配置 TLS 通道

若要配置 TLS 通道,您可以使用「通道內容」對話框的 SSL 頁面來定義要使用的密碼規格。您可以選擇性地配置通道,讓它僅接受擁有者識別名稱中的屬性符合給定值的憑證。您可以選擇性地配置佇列管理程式通道,讓佇列管理程式可以在起始方未傳送自己的個人憑證時拒絕連線。

關於這項作業

若要在「IBM® MQ 探險家」中配置通道,請完成下列步驟。

程序

  1. 開啟「IBM MQ 探險家」。
  2. 在「導覽器」視圖中,展開佇列管理程式資料夾,然後按一下通道資料夾。
  3. 在「內容」視圖中,用滑鼠右鍵按一下通道,然後按一下內容
  4. 在「內容」對話框中,開啟 SSL 頁面。

結果

使用「通道內容」對話框的 SSL 頁面,來執行下列作業。

設定訊息安全

啟用 TLS 的傳訊提供兩種方法來確保訊息的安全:

  • 加密可確保如果訊息遭到攔截,它是無法閱讀的。
  • 雜湊函數可確保如果訊息遭到變更,會被偵測出來。

這些方法的組合稱為密碼規格或 CipherSpec。通道兩端必須設定相同的 CipherSpec,否則,啟用 TLS 的傳訊會失敗。如需相關資訊,請參閱 IBM MQ 線上產品說明文件中的維護安全

在「內容」對話框的 SSL 頁面上,執行下列其中一項作業:

  • 標準密碼欄位中,選取標準密碼。
  • 如果您是進階使用者,且要在 z/OS®IBM i 平台上管理佇列管理程式,而該平台包括的新 CipherSpec 不是 IBM MQ 預先定義的清單,請在自訂密碼欄位中輸入 CipherSpec 的平台專用值。

以其擁有者的名稱過濾憑證

憑證含有憑證擁有者的識別名稱。您可以選擇性地配置通道,讓它僅接受擁有者識別名稱中的屬性符合給定值的憑證。要執行這項作業,請選取只接受識別名稱符合這些值的憑證勾選框。

下表列出 IBM MQ 可以過濾的屬性名稱:

屬性名稱 意義
SERIALNUMBER 憑證序號
MAIL 電子郵件位址
E 電子郵件位址(已淘汰,最好使用 MAIL)
UID 或 USERID 使用者 ID
CN 通用名稱
T 職稱
OU 組織單位名稱
DC 網域元件
O 組織名稱
STREET 街道/地址的第一行
L 地區名稱
ST(或 SP、S) 州/省(縣/市)名稱
PC 郵遞區號
C 國家或地區
UNSTRUCTUREDNAME 主機名稱
UNSTRUCTUREDADDRESS IP 位址
DNQ 識別名稱限定元

只接受識別名稱符合這些值的憑證欄位中,您可以在屬性值的前後使用萬用字元 (*) 來代替任何數目的字元。例如,若只要接受名稱結尾為 Smith 且在 GBIBM 工作的任何人員所提供的憑證,請輸入:

CN=*Smith, O=IBM, C=GB

鑑別起始連線至佇列管理程式的各方

當另一方對佇列管理程式起始啟用 TLS 的連線時,佇列管理程式必須傳送其個人憑證給起始方作為身分證明。您可以選擇性地配置佇列管理程式通道,讓佇列管理程式可以在起始方未傳送自己的個人憑證時,拒絕連線。若要執行此作業,請在「通道內容」對話框的 SSL 頁面上,從鑑別起始連線的各方清單中選取必要


工作 工作

反饋

「時間戳記」圖示 前次更新時間: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_channels.htm