Basiskonfiguration - Sicherheit für eingehende und ausgehende Dokumente konfigurieren

In diesem Abschnitt erfahren Sie, wie die folgenden Sicherheitstypen der Basiskonfiguration hinzugefügt werden:

SSL-Authentifizierung für Eingangsdokumente konfigurieren

In diesem Abschnitt konfigurieren Sie die Serverauthentifizierung mit iKeyman, so dass Partner Zwei AS2-Dokumente über HTTPS senden kann.

Führen Sie die folgenden Schritte aus, um die Serverauthentifizierung zu konfigurieren:

  1. Initiieren Sie die Anwendung iKeyman, indem Sie die Datei ikeyman.bat vom Verzeichnis /<Produktverz>/was/bin öffnen.
  2. Öffnen Sie den Standard-Keystore des Empfängers, receiver.jks. Wählen Sie in der Menüleiste Key Database File Open aus. Bei einer Standardinstallation befindet sich receiver.jks im folgenden Verzeichnis: <Produktverz>/common/security/keystore
  3. Wenn Sie dazu aufgefordert werden, geben Sie das Standardkennwort für receiver.jks ein. Dieses Kennwort lautet WebAS.
  4. Wenn Sie receiver.jks zum ersten Mal öffnen, löschen Sie das Zertifikat "Dummy".

Der nächste Schritt besteht darin, ein neues selbst unterzeichnetes Zertifikat zu erstellen. Durch die Erstellung eines selbst unterzeichneten persönlichen Zertifikats werden ein privater Schlüssel und ein öffentlicher Schlüssel in der Server-Keystore-Datei erstellt.

Gehen Sie wie folgt vor, um ein neues selbst unterzeichnetes Zertifikat zu erstellen:

  1. Klicken Sie auf New Self Signed.
  2. Geben Sie dem Zertifikat eine Schlüsselbezeichnung, mit der das Zertifikat innerhalb des Keystores eindeutig gekennzeichnet ist. Verwenden Sie die Bezeichnung selfSignedCert .
  3. Geben Sie den allgemeinen Namen des Servers ein. Dies ist die primäre, universelle Identität für das Zertifikat. Sie sollte den Teilnehmer, den sie darstellt, eindeutig kennzeichnen.
  4. Geben Sie den Namen Ihres Unternehmens ein.
  5. Akzeptieren Sie alle übrigen Standardeinstellungen, und klicken Sie auf OK.

Angenommen, dass Partner Zwei eine EDI-Nachricht über AS2 mit HTTPS senden will. Partner Zwei muss auf das öffentliche Zertifikat verweisen, welches bei der Erstellung des selbst unterzeichneten Zertifikats mit erstellt wurde, um dies auszuführen.

Um Partner Zwei für die Verwendung des öffentlichen Zertifikats zu aktivieren, exportieren Sie das öffentliche Zertifikat wie folgt aus der Server-Keystore-Datei:

  1. Wählen Sie das neu erstellte selbst unterzeichnete Zertifikat vom Dienstprogramm IBM Key Management (iKeyman) aus.
  2. Klicken Sie auf Extract Certificate.
  3. Ändern Sie den Datentyp in Binary DER data.
  4. Stellen Sie den Dateinamen commManOeffentlich bereit, und klicken Sie auf OK.

Verwenden Sie iKeyman dann, um das selbst unterzeichnete Zertifikat und das private Schlüsselpaar in Form einer PKCS12-Datei zu exportieren. Diese PCKS12-Datei wird zur Verschlüsselung verwendet, dies wird in einem späteren Abschnitt beschrieben.

Gehen Sie wie folgt vor, um das selbst unterzeichnete Zertifikat und das private Schlüsselpaar zu exportieren:

  1. Klicken Sie auf Export/Import.
  2. Ändern Sie den Schlüsseldateityp in PKCS12.
  3. Stellen Sie den Dateinamen commManPrivat bereit, und klicken Sie auf OK.
  4. Geben Sie ein Kennwort ein, um die PKCS12-Zieldatei zu schützen. Bestätigen Sie das Kennwort, und klicken Sie auf OK.
Anmerkung: Stoppen und starten Sie den Empfänger erneut, damit diese Änderungen wirksam werden.

Das eingegebene Kennwort wird später verwendet, wenn Sie dieses private Zertifikat in den Hub importieren.

