Zabezpečení kanálů pomocí protokolu TLS
Protokol TLS (Transport Layer Security) umožňuje správcům front zabezpečenou komunikaci s dalšími správci front a klienty.
Informace o této úloze
Koncepce zabezpečení TLS
Připojení s povoleným protokolem TLS je zabezpečeno následujícím způsobem:
- Ověřování: Pro správce front nebo klienty inicializující připojení s povoleným zabezpečením TLS je ověřena identita správce front, k němuž se připojují. Naopak správci front přijímající připojení mohou ověřit identitu správce front nebo klienta, který inicializuje připojení.
- Soukromí zpráv: Při odpovídající konfiguraci služba zabezpečení TLS zašifruje s použitím jedinečného klíče relace všechny informace, které jsou předávány prostřednictvím připojení. Tím je zajištěno, že neoprávněné subjekty nemohou při náhodném či cíleném zachycení tyto informace zobrazit.
- Integrita zpráv: Data nelze při průchodu připojením zobrazit.
- Řetězec certifikačních autorit: Každý certifikát v řetězci certifikačních autorit (CA) je podepsán entitou identifikovanou nadřízeným certifikátem v řetězci. Řetězec začíná certifikátem kořenové CA. Kořenový certifikát je vždy podepsán samotnou kořenovou certifikační autoritou. Podpisy všech certifikátů v řetězci musí být ověřeny.
Průběh připojení - přehled
Zabezpečení má dvě úrovně, jak je popsáno v následujícím postupu:
Postup
- Jakmile se některý správce front připojí k jinému správci front, oba provedou standardní vzájemnou výměnu certifikátů standardního zabezpečení TLS a také ověřovací testy. Pokud je ověření úspěšné, bude připojení navázáno. K provedení této operace je nutné konfigurovat oba správce front a používané kanály pomocí parametrů příslušných certifikátů.
- Při odesílání zpráv z jednoho správce front do jiného prostřednictvím některého kanálu budou data obecně zašifrována s použitím klíče relace vytvořeného během výměny certifikátů. K této operaci je nutné konfigurovat kanály, které budete používat, s odpovídající specifikací CipherSpecs.
Výsledky
Podrobnosti průběhu
Obvyklý průběh při navazování jednoduchého připojení TLS mezi správci front QM1 a QM2 je následující:
- Správce QM1 se připojí ke správci QM2.
- Osobní certifikát používaný správcem QM2 je odeslán správci QM1.
- Správce QM1 ověří osobní certifikát podle údajů řetězce certifikátů certifikačních autorit.
- Správce QM1 volitelně zkontroluje, zda nebyl certifikát odvolán, je-li na platformě serveru podporován protokol OCSP (Online Certificate Status Protocol). Další informace o protokolu OCSP viz Práce s protokolem OCSP (Online Certificate Status Protocol).
- Správce QM1 volitelně ověří osobní certifikát podle údajů ze seznamu odvolaných certifikátů (Certificate Revocation List, CRL). Další informace viz Konfigurace TLS pro správce front.
- Správce front QM1 volitelně použije filtr s cílem přijímat pouze osobní certifikáty, které odpovídají jakýmkoli definovaným názvům partnerů. Další informace viz Konfigurace kanálů TLS.
- V případě, že je vše v pořádku, správce QM1 přijme osobní certifikát od správce QM2.
- V tomto okamžiku je vytvořeno zabezpečené připojení.
Je-li požadována vyšší úroveň zabezpečení, správce front QM2 si může vyžádat certifikát od správce QM1. V tomto případě jsou provedeny také následující kroky:
- Správce QM1 odešle přiřazený osobní certifikát správci QM2.
- Správce QM2 provede stejné ověřovací kroky (kroky 3, 4 a 5) z předchozího uvedeného postupu.
- V případě, že je vše v pořádku, správce QM2 přijme osobní certifikát od správce QM1.
V tomto okamžiku je vytvořeno zabezpečené připojení.
Další informace viz Zabezpečení v Centrum znalostí IBM.