配置 TLS 通道
要配置 TLS 通道,请使用“通道属性”对话框的 SSL 页面来定义要使用的密码规范。您可以选择将此通道配置为仅接受含有与给定值匹配的所有者专有名称中属性的证书。您还可以选择配置队列管理器通道,以便在启动方不发送其自有个人证书时,此队列管理器会拒绝连接。
关于此任务
要配置 IBM® MQ Explorer 中的通道,请完成以下步骤。
过程
- 打开 IBM MQ Explorer。
- 在“导航器”视图中,展开队列管理器文件夹,然后单击通道文件夹。
- 在“内容”视图中,右键单击此通道,然后单击属性。
- 在“属性”对话框中,打开 SSL 页面。
结果
使用“通道属性”对话框的 SSL 页面来执行以下任务。
设置消息安全性
支持 TLS 的消息传递提供了两种方法来确保消息的安全性:
- 加密确保一旦此消息被拦截,它也是不可读的。
- 散列函数确保一旦此消息被改变,也会检测到这一情况。
这些方法的组合称为密码规范或 CipherSpec。必须为通道的两端设置相同的 CipherSpec,否则支持 TLS 的消息传递将失败。有关更多信息,请参阅 IBM MQ 联机产品文档中的保护。
在“属性”对话框的 SSL 页面上,执行以下某个操作:
- 从标准密码字段中,选择一个标准密码。
- 如果您是高级用户,并且要在 z/OS® 或 IBM i 平台上管理队列管理器,而此平台包括不在 IBM MQ 预定义列表中的新 CipherSpec,那么请在定制密码字段中输入用于 CipherSpec 的特定于平台的值。
根据其所有者的名称过滤证书
证书包含证书所有者的专有名称。您可以选择将此通道配置为仅接受含有与给定值匹配的所有者专有名称中的属性的证书。要执行此操作,请选择仅接受专有名称与这些值匹配的证书复选框。
下表中列出了 IBM MQ 可以过滤的属性名称:
属性名称 | 含义 |
---|---|
SERIALNUMBER | 证书序列号 |
电子邮件地址 | |
E | 电子邮件地址(不推荐,最好使用 MAIL) |
UID 或 USERID | 用户标识 |
CN | 公共名称 |
T | 职位 |
OU | 组织单元名称 |
DC | 域组件 |
O | 组织名称 |
STREET | 街道/地址第一行 |
L | 地区名称 |
ST(或 SP 或 S) | 省/直辖市/自治区名称 |
PC | 邮政编码 |
C | 国家或地区 |
UNSTRUCTUREDNAME | 主机名 |
UNSTRUCTUREDADDRESS | IP 地址 |
DNQ | 专有名称限定符 |
在仅接受专有名称与这些值匹配的证书字段中,您可在属性值的开始处和结束处使用通配符(*)作为任意个字符的替代项。例如,要仅接受名称以 Smith 结尾并在 GB(英国)为 IBM 工作的任何人员的证书,请输入:
CN=*Smith, O=IBM, C=GB
认证方启动与队列管理器的连接
当另一方启动对队列管理器的支持 TLS 的连接时,此队列管理器必须将其个人证书作为身份证明发送至启动方。您还可以选择配置队列管理器通道,以便在启动方不发送其自己的个人证书时,此队列管理器拒绝连接。 为此,请在“通道属性”对话框的 SSL 页面上,从对连接启动方的认证列表中选择必需。