Zabezpieczanie kanałów za pomocą szyfrowania TLS
Protokół TLS (Transport Layer Security) umożliwia bezpieczną komunikację menedżerów kolejek z innymi menedżerami kolejek lub klientami.
O tym zadaniu
Pojęcia dotyczące szyfrowania TLS
Połączenie z włączonym TLS jest zabezpieczone na następujące sposoby:
- Uwierzytelnianie: Menedżery kolejek lub klienci inicjujący połączenie z włączonym TLS mają pewność co do tożsamości menedżera kolejek, z którym nawiązują połączenie, a menedżery kolejek otrzymujące połączenie mogą sprawdzić tożsamość menedżera kolejek lub klienta inicjującego połączenie.
- Prywatność komunikatu: Używając unikalnego klucza sesji, protokół TLS, jeśli jest skonfigurowany w tym celu, zaszyfruje wszystkie informacje wymienione za pomocą połączenia. Gwarantuje to, że informacja nie będzie widoczna w przypadku przechwycenia jej przez strony bez uwierzytelnienia.
- Integralność komunikatu: Dane nie mogą zostać spenetrowane za pomocą połączenia.
- Łańcuch ośrodka certyfikacji CA: każdy certyfikat w łańcuchu ośrodka certyfikacji jest podpisywany przez jednostkę identyfikowaną przez jej certyfikat nadrzędny w łańcuchu. W nagłówku łańcucha znajduje się główny certyfikat ośrodka certyfikacji (CA). Główny certyfikat jest zawsze podpisywany przez ośrodek CA. Podpisy wszystkich certyfikatów w łańcuchu muszą zostać sprawdzone.
Przegląd kolejności
Istnieją dwa etapy procesu zabezpieczania, zgodnie z opisem zawartym w następujących krokach.
Procedura
- Gdy menedżer kolejek nawiązuje połączenie z innym menedżerem kolejek, oba przeprowadzają standardową wymianę certyfikatów TLS oraz sprawdzają ich poprawność. Jeśli ocena poprawności zakończy się pomyślnie, połączenie zostanie nawiązane. Aby to osiągnąć, należy skonfigurować za pomocą odpowiednich ustawień certyfikatu oba menedżery kolejek oraz kanały, których użyją.
- Po wysłaniu za pomocą kanału komunikatów z jednego menedżera kolejek do drugiego, dane są z reguły szyfrowane przy użyciu klucza sesji ustanowionego podczas wymiany certyfikatów. Aby to osiągnąć, należy za pomocą odpowiednich specyfikacji CipherSpec skonfigurować kanały, które zostaną użyte.
Wyniki
Szczegóły kolejności
Typowa kolejność w przypadku prostego połączenia TLS między menedżerami kolejek QM1 i QM2 to:
- QM1 nawiązuje połączenie z QM2.
- Certyfikat osobisty używany przez QM2 jest wysyłany do QM1.
- Menedżer QM1 uwierzytelnia certyfikat osobisty w oparciu o łańcuch certyfikatów ośrodka certyfikacji.
- Menedżer QM1 opcjonalnie sprawdza odwołanie certyfikatów, jeśli platforma serwera obsługuje protokół OCSP (Online Certificate Status Protocol). Więcej informacji na temat protokołu OCSP zawiera sekcja Praca z protokołem OCSP (Online Certificate Status Protocol).
- Menedżer QM1 opcjonalnie sprawdza certyfikat osobisty na liście CRL (Certificate Revocation List). Więcej informacji na ten temat zawiera sekcja Konfigurowanie protokołu TLS w menedżerach kolejek.
- QM1 opcjonalnie stosuje filtr, aby akceptować tylko certyfikaty osobiste, które są zgodne z dowolnymi zdefiniowanymi nazwami węzłów sieci. Więcej informacji na ten temat zawiera sekcja Konfigurowanie kanałów TLS.
- QM1 (jeśli wszystko jest w porządku) akceptuje certyfikat osobisty QM2.
- Bezpieczne połączenie zostało nawiązane.
W celu zwiększenia bezpieczeństwa menedżer QM2 może zażądać certyfikatu od menedżera QM1 i zostaną wtedy wykonane następujące czynności:
- QM1 wysyła przypisany do niego certyfikat osobisty do QM2.
- QM2 stosuje te same czynności sprawdzania (punkty 3, 4 i 5) co wymienione poprzednio.
- QM2, jeśli wszystko jest w porządku, akceptuje certyfikat osobisty QM1.
Bezpieczne połączenie zostało nawiązane.
Więcej informacji zawiera sekcja Zabezpieczania w Centrum Wiedzy IBM.