Dieser Abschnitt bietet eine allgemeine Übersicht über die Sicherheitstypen, die zum Generieren und Hochladen von Zertifikaten verwendeten Tools und die Datensammlungstypen, die von WebSphere Partner Gateway installiert wurden.
Dieser Abschnitt stellt Informationen zu SSL, digitalen Unterschriften und Verschlüsselung bereit.
WebSphere Partner Gateway kann SSL verwenden, um eingehende und ausgehende Dokumente zu schützen. Ein eingehendes Dokument ist ein Dokument, das an den Hub gesendet wird. Ein ausgehendes Dokument ist ein Dokument, das vom Hub gesendet wird.
SSL ist ein häufig verwendetes Protokoll für das Verwalten der Sicherheit über das Internet. SSL bietet sichere Verbindungen, indem zwei Anwendungen, die über eine Netzverbindung miteinander verbunden sind, in die Lage versetzt werden, die Identität des anderen zu authentifizieren, und um die Vertraulichkeit der Daten und Datenintegrität sicherzustellen.
Eine HTTP-basierte SSL-Verbindung wird immer vom Client initiiert, der einen URL mit https:// am Anfang, anstelle von http:// am Anfang verwendet. Eine SSL-Verbindung beginnt mit einem Handshake. Während dieses Stadiums tauschen die Anwendungen digitale Zertifikate aus, sie verständigen sich über die zu verwendenden Verschlüsselungsalgorithmen und generieren Chiffrierschlüssel, die für den verbleibenden Teil der Sitzung verwendet werden.
Das SSL-Protokoll bietet die folgenden Sicherheitsfunktionen:
Die digitale Unterzeichnung ist der Mechanismus, um die Unbestreitbarkeit sicherzustellen. Die Unbestreitbarkeit bedeutet, dass ein Teilnehmer nicht bestreiten kann, eine Nachricht verfasst und gesendet zu haben. Es wird ferner sichergestellt, dass der Teilnehmer den Empfang einer Nachricht nicht bestreiten kann.
Eine digitale Unterschrift ermöglicht dem Verfasser, eine Nachricht zu unterzeichnen, so dass der Verfasser als die Person bestätigt wird, die die Nachricht tatsächlich gesendet hat. Außerdem wird sichergestellt, dass die Nachricht seit ihrer Unterzeichnung nicht geändert worden ist.
WebSphere Partner Gateway unterstützt freigegebene PKCS#7 SignedData-Formate für die digitale Unterschrift gemäß den Geschäftsprotokollen.
WebSphere Partner Gateway verwendet ein verschlüsseltes System, das als Verschlüsselung mit öffentlichem Schlüssel bekannt ist, um die Kommunikation zwischen Teilnehmern und dem Hub zu schützen. Die Verschlüsselung mit öffentlichem Schlüssel verwendet ein mathematisch zusammengehöriges Schlüsselpaar. Ein Dokument, das mit dem ersten Schlüssel verschlüsselt ist, muss mit dem zweiten Schlüssel entschlüsselt werden, und ein Dokument, das mit dem zweiten Schlüssel verschlüsselt ist, muss mit dem ersten Schlüssel entschlüsselt werden.
Jeder Teilnehmer an einem System mit öffentlichen Schlüsseln verfügt über ein Schlüsselpaar. Einer der Schlüssel wird geheim gehalten; dies ist der private Schlüssel. Der andere Schlüssel wird an jeden Interessierten verteilt; dies ist der öffentliche Schlüssel. WebSphere Partner Gateway verwendet den öffentlichen Schlüssel eines Teilnehmers, um ein Dokument zu verschlüsseln. Der private Schlüssel wird zum Entschlüsseln des Dokuments verwendet.
Wie in den nachfolgenden Abschnitten beschrieben, verwenden Sie IBM Key Management Tool (iKeyman), um Schlüsseldatenbanken, öffentliche und private Schlüsselpaare sowie Zertifikatsanforderungen zu erstellen. Sie können iKeyman auch verwenden, um selbst unterzeichnete Zertifikate zu erstellen. Das Dienstprogramm iKeyman befindet sich im Verzeichnis /<Produktverz>/was/bin, das WebSphere Partner Gateway während der Installation erstellt.
Sie können mit iKeyman auch eine Anforderung für ein Zertifikat von einer Zertifizierungsstelle (CA - Certifying Authority) generieren.
Sie installieren mit Community Console alle erforderlichen Client-, Unterschrifts- und Verschlüsselungszertifikate für den WebSphere Partner Gateway-Speicher. Sie können mit Community Console auch die Zertifikate Root und Intermediate der Zertifizierungsstelle installieren.
Wenn Sie WebSphere Partner Gateway installieren, werden ein Keystore und ein Truststore für den Empfänger und die Konsole installiert.
