Configurando canais TLS
Para configurar canais TLS, use a página SSL do diálogo Propriedades do canal para definir a especificação de código a ser usada. É possível opcionalmente configurar um canal para aceitar somente certificados com atributos no nome distinto do proprietário que corresponde a valores fornecidos. Também é possível opcionalmente configurar um canal do gerenciador de filas para que o gerenciador de filas recuse a conexão se a parte iniciante não enviar seu próprio certificado pessoal.
Sobre Esta Tarefa
Para configurar canais no IBM® MQ Explorer, conclua as etapas a seguir.
Procedimento
- Abra o IBM MQ Explorer.
- Na visualização do Navegador, expanda a pasta Gerenciadores de Filas e, em seguida, clique na pasta Canais.
- Na visualização Conteúdo, clique com o botão direito do mouse no canal e, em seguida, clique em Propriedades.
- No diálogo Propriedades, abra a página SSL.
Resultados
Use a página SSL do diálogo de Propriedades do Canal para as tarefas a seguir.
Configurando a Segurança das Mensagens
O sistema de mensagens ativado para TLS oferece dois métodos para assegurar a segurança da mensagem:
- A criptografia assegura que se a mensagem for interceptada, será ilegível.
- As funções hash asseguram que se a mensagem for alterada, isso será detectado.
A combinação desses métodos é chamada de especificação de criptografia ou CipherSpec. O mesmo CipherSpec deve ser configurado para as duas extremidades de um canal, caso contrário, o sistema de mensagens ativado para TLS falhará. Para obter mais informações, consulte Assegurando na IBM Knowledge Center.
Na página SSL do diálogo Propriedades, proceda de uma das seguintes formas:
- No campo Criptografia padrão, selecione uma criptografia padrão.
- Se você for um usuário avançado e estiver administrando um gerenciador de filas em uma plataforma z/OS ou IBM i que inclui novas CipherSpecs que não estão na lista predefinida do IBM MQ, digite um valor específico da plataforma para uma CipherSpec no campo Códigos Customizados.
Filtrando Certificados pelo Nome do Proprietário
Os certificados contêm o nome distinto do proprietário do certificado. Opcionalmente, é possível configurar o canal para aceitar apenas certificados com atributos no nome distinto do proprietário que correspondam a valores fornecidos. Para fazer isso, selecione a caixa de opções Aceitar apenas certificados com Nomes Distintos que correspondam a esses valores.
Os nomes de atributos que o IBM MQ pode filtrar são listados na tabela a seguir:
Nomes de atributos | Significado |
---|---|
SERIALNUMBER | Número de série do certificado |
Endereço de email | |
E | Endereço de email (Reprovado na preferência para MAIL) |
UID ou USERID | Identificador de usuário |
CN | Nome Comum |
T | Título |
OU | Nome da Unidade Organizacional |
DC | Componente de domínio |
O | Nome da organização |
STREET | Rua / Primeira linha de endereço |
L | Nome da localidade |
ST (ou SP ou S) | Nome do Estado ou do Município |
PC | Código de endereçamento postal / CEP |
C | País |
UNSTRUCTUREDNAME | Nome do host |
UNSTRUCTUREDADDRESS | endereço IP |
DNQ | Qualificador de nome distinto |
No campo Aceitar somente certificados com Nomes Distintos correspondentes a esses valores, você pode utilizar o caractere curinga (*) no começo ou no final do valor do atributo, no lugar de qualquer número de caracteres. Por exemplo, para aceitar apenas os certificados de qualquer pessoa cujo nome termina com Smith que trabalhem na IBM na Inglaterra, digite:
CN=*Smith, O=IBM, C=GB
Autenticando Partes que Iniciam Conexões com um Gerenciador de Filas
Quando outra parte inicia uma conexão ativada para TLS com um gerenciador de filas, este deve enviar seu certificado pessoal à parte iniciante como prova de identidade. Também é possível configurar opcionalmente o canal do gerenciador de filas, para que o gerenciador de filas recuse a conexão se a parte iniciante não enviar seu próprio certificado pessoal. Para fazer isso, na página SSL do diálogo de Propriedades do Canal, selecione Obrigatório na lista Autenticação de partes que iniciam conexões.