TLS-Kanäle konfigurieren
Zum Konfigurieren von TLS-Kanälen definieren Sie auf der Seite SSL des Dialogs mit den Kanaleigenschaften die zu verwendende Verschlüsselungsspezifikation. Optional können Sie den Kanal auch so konfigurieren, dass nur Zertifikate akzeptiert werden, deren Attribute im DN des Eigners bestimmten Werten entsprechen. Auch den Kanal des Warteschlangenmanagers können Sie optional so konfigurieren, dass der Warteschlangenmanager die Verbindung ablehnt, wenn die einleitende Partei kein persönliches Zertifikat sendet.
Informationen zu diesem Vorgang
Führen Sie zum Konfigurieren von Kanälen in IBM® MQ Explorer die folgenden Schritte aus.
Vorgehensweise
- Öffnen Sie IBM MQ Explorer.
- Erweitern Sie in der Navigatoransicht den Ordner Warteschlangenmanager und klicken Sie anschließend auf den Ordner Kanäle.
- Klicken Sie in der Inhaltsansicht mit der rechten Maustaste auf den Kanal und klicken Sie dann auf Eigenschaften.
- Öffnen Sie im Dialog Eigenschaften die Seite SSL.
Ergebnisse
Führen Sie auf der Seite SSL des Dialogs mit den Kanaleigenschaften die folgenden Tasks aus.
Festlegen der Nachrichtensicherheit
Die TLS-gesicherte Nachrichtenübertragung stellt zwei Methoden zur Gewährleistung der Nachrichtensicherheit bereit:
- Durch die Verschlüsselung wird sichergestellt, dass eine unbefugt abgefangene Nachricht unlesbar ist.
- Durch Hash-Funktionen wird eine Änderung der Nachricht entdeckt.
Die Kombination dieser Methoden wird Verschlüsselungsspezifikation oder CipherSpec genannt. Es ist wichtig, dass für beide Kanalenden dieselbe CipherSpec festgelegt wird, da andernfalls die TLS-gesicherte Nachrichtenübertragung fehlschlägt. Weitere Informationen finden Sie unter Sicherheit in der IBM Knowledge Center.
Führen Sie auf der Seite SSL des Dialogs Eigenschaften eine der folgenden Aktionen aus:
- Wählen Sie im Feld Standardverschlüsselung eine Standardverschlüsselung aus.
- Wenn Sie ein fortgeschrittener Benutzer sind und auf einer z/OS- oder IBM i:-Plattform einen Warteschlangenmanager verwalten, der neue CipherSpecs enthält, die nicht in der vordefinierten IBM MQ-Liste enthalten sind, geben Sie im Feld Angepasste Verschlüsselungen einen plattformspezifischen Wert für eine CipherSpec ein.
Zertifikate nach dem Namen des zugehörigen Eigners filtern
Zertifikate enthalten den definierten Namen (DN) des Zertifikateigners. Sie können den Kanal optional so konfigurieren, dass nur Zertifikate akzeptiert werden, deren Attribute im DN des Eigners bestimmten Werten entsprechen. Wählen Sie in diesem Fall das Kontrollkästchen Nur Zertifikate mit den folgenden DNs (Distinguished Names) akzeptieren aus.
In der folgenden Tabelle werden Attributnamen aufgeführt, die von IBM MQ gefiltert werden können:
Attributnamen | Bedeutung |
---|---|
SERIALNUMBER | Seriennummer des Zertifikats |
E-Mail-Adresse | |
E | E-Mail-Adresse (wird nicht weiter unterstützt; MAIL wird verwendet) |
UID oder USERID | Benutzer-ID |
CN | Allgemeiner Name |
T | Titel |
OU | Name der Organisationseinheit |
DC | Domänenkomponente |
O | Name der Organisation |
STREET | Straße/erste Adresszeile |
L | Ortsname |
ST (oder SP oder S) | Name des Staates oder Bundeslandes |
PC | Postleitzahl |
C | Land |
UNSTRUCTUREDNAME | Hostname |
UNSTRUCTUREDADDRESS | IP-Adresse |
DNQ | Qualifikationsmerkmal für definierten Namen |
Im Feld Nur Zertifikate mit den folgenden definierten Namen (DNs) akzeptieren kann am Anfang oder Ende des Peernamens ein Platzhalterzeichen (*) verwendet werden, das eine beliebige Anzahl an Zeichen ersetzt. Sollen beispielsweise nur Zertifikate von Personen, die einen Namen haben, der mit Smith endet, und die für IBM in Großbritannien (GB) arbeiten, akzeptiert werden, muss folgender Wert angegeben werden:
CN=*Smith, O=IBM, C=GB
Authentifizierung von Parteien, die Verbindungen zu Warteschlangenmanagern herstellen
Wenn eine andere Partei eine TLS-gesicherte Verbindung zu einem Warteschlangenmanager einleitet, muss der Warteschlangenmanager sein persönliches Zertifikat als Identitätsnachweis an die einleitende Partei senden. Optional können Sie auch den Kanal des Warteschlangenmanagers so konfigurieren, dass der Warteschlangenmanager die Verbindung ablehnt, wenn die einleitende Partei kein persönliches Zertifikat sendet. Wählen Sie in diesem Fall auf der Seite SSL des Dialogs mit den Kanaleigenschaften in der Liste Authentifizierung von Verbindungen einleitenden Parteien die Option Erforderlich aus.