Configuration de canaux TLS

Pour configurer des canaux TLS, utilisez la page SSL de la boîte de dialogue Propriétés de canal afin de définir la spécification de chiffrement à appliquer. Si vous le souhaitez, vous pouvez configurer un canal afin qu'il n'accepte que les certificats dont les attributs dans le nom distinctif du propriétaire correspondent aux valeurs données. Vous pouvez également configurer un canal de gestionnaire de files d'attente pour que ce dernier refuse la connexion si la partie initialisante n'envoie pas son propre certificat personnel.

Pourquoi et quand exécuter cette tâche

Pour configurer des canaux dans IBM® MQ Explorer, procédez comme suit.

Procédure

  1. Ouvrez IBM MQ Explorer.
  2. Dans la vue Navigateur, développez le dossier Gestionnaires de files d'attente, puis cliquez sur le dossier Canaux.
  3. Dans la vue Contenu, cliquez avec le bouton droit de la souris sur le canal, puis cliquez sur Propriétés.
  4. Dans la boîte de dialogue Propriétés, ouvrez la page SSL.

Résultats

Utilisez la page SSL de la boîte de dialogue Propriétés de canal pour les tâches suivantes.

Configuration de la sécurité des messages

La messagerie compatible avec TLS propose deux méthodes pour sécuriser les messages :

  • Le chiffrement, qui assure que le message ne pourra être lu, même s'il est intercepté.
  • Les fonctions de hachage qui assurent que toute modification du message sera détectée.

La combinaison de ces méthodes est appelée CipherSpec, ou spécification de chiffrement. Il faut que le même CipherSpec soit défini pour chaque extrémité d'un canal ; sinon la messagerie TLS ne peut pas fonctionner. Pour plus d'informations, voir Securing dans l'IBM Knowledge Center.

Dans la page SSL de la boîte de dialogue Propriétés, procédez comme suit :

  • Dans la zone Chiffrements standard, sélectionnez un chiffrement standard.
  • Si vous êtes un utilisateur avancé et que vous administrez un gestionnaire de files d'attente sur une plateforme z/OS ou IBM i incluant de nouveaux CipherSpecs ne figurant pas dans la liste prédéfinie d'IBM MQ, entrez une valeur spécifique à la plateforme pour un CipherSpec dans la zone Chiffrements personnalisés.

Filtrage de certificats selon le nom de leur propriétaire

Les certificats contiennent le nom distinctif du propriétaire du certificat. Si vous le souhaitez, vous pouvez configurer le canal afin qu'il n'accepte que les certificats dont les attributs dans le nom distinctif du propriétaire correspondent aux valeurs données. Pour ce faire, cochez la case Accepter uniquement les certificats dont les noms distinctifs correspondent à ces valeurs.

Les noms d'attributs qu'IBM MQ peut filtrer figurent dans le tableau ci-après :

Noms d'attributs Signification
SERIALNUMBER Numéro de série du certificat
MAIL Adresse électronique
E Adresse électronique (dépréciée dans la préférence dans MAIL)
UID ou USERID ID utilisateur
CN Nom CN
T Titre
OU Nom d'unité organisationnelle
DC Composant de domaine
O Nom de l'organisation
STREET Rue/première ligne de l'adresse
L Nom du lieu
ST (ou SP ou S) Nom du département
PC Code postal
C Pays
UNSTRUCTUREDNAME Nom d'hôte
UNSTRUCTUREDADDRESS Adresse IP
DNQ Qualificateur de nom distinctif

Dans la zone Seuls les certificats dotés de noms distinctifs correspondant à ces valeurs sont acceptés, vous pouvez utiliser le caractère générique(*) au début ou à la fin de la valeur d'attribut pour représenter des caractères. Par exemple, pour n'accepter de certificats qu'en provenance de tout utilisateur dont le nom se termine par Smith et travaillant pour IBM dans GB, tapez :


CN=*Smith, O=IBM, C=GB

Authentification des parties initialisant des connexions à un gestionnaire de files d'attente

Lorsqu'une autre partie initialise une connexion TLS sur un gestionnaire de files d'attente, celui-ci doit lui envoyer son certificat personnel comme preuve d'identité. Vous pouvez également configurer le canal de gestionnaire de files d'attente pour que ce dernier refuse la connexion si la partie initialisante n'envoie pas son propre certificat personnel. Pour ce faire, dans la page SSL de la boîte de dialogue Propriétés du canal, sélectionnez Requis dans la liste Authentification des parties initialisant les connexions.