创建和安装加密证书

本部分描述加密证书。

入站加密证书

中心使用该证书,对从参与者接收到的加密文件进行解密。中心使用您的专用密钥来解密文档。加密用于防止发送者和既定接收人之外的任何人在传输过程中查看文档。

请注意下面有关从参与者接收加密的 AS2 消息的重要限制。 如果参与者发送一个加密的 AS2 消息,但使用了错误的证书,则解密失败。 但是,不会对参与者返回 MDN,以表明失败。为了让参与者在这种情况下接收 MDN,用下列文档流定义创建与参与者的连接:

使用自签名证书

如果您将使用自签名证书,则使用以下过程。

  1. 启动 iKeyman 实用程序。
  2. 使用 iKeyman 生成自签名证书和密钥对。
  3. 使用 iKeyman 将包含公用密钥的证书抽取到文件。
  4. 将证书分发给参与者。他们必须将文件导入其 B2B 产品,以将该文件用作加密证书。当他们希望将已加密文件发送给社区管理者时,建议使用证书。如果您的证书是 CA 签名,则也请提供 CA 证书。
  5. 使用 iKeyman 以 PKCS12 文件的形式保存自签名证书和专用密钥对。
  6. 通过“社区控制台”安装 PKCS12 文件格式的自签名证书和专用密钥对。
    1. 单击帐户管理 > 概要文件 > 证书来显示“证书列表”页面。

      确保以中心操作者身份登录进“社区控制台”。

    2. 单击装入 PKCS12
      注:
      1. 正在上载的 PKCS12 文件应当只包含一个专用密钥和相关证书。
      2. 也可以将证书和专用密钥上载为 DER 编码的证书和 PKCS#8 编码的专用密钥。
    3. 选择加密作为证书类型。
    4. 输入证书的描述(这是必需的)。
    5. 将状态更改成已启用
    6. 单击浏览,然后浏览至保存了证书的目录。
    7. 选择证书,然后单击打开
    8. 输入密码。
    9. 单击上载,然后单击保存
  7. 在包(最高级别)、参与者或连接级别(最低级别)上启用加密。您的设置可以覆盖连接级别上的其它设置。如果缺失任何必需的属性,则连接摘要会通知您。

    例如,要修改参与者连接的属性,请单击帐户管理 > 参与者连接,然后选择参与者。单击属性,然后编辑属性(例如 AS 加密的)。

使用 CA 签名的证书

如果您打算使用由 CA 签名的证书,请使用下列步骤:

  1. 启动 iKeyman 实用程序。
  2. 使用 iKeyman 生成“接收器”的证书请求和密钥对。
  3. 将证书签名请求(CSR)提交到 CA。
  4. 当从 CA 接收到已签名证书时,使用 iKeyman 将已签名的证书放入密钥库。
  5. 将签名的 CA 证书分发给所有参与者。

出站加密证书

当中心向参与者发送经过加密的文档时,它使用出站加密证书。WebSphere Partner Gateway 利用参与者的公用密钥对文档进行加密,而参与者用其专用密钥对文档进行解密。

参与者可以有多个加密证书。一个是主证书,缺省情况下使用。 另一个是次级证书,如果主证书到期或者无法使用,则使用该证书。

  1. 获取参与者的加密证书。该证书必须是 X.509 DER 格式的。注:WebSphere Partner Gateway 仅支持 X5.09 证书。
  2. 通过“社区控制台”将证书安装在参与者的概要文件下。
    1. 单击帐户管理 > 概要文件 > 社区参与者,然后搜索参与者的概要文件。
    2. 单击证书
    3. 单击装入证书
    4. 选择加密作为证书类型。
    5. 输入证书的描述(这是必需的)。
    6. 将状态更改成已启用
    7. 单击浏览,然后浏览至保存了证书的目录。
    8. 选择证书,然后单击打开
    9. 如果参与者有两个加密证书,通过从证书用途列表选择次级, 指出这是主证书还是次级证书。
    10. 单击上载,然后单击保存
  3. 如果参与者有次级加密证书,则重复步骤 2
  4. 如果证书是由 CA 签署的,但 CA 根证书和其他任何作为证书链一部分的证书 尚未安装在中心操作者的概要文件中,则现在就安装这些证书。
    1. 单击帐户管理 > 概要文件 > 证书来显示“证书列表”页面。

      确保以中心操作者身份登录进“社区控制台”,然后将证书安装在您自己的概要文件中。

    2. 单击装入证书
    3. 选择根和中级
    4. 输入证书的描述(这是必需的)。
    5. 将状态更改成已启用
    6. 单击浏览,然后浏览至保存了证书的目录。
    7. 选择证书,然后单击打开
    8. 单击上载,然后单击保存
    注: 如果 CA 证书已经安装,则无须执行上述步骤。
  5. 在包(最高级别)、参与者或连接级别(最低级别)上启用加密。您的设置可以覆盖连接级别上的其它设置。如果缺失任何必需的属性,则连接摘要会通知您。

    例如,要修改参与者连接的属性,请单击帐户管理 > 参与者连接,然后选择参与者。单击属性,然后编辑属性(例如 AS 加密的)。

当显示错误消息“未找到有效的加密证书”时,主证书和次级证书都无效。这些证书可能已过期或撤销。如果证书已过期或被撤销,可在“事件查看器”中查看相应的事件(证书撤销或到期))。请注意,这两种事件可能被其他事件分开。要显示“事件查看器”,请单击查看器 > 事件查看器

Copyright IBM Corp. 2003, 2005