TLS-Kanäle konfigurieren

Zum Konfigurieren von TLS-Kanälen definieren Sie auf der Seite SSL des Dialogs mit den Kanaleigenschaften die zu verwendende Verschlüsselungsspezifikation. Optional können Sie den Kanal auch so konfigurieren, dass nur Zertifikate akzeptiert werden, deren Attribute im DN des Eigners bestimmten Werten entsprechen. Auch den Kanal des Warteschlangenmanagers können Sie optional so konfigurieren, dass der Warteschlangenmanager die Verbindung ablehnt, wenn die einleitende Partei kein persönliches Zertifikat sendet.

Informationen zu dieser Task

Führen Sie die folgenden Schritte aus, um Kanäle in IBM® MQ Explorerzu konfigurieren:

Verfahren

  1. Öffnen Sie IBM MQ Explorer.
  2. Erweitern Sie in der Ansicht Navigator den Ordner Warteschlangenmanager und klicken Sie dann auf den Ordner Kanäle .
  3. Klicken Sie in der Inhaltsansicht mit der rechten Maustaste auf den Kanal und klicken Sie dann auf Eigenschaften.
  4. Öffnen Sie im Dialog Eigenschaften die Seite SSL .

Ergebnisse

Führen Sie auf der Seite SSL des Dialogs mit den Kanaleigenschaften die folgenden Tasks aus.

Festlegen der Nachrichtensicherheit

Die TLS-gesicherte Nachrichtenübertragung stellt zwei Methoden zur Gewährleistung der Nachrichtensicherheit bereit:

  • Durch die Verschlüsselung wird sichergestellt, dass eine unbefugt abgefangene Nachricht unlesbar ist.
  • Durch Hash-Funktionen wird eine Änderung der Nachricht entdeckt.

Die Kombination dieser Methoden wird Verschlüsselungsspezifikation oder CipherSpec genannt. Es ist wichtig, dass für beide Kanalenden dieselbe CipherSpec festgelegt wird, da andernfalls die TLS-gesicherte Nachrichtenübertragung fehlschlägt. Weitere Informationen finden Sie unter Securing IBM MQ in der Dokumentation zu IBM.

Führen Sie auf der Seite SSL des Dialogs Eigenschaften eine der folgenden Aktionen aus:

  • Wählen Sie im Feld Standardverschlüsselung eine Standardverschlüsselung aus.
  • Wenn Sie ein fortgeschrittener Benutzer sind und einen WS-Manager auf einer z/OS® -oder IBM i -Plattform verwalten, die neue CipherSpecs enthält, die nicht die vordefinierte IBM MQ -Liste sind, geben Sie einen plattformspezifischen Wert für eine CipherSpec in das Feld Angepasste Verschlüsselungen ein.

Zertifikate nach dem Namen des zugehörigen Eigners filtern

Zertifikate enthalten den definierten Namen (DN) des Zertifikateigners. Sie können den Kanal optional so konfigurieren, dass nur Zertifikate akzeptiert werden, deren Attribute im DN des Eigners bestimmten Werten entsprechen. Wählen Sie in diesem Fall das Kontrollkästchen Nur Zertifikate mit den folgenden DNs (Distinguished Names) akzeptieren aus.

In der folgenden Tabelle sind die Attributnamen aufgelistet, die IBM MQ filtern kann:

Attributnamen Bedeutung
SERIALANZAHL Seriennummer des Zertifikats
MAIL E-Mail-Adresse
E E-Mail-Adresse (wird nicht weiter unterstützt; MAIL wird verwendet)
UID oder USERID Benutzer-ID
CN Allgemeiner Name
T Title
OU Name der Organisationseinheit
Gleichstrom Domänenkomponente
O Organisationsname
STREET Straße / Erste Adresszeile
L Lokalitätsname
ST (oder SP oder S) Name des Bundeslandes oder der Provinz
PC Postleitzahl
C Land
UNSTRUKTUREDNAME Hostname
UNSTRUKTUREDADRESSE IP-Adresse
DNQ Qualifikationsmerkmal für den definierten Namen

Im Feld Nur Zertifikate mit den folgenden definierten Namen (DNs) akzeptieren kann am Anfang oder Ende des Peernamens ein Platzhalterzeichen (*) verwendet werden, das eine beliebige Anzahl an Zeichen ersetzt. Wenn Sie beispielsweise nur Zertifikate von Personen akzeptieren möchten, deren Name mitSmithArbeiten fürIBMINGB, Typ:


CN=*Smith, O=IBM, C=GB

Authentifizierung von Parteien, die Verbindungen zu Warteschlangenmanagern herstellen

Wenn eine andere Partei eine TLS-gesicherte Verbindung zu einem Warteschlangenmanager einleitet, muss der Warteschlangenmanager sein persönliches Zertifikat als Identitätsnachweis an die einleitende Partei senden. Optional können Sie auch den Kanal des Warteschlangenmanagers so konfigurieren, dass der Warteschlangenmanager die Verbindung ablehnt, wenn die einleitende Partei kein persönliches Zertifikat sendet. Wählen Sie in diesem Fall auf der Seite SSL des Dialogs mit den Kanaleigenschaften in der Liste Authentifizierung von Verbindungen einleitenden Parteien die Option Erforderlich aus.