Configuración básica - Configuración de seguridad para documentos entrantes y salientes

En este apartado aprenderá a añadir los siguientes tipos de seguridad a la configuración básica:

Configuración de autenticación SSL para documentos entrantes

En este apartado, utilice iKeyman para configurar la autenticación del servidor de modo que el Socio Dos pueda enviar documentos AS2 mediante HTTPS.

Para configurar la autenticación del servidor, realice los pasos siguientes:

  1. Inicie la aplicación iKeyman; para ello, abra el archivo iKeyman.bat en el directorio /<DirProducto>/was/bin.
  2. Abra el almacén de claves predeterminadas del receptor, receiver.jks. En la barra de menús, seleccione la opción para abrir el archivo de base de datos de claves para abrir el archivo de base de datos de claves. En una instalación predeterminada, receiver.jks reside en el directorio: <DirProducto>/common/security/keystore
  3. Cuando el sistema lo solicite, especifique la contraseña predeterminada correspondiente a receiver.jks. La contraseña es WebAS.
  4. Si es la primera vez que abre el archivo receiver.jks, elimine el certificado "ficticio".

El paso siguiente es crear un certificado de firma automática. Al crear un certificado personal de firma automática, se crea una clave privada y una pública dentro del archivo de almacén de claves del servidor.

Para crear un certificado de firma automática:

  1. Pulse New Self Signed (Nuevo certificado de firma automática).
  2. Dé al certificado una etiqueta clave para identificar de forma exclusiva el certificado dentro del almacén de claves. Utilice la etiqueta selfSignedCert.
  3. Especifique el nombre común del servidor. Éste es la identidad principal y del certificado. Debe identificar de forma exclusiva aquello que representa.
  4. Especifique el nombre de la organización.
  5. Acepte todos los otros valores predeterminados y pulse Aceptar.

Presuponga que el Socio Dos desea enviar un mensaje EDI en AS2 mediante HTTP seguro. Para ello, el Socio Dos necesitará hacer referencia al certificado público (que se ha creado como parte de la creación del certificado de firma automática).

Para permitir que el Socio Dos utilice el certificado público, exporte el certificado público del archivo de almacenamiento de claves del servidor, como se explica a continuación:

  1. Seleccione el certificado de firma automática recién creado en el programa de utilidad IBM Key Management.
  2. Pulse Extract Certificate (Extraer certificado).
  3. Cambie el tipo de datos por Binary DER.
  4. Proporcione el nombre de archivo commManPublic y pulse Aceptar.

Por último, utilice la herramienta iKeyman para exportar el par certificado de firma automática y clave privada con el formato de un archivo PKCS12. Este archivo PCKS12 se utilizará para cifrado, que se describe en un apartado posterior.

Para exportar el par certificado de firma automática y clave privada:

  1. Pulse Exportar/Importar.
  2. Cambie el tipo de archivo de claves a PKCS12.
  3. Proporcione el nombre de archivo commManPrivate y pulse Aceptar.
  4. Especifique una contraseña para proteger el archivo PKCS12 destino. Confirme la contraseña y pulse Aceptar.
Nota: detenga y reinicie el receptor para que estos cambios surtan efecto.

La contraseña especificada se utilizará más tarde al importar este certificado privado en el concentrador.

El Socio Dos debe realizar pasos de configuración, como importar el certificado y cambiar la dirección por aquella adonde envía los documentos AS2. Por ejemplo, el Socio Dos debe cambiar la dirección por:

https://<dirección_IP>:57443/bcgreceiver/submit

donde <dirección_IP> se refiere al concentrador.

Acto seguido, el certificado de firma automática que se ha colocado en el almacén de claves predeterminadas del receptor se presenta al Socio Dos siempre que éste envía un documento mediante HTTP seguro.

Para configurar la situación inversa, el Socio Dos debe proporcionar al concentrador una clave SSL con el formato de un archivo .der (es este caso, partnerTwoSSL.der). Si fuera necesario, el Socio Dos debe cambiar también la configuración para permitir la recepción de documentos mediante transporte HTTPS.

Cargue el archivo del Socio Dos, partnerTwoSSL.der, en el perfil del operador del concentrador como certificado raíz. Un certificado raíz es un certificado emitido desde una autoridad certificadora (CA) que se utiliza al establecer una cadena de certificados. En este ejemplo, el Socio Dos ha generado el certificado, que se carga como un certificado raíz para permitir al concentrador reconocer al remitente y confiar en él.

