Basiskonfiguration - Sicherheit für eingehende und ausgehende Dokumente konfigurieren
In diesem Abschnitt erfahren Sie, wie die folgenden Sicherheitstypen der
Basiskonfiguration hinzugefügt werden:
- SSL-Serverauthentifizierung (SSL - Secure Socket Layers)
- Verschlüsselung
- Digitale Unterschriften
SSL-Authentifizierung für Eingangsdokumente konfigurieren
In diesem Abschnitt konfigurieren Sie die Serverauthentifizierung mit iKeyman,
so dass Partner Zwei AS2-Dokumente über HTTPS senden kann.
Führen Sie die folgenden Schritte aus, um die Serverauthentifizierung zu konfigurieren:
- Initiieren Sie die Anwendung iKeyman, indem Sie die Datei ikeyman.bat vom Verzeichnis
/<Produktverz>/was/bin öffnen.
- Öffnen Sie den Standard-Keystore des Empfängers, receiver.jks. Wählen Sie in der
Menüleiste Key Database File Open aus.
Bei einer Standardinstallation befindet sich receiver.jks im folgenden Verzeichnis:
<Produktverz>/common/security/keystore
- Wenn Sie dazu aufgefordert werden, geben Sie das Standardkennwort für receiver.jks ein.
Dieses Kennwort lautet WebAS.
- Wenn Sie receiver.jks zum ersten Mal öffnen, löschen Sie das Zertifikat "Dummy".
Der nächste Schritt besteht darin, ein neues selbst unterzeichnetes Zertifikat
zu erstellen. Durch die Erstellung eines selbst unterzeichneten persönlichen Zertifikats
werden ein privater Schlüssel und ein öffentlicher Schlüssel in der Server-Keystore-Datei
erstellt.
Gehen Sie wie folgt vor, um ein neues selbst unterzeichnetes Zertifikat zu erstellen:
-
Klicken Sie auf New Self Signed.
- Geben Sie dem Zertifikat eine Schlüsselbezeichnung, mit der das Zertifikat innerhalb
des Keystores eindeutig gekennzeichnet ist. Verwenden Sie die Bezeichnung
selfSignedCert .
- Geben Sie den allgemeinen Namen des Servers ein. Dies ist die primäre, universelle
Identität für das Zertifikat. Sie sollte den Teilnehmer, den sie darstellt, eindeutig
kennzeichnen.
- Geben Sie den Namen Ihres Unternehmens ein.
-
Akzeptieren Sie alle übrigen Standardeinstellungen, und klicken Sie auf
OK.
Angenommen, dass Partner Zwei eine EDI-Nachricht über AS2
mit HTTPS senden will. Partner Zwei muss auf das öffentliche
Zertifikat verweisen, welches bei der Erstellung des selbst unterzeichneten Zertifikats
mit erstellt wurde, um dies auszuführen.
Um Partner Zwei für die Verwendung des öffentlichen Zertifikats zu
aktivieren, exportieren Sie das öffentliche Zertifikat wie folgt aus der
Server-Keystore-Datei:
- Wählen Sie das neu erstellte selbst unterzeichnete Zertifikat vom Dienstprogramm IBM Key Management (iKeyman) aus.
- Klicken Sie auf Extract Certificate.
- Ändern Sie den Datentyp in Binary DER data.
- Stellen Sie den Dateinamen commManOeffentlich bereit, und
klicken Sie auf OK.
Verwenden Sie iKeyman dann, um das selbst unterzeichnete Zertifikat
und das private Schlüsselpaar in Form einer PKCS12-Datei zu exportieren.
Diese PCKS12-Datei wird zur Verschlüsselung verwendet, dies wird in einem
späteren Abschnitt beschrieben.
Gehen Sie wie folgt vor, um das selbst unterzeichnete Zertifikat und das
private Schlüsselpaar zu exportieren:
- Klicken Sie auf Export/Import.
- Ändern Sie den Schlüsseldateityp in PKCS12.
- Stellen Sie den Dateinamen commManPrivat bereit, und
klicken Sie auf OK.
- Geben Sie ein Kennwort ein, um die PKCS12-Zieldatei zu schützen. Bestätigen Sie
das Kennwort, und klicken Sie auf OK.
Anmerkung: Stoppen und starten Sie den Empfänger erneut, damit diese Änderungen
wirksam werden.
