Configuration de base - Configuration de sécurité pour les documents entrants et sortants
Dans cette section, vous allez découvrir comment ajouter les dispositifs de sécurité
suivants à la configuration de base :
- authentification serveur SSL (Secure Socket Layers) ;
- chiffrement ;
- signatures numériques.
Configuration de l'authentification SSL pour les documents entrants
Dans cette section, l'authentification serveur est configurée à
l'aide de l'outil iKeyman pour permettre au Partenaire B d'envoyer des documents AS2 via HTTPS.
Pour configurer l'authentification serveur, procédez comme suit :
- Lancez l'application iKeyman en ouvrant le fichier ikeyman.bat à partir du répertoire
<ProductDir>/was/bin.
- Ouvrez le magasin de clés par défaut du Réceptionnaire, receiver.jks. Dans la
barre de menus, sélectionnez Key Database File Open. Dans le cas d'une
installation par défaut, receiver.jks se trouve dans le répertoire
<ProductDir>/common/security/keystore
- Lorsque vous y êtes invité, entrez le mot de passe par défaut associé à receiver.jks.
Ce mot de passe est WebAS.
- Si vous ouvrez le fichier receiver.jks pour la première fois, supprimez le certificat
"fictif" (dummy).
L'étape suivante consiste à créer un nouveau certificat d'auto-signature. En créant
un certificat d'auto-signature personnel, vous créez également une clé privée et une clé publique
dans le fichier "magasin de clés" du serveur.
Pour créer un nouveau certificat d'auto-signature, procédez comme suit :
-
Cliquez sur New Self Signed.
- Attribuez un intitulé de clé au certificat afin de l'identifier de façon
unique dans le magasin de clés. Utilisez l'intitulé CertAutoSign.
- Indiquez le nom CN du serveur. Il s'agit de l'identité principale et universelle
du certificat. Il doit identifier de façon unique
le principal qu'il représente.
- Indiquez le nom de votre organisation.
-
Acceptez toutes les autres valeurs par défaut, puis cliquez sur OK.
Supposons que le Partenaire B souhaite envoyer un message EDI via AS2
et le protocole HTTP sécurisé. Pour ce faire, le Partenaire B devra faire référence au certificat
public (qui a été créé en même temps que le certificat auto-signé
à l'étape précédente).
Pour permettre au Partenaire B d'utiliser le certificat public, exportez ce
certificat à partir du fichier de magasin de clés du serveur, comme suit :
- Sélectionnez le certificat auto-signé nouvellement créé dans l'utilitaire
de gestion des clés d'IBM.
- Cliquez sur Extraction d'un certificat.
- Sélectionnez le type de données Données DER binaires.
- Indiquez le nom de fichier GestComPublic,
puis cliquez sur OK.
Enfin, vous devez exporter le certificat auto-signé et la paire de
clés privées sous la forme d'un fichier PKCS12 à l'aide d'iKeyman. Ce fichier PCKS12
sera utilisé pour le chiffrement, qui est décrit dans la section suivante.
Pour exporter le certificat d'auto-signature et la paire de
clés privées, procédez comme suit.
- Cliquez sur Exporter/Importer.
- Sélectionnez le type de fichier de clé PKCS12.
- Indiquez le nom de fichier GestComPrivé, puis
cliquez sur OK.
- Entrez un mot de passe pour protéger le fichier PKCS12 cible. Confirmez
le mot de passe, puis cliquez sur OK.
Remarque : Arrêtez puis redémarrez le Réceptionnaire pour que ces modifications
prennent effet.
Le mot de passe que vous avez indiqué vous servira par la suite lorsque vous importerez ce
certificat privé dans le concentrateur.
Le Partenaire B doit également effectuer certaines étapes de configuration, à
savoir, importer le certificat et modifier l'adresse de destination des documents AS2
qu'il envoie. Par exemple, le Partenaire B devrait modifier l'adresse comme suit :
https://<Adresse_IP>:57443/bcgreceiver/submit
où <Adresse_IP> fait référence au concentrateur.
Désormais, le certificat d'auto-signature qui a été placé dans le magasin de clés par défaut du Réceptionnaire
sera présenté au Partenaire B chaque fois que celui-ci enverra un document
par le biais du protocole HTTP sécurisé.
Pour définir la situation inverse, le Partenaire B doit fournir au concentrateur
une clé SSL sous la forme d'un fichier .der (dans ce cas, partenaireBSSL.der).
Si nécessaire, le Partenaire B doit également modifier la configuration pour
permettre la réception de documents via le mode de transfert HTTPS.
Chargez partenaireBSSL.der, le fichier du partenaire B, dans le
profil de l'Opérateur de concentrateur, en tant que certificat racine. Un
certificat racine est un certificat émis par une autorité de certification,
et qui est utilisé lors de l'établissement d'une hiérarchie de certificats. Dans cet exemple, le Partenaire B a généré
le certificat, qui est chargé en tant que certificat racine pour permettre au concentrateur
de reconnaître et habiliter l'expéditeur.
