Konfigurieren von AS2-Zertifikaten
Digitale Zertifikate bieten auf verschiedenen Ebenen im AS2-Nachrichtenaustauschprozess Sicherheit. Im Zusammenhang mit dem Austausch von AS2-Nachrichten, können Zertifikate unter anderem für folgende Zwecke verwendet werden:
•AS2-Nachrichtenverschlüsselung
•AS2-Nachrichtensignierung
•AS2-Signaturüberprüfung
FlowForce Server hat eine Zertifikatspeicher, der unabhängig vom Zertifikatspeicher des Betriebssystems, auf dem FlowForce Server ausgeführt wird, ist. Zertifikat werden in FlowForce Server in Containern gespeichert (daher gelten dafür dieselben Zugriffsmechanismen wie für andere Objekte in FlowForce, siehe Funktionsweise von Berechtigungen). Alle privaten und öffentlichen Zertifikate, die Sie für den AS2-Prozess benötigen, müssen in FlowForce Server importiert werden (Sie können den Ziel-Container aussuchen und festlegen, welche Benutzer darauf Zugriff haben).
Für die Verschlüsselung und die Überprüfung der Signatur von AS2-Nachrichten müssen die folgenden Schritte durchgeführt werden:
1.Fordern Sie von Ihrem Handelspartner das für die Verschlüsselung oder Signaturüberprüfung benötigte öffentliche Zertifikat an. Dabei handelt es sich oft um ein und dasselbe Zertifikat.
2.Importieren Sie das Zertifikat in den FlowForce Server-Zertifikatspeicher, wie unten gezeigt. Sie müssen dieses Zertifikat später referenzieren, wenn Sie die Partnerinformationen in FlowForce erstellen (siehe Konfigurieren von AS2-Partnern).
Zum Entschlüsselt und Signieren von AS2-Nachrichten müssen die folgenden Konfigurationsschritte durchgeführt werden:
1.Erstellen Sie (in einem FlowForce Server-externen Programm) das öffentliche Zertifikat Ihres Unternehmens und den Private Key. Wenn das Zertifikat Ihres Unternehmens zum Signieren bereits im Zertifikatspeicher des Betriebssystems vorhanden ist, exportieren Sie es in eine Datei (die Datei muss sowohl das öffentliche Zertifikat und auch den Private Key enthalten). Eine Anleitung für Windows finden Sie unter https://technet.microsoft.com/de-de/library/cc754329(v=ws.11).aspx. Für Linux müssen die Zertifikatdateien aus dem Verzeichnis, das als Zertifikatspeicher fungiert, kopiert werden, z.B: /etc/ssl/private oder /etc/ssl/certs auf Ubuntu. Informationen zu macOS finden Sie unter https://support.apple.com/kb/PH20122?locale=en_US.
2.Senden Sie das öffentliche Zertifikat (ohne den Private Key) an den Partner. Der Private Key darf niemandem außerhalb Ihres Unternehmens bekanntgegeben werden.
3.Importieren Sie das Zertifikat (mit dem Private Key) in den FlowForce Server-Zertifikatspeicher, wie unten gezeigt.
Wenn Sie vom Partner signierte MDNs erhalten werden, muss auch das (zum Überprüfen der MDN-Signatur benötigte) öffentliche Zertifikat des Partners in FlowForce importiert werden. Auch dieses Zertifikat muss bei Erstellung des Partnerobjekts (siehe Konfigurieren von AS2-Partnern) referenziert werden.
So importieren Sie ein Zertifikat in FlowForce Server:
1.Melden Sie sich auf der FlowForce Server Web-Verwaltungsschnittstelle an.
2.Klicken Sie auf Konfiguration und navigieren Sie anschließend zum Container, in dem Sie das Zertifikat erstellen möchten.
| Anmerkung: | Standardmäßig haben alle authentifizierten FlowForce-Benutzer Zugriff auf den Container "Public", daher eignet er sich nicht zum Speichern sensibler Daten. Es wird empfohlen, dass Sie entweder den Zugriff auf den Container "Public" einschränken oder sensible Objekte in einem separaten Container definieren, auf den nur bestimmte Benutzer eine Zugriffsberechtigung haben, siehe Berechtigungen und Container. |
3.Klicken Sie auf Erstellen und dann auf Zertifikat erstellen.
