Standardsicherheitseinstellungen

Für alle Clientverbindungen einer bestimmten Instanz von IBM® MQ Explorer kann ein gemeinsamer Sicherheitsexit definiert werden. Dieser wird als Standardsicherheitsexit bezeichnet. Nachfolgend finden Sie eine Beschreibung der Einstellungen für den Sicherheitsexit.

Die Standardsicherheitseinstellungen sind Bestandteil des Dialogs 'Einstellungen' und können wie folgt geöffnet werden:
  1. Klicken Sie auf Fenster > Benutzervorgaben.... Daraufhin wird der Dialog 'Einstellungen' geöffnet.
  2. Erweitern Sie MQ Explorer.
  3. Erweitern Sie Clientverbindungen. Die Dialoge für die Standardsicherheitseinstellungen sind jetzt zugänglich.

Sicherheitsexit

Wählen Sie Standardsicherheitsexit aktivieren aus, um den Standardsicherheitsexit für alle Clientverbindungen in derselben Instanz von IBM MQ Explorer festzulegen. Der Sicherheitsexit für alle über einen Client verbundenen Warteschlangenmanager in einem Set kann geändert werden. Der Sicherheitsexit kann überschrieben werden, wenn Sie beim Hinzufügen eines neuen fernen Warteschlangenmanagers einen neuen Sicherheitsexit definieren.

Der Sicherheitsexit für alle über einen Client verbundenen Warteschlangenmanager in einem Set kann geändert werden. Die TLS-Optionen können überschrieben werden, wenn Sie einen neuen fernen Warteschlangenmanager hinzufügen.

Option Beschreibung
Exitname Gibt den Namen des Exitprogramms an, das vom Sicherheitsexit ausgeführt werden soll. Das Attribut Exitname kann bis zu 1024 Zeichen lang sein, dabei muss die Groß-/Kleinschreibung beachtet werden. Exitname kann ein vollständig qualifizierter Java-Klassenname sein, der im Verzeichnis oder in der JAR-Datei vorhanden ist. Exitname kann darüber hinaus aus einem C-Exit mit dem Format DLL-Name(Funktionsname) bestehen. Zur Standortangabe von C-Exits wird immer der Standardpfad für Exits verwendet. Sie können den Standort der Exit-Bibliothek erst dann in diesem Eingabefeld angeben, wenn der Standardpfad festgelegt wurde.
in Verzeichnis Gibt das Verzeichnis für den Sicherheitsexit an (nur Java™-Exits).
in Jar Gibt die JAR-Datei für den Sicherheitsexit an (nur Java-Exits).
Exitdaten Das Attribut Exitdaten kann bis zu 32 Zeichen lang sein. Wurde für dieses Attribut kein Wert angegeben, wird dieses Feld auf Leerzeichen gesetzt.

SSL/TLS-Optionen

Wählen Sie SSL-Standardoptionen aktivieren aus, um die SSL/TLS-Standardoptionen für alle Clientverbindungen in derselben Instanz von IBM MQ Explorer zu aktivieren. Die SSL/TLS-Optionen für alle über einen Client verbundenen Warteschlangenmanager in einem Set können geändert werden. Die SSL/TLS-Optionen können überschrieben werden, wenn Sie einen neuen fernen Warteschlangenmanager hinzufügen.

Option Beschreibung
SSL-Verschlüsselungsspezifikation Eine CipherSpec (CipherSpecification; Verschlüsselungsspezifikation) erkennt die Kombination aus Verschlüsselungsalgorithmus und Hashfunktion, die von einer SSL/TLS-Verbindung verwendet wird. Eine CipherSpec ist Teil einer CipherSuite, die das Verfahren für den Schlüsselaustausch und die Authentifizierung sowie die Algorithmen für die Verschlüsselung und die Hashfunktion angibt.

Die Größe des Schlüssels, der während des Handshakes verwendet wird, kann von dem von Ihnen verwendeten digitalen Zertifikat abhängen, aber einige der von IBM MQ unterstützten CipherSpecs enthalten eine Vorgabe für die Größe des Handshakeschlüssels. Größere Handshake-Schlüssel ermöglichen eine strengere Authentifizierung. Kleinere Schlüssel hingegen sind weniger zeitaufwendig.

Weitere Informationen finden Sie unter CipherSpecs und CipherSuites in der IBM Knowledge Center.

SSL FIPS erforderlich

Wählen Sie Ja aus, wenn nur FIPS-zertifizierte Cipher Suites verwendet werden sollen. Bei Auswahl von Ja müssen alle TLS-Verbindungen FIPS-zertifizierte Cipher-Suites zu verwenden.

Wählen Sie Nein aus, wenn alle verfügbaren Cipher Suites verwendet werden können.

Die Standardeinstellung ist Nein.

Wenn Sie diese Einstellung von 'Ja' in 'Nein' bzw. von 'Nein' in 'Ja' ändern, wird ein Dialog geöffnet, in dem Sie gefragt werden, ob Sie einen Neustart von MQ Explorer durchführen möchten.

An dieser Einstellung vorgenommene Änderungen werden erst angewendet, nachdem MQ Explorer erneut gestartet wurde.

Zähler für SSL-Rückstellungen Geben Sie die Anzahl Bytes an (von 0 bis 999 999 999), die innerhalb eines TLS-Datenaustausches gesendet und empfangen werden, bevor der geheime Schlüssel neu festgelegt wird. Der Wert 0 gibt an, dass der geheime Schlüssel nie neu festgelegt wird. Die Anzahl der Bytes umfasst Steuerinformationen, die vom Nachrichtenkanalagenten (MCA) gesendet werden. Wenn der Wert dieses Attributs größer als 0 ist und der Wert des Attributs 'Intervall der Überwachungssignale' in den Kanaleigenschaften ebenfalls größer als 0 ist, wird der geheime Schlüssel auch neu festgelegt, bevor Nachrichtendaten nach einem Kanalüberwachungssignal gesendet oder empfangen werden.
Peer-Name Der von TLS zu verwendende definierte Name (Distinguished Name = DN) des Warteschlangenmanagers. Der Peer-Name wird festgelegt, um anzugeben, dass Verbindungen nur zulässig sind, wenn der Server erfolgreich als ein bestimmter definierter Name authentifiziert werden konnte.

SSL/TLS-Speicher

Wählen Sie die Option zum Aktivieren der Standard-SSL-Speicher aus, wenn Sie den vertrauenswürdigen Zertifikatsspeicher und den persönlichen Zertifikatsspeicher nutzen möchten.

Wenn Sie IBM MQ Explorer mit der Adresse und dem Kennwort des SSL/TLS-Zertifikatsspeichers konfigurieren möchten, finden Sie entsprechende Informationen im Abschnitt Standardposition und Standardkennwort von TLS-Zertifikaten angeben.

Wenn Sie die SSL/TLS-Standardspeicher aktivieren, kann IBM MQ Explorer die Zertifikate aus dem Truststore und dem Schlüsselspeicher verwenden, um sich über eine TLS-gesicherte Verbindung mit fernen Warteschlangenmanagern zu verbinden.

Die SSL/TLS-Speicher für alle über einen Client verbundenen Warteschlangenmanager in einem Set können geändert werden. Die SSL/TLS-Speicher können überschrieben werden, wenn Sie einen neuen fernen Warteschlangenmanager hinzufügen.