建立和安裝加密憑證

本節說明加密憑證。

入埠加密憑證

此憑證供中心用來解密參與者所傳來的加密檔案。中心會使用您的私密金鑰來解密文件。加密用以讓傳送端和擬定收件人以外的他人無法檢視轉移中的文件。

請注意下列在接收參與者傳來的加密 AS2 訊息時的重要限制事項。如果參與者傳送加密 AS2 訊息, 但卻使用錯誤的憑證,解密將會失敗。不過, 這並不會傳回 MDN 給參與者以指出失敗。在這種情況下,若要讓您的參與者能收到 MDN, 請使用如下的文件流程定義,建立和參與者間的連線:

使用自簽憑證

如果您要使用自簽憑證,請使用下列程序。

  1. 啟動 iKeyman 公用程式。
  2. 使用 iKeyman 產生一份自簽憑證和金鑰組。
  3. 使用 iKeyman 將要含有您公開金鑰的憑證擷取到檔案中。
  4. 將憑證配送給您的參與者。他們必須將檔案匯入到自己的 B2B 產品中, 以作為加密憑證。請建議他們在想要傳送加密檔案給 「社群管理員」時使用該憑證。如果您的憑證為 CA 所簽署, 也請提供 CA 憑證。
  5. 使用 iKeyman 採 PKCS12 檔格式來儲存自簽憑證和私密金鑰對組。
  6. 請透過「社群主控台」, 安裝採用 PKCS12 檔格式的自簽憑證和私密金鑰對組。
    1. 按一下帳戶管理 > 設定檔 > 憑證,顯示「憑證清單」頁面。

      請確定您是以「中心操作員」身分登入「社群主控台」。

    2. 按一下載入 PKCS12
      附註:
      1. 要上傳的 PKCS12 檔應只含有一個私密金鑰和相關聯的憑證。
      2. 您也可以將憑證和私密金鑰上傳成 DER 加密憑證和 PKCS#8 加密私密金鑰。
    3. 選取加密,作為憑證類型。
    4. (必要)輸入憑證的說明。
    5. 將狀態改為已啟用
    6. 按一下瀏覽,導覽至儲存該憑證的目錄。
    7. 選取憑證,並按一下開啟
    8. 輸入密碼。
    9. 按一下上傳,然後按一下儲存
  7. 在資料包(最高層次)、參與者或連線層次(最低層次)下啟用加密。您的設定可置換連線層次下的設定。連線摘要會通知您是否有遺漏任何必要的屬性。

    舉例來說,若要改變參與者連線的屬性, 請按一下帳戶管理 > 參與者連線,然後選取參與者。按一下屬性, 然後編輯屬性(例如 AS 加密)。

使用 CA 簽署的憑證

如果您要使用 CA 簽署的憑證,請使用下列程序:

  1. 啟動 iKeyman 公用程式。
  2. 使用 iKeyman 為「接收端」產生一項憑證要求和金鑰組。
  3. 將「憑證簽署申請 (CSR)」送出給 CA。
  4. 在您收到 CA 簽署的憑證時,請使用 iKeyman 將已簽署的憑證放到金鑰儲存庫中。
  5. 將簽署的 CA 憑證配送給所有參與者。

離埠加密憑證

離埠加密憑證是在中心傳送加密文件給參與者時使用。WebSphere Partner Gateway 會以參與者的公開金鑰來加密文件, 而參與者將使用自己的私密金鑰來解密文件。

參與者可有多份加密憑證。一份是主要憑證, 依預設,會使用這份憑證。另一份是次要憑證,一旦主要憑證到期或者無法使用時, 便會使用此憑證。

  1. 取得參與者的加密憑證。憑證的格式必須是 X.509 DER。 請注意,WebSphere Partner Gateway 只支援 X.509 憑證。
  2. 透過「社群主控台」將憑證安裝在參與者的設定檔下。
    1. 按一下帳戶管理 > 設定檔 > 社群參與者,並搜尋參與者的設定檔。
    2. 按一下憑證
    3. 按一下載入憑證
    4. 選取加密,作為憑證類型。
    5. (必要)輸入憑證的說明。
    6. 將狀態改為已啟用
    7. 按一下瀏覽,導覽至儲存該憑證的目錄。
    8. 選取憑證,並按一下開啟
    9. 如果參與者有兩份加密憑證, 請從憑證用法清單中選取主要次要, 以指出此為主要或次要憑證。
    10. 按一下上傳,然後按一下儲存
  3. 如果參與者有第二份加密憑證,請重複步驟 2
  4. 如果憑證是由 CA 所簽, 而屬於憑證鏈一部分的 CA 根憑證和任何其他憑證未安裝在「中心操作員」設定檔中, 此時請安裝該憑證。
    1. 按一下帳戶管理 > 設定檔 > 憑證,顯示「憑證清單」頁面。

      請確定您是以「中心操作員」身分登入「社群主控台」,並將憑證安裝在自己的設定檔中。

    2. 按一下載入憑證
    3. 選取根和中繼
    4. (必要)輸入憑證的說明。
    5. 將狀態改為已啟用
    6. 按一下瀏覽,導覽至儲存該憑證的目錄。
    7. 選取憑證,並按一下開啟
    8. 按一下上傳,然後按一下儲存
    註: 如果 CA 憑證已安裝,則不需執行上述步驟。
  5. 在資料包(最高層次)、參與者或連線層次(最低層次)下啟用加密。您的設定可置換連線層次下的設定。連線摘要會通知您是否有遺漏任何必要的屬性。

    舉例來說,若要改變參與者連線的屬性, 請按一下帳戶管理 > 參與者連線,然後選取參與者。按一下屬性, 然後編輯屬性(例如 AS 加密)。

當出現找不到有效的加密憑證錯誤訊息時, 表示主要和次要憑證皆無效。憑證可能已過期或已廢止。如果憑證已過期或廢止, 您也會在「事件檢視器」中看到對應的事件(憑證已廢止或過期)。請注意這兩項事件可能被其他事件隔開。若要顯示「事件檢視器」, 請按一下檢視器 > 事件檢視器

Copyright IBM Corp. 2003, 2005