WebSphere Partner Gateway - Express 使用 Secure Socket Layer (SSL) 通訊協定來保護入埠和離埠文件的安全。 SSL 是網際網路安全管理常用的通訊協定。 SSL 使網路連線所鏈結的兩個應用程式能夠相互鑑別身分,且會將應用程式交換的資料加密,以提供安全連線。
SSL 連線起始於訊息交換。 在這個階段中,應用程式會交換數位憑證,協議使用的加密演算法,以及產生階段作業的其餘部分所用的加密金鑰。
SSL 通訊協定提供下列安全特性:
下列各節說明如何利用 SSL 來進行入埠伺服器和用戶端鑑別及離埠用戶端鑑別。
透過 SSL 連線來保護入埠文件安全的金鑰儲存庫可以在 WebSphere Partner Gateway - Express 內產生並自動上傳,或是從應用程式以外的位置上傳。 之後,就可以下載金鑰儲存庫。
金鑰儲存庫是一個保留了金鑰和憑證的受保護的資料庫。 如果您的參與者有金鑰和憑證,而且是使用 SSL,您可以利用「入埠」頁面將金鑰儲存庫提供給參與者使用。 下列主題說明如何利用金鑰儲存庫來進行入埠伺服器鑑別。
下列程序說明如何利用 WebSphere Partner Gateway - Express 來產生自簽 SSL 金鑰儲存庫,以保護入埠文件的安全。 當您產生自簽金鑰儲存庫時,它會自動上傳至 WebSphere Partner Gateway - Express 中。
參數 | 說明 |
---|---|
一般名稱 |
請輸入伺服器主機名稱。 |
組織 |
請輸入參與者公司的名稱。 |
組織單位 |
請輸入參與者的工作部門名稱。 |
地區 |
請輸入參與者工作所在的位置或城市。 |
州/省 |
請輸入參與者工作所在的州或省。 |
國家 |
請輸入參與者工作所在的國家。 |
電子郵件位址 |
請輸入參與者的電子郵件位址。 |
憑證有效性 |
請輸入金鑰儲存庫的有效天數。 |
金鑰儲存庫密碼 |
請輸入金鑰儲存庫密碼。 |
私密金鑰密碼 |
請輸入私密金鑰密碼。 |
如果您有要上傳至 WebSphere Partner Gateway - Express 的 SSL 金鑰儲存庫,請使用下列程序。
參數 | 說明 |
---|---|
金鑰儲存庫檔 |
請輸入您要上傳的金鑰儲存庫檔的路徑和名稱。 另外,您也可以按一下瀏覽按鈕來選取您要上傳的金鑰儲存庫檔。 |
金鑰儲存庫密碼 |
請輸入您要上傳的金鑰儲存庫檔的金鑰儲存庫密碼。 |
金鑰密碼 |
請輸入您要上傳的金鑰儲存庫檔的金鑰密碼。 |
將 SSL 金鑰儲存庫上傳至 WebSphere Partner Gateway - Express 之後, 您可以利用下列程序來下載封裝在金鑰儲存資料庫中的公開憑證。
當 WebSphere Partner Gateway - Express 要驗證伺服器所提供的憑證時,會利用信任儲存庫來進行用戶端鑑別。 從信任儲存庫中,系統可以確定是否要信任某個用戶端及允許用戶端存取網站。
使用「入埠」頁面時,您可以上傳信任儲存庫來進行用戶端鑑別。 之後,如果已經不需要信任儲存庫,就可以將它刪除。
如果您要上傳的信任儲存庫尚未建立,您可以利用 Keytool 來建立它。 下一節說明這個程序。
Keytool 是一個金鑰和憑證管理公用程式。 它可以讓您利用數位簽章來建立金鑰,以供自我鑑別(WebSphere Partner Gateway - Express 對其他實體或服務進行自我鑑別)或資料完整性及鑑別服務使用。 它也可讓您快取它們的通訊同層級的公開金鑰(採用憑證的形式)。
Keytool 會將憑證儲存在信任儲存庫中。預設的信任儲存庫實作會將信任儲存庫當作一個檔案來實作。 建立好檔案之後,您就可以利用上傳用戶端鑑別的信任儲存庫下面的程序,將檔案上傳至 WebSphere Partner Gateway - Express 中。
下列程序說明如何利用 Keytool 來建立信任儲存庫、列出信任儲存庫中的憑證、將憑證新增到信任儲存庫中,或從信任儲存庫中刪除憑證。 您可以從任何安裝了 Java 的系統中執行用來操作這些程序的指令。 為了方便,Keytool 是放置在WebSphere Partner Gateway - Express CD 的 was\java\jre\bin 目錄中。
如果要建立信任儲存庫,請遵循下列程序。
keytool -genkey -keystore <truststore filename> -storetype PKCS12
如果要列出信任儲存庫中的憑證,請遵循下列程序。
keytool -list -v -keystore <truststore>
如果要將憑證新增至信任儲存庫中,請遵循下列程序。
如果要從信任儲存庫中移除憑證,請遵循下列程序。
keytool -delete -alias <cert name> -keystore truststore
建立好信任儲存庫之後,請利用下列程序來下載它,以便進行入埠文件的用戶端鑑別。
參數 | 說明 |
---|---|
信任儲存庫檔 |
請輸入您要上傳的信任儲存庫檔的路徑和名稱。 另外,您也可以按一下瀏覽按鈕來選取您要上傳的信任儲存庫檔。 |
信任儲存庫密碼 |
請輸入信任儲存庫密碼。 |
對於離埠文件而言,用戶端鑑別就是 WebSphere Partner Gateway - Express 對遠端伺服器進行自我識別的地方。下列主題說明如何利用金鑰組來進行離埠用戶端鑑別。
下列程序說明如何利用 WebSphere Partner Gateway - Express 來產生自簽 SSL 用戶端憑證金鑰組。 當您產生自簽 SSL 用戶端憑證金鑰組時,它會自動上傳至 WebSphere Partner Gateway - Express 中。
參數 | 說明 |
---|---|
一般名稱 |
請輸入伺服器主機名稱。 |
組織 |
請輸入參與者公司的名稱。 |
組織單位 |
請輸入參與者的工作部門名稱。 |
地區 |
請輸入參與者工作所在的位置或城市。 |
州/省 |
請輸入參與者工作所在的州或省。 |
國家 |
請輸入參與者工作所在的國家。 |
電子郵件位址 |
請輸入參與者的電子郵件位址。 |
憑證有效性 |
請輸入金鑰組的有效天數。 |
私密金鑰密碼 |
請輸入私密金鑰密碼。 |
如果要上傳用戶端鑑別金鑰組,供遠端啟用 SSL 的主機識別這個用戶端,請遵循下列程序。
參數 | 說明 |
---|---|
公開憑證 |
請輸入您要上傳的公開憑證檔的路徑和名稱。 另外,您也可以按一下瀏覽按鈕來選取您要上傳的公開憑證。 |
將金鑰組上傳至 WebSphere Partner Gateway - Express 之後,您可以利用下列程序來下載公開憑證。 您可以利用電子郵件,將這個公開憑證傳給夥伴信任儲存庫內所包括的夥伴。
下列步驟說明如何啟用 HTTPS。