Création et installation de certificats de chiffrement
Cette section apporte des informations sur les certificats de chiffrement.
Certificat de chiffrement de communication entrante
Ce certificat est utilisé par le concentrateur pour déchiffrer les
fichiers codés, reçus de participants. Le concentrateur utilise
votre clé privée pour déchiffrer les documents. Le chiffrement est
utilisé pour empêcher toute autre personne que l'expéditeur et le
destinataire prévu de visualiser les documents en transit.
Prenez note de la limitation importante formulée
ci-dessous concernant la réception de messages AS2 chiffrés envoyés par
les participants. Si un participant envoie un message AS2 chiffré en utilisant
le mauvais certificat, le déchiffrage échoue.
Toutefois, aucun MDN n'est
retourné au participant pour indiquer l'échec.
Pour que votre participant puisse
recevoir des MDN dans ce cas-là, créez une connexion vers le participant avec
la définition de flot de documents suivante :
- Regroupement : AS
- Protocole : Binaire
- Flot de documents : Binaire
Utilisation d'un certificat auto-signé
Si vous envisagez d'utiliser un certificat auto-signé, appliquez la procédure suivante.
- Démarrez l'utilitaire iKeyman.
- Utilisez iKeyman pour générer un certificat auto-signé et une paire de clés.
- Utilisez iKeyman pour extraire dans un fichier le certificat qui contiendra
votre clé publique.
- Distribuez le certificat à vos participants. Ils doivent importer le
fichier dans leur produit B2B pour l'utiliser comme certificat de
chiffrement. Conseillez-leur de l'utiliser lorsqu'ils désirent envoyer des
fichiers chiffrés au Gestionnaire de communauté. Si votre certificat est signé
par une autorité de certification, fournissez également le certificat de CA.
- Utilisez iKeyman pour enregistrer le certificat auto-signé et la
paire de clés privées sous forme de fichier PKCS12.
- Installez le certificat d'auto-signature et
la paire de clés privées sous forme de fichier PKCS12 via la Console de
communauté.
- Cliquez sur Administrateur du compte
> Profils > Certificats pour afficher la liste des certificats.
Veillez à vous connecter à la Console de communauté en tant qu'opérateur du concentrateur.
- Cliquez sur Charger PKCS12.
Remarques :
- Le fichier PKCS12 envoyé ne doit contenir qu'une seule clé privée et le
certificat associé.
- Vous pouvez également
télécharger le certificat codé au format DER et la clé privée codée en PKCS#8.
- Sélectionnez Chiffrement comme type de certificat.
- Tapez une description du certificat (obligatoire).
- Faites passer l'état sur Activé.
- Cliquez sur Parcourir et accédez au répertoire dans lequel vous avez enregistré le certificat.
- Sélectionnez le certificat, puis cliquez sur Ouvrir.
- Entrez un mot de passe.
- Cliquez sur Télécharger, puis sur Sauvegarder.
- Activez le chiffrement au niveau regroupement (niveau le plus élevé),
participant ou connexion (niveau le plus bas). Votre définition peut remplacer
les autres définitions au niveau connexion. Le résumé de la connexion vous indique si un attribut requis est manquant.
Par exemple, pour modifier les attributs d'une connexion de participant,
cliquez sur Administrateur du compte > Connexions du
participant et sélectionnez les participants. Cliquez sur
Attributs, puis éditez l'attribut (par exemple,
AS chiffré).
Utilisation d'un certificat signé par une autorité de certification (CA)
Si vous envisagez d'utiliser un certificat signé par une autorité de
certification, suivez la procédure ci-dessous.
- Démarrez l'utilitaire iKeyman.
- Utilisez iKeyman pour générer une demande de certificat et une paire de
clés pour le réceptionnaire.
- Envoyez une demande de signature de certificat (CSR, Certificate Signing
Request) à une autorité de certification.
- Lorsque vous recevez le certificat signé de l'autorité de certification,
utilisez iKeyman pour le placer dans le magasin de clés.
- Distribuez le certificat de signature de l'autorité de certification à tous
les participants.
Certificat de chiffrement de communication sortante
Ce certificat est utilisé lorsque le concentrateur envoie des
documents chiffrés aux participants. WebSphere Partner
Gateway chiffre les documents à l'aide des clés publiques des participants et
ces derniers déchiffrent les documents avec leurs clés privées.
Le participant peut disposer de
plus d'un certificat de chiffrement. L'un est le certificat principal,
utilisé par défaut. L'autre est le certificat secondaire, utilisé si
le certificat principal expire ou n'est pas utilisable.
- Procurez-vous le certificat de chiffrement de votre participant. Le certificat doit être au format X.509 DER. Notez que WebSphere Partner Gateway n'accepte que les certificats X5.09.
-
Installez-le via la Console de communauté sous le profil
du participant.
- Cliquez sur Administrateur du compte > Profils >
Participant de communauté et recherchez le profil du participant.
- Cliquez sur Certificats.
- Cliquez sur Charger le certificat.
- Sélectionnez Chiffrement comme type de certificat.
- Tapez une description du certificat (obligatoire).
- Faites passer l'état sur Activé.
- Cliquez sur Parcourir et accédez au répertoire dans lequel vous avez enregistré le certificat.
- Sélectionnez le certificat, puis cliquez sur Ouvrir.
- Si le participant a deux certificats de chiffrement, indiquez s'il s'agit
du certificat principal ou secondaire en sélectionnant
Principal ou Secondaire dans la
liste Utilisation du certificat.
- Cliquez sur Télécharger, puis sur Sauvegarder.
- Répétez l'étape 2
si le participant dispose d'un second certificat de chiffrement.
- Si le certificat a été signé par une autorité
de certification et si le certificat de CA racine et tout autre certificat de
la hiérarchie des certificats ne sont pas encore installés dans le profil
Opérateur du concentrateur, procédez à leur installation.
- Cliquez sur Administrateur du compte
> Profils > Certificats pour afficher la liste des certificats.
Assurez-vous d'être connecté à la Console de communauté en tant qu'Opérateur de
concentrateur et installez le certificat dans votre propre profil.
- Cliquez sur Charger le certificat.
- Sélectionnez Racine et intermédiaire.
- Tapez une description du certificat (obligatoire).
- Faites passer l'état sur Activé.
- Cliquez sur Parcourir et accédez au répertoire dans lequel vous avez enregistré le certificat.
- Sélectionnez le certificat, puis cliquez sur Ouvrir.
- Cliquez sur Télécharger, puis sur Sauvegarder.
Remarque : Il est inutile d'effectuer l'étape précédente si le certificat
de CA est déjà installé.
- Activez le chiffrement au niveau regroupement (niveau le plus élevé),
participant ou connexion (niveau le plus bas). Votre définition peut remplacer
les autres définitions au niveau connexion. Le résumé de la connexion vous indique si un attribut requis est manquant.
Par exemple, pour modifier les attributs d'une connexion de participant,
cliquez sur Administrateur du compte > Connexions du
participant et sélectionnez les participants. Cliquez sur
Attributs, puis éditez l'attribut (par exemple,
AS chiffré).
Lorsque le message Aucun
certificat de chiffrement valide n'a été trouvé est affiché, c'est
qu'aucun des certificats (principal et secondaire) n'est valide. Les
certificats peuvent arriver à expiration ou être retirés. Dans ces cas,
l'événement correspondant (Certificat retiré ou arrivé à expiration)
est également visible dans l'Afficheur d'événements. Notez que ces deux
événements peuvent être séparés par d'autres. Pour ouvrir l'Afficheur
d'événements, cliquez sur Afficheurs > Afficheur d'événements.
