Kanäle mit TLS sichern
Das Protokoll TLS (Transport Layer Security) ermöglicht Warteschlangenmanagern die sichere Kommunikation mit anderen Warteschlangenmanagern oder Clients.
Informationen zu diesem Vorgang
TLS-Konzepte
Eine TLS-gesicherte Verbindung ist auf folgende Arten abgesichert:
- Authentifizierung: Warteschlangenmanager oder Clients, die eine TLS-gesicherte Verbindung initialisieren, erhalten gesicherte Angaben zu der Identität des Warteschlangenmanagers, zu dem die Verbindung hergestellt wird. Ebenso können Warteschlangenmanager, bei denen Verbindungen eingehen, die Identität des Warteschlangenmanagers oder Clients prüfen, der die Verbindung initialisiert hat.
- Nachrichtenschutz: Durch die Verwendung eines eindeutigen Sicherheitsschlüssels verschlüsselt TLS, falls eine entsprechende Konfiguration vorliegt, sämtliche Daten, die über die Verbindung ausgetauscht werden. Dadurch ist gewährleistet, dass die Daten nicht gelesen werden können, wenn sie von unberechtigten Dritten abgefangen werden.
- Nachrichtenintegrität: Die Daten können über die Verbindung nicht manipuliert werden.
- Zertifizierungsstellenkette: Jedes Zertifikat in der Zertifizierungsstellenkette wird von der Entität unterzeichnet, die über ihr übergeordnetes Zertifikat in der Kette identifiziert wird. Am Anfang der Kette befindet sich das Stammzertifikat der Zertifizierungsstelle (Certification Authority, CA). Das Stammzertifikat wird immer von der Stamm-CA selbst unterzeichnet. Die Signaturen aller Zertifikate in der Kette müssen geprüft werden.
Übersicht des Ablaufs
Wie im Folgenden dargestellt, besteht die Sicherheit aus zwei Stufen:
Vorgehensweise
- Wenn ein Warteschlangenmanager eine Verbindung zu einem anderen Warteschlangenmanager herstellt, tauschen die beiden Warteschlangenmanager die üblichen TLS-Zertifikate aus und führen jeweils Gültigkeitsprüfungen durch. Werden diese bestanden, wird die Verbindung hergestellt. Voraussetzung für diesen Vorgang ist, dass sowohl die Warteschlangenmanager als auch die von ihnen verwendeten Kanäle mit den entsprechenden Zertifikatseinstellungen konfiguriert werden.
- Wenn Nachrichten über einen Warteschlangenmanager an einen anderen Warteschlangenmanager gesendet werden, werden die Daten im Allgemeinen mit einem Sitzungsschlüssel verschlüsselt, der während des Zertifikatsaustauschs eingerichtet wurde. Voraussetzung hierfür ist, dass die Kanäle mit den entsprechenden Verschlüsselungsangaben (CipherSpecs) konfiguriert werden.
Ergebnisse
Informationen zum Ablauf
Im Folgenden wird ein typischer Ablauf einer einfachen TLS-Verbindung zwischen dem WSM1 und WSM2 beschrieben:
- WSM1 stellt eine Verbindung zu WSM2 her.
- Das persönliche Zertifikat, das von WSM2 verwendet ist, wird an WSM1 gesendet.
- WSM1 authentifiziert das persönliche Zertifikat mithilfe der Kette von Zertifikaten einer Zertifizierungsstelle.
- WSM1 überprüft optional auf Zertifikatswiderruf, wenn OCSP (Online Certificate Status Protocol) auf der Serverplattform unterstützt wird. Weitere Informationen zu OCSP finden Sie unter Mit OCSP (Online Certificate Status Protocol) arbeiten.
- WSM1 überprüft das persönliche Zertifikat optional anhand der Zertifikatswiderrufsliste(Certificate Revocation List, CRL). Weitere Informationen finden Sie im Abschnitt TLS auf Warteschlangenmanagern konfigurieren.
- WSM1 akzeptiert optional anhand eines Filters nur persönliche Zertifikate, die zuvor definierten Peer-Namen entsprechen. Weitere Informationen finden Sie im Abschnitt TLS-Kanäle konfigurieren.
- WSM1 akzeptiert (falls alles in Ordnung ist) das persönliche Zertifikat von WSM2.
- Die gesicherte Verbindung ist jetzt hergestellt.
Die Sicherheit kann noch erhöht werden, indem WSM2 ein Zertifikat von WSM1 anfordert. In diesem Fall würde der folgende Ablauf eintreten:
- WSM1 sendet sein zugeordnetes persönliches Zertifikat an WSM2.
- WSM2 führt ebenfalls die oben beschriebenen Prüfungen (Schritt 3, 4 und 5) durch.
- Falls alles in Ordnung ist, akzeptiert WSM2 das persönliche Zertifikat von WSM1.
Die gesicherte Verbindung ist jetzt hergestellt.
Weitere Informationen finden Sie unter Sicherheit in der IBM Knowledge Center.