Das eingegebene Kennwort wird später verwendet, wenn Sie dieses private Zertifikat
in den Hub importieren.
Partner Zwei muss auch einige Konfigurationsschritte ausführen,
hierzu gehören das Importieren des Zertifikats und das Ändern der Adresse, an die die
AS2-Dokumente gesendet werden. Partner Zwei muss z. B.
die Adresse wie folgt ändern:
https://<IP-adresse>:57443/bcgreceiver/submit
Dabei steht <IP-adresse> für den Hub.
Das selbst unterzeichnete Zertifikat, das im Standard-Keystore des Empfängers
platziert wurde, wird Partner Zwei jetzt immer dann angezeigt, wenn
Partner Zwei ein Dokument über HTTPS sendet.
Um die entgegengesetzte Situation zu konfigurieren, muss Partner Zwei
für den Hub einen SSL-Schlüssel in Form einer .der-Datei (in diesem Fall partnerZweiSSL.der) bereitstellen.
Falls nötig, muss Partner Zwei die Konfiguration auch so ändern,
dass das Empfangen von Dokumenten über den HTTPS-Transport zugelassen wird.
Laden Sie die Datei partnerZweiSSL.der von Partner Zwei in das Profil
des Hub-Operators als Rootzertifikat. Ein Rootzertifikat ist ein Zertifikat, das
von einer Zertifizierungsstelle (CA - Certifying Authority) ausgestellt wird, die für das Einrichten einer
Zertifikatkette verwendet wird. In diesem Beispiel hat Partner Zwei
das Zertifikat generiert, welches als Rootzertifikat geladen wurde, um den Hub in die Lage zu
versetzen, den Sender zu erkennen und ihm zu vertrauen.
Laden Sie partnerZweiSSL.der in den Hub:
- Klicken Sie im Hauptmenü auf Kontenadmin > Profile > Community-Teilnehmer.
- Klicken Sie auf Suchen.
- Wählen Sie Hub-Operator aus, indem Sie das Symbol Details anzeigen auswählen.
- Klicken Sie auf Zertifikate und dann auf Zertifikat laden.
- Setzen Sie den Zertifikatstyp auf Root und Intermediate.
- Ändern Sie die Beschreibung in Partner Zwei SSL-Zertifikat.
- Setzen Sie den Status auf Aktiviert.
- Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis,
in dem Sie die Datei partnerZweiSSL.der gespeichert haben.
- Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
- Klicken Sie auf Hochladen und dann auf Speichern.
Ändern Sie das Gateway von Partner Zwei so, dass es HTTPS verwendet.
- Klicken Sie auf Kontenadmin > Profile > Community-Teilnehmer
in der horizontalen Navigationsleiste.
- Klicken Sie auf Suchen, und wählen Sie Partner Zwei aus, indem Sie auf das
Symbol Details anzeigen klicken.
- Klicken Sie auf Gateways in der horizontalen Navigationsleiste.
Wählen Sie als Nächstes HttpGateway aus, indem Sie auf das Symbol Details anzeigen klicken.
- Bearbeiten Sie es, indem Sie auf Symbol Bearbeiten klicken.
- Ändern Sie den Transportwert in HTTPS/1.1.
- Ändern Sie den Wert der Adresse wie folgt: https://<IP-adresse>:443/input/AS2.
Dabei steht <IP-adresse> für das System von Partner Zwei.
- Alle anderen Werte können unverändert bleiben. Klicken Sie auf Speichern.
Verschlüsselung konfigurieren
Dieser Abschnitt enthält die Schritte zum Konfigurieren der Verschlüsselung.
Partner Zwei muss alle nötigen Konfigurationsschritte ausführen,
z. B. das Importieren des öffentlichen Zertifikats und des selbst unterzeichneten
Zertifikats, und die Verschlüsselung von Dokumenten konfigurieren, die zum Hub gesendet werden.
WebSphere Partner Gateway verwendet seinen privaten Schlüssel zum Entschlüsseln von Dokumenten.
Um dem Hub dies zu ermöglichen, laden Sie zuerst den privaten Schlüssel, den Sie
aus dem selbst unterzeichneten Zertifikat extrahiert haben, in Community Console.
Führen Sie diese Aufgabe aus, wenn Sie als Hub-Operator an Community Console
angemeldet sind, und installieren Sie das Zertifikat in Ihrem eigenen Profil.
