TLS-Kanäle konfigurieren

Zum Konfigurieren von TLS-Kanälen definieren Sie auf der Seite SSL des Dialogs mit den Kanaleigenschaften die zu verwendende Verschlüsselungsspezifikation. Optional können Sie den Kanal auch so konfigurieren, dass nur Zertifikate akzeptiert werden, deren Attribute im DN des Eigners bestimmten Werten entsprechen. Auch den Kanal des Warteschlangenmanagers können Sie optional so konfigurieren, dass der Warteschlangenmanager die Verbindung ablehnt, wenn die einleitende Partei kein persönliches Zertifikat sendet.

Informationen zu diesem Vorgang

Führen Sie zum Konfigurieren von Kanälen in IBM® MQ Explorer die folgenden Schritte aus.

Vorgehensweise

  1. Öffnen Sie IBM MQ Explorer.
  2. Erweitern Sie in der Navigatoransicht den Ordner Warteschlangenmanager und klicken Sie anschließend auf den Ordner Kanäle.
  3. Klicken Sie in der Inhaltsansicht mit der rechten Maustaste auf den Kanal und klicken Sie dann auf Eigenschaften.
  4. Öffnen Sie im Dialog Eigenschaften die Seite SSL.

Ergebnisse

Führen Sie auf der Seite SSL des Dialogs mit den Kanaleigenschaften die folgenden Tasks aus.

Festlegen der Nachrichtensicherheit

Die TLS-gesicherte Nachrichtenübertragung stellt zwei Methoden zur Gewährleistung der Nachrichtensicherheit bereit:

  • Durch die Verschlüsselung wird sichergestellt, dass eine unbefugt abgefangene Nachricht unlesbar ist.
  • Durch Hash-Funktionen wird eine Änderung der Nachricht entdeckt.

Die Kombination dieser Methoden wird Verschlüsselungsspezifikation oder CipherSpec genannt. Es ist wichtig, dass für beide Kanalenden dieselbe CipherSpec festgelegt wird, da andernfalls die TLS-gesicherte Nachrichtenübertragung fehlschlägt. Weitere Informationen finden Sie unter Sicherheit in der IBM Knowledge Center.

Führen Sie auf der Seite SSL des Dialogs Eigenschaften eine der folgenden Aktionen aus:

  • Wählen Sie im Feld Standardverschlüsselung eine Standardverschlüsselung aus.
  • Wenn Sie ein fortgeschrittener Benutzer sind und auf einer z/OS- oder IBM i:-Plattform einen Warteschlangenmanager verwalten, der neue CipherSpecs enthält, die nicht in der vordefinierten IBM MQ-Liste enthalten sind, geben Sie im Feld Angepasste Verschlüsselungen einen plattformspezifischen Wert für eine CipherSpec ein.

Zertifikate nach dem Namen des zugehörigen Eigners filtern

Zertifikate enthalten den definierten Namen (DN) des Zertifikateigners. Sie können den Kanal optional so konfigurieren, dass nur Zertifikate akzeptiert werden, deren Attribute im DN des Eigners bestimmten Werten entsprechen. Wählen Sie in diesem Fall das Kontrollkästchen Nur Zertifikate mit den folgenden DNs (Distinguished Names) akzeptieren aus.

In der folgenden Tabelle werden Attributnamen aufgeführt, die von IBM MQ gefiltert werden können:

Attributnamen Bedeutung
SERIALNUMBER Seriennummer des Zertifikats
MAIL E-Mail-Adresse
E E-Mail-Adresse (wird nicht weiter unterstützt; MAIL wird verwendet)
UID oder USERID Benutzer-ID
CN Allgemeiner Name
T Titel
OU Name der Organisationseinheit
DC Domänenkomponente
O Name der Organisation
STREET Straße/erste Adresszeile
L Ortsname
ST (oder SP oder S) Name des Staates oder Bundeslandes
PC Postleitzahl
C Land
UNSTRUCTUREDNAME Hostname
UNSTRUCTUREDADDRESS IP-Adresse
DNQ Qualifikationsmerkmal für definierten Namen

Im Feld Nur Zertifikate mit den folgenden definierten Namen (DNs) akzeptieren kann am Anfang oder Ende des Peernamens ein Platzhalterzeichen (*) verwendet werden, das eine beliebige Anzahl an Zeichen ersetzt. Sollen beispielsweise nur Zertifikate von Personen, die einen Namen haben, der mit Smith endet, und die für IBM in Großbritannien (GB) arbeiten, akzeptiert werden, muss folgender Wert angegeben werden:


CN=*Smith, O=IBM, C=GB

Authentifizierung von Parteien, die Verbindungen zu Warteschlangenmanagern herstellen

Wenn eine andere Partei eine TLS-gesicherte Verbindung zu einem Warteschlangenmanager einleitet, muss der Warteschlangenmanager sein persönliches Zertifikat als Identitätsnachweis an die einleitende Partei senden. Optional können Sie auch den Kanal des Warteschlangenmanagers so konfigurieren, dass der Warteschlangenmanager die Verbindung ablehnt, wenn die einleitende Partei kein persönliches Zertifikat sendet. Wählen Sie in diesem Fall auf der Seite SSL des Dialogs mit den Kanaleigenschaften in der Liste Authentifizierung von Verbindungen einleitenden Parteien die Option Erforderlich aus.