Configuración básica - Configuración de seguridad para
documentos entrantes y salientes
En este apartado aprenderá a añadir los siguientes tipos de
seguridad a la configuración básica:
- Autenticación de servidor SSL (Capa de sockets protegidos)
- Cifrado
- Firmas digitales
Configuración de autenticación SSL para documentos
entrantes
En este apartado, utilice iKeyman para configurar la autenticación del servidor de modo que el Socio Dos pueda
enviar documentos AS2 mediante HTTPS.
Para configurar la autenticación del servidor, realice
los pasos
siguientes:
- Inicie la aplicación iKeyman; para ello, abra el archivo iKeyman.bat en el directorio
/<DirProducto>/was/bin.
- Abra el almacén de claves predeterminadas del receptor, receiver.jks. En
la barra de menús, seleccione la opción para abrir el archivo de base de datos de claves para abrir el archivo de base de datos de claves. En una instalación predeterminada, receiver.jks reside en el directorio:
<DirProducto>/common/security/keystore
- Cuando el sistema lo solicite, especifique la contraseña predeterminada
correspondiente a receiver.jks.
La contraseña es WebAS.
- Si es la primera vez que abre el archivo receiver.jks, elimine el certificado "ficticio".
El paso siguiente es crear un certificado de firma automática. Al
crear un certificado personal de firma automática, se crea una clave
privada y una pública dentro del archivo de almacén de claves del
servidor.
Para crear un certificado de firma automática:
-
Pulse New Self Signed (Nuevo certificado de
firma automática).
- Dé al certificado una etiqueta clave para
identificar de forma exclusiva el certificado dentro del almacén de
claves. Utilice la etiqueta selfSignedCert.
- Especifique el nombre común del servidor. Éste es la identidad
principal y del certificado. Debe identificar de forma exclusiva aquello
que representa.
- Especifique el nombre de la organización.
-
Acepte todos los otros valores predeterminados y pulse
Aceptar.
Presuponga que el Socio Dos desea enviar un mensaje EDI en AS2
mediante HTTP seguro. Para ello, el Socio Dos necesitará hacer referencia al
certificado público (que se ha creado como parte de la creación del
certificado de firma automática).
Para permitir que el Socio Dos utilice el certificado público, exporte
el certificado público del archivo de almacenamiento de claves del
servidor, como se explica a continuación:
- Seleccione el certificado de firma automática recién creado en
el programa de utilidad IBM Key Management.
- Pulse Extract Certificate (Extraer certificado).
- Cambie el tipo de datos por Binary DER.
- Proporcione el nombre de archivo commManPublic y pulse Aceptar.
Por último, utilice la herramienta iKeyman para exportar el par
certificado de firma automática y clave privada con el formato de un
archivo PKCS12. Este archivo PCKS12 se utilizará para cifrado, que se
describe en un apartado posterior.
Para exportar el par certificado de firma automática y clave privada:
- Pulse Exportar/Importar.
- Cambie el tipo de archivo de claves a PKCS12.
- Proporcione el nombre de archivo commManPrivate y pulse
Aceptar.
- Especifique una contraseña para proteger el archivo PKCS12 destino. Confirme
la contraseña y pulse Aceptar.
Nota: detenga y reinicie el receptor para que estos cambios
surtan efecto.
La contraseña especificada se utilizará más tarde al importar este
certificado privado en el concentrador.
El Socio Dos debe realizar pasos de configuración, como
importar el certificado y cambiar la dirección por aquella adonde
envía los documentos AS2. Por ejemplo, el Socio Dos debe cambiar la
dirección por:
https://<dirección_IP>:57443/bcgreceiver/submit
donde <dirección_IP> se refiere al concentrador.
Acto seguido, el certificado de firma automática que se ha colocado
en el almacén de claves predeterminadas del receptor se presenta al Socio Dos
siempre que éste envía un documento mediante HTTP seguro.
Para configurar la situación inversa, el Socio Dos debe proporcionar
al concentrador una clave SSL con el formato de un archivo .der (es
este caso, partnerTwoSSL.der).
Si fuera necesario, el Socio Dos debe cambiar también la configuración
para permitir la recepción de documentos mediante transporte HTTPS.
