Configurazione dei canali TLS
Per configurare i canali TLS, si utilizza la pagina SSL della finestra Proprietà del canale per definire la specifica di cifratura da utilizzare. È possibile, facoltativamente, configurare il canale in modo da accettare soltanto i certificati con gli attributi nel DN (Distinguished Name) del proprietario che corrispondono a tali valori. È inoltre possibile configurare, facoltativamente, un canale del gestore code in modo che quest'ultimo rifiuti la connessione se la parte impegnata nell'avvio non provvede all'invio del proprio certificato personale.
Informazioni su questa attività
Per configurare i canali in IBM® MQ Explorer, completare i seguenti passaggi.
PROCEDURE
- Apri IBM MQ Explorer.
- Nella vista Navigator , espandere la cartella Gestori code , quindi fare clic sulla cartella Canali .
- Nella vista Contenuto , fare clic con il tasto destro del mouse sul canale, quindi fare clic su Proprietà.
- Nella finestra di dialogo Proprietà , aprire la pagina SSL .
Risultati
Utilizzare la pagina SSL della finestra Proprietà del canale per le seguenti attività.
Impostazione della sicurezza dei messaggi
La messaggistica abilitata a TLS offre due metodi per garantire la sicurezza dei messaggi:
- La crittografia garantisce che se il messaggio viene intercettato, questo non potrà essere letto.
- La funzione hash garantisce il rilevamento di un'alterazione del messaggio.
La combinazione di questi due metodi è detta specifica della cifratura, o CipherSpec. Lo stesso CipherSpec deve essere impostato su entrambe le estremità del canale, altrimenti la messaggistica abilitata a TLS non riesce. Per ulteriori informazioni, consultare Sicurezza IBM MQ in IBM Documentazione.
Nella pagina SSL della finestra di dialogo Proprietà , effettuare una delle seguenti operazioni:
- Dal campo Cifratura standard, selezionare una cifratura standard.
- Se sei un utente avanzato e stai amministrando un gestore code su una piattaforma z/OS® o IBM i che include nuove CipherSpecs che non sono l'elenco predefinito IBM MQ , inserire un valore specifico della piattaforma per una CipherSpec nel campo Cifrature personalizzate .
Filtro dei certificati in base al nome del proprietario
I certificati contengono il nome distinto del proprietario del certificato. Se si desidera, è possibile configurare il canale in modo da accettare soltanto i certificati con gli attributi nel DN (Distinguished Name) del proprietario che ha tali valori. Per far ciò, selezionare la casella di spunta Accetta solo certificati quando il DN corrisponde a questi valori.
I nomi degli attributi che IBM MQ possono filtrare sono elencati nella seguente tabella:
Nomi degli attributi | Significato |
---|---|
SERIALNUMBER | Numero di serie del certificato |
Indirizzo email | |
E | Indirizzo e-mail (obsoleto, preferenza:n MAIL) |
UID o USERID | Identificativo utente |
CN | Nome comune (Common Name) |
T | Titolo |
OU | Nome unità organizzativa |
DC | Componente dominio |
O | Nome organizzazione |
STREET | Via / Prima riga dell'indirizzo |
L | Nome località |
ST (o SP o S) | Nome stato o provincia |
PC | Codice postale |
C | Paese |
UNSTRUCTUREDNAME | Nome host |
UNSTRUCTUREDADDRESS | Indirizzo IP |
DNQ | Identificativo DN (Distinguished Name) |
Nel campo Accetta solo certificati quando il nome distinto corrisponde a questi valori, è possibile utilizzare il carattere jolly asterisco (*) all'inizio o alla fine del valore dell'attributo come sostituto per un determinato numero di caratteri. Ad esempio, per accettare solo certificati da qualsiasi persona con un nome che termina conSmithlavorare perIBMinGB, tipo:
CN=*Smith, O=IBM, C=GB
Parti di autenticazione che avviano le connessioni a un gestore code
Quando un'altra parte inizia una connessione abilitata a TLS a un gestore code, il gestore code deve inviare il proprio certificato personale alla parte iniziatrice come prova della propria identità. È inoltre possibile configurare, facoltativamente, il canale del gestore code in modo che quest'ultimo rifiuti la connessione se la parte impegnata nell'avvio non provvede all'invio del proprio certificato di identità personale. Per fare ciò, nella pagina SSL della finestra Proprietà del canale, selezionare Richiesto dall'elenco Autenticazione dei componenti che avviano le connessioni.