Creación e instalación de certificados de cifrado
En este apartado se describen los certificados de cifrado.
Certificado de cifrado entrante
El concentrador utiliza este certificado para descifrar los archivos cifrados recibidos del participante. El concentrador utiliza la clave privada para descifrar los documentos. El cifrado se utiliza para evitar que otros (a excepción del remitente y el destinatario) puedan ver los documentos en tránsito.
Tenga en cuenta la siguiente restricción importante en la recepción de mensajes AS2 cifradas que proceden de los participantes. Si un participante envía un mensaje AS2 cifrada pero utiliza el certificado incorrecto, no se puede descifrar. Sin embargo, no se devuelve ninguna MDN al participante para indicar la anomalía.
Para que el participante reciba notificaciones MDN en esta circunstancia, cree una conexión al participante con la siguiente definición de flujo de documentos:
- Paquete: AS
- Protocolo: Binario
- Flujo de documentos: Binario
Utilización de un certificado autofirmado
Si va a utilizar un certificado autofirmado, utilice el siguiente procedimiento.
- Inicie el programa de utilidad iKeyman.
- Utilice iKeyman para generar un certificado autofirmado y una pareja de claves.
- Utilice iKeyman para extraer a un archivo el certificado que contendrá la clave pública.
- Distribuya el certificado a los participantes. Deberán importar el archivo en su producto B2B para utilizarlo como certificado de cifrado. Indíqueles que lo utilicen cuando deseen enviar archivos cifrados al administrador de la comunidad. Si el certificado está firmado por una CA, facilite también en certificado de la CA.
- Utilice iKeyman para guardar el certificado autofirmado y el par de claves privadas con el formato de un archivo PKCS12.
- Instale la pareja
certificado auto-firmado y clave privada con el formato de un
archivo PKCS12 mediante la consola de la comunidad.
- Pulse Administración de cuentas > Perfiles > Certificados para visualizar la página Lista de certificados.
Asegúrese de que ha iniciado la sesión en la consola de comunidad como operador del concentrador.
- Pulse Cargar PKCS12.
Notas:
- El archivo PKCS12 que se sube sólo debe contener una clave privada y el certificado asociado.
- También puede subir el certificado y la clave privada como certificado con codificación
DER y la clave privada con codificación PKCS#8.
- Seleccione Cifrado como tipo de certificado.
- Escriba una descripción del certificado (que es necesario).
- Cambie el estado por Habilitado.
- Pulse Examinar y vaya al directorio en el que se ha guardado el certificado.
- Seleccione el certificado y pulse Abrir.
- Escriba la contraseña.
- Pulse Subir y, a continuación,
Guardar.
- Habilite el cifrado en el nivel de paquete (nivel superior), participante o conexión (nivel inferior). Su valor puede prevalecer sobre otros valores en el nivel de conexión. El resumen de la conexión le indicará si falta algún atributo necesario.
Por ejemplo, para modificar los atributos de conexión de un participante, pulse Administración de cuentas > Conexiones de participante y seleccione los participantes. Pulse Atributos y edite el atributo (por ejemplo, AS cifrada).
Utilización de un certificado firmado por una CA
Si piensa utilizar un certificado firmado por una CA, utilice el siguiente procedimiento:
- Inicie el programa de utilidad iKeyman.
- Utilice iKeyman para generar una petición de certificado y una pareja de claves para el receptor.
- Envíe una Petición de firma de certificado (CSR) a la CA.
- Cuando reciba el certificado firmado de la CA, utilice iKeyman
para colocar el certificado firmado en el almacén de claves.
- Distribuya el certificado CA firmante a todos los participantes.
Certificado de cifrado saliente
El certificado de cifrado saliente se utiliza cuando el concentrador envía documentos cifrados a los participantes. WebSphere Partner Gateway cifra los documentos con las claves públicas de los participantes y los
participantes descifran los documentos con sus claves privadas.
El participante puede tener más de un certificado de cifrado. Uno es el certificado primario, que es el que se utiliza de manera predeterminada. El otro es un certificado secundario, que se utiliza si el certificado primario caduca o si no se puede utilizar.
- Obtenga el certificado de cifrado del participante. El certificado debe estar en formato X.509 DER. Recuerde que WebSphere Partner Gateway sólo da soporte a certificados X5.09.
-
Instale el certificado a través de la consola de comunidad bajo el perfil del participante.
- Pulse Administración de cuentas > Perfiles > Participante de comunidad y busque el perfil del participante.
- Pulse Certificados.
- Pulse Cargar certificado.
- Seleccione Cifrado como tipo de certificado.
- Escriba una descripción del certificado (que es necesario).
- Cambie el estado por Habilitado.
- Pulse Examinar y vaya al directorio en el que se ha guardado el certificado.
- Seleccione el certificado y pulse Abrir.
- Si el participante tiene dos certificados de cifrado, indique si éste es el certificado primario o secundario seleccionando Primario o Secundario en la lista Utilización de certificado.
- Pulse Subir y, a continuación,
Guardar.
- Repita el paso 2 si el participante tiene un segundo certificado de cifrado.
- Si el certificado estaba firmado por una CA, y el certificado raíz de la CA y todos los demás certificados que forman parte de la cadena de certificados todavía no están instalados en el perfil del operador del concentrador, instale los certificados ahora.
- Pulse Administración de cuentas > Perfiles > Certificados para visualizar la página Lista de certificados.
Asegúrese de que ha iniciado la sesión en la consola de comunidad como operador del concentrador e instale el certificado en su propio perfil.
- Pulse Cargar certificado.
- Seleccione Raíz e intermedio.
- Escriba una descripción del certificado (que es necesario).
- Cambie el estado por Habilitado.
- Pulse Examinar y vaya al directorio en el que se ha guardado el certificado.
- Seleccione el certificado y pulse Abrir.
- Pulse Subir y, a continuación,
Guardar.
Nota: Si el certificado de la CA ya está instalado, no es necesario que realice el paso anterior.
- Habilite el cifrado en el nivel de paquete (nivel superior), participante o conexión (nivel inferior). Su valor puede prevalecer sobre otros valores en el nivel de conexión. El resumen de la conexión le indicará si falta algún atributo necesario.
Por ejemplo, para modificar los atributos de conexión de un participante, pulse Administración de cuentas > Conexiones de participante y seleccione los participantes. Pulse Atributos y edite el atributo (por ejemplo, AS cifrada).
Cuando aparece el mensaje No se ha encontrado ningún certificado de cifrado válido, no son válidos ni el certificado primario ni el secundario. Los certificados pueden haber caducado o pueden haber sido revocados. Si los certificados habían caducado o se habían revocado, el suceso correspondiente (Certificado revocado o caducado) también puede verse en el Visor de sucesos. Tenga en cuenta que estos dos sucesos pueden estar separados por otros sucesos.
Para visualizar el Visor de sucesos, pulse Visores > Visor de sucesos.