Cargue partnerTwoSSL.der en el concentrador:

  1. En el menú principal, pulse Administración de cuentas > Perfiles > Participante de comunidad.
  2. Pulse Buscar.
  3. Seleccione Operador del concentrador seleccionando el icono Ver detalles.
  4. Pulse Certificados y, a continuación, Cargar certificado.
  5. Establezca el Tipo de certificado como Certificado raíz e intermedio.
  6. Cambie la descripción por Certificado SSL de Socio Dos.
  7. Establezca el campo Estado en Habilitado.
  8. Pulse Examinar y vaya al directorio en el que ha guardado partnerTwoSSL.der.
  9. Seleccione el certificado y pulse Abrir.
  10. Pulse Subir y, a continuación, Guardar.

Cambie la pasarela del Socio Dos de modo que utilice HTTP seguro.

  1. Pulse Administración de cuentas > Perfiles > Participante de comunidad en la barra de navegación horizontal.
  2. Pulse Buscar y seleccione Socio Dos pulsando el icono Ver detalles.
  3. Pulse Pasarelas en la barra de navegación horizontal. A continuación, seleccione HttpGateway pulsando el icono Ver detalles.
  4. Edítelo pulsando el icono Editar.
  5. Cambie el valor del transporte a HTTPS/1.1
  6. Cambie el valor de la dirección como se indica a continuación:https://<dirección_IP>:443/input/AS2, donde <dirección_IP> se refiere a la máquina del Socio Dos.
  7. No es necesario modificar el resto de valores. Pulse Guardar.

Configuración de cifrado

En este apartado se proporcionan instrucciones para configurar el cifrado.

El Socio Dos debe realizar los pasos de configuración necesarios (por ejemplo, importar el certificado público y el certificado de firma automática) y configurar el cifrado en documentos enviados al concentrador.

WebSphere Partner Gateway utilizará su clave privada para descifrar documentos. Para ello, primero debe cargar la clave privada extraída desde el certificado de firma automática a la Consola de comunidad. Realice esta tarea una vez que ha iniciado sesión en la Consola de comunidad como operador del concentrador e instale el certificado en su propio perfil.

Para cargar el archivo PKCS12:

  1. Pulse Administración de cuentas > Perfiles > Participante de comunidad en la barra de navegación horizontal.
  2. Pulse Buscar.
  3. Seleccione Operador del concentrador pulsando el icono Ver detalles.
  4. Pulse Certificados y, a continuación, Cargar PKCS12.
  5. Seleccione el recuadro de selección que hay a la izquierda de Cifrado.
  6. Cambie la descripción por Comm ManPrivate.
  7. Seleccione Habilitado.
  8. Pulse Examinar y vaya al directorio en el que se encuentra el archivo PKCS12, commManPrivate.p12.
  9. Seleccione el archivo y pulse Abrir.
  10. Especifique la contraseña proporcionada para el archivo PKCS12.
  11. En Tipo de pasarela, deje el valor Producción.
  12. Pulse Subir y, a continuación, Guardar.

Esto completa la configuración necesaria para permitir que un participante envíe transacciones cifradas mediante HTTP seguro al concentrador.

En el apartado siguiente, el procedimiento anterior se invierte: el concentrador envía una transacción EDI cifrada mediante HTTP seguro.

El Socio Dos debe generar un documento de par de claves de descifrado (en este ejemplo, partnerTwoDecrypt.der) y poner el certificado público a disposición del concentrador.

Como se ha mencionado anteriormente, el concentrador utilizará la clave pública al cifrar transacciones que va a enviar al participante. Para ello, primero debe cargar el certificado público en el concentrador.

  1. En el menú principal, pulse Administración de cuentas > Perfiles > Participante de comunidad.
  2. Pulse Buscar.
  3. Seleccione Socio Dos pulsando el icono Ver detalles.
  4. Pulse Certificados en la barra de navegación horizontal.
  5. Pulse Cargar certificado.
  6. Seleccione el recuadro de selección situado junto Cifrado.
  7. Cambie la descripción por Descifrado de Socio Dos.
  8. Establezca el estado en Habilitado.
  9. Pulse Examinar.
  10. Vaya al directorio en el que se ha almacenado el certificado de descifrado, partnerTwoDecrypt.der.
  11. Seleccione el certificado y pulse Abrir.
  12. En Tipo de pasarela, deje el valor Producción
  13. Pulse Subir y, a continuación, Guardar.

