Безопасные каналы с TLS

Протокол TLS (Transport Layer Security) позволяет администраторам очередей устанавливать безопасные каналы связи к другими администраторами очередей или клиентами.

Об этой задаче

Концепции TLS

Защита соединения по протоколу TLS строится на следующих принципах:

  • Идентификация: Администраторы очередей или клиенты, устанавливающие соединение TLS, проверяют идентификационные данные администратора очереди, к которому подключаются, а администраторы очереди, подтверждающие соединение, в свою очередь проверяют идентификационные данные устанавливающего администратора или клиента.
  • Безопасность сообщений: С помощью уникального сессионного ключа TLS, если настроен таким образом, кодирует всю информацию для обмена. Таким образом, даже если информация перехвачена посторонними лицами, она не может быть просмотрена.
  • Целостность сообщений: Данные невозможно повредить через соединение.
  • Цепочка сертификатов: Каждый сертификат в цепочке подписан компанией, которая указана в родительском сертификате в цепочке. Во главе цепочки сертификатов расположен корневой сертификат CA. Корневой сертификат всегда подписан корневым CA. Подписи всех сертификатов цепочки должны быть проверены.

Обзор последовательности

Существуют два этапа безопасности:

Процедура

  1. Когда администратор очередей устанавливает соединение с другим администратором, оба администратора выполняют стандартный обмен сертификатами TLS и проверяют правильность полученных данных. Если проверка прошла удачно, устанавливается соединение. Для этого для обоих сообщающихся администратора и используемого канала необходимо установить соответствующие параметры сертификатов.
  2. Когда сообщения отправляются по каналу от одного администратора очередей к другому, выполняется общее шифрование данных с помощью сессионного ключа, который устанавливается во время обмена сертификатами. Для этого необходимо настроить конфигурацию используемого канала с помощью соответствующих CipherSpecs.

Результаты

Сведения о последовательности

Ниже описана обычная последовательность установки соединения по протоколу TLS между администраторами очередей QM1 и QM2:

  1. QM1 подключается к QM2.
  2. Персональный сертификат, который использует QM2, отправляется QM1.
  3. QM1 проверяет личный сертификат с помощью цепочки сертификатов сертификатной компании.
  4. QM1 дополнительно проверяет состояние сертификата, если сервер поддерживает OCSP. Дополнительная информация по OCSP приведена в разделе Работа с протоколом проверки состояния сертификатов (OCSP).
  5. QM1 дополнительно проверяет список аннулированных сертификатов (CRL) личного сертификата. Дополнительная информация приведена в разделе Настройка администратора очередей TLS.
  6. QM1 дополнительно применяет фильтры только для личных сертификатов, в которых используются определенные равноправные имена. Дополнительная информация приведена в разделе Настройка каналов TLS.
  7. QM1 (если все в порядке) принимает личный сертификат от QM2.
  8. Устанавливается безопасное соединение.

Для повышения безопасности QM2 может запросить сертификат QM1. В таком случае будут выполнены следующие шаги:

  1. QM1 отправляет свой присвоенный личный сертификат администратору очередей QM2.
  2. QM2 выполняет ту же проверку (шаги 3, 4 и 5), как показано ранее.
  3. QM2, если все в порядке, принимает личный сертификат от QM1.

Устанавливается безопасное соединение.

См. раздел Защита в IBM Knowledge Center.