基本配置 - 为入站和出站文档设置安全性
在本部分中,您将看到如何将下列类型的安全性添加到基本配置中:
- 安全套接字层(Secure Socket Layers,SSL)服务器认证
- 加密
- 数字签名
为入站文档设置 SSL 认证
在本部分中,您使用 iKeyman 来设置服务器认证,以便 Partner Two 可以通过 HTTPS 发送 AS2 文档。
要设置服务器认证,请执行下列步骤:
- 从 <ProductDir>/was/bin 目录打开 ikeyman.bat 文件,以启动 iKeyman 应用程序。
- 打开“接收器”的缺省密钥库 receiver.jks。在菜单栏中,选择打开密钥数据库文件。
在缺省安装情况下,receiver.jks 位于目录:<ProductDir>/common/security/keystore
- 出现提示时,输入 receiver.jks 的缺省密码。该密码是 WebAS。
- 如果这是您第一次打开 receiver.jks,请删除“虚拟”证书。
下一步是创建新的自签名证书。创建自签名个人证书时会在服务器密钥库文件中创建专用密钥和公用密钥。
要创建新的自签名证书:
-
单击新建自签名证书。
- 为证书提供一个密钥标签,该标签用于唯一标识密钥库内的证书。使用标签 selfSignedCert。
- 输入服务器的公共名。这是证书的主标识也是统一的标识。它应当能唯一地标识它所代表的凭证。
- 输入您组织的名称。
-
接受其它所有缺省值,然后单击确定。
假设 Partner Two 希望使用安全 HTTP 通过 AS2 发送 EDI 消息。为此 Partner Two 需要引用公用证书(这是创建自签名证书时所创建的)。
要使 Partner Two 能够使用公用证书,请按照如下所示步骤从服务器密钥库导出公用证书:
- 从 IBM 密钥管理实用程序中选择新建的自签名证书。
- 单击抽取证书。
- 将数据类型更改成二进制 DER 数据。
- 提供文件名 commManPublic,然后单击确定。
最后使用 iKeyman 以 PKCS12 文件形式导出自签名证书和专用密钥对。这个 PCKS12 文件将用于加密,后面一部分对此进行了描述。
要导出自签名证书和专用密钥对:
- 单击导出/导入。
- 将密钥文件类型更改成 PKCS12。
- 提供文件名 commManPrivate,然后单击确定。
- 输入密码,以保护目标 PKCS12 文件。确认密码,然后单击确定。
注: 要使这些更改生效,请停止并重新启动“接收器”。
稍后当您将这个专用证书导入到中心时要用到所输入的密码。
Partner Two 还必须执行一些配置步骤,包括导入证书以及将地址更改为 AS2 文档的目标地址。例如,Partner Two 可能必须要将地址更改成:
https://<IP_address>:57443/bcgreceiver/submit
其中<IP_address> 表示中心。
现在,只要 Partner Two 通过安全 HTTP 发送文档,就会将放置在“接收器”缺省密钥库中的自签名证书提供给 Partner Two。
要设置相反的情况,Partner Two 必须向中心提供 .der 文件格式(在本例中为 partnerTwoSSL.der)的 SSL 密钥。如有必要的话,Partner Two 还必须更改配置,以允许通过 HTTPS 传输来接收文档。
将 Partner Two 的文件 partnerTwoSSL.der 装入中心操作者概要文件中,作为根证书。根证书是由认证中心(Certifying Authority,CA)颁发的证书,在建立证书链时使用。在本示例中,PartnerTwo 生成了证书,该证书是作为根证书装入的,以使中心能识别和信任发送者。
将 partnerTwoSSL.der 装入中心:
- 从主菜单,单击帐户管理 > 概要文件 > 社区参与者。
- 单击搜索。
- 通过选择查看详细信息图标选择中心操作者。
- 单击证书,然后单击装入证书。
- 将证书类型设置为根和中级证书。
- 将描述更改成 Partner Two SSL 证书。
- 将状态设置成已启用。
- 单击浏览,然后浏览至保存了 partnerTwoSSL.der 的目录。
- 选择证书,然后单击打开。
- 单击上载,然后单击保存。
更改 Partner Two 的网关,以使用安全 HTTP。
- 单击水平导航栏上的帐户管理 > 概要文件 > 社区参与者。
- 单击搜索,然后通过单击查看详细信息图标来选择 Partner Two。
- 单击水平导航栏上的网关。接下来,通过单击查看详细信息图标来选择 HttpGateway。
- 通过单击编辑图标来编辑它。
- 将传输值更改成 HTTPS/1.1
- 将要读取的地址的值更改成如下:https://<IP_address>:443/input/AS2,其中<IP_address> 指的是 Partner
Two 机器。
- 其它所有值可以保持不变。单击保存。
设置加密
这一部分介绍了设置加密的步骤。
Partner Two 必须执行任何必要的配置步骤(例如,导入公用证书和自签名证书),并且必须对发送给中心的文档设置加密。
