Digitale Zertifikate hochladen

Ein digitales Zertifikat ist ein Online-Identitätsnachweis, ähnlich einem Führerschein oder Ausweis. Mit einem digitalen Zertifikat können Sie eine Einzelperson oder eine Organisation identifizieren.

Digitale Unterschriften sind Berechnungen auf der Basis eines elektronischen Dokuments, das für die Verschlüsselung einen öffentlichen Schlüssel verwendet. Durch diesen Prozess ist die digitale Unterschrift an das unterzeichnete Dokument und an den Unterzeichner gebunden, und kann nicht reproduziert werden. Mittlerweile haben digital unterschriebene elektronische Transaktionen juristisch gesehen häufig dasselbe Gewicht wie unterzeichnete Papierdokumente.

WebSphere Partner Gateway verwendet digitale Zertifikate, um die Authentizität von Geschäftsdokumenttransaktionen zwischen dem Community Manager und den Teilnehmern zu überprüfen. Außerdem werden sie für die Verschlüsselung und Entschlüsselung verwendet.

Sie können für abgehende Dokumente ein primäres und ein sekundäres Zertifikat angeben, um sicherzustellen, dass der Dokumentaustausch nicht unterbrochen wird. Das primäre Zertifikat wird für alle Transaktionen verwendet. Das sekundäre Zertifikat wird verwendet, wenn das primäre abgelaufen ist oder widerrufen wurde.

Digitale Zertifikate werden hochgeladen und während des Konfigurationsprozesses identifiziert.

Wenn festgestellt wird, dass ein Zertifikat abgelaufen ist oder widerrufen wurde, wird es inaktiviert und in der Community Console als inaktiviert ausgewiesen. Wenn das primäre Zertifikat abgelaufen ist oder widerrufen wurde, wird es inaktiviert. In diesem Fall wird dann das sekundäre Zertifikat als primäres Zertifikat verwendet. Wenn festgestellt wird, dass ein Zertifikat abgelaufen ist oder widerrufen wurde, wird ein Ereignis generiert.

Die Option Zertifikatverwendung ist je nach ausgewähltem Zertifikatstyp verfügbar. Im Hub-Operator-Profil kann die Zertifikatverwendung für Digitale Unterschrift oder SSL-Clientzertifikat festgelegt werden.

Im Teilnehmerprofil kann für das Verschlüsselungszertifikat die Zertifikatverwendung festgelegt werden. Wenn dasselbe Zertifikat für unterschiedliche Zwecke verwendet werden soll, z. B. im Hub-Operator-Profil für die digitale Unterschrift und die Verschlüsselung, muss es zweimal geladen werden. Hierbei wird ein Ladevorgang für die digitale Unterschrift und der andere für das Verschlüs- selungszertifikat ausgeführt. Wird das Zertifikat allerdings für digitale Unterschrif- ten und für den SSL-Client verwendet, können die entsprechenden Markierungs- felder jedoch im selben Zertifikatseintrag definiert werden.

Derartige Zertifikate können auch zweimal geladen werden, wobei ein Ladevorgang für die digitale Unterschrift und der andere für den SSL-Client ausgeführt wird. In diesem Fall muss beim sekundären Zertifikat dieselbe Vorgehensweise verwendet werden. Wenn die primären Zertifikate z. B. als separate Zertifikate für digitale Unterschriften und für den SSL-Client geladen wurden, dann sollten auch die sekundären Zertifikate als separate Zertifikatseinträge geladen werden. (Dies gilt auch bei identischen Zertifikaten.)

Für die vollständige CertPath-Erstellung und -Validierung ist es erforderlich, dass Sie alle Zertifikate in der Zertifikatkette hochladen. Wenn z. B. die Zertifikatkette die Zertifikate A -> B -> C -> D enthält, in der A -> B bedeutet, dass A der Aussteller von B ist, sollten die Zertifikate A, B, und C als Root-Zertifikate hochgeladen werden. Wenn eines der Zertifikate nicht verfügbar ist, wird der CertPath nicht erstellt und die Transaktion schlägt fehl. Die CA-Zertifikate können aus Zertifikatrepositories angefordert werden, die von den Zertifizierungsstellen oder von dem Partner verwaltet werden, die das Zertifikat zur Verfügung gestellt haben. Root- und Intermediate-Zertifikate können nur im Hub-Operator-Profil hochgeladen werden.

Anmerkung:
Bevor Sie die in den folgenden Abschnitten beschriebenen Prozeduren anwenden können, müssen die Zertifikate in das System geladen werden. Weitere Informationen zum Laden der Zertifikate finden Sie im Handbuch Hub-Konfiguration.

Sie können Zertifikatablaufalerts erstellen; diese benachrichtigen Sie, wenn ein Zertifikat demnächst abläuft. Weitere Informationen finden Sie im Abschnitt Alerts erstellen und Kontakte hinzufügen. Abgelaufene Zertifikate werden in der Datenbank von IBM WebSphere Partner Gateway gespeichert; sie können nicht vom System gelöscht werden.

Zertifikatbedingungen

Zertifizierungsstelle (Certificate Authority, CA). Eine Stelle, die Berechti- gungsnachweise für die Sicherheit und öffentliche Schlüssel zur Nachrichten- verschlüsselung ausgibt. Fordert eine Einzelperson oder eine Firma ein digitales Zertifikat an, prüft die Zertifizierungsstelle die ihr überlassenen Informationen bei einer Registrierungsstelle (Registration Authority, RA) nach. Wenn die Registrie- rungsstelle die Informationen bestätigt, stellt die Zertifizierungsstelle ein Zertifi- kat aus.

