Verschlüsselungszertifikate erstellen und installieren

Dieser Abschnitt beschreibt Verschlüsselungszertifikate.

Eingehendes Verschlüsselungszertifikat

Dieses Zertifikat wird vom Hub verwendet, um verschlüsselte Dateien zu entschlüsseln, die von Teilnehmern empfangen wurden. Der Hub verwendet Ihren privaten Schlüssel, um die Dokumente zu entschlüsseln. Die Verschlüsselung wird verwendet, um zu verhindern, dass Dritte neben dem Absender und dem beabsichtigten Empfänger Transitdokumente anzeigen können.

Beachten Sie, dass die folgende wichtige Einschränkung beim Empfangen von verschlüsselten AS2-Nachrichten von Teilnehmern. Wenn ein Teilnehmer eine verschlüsselte AS2-Nachricht sendet, aber das falsche Zertifikat verwendet, schlägt die Entschlüsselung fehl. Es wird jedoch keine MDN an den Teilnehmer zurückgegeben, um den Fehler anzugeben. Damit Ihr Teilnehmer in dieser Situation MDNs empfängt, erstellen Sie eine Verbindung zum Teilnehmer mit der folgenden Dokumentenflussdefinition:

Selbst unterzeichnetes Zertifikat verwenden

Wenn Sie ein selbst unterzeichnetes Zertifikat verwenden, führen Sie die folgende Prozedur aus.

  1. Starten Sie das Dienstprogramm iKeyman.
  2. Verwenden Sie iKeyman, um ein selbst unterzeichnetes Zertifikat und ein Schlüsselpaar zu generieren.
  3. Extrahieren Sie mit iKeyman das Zertifikat in eine Datei, das Ihren öffentlichen Schlüssel enthalten wird.
  4. Verteilen Sie das Zertifikat an Ihre Teilnehmer. Sie müssen die Datei in ihr B2B-Produkt importieren, um diese als Verschlüsselungszertifikat zu verwenden. Geben Sie ihnen den Rat, es zu verwenden, wenn sie verschlüsselte Dateien an Community Manager senden wollen. Wenn Ihr Zertifikat CA-unterzeichnet ist, stellen Sie das CA-Zertifikat ebenfalls zur Verfügung.
  5. Verwenden Sie iKeyman, um das selbst unterzeichnete Zertifikat und das private Schlüsselpaar in Form einer PKCS12-Datei zu speichern.
  6. Installieren Sie das selbst unterzeichnete Zertifikat und das private Schlüsselpaar in Form einer PKCS12-Datei über Community Console.
    1. Klicken Sie auf Kontenadmin > Profile > Zertifikate, um die Seite Zertifikatliste anzuzeigen.

      Stellen Sie sicher, dass Sie an Community Console als Hub-Operator angemeldet sind.

    2. Klicken Sie auf PKCS12 laden.
      Hinweise:
      1. Die PKCS12-Datei, die hochgeladen wird, sollte nur einen privaten Schlüssel und das zugeordnete Zertifikat enthalten.
      2. Sie können das Zertifikat und den privaten Schlüssel auch als ein DER-verschlüsseltes Zertifikat und einen PKCS#8-codierten privaten Schlüssel hochladen.
    3. Wählen Sie Verschlüsselung als Zertifikattyp aus.
    4. Geben Sie eine Beschreibung des Zertifikats ein, welches erforderlich ist.
    5. Ändern Sie den Status in Aktiviert.
    6. Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis, in dem Sie das Zertifikat gespeichert haben.
    7. Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
    8. Geben Sie ein Kennwort ein.
    9. Klicken Sie auf Hochladen und dann auf Speichern.
  7. Aktivieren Sie die Verschlüsselung auf der Ebene für Pakete (höchste Ebene), Teilnehmer oder Verbindungen (unterste Ebene). Ihre Einstellung kann andere Einstellungen auf der Verbindungsebene überschreiben. Die Verbindungszusammenfassung informiert Sie darüber, ob ein erforderliches Attribut fehlt.

    Zum Ändern der Attribute von z. B. einer Teilnehmerverbindung klicken Sie auf Kontenadmin > Teilnehmerverbindungen, und wählen Sie dann die Teilnehmer aus. Klicken Sie auf Attribute, und bearbeiten Sie dann das Attribut. Beispiel: AS verschlüsselt.

Von Zertifizierungsstelle signiertes Zertifikat verwenden

Wenn Sie ein von einer Zertifizierungsstelle unterzeichnetes Zertifikat verwenden, führen Sie die folgende Prozedur aus:

  1. Starten Sie das Dienstprogramm iKeyman.
  2. Generieren Sie mit iKeyman eine Zertifikatsanforderung und ein Schlüsselpaar für den Empfänger.
  3. Übergeben Sie eine Zertifikatsunterzeichungsanforderung (CSR - Certificate Signing Request) an eine Zertifizierungsstelle.
  4. Wenn Sie das unterzeichnete Zertifikat von der Zertifizierungsstelle empfangen, stellen Sie das unterzeichnete Zertifikat mit iKeyman in den Keystore.
  5. Verteilen Sie das unterzeichnende CA-Zertifikat an alle Teilnehmer.

