TLS を使用したチャネルの保護
TLS (Transport Layer Security) プロトコルを使用すると、キュー・マネージャーが他のキュー・マネージャーまたはクライアントと安全に通信を行うことができます。
このタスクについて
TLS の概念
TLS 対応接続は、以下の方法で保護されています。
- 認証: TLS 対応接続を開始したキュー・マネージャーまたはクライアントは、接続先のキュー・マネージャーの識別の点で保証されています。接続を受け取るキュー・マネージャーは、接続を開始するキュー・マネージャーまたはクライアントの ID を確認できます。
- メッセージのプライバシー: 固有のセッション鍵に基づいて、接続中に交換されたすべての情報が TLS で暗号化されます (そのような動作が構成されている場合)。これにより、権限のない関係者により情報が傍受された場合でも、その情報は表示されません。
- メッセージの整合性: 接続中に、データを改ざんすることはできません。
- 認証局チェーン: 認証局 (CA) チェーン内の各証明書は、チェーン内の親証明書によって識別される エンティティーで署名されます。 チェーンのヘッドは、ルート CA 証明書になります。 ルート証明書は常にルート CA 自体によって署名されます。 チェーン内のすべての証明書の署名が検証されていなければなりません。
シーケンスの概要
以下の手順で説明されているように、セキュリティーには 2 つのステージがあります。
手順
- キュー・マネージャーが他方のキュー・マネージャーに接続するとき、2 つのキュー・マネージャーは標準の TLS 証明書交換を実行し、妥当性を検査します。妥当性検査が正常に終了すると、接続が確立されます。 これを行うには、キュー・マネージャーおよび使用されるチャネルの両方に適切な認証設定値を構成する必要があります。
- チャネルに沿って特定のキュー・マネージャーから別のキュー・マネージャーへメッセージが 送信されるとき、証明書交換時に設定されたセッション鍵によってデータが暗号化されます。 これを行うには、適切な CipherSpecs を指定してチャネルを構成する必要があります。
タスクの結果
シーケンスの詳細
キュー・マネージャー QM1 と QM2 の間の単純な TLS 接続の一般的なシーケンスは、以下の通りです。
- QM1 は QM2 に接続します。
- QM2 で使用される個人証明書は QM1 に送信されます。
- QM1 は、認証局証明書のチェーンに照らして個人証明書を認証します。
- Online Certificate Status Protocol (OCSP) がサーバー・プラットフォームでサポートされている場合、QM1 はオプションとして証明書の取り消しを検査します。OCSP について詳しくは、Online Certificate Status Protocol (OCSP) の使用を参照してください。
- QM1 はオプションとして、証明書取り消しリスト (CRL) に照らして個人証明書を検査します。詳しくは、キュー・マネージャーでの TLS の構成を参照してください。
- QM1 は任意で、ある定義済みピア名に一致する個人証明書のみを受け入れるためのフィルターを適用します。 詳しくは、TLS チャネルの構成を参照してください。
- QM1 は、(すべてについて問題がなければ) QM2 からの個人証明書を受け入れます。
- これで、セキュア接続が確立されます。
より確実なセキュリティーのために、QM2 は、QM1 から証明書を要求できます。 この場合は、以下のステップも実行されます。
- QM1 は、割り当てられた個人証明書を QM2 に送信します。
- QM2 は、前に示したのと同じ検査 (ステップ 3、4、および 5) を行います。
- QM2 は、すべてについて問題がなければ、QM1 からの個人証明書を受け入れます。
これで、セキュア接続が確立されます。
詳しくは、IBM Knowledge Center 内の保護を参照してください。