Partner Zwei muss auch einige Konfigurationsschritte ausführen, hierzu gehören das Importieren des Zertifikats und das Ändern der Adresse, an die die AS2-Dokumente gesendet werden. Partner Zwei muss z. B. die Adresse wie folgt ändern:

https://<IP-adresse>:57443/bcgreceiver/submit

Dabei steht <IP-adresse> für den Hub.

Das selbst unterzeichnete Zertifikat, das im Standard-Keystore des Empfängers platziert wurde, wird Partner Zwei jetzt immer dann angezeigt, wenn Partner Zwei ein Dokument über HTTPS sendet.

Um die entgegengesetzte Situation zu konfigurieren, muss Partner Zwei für den Hub einen SSL-Schlüssel in Form einer .der-Datei (in diesem Fall partnerZweiSSL.der) bereitstellen. Falls nötig, muss Partner Zwei die Konfiguration auch so ändern, dass das Empfangen von Dokumenten über den HTTPS-Transport zugelassen wird.

Laden Sie die Datei partnerZweiSSL.der von Partner Zwei in das Profil des Hub-Operators als Rootzertifikat. Ein Rootzertifikat ist ein Zertifikat, das von einer Zertifizierungsstelle (CA - Certifying Authority) ausgestellt wird, die für das Einrichten einer Zertifikatkette verwendet wird. In diesem Beispiel hat Partner Zwei das Zertifikat generiert, welches als Rootzertifikat geladen wurde, um den Hub in die Lage zu versetzen, den Sender zu erkennen und ihm zu vertrauen.

Laden Sie partnerZweiSSL.der in den Hub:

  1. Klicken Sie im Hauptmenü auf Kontenadmin > Profile > Community-Teilnehmer.
  2. Klicken Sie auf Suchen.
  3. Wählen Sie Hub-Operator aus, indem Sie das Symbol Details anzeigen auswählen.
  4. Klicken Sie auf Zertifikate und dann auf Zertifikat laden.
  5. Setzen Sie den Zertifikatstyp auf Root und Intermediate.
  6. Ändern Sie die Beschreibung in Partner Zwei SSL-Zertifikat.
  7. Setzen Sie den Status auf Aktiviert.
  8. Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis, in dem Sie die Datei partnerZweiSSL.der gespeichert haben.
  9. Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
  10. Klicken Sie auf Hochladen und dann auf Speichern.

Ändern Sie das Gateway von Partner Zwei so, dass es HTTPS verwendet.

  1. Klicken Sie auf Kontenadmin > Profile > Community-Teilnehmer in der horizontalen Navigationsleiste.
  2. Klicken Sie auf Suchen, und wählen Sie Partner Zwei aus, indem Sie auf das Symbol Details anzeigen klicken.
  3. Klicken Sie auf Gateways in der horizontalen Navigationsleiste. Wählen Sie als Nächstes HttpGateway aus, indem Sie auf das Symbol Details anzeigen klicken.
  4. Bearbeiten Sie es, indem Sie auf Symbol Bearbeiten klicken.
  5. Ändern Sie den Transportwert in HTTPS/1.1.
  6. Ändern Sie den Wert der Adresse wie folgt: https://<IP-adresse>:443/input/AS2. Dabei steht <IP-adresse> für das System von Partner Zwei.
  7. Alle anderen Werte können unverändert bleiben. Klicken Sie auf Speichern.

Verschlüsselung konfigurieren

Dieser Abschnitt enthält die Schritte zum Konfigurieren der Verschlüsselung.

Partner Zwei muss alle nötigen Konfigurationsschritte ausführen, z. B. das Importieren des öffentlichen Zertifikats und des selbst unterzeichneten Zertifikats, und die Verschlüsselung von Dokumenten konfigurieren, die zum Hub gesendet werden.

WebSphere Partner Gateway verwendet seinen privaten Schlüssel zum Entschlüsseln von Dokumenten. Um dem Hub dies zu ermöglichen, laden Sie zuerst den privaten Schlüssel, den Sie aus dem selbst unterzeichneten Zertifikat extrahiert haben, in Community Console. Führen Sie diese Aufgabe aus, wenn Sie als Hub-Operator an Community Console angemeldet sind, und installieren Sie das Zertifikat in Ihrem eigenen Profil.

