Konfigurowanie kanałów TLS

Aby skonfigurować kanały TLS, należy na stronie SSL okna dialogowego Właściwości kanału zdefiniować specyfikację szyfru, która ma być używana. Opcjonalnie można skonfigurować kanał w celu akceptowania tylko certyfikatów z atrybutami w nazwie wyróżniającej właściciela, które są zgodne z podanymi wartościami. Opcjonalnie można także skonfigurować kanał menedżera kolejek, tak aby menedżer kolejek odrzucał połączenie, jeśli strona inicjująca nie wyśle certyfikatu osobistego.

O tym zadaniu

Aby skonfigurować kanały w programie IBM® MQ Explorer, wykonaj następujące kroki.

Procedura

  1. Otwórz program IBM MQ Explorer.
  2. W widoku Nawigator rozwiń folder Menedżery kolejek, a następnie kliknij folder Kanały.
  3. W widoku Zawartość kliknij prawym przyciskiem myszy kanał, a następnie kliknij opcję Właściwości.
  4. W oknie dialogowym Właściwości otwórz stronę SSL.

Wyniki

Na stronie SSL w oknie dialogowym Właściwości kanału można wykonywać następujące zadania.

Ustawianie zabezpieczeń komunikatu

Przesyłanie komunikatów z włączonym TLS oferuje dwie metody zabezpieczania komunikatu:

  • Szyfrowanie gwarantuje, że w przypadku przechwycenia komunikat nie zostanie odczytany.
  • Funkcje mieszania gwarantują, że w przypadku wykrycia komunikat zostanie zmieniony.

Kombinacja tych metod jest nazywana specyfikacją szyfrowania (cipher specification) lub CipherSpec. Dla obu końców kanału musi zostać ustawiony taki sam atrybut CipherSpec, ponieważ w przeciwnym razie przesyłanie komunikatów z włączonym protokołem TLS zakończy się niepowodzeniem. Więcej informacji zawiera sekcja Zabezpieczania w Centrum Wiedzy IBM.

Na stronie SSL okna dialogowego Właściwości wykonaj jedną z następujących czynności:

  • W polu Szyfrowanie standardowe wybierz szyfrowanie standardowe.
  • Jeśli jesteś użytkownikiem zaawansowanym i administrujesz menedżerem kolejek na platformie z/OS lub IBM i obejmującej nowe atrybuty CipherSpec, które nie znajdują się na predefiniowanej liście produktu IBM MQ, wprowadź specyficzną dla platformy wartość CipherSpec w polu Szyfry dostosowane.

Filtrowanie certyfikatów według nazwy właściciela

Certyfikaty zawierają nazwę wyróżniającą właściciela certyfikatu. Opcjonalnie można skonfigurować kanał w celu akceptowania tylko certyfikatów z atrybutami w nazwie wyróżniającej właściciela, które są zgodne z podanymi wartościami. Aby to zrobić, należy zaznaczyć pole wyboru Akceptuj jedynie certyfikaty z nazwami wyróżniającymi zgodnymi z podanymi wartościami.

Nazwy atrybutów, które mogą być filtrowane przez produkt IBM MQ, zostały przedstawione w następującej tabeli:

Nazwy atrybutów Znaczenie
SERIALNUMBER Numer seryjny certyfikatu
MAIL Adres e-mail
E Adres e-mail (nieaktualny, zastąpiony podłańcuchem MAIL)
UID lub USERID Identyfikator użytkownika
CN Nazwa zwykła
T Tytuł
OU Nazwa jednostki organizacyjnej
DC Komponent domeny
O Nazwa organizacji
STREET Ulica / Pierwszy wiersz adresu
L Nazwa miejscowości
ST, SP lub S Nazwa województwa lub rejonu
PC Kod pocztowy
C Kraj
UNSTRUCTUREDNAME Nazwa hosta
UNSTRUCTUREDADDRESS Adres IP
DNQ Kwalifikator nazwy wyróżniającej

W polu Akceptuj jedynie certyfikaty z nazwami wyróżniającymi zgodnymi z podanymi wartościami można użyć znaku zastępczego (*) na początku lub końcu wartości atrybutu zamiast dowolnej cyfry lub znaku. Na przykład, aby akceptować tylko certyfikaty otrzymane od osoby o nazwisku Smith pracującej dla firmy IBM w Anglii (GB), wpisz:


CN=*Smith, O=IBM, C=GB

Uwierzytelnianie stron inicjujących połączenia z menedżerem kolejek

Jeśli strona inicjuje połączenie z włączonym TLS z menedżerem kolejek, menedżer kolejek musi wysłać certyfikat osobisty do strony inicjującej jako dowód tożsamości. Opcjonalnie można także skonfigurować kanał menedżera kolejek, tak aby menedżer kolejek odrzucał połączenie, jeśli strona inicjująca nie wyśle certyfikatu osobistego. Aby to zrobić, na stronie SSL okna dialogowego Właściwości kanału należy wybrać opcję Wymagane z listy Uwierzytelnianie stron inicjujących połączenia.