基本配置 - 設定入埠和離埠文件的安全性
在本節中,您將瞭解如何在基本配置中加入以下的安全類型:
- Secure Socket Layers (SSL) 伺服器鑑別
- 加密
- 數位簽章
為送入的文件設定 SSL 鑑別
在本節中,您將使用 iKeyman 來設定伺服器鑑別,
以便讓 Partner Two 可經由 HTTPS 傳送 AS2 文件。
若要設定伺服器鑑別,請執行下列步驟:
- 開啟 /<ProductDir>/was/bin
目錄中的 ikeyman.bat,以起始 iKeyman 應用程式。
- 開啟「接收端」的預設金鑰儲存庫 receiver.jks。從功能表列中選取開啟金鑰資料庫檔案。在預設安裝中,
receiver.jks 位於 <ProductDir>/common/security/keystore 目錄
- 當出現提示時,請輸入 receiver.jks 的預設密碼。此密碼為 WebAS。
- 如果您是第一次開啟 receiver.jks,請刪除 『Dummy』(虛擬)憑證。
下一步是建立新的自簽憑證。建立自簽的個人憑證時,
會在金鑰儲存庫檔案中建立一個私密金鑰和公開金鑰。
若要建立新的自簽憑證,請執行下列動作:
-
按一下新自簽的。
- 給予憑證一個金鑰標籤,以便在金鑰儲存庫中用來做為此憑證的唯一識別。請使用標籤 selfSignedCert。
- 輸入伺服器的共通名稱。這是憑證的主要與通用的身分識別。這應該用來唯一識別它所代表的主體。
- 輸入您組織的名稱。
-
接受其他所有預設值,並按一下確定。
假設 Partner Two 想使用安全 HTTP 經由 AS2 來傳送 EDI 訊息。Partner Two 將需要提交公開憑證
(在建立自簽憑證期間所建)才能如此做。
若要讓 Partner Two 使用公開憑證,請按如下所示,從伺服器金鑰儲存庫檔案匯出公開憑證:
- 從 IBM Key Management 公用程式中選取新建的自簽憑證。
- 按一下擷取憑證。
- 將「資料類型」改為二進位 DER 資料。
- 提供檔名 commManPublic,並按一下確定。
最後,請使用 iKeyman 採 PKCS12 檔格式來匯出自簽憑證和私密金鑰對組。這個 PCKS12 檔是供加密用,
相關說明請見後面的章節。
若要匯出自簽憑證和私密金鑰,請執行下列動作:
- 按一下匯出/匯入。
- 將「金鑰檔類型」改為 PCKS12。
- 提供檔名 commManPrivate,並按一下確定。
- 輸入密碼以保護目標 PKCS12 檔。確認密碼,並按一下確定。
註: 停止並重新啟動「接收端」,讓這些變更生效。
所輸入的密碼會在稍候您將此私密憑證匯入中心時使用。
Partner Two 也必須執行一些配置步驟,
包括匯入憑證,以及變更 AS2 文件所要送往的位址。舉例來說,Partner Two 必須將位址改為:
https://<IP_address>:57443/bcgreceiver/submit
其中 <IP_address> 代表中心。
現在,不論 Partner Two 是否經由安全 HTTP 傳送文件,
都會將位於「接收端」之預設金鑰儲存庫中的自簽憑證提供給 Partner Two。
若要設定顛倒情況,
Partner Two 必須提供一個採用 .der 檔格式的 SSL 金鑰(在本例中為 partnerTwoSSL.der)給中心。必要時,
Partner Two 也必須變更配置以容許經由 HTTPS 傳輸來接收文件。
請將 Partner Two 的檔案 (partnerTwoSSL.der) 當成根憑證載入到「中心操作員」的設定檔中。根憑證是「憑證管理中心 (CA)」所發的憑證,
並在建立憑證鏈時使用。在本例中,是由 PartnerTwo 產生憑證,
並當成根憑證載入,讓中心得以辨識和信任傳送端。
將 partnerTwoSSL.der 載入到中心中:
- 從主功能表中,
按一下帳戶管理 > 設定檔 >社群參與者。
- 按一下搜尋。
- 選取檢視詳細資料圖示,以選取中心操作員。
- 按一下憑證,然後按一下載入憑證。
- 將憑證類型設為根和中繼。
- 將「說明」改為 Partner Two SSL 憑證。
- 將狀態設為已啟用。
- 按一下瀏覽,導覽至儲存 partnerTwoSSL.der 的目錄。
- 選取憑證,並按一下開啟。
- 按一下上傳,然後按一下儲存。
將 Partner Two 的閘道變更為使用安全 HTTP。
- 從水平導覽列中,按一下帳戶管理 > 設定檔 > 社群參與者。
- 按一下搜尋,然後按一下檢視詳細資料圖示,
以選取 Partner Two。
- 按一下水平導覽列中的閘道。接著,
按一下檢視詳細資料圖示,
以選取 HttpGateway。
- 按一下編輯圖示進行編輯。
- 將傳輸值改為 HTTPS/1.1
- 按如下所示來變更位址值:https://<IP_address>:443/input/AS2,
其中 <IP_address> 代表 Partner
Two 的機器。
- 其他所有值可維持不變。按一下儲存。
設定加密
本節提供設定加密的相關步驟。
Partner Two 必須執行任何必要的配置步驟(例如:匯入公開憑證和自簽憑證),
並在要送往中心的文件上設定加密。
WebSphere Partner Gateway 在解密文件時會使用自己的私密金鑰。若要讓中心如此做,
