使用 TLS 保護通道安全
TLS(傳輸層安全)通訊協定使佇列管理程式能夠與其他佇列管理程式或用戶端安全地通訊。
關於這項作業
TLS 概念
啟用 TLS 的連線是以下列方式來保護安全:
- 鑑別:起始啟用 TLS 連線的佇列管理程式或用戶端,可確定所連接的佇列管理程式身分,而接收連線的佇列管理程式,可以檢查起始連線的佇列管理程式或用戶端的身分。
- 訊息私密性:使用唯一階段作業金鑰的 TLS(如果如此配置)會將所有透過連線交換的資訊加密。如此可以確保如果資訊被未獲授權的對象截取,也無法檢視。
- 訊息完整性:無法透過連線竄改資料。
- 憑證管理中心鏈:「憑證管理中心 (CA)」鏈中的每一個憑證,都會由串鏈中其母項憑證所識別的實體來簽署。為首的串鏈是主要 CA 憑證。最高憑證一律是由最高 CA 本身來簽章。串鏈中所有憑證的簽章都必須加以驗證。
順序概觀
安全功能有兩個階段,如下列步驟所述。
程序
- 當佇列管理程式連接至另一個佇列管理程式時,兩者會執行標準 TLS 憑證交換,及執行驗證檢查。如果驗證順利完成,就會建立連線。要達到這個功能,您必須以適當的憑證設定值來配置這兩個佇列管理程式以及其會使用的通道。
- 當訊息透過通道從一個佇列管理程式傳送給另一個佇列管理程式時,資料通常會使用於憑證交換期間所建立的階段作業金鑰來加密。要達到這個功能,您必須配置會用於適當 CipherSpec 的通道。
結果
順序詳細資料
在佇列管理程式 QM1 和 QM2 之間的簡單 TLS 連線的一般順序如下:
- QM1 連接至 QM2。
- QM2 使用的個人憑證傳送給 QM1。
- QM1 根據憑證管理中心憑證鏈來鑑別個人憑證。
- 如果伺服器平台支援「線上憑證狀態通訊協定 (OCSP)」,則 QM1 會選擇性地檢查是否有憑證撤銷。如需 OCSP 的相關資訊,請參閱使用線上憑證狀態通訊協定 (OCSP)。
- QM1 會選擇性地根據「憑證撤銷清冊 (CRL)」來檢查個人憑證。如需相關資訊,請參閱在佇列管理程式上配置 TLS。
- QM1 可以選擇性地套用過濾條件,只接受符合任何已定義之同層級名稱的個人憑證。如需相關資訊,請參閱配置 TLS 通道。
- QM1(如果都沒有問題)接受來自 QM2 的個人憑證。
- 現在,會建立安全連線。
如需更高安全性,QM2 可以要求來自 QM1 的憑證;在此情況下也會進行下列步驟:
- QM1 將其指派的個人憑證傳送給 QM2。
- QM2 套用如上述顯示的相同檢查(步驟 3、4 及 5)。
- QM2(如果都沒有問題)接受來自 QM1 的個人憑證。
現在,會建立安全連線。
如需相關資訊,請參閱 IBM MQ 線上產品說明文件中的維護安全。