Assegurando canais com TLS
O protocolo TLS (Segurança da Camada de Transporte) permite que os gerenciadores de filas se comuniquem seguramente com outros gerenciadores de filas ou clientes.
Sobre Esta Tarefa
Conceitos de TLS
Uma conexão ativada para TLS é segura nas maneiras a seguir:
- Autenticação: os gerenciadores de filas ou clientes que iniciam uma conexão ativada para TLS são assegurados da identidade do gerenciador de filas ao qual eles estão se conectando e os gerenciadores de filas que estão recebendo as conexões podem verificar a identidade do gerenciador de filas ou do cliente que está iniciando a conexão.
- Privacidade de mensagem: o uso de uma chave de sessão exclusiva, TLS, se assim configurado, criptografa todas as informações trocadas por meio da conexão. Isso assegura que as informações não sejam visualizadas se interceptadas por partes não autorizadas.
- Integridade da mensagem: Os dados não podem ser violados pela conexão.
- Cadeia de Autoridades de Certificação: Cada certificado na cadeia de Autoridades de Certificação (CA) é assinado pela entidade que é identificada por seu certificado pai na cadeia. Na extremidade da cadeia está o certificado raiz da CA. O certificado raiz é sempre assinado pela própria CA raiz. As assinaturas de todos os certificados na cadeia devem ser verificadas.
Visão Geral da Sequência
Há dois estágios para a segurança, conforme descrito nas etapas a seguir.
Procedimento
- Quando um gerenciador de filas se conecta a outro gerenciador de filas, os dois executam uma troca TLS padrão de certificados e executam verificações de validação. Se a validação for bem-sucedida, a conexão será estabelecida. Para conseguir isto, é necessário configurar tanto os gerenciadores de filas quanto os canais utilizados por eles, com configurações apropriadas de certificados.
- Quando mensagens são enviadas de um gerenciador de filas para outro ao longo de um canal, geralmente os dados são criptografados utilizando uma chave de sessão que foi estabelecida durante a troca de certificados. Para isso, é necessário configurar os canais que serão utilizados com CipherSpecs apropriadas.
Resultados
Detalhes de Sequência
Uma sequência típica para uma conexão TLS simples entre os gerenciadores de filas QM1 e QM2 é a seguinte:
- QM1 se conecta a QM2.
- O certificado pessoal utilizado pelo QM2 é enviado ao QM1.
- O QM1 autentica o certificado pessoal na cadeia de certificados de autoridade de certificação.
- Opcionalmente, o QM1 verifica a revogação de certificado se o Online Certificate Status Protocol (OCSP) é suportado na plataforma do servidor. Para obter informações adicionais sobre o OCSP, consulte: Trabalhando com Online Certificate Status Protocol (OCSP).
- Opcionalmente, QM1 verifica a Lista de Revogação de Certificados (CRL) no certificado pessoal. Para obter informações adicionais, consulte: Configurando o TLS em gerenciadores de filas.
- Opcionalmente, QM1 aplica um filtro para aceitar apenas os certificados pessoais que correspondam a quaisquer nomes de pontos definidos. Para obter informações adicionais, consulte: Configurando canais TLS.
- QM1 (se tudo correr bem) aceita o certificado pessoal de QM2.
- A conexão segura está estabelecida.
Para mais segurança, QM2 pode solicitar um certificado de QM1; nesse caso, as seguintes etapas também podem ocorrer:
- QM1 envia seu certificado pessoal designado para QM2.
- QM2 aplica as mesmas verificações (Etapas 3, 4 e 5) conforme mostrado anteriormente.
- QM2, se tudo correr bem, aceita o certificado pessoal de QM1.
A conexão segura está estabelecida.
Para obter mais informações, consulte Assegurando na IBM Knowledge Center.