Configuración de canales TLS
Para configurar canales TLS, utilice la página SSL del diálogo Propiedades de canal para definir la especificación de cifrado a utilizar. Existe la opción de configurar un canal para que sólo acepte certificados que tengan atributos en el nombre distinguido del propietario que coincidan con los valores dados. También puede configurar opcionalmente un canal del gestor de colas para que el gestor rehúse la conexión si la parte iniciadora no envía su propio certificado personal.
Acerca de esta tarea
Para configurar canales en IBM® MQ Explorer, realice los pasos siguientes.
Procedimiento
- Abra IBM MQ Explorer.
- En la vista Navegador, expanda la carpeta Gestores de colas y, a continuación, pulse la carpeta Canales.
- En la vista Contenido, pulse el botón derecho del ratón en el canal y, a continuación, pulse Propiedades.
- En el diálogo Propiedades, abra la página SSL.
Resultados
Utilice la página SSL del diálogo Propiedades de canal para las tareas siguientes.
Definición de la Seguridad de mensajes
La mensajería habilitada para TLS ofrece dos métodos para garantizar la seguridad de los mensajes:
- El cifrado asegura que si el mensaje es interceptado, no podrá leerse.
- Las funciones hash aseguran que si el mensaje se modifica, esta acción se detecta.
La combinación de estos métodos se denomina especificación de cifrado o CipherSpec. Se debe definir la misma CipherSpec para ambos extremos de un canal, de lo contrario la mensajería habilitada para TLS falla. Para obtener más información, consulte Seguridad en IBM Knowledge Center.
En la página SSL del diálogo Propiedades, efectúe una de las acciones siguientes:
- En el campo Cifra estándar, seleccione una cifra estándar.
- Si es un usuario avanzado y está administrando un gestor de colas en una plataforma z/OS o IBM i que incluye CipherSpecs nuevos que no se encuentran en las listas predefinidas de IBM MQ especifique un valor específico de la plataforma para un CipherSpec en el campo Cifras personalizadas.
Filtrado de certificados en nombre de su propietario
Los certificados contienen el nombre distinguido del propietario del certificado. Existe la opción de configurar el canal para que sólo acepte certificados que tengan atributos en el nombre distinguido del propietario que coincidan con los valores dados. Para hacer esto, active el recuadro de selección Aceptar únicamente certificados con nombres distinguidos que coincidan con estos valores.
Los nombres de atributo que puede filtrar IBM MQ aparecen en la tabla siguiente:
Nombres de atributo | Significado |
---|---|
SERIALNUMBER | Número de serie de certificado |
Dirección de correo electrónico | |
E | Dirección de correo electrónico (en desuso, al preferirse MAIL) |
UID o USERID | Identificador de usuario |
CN | Nombre común |
T | Cargo |
OU | Nombre de la unidad organizativa |
DC | Componente de dominio |
O | Nombre de la organización |
STREET | Calle / Primera línea de la dirección |
L | Nombre de la localidad |
ST (o SP o S) | Nombre del estado o provincia |
PC | Código postal |
C | País |
UNSTRUCTUREDNAME | Nombre de host |
UNSTRUCTUREDADDRESS | Dirección IP |
DNQ | Calificador de nombre distinguido |
En el campo Aceptar sólo certificados con nombres distinguidos que coincidan con estos valores, puede utilizar el carácter comodín (*) al principio o al final del valor del atributo, como sustituto de todos los caracteres que desee. Por ejemplo, para aceptar sólo certificados de personas que se apelliden Smith y que trabajen para IBM en GB, escriba:
CN=*Smith, O=IBM, C=GB
Autenticación de entidades que inician conexiones con un gestor de colas
Cuando otra parte inicie una conexión habilitada para TLS con un gestor de colas, el gestor de colas debe enviar su certificado personal a la parte iniciadora como prueba de la identidad. También puede configurar opcionalmente el canal del gestor de colas para que el gestor rehúse la conexión si la parte iniciadora no envía su propio certificado personal. Para hacerlo, en la página SSL del diálogo Propiedades de canal, seleccione Obligatorio de la lista Autenticación de partes que inician conexiones.