Verschlüsselungszertifikate erstellen und installieren
Dieser Abschnitt beschreibt Verschlüsselungszertifikate.
Eingehendes Verschlüsselungszertifikat
Dieses Zertifikat wird vom Hub verwendet, um verschlüsselte Dateien
zu entschlüsseln, die von Teilnehmern empfangen wurden. Der Hub verwendet
Ihren privaten Schlüssel, um die Dokumente zu entschlüsseln. Die Verschlüsselung
wird verwendet, um zu verhindern, dass Dritte neben dem Absender und dem beabsichtigten
Empfänger Transitdokumente anzeigen können.
Beachten Sie, dass die folgende wichtige Einschränkung beim Empfangen von verschlüsselten AS2-Nachrichten
von Teilnehmern. Wenn ein Teilnehmer eine verschlüsselte AS2-Nachricht sendet, aber das falsche Zertifikat verwendet, schlägt die
Entschlüsselung fehl. Es wird jedoch keine MDN an den Teilnehmer zurückgegeben, um den Fehler anzugeben. Damit Ihr Teilnehmer in dieser Situation
MDNs empfängt, erstellen Sie eine Verbindung zum Teilnehmer mit der folgenden Dokumentenflussdefinition:
- Paket: AS
- Protokoll: Binary
- Dokumentenfluss: Binary
Selbst unterzeichnetes Zertifikat verwenden
Wenn Sie ein selbst unterzeichnetes Zertifikat verwenden, führen Sie die folgende Prozedur aus.
- Starten Sie das Dienstprogramm iKeyman.
- Verwenden Sie iKeyman, um ein selbst unterzeichnetes Zertifikat und ein Schlüsselpaar zu generieren.
- Extrahieren Sie mit iKeyman das Zertifikat in eine Datei, das Ihren öffentlichen Schlüssel enthalten wird.
- Verteilen Sie das Zertifikat an Ihre Teilnehmer. Sie müssen die Datei
in ihr B2B-Produkt importieren, um diese als Verschlüsselungszertifikat
zu verwenden. Geben Sie ihnen den Rat, es zu verwenden, wenn sie verschlüsselte Dateien
an Community Manager senden wollen. Wenn Ihr Zertifikat CA-unterzeichnet ist,
stellen Sie das CA-Zertifikat ebenfalls zur Verfügung.
- Verwenden Sie iKeyman, um das selbst unterzeichnete Zertifikat
und das private Schlüsselpaar in Form einer PKCS12-Datei zu speichern.
- Installieren Sie das selbst unterzeichnete Zertifikat und das private Schlüsselpaar
in Form einer PKCS12-Datei über Community Console.
- Klicken Sie auf Kontenadmin > Profile > Zertifikate, um die Seite Zertifikatliste anzuzeigen.
Stellen Sie sicher, dass Sie an Community Console als Hub-Operator angemeldet sind.
- Klicken Sie auf PKCS12 laden.
Hinweise:
- Die PKCS12-Datei, die hochgeladen wird, sollte nur einen privaten Schlüssel und
das zugeordnete Zertifikat enthalten.
- Sie können das Zertifikat und den privaten Schlüssel auch als ein DER-verschlüsseltes
Zertifikat und einen PKCS#8-codierten privaten Schlüssel hochladen.
- Wählen Sie Verschlüsselung als Zertifikattyp aus.
- Geben Sie eine Beschreibung des Zertifikats ein, welches erforderlich ist.
- Ändern Sie den Status in Aktiviert.
- Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis,
in dem Sie das Zertifikat gespeichert haben.
- Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
- Geben Sie ein Kennwort ein.
- Klicken Sie auf Hochladen und dann auf Speichern.
- Aktivieren Sie die Verschlüsselung auf der Ebene für Pakete (höchste Ebene), Teilnehmer
oder Verbindungen (unterste Ebene). Ihre Einstellung kann andere Einstellungen
auf der Verbindungsebene überschreiben. Die Verbindungszusammenfassung informiert
Sie darüber, ob ein erforderliches Attribut fehlt.
Zum Ändern der Attribute von z. B. einer Teilnehmerverbindung klicken Sie auf
Kontenadmin > Teilnehmerverbindungen, und wählen Sie dann
die Teilnehmer aus. Klicken Sie auf Attribute, und
bearbeiten Sie dann das Attribut. Beispiel: AS verschlüsselt.
Von Zertifizierungsstelle signiertes Zertifikat verwenden
Wenn Sie ein von einer Zertifizierungsstelle unterzeichnetes Zertifikat verwenden, führen Sie
die folgende Prozedur aus:
- Starten Sie das Dienstprogramm iKeyman.
- Generieren Sie mit iKeyman eine Zertifikatsanforderung und ein Schlüsselpaar für den Empfänger.
- Übergeben Sie eine Zertifikatsunterzeichungsanforderung (CSR - Certificate Signing Request)
an eine Zertifizierungsstelle.
