Konfigurace kanálů TLS
Chcete-li nakonfigurovat kanály TLS, použijte stránku SSL dialogového okna Vlastnosti kanálu, abyste nadefinovali specifikaci šifrování, která se má použít. Kanál můžete volitelně konfigurovat tak, aby přijímal pouze certifikáty s atributy v rozlišujícím názvu vlastníka, které odpovídají zadaným hodnotám. Volitelně můžete též konfigurovat kanál správce front tak, aby správce front odmítl připojení v případě, že inicializující strana neodešle vlastní osobní certifikát.
Informace o této úloze
Chcete-li nakonfigurovat kanály v produktu IBM® MQ Explorer, postupujte takto.
Postup
- Otevřete produkt IBM MQ Explorer.
- V pohledu Navigátor rozbalte složku Správci front a poté klepněte na složku Kanály.
- V pohledu Obsah klepněte pravým tlačítkem myši na kanál a pak klepněte na volbu Vlastnosti.
- V dialogovém okně Vlastnosti přejděte na stránku SSL.
Výsledky
Na stránce SSL v dialogovém okně Vlastnosti kanálu proveďte následující úlohy.
Nastavení zabezpečení zpráv
Systém zpráv se zabezpečením TLS nabízí dvě metody pro zabezpečení zpráv:
- Díky šifrování je zajištěno, že zpráva je při případném zachycení nečitelná.
- Díky funkcím typu hash lze odhalit případný zásah do integrity zpráv.
Kombinace těchto dvou metod je označována termínem specifikace CipherSpec. Pro oba konce kanálu musí být nastavena stejná specifikace CipherSpec, jinak systém zpráv s povoleným zabezpečením TLS selže. Další informace viz Zabezpečení v Centrum znalostí IBM.
Na stránce SSL dialogového okna Vlastnosti proveďte některou z následujících úloh:
- V poli Standardní šifrování vyberte standardní šifrování.
- Jste-li zkušenými uživateli a provádíte-li úkony administrace správce front na platformě z/OS nebo IBM i obsahující nové specifikace CipherSpec, které nejsou uvedeny na předdefinovaném seznamu produktu IBM MQ, zadejte konkrétní hodnotu specifikace CipherSpec pro danou platformu do pole Vlastní šifrování.
Filtrování certifikátů podle jmen vlastníků
Certifikáty obsahují rozlišující název svého vlastníka. Kanál můžete volitelně konfigurovat tak, aby přijímal pouze certifikáty s atributy v rozlišujícím názvu vlastníka, které odpovídají zadaným hodnotám. To lze provést zaškrtnutím políčka Přijmout pouze certifikáty s rozlišujícími názvy shodnými s těmito hodnotami.
Názvy atributů, které může produkt IBM MQ filtrovat, jsou uvedeny v následující tabulce:
Názvy atributů | Význam |
---|---|
SERIALNUMBER | Sériové číslo certifikátu |
E-mailová adresa | |
E | E-mailová adresa (zamítnuto ve prospěch volby MAIL) |
UID nebo USERID | Identifikátor uživatele |
CN | Obecný název |
T | Titulek |
OU | Název organizační jednotky |
DC | Komponenta domény |
O | Název organizace |
STREET | Ulice/první řádek adresy |
L | Název umístění |
ST (nebo SP či S) | Název státu nebo správního celku |
PC | PSČ |
C | Země |
UNSTRUCTUREDNAME | Název hostitele |
UNSTRUCTUREDADDRESS | Adresa IP |
DNQ | Kvalifikátor rozlišujícího názvu |
V poli Přijmout pouze certifikáty s rozlišujícími názvy shodnými s těmito hodnotami můžete na začátku nebo na konci hodnoty atributu namísto libovolného počtu znaků použít zástupné znaky (*). Chcete-li například přijímat pouze certifikáty od osob, jejichž jméno končí na Smith a které pracují pro společnost IBM v zemi GB, zadejte:
CN=*Smith, O=IBM, C=GB
Ověřování stran inicializujících připojení ke správci front
Pokud připojení s povoleným zabezpečením ke správci front inicializuje jiná strana, musí správce front inicializující straně odeslat jako důkaz identity osobní certifikát. Volitelně můžete též konfigurovat kanál správce front tak, aby správce front odmítl připojení v případě, že inicializující strana neodešle vlastní osobní certifikát. Chcete-li provést tuto akci, vyberte na stránce SSL v dialogovém okně Vlastnosti kanálu v seznamu Ověřování stran navazujících připojení položku Vyžadováno.