上载数字证书

数字证书是联机身份凭证,类似于驾驶证或护照。数字证书可用来识别个人或组织。

数字签名是使用公用密钥密码术、根据电子文档得出的计算结果。通过这一过程,数字签名与所签署的文档以及签署者联系在一起,而且无法重新生成。由于联邦数字签名法规已获通过,数字签名的电子交易与用墨水签名的交易具有同等的法律效力。

WebSphere Partner Gateway 使用数字证书验证社区管理者和参与者之间业务文档事务的真实性。它们还用于加密和解密。

您可以为出站文档指定一个主要的和一个次要的证书,以确保文档交换不会中断。主要证书用于所有的事务。如果主要证书到期或者撤销,则使用次要证书。

在配置过程中上载和标识数字证书。

如果发现证书到期或撤销,则会禁用该证书并在控制台中反映出这一情况。如果首选证书到期或撤销,则禁用该证书并将备用证书设为首选证书。当发现证书到期或撤销时会生成一个事件。

“证书用途”选项取决于所选的证书类型。在“中心操作员”概要文件中,可将“证书用途”设置为“数字签名”或“SSL 客户机证书”。在参与者概要文件中,可将“证书用途”设置为“加密”证书。 如果同样的证书用于不同的目的,例如“中心操作员”概要文件中的“数字签名”和“加密”,则需要将该证书装入两次,一次用于“数字签名”,而另一次用于“加密”证书。但是,如果证书用于“数字签名”和“SSL 客户机”,则可在同一个证书项中设置相应的复选框。

也可以将该类证书装入两次,一次用于“数字签名”,另一次用于“SSL 客户机”。如果这样做,则对于备用证书要遵循相同的模式。例如,如果首选证书作为不同的证书装入(用于数字签名和 SSL 客户机),则备用证书也应该作为不同的证书项装入(即使证书是相同的)。

为了进行完整的证书路径构建和验证,您需要上载证书链中的所有证书。例如,如果证书链包含了证书 A -> B -> C -> D,其中 A -> B 表示 A 是 B 的签署者,则证书 A、B 和 C 应该作为根证书上载。如果其中一个证书不可用,则无法构建证书路径,并且事务无法成功完成。 CA 证书可以从证书颁发机构维护的“证书资源库”中获得,也可以从提供该证书的合作伙伴处获得。根证书和中间证书只能在“中心操作员”概要文件中上载。

注:
在使用以下部分中的过程之前,必须将证书装入到系统中。要获取有关装入证书的更多信息,请参阅中心配置指南

您可以创建证书到期警报,当证书将要到期时会发送该警报通知您。要获取更多信息,请参阅创建警报和添加联系人。到期证书保存在 IBM WebSphere Partner Gateway 数据库中;不能从系统中删除它们。

证书术语

认证中心(CA)。认证中心负责颁发和管理用于消息加密的安全性凭证和消息加密。当某个人或公司请求数字证书时,CA 通过注册中心(RA)来进行检查,以验证个人或公司向其提供的信息。如果 RA 验证了提交的信息,则 CA 颁发证书。

CA 的示例包括 VeriSign 和 Thawte。

数字证书。数字证书是身份证的电子版本。当您在因特网上执行 B2B 事务时,它确立您的身份。数字证书是从认证中心获得的,由三部分组成:

数字签名。 由专用密钥创建的数字代码。数字签名允许中心社区的成员通过签名验证来对传输进行认证。 当您对文件进行签名时,会创建数字代码(它对文件的内容和专用密钥都是唯一的)。公用密钥用于验证签名。

加密。 一种打乱信息的方法,以将该信息呈现为任何人都无法阅读(目标接收人除外),而目标收件人也必须解密该信息后才可以阅读。

解密。 一种破译加密信息的方法,以使它重新变成可读的。接收人的专用密钥用于进行解密。

密钥。 用于加密、签名、解密和验证文件的数字代码。 密钥以密钥对的形式出现:专用密钥和公用密钥。

不可抵赖性。 用于防止否认先前的承诺或操作。对于 B2B 电子事务,数字签名用于验证事务的发送人和时间戳记。这可以防止事务所涉及的各方声称该事务未授权或无效。

专用密钥。 密钥对的秘密部分。该密钥用于签名和解密信息。 只有您有权使用您的专用密钥。您的专用密钥还用于根据文档的内容生成唯一的数字签名。

公用密钥。 密钥对的公开部分。该密钥用于加密信息和验证签名。公用密钥可以分发给中心社区的其他成员。知道一个人的公用密钥无助于任何人发现对应的专用密钥。

自签名密钥。 由对应的专用密钥签署的公用密钥,用于证明所有权。

X.509 证书。 用于在通信网络内证明身份和公用密钥所有权的数字证书。它包含颁发者的名称(即 CA)、用户的标识信息和颁发者的数字签名。

您的证书标识了您的组织以及证书有效期。

证书类型和受支持格式

所有证书都必须是 DER 或 ASCII 保密性增强邮件(PEM)格式。证书可以从一种格式转换到另一种格式。

有几种类型的证书:

SSL 服务器认证和客户机认证

如果不需要客户机认证,则下列情况必须发生:

如果客户机认证需要,则下列情况必须发生:

装入和定义数字证书

  1. 单击帐户管理 > 概要文件 > 证书。 系统显示“证书列表”屏幕。
  2. 单击屏幕右上角的装入证书。系统显示“创建新证书”屏幕。
  3. 选择证书类型:数字签名验证、加密或 SSL 客户机。您可以上载多个数字签名和 SSL 证书。但是,您只可以上载一个加密证书。
  4. 证书文本框的描述字段中输入证书的唯一名称。
  5. 选择已启用已禁用
  6. 单击浏览,然后浏览到数字证书。
  7. 选择网关类型,例如,CPS 参与者(仅 SSL 证书)。此功能部件允许您基于目的地选择证书。
  8. 选择证书用法类型:
  9. 单击上载

Copyright IBM Corp. 2003, 2005