Zabezpečení kanálů pomocí protokolu TLS

Protokol TLS (Transport Layer Security) umožňuje správcům front zabezpečenou komunikaci s dalšími správci front a klienty.

Informace o této úloze

Koncepce zabezpečení TLS

Připojení s povoleným protokolem TLS je zabezpečeno následujícím způsobem:

  • Ověřování: Pro správce front nebo klienty inicializující připojení s povoleným zabezpečením TLS je ověřena identita správce front, k němuž se připojují. Naopak správci front přijímající připojení mohou ověřit identitu správce front nebo klienta, který inicializuje připojení.
  • Soukromí zpráv: Při odpovídající konfiguraci služba zabezpečení TLS zašifruje s použitím jedinečného klíče relace všechny informace, které jsou předávány prostřednictvím připojení. Tím je zajištěno, že neoprávněné subjekty nemohou při náhodném či cíleném zachycení tyto informace zobrazit.
  • Integrita zpráv: Data nelze při průchodu připojením zobrazit.
  • Řetězec certifikačních autorit: Každý certifikát v řetězci certifikačních autorit (CA) je podepsán entitou identifikovanou nadřízeným certifikátem v řetězci. Řetězec začíná certifikátem kořenové CA. Kořenový certifikát je vždy podepsán samotnou kořenovou certifikační autoritou. Podpisy všech certifikátů v řetězci musí být ověřeny.

Průběh připojení - přehled

Zabezpečení má dvě úrovně, jak je popsáno v následujícím postupu:

Postup

  1. Jakmile se některý správce front připojí k jinému správci front, oba provedou standardní vzájemnou výměnu certifikátů standardního zabezpečení TLS a také ověřovací testy. Pokud je ověření úspěšné, bude připojení navázáno. K provedení této operace je nutné konfigurovat oba správce front a používané kanály pomocí parametrů příslušných certifikátů.
  2. Při odesílání zpráv z jednoho správce front do jiného prostřednictvím některého kanálu budou data obecně zašifrována s použitím klíče relace vytvořeného během výměny certifikátů. K této operaci je nutné konfigurovat kanály, které budete používat, s odpovídající specifikací CipherSpecs.

Výsledky

Podrobnosti průběhu

Obvyklý průběh při navazování jednoduchého připojení TLS mezi správci front QM1 a QM2 je následující:

  1. Správce QM1 se připojí ke správci QM2.
  2. Osobní certifikát používaný správcem QM2 je odeslán správci QM1.
  3. Správce QM1 ověří osobní certifikát podle údajů řetězce certifikátů certifikačních autorit.
  4. Správce QM1 volitelně zkontroluje, zda nebyl certifikát odvolán, je-li na platformě serveru podporován protokol OCSP (Online Certificate Status Protocol). Další informace o protokolu OCSP viz Práce s protokolem OCSP (Online Certificate Status Protocol).
  5. Správce QM1 volitelně ověří osobní certifikát podle údajů ze seznamu odvolaných certifikátů (Certificate Revocation List, CRL). Další informace viz Konfigurace TLS pro správce front.
  6. Správce front QM1 volitelně použije filtr s cílem přijímat pouze osobní certifikáty, které odpovídají jakýmkoli definovaným názvům partnerů. Další informace viz Konfigurace kanálů TLS.
  7. V případě, že je vše v pořádku, správce QM1 přijme osobní certifikát od správce QM2.
  8. V tomto okamžiku je vytvořeno zabezpečené připojení.

Je-li požadována vyšší úroveň zabezpečení, správce front QM2 si může vyžádat certifikát od správce QM1. V tomto případě jsou provedeny také následující kroky:

  1. Správce QM1 odešle přiřazený osobní certifikát správci QM2.
  2. Správce QM2 provede stejné ověřovací kroky (kroky 3, 4 a 5) z předchozího uvedeného postupu.
  3. V případě, že je vše v pořádku, správce QM2 přijme osobní certifikát od správce QM1.

V tomto okamžiku je vytvořeno zabezpečené připojení.

Další informace viz Zabezpečení v Centrum znalostí IBM.