El último paso en la configuración del concentrador para que envíe mensajes cifrados mediante HTTP seguro utilizando AS2 es modificar la conexión de participante que existe entre el Gestor de comunidad y el Socio Dos.

Para modificar la conexión de participante en la Consola de comunidad:

  1. Pulse Administrador de cuentas > Conexiones de participante en la barra de navegación horizontal.
  2. En la lista Origen, seleccione Comm Man.
  3. En la lista Destino, seleccione Socio Dos.
  4. Pulse Buscar.
  5. Pulse el botón Atributos correspondiente a Destino.
  6. En el Resumen de conexión, observe que el atributo AS cifrada tiene el valor actual de No. Edite este valor pulsando el icono Expandir situado junto a Paquete: AS (N/D).
    Nota: para ver esta opción, es necesario desplazarse por la página hacia abajo.
  7. En la lista, actualice el atributo AS cifrada con el valor y pulse Guardar.

Configuración de la firma de documentos

Al firmar digitalmente una transacción o un mensaje, WebSphere Partner Gateway utiliza la clave privada para crear la firma y firmar. El socio que recibe el mensaje utiliza la clave pública para validar la firma. WebSphere Partner Gateway utiliza firmas digitales a este efecto.

En este apartado se describen los pasos necesarios para configurar el concentrador y un participante para utilizar con firmas digitales.

El Socio Dos debe realizar los pasos de configuración necesarios (por ejemplo, crear un documento de firma automática llamado, en este caso, partnerTwoSigning.der) y configurar la firma de documentos. El Socio Dos debe poner partnerTwoSigning.der a disposición del concentrador.

Para cargar el certificado digital en el concentrador:

  1. Pulse Administración de cuentas > Perfiles > Participante de comunidad en la barra de navegación horizontal.
  2. Pulse Buscar.
  3. Seleccione Socio Dos pulsando el icono Ver detalles.
  4. Elija Certificados en la barra de navegación horizontal.
  5. Pulse Cargar certificado.
  6. Seleccione el recuadro de selección que hay junto a Firma digital.
  7. Cambie la descripción por Comm Man Signing.
  8. Establezca el campo Estado en Habilitado.
  9. Pulse Examinar.
  10. Vaya al directorio que contiene el certificado digital, partnerTwoSigning.der, selecciónelo y pulse Abrir.
  11. Pulse Subir y, a continuación, Guardar.

Esto completa la configuración inicial de firmas digitales.

El participante utiliza el certificado público para autenticar transacciones firmadas enviadas al concentrador.

El concentrador utilizará la clave privada para firmar digitalmente transacciones salientes que se envían al participante. Habilite primero la clave privada para firma digital.

Para habilitar la clave privada para firma digital:

  1. Pulse Administración de cuentas > Perfiles > Certificados en la barra de navegación horizontal.
  2. Pulse el icono Ver detalles situado junto a Operador del concentrador.
  3. Pulse el icono Ver detalles situado junto a Comm ManPrivate.
    Nota: éste es el certificado privado cargado en el concentrador previamente.
  4. Pulse el icono Editar.
  5. Seleccione el recuadro de selección que hay junto a Firma digital.
    Nota: si hay más de un certificado de firma digital, debe seleccionar cual es el primario y cual es el secundario seleccionando Primario o Secundario en la lista Utilización de certificado.
  6. Pulse Guardar.

A continuación, modifique los atributos de la conexión de participante existente entre el Gestor de comunidad y el Socio Dos para albergar AS2 firmadas.

Para modificar los atributos de la conexión de participante:

  1. Pulse Administrador de cuentas > Conexiones de participante en la barra de navegación horizontal.
  2. Seleccione Comm Man en la lista Origen.
  3. Seleccione Socio Dos en la lista Destino.
  4. Pulse Buscar.
  5. Pulse el botón Atributos correspondiente Socio Dos.
  6. Edite el atributo AS firmada pulsando el icono Expandir junto a Paquete: AS (N/D).
  7. Seleccione en la lista AS firmada.
  8. Pulse Guardar.

Esto completa la configuración necesaria para enviar una transacción de AS2 firmada desde WebSphere Partner Gateway al participante.

Copyright IBM Corp. 2003, 2005