Csatornák biztonságossá tétele TLS protokollal

A TLS (Szállítási réteg biztonság) protokoll lehetővé teszi a sorkezelők számára, hogy biztonságosan kommunikáljanak más sorkezelőkkel vagy ügyfelekkel.

Erről a feladatról

TLS fogalmak

A TLS kapcsolat az alábbi módokon védett:

  • Hitelesítés: A TLS kapcsolatot kezdeményező sorkezelők vagy ügyfelek számára biztosítva van a sorkezelő azonossága, amelyhez csatlakoznak, és a kapcsolatokat fogadó sorkezelők ellenőrizhetik a kapcsolatot kezdeményező sorkezelő vagy ügyfél azonosságát.
  • Üzenet adatvédelme: Ha erre be van állítva, akkor a TLS egyedi munkamenet kulcs segítségével titkosít a kapcsolaton keresztül kicserélt minden információt. Ez biztosítja, hogy az információkat nem lehet megtekinteni, ha azok jogosulatlan felekhez kerülnek.
  • Üzenet integritás: Az adatokat nem lehet megbolygatni a kapcsolaton keresztül.
  • Tanúsítványhatóság lánc: A Tanúsítványhatóság (CA) láncban minden tanúsítványt aláír az egyed, amelyet a szülő tanúsítványa azonosít a láncban. A lánc végén a gyökér CA tanúsítvány található. A gyökér tanúsítványt mindig maga a gyökér tanúsítványhatóság írja alá. A láncban minden tanúsítvány aláírásának ellenőrzöttnek kell lennie.

Sorozat áttekintése

Az alábbi lépésekben leírtaknak megfelelően a biztonságnak két szakasza van.

Eljárás

  1. Amikor egy sorkezelő csatlakozik egy másik sorkezelőhöz, akkor végrehajtanak egy általános TLS tanúsítvány cserét, és érvényesítési ellenőrzéseket végeznek el. Ha az érvényesítés sikeres, akkor létrejön a kapcsolat. Ennek eléréséhez be kell állítania mindkét sorkezelőt és az általuk használt csatornákat a megfelelő tanúsítványbeállításokkal.
  2. Az üzenetek elküldésekor az egyik sorkezelőtől a másik sorkezelőhöz a csatornán keresztül, akkor az adatok általában titkosításra kerülnek a tanúsítványcsere során létrehozott munkamenet kulccsal. Ennek eléréséhez a használni kívánt csatornákat megfelelő CipherSpecs értékkel kell beállítani.

Eredmények

Sorozat részletei

A QM1 és QM2 sorkezelők közötti egyszerű TLS kapcsolat attribútum sorrendje a következő:

  1. A QM1 csatlakozik a QM2 sorkezelőhöz.
  2. A QM2 által használt személyes tanúsítvány elküldésre kerül a QM1 sorkezelőhöz.
  3. A QM1 hitelesíti a személyes tanúsítványt a tanúsítványhatóság tanúsítványainak láncával.
  4. A QM1 ellenőrizheti a tanúsítványok visszavonását is, amennyiben az Online tanúsítványállapot-protokoll (OCSP) támogatott a kiszolgáló platformon. Az OCSP protokollal kapcsolatos információkért tekintse meg a következő részt: Online tanúsítványállapot-protokoll (OCSP) kezelése.
  5. A QM1 ellenőrizheti a személyes tanúsítványt a Tanúsítvány visszavonási lista (CRL) segítségével is. További információk: TLS beállítása sorkezelőkön.
  6. A QM1 alkalmazhat egy szűrőt, amely csak olyan személyes tanúsítványokat fogad el, amelyek megfelelnek bizonyos meghatározott partner neveknek. További információk: TLS csatornák beállítása.
  7. A QM1 (ha mindent rendben talált) elfogadja a QM2 személyes tanúsítványát.
  8. Létrejött a biztonságos kapcsolat.

A nagyobb biztonság érdekében a QM2 tanúsítványt kérhet a QM1 sorkezelőtől, és ebben az esetben a következő lépések is megtörténnek:

  1. A QM1 elküldi a kijelölt személyes tanúsítványát a QM2 sorkezelőnek.
  2. A QM2 végrehajtja az előbbiekben bemutatott ellenőrzéseket (3. 4. és 5. lépés).
  3. A QM2 (ha mindent rendben talált) elfogadja a QM1 személyes tanúsítványát.

Létrejött a biztonságos kapcsolat.

További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása részét.