Konfigurowanie kanałów TLS
Aby skonfigurować kanały TLS, należy na stronie SSL okna dialogowego Właściwości kanału zdefiniować specyfikację szyfru, która ma być używana. Opcjonalnie można skonfigurować kanał w celu akceptowania tylko certyfikatów z atrybutami w nazwie wyróżniającej właściciela, które są zgodne z podanymi wartościami. Opcjonalnie można także skonfigurować kanał menedżera kolejek, tak aby menedżer kolejek odrzucał połączenie, jeśli strona inicjująca nie wyśle certyfikatu osobistego.
O tym zadaniu
Aby skonfigurować kanały w programie IBM® MQ Explorer, wykonaj następujące kroki.
Procedura
- Otwórz program IBM MQ Explorer.
- W widoku Nawigator rozwiń folder Menedżery kolejek, a następnie kliknij folder Kanały.
- W widoku Zawartość kliknij prawym przyciskiem myszy kanał, a następnie kliknij opcję Właściwości.
- W oknie dialogowym Właściwości otwórz stronę SSL.
Wyniki
Na stronie SSL w oknie dialogowym Właściwości kanału można wykonywać następujące zadania.
Ustawianie zabezpieczeń komunikatu
Przesyłanie komunikatów z włączonym TLS oferuje dwie metody zabezpieczania komunikatu:
- Szyfrowanie gwarantuje, że w przypadku przechwycenia komunikat nie zostanie odczytany.
- Funkcje mieszania gwarantują, że w przypadku wykrycia komunikat zostanie zmieniony.
Kombinacja tych metod jest nazywana specyfikacją szyfrowania (cipher specification) lub CipherSpec. Dla obu końców kanału musi zostać ustawiony taki sam atrybut CipherSpec, ponieważ w przeciwnym razie przesyłanie komunikatów z włączonym protokołem TLS zakończy się niepowodzeniem. Więcej informacji zawiera sekcja Zabezpieczania w Centrum Wiedzy IBM.
Na stronie SSL okna dialogowego Właściwości wykonaj jedną z następujących czynności:
- W polu Szyfrowanie standardowe wybierz szyfrowanie standardowe.
- Jeśli jesteś użytkownikiem zaawansowanym i administrujesz menedżerem kolejek na platformie z/OS lub IBM i obejmującej nowe atrybuty CipherSpec, które nie znajdują się na predefiniowanej liście produktu IBM MQ, wprowadź specyficzną dla platformy wartość CipherSpec w polu Szyfry dostosowane.
Filtrowanie certyfikatów według nazwy właściciela
Certyfikaty zawierają nazwę wyróżniającą właściciela certyfikatu. Opcjonalnie można skonfigurować kanał w celu akceptowania tylko certyfikatów z atrybutami w nazwie wyróżniającej właściciela, które są zgodne z podanymi wartościami. Aby to zrobić, należy zaznaczyć pole wyboru Akceptuj jedynie certyfikaty z nazwami wyróżniającymi zgodnymi z podanymi wartościami.
Nazwy atrybutów, które mogą być filtrowane przez produkt IBM MQ, zostały przedstawione w następującej tabeli:
Nazwy atrybutów | Znaczenie |
---|---|
SERIALNUMBER | Numer seryjny certyfikatu |
Adres e-mail | |
E | Adres e-mail (nieaktualny, zastąpiony podłańcuchem MAIL) |
UID lub USERID | Identyfikator użytkownika |
CN | Nazwa zwykła |
T | Tytuł |
OU | Nazwa jednostki organizacyjnej |
DC | Komponent domeny |
O | Nazwa organizacji |
STREET | Ulica / Pierwszy wiersz adresu |
L | Nazwa miejscowości |
ST, SP lub S | Nazwa województwa lub rejonu |
PC | Kod pocztowy |
C | Kraj |
UNSTRUCTUREDNAME | Nazwa hosta |
UNSTRUCTUREDADDRESS | Adres IP |
DNQ | Kwalifikator nazwy wyróżniającej |
W polu Akceptuj jedynie certyfikaty z nazwami wyróżniającymi zgodnymi z podanymi wartościami można użyć znaku zastępczego (*) na początku lub końcu wartości atrybutu zamiast dowolnej cyfry lub znaku. Na przykład, aby akceptować tylko certyfikaty otrzymane od osoby o nazwisku Smith pracującej dla firmy IBM w Anglii (GB), wpisz:
CN=*Smith, O=IBM, C=GB
Uwierzytelnianie stron inicjujących połączenia z menedżerem kolejek
Jeśli strona inicjuje połączenie z włączonym TLS z menedżerem kolejek, menedżer kolejek musi wysłać certyfikat osobisty do strony inicjującej jako dowód tożsamości. Opcjonalnie można także skonfigurować kanał menedżera kolejek, tak aby menedżer kolejek odrzucał połączenie, jeśli strona inicjująca nie wyśle certyfikatu osobistego. Aby to zrobić, na stronie SSL okna dialogowego Właściwości kanału należy wybrać opcję Wymagane z listy Uwierzytelnianie stron inicjujących połączenia.