Cargue el archivo del Socio Dos, partnerTwoSSL.der, en el perfil del
operador del concentrador como certificado raíz. Un certificado raíz es un
certificado emitido desde una autoridad certificadora (CA) que se
utiliza al establecer una cadena de certificados. En este ejemplo, el
Socio Dos ha generado el certificado, que se carga como un certificado
raíz para permitir al concentrador reconocer al remitente y confiar en él.
Cargue partnerTwoSSL.der en el concentrador:
- En el menú principal, pulse Administración de cuentas
> Perfiles > Participante de comunidad.
- Pulse Buscar.
- Seleccione Operador del concentrador seleccionando el icono Ver detalles.
- Pulse Certificados y, a continuación, Cargar certificado.
- Establezca el Tipo de certificado como Certificado raíz e intermedio.
- Cambie la descripción por Certificado SSL de Socio Dos.
- Establezca el campo Estado en
Habilitado.
- Pulse Examinar y vaya al directorio en el que ha
guardado partnerTwoSSL.der.
- Seleccione el certificado y pulse Abrir.
- Pulse Subir y, a continuación,
Guardar.
Cambie la pasarela del Socio Dos de modo que utilice HTTP seguro.
- Pulse Administración de cuentas > Perfiles >
Participante de comunidad en la barra de navegación horizontal.
- Pulse Buscar y seleccione Socio Dos pulsando el icono Ver detalles.
- Pulse Pasarelas en la barra de navegación
horizontal. A continuación, seleccione HttpGateway pulsando el icono Ver detalles.
- Edítelo pulsando el icono Editar.
- Cambie el valor del transporte a HTTPS/1.1
- Cambie el valor de la dirección como se indica a continuación:https://<dirección_IP>:443/input/AS2,
donde <dirección_IP> se refiere a la máquina del Socio Dos.
- No es necesario modificar el resto de valores. Pulse Guardar.
Configuración de cifrado
En este apartado se proporcionan instrucciones para configurar
el cifrado.
El Socio Dos debe realizar los pasos de configuración
necesarios (por ejemplo, importar el certificado público y el
certificado de firma automática) y configurar el cifrado en
documentos enviados al concentrador.
WebSphere Partner Gateway utilizará su clave privada para descifrar documentos. Para ello, primero debe
cargar la clave privada extraída desde el certificado de firma automática
a la Consola de comunidad. Realice esta tarea una vez que ha iniciado
sesión en la Consola de comunidad como operador del concentrador e
instale el certificado en su propio perfil.
Para cargar el archivo PKCS12:
- Pulse Administración de cuentas > Perfiles >
Participante de comunidad en la barra de navegación horizontal.
- Pulse Buscar.
- Seleccione Operador del concentrador pulsando el icono Ver detalles.
- Pulse Certificados y, a continuación, Cargar PKCS12.
- Seleccione el recuadro de selección que hay a la izquierda de Cifrado.
- Cambie la descripción por Comm ManPrivate.
- Seleccione Habilitado.
- Pulse Examinar y vaya al directorio en el que se encuentra el archivo PKCS12, commManPrivate.p12.
- Seleccione el archivo y pulse Abrir.
- Especifique la contraseña proporcionada para el archivo PKCS12.
- En Tipo de pasarela, deje el valor Producción.
- Pulse Subir y, a continuación,
Guardar.
Esto completa la configuración necesaria para permitir que un
participante envíe transacciones cifradas mediante HTTP seguro al
concentrador.
En el apartado siguiente, el procedimiento anterior se invierte: el
concentrador envía una transacción EDI cifrada mediante HTTP seguro.
El Socio Dos debe generar un documento de par de claves de descifrado (en este ejemplo, partnerTwoDecrypt.der) y poner el certificado público a disposición del concentrador.
Como se ha mencionado anteriormente, el concentrador utilizará la clave
pública al cifrar transacciones que va a enviar al participante. Para
ello, primero debe cargar el certificado público en el concentrador.
- En el menú principal, pulse Administración de cuentas
> Perfiles > Participante de comunidad.
- Pulse Buscar.
- Seleccione Socio Dos pulsando el icono Ver detalles.
- Pulse Certificados en la barra de
navegación
horizontal.
- Pulse Cargar certificado.
- Seleccione el recuadro de selección situado junto Cifrado.
- Cambie la descripción por Descifrado de Socio Dos.
- Establezca el estado en Habilitado.
- Pulse Examinar.