首先請將擷取自自簽憑證的私密金鑰,載入到「社群主控台」中。請以「中心操作員」身分登入「社群主控台」,
並將憑證安裝在自己的設定檔中,以執行此作業。
若要載入 PKCS12 檔,請執行下列動作:
- 從水平導覽列中,按一下帳戶管理 > 設定檔 > 社群參與者。
- 按一下搜尋。
- 按一下檢視詳細資料圖示,以選取中心操作員。
- 按一下憑證,然後按一下載入 PKCS12。
- 選取加密左側的勾選框。
- 將「說明」改為 CommManPrivate。
- 選取已啟用。
- 按一下瀏覽,導覽至儲存 PKCS12 檔 (commManPrivate.p12partnerTwoSSL.der) 的目錄。
- 選取檔案,並按一下開啟。
- 輸入針對 PKCS12 檔所提供的密碼。
- 「閘道類型」仍保留為正式作業。
- 按一下上傳,然後按一下儲存。
您已完成必要配置,而可讓參與者經由安全 HTTP 傳送加密交易給中心。
下一節和前面程序顛倒 -- 由中心經由安全 HTTP 傳送加密的 EDI 交易。
Partner Two 必須產生一個文件解密金鑰組(在本例中是 partnerTwoDecrypt.der),
且應提供公開憑證給中心使用。
如同前述,當中心在加密要傳給參與者的交易時,
將會使用公開金鑰。若要如此做,您得將公開憑證載入到中心中。
- 從主功能表中,
按一下帳戶管理 > 設定檔 >社群參與者。
- 按一下搜尋。
- 按一下檢視詳細資料圖示,以選取 Partner Two。
- 按一下水平導覽列中的憑證。
- 按一下載入憑證。
- 選取加密旁的勾選框。
- 將「說明」改為 Partner Two 解密。
- 將狀態設為已啟用。
- 按一下瀏覽。
- 導覽至儲存解密憑證 (partnerTwoDecrypt.der) 的目錄。
- 選取憑證,並按一下開啟。
- 「閘道類型」仍保留為正式作業
- 按一下上傳,然後按一下儲存。
將中心配置成使用 AS2 經由安全 HTTP 傳送加密訊息的最後一個步驟是,
修改存在於「社群管理員」和 Partner Two 間的參與者連線。
若要從「社群主控台」來修改參與者連線,請執行下列動作:
- 從水平導覽列中,按一下帳戶管理 > 參與者連線。
- 從來源清單中,選取 Comm Man。
- 從目標清單中,選取 Partner Two。
- 按一下搜尋。
- 按一下「目標」的屬性按鈕。
- 在「連線摘要」中,請注意,AS 加密屬性目前的值為否。請按一下
資料包:AS (N/A) 旁的展開圖示,
以編輯此值。
註: 您必須往下捲動頁面,才看得到此選項。
- 從清單中,將 AS 加密屬性更新為是,
並按一下儲存。
設定文件簽署
當以數位方式來簽署交易或訊息時,
WebSphere Partner Gateway 會使用您的私密金鑰來建立簽章和簽署。接收該訊息的夥伴會使用您的公開金鑰來驗證簽章。WebSphere Partner Gateway
的做法是使用「數位簽章」。
本節提供將中心和參與者同時配置成採用「數位簽章」時必須執行的步驟。
Partner Two 必須執行任何必要的配置步驟(例如:建立自簽文件,如本例中的 partnerTwoSigning.der),
以及配置文件的簽署。Partner Two 必須提供 partnerTwoSigning.der 給中心使用。
若要將數位憑證載入到中心中,請執行下列動作:
- 從水平導覽列中,按一下帳戶管理 > 設定檔 > 社群參與者。
- 按一下搜尋。
- 按一下檢視詳細資料圖示,以選取 Partner Two。
- 從水平導覽列中,選擇憑證。
- 按一下載入憑證。
- 選取數位簽章旁的勾選框。
- 將「說明」改為 CommMan 簽署。
- 將狀態設為已啟用。
- 按一下瀏覽。
- 導覽至儲存數位憑證 (partnerTwoSigning.der) 的目錄,
並選取憑證,然後按一下開啟。
- 按一下上傳,然後按一下儲存。
此時您已完成數位簽章的初始配置。
參與者會使用公開憑證來鑑別中心所傳來的已簽署交易。
中心會使用私密金鑰,以數位方式來簽署要送給參與者的離埠交易。首先,
您將針對數位簽章啟用私密金鑰。
若要針對數位簽章啟用私密金鑰,請執行下列動作:
- 從水平導覽列中,按一下帳戶管理 > 設定檔 > 憑證。
- 按一下中心操作員旁的檢視詳細資料圖示。
- 按一下 CommManPrivate 旁的檢視詳細資料圖示。
註: 這是先前載入到中心中的私密憑證。
- 按一下編輯圖示。
- 選取數位簽章旁的勾選框。
註: 如果數位簽章憑證有多份,
請從憑證用法清單中選取主要或次要,
以選取何者為主要,何者為次要。
- 按一下儲存。
接下來,您將變更「社群管理員」和 Partner Two 間之現有參與者連線的屬性,
以配合有簽署的 AS2。
若要變更參與者連線的屬性,請執行下列動作:
- 從水平導覽列中,按一下帳戶管理 > 參與者連線。
- 從來源清單中,選取 Comm Man。
- 從目標清單中,選取 Partner Two。
- 按一下搜尋。
- 按一下 Partner Two 的屬性按鈕。
- 按一下資料包:AS (N/A) 旁的展開圖示,
以編輯 AS 簽署屬性。
- 從 AS 簽署清單中選取是。
- 按一下儲存。
此時您已完成必要配置,而可從 WebSphere Partner Gateway 傳送已簽署的 AS2 交易給參與者。
