TLS チャネルの構成

TLS チャネルを構成するには、 「チャネル・プロパティー」 ダイアログの 「SSL」 ページを使用して、使用する暗号仕様を定義します。 オプションで、チャネルを構成して、指定された値と一致する所有者の識別名の属性を持つ証明書のみを受け入れることができます。 オプションで、キュー・マネージャーのチャネルを構成できます。これにより、開始する相手先が独自の個人証明書を送信しない場合、キュー・マネージャーは接続を拒否できます。

本タスクについて

IBM® MQ エクスプローラーでチャネルを構成するには、以下の手順を実行します。

手順

  1. IBM MQ エクスプローラーを開きます。
  2. Navigator ・ビューで、 「キュー・マネージャー」 フォルダーを展開して、 「チャネル」 フォルダーをクリックします。
  3. 「コンテンツ」 ビューで、チャネルを右クリックし、 「プロパティー」をクリックします。
  4. 「プロパティー」 ダイアログで、 「SSL」 ページを開きます。

結果

以下のタスクについては、 「チャネル・プロパティー」 ダイアログの 「SSL」 ページを使用します。

メッセージ・セキュリティーの設定

TLS 対応メッセージングによって、メッセージ・セキュリティーを保証する 2 つの方式が提供されます。

  • 暗号化により、メッセージが傍受された場合にそのメッセージが判読不能であることが保証されます。
  • ハッシュ機能により、メッセージが変更された場合に検出されることが保証されます。

これらの方式の組み合わせは、暗号仕様または CipherSpec と呼ばれます。 チャネルの両端には同じ CipherSpec を設定する必要があります。設定していない場合、TLS 対応メッセージングは失敗します。 詳しくは、「 IBM Documentation」の「 Securing IBM MQ 」を参照してください。

「プロパティー」 ダイアログの 「SSL」 ページで、以下のいずれかを実行します。

  • 「標準暗号」フィールドから、標準暗号を選択します。
  • 上級ユーザーが、 IBM MQ の事前定義リストに含まれていない新しい CipherSpec を含む z/OS® プラットフォームまたは IBM i プラットフォームでキュー・マネージャーを管理する場合は、 カスタム暗号 フィールドに CipherSpec のプラットフォーム固有の値を入力します。

所有者の名前での証明書のフィルタリング

証明書には、証明書の所有者の識別名が含まれています。 オプションで、チャネルを構成して、指定された値と一致する所有者の識別名の属性を持つ証明書のみを受け入れることが できます。 これを行う には、「これらの値と一致する識別名を持つ証明書のみを受け入れる」チェック・ボックスを 選択します。

以下の表に、 IBM MQ がフィルターに掛けることができる属性名をリストします。

属性名 意味
SERIALNUMBER 証明書のシリアル番号
MAIL E メール・アドレス
E E メール・アドレス (MAIL の方が好ましいため非推奨)
UID または USERID ユーザー ID
CN 共通名
T タイトル
OU 部門名
DC ドメイン・コンポーネント
O 組織名
STREET 通り/住所の 1 行目
L 地域名
ST (または SP もしくは S) 都道府県名
「PC」 郵便番号
C
UNSTRUCTUREDNAME ホスト名
UNSTRUCTUREDADDRESS IP アドレス
DNQ 識別名修飾子

「これらの値と一致する識別名を持つ証明書のみを受け入れる」フィールドで、 任意の数の文字の代わりに、属性値の先頭または末尾にワイルドカード文字 (*) を使用できます。 例えば、名前が以下で終わるすべてのユーザーからの証明書のみを受け入れるには、以下のようにします。Smith作業IBMInGB、タイプ:


CN=*Smith, O=IBM, C=GB

キュー・マネージャーへの接続を開始する相手先の認証

別の通話者がキュー・マネージャーへの TLS 対応接続を開始する場合、キュー・マネージャーは、ID の証明として個人証明書を開始する相手先に送信する必要があります。 オプションで、キュー・マネージャーのチャネルを構成できます。 これにより、開始する相手先が独自の個人証明書を送信しない場合、キュー・マネージャーは接続を拒否できます。 これを行うには、 「チャネル・プロパティー」 ダイアログの 「SSL」 ページで、 「接続を開始するパーティーの認証」 リストから 「必須」 を選択します。