Pour charger le fichier partenaireBSSL.der dans le concentrateur, procédez comme suit :
- Dans le menu principal, cliquez sur Administrateur du compte > Profils > Participant de communauté.
- Cliquez sur Rechercher.
- Sélectionnez Opérateur du concentrateur en cliquant sur l'icône
Afficher les détails.
- Cliquez sur Certificats, puis sur Charger le certificat.
- Réglez le paramètre Type de certificat sur
Certificat racine et intermédiaire.
- Modifiez la description en indiquant Certificat SSL du Partenaire B.
- Attribuez au paramètre Etat la valeur Activé.
- Cliquez sur Parcourir et naviguez jusqu'au répertoire dans
lequel vous avez sauvegardé partnerTwoSSL.der.
- Sélectionnez le certificat, puis cliquez sur Ouvrir.
- Cliquez sur Télécharger, puis sur Sauvegarder.
Modifiez la passerelle du Partenaire B de sorte qu'elle utilise le protocole HTTP sécurisé.
- Cliquez sur Administrateur du compte > Profils >
Participant de communauté dans la barre de navigation horizontale.
- Cliquez sur Rechercher et sélectionnez Partenaire B en cliquant sur l'icône
Afficher les détails.
- Cliquez sur Passerelles dans la barre de navigation
horizontale. Ensuite, sélectionnez HttpGateway en cliquant sur l'icône Afficher les détails.
- Modifiez-le en cliquant sur l'icône Edition.
- Sélectionnez la valeur de transfert HTTPS/1.1
- Modifiez la valeur de l'adresse comme suit :
https://<IP_address>:443/input/AS2, où
<Adresse_IP> fait référence à la machine du Partenaire B.
- Toutes les autres valeurs peuvent rester en l'état. Cliquez sur Sauvegarder.
Configuration du chiffrement
Cette section présente les étapes de configuration du chiffrement.
Le Partenaire B doit effectuer les étapes de configuration nécessaires (par
exemple, importer le certificat public et le certificat auto-signé) et configurer le chiffrement des documents
envoyés au concentrateur.
WebSphere Partner Gateway utilise sa clé privée pour déchiffrer les documents. Pour permettre au
concentrateur d'effectuer cette opération, vous devez d'abord charger la clé privée extraite du certificat
d'auto-signature dans la Console de communauté. Pour ce faire, vous devez être connecté
à la Console de communauté en tant qu'Opérateur de concentrateur et installer le certificat
dans votre propre profil.
Pour charger le fichier PKCS12, procédez comme suit :
- Cliquez sur Administrateur du compte > Profils >
Participant de communauté dans la barre de navigation horizontale.
- Cliquez sur Rechercher.
- Sélectionnez Opérateur du concentrateur en cliquant sur l'icône
Afficher les détails.
- Cliquez sur Certificats, puis sur Charger PKCS12.
- Cochez la case à gauche de Chiffrement.
- Modifiez la description en indiquant CommManPrivate.
- Sélectionnez Activé.
- Cliquez sur Parcourir et accédez au répertoire dans
lequel le fichier PKCS12, commManPrivate.p12, est stocké.
- Sélectionnez le fichier, puis cliquez sur Ouvrir.
- Entrez le mot de passe fourni pour le fichier PKCS12.
- Laissez le paramètre Type de passerelle associé à la valeur Production.
- Cliquez sur Télécharger, puis sur Sauvegarder.
La procédure de configuration requise pour permettre à un participant
d'envoyer des transactions chiffrées via HTTP sécurisé vers le concentrateur est à présent terminée.
La section suivante décrit la procédure inverse--le
concentrateur envoie une transaction EDI chiffrée à l'aide du protocole HTTP sécurisé.
Le Partenaire B doit générer une paire de clés de chiffrement de document
(dans cet exemple, partnerTwoDecrypt.der) et mettre le certificat de clé publique
à la disposition du concentrateur.
Comme indiqué précédemment, la clé publique sera utilisée par le concentrateur
pour chiffrer les transactions qui doivent être envoyées au participant. Pour cela,
vous devez charger le certificat public dans le concentrateur.
- Dans le menu principal, cliquez sur Administrateur du compte > Profils > Participant de communauté.
- Cliquez sur Rechercher.
- Sélectionnez le Partenaire B en cliquant sur l'icône Afficher les détails.
- Cliquez sur Certificats dans la barre de navigation horizontale.
- Cliquez sur Charger le certificat.
- Cochez la case en regard de Chiffrement.
- Modifiez la description en indiquant Déchiffrement Partenaire B.
- Attribuez à l'état la valeur Activé.
- Cliquez sur Parcourir.
- Naviguez jusqu'au répertoire dans lequel le certificat de déchiffrement, partnerTwoDecrypt.der, est stocké.
- Sélectionnez le certificat, puis cliquez sur Ouvrir.
