デフォルトのセキュリティー設定

すべてのクライアント接続について、同じ IBM® MQ エクスプローラーでセキュリティー出口を定義できます。その出口のことをデフォルトのセキュリティー出口といいます。ここでは、セキュリティー出口の設定について説明します。

デフォルトのセキュリティー設定は、「設定」ダイアログに含まれています。そのダイアログを開くには、以下のようにします。
  1. 「ウィンドウ」 > 「設定...」をクリックします。「設定」ダイアログが開きます。
  2. 「MQ エクスプローラー」を展開します。
  3. 「クライアント接続」を展開します。デフォルトのセキュリティー設定のダイアログにアクセスできるようになります。

セキュリティー出口

「デフォルト・セキュリティー出口を使用可能にする」を選択して、同じ IBM MQ エクスプローラーに表示されているすべてのクライアント接続のデフォルトのセキュリティー出口を設定します。セットに含まれているすべてのクライアント接続キュー・マネージャーのセキュリティー出口を変更できます。そのセキュリティー出口は、新しいリモート・キュー・マネージャーを追加するときに、新しいセキュリティー出口を定義することによってオーバーライドできます。

セットに含まれているすべてのクライアント接続キュー・マネージャーのセキュリティー出口を変更できます。TLS オプションは、新しいリモート・キュー・マネージャーを追加するときにオーバーライドできます。

項目 説明
出口名 セキュリティー出口によって実行する出口プログラムの名前を指定します。「出口名」は、最大で 1024 文字の長さになります。大/小文字の区別があります。「出口名」には、ディレクト リーまたは JAR ファイルに格納されている Java クラスの完全修飾名を指定できます。「出口名」として、C 出口 (形式は dll_name(function_name)) を指定することもできます。C 出口を見つける場合には、この出口のデフォルト・パスが必ず使用されます。デフォルト・パスが設定されていない場合以外は、この項目フィールドで出口ライブラリーの場所を指定することはできません。
ディレクトリー内 セキュリティー出口のディレクトリーを指定します。 (Java™ 出口のみ)
jar 内 セキュリティー出口の jar ファイルを指定します。 (Java 出口のみ)
出口データ 「出口データ」は、最大で 32 文字の長さになります。この属性の値を定義しない場合は、このフィールドがすべてブランクになります。

SSL/TLS オプション

「デフォルト SSL オプションを使用可能にする」を選択して、同じ IBM MQ エクスプローラーに表示されているすべてのクライアント接続のデフォルト SSL/TLS オプションを使用可能にします。 セットに含まれているすべてのクライアント接続キュー・マネージャーの SSL/TLS オプションを変更できます。 SSL/TLS オプションは、新しいリモート・キュー・マネージャーを追加するときにオーバーライドできます。

項目 説明
SSL CipherSpec 「CipherSpec」では、SSL/TLS 接続で使用する暗号化アルゴリズムとハッシュ機能の組み合わせを指定します。 「CipherSpec」は、「CipherSuite」の一部になっています。「CipherSuite」では、暗号化とハッシュ機能のアルゴリズムのほかに鍵交換メカニズムと認証メカニズムも指定します。

ハンドシェークで使用する鍵のサイズは、使用するデジタル証明書によって異なりますが、IBM MQ でサポートされているいくつかの CipherSpec には、ハンドシェークの鍵サイズの指定が含まれています。 ハンドシェークの鍵サイズが大きければ、認証機能が強力になります。鍵サイズが小さければ、ハンドシェークが高速になります。

詳しくは、IBM Knowledge Center 内のCipherSpec および CipherSuiteを参照してください。

SSL FIPS 必須

FIPS 認証暗号スイートだけを使用する場合は、「はい」を選択します。「はい」を選択すると、すべての TLS 接続で FIPS 認証暗号スイートを使用することが必要になります。

使用可能な暗号スイートをどれでも使用できるようにする場合は、「いいえ」を選択します。

デフォルト設定は「いいえ」です。

この設定を「はい」から「いいえ」、または「いいえ」から「はい」に変更すると、MQ エクスプローラーを再始動するかどうかを確認するためのダイアログが開きます。

MQ エクスプローラーを再始動するまで、この設定の変更は適用されません。

SSL リセット・カウント 0 から 999 999 999 の範囲で、TLS 会話内で送受信されるバイト数を入力します。この数を超えると秘密鍵が再びネゴシエーションされます。0 の値は、秘密鍵が再びネゴシエーションされないことを意味します。バイト数には、メッセージ・チャネル・エージェント (MCA) によって送信される制御情報が含まれます。 この属性の値が 0 より大きく、「チャネル・プロパティー」の「ハートビート間隔」属性の値が 0 より大きい場合、メッセージ・データがチャネル・ハートビートに続いて送受信される前に、秘密鍵も再度ネゴシエーションされます。
ピア名 TLS で使用するキュー・マネージャーの識別名 (DN)。このピア名を設定すると、サーバーが特定の DN として正常に認証された場合に限って接続が認められることになります。

SSL/TLS ストア

トラステッド証明書ストアと個人証明書ストアを操作する場合は、「デフォルトの SSL ストアを使用可能にする」を選択します。

SSL/TLS 証明書ストアの場所とパスワードを使用して IBM MQ エクスプローラーを構成する方法については、TLS 証明書のデフォルトの場所とデフォルトのパスワードの指定を参照してください。

デフォルトの SSL/TLS ストアを使用可能にすると、トラストストアと鍵ストアに格納されている証明書を使用して、IBM MQ エクスプローラーから TLS 対応接続でリモート・キュー・マネージャーに接続できます。

セットに含まれているすべてのクライアント接続キュー・マネージャーの SSL/TLS ストアを変更できます。 SSL/TLS ストアは、新しいリモート・キュー・マネージャーを追加するときにオーバーライドできます。