Настройка каналов TLS
В ходе настройки канала TLS на странице SSL окна Свойства канала можно указать спецификацию шифров. Канал можно дополнительно настроить для приема сертификатов только с теми атрибутами, которые соответствуют заданным значениям. Кроме того, можно дополнительно настроить канал администратора очереди таким образом, чтобы администратор очередей не устанавливал соединение, если инициирующая сторона не отправляет свой личный сертификат.
Об этой задаче
Для настройки каналов в IBM® MQ Explorer выполните следующие действия.
Процедура
- Откройте IBM MQ Explorer.
- На панели Навигатор разверните каталог Администраторы очередей, затем щелкните на каталоге Каналы.
- На панели Содержимое щелкните правой кнопкой мыши на канале и выберите Свойство.
- В окне Свойства откройте страницу SSL.
Результаты
На странице SSL окна Свойства канала выполните следующие задачи.
Установка безопасности сообщений
Обмен сообщениями с активированным TLS предполагает два метода обеспечения безопасности:
- Шифрование позволяет сделать сообщение нечитаемым в случае перехвата.
- Функция хеширования позволяет идентифицировать сообщение в случае его повреждения.
Сочетание этих методов называется спецификацией шифрования или CipherSpec. Для обоих концов канала необходимо установить одинаковые CipherSpec, в противном случае соединение TLS не будет установлено. Дополнительные сведения можно найти в разделе Защита в IBM Knowledge Center.
В окне Свойства на странице SSL выполните одно из следующих действий:
- В поле Стандартное шифрование выберите стандартное шифрование.
- Если администратор очередей установлен на платформе z/OS или IBM i, содержащей новые спецификации шифров CipherSpec, отсутствующие в предопределенном списке IBM MQ, укажите в поле Пользовательские шифры значение для CipherSpec с учетом применяемой платформы.
Фильтрования сертификатов для имени пользователя
Сертификаты содержат отличительное имя владельца идентификатора. Канал можно дополнительно настроить для приема сертификатов только с теми атрибутами, которые соответствуют заданным значениям. Для этого выберите опцию Применять сертификаты только с отличительными именами, соответствующими этим значениям.
В следующей таблице перечислены имена атрибутов, которые IBM MQ:
Имя атрибута | Назначение |
---|---|
SERIALNUMBER | Серийный номер сертификата |
Адрес электронной почты | |
E | Адрес электронной почты (устаревший параметр; в качестве замены применяется MAIL) |
UID или USERID | Идентификатор пользователя |
CN | Общее имя |
T | Должность |
OU | Подразделение |
DC | Компонент домена |
O | Название организации |
STREET | Улица / Первая строка адреса |
L | Район |
ST (или SP или S) | Название области или района |
PC | Почтовый индекс |
C | Страна |
UNSTRUCTUREDNAME | Имя хоста |
UNSTRUCTUREDADDRESS | IP-адрес |
DNQ | Спецификатор отличительного имени |
В поле Применять сертификаты только с отличительными именами, соответствующими этим значениям можно применять символы подстановки в начале или конце значения атрибута для замены нескольких символов. Например, для того чтобы принимать сертификаты только от одного пользователя, имя которого заканчивается на Smith, работающего в IBM в Великобритании, введите следующее значение:
CN=*Smith, O=IBM, C=GB
Идентификация сторон, инициирующих соединение с администраторами очередей
Когда другая сторона инициирует соединение TLS с администратором очередей, администратор очередей должен отправить личный сертификат инициирующей стороне. Кроме того, можно дополнительно настроить канал администратора очереди таким образом, чтобы администратор очередей не устанавливал соединение, если инициирующая сторона не отправляет свой личный сертификат. Для этого на странице SSL в окне Свойства канала выберите Требуется в списке Идентификация партнеров, инициирующих соединение.