Certificati SSL in entrata

In questa sezione, viene descritto come configurare l'autenticazione del server e quella del client per le richieste di connessione in entrata da parte dei partecipanti.

Autenticazione del server

WebSphere Application Server utilizza il certificato SSL quando riceve le richieste di connessione dai partecipanti mediante SSL. È il certificato che il Destinatario presenta per identificare l'hub nel partecipante. Questo certificato del server può essere autofirmato, o può essere firmato da un CA. Nella maggior parte dei casi si utilizza un certificato CA per aumentare la sicurezza. È possibile utilizzare un certificato autofirmato in un ambiente di test. Utilizzare iKeyman per generare un certificato e una coppia di chiavi. Per ulteriori informazioni sull'utilizzo di iKeyman, fare riferimento alla documentazione disponibile dall'IBM.

Dopo aver generato il certificato e una coppia di chiavi, utilizzare il certificato per il traffico in entrata SSL per tutti i partecipanti. Se si dispone di più Destinatari e Console, copiare il keystore che ne risulta in ogni istanza. Se il certificato è autofirmato, fornire questo certificato ai partecipanti. Per ottenere questo certificato, utilizzare iKeyman per estrarre il certificato pubblico in un file.

Utilizzo di un certificato autofirmato

Se si utilizzano i certificati del server autofirmato, attenersi alla seguente procedura.

  1. Avviare l'utilità ikeyman, che viene posizionata nella directory /<ProductDir>/was/bin. Se questa è la prima volta che si utilizza iKeyman, eliminare il certificato "fittizio" che si trova nel keystore.
  2. Utilizzare iKeyman per generare un certificato autofirmato e una coppia di chiavi per il keystore di Destinatario e Console.
  3. Utilizzare iKeyman per estrarre in un file il certificato che contiene la chiave pubblica.

    Salvare il keystore in un file JKS, PKCS12 o JCEK.

  4. Installare il file nel keystore di Destinatario e Console per il quale è stato creato.
  5. Distribuire il certificato ai partecipanti. Il metodo preferito per la distribuzione è l'invio del certificato in un file compresso e protetto da password, via e-mail. I partecipanti devono chiamare e richiedere la password per il file compresso.
Utilizzo di un certificato generato da un'Autorità di certificazione

Se si utilizza un certificato firmato da un'autorità di certificazione, attenersi alla seguente procedura.

  1. Avviare l'utilità ikeyman, che viene posizionata nella directory /<ProductDir>/was/bin.
  2. Utilizzare iKeyman per generare una richiesta di certificato e una coppia di chiavi per il Destinatario.
  3. Inoltrare un CSR (Certificate Signing Request) a CA.
  4. Quando si riceve il certificato firmato da CA, utilizzare iKeyman per posizionare il certificato firmato nel keystore.
  5. Distribuire il certificato CA a tutti i partecipanti.

Autenticazione del client

Se si desidera autenticare i partecipanti che inviano documenti, eseguire i passaggi contenuti in questa sezione.

Installazione del certificato del client

Per l'autenticazione client, attenersi alla seguente procedura:

  1. Ottenere il certificato del partecipante.
  2. Installare il certificato o i certificati nel truststore mediante iKeyman.
  3. Posizionare il CA o i CA correlati nel keystore corrispondente.

Nota: Quando si aggiungono più partecipanti alla comunità hub, è possibile utilizzare iKeyman per aggiungere i propri certificati al truststore. Se un partecipante lascia la comunità, è possibile utilizzare iKeyman per rimuovere i certificati del partecipante dal truststore.
Impostazione dell'autenticazione del client

Dopo l'installazione del certificato o dei certificati, configurare WebSphere Application Server per utilizzare l'autenticazione client eseguendo lo script dell'utilità bcgClientAuth.jacl.

  1. Passare alla seguente directory: /<ProductDir>/bin
  2. Per attivare l'autenticazione client, chiamare lo script come segue:
    ./bcgwsadmin.sh -f /<ProductDir>/scripts/bcgClientAuth.jacl
        -conntype NONE set 
    Nota: Per disattivare l'autenticazione client, chiamare lo script come segue:
    ./bcgwsadmin.sh -f /<ProductDir>/receiver/scripts/bcgClientAuth.jacl 
       -conntype NONE clear

E' necessario riavviare il server bcgreceiver per applicare le modifiche.

Convalida del certificato del client

C'è una funzione aggiuntiva che può essere utilizzata con l'autenticazione client SSL. Questa funzione viene abilitata mediante la Console comunità. Per HTTPS, WebSphere Partner Gateway verifica i certificati rispetto agli ID aziendali nei documenti in entrata. Per utilizzare questa funzione, creare il profilo del partecipante, importare il certificato client e contrassegnarlo come SSL.

  1. Importare il certificato del client.
    1. Fare clic su Gestione account > Profili > Partecipante comunità, e cercare il profilo del partecipante.
    2. Fare clic su Certificati.
    3. Fare clic su Carica certificato.
    4. Selezionare Client SSL come tipo di certificato.
    5. Immettere una descrizione del certificato (necessario).
    6. Modificare lo stato in Abilitato.
    7. Fare clic su Sfoglia e navigare nella directory nella quale è stato salvato il certificato.
    8. Selezionare il certificato e fare clic su Apri.
    9. Se si desidera selezionare un tipo di gateway diverso da Production (predefinito), selezionarlo dall'elenco.
    10. Fare clic su Carica e fare clic su Salva.
  2. Aggiornare il gateway del client.
    1. Fare clic su Gestione account > Profili > Partecipante comunità, e cercare il profilo del partecipante.
    2. Fare clic su Gateway.
    3. Selezionare il gateway HTTPS creato in precedenza. Se non si è ancora creato il gateway HTTPS, vedere Configurazione di un gateway HTTPS.
    4. Fare clic sull'icona Modifica per modificare il gateway.
    5. Selezionare per Convalida certificato SSL client.
    6. Fare clic su Salva.

Copyright IBM Corp. 2003, 2005