デフォルトのセキュリティー設定

セキュリティー出口は、同じ IBM® MQ エクスプローラー内のすべてのクライアント接続に対して定義できます。 その出口のことをデフォルトのセキュリティー出口といいます。ここでは、セキュリティー出口の設定について説明します。

デフォルトのセキュリティー設定は、「設定」ダイアログに含まれています。そのダイアログを開くには、以下のようにします。
  1. Windows > 「設定 ...」をクリックします。 「設定」ダイアログ・ボックスが開きます。
  2. 「MQ エクスプローラー」を展開します。
  3. 「クライアント接続」を展開します。 デフォルトのセキュリティー設定のダイアログにアクセスできるようになります。

セキュリティー出口

「デフォルト・セキュリティー出口を使用可能にする」 を選択して、同じ IBM MQ エクスプローラー内のすべてのクライアント接続に対してデフォルト・セキュリティー出口を設定します。 セットに含まれているすべてのクライアント接続キュー・マネージャーのセキュリティー出口を変更できます。 そのセキュリティー出口は、新しいリモート・キュー・マネージャーを追加するときに、新しいセキュリティー出口を定義することによってオーバーライドできます。

セットに含まれているすべてのクライアント接続キュー・マネージャーのセキュリティー出口を変更できます。 TLS オプションは、新しいリモート・キュー・マネージャーを追加するときにオーバーライドできます。

項目 説明
出口名 セキュリティー出口によって実行する出口プログラムの名前を指定します。 「出口名」は、最大で 1024 文字の長さになります。大/小文字の区別があります。 「出口名」には、ディレクトリーまたは JAR ファイルに格納されている Java クラスの完全修飾名を指定できます。「出口名」として、C 出口 (形式は dll_name(function_name)) を指定することもできます。 C 出口を見つける場合には、この出口のデフォルト・パスが必ず使用されます。デフォルト・パスが設定されていない場合以外は、この項目フィールドで出口ライブラリーの場所を指定することはできません。
ディレクトリー内 セキュリティー出口のディレクトリーを指定します。 (Java 出口のみ)
jar 内 セキュリティー出口の jar ファイルを指定します。(Java 出口のみ)
出口データ 「出口データ」は、最大で 32 文字の長さになります。 この属性に値が定義されていない場合、このフィールドはすべてブランクになります。

SSL/TLS オプション

「デフォルト SSL オプションを使用可能にする」 を選択して、同じ IBM MQ エクスプローラー内のすべてのクライアント接続に対してデフォルト SSL/TLS オプションを使用可能にします。 セットに含まれているすべてのクライアント接続キュー・マネージャーの SSL/TLS オプションを変更できます。 SSL/TLS オプションは、新しいリモート・キュー・マネージャーを追加するときにオーバーライドできます。

項目 説明
SSL CipherSpec 「CipherSpec」では、SSL/TLS 接続で使用する暗号化アルゴリズムとハッシュ機能の組み合わせを指定します。 「CipherSpec」は、「CipherSuite」の一部になっています。「CipherSuite」では、暗号化とハッシュ機能のアルゴリズムのほかに鍵交換メカニズムと認証メカニズムも指定します。

ハンドシェーク中に使用される鍵のサイズは、使用するデジタル証明書によって異なる場合がありますが、 IBM MQ でサポートされる CipherSpec の一部には、ハンドシェークの鍵サイズの指定が含まれています。 ハンドシェークの鍵サイズが大きければ、認証機能が強力になります。 鍵のサイズが小さいほど、ハンドシェークは高速になります。

詳しくは、 IBM 資料CipherSpec と CipherSuite を参照してください。

SSL FIPS が必須

FIPS 認証暗号スイートだけを使用する場合は、「はい」を選択します。 「はい」を選択すると、すべての TLS 接続で FIPS 認証暗号スイートを使用することが必要になります。

使用可能な暗号スイートをどれでも使用できるようにする場合は、「いいえ」を選択します。

デフォルト設定は 「いいえ」です。

この設定を「はい」から「いいえ」、または「いいえ」から「はい」に変更すると、MQ エクスプローラーを再始動するかどうかを確認するためのダイアログが開きます。

MQ エクスプローラーを再始動するまで、この設定の変更は適用されません。

SSL リセット・カウント 0 から 999 999 999 の範囲で、TLS 会話内で送受信されるバイト数を入力します。この数を超えると秘密鍵が再びネゴシエーションされます。 0 の値は、秘密鍵が再びネゴシエーションされないことを意味します。 バイト数には、メッセージ・チャネル・エージェント (MCA) によって送信される制御情報が含まれます。 この属性の値が 0 より大きく、「チャネル・プロパティー」の「ハートビート間隔」属性の値が 0 より大きい場合、メッセージ・データがチャネル・ハートビートに続いて送受信される前に、秘密鍵も再度ネゴシエーションされます。
ピア名 TLS で使用するキュー・マネージャーの識別名 (DN)。 このピア名を設定すると、サーバーが特定の DN として正常に認証された場合に限って接続が認められることになります。

SSL/TLS ストア

トラステッド証明書ストアと個人証明書ストアを操作する場合は、「デフォルトの SSL ストアを使用可能にする」を選択します。

SSL/TLS 証明書ストアの場所とパスワードを使用して IBM MQ エクスプローラー を構成するには、 TLS 証明書のデフォルトの場所とデフォルトのパスワードの指定を参照してください。

デフォルトの SSL/TLS ストアを使用可能にすることで、 IBM MQ エクスプローラー は、トラストストアと鍵ストアの証明書を使用して、TLS 対応接続でリモート・キュー・マネージャーに接続できます。

セットに含まれているすべてのクライアント接続キュー・マネージャーの SSL/TLS ストアを変更できます。 SSL/TLS ストアは、新しいリモート・キュー・マネージャーを追加するときにオーバーライドできます。