暗号化証明書の作成とインストール
ここでは、暗号化証明書について説明します。
インバウンド暗号化証明書
この証明書は、ハブが参加者から受信した暗号化ファイルの暗号化を解除するときに使用されます。ハブでは、秘密鍵を使用して、文書の暗号化を解除します。暗号化によって、送信者と目的の受信者以外は、転送中の文書を参照することができません。
暗号化された AS2 メッセージを参加者から受信するときには、次の重要な制限に注意してください。参加者が暗号化された AS2 メッセージを送信するときに間違った証明書を使用した場合は、暗号化解除が失敗します。ただし、MDN が返されないため、参加者は暗号化解除が失敗したことを知ることができます。こうした状態のときに参加者が MDN を受信できるようにするには、以下の文書フロー定義で参加者への接続を作成します。
- パッケージ: AS
- プロトコル: バイナリー
- 文書フロー: バイナリー
自己署名証明書の使用
自己署名証明書を使用する場合は、以下の手順を実行します。
- IKEYMAN ユーティリティーを始動します。
- IKEYMAN を使用して、自己署名証明書および鍵ペアを生成します。
- IKEYMAN を使用して、ご使用の公開鍵を含む証明書をファイルに抽出します。
- 参加者に証明書を配布します。参加者は、このファイルを暗号化証明書として使用するために、B2B 製品にインポートする必要があります。暗号化されたファイルを Community Manager に送信する際はこのファイルを使用するよう参加者に助言してください。CA で署名された証明書の場合は、CA 証明書も提供します。
- IKEYMAN を使用して、自己署名証明書と秘密鍵のペアを PKCS12 ファイルの形式で保管します。
- Community Console を使用して、自己署名証明書と秘密鍵のペアを PKCS12 ファイルの形式でエクスポートします。
- 「アカウント管理」>「プロファイル」>「証明書」をクリックして、「証明書リスト」ページを表示します。
ハブ・オペレーターとして Community Console にログインしてください。
- 「PKCS12 のロード」をクリックします。
注:
- アップロードされる PKCS12 ファイルには、秘密鍵が 1 つだけと、それに関連する証明書が含まれている必要があります。
- 証明書と秘密鍵を DER エンコード証明書および PKCS#8
エンコード秘密鍵としてアップロードすることもできます。
- 証明書のタイプとして「暗号化」を選択します。
- 証明書の説明を入力します (必須)。
- 「状況」を「使用可能」に変更します。
- 「参照」をクリックし、証明書の保管先のディレクトリーに移動します。
- 証明書を選択し、「オープン」をクリックします。
- パスワードを入力します。
- 「アップロード」をクリックし、次に「保管」をクリックします。
- パッケージ (最も高いレベル)、参加者、または接続レベル (最も低いレベル) で暗号化を使用可能にします。
この設定により、接続レベルの他の設定をオーバーライドできます。
必要な属性が欠落している場合は、接続の要約によって通知されます。
例えば、参加者接続の属性を変更するには、「アカウント管理」>「参加者の接続」をクリックし、参加者を選択します。「属性」をクリックし、属性を編集します (「AS 暗号化」など)。
CA が署名した証明書の使用
CA が署名した証明書を使用する場合は、以下の手順に従います。
- IKEYMAN ユーティリティーを始動します。
- IKEYMAN を使用して、Receiver の認証要求および鍵ペアを生成します。
- CA に証明書署名要求 (CSR) をサブミットします。
- CA から署名証明書を受信したら、IKEYMAN を使用して、この署名証明書を鍵ストアに配置します。
- すべての参加者に署名 CA 証明書を配布します。
アウトバウンド暗号化証明書
アウトバウンド暗号化証明書は、ハブが参加者に暗号化された文書を送信するときに使用されます。WebSphere Partner Gateway が、参加者の公開鍵を使用して文書を暗号化し、参加者が、自分の秘密鍵を使用して文書を暗号化解除します。
参加者は、暗号化証明書を複数持つことができます。そのうちの 1 つが、デフォルトで使用される 1 次証明書になります。他の 1 つは 2 次証明書となり、1 次証明書の有効期限が切れた場合や、他の理由で 1 次証明書を使用できない場合に使用されます。
- 参加者の暗号化証明書を取得します。証明書は X.509 DER 形式でなければなりません。WebSphere Partner Gateway で
サポートされているのは、X5.09 証明書のみであることに注意してください。
-
Community Console を使用して、証明書を参加者のプロファイルにインストールします。
- 「アカウント管理」>「プロファイル」>「コミュニティー参加者」をクリックして、参加者のプロファイルを検索します。
- 「証明書」をクリックします。
- 「証明書のロード」をクリックします。
- 証明書のタイプとして「暗号化」を選択します。
- 証明書の説明を入力します (必須)。
- 「状況」を「使用可能」に変更します。
- 「参照」をクリックし、証明書の保管先のディレクトリーに移動します。
- 証明書を選択し、「オープン」をクリックします。
- 参加者が暗号化証明書を 2 つ持っている場合には、「証明書の使用法」リスト
から「1 次」または「2 次」を選択して、証明書が 1 次証明書なのか 2 次証明書なのかを指定します。
- 「アップロード」をクリックし、次に「保管」をクリックします。
- 参加者がもう 1 つ暗号化証明書を持っている場合には、ステップ 2 を繰り返します。
- 証明書がすでに CA で署名されているにもかかわらず
、CA ルート証明書や証明書チェーンに所属する証明書の中にまだハブ・オペレーター・プロファイルにインストールされていないものがあ
る場合は、ここでそれらの証明書をインストールします。
- 「アカウント管理」>「プロファイル」>「証明書」をクリックして、「証明書リスト」ページを表示します。
Community Console にハブ・オペレーターとしてログインし、証明書を自分のプロファイルにインストールしてください。
- 「証明書のロード」をクリックします。
- 「ルートおよび中間」を選択します。
- 証明書の説明を入力します (必須)。
- 「状況」を「使用可能」に変更します。
- 「参照」をクリックし、証明書の保管先のディレクトリーに移動します。
- 証明書を選択し、「オープン」をクリックします。
- 「アップロード」をクリックし、次に「保管」をクリックします。
注: CA 証明書がすでにインストールされている場合は、このステップを実行する必要がありません。
- パッケージ (最も高いレベル)、参加者、または接続レベル (最も低いレベル) で暗号化を使用可能にします。
この設定により、接続レベルの他の設定をオーバーライドできます。
必要な属性が欠落している場合は、接続の要約によって通知されます。
例えば、参加者接続の属性を変更するには、「アカウント管理」>「参加者の接続」をクリックし、参加者を選択します。「属性」をクリックし、属性を編集します (「AS 暗号化」など)。
エラー・メッセージ「有効な暗号化証明書が見つかりません」が
表示された場合は、1 次証明書も 2 次証明書も有効ではありません。証明書は、有効期限が切れているか、失効している可能性があります。証明書の有効期限が切れている場合や失効している場合は、イベント・ビューアーに、対応するイベント (「証明書が失効しているか有効期限が切れています (Certificate revoked or expired)」) も表示されます。これら 2 つのイベントは、その他のイベントによって分離される場合があります。イベント・ビューアーを表示するには、「ビューアー」>「イベント・ビューアー」の順にクリックします。
