Configuration de base - Configuration de sécurité pour les documents entrants et sortants

Dans cette section, vous allez découvrir comment ajouter les dispositifs de sécurité suivants à la configuration de base :

Configuration de l'authentification SSL pour les documents entrants

Dans cette section, l'authentification serveur est configurée à l'aide de l'outil iKeyman pour permettre au Partenaire B d'envoyer des documents AS2 via HTTPS.

Pour configurer l'authentification serveur, procédez comme suit :

  1. Lancez l'application iKeyman en ouvrant le fichier ikeyman.bat à partir du répertoire <ProductDir>/was/bin.
  2. Ouvrez le magasin de clés par défaut du Réceptionnaire, receiver.jks. Dans la barre de menus, sélectionnez Key Database File Open. Dans le cas d'une installation par défaut, receiver.jks se trouve dans le répertoire <ProductDir>/common/security/keystore
  3. Lorsque vous y êtes invité, entrez le mot de passe par défaut associé à receiver.jks. Ce mot de passe est WebAS.
  4. Si vous ouvrez le fichier receiver.jks pour la première fois, supprimez le certificat "fictif" (dummy).

L'étape suivante consiste à créer un nouveau certificat d'auto-signature. En créant un certificat d'auto-signature personnel, vous créez également une clé privée et une clé publique dans le fichier "magasin de clés" du serveur.

Pour créer un nouveau certificat d'auto-signature, procédez comme suit :

  1. Cliquez sur New Self Signed.
  2. Attribuez un intitulé de clé au certificat afin de l'identifier de façon unique dans le magasin de clés. Utilisez l'intitulé CertAutoSign.
  3. Indiquez le nom CN du serveur. Il s'agit de l'identité principale et universelle du certificat. Il doit identifier de façon unique le principal qu'il représente.
  4. Indiquez le nom de votre organisation.
  5. Acceptez toutes les autres valeurs par défaut, puis cliquez sur OK.

Supposons que le Partenaire B souhaite envoyer un message EDI via AS2 et le protocole HTTP sécurisé. Pour ce faire, le Partenaire B devra faire référence au certificat public (qui a été créé en même temps que le certificat auto-signé à l'étape précédente).

Pour permettre au Partenaire B d'utiliser le certificat public, exportez ce certificat à partir du fichier de magasin de clés du serveur, comme suit :

  1. Sélectionnez le certificat auto-signé nouvellement créé dans l'utilitaire de gestion des clés d'IBM.
  2. Cliquez sur Extraction d'un certificat.
  3. Sélectionnez le type de données Données DER binaires.
  4. Indiquez le nom de fichier GestComPublic, puis cliquez sur OK.

Enfin, vous devez exporter le certificat auto-signé et la paire de clés privées sous la forme d'un fichier PKCS12 à l'aide d'iKeyman. Ce fichier PCKS12 sera utilisé pour le chiffrement, qui est décrit dans la section suivante.

Pour exporter le certificat d'auto-signature et la paire de clés privées, procédez comme suit.

  1. Cliquez sur Exporter/Importer.
  2. Sélectionnez le type de fichier de clé PKCS12.
  3. Indiquez le nom de fichier GestComPrivé, puis cliquez sur OK.
  4. Entrez un mot de passe pour protéger le fichier PKCS12 cible. Confirmez le mot de passe, puis cliquez sur OK.
Remarque : Arrêtez puis redémarrez le Réceptionnaire pour que ces modifications prennent effet.

Le mot de passe que vous avez indiqué vous servira par la suite lorsque vous importerez ce certificat privé dans le concentrateur.

Le Partenaire B doit également effectuer certaines étapes de configuration, à savoir, importer le certificat et modifier l'adresse de destination des documents AS2 qu'il envoie. Par exemple, le Partenaire B devrait modifier l'adresse comme suit :

https://<Adresse_IP>:57443/bcgreceiver/submit

où <Adresse_IP> fait référence au concentrateur.

Désormais, le certificat d'auto-signature qui a été placé dans le magasin de clés par défaut du Réceptionnaire sera présenté au Partenaire B chaque fois que celui-ci enverra un document par le biais du protocole HTTP sécurisé.

Pour définir la situation inverse, le Partenaire B doit fournir au concentrateur une clé SSL sous la forme d'un fichier .der (dans ce cas, partenaireBSSL.der). Si nécessaire, le Partenaire B doit également modifier la configuration pour permettre la réception de documents via le mode de transfert HTTPS.

Chargez partenaireBSSL.der, le fichier du partenaire B, dans le profil de l'Opérateur de concentrateur, en tant que certificat racine. Un certificat racine est un certificat émis par une autorité de certification, et qui est utilisé lors de l'établissement d'une hiérarchie de certificats. Dans cet exemple, le Partenaire B a généré le certificat, qui est chargé en tant que certificat racine pour permettre au concentrateur de reconnaître et habiliter l'expéditeur.

