Unterschriftszertifikate erstellen und installieren

Dieser Abschnitt beschreibt Unterschriftszertifikate, die für die Unbestreitbarkeit und für die Prüfung des Unterzeichners verwendet werden.

Eingehendes Unterschriftszertifikat

Document Manager verwendet das unterzeichnete Zertifikat des Teilnehmers, um die Unterschrift des Absenders zu prüfen, wenn Sie Dokumente empfangen. Die Teilnehmer senden ihre selbst unterzeichneten Unterschriftszertifikate in X.509-DER-Format an Sie. Sie installieren Ihrerseits die Zertifikate der Teilnehmer über Community Console in dem Profil des jeweiligen Teilnehmers.

Verwenden Sie die folgende Prozedur, um das Zertifikat zu installieren.

  1. Empfangen Sie das X.509-Unterschriftszertifikat des Teilnehmers im DER-Format.
  2. Installieren Sie das Zertifikat über Community Console im Profil des Teilnehmers.
    1. Klicken Sie auf Kontenadmin > Profile > Community-Teilnehmer, und suchen Sie nach dem Profil des Teilnehmers.
    2. Klicken Sie auf Zertifikate.
    3. Klicken Sie auf Zertifikat laden.
    4. Wählen Sie Digitale Unterschrift als Zertifikattyp aus.
    5. Geben Sie eine Beschreibung des Zertifikats ein, welches erforderlich ist.
    6. Ändern Sie den Status in Aktiviert.
    7. Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis, in dem Sie das Zertifikat gespeichert haben.
    8. Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
    9. Klicken Sie auf Hochladen und dann auf Speichern.
  3. Wenn das Zertifikat von einer Zertifizierungsstelle unterzeichnet wurde und das Rootzertifikat der Zertifizierungsstelle und alle anderen Zertifikate, die Teil der Zertifikatkette sind, noch nicht im Profil des Hub-Operators installiert sind, installieren Sie die Zertifikate jetzt.
    1. Klicken Sie auf Kontenadmin > Profile > Zertifikate, um die Seite Zertifikatliste anzuzeigen.

      Stellen Sie sicher, dass Sie an Community Console als Hub-Operator angemeldet sind, und installieren Sie das Zertifikat in Ihrem eigenen Profil.

    2. Klicken Sie auf Zertifikat laden.
    3. Wählen Sie Root und Intermediate aus.
    4. Geben Sie eine Beschreibung des Zertifikats ein, welches erforderlich ist.
    5. Ändern Sie den Status in Aktiviert.
    6. Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis, in dem Sie das Zertifikat gespeichert haben.
    7. Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
    8. Klicken Sie auf Hochladen und dann auf Speichern.
    Anmerkung: Sie müssen den vorherigen Schritt nicht ausführen, wenn das CA-Zertifikat bereits installiert ist.
  4. Aktivieren Sie das Unterzeichnen auf der Ebene für Pakete (höchste Ebene), Teilnehmer oder Verbindungen (unterste Ebene). Ihre Einstellung kann andere Einstellungen auf der Verbindungsebene überschreiben. Die Verbindungszusammenfassung informiert Sie darüber, ob ein erforderliches Attribut fehlt.

    Zum Ändern der Attribute von z. B. einer Teilnehmerverbindung klicken Sie auf Kontenadmin > Teilnehmerverbindungen, und wählen Sie dann die Teilnehmer aus. Klicken Sie auf Attribute, und bearbeiten Sie dann das Attribut. Beispiel: AS unterzeichnet.

Ausgehendes Unterschriftszertifikat

Document Manager verwendet dieses Zertifikat, wenn er ausgehende, unterzeichnete Dokumente an Teilnehmer sendet. Dasselbe Zertifikat und derselbe Schlüssel werden für alle Ports und Protokolle verwendet.

Sie können über mehr als ein Zertifikat für digitale Unterschrift verfügen. Eines ist das primäre Zertifikat, welches standardmäßig verwendet wird. Das andere Zertifikat ist das sekundäre Zertifikat, welches verwendet wird, wenn das primäre Zertifikat abgelaufen ist oder andernfalls nicht verwendet werden kann.