WebSphere Partner Gateway 将使用它的专用密钥来解密文档。为使中心能够做到这一点,您首先要将从自签名证书中抽取的专用密钥装入“社区控制台”中。以中心操作者身份登录“社区控制台”来执行该任务,并且在您自己的概要文件中安装证书。
要装入 PKCS12 文件:
- 单击水平导航栏上的帐户管理 > 概要文件 > 社区参与者。
- 单击搜索。
- 通过单击查看详细信息图标选择中心操作者。
- 单击证书,然后单击装入 PKCS12。
- 选中加密左边的复选框。
- 将描述更改成 CommManPrivate。
- 选择已启用。
- 单击浏览,然后浏览至存储了 PKCS12 文件 commManPrivate.p12 的目录。
- 选择文件,然后单击打开。
- 输入 PKCS12 文件所提供的密码。
- 让网关类型保留为 Production。
- 单击上载,然后单击保存。
这样就完成了允许参与者通过安全 HTTP 将已加密的事务发送给中心所必需的配置。
在接下来的一部分中,将前面的过程颠倒过来 — 中心通过安全 HTTP 发送已加密的 EDI 事务。
Partner Two 必须生成文档解密密钥对(在本示例中是 partnerTwoDecrypt.der),并且应该使公共证书可用于中心。
如前面所述,中心对发送给参与者的事务进行加密时使用公用密钥。为此,您要将公共证书装入中心。
- 从主菜单,单击帐户管理 > 概要文件 > 社区参与者。
- 单击搜索。
- 通过单击查看详细信息图标选择 Partner Two。
- 单击水平导航栏上的证书。
- 单击装入证书。
- 选中加密旁的复选框。
- 将描述更改成 Partner Two 解密。
- 将状态设置为已启用。
- 单击浏览。
- 浏览至存储了解密证书 partnerTwoDecrypt.der 的目录。
- 选择证书,然后单击打开。
- 将网关类型保留为生产
- 单击上载,然后单击保存。
“配置中心以使用 AS2 通过安全 HTTP 发送加密消息”的最后一步是修改社区管理者和 Partner Two 之间的参与者连接。
要从“社区控制台”修改参与者连接:
- 从水平导航栏上单击帐户管理 > 参与者连接。
- 从源列表,选择 Comm Man。
- 从目标列表中,选择 Partner Two。
- 单击搜索。
- 单击“目标”的属性按钮。
- 在连接摘要中,请注意 AS 加密 属性的当前值为否。单击包:AS(不适用)旁边的展开图标,编辑该值。
注: 您需要向下滚动页面以显示该选项。
- 从列表中,将 AS 加密属性更新为是,然后单击保存。
设置文档签名
当对事务或消息进行数字签名时,WebSphere
Partner Gateway 使用您的专用密钥来创建签名,并进行签名。收到该消息的合作伙伴使用您的公用密钥来验证该签名。WebSphere Partner
Gateway 使用数字签名来达到这个效果。
本部分提供了配置中心和参与者以使它们能使用数字签名所必需的步骤。
Partner Two 必须执行任何必需的配置步骤(例如,创建自签名文档,本例中该文档名为 partnerTwoSigning.der,并配置对文档的签名)。Partner Two 必须使中心可以使用 partnerTwoSigning.der。
要将数字证书装入中心:
- 单击水平导航栏上的帐户管理 > 概要文件 > 社区参与者。
- 单击搜索。
- 通过单击查看详细信息图标选择 Partner Two。
- 从水平导航栏选择证书。
- 单击装入证书。
- 选中数字签名旁边的复选框。
- 将描述更改成 CommMan 签名。
- 将状态设置成已启用。
- 单击浏览。
- 浏览至保存了数字证书 partnerTwoSigning.der 的目录,选择该证书,然后单击打开。
- 单击上载,然后单击保存。
这样就完成了数字签名的初始配置。
参与者使用公共证书来对发送到中心的签名事务进行认证。
中心将使用专用密钥来对发送给参与者的出站事务进行数字签名。您首先要为数字签名启用专用密钥。
要为数字签名启用专用密钥:
- 单击水平导航栏上的帐户管理 > 概要文件 > 证书。
- 单击中心操作者旁的查看详细信息图标。
- 单击 CommManPrivate 旁的查看详细信息图标。
注: 这是先前装入中心的专用证书。
- Click the Edit icon.
- 选中数字签名旁边的复选框。
注: 如果有多个数字签名证书,则通过从证书用途列表选择
主或次级来选择哪个是主的,哪个是次的。
- 单击保存。
接下来更改社区管理者和 Partner Two 之间现有参与者连接的属性,使之符合签名的 AS2。
要更改参与者连接的属性:
- 从水平导航栏上单击帐户管理 > 参与者连接。
- 从源列表中选择 Comm Man。
- 从目标列表中选择 Partner Two。
- 单击搜索。
- 单击 Partner Two 的属性按钮。
- 通过单击包:AS(不适用)旁的展开图标编辑 AS 签名属性。
- 从AS 签名列表中选择是。
- 单击保存。
这样就完成了将已签名的 AS2
事务从 WebSphere Partner Gateway 发送到参与者所必需的配置。