- Laissez le paramètre Type de passerelle sur
Production.
- Cliquez sur Télécharger, puis sur Sauvegarder.
La dernière étape de la procédure de configuration du concentrateur
pour permettre l'envoi de messages chiffrés à l'aide du protocole HTTP sécurisé
et d'AS2, consiste à modifier la connexion qui existe entre le
Gestionnaire de communauté et le Partenaire B.
Pour modifier cette connexion dans la Console de communauté, procédez comme suit :
- Cliquez sur Administrateur du compte > Connexions du participant
dans la barre de navigation horizontale.
- Dans la liste Source, sélectionnez Gest Com.
- Dans la liste Cible, sélectionnez Partenaire B.
- Cliquez sur Rechercher.
- Cliquez sur le bouton Attributs correspondant à la cible.
- Dans le Récapitulatif de la connexion, notez que la valeur courante de
l'attribut AS chiffré est Non. Modifiez
cette valeur en cliquant sur l'icône Développer
en regard de Regroupement : AS (N\A).
Remarque : Pour faire apparaître cette option, vous devez faire défiler la page.
- Dans la liste, modifiez l'attribut AS chiffré en lui
donnant la valeur Oui, puis cliquez sur
Sauvegarder.
Configuration de la signature de documents
Pour créer la signature et signer numériquement une transaction ou un
message, WebSphere Partner Gateway utilise votre clé privée. Votre partenaire utilise ensuite
votre clé publique pour valider la signature lors de la réception de ce message.
C'est dans ce but que WebSphere Partner Gateway utilise les signatures
numériques.
Cette section présente les étapes nécessaires pour configurer le
concentrateur et un participant, en vue de l'utilisation de signatures numériques.
Le Partenaire B doit effectuer toutes les étapes de configuration requises (par
exemple, créer un document d'auto-signature appelé partnerTwoSigning.der, dans
cet exemple et configurer la signature des documents).
Le Partenaire B doit mettre le fichier partenaireBSignature.der à la disposition du concentrateur.
Pour charger le certificat numérique dans le concentrateur, procédez comme suit :
- Cliquez sur Administrateur du compte > Profils >
Participant de communauté dans la barre de navigation horizontale.
- Cliquez sur Rechercher.
- Sélectionnez le Partenaire B en cliquant sur l'icône Afficher les détails.
- Choisissez Certificats dans la barre de navigation
horizontale.
- Cliquez sur Charger le certificat.
- Activez la case à cocher située en regard de Signature numérique.
- Modifiez la Description en indiquant Signature Gest Com.
- Attribuez au paramètre Etat la valeur Activé.
- Cliquez sur Parcourir.
- Naviguez jusqu'au répertoire dans lequel le certificat numérique,
partnerTwoSigning.der, est enregistré, sélectionnez-le et cliquez sur Ouvrir.
- Cliquez sur Télécharger, puis sur Sauvegarder.
La configuration initiale des signatures numériques est à présent terminée.
Le participant utilise le certificat public pour authentifier les transactions signées
qui sont envoyées au concentrateur.
Le concentrateur quant à lui utilisera la clé privée pour signer numériquement les transactions sortantes
envoyées au participant. Vous devez tout d'abord activer la clé privée pour la signature numérique.
Pour activer la clé privée pour la signature numérique, procédez comme suit :
- Cliquez sur Administrateur du compte > Profils >
Certificats dans la barre de navigation horizontale.
- Cliquez sur l'icône Afficher les détails
en regard de Opérateur du concentrateur.
- Cliquez sur l'icône Afficher les détails
en regard de GestComPrivé.
Remarque : Il s'agit du certificat privé qui a été chargé dans
le concentrateur précédemment.
- Cliquez sur l'icône Edition.
- Activez la case à cocher située en regard de Signature numérique.
Remarque : S'il existe plusieurs certificats de chiffrement, indiquez le
primaire et le secondaire en sélectionnant Primaire ou
Secondaire dans la liste Utilisation du certificat.
- Cliquez sur Sauvegarder.
L'étape suivante consiste à modifier les attributs de la connexion qui existe entre
le Gestionnaire de communauté et le Partenaire B, en vue de permettre l'envoi d'une transaction AS2 signée.
Pour modifier les attributs de la connexion des participants, procédez comme suit :
- Cliquez sur Administrateur du compte > Connexions du participant
dans la barre de navigation horizontale.
- Sélectionnez Gest Com dans la liste Source.
- Sélectionnez Partenaire B dans la liste Cible.
- Cliquez sur Rechercher.
- Cliquez sur le bouton Attributs correspondant au Partenaire B.
- Modifiez l'attribut AS signé en cliquant sur l'icône
Développer en regard de Regroupement : AS (N/A).
- Sélectionnez Oui dans la liste AS signé.
- Cliquez sur Sauvegarder.
L'étape de configuration destinée à permettre l'envoi d'une transaction AS2 signée
de WebSphere Partner Gateway vers le participant est maintenant terminée.
