TLS csatornák beállítása
A TLS csatornák beállításához a Csatornatulajdonságok párbeszédablak SSL oldalát kell használnia, hogy megadja a használandó rejtjel-meghatározást. Opcionálisan úgy is beállíthat egy csatornát, hogy csak olyan tanúsítványokat fogadjon el, amelyekben a tulajdonos megkülönböztetett nevében lévő attribútumok megegyeznek bizonyos megadott értékekkel. Továbbá egy sorkezelő csatornát úgy is beállíthat, hogy a sorkezelő elutasítsa a kapcsolatot, ha a kezdeményező fél nem küldi el a saját személyes tanúsítványát.
Erről a feladatról
Ahhoz, hogy csatornákat állítson be az IBM® MQ Explorer programban, tegye a következőket.
Eljárás
- Nyissa meg a IBM MQ Explorer alkalmazást.
- A Navigátor nézetben bontsa ki a Sorkezelők mappát, majd kattintson a Csatornák mappára.
- A Tartalom nézetben kattintson a jobb egérgombbal a csatornára, majd válassza az előugró menü Tulajdonságok menüpontját.
- A Tulajdonságok párbeszédablakban nyissa meg az SSL oldalt.
Eredmények
A Csatornatulajdonságok párbeszédablak SSL oldalát az alábbi feladatokhoz használhatja.
Üzenet biztonságának beállítása
A TLS protokollt használó üzenetkezelés két módszert kínál az üzenetbiztonság biztosításához:
- A titkosítás biztosítja, hogy ha az üzenetet elfogják, akkor az olvashatatlan legyen.
- A kivonatolási funkció biztosítja, hogy ha az üzenetet megváltoztatják, akkor ez észlelésre kerüljön.
Ennek a két módszernek a kombinációja a rejtjel-meghatározás, más néven CipherSpec. Egy csatorna mindkét végén ugyanazt a CipherSpec meghatározást kell beállítani, ellenkező esetben a TLS használatára felkészített üzenetkezelés meghiúsul. További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása témakörét.
A Tulajdonságok párbeszédablak SSL oldalán tegye az alábbiak egyikét.
- Az Általános rejtjel mezőből válasszon ki egy általános rejtjelet.
- Ha haladó felhasználó és olyan sorkezelőt adminisztrál egy z/OS vagy IBM i platformon, amely a IBM MQ előre meghatározott listájában nem szereplő új rejtjel-meghatározásokat (CipherSpec) tartalmaz, akkor írjon be egy platform-specifikus értéket a CipherSpec számára az Egyéni rejtjelek mezőbe.
Tanúsítványok szűrése tulajdonosuk neve alapján
A tanúsítványok tartalmazzák a tanúsítvány tulajdonosának megkülönböztetett nevét. A csatornát beállíthatja úgy, hogy csak olyan tanúsítványokat fogadjon el, amelyekben a tulajdonos megkülönböztetett nevében lévő attribútumok megegyeznek bizonyos megadott értékekkel. Ehhez jelölje be a Csak olyan tanúsítványok elfogadása, amelyek Megkülönböztetett nevei megegyeznek ezekkel az értékekkel jelölőnégyzetet.
A IBM MQ által szűrhető attribútumneveket az alábbi táblázat tartalmazza:
Attribútumnév | Jelentés |
---|---|
SERIALNUMBER | Tanúsítvány sorozatszáma |
E-mail cím | |
E | E-mail cím (elavult, használja helyette a MAIL rész-karaktersorozatot) |
UID vagy USERID | Felhasználói azonosító |
CN | Általános név |
T | Cím |
OU | Szervezeti egység neve |
DC | Tartomány összetevő |
O | Szervezet neve |
STREET | Utca / A cím első sora |
L | Helység neve |
ST (vagy SP, illetve S) | Állam vagy tartomány neve |
PC | Postai irányítószám |
C | Ország |
UNSTRUCTUREDNAME | Hosztnév |
UNSTRUCTUREDADDRESS | IP cím |
DNQ | Megkülönböztetett név minősítője |
A Csak olyan tanúsítványok elfogadása, amelyek Megkülönböztetett nevei megegyeznek ezekkel az értékekkel mezőben használhatja a (*) helyettesítő karaktert az attribútumérték elején vagy végén bármennyi karakter helyettesítéséhez. Például tanúsítványok elfogadása olyan személyektől, akiknek a vezetékneve Smith és az IBM dolgozói Angliában (országkód: GB), írja be a következőt:
CN=*Smith, O=IBM, C=GB
Sorkezelőhöz kapcsolatot kezdeményező felek hitelesítése
Amikor egy másik fél TLS kapcsolatot kezdeményez a sorkezelővel, akkor a sorkezelőnek el kell küldenie a személyes tanúsítványát a kezdeményező félnek az azonosság ellenőrzéséhez. A sorkezelő csatornáját választhatóan beállíthatja úgy is, hogy a sorkezelő elutasítsa a kapcsolatot, ha a kezdeményező fél nem küldi el a saját személyes tanúsítványát. Ehhez a Csatornatulajdonságok párbeszédablak SSL oldalán válassza ki a Szükséges beállítást a Kapcsolatokat kezdeményező felek hitelesítése listából.