- Wenn Sie das unterzeichnete Zertifikat von der Zertifizierungsstelle empfangen, stellen Sie das unterzeichnete Zertifikat mit iKeyman in den Keystore.
- Verteilen Sie das unterzeichnende CA-Zertifikat an alle Teilnehmer.
Ausgehendes Verschlüsselungszertifikat
Das ausgehende Verschlüsselungszertifikat wird verwendet, wenn der
Hub verschlüsselte Dokumente an Teilnehmer sendet. WebSphere Partner
Gateway verschlüsselt Dokumente mit den öffentlichen Schlüsseln der Teilnehmer und
die Teilnehmer entschlüsseln die Dokumente mit ihren privaten Schlüsseln.
Der Teilnehmer kann mehr als ein
Verschlüsselungszertifikat haben. Eines ist das primäre Zertifikat, welches standardmäßig verwendet wird. Das andere Zertifikat ist das sekundäre Zertifikat, welches verwendet wird,
wenn das primäre Zertifikat abgelaufen ist oder andernfalls nicht verwendet werden kann.
- Rufen Sie das Verschlüsselungszertifikat des Teilnehmers ab. Das Zertifikat muss in X.509-DER-Format sein. Beachten Sie, dass
WebSphere Partner Gateway nur X5.09-Zertifikate unterstützt.
-
Installieren Sie das Zertifikat über Community Console im Profil des
Teilnehmers.
- Klicken Sie auf Kontenadmin > Profile > Community-Teilnehmer,
und suchen Sie nach dem Profil des Teilnehmers.
- Klicken Sie auf Zertifikate.
- Klicken Sie auf Zertifikat laden.
- Wählen Sie Verschlüsselung als Zertifikattyp aus.
- Geben Sie eine Beschreibung des Zertifikats ein, welches erforderlich ist.
- Ändern Sie den Status in Aktiviert.
- Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis,
in dem Sie das Zertifikat gespeichert haben.
- Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
- Wenn der Teilnehmer über zwei Verschlüsselungszertifikate verfügt, geben Sie an, welches von ihnen das primäre bzw. das sekundäre Zertifikat ist, indem Sie
Primär oder Sekundär in der Liste Zertifikatverwendung auswählen.
- Klicken Sie auf Hochladen und dann auf Speichern.
- Wiederholen Sie Schritt 2, wenn der Teilnehmer über ein zweites
Verschlüsselungszertifikat verfügt.
- Wenn das Zertifikat von einer Zertifizierungsstelle unterzeichnet wurde und das Rootzertifikat der
Zertifizierungsstelle und alle anderen Zertifikate, die Teil der Zertifikatkette sind, noch nicht im Profil des Hub-Operators installiert sind,
installieren Sie die Zertifikate jetzt.
- Klicken Sie auf Kontenadmin > Profile > Zertifikate, um die Seite Zertifikatliste anzuzeigen.
Stellen Sie sicher, dass Sie an Community Console als Hub-Operator angemeldet sind,
und installieren Sie das Zertifikat in Ihrem eigenen Profil.
- Klicken Sie auf Zertifikat laden.
- Wählen Sie Root und Intermediate aus.
- Geben Sie eine Beschreibung des Zertifikats ein, welches erforderlich ist.
- Ändern Sie den Status in Aktiviert.
- Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis,
in dem Sie das Zertifikat gespeichert haben.
- Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
- Klicken Sie auf Hochladen und dann auf Speichern.
Anmerkung: Sie müssen den vorherigen Schritt nicht ausführen,
wenn das CA-Zertifikat bereits installiert ist.
- Aktivieren Sie die Verschlüsselung auf der Ebene für Pakete (höchste Ebene), Teilnehmer
oder Verbindungen (unterste Ebene). Ihre Einstellung kann andere Einstellungen
auf der Verbindungsebene überschreiben. Die Verbindungszusammenfassung informiert
Sie darüber, ob ein erforderliches Attribut fehlt.
Zum Ändern der Attribute von z. B. einer Teilnehmerverbindung klicken Sie auf
Kontenadmin > Teilnehmerverbindungen, und wählen Sie dann
die Teilnehmer aus. Klicken Sie auf Attribute, und
bearbeiten Sie dann das Attribut. Beispiel: AS verschlüsselt.
Wenn die Fehlernachricht No valid encryption certificate found (Kein gültiges Verschlüsselungszertifikat wurde
gefunden) angezeigt wird, ist weder das primäre noch das sekundäre Zertifikat gültig. Die Zertifikate sind unter Umständen abgelaufen oder
sie wurden widerrufen. Wenn die Zertifikate abgelaufen sind oder widerrufen wurden, ist das entsprechende Ereignis (Certificate revoked or
expired) auch in der Ereignisanzeige sichtbar. Beachten Sie, dass diese zwei Ereignisse möglicherweise durch andere Ereignisse getrennt wurden.
Klicken Sie auf Anzeigen > Ereignisanzeige, um die Ereignisanzeige anzuzeigen.
