TLS 채널 구성
TLS 채널을 구성하려면 채널 특성 대화 상자의 SSL 페이지를 사용하여 사용될 암호 스펙을 정의합니다. 제공된 값과 일치하는 소유자의 식별 이름으로 된 속성이 있는 인증서만을 승인하도록 채널을 선택적으로 구성할 수 있습니다. 시작하는 쪽에서 자체 개인 인증서를 송신하지 않으면 큐 관리자가 연결을 거부할 수 있도록 선택적으로 큐 관리자 채널을 구성할 수도 있습니다.
이 태스크 정보
IBM® MQ 탐색기에서 채널을 구성하려면 다음 단계를 완료하십시오.
프로시저
- IBM MQ 탐색기를 여십시오.
- 네비게이터 보기에서 큐 관리자 폴더를 펼친 다음 채널 폴더를 클릭하십시오.
- 컨텐츠 보기에서 채널을 마우스의 오른쪽 단추로 클릭한 후 특성을 클릭하십시오.
- 특성 대화 상자에서 SSL 페이지를 여십시오.
결과
다음 태스크에는 채널 특성 대화 상자의 SSL 페이지를 사용하십시오.
메시지 보안 설정
TLS 사용 가능 메시징은 메시지 보안을 보장하는 두 가지 방법을 제공합니다.
- 암호화는 메시지를 가로챈 경우 읽을 수 없게 합니다.
- 해시 기능은 메시지가 변경된 경우, 이를 감지하도록 합니다.
이러한 방법의 조합은 암호 스펙 또는 CipherSpec이라고 합니다. 동일한 CipherSpec이 채널의 양측에 설정되어야 합니다. 그렇지 않으면 TLS 사용 가능 메시징이 실패합니다. 자세한 정보는 IBM Knowledge Center의 보안의 내용을 참조하십시오.
특성 대화 상자의 SSL 페이지에서 다음 중 하나를 수행하십시오.
- 표준 암호 필드에서 표준 암호를 선택하십시오.
- 고급 사용자이며 IBM MQ의 사전정의된 목록에 없는 새 CipherSpec이 포함된 z/OS® 또는 IBM i 플랫폼에서 큐 관리자를 관리 중인 경우에는 사용자 정의 암호 필드에 CipherSpec에 대한 플랫폼 특정 값을 입력하십시오.
고유 이름으로 인증서 필터링
인증서에는 인증서 소유자의 식별 이름이 포함되어 있습니다. 제공된 값과 일치하는 소유자의 식별 이름으로 된 속성이 있는 인증서만을 승인하도록 채널을 선택적으로 구성할 수 있습니다. 이를 수행하려면, 식별 이름이 이 값과 일치하는 인증서만 승인 선택란을 선택하십시오.
IBM MQ가 필터링할 수 있는 속성 이름은 다음 표에 나열되어 있습니다.
속성 이름 | 의미 |
---|---|
SERIALNUMBER | 인증서 일련 번호 |
이메일 주소 | |
E | 이메일 주소(더 이상 MAIL 대신 사용되지 않음) |
UID 또는 USERID | 사용자 ID |
CN | 공용 이름 |
T | 제목 |
OU | 조직 단위 이름 |
DC | 도메인 컴포넌트 |
O | 조직 이름 |
STREET | 상세 주소/주소 두 번째 줄 |
L | 지역 이름 |
ST(또는 SP 또는 S) | 시/도 이름 |
PC | 우편번호 |
C | 국가 |
UNSTRUCTUREDNAME | 호스트 이름 |
UNSTRUCTUREDADDRESS | IP 주소 |
DNQ | 식별 이름 규정자 |
식별 이름이 이 값과 일치하는 인증서만 승인 필드에서는 임의의 수의 문자 대신에 속성 값의 처음 또는 끝에서 와일드카드 문자(*)를 사용할 수 있습니다. 예를 들어, GB의 IBM에서 일하며 이름이 Smith로 끝나는 사용자로부터만 인증서를 승인하려는 경우, 다음을 입력하십시오.
CN=*Smith, O=IBM, C=GB
큐 관리자에 대한 연결을 시작하는 관계자 인증
다른 당사자가 큐 관리자에 대한 TLS 사용 가능 연결을 시작하면 큐 관리자가 ID를 증명하기 위해 시작하는 당사자에게 해당 개인 인증서를 송신해야 합니다. 시작하는 쪽에서 자체 개인 인증서를 송신하지 않으면, 큐 관리자가 연결을 거부할 수 있도록 선택적으로 큐 관리자 채널을 구성할 수도 있습니다. 이를 수행하려면 채널 특성 대화 상자의 SSL 페이지에 있는 연결을 시작한 당사자 인증 목록에서 필수를 선택하십시오.