Csatornák biztonságossá tétele TLS protokollal
A TLS (Szállítási réteg biztonság) protokoll lehetővé teszi a sorkezelők számára, hogy biztonságosan kommunikáljanak más sorkezelőkkel vagy ügyfelekkel.
Erről a feladatról
TLS fogalmak
A TLS kapcsolat az alábbi módokon védett:
- Hitelesítés: A TLS kapcsolatot kezdeményező sorkezelők vagy ügyfelek számára biztosítva van a sorkezelő azonossága, amelyhez csatlakoznak, és a kapcsolatokat fogadó sorkezelők ellenőrizhetik a kapcsolatot kezdeményező sorkezelő vagy ügyfél azonosságát.
- Üzenet adatvédelme: Ha erre be van állítva, akkor a TLS egyedi munkamenet kulcs segítségével titkosít a kapcsolaton keresztül kicserélt minden információt. Ez biztosítja, hogy az információkat nem lehet megtekinteni, ha azok jogosulatlan felekhez kerülnek.
- Üzenet integritás: Az adatokat nem lehet megbolygatni a kapcsolaton keresztül.
- Tanúsítványhatóság lánc: A Tanúsítványhatóság (CA) láncban minden tanúsítványt aláír az egyed, amelyet a szülő tanúsítványa azonosít a láncban. A lánc végén a gyökér CA tanúsítvány található. A gyökér tanúsítványt mindig maga a gyökér tanúsítványhatóság írja alá. A láncban minden tanúsítvány aláírásának ellenőrzöttnek kell lennie.
Sorozat áttekintése
Az alábbi lépésekben leírtaknak megfelelően a biztonságnak két szakasza van.
Eljárás
- Amikor egy sorkezelő csatlakozik egy másik sorkezelőhöz, akkor végrehajtanak egy általános TLS tanúsítvány cserét, és érvényesítési ellenőrzéseket végeznek el. Ha az érvényesítés sikeres, akkor létrejön a kapcsolat. Ennek eléréséhez be kell állítania mindkét sorkezelőt és az általuk használt csatornákat a megfelelő tanúsítványbeállításokkal.
- Az üzenetek elküldésekor az egyik sorkezelőtől a másik sorkezelőhöz a csatornán keresztül, akkor az adatok általában titkosításra kerülnek a tanúsítványcsere során létrehozott munkamenet kulccsal. Ennek eléréséhez a használni kívánt csatornákat megfelelő CipherSpecs értékkel kell beállítani.
Eredmények
Sorozat részletei
A QM1 és QM2 sorkezelők közötti egyszerű TLS kapcsolat attribútum sorrendje a következő:
- A QM1 csatlakozik a QM2 sorkezelőhöz.
- A QM2 által használt személyes tanúsítvány elküldésre kerül a QM1 sorkezelőhöz.
- A QM1 hitelesíti a személyes tanúsítványt a tanúsítványhatóság tanúsítványainak láncával.
- A QM1 ellenőrizheti a tanúsítványok visszavonását is, amennyiben az Online tanúsítványállapot-protokoll (OCSP) támogatott a kiszolgáló platformon. Az OCSP protokollal kapcsolatos információkért tekintse meg a következő részt: Online tanúsítványállapot-protokoll (OCSP) kezelése.
- A QM1 ellenőrizheti a személyes tanúsítványt a Tanúsítvány visszavonási lista (CRL) segítségével is. További információk: TLS beállítása sorkezelőkön.
- A QM1 alkalmazhat egy szűrőt, amely csak olyan személyes tanúsítványokat fogad el, amelyek megfelelnek bizonyos meghatározott partner neveknek. További információk: TLS csatornák beállítása.
- A QM1 (ha mindent rendben talált) elfogadja a QM2 személyes tanúsítványát.
- Létrejött a biztonságos kapcsolat.
A nagyobb biztonság érdekében a QM2 tanúsítványt kérhet a QM1 sorkezelőtől, és ebben az esetben a következő lépések is megtörténnek:
- A QM1 elküldi a kijelölt személyes tanúsítványát a QM2 sorkezelőnek.
- A QM2 végrehajtja az előbbiekben bemutatott ellenőrzéseket (3. 4. és 5. lépés).
- A QM2 (ha mindent rendben talált) elfogadja a QM1 személyes tanúsítványát.
Létrejött a biztonságos kapcsolat.
További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása részét.