配置 TLS 通道
若要配置 TLS 通道,您可以使用「 通道內容 」對話框的 SSL 頁面來定義要使用的密碼規格。 您可以選擇性地配置通道,讓它僅接受擁有者識別名稱中的屬性符合給定值的憑證。 您可以選擇性地配置佇列管理程式通道,讓佇列管理程式可以在起始方未傳送自己的個人憑證時拒絕連線。
關於此作業
若要在「 IBM® MQ 探險家」中配置通道,請完成下列步驟。
程序
- 開啟 IBM MQ 探險家。
- 在「 Navigator 」視圖中,展開 佇列管理程式 資料夾,然後按一下 通道 資料夾。
- 在「 內容 」視圖中,用滑鼠右鍵按一下通道,然後按一下 內容。
- 在「 內容 」對話框中,開啟 SSL 頁面。
結果
針對下列作業,使用「 通道內容 」對話框的 SSL 頁面。
設定訊息安全
啟用 TLS 的傳訊提供兩種方法來確保訊息的安全:
- 加密可確保如果訊息遭到攔截,它是無法閱讀的。
- 雜湊函數可確保如果訊息遭到變更,會被偵測出來。
這些方法的組合稱為密碼規格或 CipherSpec。 通道兩端必須設定相同的 CipherSpec,否則,啟用 TLS 的傳訊會失敗。 如需相關資訊,請參閱 IBM Documentation中的 保護 IBM MQ 。
在「 內容 」對話框的 SSL 頁面上,執行下列其中一項:
- 從標準密碼欄位中,選取標準密碼。
- 如果您是進階使用者,且您在 z/OS® 或 IBM i 平台上管理的佇列管理程式包含非 IBM MQ 預先定義清單的新 CipherSpec ,請在 自訂密碼 欄位中輸入 CipherSpec 的平台特定值。
以其擁有者的名稱過濾憑證
憑證含有憑證擁有者的識別名稱。 您可以選擇性地配置通道,讓它僅接受擁有者識別名稱中的屬性符合給定值的憑證。 要執行這項作業,請選取只接受識別名稱符合這些值的憑證勾選框。
下表列出 IBM MQ 可以過濾的屬性名稱:
屬性名稱 | 意義 |
---|---|
SERIALNUMBER | 憑證序號 |
電子郵件位址 | |
E | 電子郵件位址(已淘汰,最好使用 MAIL) |
UID 或 USERID | 使用者 ID |
CN | 通用名稱 |
T | 標題 |
OU | 組織單位名稱 |
DC | 網域元件 |
O | 組織名稱 |
STREET | 街道/地址的第一行 |
L | 地區名稱 |
ST(或 SP、S) | 州/省(縣/市)名稱 |
PC | 郵遞區號 |
C | 國家/地區 |
UNSTRUCTUREDNAME | 主機名稱 |
UNSTRUCTUREDADDRESS | IP 位址 |
DNQ | 識別名稱限定元 |
在只接受識別名稱符合這些值的憑證欄位中,您可以在屬性值的前後使用萬用字元 (*) 來代替任何數目的字元。 例如,僅接受來自名稱以結尾的任何人員的憑證Smith為IBM在GB,類型:
CN=*Smith, O=IBM, C=GB
鑑別起始連線至佇列管理程式的各方
當另一方對佇列管理程式起始啟用 TLS 的連線時,佇列管理程式必須傳送其個人憑證給起始方作為身分證明。 您可以選擇性地配置佇列管理程式通道,讓佇列管理程式可以在起始方未傳送自己的個人憑證時,拒絕連線。 若要這麼做,請在「 通道內容 」對話框的 SSL 頁面上,從 鑑別起始連線的各方 清單中選取 必要 。