明

    金鑰儲存庫檔

    請輸入您要上傳的金鑰儲存庫檔的路徑和名稱。 另外,您也可以按一下瀏覽按鈕來選取您要上傳的金鑰儲存庫檔。

    金鑰儲存庫密碼

    請輸入您要上傳的金鑰儲存庫檔的金鑰儲存庫密碼。

    金鑰密碼

    請輸入您要上傳的金鑰儲存庫檔的金鑰密碼。

下載 SSL 金鑰庫

將 SSL 金鑰儲存庫上傳至 WebSphere Partner Gateway - Express 之後, 您可以利用下列程序來下載封裝在金鑰儲存資料庫中的公開憑證。

  1. 按一下安全標籤來顯示「入埠」頁面。如果這個頁面沒有出現,請按一下導覽列中的入埠
  2. 找到「SSL 連線」列,然後在「下載」直欄中, 按一下下載公開憑證圖示。 這時會出現一個「檔案 - 下載」頁面。
    註:
    視您的瀏覽器版本和防火牆設定而定, 對話框可能會提示您,讓您選擇要開啟檔案,還是將檔案儲存到磁碟中。如果發生這種情況,請選取「儲存」選項。
  3. 按一下儲存(或功能相等的選項)來顯示「另存新檔」對話框, 選取您要下載憑證的位置,然後按一下儲存

利用信任儲存庫進行入埠用戶端鑑別

當 WebSphere Partner Gateway - Express 要驗證伺服器所提供的憑證時,會利用信任儲存庫來進行用戶端鑑別。 從信任儲存庫中,系統可以確定是否要信任某個用戶端及允許用戶端存取網站。

使用「入埠」頁面時,您可以上傳信任儲存庫來進行用戶端鑑別。 之後,如果已經不需要信任儲存庫,就可以將它刪除。

如果您要上傳的信任儲存庫尚未建立,您可以利用 Keytool 來建立它。 下一節說明這個程序。

重要事項:
如果要啟用用戶端鑑別,您必須先執行 bcgClientAuth.jacl Script,這個 Script 是位於 <ProductDir>/jaclScripts。Script 本身已包含呼叫 Script 的指示。

使用 Keytool

Keytool 是一個金鑰和憑證管理公用程式。 它可以讓您利用數位簽章來建立金鑰,以供自我鑑別(WebSphere Partner Gateway - Express 對其他實體或服務進行自我鑑別)或資料完整性及鑑別服務使用。 它也可讓您快取它們的通訊同層級的公開金鑰(採用憑證的形式)。

Keytool 會將憑證儲存在信任儲存庫中。預設的信任儲存庫實作會將信任儲存庫當作一個檔案來實作。 建立好檔案之後,您就可以利用上傳用戶端鑑別的信任儲存庫下面的程序,將檔案上傳至 WebSphere Partner Gateway - Express 中。

下列程序說明如何利用 Keytool 來建立信任儲存庫、列出信任儲存庫中的憑證、將憑證新增到信任儲存庫中,或從信任儲存庫中刪除憑證。 您可以從任何安裝了 Java 的系統中執行用來操作這些程序的指令。 為了方便,Keytool 是放置在WebSphere Partner Gateway - Express CD 的 was\java\jre\bin 目錄中。

註:
您也可以使用 ikeyman,這是一個結合 WebSphere Partner Gateway - Express 的 GUI, 可讓您管理信任儲存庫中的憑證。ikeyman 執行檔是位於 was\bin 目錄中。
建立信任儲存庫

如果要建立信任儲存庫,請遵循下列程序。

  1. 開啟一個命令提示字元視窗,然後將現行目錄設定成 keytool.exe 檔的位置。
  2. 執行下列指令:
    keytool -genkey -keystore <truststore filename> -storetype PKCS12
列出信任儲存庫中的憑證

如果要列出信任儲存庫中的憑證,請遵循下列程序。

  1. 開啟一個命令提示字元視窗,然後將現行目錄設定成 keytool.exe 檔的位置。
  2. 執行下列指令:
    keytool -list -v -keystore <truststore>
  3. 當 Keytool 提示您輸入信任儲存庫密碼時,請輸入適當的密碼來列出信任儲存庫中的憑證清單。
將憑證新增至信任儲存庫中

如果要將憑證新增至信任儲存庫中,請遵循下列程序。

  1. 開啟一個命令提示字元視窗,然後將現行目錄設定成 keytool.exe 檔的位置。
  2. 執行下列指令。 在這個指令中,alias 選項可讓您將指派一個很容易記住的名稱給憑證。 您以後列出信任儲存庫項目時,便很容易識別它。
    keytool -import -keystore <truststore> -file <certificate file> -trustcacerts -alias <cert name>
  3. 當 Keytool 提示您輸入信任儲存庫密碼時,請輸入適當的密碼,將憑證新增到信任儲存庫中。
從信任儲存庫中移除憑證

如果要從信任儲存庫中移除憑證,請遵循下列程序。

  1. 開啟一個命令提示字元視窗,然後將現行目錄設定成 keytool.exe 檔的位置。
  2. 執行下列指令。
    keytool -delete -alias <cert name> -keystore truststore
  3. 當 Keytool 提示您輸入信任儲存庫密碼時,請輸入適當的密碼來從信任儲存庫中移除憑證。
上傳用戶端鑑別的信任儲存庫

