Configuration de canaux TLS
Pour configurer des canaux TLS, utilisez la page SSL de la boîte de dialogue Propriétés de canal afin de définir la spécification de chiffrement à appliquer. Si vous le souhaitez, vous pouvez configurer un canal afin qu'il n'accepte que les certificats dont les attributs dans le nom distinctif du propriétaire correspondent aux valeurs données. Vous pouvez également configurer un canal de gestionnaire de files d'attente pour que ce dernier refuse la connexion si la partie initialisante n'envoie pas son propre certificat personnel.
Pourquoi et quand exécuter cette tâche
Pour configurer des canaux dans IBM® MQ Explorer, procédez comme suit.
Procédure
- Ouvrez IBM MQ Explorer.
- Dans la vue Navigateur, développez le dossier Gestionnaires de files d'attente, puis cliquez sur le dossier Canaux.
- Dans la vue Contenu, cliquez avec le bouton droit de la souris sur le canal, puis cliquez sur Propriétés.
- Dans la boîte de dialogue Propriétés, ouvrez la page SSL.
Résultats
Utilisez la page SSL de la boîte de dialogue Propriétés de canal pour les tâches suivantes.
Configuration de la sécurité des messages
La messagerie compatible avec TLS propose deux méthodes pour sécuriser les messages :
- Le chiffrement, qui assure que le message ne pourra être lu, même s'il est intercepté.
- Les fonctions de hachage qui assurent que toute modification du message sera détectée.
La combinaison de ces méthodes est appelée CipherSpec, ou spécification de chiffrement. Il faut que le même CipherSpec soit défini pour chaque extrémité d'un canal ; sinon la messagerie TLS ne peut pas fonctionner. Pour plus d'informations, voir Securing dans l'IBM Knowledge Center.
Dans la page SSL de la boîte de dialogue Propriétés, procédez comme suit :
- Dans la zone Chiffrements standard, sélectionnez un chiffrement standard.
- Si vous êtes un utilisateur avancé et que vous administrez un gestionnaire de files d'attente sur une plateforme z/OS ou IBM i incluant de nouveaux CipherSpecs ne figurant pas dans la liste prédéfinie d'IBM MQ, entrez une valeur spécifique à la plateforme pour un CipherSpec dans la zone Chiffrements personnalisés.
Filtrage de certificats selon le nom de leur propriétaire
Les certificats contiennent le nom distinctif du propriétaire du certificat. Si vous le souhaitez, vous pouvez configurer le canal afin qu'il n'accepte que les certificats dont les attributs dans le nom distinctif du propriétaire correspondent aux valeurs données. Pour ce faire, cochez la case Accepter uniquement les certificats dont les noms distinctifs correspondent à ces valeurs.
Les noms d'attributs qu'IBM MQ peut filtrer figurent dans le tableau ci-après :
Noms d'attributs | Signification |
---|---|
SERIALNUMBER | Numéro de série du certificat |
Adresse électronique | |
E | Adresse électronique (dépréciée dans la préférence dans MAIL) |
UID ou USERID | ID utilisateur |
CN | Nom CN |
T | Titre |
OU | Nom d'unité organisationnelle |
DC | Composant de domaine |
O | Nom de l'organisation |
STREET | Rue/première ligne de l'adresse |
L | Nom du lieu |
ST (ou SP ou S) | Nom du département |
PC | Code postal |
C | Pays |
UNSTRUCTUREDNAME | Nom d'hôte |
UNSTRUCTUREDADDRESS | Adresse IP |
DNQ | Qualificateur de nom distinctif |
Dans la zone Seuls les certificats dotés de noms distinctifs correspondant à ces valeurs sont acceptés, vous pouvez utiliser le caractère générique(*) au début ou à la fin de la valeur d'attribut pour représenter des caractères. Par exemple, pour n'accepter de certificats qu'en provenance de tout utilisateur dont le nom se termine par Smith et travaillant pour IBM dans GB, tapez :
CN=*Smith, O=IBM, C=GB
Authentification des parties initialisant des connexions à un gestionnaire de files d'attente
Lorsqu'une autre partie initialise une connexion TLS sur un gestionnaire de files d'attente, celui-ci doit lui envoyer son certificat personnel comme preuve d'identité. Vous pouvez également configurer le canal de gestionnaire de files d'attente pour que ce dernier refuse la connexion si la partie initialisante n'envoie pas son propre certificat personnel. Pour ce faire, dans la page SSL de la boîte de dialogue Propriétés du canal, sélectionnez Requis dans la liste Authentification des parties initialisant les connexions.