TLS로 채널 보안
큐 관리자는 TLS(Transport Layer Security) 프로토콜을 사용하여 다른 큐 관리자 또는 클라이언트와 안전하게 통신할 수 있습니다.
이 태스크 정보
TLS 개념
TLS 사용 가능 연결은 다음과 같은 방법으로 보안을 유지합니다.
- 인증: TLS 사용 가능 연결을 시작하는 큐 관리자 또는 클라이언트는 연결 중인 큐 관리자의 ID를 확인하고 연결을 수신하는 큐 관리자는 연결을 시작하는 큐 관리자 또는 클라이언트의 ID를 확인할 수 있습니다.
- 메시지 개인정보 보호정책: TLS가 고유 세션 키를 사용하여 연결을 통해 교환되는 모든 정보를 암호화합니다(이를 수행하도록 구성된 경우). 이로 이해 권한 부여되지 않은 관계자가 가로채는 경우 정보를 볼 수 없게 합니다.
- 메시지 무결성: 연결 시 데이터를 간섭할 수 없습니다.
- 인증 기관 체인: 인증 기관(CA) 체인의 각각의 인증서는 체인의 상위 인증서에서 식별하는 엔티티에 의해 사인됩니다. 체인의 헤드에는 루트 CA 인증서가 있습니다. 루트 인증서는 반드시 루트 CA가 직접 사인합니다. 체인의 모든 인증서 서명은 확인해야 합니다.
순서 개요
다음 단계에 설명된 대로 보안에 대한 두 가지 단계가 있습니다.
프로시저
- 큐 관리자가 다른 큐 관리자에 연결되면 두 큐 관리자가 표준 TLS 인증서 교환을 수행하고 유효성 검증 검사를 수행합니다. 유효성 확인에 성공하면, 연결이 설정됩니다. 이를 위해서는 큐 관리자와 여기에서 사용할 채널을 적절한 인증 설정으로 구성해야 합니다.
- 메시지가 채널에서 하나의 큐 관리자에서 다른 큐 관리자로 송신되면, 데이터는 일반적으로 인증 교환 중 설정된 세션 키를 사용하여 암호화됩니다. 이를 위해서는 적절한 CipherSpec을 사용할 채널을 구성해야 합니다.
결과
순서 세부사항
큐 관리자 QM1과 QM2 간의 단순 TLS 연결에 대한 일반적인 순서는 다음과 같습니다.
- QM2로 QM1을 연결합니다.
- QM2로 사용된 개인 인증서가 QM1에 송신됩니다.
- QM1이 인증 기관 인증서의 체인에 대응하는 개인 인증서를 인증합니다.
- 서버 플랫폼에서 OCSP(Online Certificate Status Protocol)가 지원되는 경우 QM1은 선택적으로 인증서 폐기를 점검합니다. OCSP에 대한 자세한 정보는 OCSP(Online Certificate Status Protocol)를 사용하여 작업의 내용을 참조하십시오.
- QM1은 인증서 폐기 목록(CRL)에 대응하는 개인 인증서를 선택적으로 점검합니다. 자세한 정보는 큐 관리자에서 TLS 구성의 내용을 참조하십시오.
- QM1이 정의된 피어 이름과 일치하는 개인 인증서만 승인하도록 선택적으로 필터를 적용합니다. 자세한 정보는 TLS 채널 구성의 내용을 참조하십시오.
- QM1은 (모두 정상적일 경우) QM2로부터의 개인 인증서를 승인합니다.
- 보안 연결이 이제 설정되었습니다.
추가 보안을 위해 QM2는 QM1로부터 인증서를 요청할 수 있으며, 이 경우에는 다음 단계도 발생할 수 있습니다.
- QM1이 지정된 개인 인증서를 QM2로 송신합니다.
- QM2이 이전에 표시된 점검(단계 3, 4 및 5)을 동일하게 적용합니다.
- QM2는 모두 정상적일 경우, QM1로부터의 개인 인증서를 승인합니다.
보안 연결이 이제 설정되었습니다.
자세한 정보는 IBM Knowledge Center에서 보안의 내용을 참조하십시오.