4.Geben Sie einen Namen und optional eine Beschreibung für das Zertifikat ein. Wählen Sie einen beschreibenden Namen, um das Zertifikat später einfach identifizieren zu können. Die Beschreibung kann später geändert werden.
5.Klicken Sie auf Durchsuchen und wählen Sie die Zertifikatdatei aus.
Das Format der importierten Datei muss PEM, DER oder PKCS#12 sein (dieses Format ist nicht mit der Dateierweiterung zu verwechseln). Die Dateierweiterung kann eine der folgenden sein: .pem, .der, .cer, .crt, pfx, p12. FlowForce behandelt die Datei folgendermaßen:
•Wenn die Dateierweiterung .pem, .cer, .crt ist und die Datei eine Zeile beginnend mit "-----BEGIN " oder "---- BEGIN " enthält, wird die Datei als PEM-Datei behandelt. •Wenn die Dateierweiterung .der, .cer, .crt ist und die Datei die obige Zeile nicht enthält, wird sie als DER-Datei behandelt. •Wenn die Dateierweiterung .p12 oder .pfx lautet, wird die Datei als PKCS#12 behandelt.
Dateien, die nur einen Private Key (aber nicht das Zertifikat) enthalten, können nicht importiert werden. |
1.Wenn die Zertifikatdatei einen Private Key enthält, für den ein Passwort erforderlich ist, geben Sie das Passwort in das entsprechende Feld ein. Wenn die Zertifikatdatei einen nicht geschützten Private Key enthält, klicken Sie auf Löschen 
, um dieses Feld wegzulassen.
2.Klicken Sie auf Speichern.
Wenn das Zertifikat erfolgreich importiert wurde, werden seine Details auf der Seite angezeigt, z.B.:
Da Zertifikate nach einer gewissen Zeitspanne ablaufen, müssen Sie diese von Zeit zu Zeit über die FlowForce Server Web-Verwaltungsschnittstelle ersetzen. Dies gilt sowohl für von Ihrem Unternehmen erstellte Zertifikate als auch für von Ihrem Handelspartner erhaltene Zertifikate. (Es wird davon ausgegangen, dass Sie Ihr Handelspartner darüber informiert, wenn sein öffentliches Zertifikat abläuft und Ihnen das neue Zertifikat sendet. Ebenso sollten auch Sie Ihren Handelspartner über den Ablauf Ihres öffentlichen Zertifikats informieren und ihm das neue senden.) Sie sehen das Ablaufdatum und andere damit in Zusammenhang stehende Informationen über die Web-Verwaltungsschnittstelle (nachdem Sie das Zertifikat in FlowForce Server importiert haben).
Wenn Sie ein Zertifikat in FlowForce Server ersetzen, betrifft diese Änderung alle Partner, die dieses Zertifikat verwenden. Um die Integrität Ihrer AS2-Operationen immer zu gewährleisten, koordinieren Sie Änderungen an den Zertifikaten Ihres Unternehmens immer im Vorhinein mit Ihrem Handelspartner. |
So ersetzen Sie ein Zertifikat:
1.Klicken Sie nach Anmeldung bei FlowForce Server auf Konfiguration und navigieren Sie zum Container, in dem das Zertifikat gespeichert ist.
2.Klicken Sie auf den Zertifikateintrag. Daraufhin werden die Zertifikatinformationen geladen.
3.Klicken Sie auf Zertifikat importieren..
4.Klicken Sie auf Durchsuchen und wählen Sie das neue Zertifikat aus.
5.Klicken Sie auf Speichern. Dadurch wird das alte Zertifikat durch das neue ersetzt.
Bereits in FlowForce Server importierte Zertifikate können wie alle anderen FlowForce Server-Objekte gelöscht werden (Aktivieren Sie das Kontrollkästchen neben dem Datensatz und klicken sie auf Löschen). Die Zertifikate können nicht geklont oder exportiert werden.
Ein Beispiel für einen AS2-Datenaustausch zwischen zwei Handelspartnern, die Zertifikate zum Signieren und Verschlüsseln der Nachrichten austauschen, finden Sie unter Beispiel: Vollständiger AS2-Nachrichtenaustausch (komplex).