建立和安裝簽章憑證

本節說明可提供「無可否認性」並用來驗證簽署者的簽章憑證。

入埠簽章憑證

「文件管理程式」採用參與者所簽署的憑證, 以便在您接收文件時用來驗證傳送端的簽章。參與者是以 X.509 DER 格式傳送其自簽的簽章憑證給您。接著, 您透過「社群主控台」將參與者的憑證安裝在個別參與者的設定檔下。

若要安裝憑證,請使用下列程序。

  1. 接收採 DER 格式的參與者 X.509 簽章憑證。
  2. 透過「社群主控台」將憑證安裝在參與者的設定檔下。
    1. 按一下帳戶管理 > 設定檔 > 社群參與者,並搜尋參與者的設定檔。
    2. 按一下憑證
    3. 按一下載入憑證
    4. 選取數位簽章,作為憑證類型。
    5. (必要)輸入憑證的說明。
    6. 將狀態改為已啟用
    7. 按一下瀏覽,導覽至儲存該憑證的目錄。
    8. 選取憑證,並按一下開啟
    9. 按一下上傳,然後按一下儲存
  3. 如果憑證是由 CA 所簽, 而屬於憑證鏈一部分的 CA 根憑證和任何其他憑證未安裝在「中心操作員」設定檔中, 此時請安裝該憑證。
    1. 按一下帳戶管理 > 設定檔 > 憑證,顯示「憑證清單」頁面。

      請確定您是以「中心操作員」身分登入「社群主控台」,並將憑證安裝在自己的設定檔中。

    2. 按一下載入憑證
    3. 選取根和中繼
    4. (必要)輸入憑證的說明。
    5. 將狀態改為已啟用
    6. 按一下瀏覽,導覽至儲存該憑證的目錄。
    7. 選取憑證,並按一下開啟
    8. 按一下上傳,然後按一下儲存
    註: 如果 CA 憑證已安裝,則不需執行上述步驟。
  4. 在資料包(最高層次)、參與者或連線層次(最低層次)下啟用簽署。您的設定可置換連線層次下的設定。連線摘要會通知您是否有遺漏任何必要的屬性。

    舉例來說,若要改變參與者連線的屬性, 請按一下帳戶管理 > 參與者連線,然後選取參與者。按一下屬性, 然後編輯屬性(例如 AS 簽署)。

離埠簽章憑證

「文件管理程式」會在傳送已簽署的離埠文件給參與者時,使用這份憑證。所有埠和通訊協定皆採用同一份憑證和金鑰。

您可有一份以上的數位簽章憑證。一份是主要憑證, 依預設,會使用這份憑證。另一份是次要憑證,一旦主要憑證到期或者無法使用時, 便會使用此憑證。

使用自簽憑證

如果您要使用自簽憑證,請使用下列程序。

  1. 啟動 iKeyman 公用程式。
  2. 使用 iKeyman 產生一份自簽憑證和金鑰組。
  3. 使用 iKeyman 將要含有您公開金鑰的憑證擷取到檔案中。
  4. 將憑證配送給您的參與者。較好的配送方法是將憑證放在一個有密碼保護的壓縮檔中, 並透過電子郵件傳送。您的參與者必須和您聯絡,並要求取得該壓縮檔的密碼。
  5. 使用 iKeyman 採 PKCS12 檔格式來匯出自簽憑證和私密金鑰對組。
  6. 請透過「社群主控台」, 安裝採用 PKCS12 檔格式的自簽憑證和私密金鑰對組。
    1. 按一下帳戶管理 > 設定檔 > 憑證,顯示「憑證清單」頁面。

      請確定您是以「中心操作員」身分登入「社群主控台」。

    2. 按一下載入 PKCS12
      附註:
      1. 要上傳的 PKCS12 檔應只含有一個私密金鑰和相關聯的憑證。
      2. 您也可以將憑證和私密金鑰上傳成 DER 加密憑證和 PKCS#8 加密私密金鑰。
    3. 選取數位簽章,作為憑證類型。
    4. (必要)輸入憑證的說明。
    5. 將狀態改為已啟用
    6. 按一下瀏覽,導覽至儲存該憑證的目錄。
    7. 選取憑證,並按一下開啟
    8. 輸入密碼。
    9. 如果您有兩份數位簽章憑證,請從憑證用法清單中選取主要次要, 以指出此為主要或次要憑證。
    10. 按一下上傳,然後按一下儲存
  7. 如果參與者有第二份簽章憑證,請重複步驟 6

如果您要針對 SSL 用戶端和數位簽章兩者上傳主要和次要憑證, 且您將主要憑證上傳成兩個個別的項目, 則相對應的次要憑證也必須上傳成兩個不同的項目。

使用 CA 簽署的憑證

如果您要使用 CA 簽署的憑證,請使用下列程序:

  1. 啟動 iKeyman 公用程式。
  2. 使用 iKeyman 為「接收端」產生一項憑證要求和金鑰組。
  3. 將「憑證簽署申請 (CSR)」送出給 CA。
  4. 在您收到 CA 簽署的憑證時,請使用 iKeyman 將已簽署的憑證放到金鑰儲存庫中。
  5. 將簽署的 CA 憑證配送給所有參與者。

Copyright IBM Corp. 2003, 2005