Selbst unterzeichnetes Zertifikat verwenden

Wenn Sie ein selbst unterzeichnetes Zertifikat verwenden, führen Sie die folgende Prozedur aus.

  1. Starten Sie das Dienstprogramm iKeyman.
  2. Verwenden Sie iKeyman, um ein selbst unterzeichnetes Zertifikat und ein Schlüsselpaar zu generieren.
  3. Extrahieren Sie mit iKeyman das Zertifikat in eine Datei, das Ihren öffentlichen Schlüssel enthalten wird.
  4. Verteilen Sie das Zertifikat an Ihre Teilnehmer. Die bevorzugte Verteilungsmethode ist das Senden des Zertifikats in einer kennwortgeschützten komprimierten Datei per E-Mail. Ihre Teilnehmer müssen sich an Sie wenden und das Kennwort für die komprimierte Datei anfordern.
  5. Verwenden Sie iKeyman, um das selbst unterzeichnete Zertifikat und das private Schlüsselpaar in Form einer PKCS12-Datei zu exportieren.
  6. Installieren Sie das selbst unterzeichnete Zertifikat und das private Schlüsselpaar in Form einer PKCS12-Datei über Community Console.
    1. Klicken Sie auf Kontenadmin > Profile > Zertifikate, um die Seite Zertifikatliste anzuzeigen.

      Stellen Sie sicher, dass Sie an Community Console als Hub-Operator angemeldet sind.

    2. Klicken Sie auf PKCS12 laden.
      Hinweise:
      1. Die PKCS12-Datei, die hochgeladen wird, sollte nur einen privaten Schlüssel und das zugeordnete Zertifikat enthalten.
      2. Sie können das Zertifikat und den privaten Schlüssel auch als ein DER-verschlüsseltes Zertifikat und einen PKCS#8-codierten privaten Schlüssel hochladen.
    3. Wählen Sie Digitale Unterschrift als Zertifikattyp aus.
    4. Geben Sie eine Beschreibung des Zertifikats ein, welches erforderlich ist.
    5. Ändern Sie den Status in Aktiviert.
    6. Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis, in dem Sie das Zertifikat gespeichert haben.
    7. Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
    8. Geben Sie ein Kennwort ein.
    9. Wenn Sie über zwei Zertifikate für digitale Unterschrift verfügen, geben Sie an, welches von ihnen das primäre bzw. das sekundäre Zertifikat ist, indem Sie Primär oder Sekundär in der Liste Zertifikatverwendung auswählen.
    10. Klicken Sie auf Hochladen und dann auf Speichern.
  7. Wiederholen Sie Schritt 6, wenn der Teilnehmer über ein zweites Unterschriftszertifikat verfügt.

Wenn Sie primäre und sekundäre Zertifikate für die SSL-Clientauthentifizierung und die digitale Unterschrift hochladen, und Sie die primären Zertifikate als zwei separate Einträge hochladen, stellen Sie sicher, dass die entsprechenden sekundären Zertifikate als zwei unterschiedliche Einträge hochgeladen werden.

Von Zertifizierungsstelle unterzeichnetes Zertifikat verwenden

Wenn Sie ein von einer Zertifizierungsstelle unterzeichnetes Zertifikat verwenden, führen Sie die folgende Prozedur aus:

  1. Starten Sie das Dienstprogramm iKeyman.
  2. Generieren Sie mit iKeyman eine Zertifikatsanforderung und ein Schlüsselpaar für den Empfänger.
  3. Übergeben Sie eine Zertifikatsunterzeichungsanforderung (CSR - Certificate Signing Request) an eine Zertifizierungsstelle.
  4. Wenn Sie das unterzeichnete Zertifikat von der Zertifizierungsstelle empfangen, stellen Sie das unterzeichnete Zertifikat mit iKeyman in den Keystore.
  5. Verteilen Sie das unterzeichnende CA-Zertifikat an alle Teilnehmer.

Copyright IBM Corp. 2003, 2005