Certificati SSL in entrata
In questa sezione, viene descritto come configurare l'autenticazione del server e quella del client per le richieste di connessione in entrata da parte dei partecipanti.
Autenticazione del server
WebSphere Application Server utilizza il certificato SSL
quando riceve le richieste di connessione dai partecipanti mediante SSL.
È il certificato che il Destinatario presenta per identificare
l'hub nel partecipante. Questo certificato del server può essere autofirmato,
o può essere firmato da un CA. Nella maggior parte dei casi si utilizza un certificato CA
per aumentare la sicurezza. È possibile utilizzare un certificato autofirmato in
un ambiente di test. Utilizzare iKeyman per generare un certificato e una coppia
di chiavi. Per ulteriori informazioni
sull'utilizzo di iKeyman, fare riferimento alla documentazione disponibile dall'IBM.
Dopo aver generato il certificato e una coppia di chiavi, utilizzare il certificato
per il traffico in entrata SSL per tutti i partecipanti. Se si dispone di
più Destinatari e Console, copiare il keystore che ne risulta in ogni istanza.
Se il certificato è autofirmato, fornire questo certificato ai
partecipanti. Per ottenere questo certificato, utilizzare iKeyman per estrarre il
certificato pubblico in un file.
Utilizzo di un certificato autofirmato
Se si utilizzano i certificati del server autofirmato, attenersi alla seguente procedura.
-
Avviare l'utilità ikeyman, che viene posizionata nella directory /<ProductDir>/was/bin.
Se questa è la prima volta che si utilizza iKeyman, eliminare il certificato "fittizio"
che si trova nel keystore.
- Utilizzare iKeyman per generare un certificato autofirmato e una coppia di chiavi
per il keystore di Destinatario e Console.
- Utilizzare iKeyman per estrarre in un file il certificato che contiene la
chiave pubblica.
Salvare il keystore in un file JKS, PKCS12 o JCEK.
- Installare il file nel keystore di Destinatario e Console
per il quale è stato creato.
-
Distribuire il certificato ai partecipanti.
Il metodo preferito
per la distribuzione è l'invio del certificato in un file compresso e
protetto da password, via e-mail. I partecipanti devono chiamare
e richiedere la password per il file compresso.
Utilizzo di un certificato generato da un'Autorità di certificazione
Se si utilizza un certificato firmato da un'autorità di certificazione, attenersi alla seguente procedura.
-
Avviare l'utilità ikeyman, che viene posizionata nella directory /<ProductDir>/was/bin.
- Utilizzare iKeyman per generare una richiesta di certificato e una coppia di chiavi
per il Destinatario.
- Inoltrare un CSR (Certificate Signing Request) a CA.
- Quando si riceve il certificato firmato da CA, utilizzare iKeyman
per posizionare il certificato firmato nel keystore.
-
Distribuire il certificato CA a tutti i partecipanti.
Autenticazione del client
Se si desidera autenticare i partecipanti che inviano documenti, eseguire i passaggi contenuti in questa sezione.
Installazione del certificato del client
Per l'autenticazione client, attenersi alla seguente procedura:
- Ottenere il certificato del partecipante.
- Installare il certificato o i certificati nel truststore
mediante iKeyman.
- Posizionare il CA o i CA correlati nel keystore corrispondente.
Nota: Quando si aggiungono più partecipanti alla comunità hub,
è possibile utilizzare iKeyman per aggiungere i propri certificati al truststore.
Se un partecipante lascia la comunità, è possibile utilizzare iKeyman per rimuovere
i certificati del partecipante dal truststore.
Impostazione dell'autenticazione del client
Dopo l'installazione del certificato o dei certificati, configurare WebSphere Application
Server per utilizzare l'autenticazione client eseguendo lo script dell'utilità
bcgClientAuth.jacl.
- Passare alla seguente directory: /<ProductDir>/bin
- Per attivare l'autenticazione client, chiamare lo script come segue:
./bcgwsadmin.sh -f /<ProductDir>/scripts/bcgClientAuth.jacl
-conntype NONE set
Nota: Per disattivare l'autenticazione client, chiamare lo script come segue:
./bcgwsadmin.sh -f /<ProductDir>/receiver/scripts/bcgClientAuth.jacl
-conntype NONE clear
E' necessario riavviare il server bcgreceiver per applicare le modifiche.
Convalida del certificato del client
C'è una funzione aggiuntiva che può essere utilizzata con
l'autenticazione client SSL. Questa funzione viene abilitata mediante la Console comunità.
Per HTTPS, WebSphere Partner Gateway verifica i certificati
rispetto agli ID aziendali nei documenti in entrata. Per utilizzare questa funzione,
creare il profilo del partecipante, importare il certificato client
e contrassegnarlo come SSL.
- Importare il certificato del client.
- Fare clic su Gestione account > Profili > Partecipante comunità,
e cercare il profilo del partecipante.
- Fare clic su Certificati.
- Fare clic su Carica certificato.
- Selezionare Client SSL come tipo di certificato.
- Immettere una descrizione del certificato (necessario).
- Modificare lo stato in Abilitato.
- Fare clic su Sfoglia e navigare nella directory
nella quale è stato salvato il certificato.
- Selezionare il certificato e fare clic su Apri.
- Se si desidera selezionare un tipo di gateway diverso da Production (predefinito), selezionarlo dall'elenco.
- Fare clic su Carica e fare clic su Salva.
- Aggiornare il gateway del client.
- Fare clic su Gestione account > Profili > Partecipante comunità,
e cercare il profilo del partecipante.
- Fare clic su Gateway.
- Selezionare il gateway HTTPS creato in precedenza. Se non si è ancora creato il gateway HTTPS, vedere Configurazione di un gateway HTTPS.
- Fare clic sull'icona Modifica per modificare il gateway.
- Selezionare Sì per Convalida certificato SSL client.
- Fare clic su Salva.