Gehen Sie wie folgt vor, um die PKCS12-Datei zu laden:

  1. Klicken Sie auf Kontenadmin > Profile > Community-Teilnehmer in der horizontalen Navigationsleiste.
  2. Klicken Sie auf Suchen.
  3. Wählen Sie Hub-Operator aus, indem Sie auf das Symbol Details anzeigen klicken.
  4. Klicken Sie auf Zertifikate und dann auf PKCS12 laden.
  5. Wählen Sie das Markierungsfeld links von Verschlüsselung aus.
  6. Ändern Sie die Beschreibung in CommManPrivat.
  7. Wählen Sie Aktiviert aus.
  8. Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis, in dem die PKCS12-Datei commMannPrivat.p12 gespeichert ist.
  9. Wählen Sie die Datei aus, und klicken Sie auf Öffnen.
  10. Geben Sie das Kennwort ein, das für die PKCS12-Datei bereitgestellt wurde.
  11. Übernehmen Sie den Gateway-Typ Produktion.
  12. Klicken Sie auf Hochladen und dann auf Speichern.

Das beendet die Konfiguration, die erforderlich ist, damit ein Teilnehmer verschlüsselte Transaktionen über HTTPS an den Hub senden kann.

Im folgenden Abschnitt wird die vorherige Prozedur umgekehrt; nun sendet der Hub eine verschlüsselte EDI-Transaktion über HTTPS.

Partner Zwei muss ein Schlüsselpaar zur Dokumententschlüsselung generieren (in diesem Beispiel die Datei partnerZweiEntschlüsseln.der) und sollte das öffentliche Zertifikat für den Hub verfügbar machen.

Wie bereits erwähnt, wird der öffentliche Schlüssel vom Hub verwendet, wenn Transaktionen verschlüsselt werden, die an den Teilnehmer gesendet werden sollen. Damit dies geschehen kann, laden Sie das öffentliche Zertifikat in den Hub.

  1. Klicken Sie im Hauptmenü auf Kontenadmin > Profile > Community-Teilnehmer.
  2. Klicken Sie auf Suchen.
  3. Wählen Sie Partner Zwei aus, indem Sie auf das Symbol Details anzeigen klicken.
  4. Klicken Sie auf Zertifikate in der horizontalen Navigationsleiste.
  5. Klicken Sie auf Zertifikat laden.
  6. Wählen Sie das Markierungsfeld neben Verschlüsselung aus.
  7. Ändern Sie die Beschreibung in Partner Zwei verschlüsseln.
  8. Setzen Sie den Status auf Aktiviert.
  9. Klicken Sie auf Durchsuchen.
  10. Navigieren Sie zum Verzeichnis, in dem das Entschlüsselungszertifikat partnerZweiEntschlüsselt.der gespeichert ist.
  11. Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
  12. Übernehmen Sie den Gateway-Typ Produktion.
  13. Klicken Sie auf Hochladen und dann auf Speichern.

Der letzte Schritt in der Hubkonfiguration zum Senden von verschlüsselten Nachrichten über HTTPS mit AS2 besteht darin, die Teilnehmerverbindung zu ändern, die zwischen Community Manager und Partner Zwei vorhanden ist.

Gehen Sie wie folgt vor, um die Teilnehmerverbindung über Community Console zu modifizieren:

  1. Klicken Sie auf Kontenadmin > Teilnehmerverbindungen in der horizontalen Navigationsleiste.
  2. Wählen Sie in der Liste Quelle den Eintrag Comm Man aus.
  3. Wählen Sie in der Liste Ziel den Eintrag Partner Zwei aus.
  4. Klicken Sie auf Suchen.
  5. Klicken Sie für das Ziel auf die Schaltfläche Attribute.
  6. Beachten Sie in der Verbindungszusammenfassung, dass das Attribut AS verschlüsselt den aktuellen Wert Nein hat. Bearbeiten Sie diesen Wert, indem Sie auf das Symbol Erweitern neben Paket: AS (N/A) klicken.
    Anmerkung: Sie müssen auf der Seite abwärts blättern, damit diese Option angezeigt wird.
  7. Aktualisieren Sie in der Liste das Attribut AS verschlüsselt in Ja, und klicken Sie auf Speichern.

Dokumentunterzeichnung konfigurieren

Wenn Sie eine Transaktion oder Nachricht digital unterzeichnen, verwendet WebSphere Partner Gateway Ihren privaten Schlüssel, um die Unterschrift zu erstellen und zu unterzeichnen. Ihr Partner, der diese Nachricht empfängt, verwendet Ihren öffentlichen Schlüssel, um die Unterschrift zu prüfen. Aus diesem Grund verwendet WebSphere Partner Gateway digitale Unterschriften.

