Domyślne preferencje zabezpieczeń

Wyjście zabezpieczeń może zostać zdefiniowane dla wszystkich połączeń klienckich w ramach tego samego programu IBM® MQ Explorer. Takie wyjście jest znane jako domyślne wyjście zabezpieczeń. Poniżej opisano preferencje dla wyjścia zabezpieczeń.

Domyślne preferencje zabezpieczeń stanowią część okna dialogowego Preferencje. Można je otworzyć w następujący sposób:
  1. Kliknij opcję Okna > Preferencje. Zostanie otwarte okno dialogowe Preferencje.
  2. Rozwiń opcję MQ Explorer.
  3. Rozwiń węzeł Połączenia klienckie. Okna dialogowe domyślnych ustawień zabezpieczeń będą teraz dostępne.

Wyjście zabezpieczeń

Opcję Włącz domyślne wyjście zabezpieczeń należy wybrać, aby ustawić domyślne wyjście zabezpieczeń dla wszystkich połączeń klienckich w danym programie IBM MQ Explorer. Wyjście zabezpieczeń dla wszystkich menedżerów kolejek znajdujących się w zestawie i połączonych z klientami może być zmieniane. Wyjście zabezpieczeń może zostać przesłonięte w przypadku zdefiniowania nowego wyjścia zabezpieczeń podczas dodawania nowego zdalnego menedżera kolejek.

Wyjście zabezpieczeń dla wszystkich menedżerów kolejek znajdujących się w zestawie i połączonych z klientami może być zmieniane. Opcje protokołu TLS mogą zostać przesłonięte podczas dodawania nowego menedżera kolejek zdalnych.

Element Opis
Nazwa wyjścia Określa nazwę programu zewnętrznego, który ma być uruchamiany przez wyjście zabezpieczeń. Parametr Nazwa wyjścia może zawierać maksymalnie 1024 znaki. W przypadku tej nazwy rozróżniana jest wielkość liter. Parametr Nazwa wyjścia może być pełną nazwą klasy Java w katalogu lub pliku JAR. Parametr Nazwa wyjścia może być nazwą funkcji wyjścia języka C mającej następujący format: nazwa_biblioteki_DLL(nazwa_funkcji). Do wyszukiwania wyjść języka C zawsze jest używana ścieżka domyślna wyjść. Nie można określić położenia biblioteki wyjścia w tym polu wprowadzania, jeśli ustawiona jest ścieżka domyślna.
w katalogu Określa katalog wyjścia zabezpieczeń (tylko wyjścia Java™).
w pliku JAR Określa plik JAR wyjścia zabezpieczeń (tylko wyjścia Java).
Dane wyjścia Parametr Dane wyjścia może zawierać maksymalnie 32 znaki. Jeśli dla tego atrybutu nie zdefiniowano żadnej wartości, pole jest puste.

Opcje protokołu SSL/TLS

Opcję Włącz domyślne opcje SSL należy wybrać, aby włączyć domyślne opcje protokołu SSL/TLS dla wszystkich połączeń klienckich w danym programie IBM MQ Explorer. Opcje SSL/TLS dla wszystkich menedżerów kolejek znajdujących się w zestawie i połączonych z klientami mogą być zmieniane. Opcje protokołu SSL/TLS mogą zostać przesłonięte podczas dodawania nowego zdalnego menedżera kolejek.

Element Opis
CipherSpec SSL Atrybut CipherSpec identyfikuje kombinację algorytmu szyfrowania oraz funkcji mieszającej używaną przez połączenie SSL/TLS. Atrybut CipherSpec stanowi część obiektu CipherSuite identyfikującego mechanizm wymiany kluczy i uwierzytelniania, a także algorytmy szyfrowania i funkcji mieszającej.

Wielkość klucza używanego w trakcie uzgadniania może zależeć od używanego certyfikatu cyfrowego, ale niektóre obiekty CipherSpec obsługiwane przez produkt IBM MQ zawierają specyfikację wielkości klucza na potrzeby uzgadniania. Należy zauważyć, że klucze o większej długości zapewniają silniejsze uwierzytelnianie. Natomiast w przypadku kluczy o mniejszej długości uzgadnianie przebiega szybciej.

Więcej informacji zawiera sekcja Zestawy algorytmów szyfrowania i specyfikatory szyfru w Centrum Wiedzy IBM.

Wymagane SSL FIPS

Aby używać wyłącznie zestawów algorytmów szyfrowania z certyfikatem FIPS, należy wybrać opcję Tak. Jeśli opcja Tak zostanie wybrana, to wszystkie połączenia TLS będą musiały używać zestawów algorytmów szyfrowania z certyfikatem FIPS.

Aby używać dowolnych dostępnych zestawów algorytmów szyfrowania, należy wybrać opcję Nie.

Ustawieniem domyślnym jest Nie.

W przypadku zmiany tego ustawienia z wartości Tak na wartość Nie lub z wartości Nie na wartość Tak zostanie otwarte okno dialogowe z zapytaniem o chęć zrestartowania programu MQ Explorer.

Żadne zmiany tego ustawienia nie będą uwzględnione, dopóki program MQ Explorer nie zostanie zrestartowany.

Liczba resetowań SSL Należy wpisać liczbę z zakresu od 0 do 999999999, która określa, ile bajtów jest wysyłanych i odbieranych w ramach konwersacji TLS przed ponownym wynegocjowaniem klucza tajnego. Podanie wartości 0 oznacza, że klucz tajny nie jest ponownie negocjowany. Liczba bajtów obejmuje informacje kontrolne wysyłane przez agent kanału komunikatów (MCA). Jeśli wartość tego atrybutu jest większa niż 0 i wartość atrybutu Okres pulsu w oknie Właściwości kanału jest większa niż 0, to klucz tajny jest również ponowne negocjowany przed wysłaniem lub odebraniem danych komunikatu zgodnie z pulsem kanału.
Nazwa węzła sieci Nazwa wyróżniająca (Distinguished Name - DN) menedżera kolejek na potrzeby protokołu TLS. Nazwa węzła sieci jest ustawiana w celu wskazania, że połączenia będą dozwolone wyłącznie tam, gdzie serwer zostanie pomyślnie uwierzytelniony jako serwer o konkretnej nazwie wyróżniającej.

Magazyny SSL/TLS

Opcję Włącz domyślne magazyny SSL należy wybrać, aby móc korzystać z magazynu zaufanych certyfikatów oraz magazynu certyfikatów osobistych.

Informacje dotyczące konfigurowania położenia oraz hasła bazy certyfikatów SSL/TLS w programie IBM MQ Explorer można znaleźć w sekcji Określanie domyślnego położenia i domyślnego hasła dla certyfikatów TLS.

Dzięki włączonej obsłudze domyślnych magazynów SSL/TLS program IBM MQ Explorer może używać certyfikatów z magazynu zaufanych certyfikatów (TrustStore) oraz magazynu kluczy (KeyStore) w celu nawiązywania połączeń TLS ze zdalnymi menedżerami kolejek.

Magazyny SSL/TLS dla wszystkich menedżerów kolejek znajdujących się w zestawie i połączonych z klientami mogą być zmieniane. Magazyny SSL/TLS mogą zostać przesłonięte podczas dodawania nowego zdalnego menedżera kolejek.