Безопасные каналы с TLS
Протокол TLS (Transport Layer Security) позволяет администраторам очередей устанавливать безопасные каналы связи к другими администраторами очередей или клиентами.
Об этой задаче
Концепции TLS
Защита соединения по протоколу TLS строится на следующих принципах:
- Идентификация: Администраторы очередей или клиенты, устанавливающие соединение TLS, проверяют идентификационные данные администратора очереди, к которому подключаются, а администраторы очереди, подтверждающие соединение, в свою очередь проверяют идентификационные данные устанавливающего администратора или клиента.
- Безопасность сообщений: С помощью уникального сессионного ключа TLS, если настроен таким образом, кодирует всю информацию для обмена. Таким образом, даже если информация перехвачена посторонними лицами, она не может быть просмотрена.
- Целостность сообщений: Данные невозможно повредить через соединение.
- Цепочка сертификатов: Каждый сертификат в цепочке подписан компанией, которая указана в родительском сертификате в цепочке. Во главе цепочки сертификатов расположен корневой сертификат CA. Корневой сертификат всегда подписан корневым CA. Подписи всех сертификатов цепочки должны быть проверены.
Обзор последовательности
Существуют два этапа безопасности:
Процедура
- Когда администратор очередей устанавливает соединение с другим администратором, оба администратора выполняют стандартный обмен сертификатами TLS и проверяют правильность полученных данных. Если проверка прошла удачно, устанавливается соединение. Для этого для обоих сообщающихся администратора и используемого канала необходимо установить соответствующие параметры сертификатов.
- Когда сообщения отправляются по каналу от одного администратора очередей к другому, выполняется общее шифрование данных с помощью сессионного ключа, который устанавливается во время обмена сертификатами. Для этого необходимо настроить конфигурацию используемого канала с помощью соответствующих CipherSpecs.
Результаты
Сведения о последовательности
Ниже описана обычная последовательность установки соединения по протоколу TLS между администраторами очередей QM1 и QM2:
- QM1 подключается к QM2.
- Персональный сертификат, который использует QM2, отправляется QM1.
- QM1 проверяет личный сертификат с помощью цепочки сертификатов сертификатной компании.
- QM1 дополнительно проверяет состояние сертификата, если сервер поддерживает OCSP. Дополнительная информация по OCSP приведена в разделе Работа с протоколом проверки состояния сертификатов (OCSP).
- QM1 дополнительно проверяет список аннулированных сертификатов (CRL) личного сертификата. Дополнительная информация приведена в разделе Настройка администратора очередей TLS.
- QM1 дополнительно применяет фильтры только для личных сертификатов, в которых используются определенные равноправные имена. Дополнительная информация приведена в разделе Настройка каналов TLS.
- QM1 (если все в порядке) принимает личный сертификат от QM2.
- Устанавливается безопасное соединение.
Для повышения безопасности QM2 может запросить сертификат QM1. В таком случае будут выполнены следующие шаги:
- QM1 отправляет свой присвоенный личный сертификат администратору очередей QM2.
- QM2 выполняет ту же проверку (шаги 3, 4 и 5), как показано ранее.
- QM2, если все в порядке, принимает личный сертификат от QM1.
Устанавливается безопасное соединение.
См. раздел Защита в IBM Knowledge Center.