Dieser Abschnitt stellt die Schritte bereit, die erforderlich sind, um sowohl den Hub als auch einen Teilnehmer zur Verwendung für digitale Unterschriften zu konfigurieren.

Partner Zwei muss die nötigen Konfigurationsschritte ausführen (z. B. das Erstellen eines selbst unterzeichneten Dokuments, das in diesem Beispiel partnerZweiUnterzeichnend.der genannt wurde) und die Unterzeichnung von Dokumenten konfigurieren. Partner Zwei muss partnerZweiUnterzeichnend.der für den Hub verfügbar machen.

Gehen Sie wie folgt vor, um das digitale Zertifikat in den Hub zu laden:

  1. Klicken Sie auf Kontenadmin > Profile > Community-Teilnehmer in der horizontalen Navigationsleiste.
  2. Klicken Sie auf Suchen.
  3. Wählen Sie Partner Zwei aus, indem Sie auf das Symbol Details anzeigen klicken.
  4. Wählen Sie Zertifikate in der horizontalen Navigationsleiste aus.
  5. Klicken Sie auf Zertifikat laden.
  6. Wählen Sie das Markierungsfeld neben Digitale Unterschrift aus.
  7. Ändern Sie die Beschreibung in CommMan unterzeichnend.
  8. Setzen Sie den Status auf Aktiviert.
  9. Klicken Sie auf Durchsuchen.
  10. Navigieren Sie zum Verzeichnis, in dem das digitales Zertifikat partnerZweiUnterzeichnend.der gespeichert ist, wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
  11. Klicken Sie auf Hochladen und dann auf Speichern.

Damit ist die Anfangskonfiguration für digitale Unterschriften abgeschlossen.

Der Teilnehmer verwendet das öffentliche Zertifikat, um unterzeichnete, an den Hub gesendete Transaktionen zu authentifizieren.

Der Hub verwendet den privaten Schlüssel, um ausgehende Transaktionen, die an den Teilnehmer gesendet wurden, digital zu unterzeichnen. Zuerst aktivieren Sie den privaten Schlüssel für die digitale Unterschrift.

Gehen Sie wie folgt vor, um den privaten Schlüssel für die digitale Unterschrift zu aktivieren:

  1. Klicken Sie auf Kontenadmin > Profile > Zertifikate in der horizontalen Navigationsleiste.
  2. Klicken Sie auf das Symbol Details anzeigen neben Hub-Operator.
  3. Klicken Sie auf das Symbol Details anzeigen neben CommManPrivat.
    Anmerkung: Dies war das private Zertifikat, das Sie zuvor in den Hub geladen haben.
  4. Klicken Sie auf das Symbol Bearbeiten.
  5. Wählen Sie das Markierungsfeld neben Digitale Unterschrift aus.
    Anmerkung: Wenn mehr als ein Zertifikat für digitale Unterschrift verfügbar ist, würden Sie auswählen, welches das primäre bzw. das sekundäre Zertifikat ist, indem Sie Primär oder Sekundär in der Liste Zertifikatverwendung auswählen.
  6. Klicken Sie auf Speichern.

Als Nächstes ändern Sie die Attribute der vorhandenen Teilnehmerverbindung zwischen Community Manager und Partner Zwei, um unterzeichnete AS2-Transaktionen zu unterstützen.

Gehen Sie wie folgt vor, um die Attribute der Teilnehmerverbindung zu ändern:

  1. Klicken Sie auf Kontenadmin > Teilnehmerverbindungen in der horizontalen Navigationsleiste.
  2. Wählen Sie Comm Man in der Liste Quelle aus.
  3. Wählen Sie Partner Zwei in der Liste Ziel aus.
  4. Klicken Sie auf Suchen.
  5. Klicken Sie für Partner Zwei auf die Schaltfläche Attribute.
  6. Bearbeiten Sie das Attribut AS unterzeichnet, indem Sie auf das Symbol Erweitern neben Paket: AS (N/A) klicken.
  7. Wählen Sie Ja in der Liste AS unterzeichnet aus.
  8. Klicken Sie auf Speichern.

Damit ist die Konfiguration abgeschlossen, die zum Senden einer unterzeichneten AS2-Transaktion von WebSphere Partner Gateway an den Teilnehmer erforderlich ist.

Copyright IBM Corp. 2003, 2005