Gehen Sie wie folgt vor, um die PKCS12-Datei zu laden:
- Klicken Sie auf Kontenadmin > Profile > Community-Teilnehmer
in der horizontalen Navigationsleiste.
- Klicken Sie auf Suchen.
- Wählen Sie Hub-Operator aus, indem Sie auf das Symbol Details anzeigen klicken.
- Klicken Sie auf Zertifikate und dann auf PKCS12 laden.
- Wählen Sie das Markierungsfeld links von Verschlüsselung aus.
- Ändern Sie die Beschreibung in CommManPrivat.
- Wählen Sie Aktiviert aus.
- Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis,
in dem die PKCS12-Datei commMannPrivat.p12 gespeichert ist.
- Wählen Sie die Datei aus, und klicken Sie auf Öffnen.
- Geben Sie das Kennwort ein, das für die PKCS12-Datei bereitgestellt wurde.
- Übernehmen Sie den Gateway-Typ Produktion.
- Klicken Sie auf Hochladen und dann auf Speichern.
Das beendet die Konfiguration, die erforderlich ist, damit ein Teilnehmer
verschlüsselte Transaktionen über HTTPS an den Hub senden kann.
Im folgenden Abschnitt wird die vorherige Prozedur umgekehrt; nun sendet
der Hub eine verschlüsselte EDI-Transaktion über HTTPS.
Partner Zwei muss ein Schlüsselpaar zur Dokumententschlüsselung
generieren (in diesem Beispiel die Datei partnerZweiEntschlüsseln.der) und sollte das öffentliche
Zertifikat für den Hub verfügbar machen.
Wie bereits erwähnt, wird der öffentliche Schlüssel vom Hub verwendet, wenn
Transaktionen verschlüsselt werden, die an den Teilnehmer gesendet werden sollen.
Damit dies geschehen kann, laden Sie das öffentliche Zertifikat in den Hub.
- Klicken Sie im Hauptmenü auf Kontenadmin > Profile > Community-Teilnehmer.
- Klicken Sie auf Suchen.
- Wählen Sie Partner Zwei aus, indem Sie auf das Symbol Details anzeigen klicken.
- Klicken Sie auf Zertifikate in der horizontalen Navigationsleiste.
- Klicken Sie auf Zertifikat laden.
- Wählen Sie das Markierungsfeld neben Verschlüsselung aus.
- Ändern Sie die Beschreibung in Partner Zwei verschlüsseln.
- Setzen Sie den Status auf Aktiviert.
- Klicken Sie auf Durchsuchen.
- Navigieren Sie zum Verzeichnis, in dem das Entschlüsselungszertifikat partnerZweiEntschlüsselt.der gespeichert ist.
- Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
- Übernehmen Sie den Gateway-Typ Produktion.
- Klicken Sie auf Hochladen und dann auf Speichern.
Der letzte Schritt in der Hubkonfiguration zum Senden von verschlüsselten Nachrichten über
HTTPS mit AS2 besteht darin, die Teilnehmerverbindung zu ändern, die
zwischen Community Manager und Partner Zwei vorhanden ist.
Gehen Sie wie folgt vor, um die Teilnehmerverbindung über Community Console zu modifizieren:
- Klicken Sie auf Kontenadmin > Teilnehmerverbindungen in der horizontalen Navigationsleiste.
- Wählen Sie in der Liste Quelle den Eintrag Comm Man aus.
- Wählen Sie in der Liste Ziel den Eintrag Partner Zwei aus.
- Klicken Sie auf Suchen.
- Klicken Sie für das Ziel auf die Schaltfläche Attribute.
- Beachten Sie in der Verbindungszusammenfassung, dass das Attribut
AS verschlüsselt den aktuellen Wert Nein hat.
Bearbeiten Sie diesen Wert, indem Sie auf das Symbol Erweitern neben Paket: AS (N/A) klicken.
Anmerkung: Sie müssen auf der Seite abwärts blättern, damit diese Option angezeigt wird.
- Aktualisieren Sie in der Liste das Attribut AS verschlüsselt
in Ja, und klicken Sie auf Speichern.
Dokumentunterzeichnung konfigurieren
Wenn Sie eine Transaktion oder Nachricht digital unterzeichnen, verwendet WebSphere
Partner Gateway Ihren privaten Schlüssel, um die Unterschrift zu erstellen und zu unterzeichnen.
Ihr Partner, der diese Nachricht
empfängt, verwendet Ihren öffentlichen Schlüssel, um die Unterschrift zu prüfen.
