Domyślne preferencje zabezpieczeń
Wyjście zabezpieczeń może zostać zdefiniowane dla wszystkich połączeń klienckich w ramach tego samego programu IBM® MQ Explorer. Takie wyjście jest znane jako domyślne wyjście zabezpieczeń. Poniżej opisano preferencje dla wyjścia zabezpieczeń.
- Kliknij opcję Preferencje. . Zostanie otwarte okno dialogowe
- Rozwiń opcję MQ Explorer.
- Rozwiń węzeł Połączenia klienckie. Okna dialogowe domyślnych ustawień zabezpieczeń będą teraz dostępne.
Wyjście zabezpieczeń
Opcję Włącz domyślne wyjście zabezpieczeń należy wybrać, aby ustawić domyślne wyjście zabezpieczeń dla wszystkich połączeń klienckich w danym programie IBM MQ Explorer. Wyjście zabezpieczeń dla wszystkich menedżerów kolejek znajdujących się w zestawie i połączonych z klientami może być zmieniane. Wyjście zabezpieczeń może zostać przesłonięte w przypadku zdefiniowania nowego wyjścia zabezpieczeń podczas dodawania nowego zdalnego menedżera kolejek.
Wyjście zabezpieczeń dla wszystkich menedżerów kolejek znajdujących się w zestawie i połączonych z klientami może być zmieniane. Opcje protokołu TLS mogą zostać przesłonięte podczas dodawania nowego menedżera kolejek zdalnych.
Element | Opis |
---|---|
Nazwa wyjścia | Określa nazwę programu zewnętrznego, który ma być
uruchamiany przez wyjście zabezpieczeń. Parametr Nazwa
wyjścia może zawierać maksymalnie 1024 znaki. W przypadku tej nazwy rozróżniana jest
wielkość liter. Parametr Nazwa wyjścia może być pełną
nazwą klasy Java w katalogu lub pliku JAR. Parametr Nazwa
wyjścia może być nazwą funkcji wyjścia języka C mającej następujący
format: nazwa_biblioteki_DLL(nazwa_funkcji) .
Do wyszukiwania wyjść języka C zawsze jest używana ścieżka domyślna wyjść. Nie
można określić położenia biblioteki wyjścia w tym polu wprowadzania, jeśli
ustawiona jest ścieżka domyślna. |
w katalogu | Określa katalog wyjścia zabezpieczeń (tylko wyjścia Java™). |
w pliku JAR | Określa plik JAR wyjścia zabezpieczeń (tylko wyjścia Java). |
Dane wyjścia | Parametr Dane wyjścia może zawierać maksymalnie 32 znaki. Jeśli dla tego atrybutu nie zdefiniowano żadnej wartości, pole jest puste. |
Opcje protokołu SSL/TLS
Opcję Włącz domyślne opcje SSL należy wybrać, aby włączyć domyślne opcje protokołu SSL/TLS dla wszystkich połączeń klienckich w danym programie IBM MQ Explorer. Opcje SSL/TLS dla wszystkich menedżerów kolejek znajdujących się w zestawie i połączonych z klientami mogą być zmieniane. Opcje protokołu SSL/TLS mogą zostać przesłonięte podczas dodawania nowego zdalnego menedżera kolejek.
Element | Opis |
---|---|
CipherSpec SSL | Atrybut CipherSpec identyfikuje kombinację algorytmu
szyfrowania oraz funkcji mieszającej używaną przez połączenie SSL/TLS. Atrybut
CipherSpec stanowi część obiektu CipherSuite identyfikującego mechanizm
wymiany kluczy i uwierzytelniania, a także algorytmy szyfrowania i funkcji
mieszającej. Wielkość klucza używanego w trakcie uzgadniania może zależeć od używanego certyfikatu cyfrowego, ale niektóre obiekty CipherSpec obsługiwane przez produkt IBM MQ zawierają specyfikację wielkości klucza na potrzeby uzgadniania. Należy zauważyć, że klucze o większej długości zapewniają silniejsze uwierzytelnianie. Natomiast w przypadku kluczy o mniejszej długości uzgadnianie przebiega szybciej. Więcej informacji zawiera sekcja Zestawy algorytmów szyfrowania i specyfikatory szyfru w Centrum Wiedzy IBM. |
Wymagane SSL FIPS | Aby używać wyłącznie zestawów algorytmów szyfrowania z certyfikatem FIPS, należy wybrać opcję Tak. Jeśli opcja Tak zostanie wybrana, to wszystkie połączenia TLS będą musiały używać zestawów algorytmów szyfrowania z certyfikatem FIPS. Aby używać dowolnych dostępnych zestawów algorytmów szyfrowania, należy wybrać opcję Nie. Ustawieniem domyślnym jest Nie. W przypadku zmiany tego ustawienia z wartości Tak na wartość Nie lub z wartości Nie na wartość Tak zostanie otwarte okno dialogowe z zapytaniem o chęć zrestartowania programu MQ Explorer. Żadne zmiany tego ustawienia nie będą uwzględnione, dopóki program MQ Explorer nie zostanie zrestartowany. |
Liczba resetowań SSL | Należy wpisać liczbę z zakresu od 0 do 999999999, która określa, ile bajtów jest wysyłanych i odbieranych w ramach konwersacji TLS przed ponownym wynegocjowaniem klucza tajnego. Podanie wartości 0 oznacza, że klucz tajny nie jest ponownie negocjowany. Liczba bajtów obejmuje informacje kontrolne wysyłane przez agent kanału komunikatów (MCA). Jeśli wartość tego atrybutu jest większa niż 0 i wartość atrybutu Okres pulsu w oknie Właściwości kanału jest większa niż 0, to klucz tajny jest również ponowne negocjowany przed wysłaniem lub odebraniem danych komunikatu zgodnie z pulsem kanału. |
Nazwa węzła sieci | Nazwa wyróżniająca (Distinguished Name - DN) menedżera kolejek na potrzeby protokołu TLS. Nazwa węzła sieci jest ustawiana w celu wskazania, że połączenia będą dozwolone wyłącznie tam, gdzie serwer zostanie pomyślnie uwierzytelniony jako serwer o konkretnej nazwie wyróżniającej. |
Magazyny SSL/TLS
Opcję Włącz domyślne magazyny SSL należy wybrać, aby móc korzystać z magazynu zaufanych certyfikatów oraz magazynu certyfikatów osobistych.
Informacje dotyczące konfigurowania położenia oraz hasła bazy certyfikatów SSL/TLS w programie IBM MQ Explorer można znaleźć w sekcji Określanie domyślnego położenia i domyślnego hasła dla certyfikatów TLS.
Dzięki włączonej obsłudze domyślnych magazynów SSL/TLS program IBM MQ Explorer może używać certyfikatów z magazynu zaufanych certyfikatów (TrustStore) oraz magazynu kluczy (KeyStore) w celu nawiązywania połączeń TLS ze zdalnymi menedżerami kolejek.
Magazyny SSL/TLS dla wszystkich menedżerów kolejek znajdujących się w zestawie i połączonych z klientami mogą być zmieniane. Magazyny SSL/TLS mogą zostać przesłonięte podczas dodawania nowego zdalnego menedżera kolejek.