Pour charger le fichier partenaireBSSL.der dans le concentrateur, procédez comme suit :

  1. Dans le menu principal, cliquez sur Administrateur du compte > Profils > Participant de communauté.
  2. Cliquez sur Rechercher.
  3. Sélectionnez Opérateur du concentrateur en cliquant sur l'icône Afficher les détails.
  4. Cliquez sur Certificats, puis sur Charger le certificat.
  5. Réglez le paramètre Type de certificat sur Certificat racine et intermédiaire.
  6. Modifiez la description en indiquant Certificat SSL du Partenaire B.
  7. Attribuez au paramètre Etat la valeur Activé.
  8. Cliquez sur Parcourir et naviguez jusqu'au répertoire dans lequel vous avez sauvegardé partnerTwoSSL.der.
  9. Sélectionnez le certificat, puis cliquez sur Ouvrir.
  10. Cliquez sur Télécharger, puis sur Sauvegarder.

Modifiez la passerelle du Partenaire B de sorte qu'elle utilise le protocole HTTP sécurisé.

  1. Cliquez sur Administrateur du compte > Profils > Participant de communauté dans la barre de navigation horizontale.
  2. Cliquez sur Rechercher et sélectionnez Partenaire B en cliquant sur l'icône Afficher les détails.
  3. Cliquez sur Passerelles dans la barre de navigation horizontale. Ensuite, sélectionnez HttpGateway en cliquant sur l'icône Afficher les détails.
  4. Modifiez-le en cliquant sur l'icône Edition.
  5. Sélectionnez la valeur de transfert HTTPS/1.1
  6. Modifiez la valeur de l'adresse comme suit : https://<IP_address>:443/input/AS2, où <Adresse_IP> fait référence à la machine du Partenaire B.
  7. Toutes les autres valeurs peuvent rester en l'état. Cliquez sur Sauvegarder.

Configuration du chiffrement

Cette section présente les étapes de configuration du chiffrement.

Le Partenaire B doit effectuer les étapes de configuration nécessaires (par exemple, importer le certificat public et le certificat auto-signé) et configurer le chiffrement des documents envoyés au concentrateur.

WebSphere Partner Gateway utilise sa clé privée pour déchiffrer les documents. Pour permettre au concentrateur d'effectuer cette opération, vous devez d'abord charger la clé privée extraite du certificat d'auto-signature dans la Console de communauté. Pour ce faire, vous devez être connecté à la Console de communauté en tant qu'Opérateur de concentrateur et installer le certificat dans votre propre profil.

Pour charger le fichier PKCS12, procédez comme suit :

  1. Cliquez sur Administrateur du compte > Profils > Participant de communauté dans la barre de navigation horizontale.
  2. Cliquez sur Rechercher.
  3. Sélectionnez Opérateur du concentrateur en cliquant sur l'icône Afficher les détails.
  4. Cliquez sur Certificats, puis sur Charger PKCS12.
  5. Cochez la case à gauche de Chiffrement.
  6. Modifiez la description en indiquant CommManPrivate.
  7. Sélectionnez Activé.
  8. Cliquez sur Parcourir et accédez au répertoire dans lequel le fichier PKCS12, commManPrivate.p12, est stocké.
  9. Sélectionnez le fichier, puis cliquez sur Ouvrir.
  10. Entrez le mot de passe fourni pour le fichier PKCS12.
  11. Laissez le paramètre Type de passerelle associé à la valeur Production.
  12. Cliquez sur Télécharger, puis sur Sauvegarder.

La procédure de configuration requise pour permettre à un participant d'envoyer des transactions chiffrées via HTTP sécurisé vers le concentrateur est à présent terminée.

La section suivante décrit la procédure inverse--le concentrateur envoie une transaction EDI chiffrée à l'aide du protocole HTTP sécurisé.

Le Partenaire B doit générer une paire de clés de chiffrement de document (dans cet exemple, partnerTwoDecrypt.der) et mettre le certificat de clé publique à la disposition du concentrateur.

Comme indiqué précédemment, la clé publique sera utilisée par le concentrateur pour chiffrer les transactions qui doivent être envoyées au participant. Pour cela, vous devez charger le certificat public dans le concentrateur.

  1. Dans le menu principal, cliquez sur Administrateur du compte > Profils > Participant de communauté.
  2. Cliquez sur Rechercher.
  3. Sélectionnez le Partenaire B en cliquant sur l'icône Afficher les détails.
  4. Cliquez sur Certificats dans la barre de navigation horizontale.
  5. Cliquez sur Charger le certificat.
  6. Cochez la case en regard de Chiffrement.
  7. Modifiez la description en indiquant Déchiffrement Partenaire B.
  8. Attribuez à l'état la valeur Activé.
  9. Cliquez sur Parcourir.
  10. Naviguez jusqu'au répertoire dans lequel le certificat de déchiffrement, partnerTwoDecrypt.der, est stocké.
  11. Sélectionnez le certificat, puis cliquez sur Ouvrir.
  12. Laissez le paramètre Type de passerelle sur Production.
  13. Cliquez sur Télécharger, puis sur Sauvegarder.