- Vaya al directorio en el que se ha almacenado el certificado de
descifrado, partnerTwoDecrypt.der.
- Seleccione el certificado y pulse Abrir.
- En Tipo de pasarela, deje el valor Producción
- Pulse Subir y, a continuación,
Guardar.
El último paso en la configuración del concentrador para que envíe
mensajes cifrados mediante HTTP seguro utilizando AS2 es modificar la
conexión de participante que existe entre el Gestor de comunidad y el Socio Dos.
Para modificar la conexión de participante en la Consola de comunidad:
- Pulse Administrador de cuentas > Conexiones de participante en la barra de navegación horizontal.
- En la lista Origen, seleccione Comm Man.
- En la lista Destino, seleccione
Socio Dos.
- Pulse Buscar.
- Pulse el botón Atributos correspondiente a
Destino.
- En el Resumen de conexión, observe que el atributo AS cifrada tiene el valor actual de No. Edite este valor pulsando el icono Expandir situado junto a Paquete: AS (N/D).
Nota: para ver esta opción, es necesario desplazarse por la página hacia abajo.
- En la lista, actualice el atributo AS cifrada con el valor
Sí y pulse Guardar.
Configuración de la firma de
documentos
Al firmar digitalmente una transacción o un mensaje, WebSphere
Partner Gateway utiliza la clave privada para crear la firma y firmar. El socio que recibe el mensaje utiliza la
clave pública para validar la firma. WebSphere Partner
Gateway utiliza firmas digitales a este efecto.
En este apartado se describen los pasos necesarios para configurar el
concentrador y un participante para utilizar con firmas digitales.
El Socio Dos debe realizar los pasos de configuración necesarios
(por ejemplo, crear un documento de firma automática llamado, en este
caso, partnerTwoSigning.der) y configurar la firma de documentos.
El Socio Dos debe poner partnerTwoSigning.der a disposición del
concentrador.
Para cargar el certificado digital en el concentrador:
- Pulse Administración de cuentas > Perfiles >
Participante de comunidad en la barra de navegación horizontal.
- Pulse Buscar.
- Seleccione Socio Dos pulsando el icono Ver detalles.
- Elija Certificados en la barra de navegación
horizontal.
- Pulse Cargar certificado.
- Seleccione el recuadro de selección que hay junto a
Firma digital.
- Cambie la descripción por Comm Man Signing.
- Establezca el campo Estado en Habilitado.
- Pulse Examinar.
- Vaya al directorio que contiene el certificado digital,
partnerTwoSigning.der, selecciónelo y pulse Abrir.
- Pulse Subir y, a continuación, Guardar.
Esto completa la configuración inicial de firmas digitales.
El participante utiliza el certificado público para autenticar transacciones firmadas
enviadas al concentrador.
El concentrador utilizará la clave privada para firmar digitalmente
transacciones salientes que se envían al participante. Habilite primero
la clave privada para firma digital.
Para habilitar la clave privada para firma digital:
- Pulse Administración de cuentas > Perfiles >
Certificados en la barra de navegación horizontal.
- Pulse el icono Ver detalles situado junto a Operador del concentrador.
- Pulse el icono Ver detalles situado junto a Comm ManPrivate.
Nota: éste es el certificado privado cargado en el
concentrador previamente.
- Pulse el icono Editar.
- Seleccione el recuadro de selección que hay junto a
Firma digital.
Nota: si hay más de un certificado de firma digital, debe seleccionar cual es el primario y cual es el secundario seleccionando Primario o Secundario en la lista
Utilización de certificado.
- Pulse Guardar.
A continuación, modifique los atributos de la conexión de
participante existente entre el Gestor de comunidad y el Socio Dos para albergar AS2
firmadas.
Para modificar los atributos de la conexión de participante:
- Pulse Administrador de cuentas > Conexiones de participante en la barra de navegación horizontal.
- Seleccione Comm Man en la lista Origen.
- Seleccione Socio Dos en la lista
Destino.
- Pulse Buscar.
- Pulse el botón Atributos correspondiente Socio
Dos.
- Edite el atributo AS firmada pulsando el icono Expandir junto a Paquete: AS (N/D).
- Seleccione Sí en la lista AS firmada.
- Pulse Guardar.
Esto completa la configuración necesaria para enviar una transacción
de AS2 firmada desde WebSphere Partner Gateway al participante.