Ausgehendes Verschlüsselungszertifikat

Das ausgehende Verschlüsselungszertifikat wird verwendet, wenn der Hub verschlüsselte Dokumente an Teilnehmer sendet. WebSphere Partner Gateway verschlüsselt Dokumente mit den öffentlichen Schlüsseln der Teilnehmer und die Teilnehmer entschlüsseln die Dokumente mit ihren privaten Schlüsseln.

Der Teilnehmer kann mehr als ein Verschlüsselungszertifikat haben. Eines ist das primäre Zertifikat, welches standardmäßig verwendet wird. Das andere Zertifikat ist das sekundäre Zertifikat, welches verwendet wird, wenn das primäre Zertifikat abgelaufen ist oder andernfalls nicht verwendet werden kann.

  1. Rufen Sie das Verschlüsselungszertifikat des Teilnehmers ab. Das Zertifikat muss in X.509-DER-Format sein. Beachten Sie, dass WebSphere Partner Gateway nur X5.09-Zertifikate unterstützt.
  2. Installieren Sie das Zertifikat über Community Console im Profil des Teilnehmers.
    1. Klicken Sie auf Kontenadmin > Profile > Community-Teilnehmer, und suchen Sie nach dem Profil des Teilnehmers.
    2. Klicken Sie auf Zertifikate.
    3. Klicken Sie auf Zertifikat laden.
    4. Wählen Sie Verschlüsselung als Zertifikattyp aus.
    5. Geben Sie eine Beschreibung des Zertifikats ein, welches erforderlich ist.
    6. Ändern Sie den Status in Aktiviert.
    7. Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis, in dem Sie das Zertifikat gespeichert haben.
    8. Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
    9. Wenn der Teilnehmer über zwei Verschlüsselungszertifikate verfügt, geben Sie an, welches von ihnen das primäre bzw. das sekundäre Zertifikat ist, indem Sie Primär oder Sekundär in der Liste Zertifikatverwendung auswählen.
    10. Klicken Sie auf Hochladen und dann auf Speichern.
  3. Wiederholen Sie Schritt 2, wenn der Teilnehmer über ein zweites Verschlüsselungszertifikat verfügt.
  4. Wenn das Zertifikat von einer Zertifizierungsstelle unterzeichnet wurde und das Rootzertifikat der Zertifizierungsstelle und alle anderen Zertifikate, die Teil der Zertifikatkette sind, noch nicht im Profil des Hub-Operators installiert sind, installieren Sie die Zertifikate jetzt.
    1. Klicken Sie auf Kontenadmin > Profile > Zertifikate, um die Seite Zertifikatliste anzuzeigen.

      Stellen Sie sicher, dass Sie an Community Console als Hub-Operator angemeldet sind, und installieren Sie das Zertifikat in Ihrem eigenen Profil.

    2. Klicken Sie auf Zertifikat laden.
    3. Wählen Sie Root und Intermediate aus.
    4. Geben Sie eine Beschreibung des Zertifikats ein, welches erforderlich ist.
    5. Ändern Sie den Status in Aktiviert.
    6. Klicken Sie auf Durchsuchen, und navigieren Sie zum Verzeichnis, in dem Sie das Zertifikat gespeichert haben.
    7. Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen.
    8. Klicken Sie auf Hochladen und dann auf Speichern.
    Anmerkung: Sie müssen den vorherigen Schritt nicht ausführen, wenn das CA-Zertifikat bereits installiert ist.
  5. Aktivieren Sie die Verschlüsselung auf der Ebene für Pakete (höchste Ebene), Teilnehmer oder Verbindungen (unterste Ebene). Ihre Einstellung kann andere Einstellungen auf der Verbindungsebene überschreiben. Die Verbindungszusammenfassung informiert Sie darüber, ob ein erforderliches Attribut fehlt.

    Zum Ändern der Attribute von z. B. einer Teilnehmerverbindung klicken Sie auf Kontenadmin > Teilnehmerverbindungen, und wählen Sie dann die Teilnehmer aus. Klicken Sie auf Attribute, und bearbeiten Sie dann das Attribut. Beispiel: AS verschlüsselt.

Wenn die Fehlernachricht No valid encryption certificate found (Kein gültiges Verschlüsselungszertifikat wurde gefunden) angezeigt wird, ist weder das primäre noch das sekundäre Zertifikat gültig. Die Zertifikate sind unter Umständen abgelaufen oder sie wurden widerrufen. Wenn die Zertifikate abgelaufen sind oder widerrufen wurden, ist das entsprechende Ereignis (Certificate revoked or expired) auch in der Ereignisanzeige sichtbar. Beachten Sie, dass diese zwei Ereignisse möglicherweise durch andere Ereignisse getrennt wurden. Klicken Sie auf Anzeigen > Ereignisanzeige, um die Ereignisanzeige anzuzeigen.

Copyright IBM Corp. 2003, 2005