TLS チャネルの構成
TLS チャネルを構成するには、「チャネル・プロパティー」ダイアログの「SSL」ページを使用して、使用する暗号仕様を定義します。オプションで、チャネルを構成して、指定された値と一致する所有者の識別名の属性を持つ証明書のみを受け入れることができます。オプションで、キュー・マネージャーのチャネルを構成できます。これにより、開始する相手先が独自の個人証明書を送信しない場合、キュー・マネージャーは接続を拒否できます。
このタスクについて
IBM® MQ エクスプローラーでチャネルを構成するには、以下の手順を実行します。
手順
- IBM MQ エクスプローラーを開きます。
- 「ナビゲーター」ビューで、「キュー・マネージャー」フォルダーを展開し、「チャネル」フォルダーをクリックします。
- 「コンテンツ」ビューでチャネルを右クリックしてから、「プロパティー」をクリックします。
- プロパティー・ダイアログで、「SSL」ページを開きます。
タスクの結果
以下の作業のために「チャネル・プロパティー」ダイアログの「SSL」ページを使用します。
メッセージ・セキュリティーの設定
TLS 対応メッセージングによって、メッセージ・セキュリティーを保証する 2 つの方式が提供されます。
- 暗号化により、メッセージが傍受された場合にそのメッセージが判読不能であることが保証されます。
- ハッシュ機能により、メッセージが変更された場合に検出されることが保証されます。
これらの方式の組み合わせは、暗号仕様または CipherSpec と呼ばれます。 チャネルの両端には同じ CipherSpec を設定する必要があります。設定していない場合、TLS 対応メッセージングは失敗します。詳しくは、IBM Knowledge Center 内の保護を参照してください。
「プロパティー」ダイアログの「SSL」ページで、以下のいずれかを行います。
- 「標準暗号」フィールドから、標準暗号を選択します。
- ユーザーが上級者であり、IBM MQ の事前定義リストでない新規 CipherSpec が含まれる z/OS® または IBM i プラットフォーム上でキュー・マネージャーを管理している場合、「カスタム暗号」フィールドに、CipherSpec 用のプラットフォーム固有の値を 入力します。
所有者の名前での証明書のフィルタリング
証明書には、証明書の所有者の識別名が含まれています。 オプションで、チャネルを構成して、指定された値と一致する所有者の識別名の属性を持つ証明書のみを受け入れることが できます。 これを行う には、「これらの値と一致する識別名を持つ証明書のみを受け入れる」チェック・ボックスを 選択します。
IBM MQ がフィルター処理する属性名は、下の表にリストされています。
属性名 | 意味 |
---|---|
SERIALNUMBER | 証明書のシリアル番号 |
E メール・アドレス | |
E | E メール・アドレス (MAIL の方が好ましいため非推奨) |
UID または USERID | ユーザー ID |
CN | 共通名 |
T | タイトル |
OU | 組織単位名 |
DC | ドメイン・コンポーネント |
O | 組織名 |
STREET | 通り/住所の 1 行目 |
L | 市区町村名 |
ST (または SP もしくは S) | 都道府県 |
PC | 郵便番号 |
C | 国 |
UNSTRUCTUREDNAME | ホスト名 |
UNSTRUCTUREDADDRESS | IP アドレス |
DNQ | 識別名修飾子 |
「これらの値と一致する識別名を持つ証明書のみを受け入れる」フィールドで、 任意の数の文字の代わりに、属性値の先頭または末尾にワイルドカード文字 (*) を使用できます。 例えば、GB の IBM に勤務する、Smith で終わる名前を持つ人からの証明書のみを受け入れるには、次のように入力します。
CN=*Smith, O=IBM, C=GB
キュー・マネージャーへの接続を開始する相手先の認証
別の通話者がキュー・マネージャーへの TLS 対応接続を開始する場合、キュー・マネージャーは、ID の証明として個人証明書を開始する相手先に送信する必要があります。オプションで、キュー・マネージャーのチャネルを構成できます。 これにより、開始する相手先が独自の個人証明書を送信しない場合、キュー・マネージャーは接続を拒否できます。 これを行うには、チャネル・プロパティー・ダイアログの「SSL」ページ で、「接続開始側の認証」リストから、「必須」を 選択します。