Aus diesem Grund verwendet WebSphere Partner Gateway digitale Unterschriften.
Dieser Abschnitt stellt die Schritte bereit, die erforderlich sind, um sowohl den Hub als auch
einen Teilnehmer zur Verwendung für digitale Unterschriften zu konfigurieren.
Partner Zwei muss die nötigen Konfigurationsschritte ausführen (z. B.
das
Erstellen eines selbst unterzeichneten Dokuments, das in diesem Beispiel
partnerZweiUnterzeichnend.der genannt wurde) und die Unterzeichnung von Dokumenten konfigurieren.
Partner Zwei muss partnerZweiUnterzeichnend.der für den Hub verfügbar machen.
Gehen Sie wie folgt vor, um das digitale Zertifikat in den Hub zu laden:
- Klicken Sie auf Kontenadmin > Profile > Community-Teilnehmer
in der horizontalen Navigationsleiste.
- Klicken Sie auf Suchen.
- Wählen Sie Partner Zwei aus, indem Sie auf das Symbol Details anzeigen klicken.
- Wählen Sie Zertifikate in der horizontalen Navigationsleiste aus.
- Klicken Sie auf Zertifikat laden.
- Wählen Sie das Markierungsfeld neben Digitale Unterschrift aus.
- Ändern Sie die Beschreibung in CommMan unterzeichnend.
- Setzen Sie den Status auf Aktiviert.
- Klicken Sie auf Durchsuchen.
- Navigieren Sie zum Verzeichnis, in dem das digitales Zertifikat
partnerZweiUnterzeichnend.der gespeichert ist, wählen Sie das Zertifikat aus, und klicken Sie auf
Öffnen.
- Klicken Sie auf Hochladen und dann auf Speichern.
Damit ist die Anfangskonfiguration für digitale Unterschriften abgeschlossen.
Der Teilnehmer verwendet das öffentliche Zertifikat, um unterzeichnete, an den Hub gesendete Transaktionen zu authentifizieren.
Der Hub verwendet den privaten Schlüssel, um ausgehende Transaktionen, die an den
Teilnehmer gesendet wurden, digital zu unterzeichnen. Zuerst aktivieren Sie den privaten Schlüssel
für die digitale Unterschrift.
Gehen Sie wie folgt vor, um den privaten Schlüssel für die digitale Unterschrift zu aktivieren:
- Klicken Sie auf Kontenadmin > Profile > Zertifikate
in der horizontalen Navigationsleiste.
- Klicken Sie auf das Symbol Details anzeigen neben Hub-Operator.
- Klicken Sie auf das Symbol Details anzeigen neben CommManPrivat.
Anmerkung: Dies war das private Zertifikat, das Sie zuvor in den Hub geladen
haben.
- Klicken Sie auf das Symbol Bearbeiten.
- Wählen Sie das Markierungsfeld neben Digitale Unterschrift aus.
Anmerkung: Wenn mehr als ein Zertifikat für digitale
Unterschrift verfügbar ist, würden Sie auswählen, welches das primäre bzw. das sekundäre Zertifikat ist, indem Sie Primär oder
Sekundär in der Liste Zertifikatverwendung auswählen.
- Klicken Sie auf Speichern.
Als Nächstes ändern Sie die Attribute der vorhandenen Teilnehmerverbindung
zwischen Community Manager und Partner Zwei,
um unterzeichnete AS2-Transaktionen zu unterstützen.
Gehen Sie wie folgt vor, um die Attribute der Teilnehmerverbindung zu ändern:
- Klicken Sie auf Kontenadmin > Teilnehmerverbindungen in der horizontalen Navigationsleiste.
- Wählen Sie Comm Man in der Liste Quelle aus.
- Wählen Sie Partner Zwei in der Liste Ziel aus.
- Klicken Sie auf Suchen.
- Klicken Sie für Partner Zwei auf die Schaltfläche Attribute.
- Bearbeiten Sie das Attribut AS unterzeichnet, indem Sie auf das
Symbol Erweitern neben Paket: AS (N/A) klicken.
- Wählen Sie Ja in der Liste AS unterzeichnet aus.
- Klicken Sie auf Speichern.
Damit ist die Konfiguration abgeschlossen, die zum Senden einer unterzeichneten AS2-Transaktion
von WebSphere Partner Gateway an den Teilnehmer erforderlich ist.