Beispiele für eine Zertifizierungsstelle sind VeriSign und Thawte.

Digitales Zertifikat. Ein digitales Zertifikat ist die elektronische Version einer ID-Karte. Es stellt Ihre Identität dar, wenn Sie B2B-Transaktionen über das Internet ausführen. Digitale Zertifikate werden von einer Zertifizierungsstelle abgerufen und bestehen aus drei Teilen:

Digitale Unterschrift. Ein mit einem privaten Schlüssel erstellter digitaler Code. Mit Hilfe von digitalen Unterschriften können Mitglieder der Hub-Community Übertragungen durch die Prüfung der Unterschrift authentifizieren. Wenn Sie eine Datei mit einer Unterschrift versehen, wird ein digitaler Code erstellt, der sowohl für den Inhalt der Datei als auch für Ihren privaten Schlüssel eindeutig ist. Mit Ihrem öffentlichen Schlüssel wird Ihre Unterschrift bestätigt.

Verschlüsselung. Eine Methode zum Verwürfeln von Informationen, damit diese unleserlich an alle Personen außer dem beabsichtigten Empfänger übergeben werden. Dieser muss die Informationen entschlüsseln, um sie lesen zu können.

Entschlüsselung. Eine Methode zum Entwürfeln von Informationen, um diese wieder leserlich zu machen. Der private Schlüssel des Empfängers wird zur Entschlüsselung verwendet.

Schlüssel. Ein digitaler Code zum Verschlüsseln, Signieren, Entschlüsseln und Prüfen von Dateien. Schlüssel können aus Schlüsselpaaren bestehen: einem privaten und einem öffentlichen Schlüssel.

Fälschungssicherer Herkunftsnachweis. Verhindert das Bestreiten vorangegangener Zusagen oder Aktionen. Bei elektronischen B2B-Transaktionen werden digitale Unterschriften dazu verwendet, den Sender zu überprüfen und die Transaktion mit einer Zeitmarke zu versehen. Damit wird verhindert, dass die beteiligten Parteien den Anspruch stellen, die Transaktion sei nicht autorisiert oder nicht gültig gewesen.

Privater Schlüssel. Der geheime Abschnitt eines Schlüsselpaares. Mit Hilfe dieses Schlüssels werden die Informationen unterzeichnet und entschlüsselt. Nur Sie verfügen über den Zugriff auf Ihren privaten Schlüssel. Mit dem privaten Schlüssel wird außerdem eine eindeutige digitale Unterschrift generiert, die auf dem Inhalt des Dokuments basiert.

Öffentlicher Schlüssel. Der öffentliche Abschnitt eines Schlüsselpaares. Mit Hilfe dieses Schlüssels werden die Informationen verschlüsselt und die Unterschriften geprüft. Ein öffentlicher Schlüssel kann an andere Mitglieder der Hub-Community verteilt werden. Ist der öffentliche Schlüssel einer Person bekannt, kann dadurch jedoch nicht der zugehörige private Schlüssel aufgedeckt werden.

Selbst unterzeichneter Schlüssel. Ein öffentlicher Schlüssel, der zum Beweis des Eigentumsrechts durch den zugehörigen privaten Schlüssel unterzeichnet wurde.

X.509-Zertifikat. Ein digitales Zertifikat, mit dem die Identität und das Eigentumsrecht an einem öffentlichen Schlüssel über ein Kommunikationsnetz hinweg bewiesen wird. Es enthält den Namen des Ausstellers (d. h. den Namen der Zertifizierungsstelle), die Identifizierungsinformationen des Benutzers und die digitale Unterschrift des Ausstellers.

Mit dem Zertifikat werden das Unternehmen und der Gültigkeitszeitraum des Zertifikats identifiziert.

Typen und unterstützte Formate von Zertifikaten

Alle Zertifikate müssen entweder das Format DER oder ASCII Privacy Enhanced Mail (PEM) haben. Die Zertifikate können von einem Format in das andere konvertiert werden.

Es gibt mehrere Typen von Zertifikaten:

SSL-Server- und Clientauthentifizierung

Ist eine Clientauthentifizierung nicht erforderlich, muss Folgendes zutreffen:

Ist eine Clientauthentifizierung erforderlich, muss Folgendes zutreffen:

Digitales Zertifikat laden und definieren

  1. Klicken Sie auf Kontenadmin > Profile > Zertifikate. Das System ruft die Anzeige Zertifikatliste auf.
  2. Klicken Sie in der oberen rechten Ecke der Anzeige auf Zertifikat laden. Das System ruft die Anzeige Neues Zertifikat erstellen auf.
  3. Wählen Sie den Zertifikatstyp aus: Prüfung der digitalen Unterschrift, Verschlüsselung oder SSL-Client. Sie können mehrere digitale Unterschriften und SSL-Zertifikate hochladen. Es kann jedoch nur ein Verschlüsselungszertifikat hochgeladen werden.
  4. Geben Sie im Feld Beschreibung einen eindeutigen Namen für das Zertifikat im Textfeld Zertifikat ein.
  5. Wählen Sie Aktiviert oder Inaktiviert aus.
  6. Klicken Sie auf Durchsuchen, und navigieren Sie zu dem digitalen Zertifikat.
  7. Wählen Sie den Gateway-Typ aus, z. B. CPS-Teilnehmer (nur für SSL-Zertifikate). Mit dieser Funktion können Sie ein Zertifikat basierend auf der Zieladresse auswählen.
  8. Wählen Sie den Typ der Zertifikatverwendung aus:
  9. Klicken Sie auf Hochladen.

Copyright IBM Corp. 2003, 2005