建立好信任儲存庫之後,請利用下列程序來下載它,以便進行入埠文件的用戶端鑑別。

  1. 按一下安全標籤來顯示「入埠」頁面。如果這個頁面沒有出現,請按一下導覽列中的入埠
  2. 選取的參與者下拉功能表中, 選取您要為其上傳信任儲存庫的參與者。
  3. 找到「用戶端鑑別」列,然後在「上傳」直欄中,按一下 新增/更新憑證/金鑰圖示。這時會出現「用戶端鑑別的入埠上傳信任儲存庫」頁面。
  4. 完成頁面中的項目(請參閱表 13)。
  5. 按一下送出按鈕。這時會上傳信任儲存庫,然後它會出現在「入埠」頁面中。
    表 13. 用戶端鑑別的已上傳信任儲存庫的「入埠」頁面
    參數 說明

    信任儲存庫檔

    請輸入您要上傳的信任儲存庫檔的路徑和名稱。 另外,您也可以按一下瀏覽按鈕來選取您要上傳的信任儲存庫檔。

    信任儲存庫密碼

    請輸入信任儲存庫密碼。

利用金鑰組進行離埠用戶端鑑別

對於離埠文件而言,用戶端鑑別就是 WebSphere Partner Gateway - Express 對遠端伺服器進行自我識別的地方。下列主題說明如何利用金鑰組來進行離埠用戶端鑑別。

產生自行簽章的 SSL 用戶端憑證金鑰組

上傳用戶端鑑別金鑰組

下載用戶端憑證以進行用戶端鑑別

產生自行簽章的 SSL 用戶端憑證金鑰組

下列程序說明如何利用 WebSphere Partner Gateway - Express 來產生自簽 SSL 用戶端憑證金鑰組。 當您產生自簽 SSL 用戶端憑證金鑰組時,它會自動上傳至 WebSphere Partner Gateway - Express 中。

  1. 按一下安全標籤,然後按一下導覽列中的離埠。這時會出現「離埠」頁面。
  2. 選取的參與者下拉功能表中, 選取您要為其產生自簽金鑰組的參與者。
  3. 找到「用戶端鑑別」列,然後在「產生」直欄中, 按一下產生自簽憑證圖示。 這時會出現「離埠」頁面。
  4. 完成「離埠」頁面中的項目(請參閱表 14)。
  5. 按一下建立按鈕。這時會上傳自簽金鑰儲存庫,然後它會出現在「離埠」頁面中。
    表 14. 產生的自簽憑證的離埠頁面
    SSL 用戶端憑證金鑰組
    參數 說明

    一般名稱

    請輸入伺服器主機名稱。

    組織

    請輸入參與者公司的名稱。

    組織單位

    請輸入參與者的工作部門名稱。

    地區

    請輸入參與者工作所在的位置或城市。

    州/省

    請輸入參與者工作所在的州或省。

    國家

    請輸入參與者工作所在的國家。

    電子郵件位址

    請輸入參與者的電子郵件位址。

    憑證有效性

    請輸入金鑰組的有效天數。

    私密金鑰密碼

    請輸入私密金鑰密碼。

上傳用戶端鑑別金鑰組

如果要上傳用戶端鑑別金鑰組,供遠端啟用 SSL 的主機識別這個用戶端,請遵循下列程序。

  1. 按一下安全標籤,然後按一下導覽列中的離埠。這時會出現「離埠」頁面。
  2. 選取的參與者下拉功能表中, 選取您要上傳其金鑰組的參與者。
  3. 找到「用戶端鑑別」列,然後在「上傳」直欄中,按一下 新增/更新憑證/金鑰圖示。這時會出現「離埠上傳用戶端憑證金鑰組」頁面。
  4. 您只需要完成「離埠」頁面中的公開憑證項目(請參閱表 15)。
  5. 按一下送出按鈕。這時會上傳金鑰組,然後它會出現在「離埠」頁面中。
    表 15. 用戶端鑑別金鑰組的「離埠」頁面
    參數 說明

    公開憑證

    請輸入您要上傳的公開憑證檔的路徑和名稱。 另外,您也可以按一下瀏覽按鈕來選取您要上傳的公開憑證。

下載用戶端憑證以進行用戶端鑑別

將金鑰組上傳至 WebSphere Partner Gateway - Express 之後,您可以利用下列程序來下載公開憑證。 您可以利用電子郵件,將這個公開憑證傳給夥伴信任儲存庫內所包括的夥伴。

  1. 按一下安全標籤,然後按一下導覽列中的離埠。這時會出現「離埠」頁面。
  2. 選取的參與者下拉功能表中,選取您要下載其金鑰組的參與者。
  3. 找到「用戶端鑑別」列,然後在「下載」直欄中, 按一下下載公開憑證圖示。 這時會出現一個「檔案 - 下載」頁面。
    註:
    視您的瀏覽器版本和防火牆設定而定, 對話框可能會提示您,讓您選擇要開啟檔案,還是將檔案儲存到磁碟中。如果發生這種情況,請選取「儲存」選項。
  4. 按一下儲存(或功能相等的選項)來顯示「另存新檔」對話框, 選取您要下載金鑰組的位置,然後按一下儲存

啟用 HTTPS

下列步驟說明如何啟用 HTTPS。

  1. 按一下配置標籤,再按一下導覽列中的我的設定檔。這時會出現「管理我的設定檔」頁面。
  2. 按一下編輯按鈕來開啟「管理我的設定檔」編輯頁面。
  3. 在「接收位址」區段的「安全」欄位(在「網域」下面)中, 輸入網域名稱,然後在對應的「埠」欄位中輸入可用的 HTTPS 埠號。
  4. 適當或必要的話,請填妥「公司 AS2 ID」和「公司詳細資料」下的欄位,再按一下儲存
  5. 按一下配置標籤,然後按一下導覽列中的管理參與者。這時會出現「管理參與者」頁面。
  6. 針對需要啟用 HTTPS 的參與者,按一下編輯。這時會出現「編輯參與者」頁面。
  7. 選取 HTTPS 勾選框,按一下儲存

Copyright IBM Corp. 2003, 2005