Proteger los canales con TLS

El protocolo TLS (Transport Layer Security) permite que los gestores de colas se comuniquen de forma segura con otros gestores de colas o clientes.

Acerca de esta tarea

Conceptos de TLS

Una conexión habilitada para TLS es segura de estas formas:

  • Autenticación: los gestores de colas o los clientes que inician una conexión habilitada para TLS están seguros de la identidad del gestor de colas al que se están conectando, y los gestores de colas que reciben las conexiones pueden comprobar la identidad del gestor de colas o del cliente que inicia la conexión.
  • Privacidad del mensaje: si se utiliza una clave de sesión exclusiva, TLS, si está así configurado, se cifra toda la información intercambiada a través de la conexión. Esto asegura que si la información es interceptada por alguien no autorizado, no podrá visualizarse.
  • Integridad del mensaje: los datos no pueden ser manipulados a través de la conexión.
  • Cadena Autoridad de certificación: Cada certificado de la cadena Autoridad de certificación está firmado por la entidad identificada por el certificado padre de la cadena. Al principio de la cadena se encuentra el certificado root de la autoridad de certificación (CA). El certificado raíz siempre lo firma la propia CA raíz. Las firmas de todos los certificados de la cadena deben verificarse.

Visión general de la secuencia

Hay dos etapas en la seguridad, según se describe en los pasos siguientes.

Procedimiento

  1. Cuando un gestor de colas se conecta con otro, los dos llevan a cabo un intercambio TLS estándar de certificados y realizan comprobaciones de validación. Si la validación es correcta, la conexión se establece. Para llevar esto a cabo, configure los dos gestores de colas y los canales que van a utilizar, con los valores de certificación adecuados.
  2. Cuando se envían mensajes desde un gestor de colas a otro a través de un canal, los datos se cifran por lo general por medio de una clave de sesión que se ha establecido durante el intercambio de certificados. Para conseguir esto, configure los canales que vaya a utilizar con las CipherSpecs adecuadas.

Resultados

Detalles de la secuencia

Una secuencia normal para una conexión TLS sencilla entre gestores de colas QM1 y QM2 sería como esta:

  1. QM1 se conecta a QM2.
  2. El certificado personal utilizado por QM2 se envía a QM1.
  3. QM1 autentica el certificado personal con la cadena de certificados de la autoridad de certificación.
  4. QM1 comprueba de forma opcional la revocación de certificados si se da soporte a al protocolo de estado de certificados en línea (OCSP) en la plataforma del servidor. Para obtener más información sobre OCSP, consulte: Cómo trabajar con el protocolo de estado de certificados en línea (OCSP).
  5. Opcionalmente, QM1 comprueba el certificado personal con la CRL Lista de revocación de certificados (CRL). Para obtener más información consulte: Configurar TLS en los gestores de colas.
  6. Opcionalmente, QM1 aplica un filtro para aceptar únicamente los certificados personales que se ajusten a los nombres de igual definidos. Para obtener más información consulte: Configuración de canales TLS.
  7. QM1 (si todo está bien) acepta el certificado personal de QM2.
  8. La conexión segura está establecida.

Si desea más medidas de seguridad, QM2 puede solicitar un certificado desde QM1 y en ese caso se producirán los pasos siguientes:

  1. QM1 envía su certificado personal asignado a QM2.
  2. QM2 aplica las mismas comprobaciones (pasos 3, 4 y 5) que las mostradas anteriormente.
  3. QM2, si todo está bien, acepta el certificado personal de QM1.

La conexión segura está establecida.

Para obtener más información, consulte Seguridad en IBM Knowledge Center.