TLS csatornák beállítása

A TLS csatornák beállításához a Csatornatulajdonságok párbeszédablak SSL oldalát kell használnia, hogy megadja a használandó rejtjel-meghatározást. Opcionálisan úgy is beállíthat egy csatornát, hogy csak olyan tanúsítványokat fogadjon el, amelyekben a tulajdonos megkülönböztetett nevében lévő attribútumok megegyeznek bizonyos megadott értékekkel. Továbbá egy sorkezelő csatornát úgy is beállíthat, hogy a sorkezelő elutasítsa a kapcsolatot, ha a kezdeményező fél nem küldi el a saját személyes tanúsítványát.

Erről a feladatról

Ahhoz, hogy csatornákat állítson be az IBM® MQ Explorer programban, tegye a következőket.

Eljárás

  1. Nyissa meg a IBM MQ Explorer alkalmazást.
  2. A Navigátor nézetben bontsa ki a Sorkezelők mappát, majd kattintson a Csatornák mappára.
  3. A Tartalom nézetben kattintson a jobb egérgombbal a csatornára, majd válassza az előugró menü Tulajdonságok menüpontját.
  4. A Tulajdonságok párbeszédablakban nyissa meg az SSL oldalt.

Eredmények

A Csatornatulajdonságok párbeszédablak SSL oldalát az alábbi feladatokhoz használhatja.

Üzenet biztonságának beállítása

A TLS protokollt használó üzenetkezelés két módszert kínál az üzenetbiztonság biztosításához:

  • A titkosítás biztosítja, hogy ha az üzenetet elfogják, akkor az olvashatatlan legyen.
  • A kivonatolási funkció biztosítja, hogy ha az üzenetet megváltoztatják, akkor ez észlelésre kerüljön.

Ennek a két módszernek a kombinációja a rejtjel-meghatározás, más néven CipherSpec. Egy csatorna mindkét végén ugyanazt a CipherSpec meghatározást kell beállítani, ellenkező esetben a TLS használatára felkészített üzenetkezelés meghiúsul. További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása témakörét.

A Tulajdonságok párbeszédablak SSL oldalán tegye az alábbiak egyikét.

  • Az Általános rejtjel mezőből válasszon ki egy általános rejtjelet.
  • Ha haladó felhasználó és olyan sorkezelőt adminisztrál egy z/OS vagy IBM i platformon, amely a IBM MQ előre meghatározott listájában nem szereplő új rejtjel-meghatározásokat (CipherSpec) tartalmaz, akkor írjon be egy platform-specifikus értéket a CipherSpec számára az Egyéni rejtjelek mezőbe.

Tanúsítványok szűrése tulajdonosuk neve alapján

A tanúsítványok tartalmazzák a tanúsítvány tulajdonosának megkülönböztetett nevét. A csatornát beállíthatja úgy, hogy csak olyan tanúsítványokat fogadjon el, amelyekben a tulajdonos megkülönböztetett nevében lévő attribútumok megegyeznek bizonyos megadott értékekkel. Ehhez jelölje be a Csak olyan tanúsítványok elfogadása, amelyek Megkülönböztetett nevei megegyeznek ezekkel az értékekkel jelölőnégyzetet.

A IBM MQ által szűrhető attribútumneveket az alábbi táblázat tartalmazza:

Attribútumnév Jelentés
SERIALNUMBER Tanúsítvány sorozatszáma
MAIL E-mail cím
E E-mail cím (elavult, használja helyette a MAIL rész-karaktersorozatot)
UID vagy USERID Felhasználói azonosító
CN Általános név
T Cím
OU Szervezeti egység neve
DC Tartomány összetevő
O Szervezet neve
STREET Utca / A cím első sora
L Helység neve
ST (vagy SP, illetve S) Állam vagy tartomány neve
PC Postai irányítószám
C Ország
UNSTRUCTUREDNAME Hosztnév
UNSTRUCTUREDADDRESS IP cím
DNQ Megkülönböztetett név minősítője

A Csak olyan tanúsítványok elfogadása, amelyek Megkülönböztetett nevei megegyeznek ezekkel az értékekkel mezőben használhatja a (*) helyettesítő karaktert az attribútumérték elején vagy végén bármennyi karakter helyettesítéséhez. Például tanúsítványok elfogadása olyan személyektől, akiknek a vezetékneve Smith és az IBM dolgozói Angliában (országkód: GB), írja be a következőt:


CN=*Smith, O=IBM, C=GB

Sorkezelőhöz kapcsolatot kezdeményező felek hitelesítése

Amikor egy másik fél TLS kapcsolatot kezdeményez a sorkezelővel, akkor a sorkezelőnek el kell küldenie a személyes tanúsítványát a kezdeményező félnek az azonosság ellenőrzéséhez. A sorkezelő csatornáját választhatóan beállíthatja úgy is, hogy a sorkezelő elutasítsa a kapcsolatot, ha a kezdeményező fél nem küldi el a saját személyes tanúsítványát. Ehhez a Csatornatulajdonságok párbeszédablak SSL oldalán válassza ki a Szükséges beállítást a Kapcsolatokat kezdeményező felek hitelesítése listából.