Standardmäßig werden die zwei Keystores und die zwei Truststores im Verzeichnis <Produktverz>/common/security/keystore erstellt. Sie heißen wie folgt:
Das Standardkennwort für den Zugriff auf alle vier Speicher ist WebAS. Der eingebettete WebSphere Application Server wird so konfiguriert, dass er diese vier Speicher verwendet. Sie können mit dem Dienstprogramm iKeyman das Kennwort ändern. Alternativ hierzu können Sie auch den folgenden UNIX-Befehl verwenden, um das Kennwort der Keystore-Datei zu ändern:
/<Produktverz>/console/was/java/bin/keytool -storepasswd -new $NEW_PASSWORD$ -keystore $KEYSTORE_LOCATION$ -storepass $CURRENT_PASSWORD$ -storetype JKS
Wenn die Keystore-Kennwörter geändert werden, muss jede WebSphere Application Server-Instanzkonfiguration ebenfalls geändert werden. Dies kann mit Hilfe des Scripts bcgChgPassword.jacl geschehen. Navigieren Sie für die Konsolinstanz zum folgenden Verzeichnis:
/<Produktverz>/bin
Setzen Sie den folgenden Befehl ab:
./bcgwsadmin.sh -f /<Produktverz>/scripts/
bcgChgPassword.jacl -conntype NONE
Wiederholen Sie diesen Befehl für die WebSphere Application Server-Instanzen des Empfängers und von Document Manager.
Sie werden aufgefordert, das neue Kennwort einzugeben.
Wenn ein Zertifikat in einem Truststore abgelaufen ist, müssen Sie, um es zu ersetzen, ein neues Zertifikat hinzufügen, indem Sie die folgende Prozedur verwenden:
Dieser Datentyp muss mit dem Datentyp des importierenden Zertifikats übereinstimmen.
Eine Zertifikatkette besteht aus einem Zertifikat eines Teilnehmers und beliebigen Zertifikaten, die zur Authentifizierung des Zertifikats eines Teilnehmers verwendet werden. Wenn z. B. eine Zertifizierungsstelle (CA) verwendet wurde, um das Zertifikat eines Teilnehmers zu erstellen, könnte die Zertifizierungsstelle selbst von einer anderen Zertifizierungsstelle zertifiziert worden sein. Die Anerkennungskette beginnt bei der Stammzertifizierungsstelle, dem Trust Anchor (Vertrauensanker). Das digitale Zertifikat der Stammzertifizierungsstelle ist selbst unterzeichnet, d. h. die Zertifizierungsstelle verwendet ihren eigenen privaten Schlüssel, um das digitale Zertifikat zu unterzeichnen. Alle Zertifikate zwischen dem Trust Anchor (Vertrauensanker) und dem Zertifikat des Teilnehmers (dem Zielzertifikat) sind Intermediate-Zertifikate.
Bei jedem von einer Zertifizierungsstelle ausgegebenem Zertifikat müssen alle Zertifikate in der Kette hinzugefügt werden. Es müssen z. B. in einer Zertifikatkette, in der A (der Vertrauensanker) der Ausgeber von B ist und B der Ausgeber von C (dem Zielzertifikat) ist, die Zertifikate A und B als Zertifikate der Zertifizierungsstelle hochgeladen werden.
WebSphere Partner Gateway behandelt alle selbst unterzeichneten Zertifikate als Vertrauensanker. Das selbst unterzeichnete Zertifikat kann von einer Zertifizierungsstelle ausgegeben sein oder es kann ein selbst unterzeichnetes Zertifikat sein, das von dem Teilnehmer generiert wurde.
Sie können mehr als ein Zertifikat eines bestimmten Typs erstellen und eines zum primären Zertifikat und eines zum sekundären Zertifikat bestimmen. Wenn das primäre Zertifikat abgelaufen ist oder andernfalls nicht verwendet werden kann, wechselt WebSphere Partner Gateway zum sekundären Zertifikat. Sie geben in Community Console an, welches Zertifikat das primäre und welches das sekundäre ist.
Die Möglichkeit primäre und sekundäre Zertifikate bereitzustellen, ist für die folgenden Zertifikate verfügbar:
Beachten Sie die folgenden wichtigen Einschränkungen bei der Verwendung von Verschlüsselungszertifikaten. Java Runtime Environment (JRE), die mit WebSphere Partner Gateway geliefert wird, erzwingt Einschränkungen bezüglich der Verschlüsselungsalgorithmen und maximal verschlüsselten Stufen, die zur Verwendung verfügbar sind. Eine eingeschränkte Richtlinie gibt z. B. Begrenzungen bei der zulässigen Länge und folglich die Stufe der Verschlüsselungsschlüssel an. Diese Einschränkungen werden in Dateien mit dem Namen JRE-Standortrichtliniendateien (Jurisdiction Policy Files) angegeben. Die maximal zulässige Länge ist 2048 Byte. Wenn Sie Zertifikate mit einer Schlüsselgröße von größer als 2048 Byte unterstützen wollen, verwenden Sie die uneingeschränkte bzw. nicht begrenzte Stufenversion der Standortrichtliniendateien. Sie können angeben, dass Sie eine stärkere, uneingeschränkte Richtlinie verwenden wollen, indem Sie neue Richtliniendateien in ein Unterverzeichnis der installierten JRE installieren. Es gibt außerdem Verschlüsselungseinschränkungen für symmetrische Schlüsselalgorithmen, wie z. B. DES3. Wenn Sie einen stärkeren symmetrischen Schlüsselalgorithmus benötigen, das Ersetzen der Standortrichtliniendateien entfernt auch die Einschränkungen für die symmetrischen Schlüssel.
Führen Sie die folgenden Schritte aus, um uneingeschränkte Standortrichtliniendateien in WebSphere Partner Gateway zu installieren:
Diese Schritte gelten für alle konfigurierten WebSphere Application Server-Instanzen.