La dernière étape de la procédure de configuration du concentrateur pour permettre l'envoi de messages chiffrés à l'aide du protocole HTTP sécurisé et d'AS2, consiste à modifier la connexion qui existe entre le Gestionnaire de communauté et le Partenaire B.

Pour modifier cette connexion dans la Console de communauté, procédez comme suit :

  1. Cliquez sur Administrateur du compte > Connexions du participant dans la barre de navigation horizontale.
  2. Dans la liste Source, sélectionnez Gest Com.
  3. Dans la liste Cible, sélectionnez Partenaire B.
  4. Cliquez sur Rechercher.
  5. Cliquez sur le bouton Attributs correspondant à la cible.
  6. Dans le Récapitulatif de la connexion, notez que la valeur courante de l'attribut AS chiffré est Non. Modifiez cette valeur en cliquant sur l'icône Développer en regard de Regroupement : AS (N\A).
    Remarque : Pour faire apparaître cette option, vous devez faire défiler la page.
  7. Dans la liste, modifiez l'attribut AS chiffré en lui donnant la valeur Oui, puis cliquez sur Sauvegarder.

Configuration de la signature de documents

Pour créer la signature et signer numériquement une transaction ou un message, WebSphere Partner Gateway utilise votre clé privée. Votre partenaire utilise ensuite votre clé publique pour valider la signature lors de la réception de ce message. C'est dans ce but que WebSphere Partner Gateway utilise les signatures numériques.

Cette section présente les étapes nécessaires pour configurer le concentrateur et un participant, en vue de l'utilisation de signatures numériques.

Le Partenaire B doit effectuer toutes les étapes de configuration requises (par exemple, créer un document d'auto-signature appelé partnerTwoSigning.der, dans cet exemple et configurer la signature des documents). Le Partenaire B doit mettre le fichier partenaireBSignature.der à la disposition du concentrateur.

Pour charger le certificat numérique dans le concentrateur, procédez comme suit :

  1. Cliquez sur Administrateur du compte > Profils > Participant de communauté dans la barre de navigation horizontale.
  2. Cliquez sur Rechercher.
  3. Sélectionnez le Partenaire B en cliquant sur l'icône Afficher les détails.
  4. Choisissez Certificats dans la barre de navigation horizontale.
  5. Cliquez sur Charger le certificat.
  6. Activez la case à cocher située en regard de Signature numérique.
  7. Modifiez la Description en indiquant Signature Gest Com.
  8. Attribuez au paramètre Etat la valeur Activé.
  9. Cliquez sur Parcourir.
  10. Naviguez jusqu'au répertoire dans lequel le certificat numérique, partnerTwoSigning.der, est enregistré, sélectionnez-le et cliquez sur Ouvrir.
  11. Cliquez sur Télécharger, puis sur Sauvegarder.

La configuration initiale des signatures numériques est à présent terminée.

Le participant utilise le certificat public pour authentifier les transactions signées qui sont envoyées au concentrateur.

Le concentrateur quant à lui utilisera la clé privée pour signer numériquement les transactions sortantes envoyées au participant. Vous devez tout d'abord activer la clé privée pour la signature numérique.

Pour activer la clé privée pour la signature numérique, procédez comme suit :

  1. Cliquez sur Administrateur du compte > Profils > Certificats dans la barre de navigation horizontale.
  2. Cliquez sur l'icône Afficher les détails en regard de Opérateur du concentrateur.
  3. Cliquez sur l'icône Afficher les détails en regard de GestComPrivé.
    Remarque : Il s'agit du certificat privé qui a été chargé dans le concentrateur précédemment.
  4. Cliquez sur l'icône Edition.
  5. Activez la case à cocher située en regard de Signature numérique.
    Remarque : S'il existe plusieurs certificats de chiffrement, indiquez le primaire et le secondaire en sélectionnant Primaire ou Secondaire dans la liste Utilisation du certificat.
  6. Cliquez sur Sauvegarder.

L'étape suivante consiste à modifier les attributs de la connexion qui existe entre le Gestionnaire de communauté et le Partenaire B, en vue de permettre l'envoi d'une transaction AS2 signée.

Pour modifier les attributs de la connexion des participants, procédez comme suit :

  1. Cliquez sur Administrateur du compte > Connexions du participant dans la barre de navigation horizontale.
  2. Sélectionnez Gest Com dans la liste Source.
  3. Sélectionnez Partenaire B dans la liste Cible.
  4. Cliquez sur Rechercher.
  5. Cliquez sur le bouton Attributs correspondant au Partenaire B.
  6. Modifiez l'attribut AS signé en cliquant sur l'icône Développer en regard de Regroupement : AS (N/A).
  7. Sélectionnez Oui dans la liste AS signé.
  8. Cliquez sur Sauvegarder.

L'étape de configuration destinée à permettre l'envoi d'une transaction AS2 signée de WebSphere Partner Gateway vers le participant est maintenant terminée.

Copyright IBM Corp. 2003, 2005