Configuration de canaux TLS

Pour configurer des canaux TLS, utilisez la page SSL de la boîte de dialogue Propriétés de canal afin de définir la spécification de chiffrement à appliquer. Si vous le souhaitez, vous pouvez configurer un canal afin qu'il n'accepte que les certificats dont les attributs dans le nom distinctif du propriétaire correspondent aux valeurs données. Vous pouvez également configurer un canal de gestionnaire de files d'attente pour que ce dernier refuse la connexion si la partie initialisante n'envoie pas son propre certificat personnel.

A propos de cette tâche

Pour configurer des canaux dans IBM® MQ Explorer, procédez comme suit.

Procédure

  1. Ouvrez IBM MQ Explorer.
  2. Dans la vue Navigator , développez le dossier Gestionnaires de files d'attente , puis cliquez sur le dossier Canaux .
  3. Dans la vue Contenu , cliquez avec le bouton droit de la souris sur le canal, puis cliquez sur Propriétés.
  4. Dans la boîte de dialogue Propriétés , ouvrez la page SSL .

Résultats

Utilisez la page SSL de la boîte de dialogue Propriétés de canal pour les tâches suivantes.

Configuration de la sécurité des messages

La messagerie compatible avec TLS propose deux méthodes pour sécuriser les messages :

  • Le chiffrement, qui assure que le message ne pourra être lu, même s'il est intercepté.
  • Les fonctions de hachage qui assurent que toute modification du message sera détectée.

La combinaison de ces méthodes est appelée CipherSpec, ou spécification de chiffrement. Il faut que le même CipherSpec soit défini pour chaque extrémité d'un canal ; sinon la messagerie TLS ne peut pas fonctionner. Pour plus d'informations, voir Sécurisation.

Dans la page SSL de la boîte de dialogue Propriétés, procédez comme suit :

  • Dans la zone Chiffrements standard, sélectionnez un chiffrement standard.
  • Si vous êtes un utilisateur avancé et que vous administrez un gestionnaire de files d'attente sur une plateforme z/OS® ou IBM i qui inclut de nouveaux CipherSpecs qui ne sont pas la liste prédéfinie IBM MQ , entrez une valeur spécifique à la plateforme pour un CipherSpec dans la zone Chiffrements personnalisés .

Filtrage de certificats selon le nom de leur propriétaire

Les certificats contiennent le nom distinctif du propriétaire du certificat. Si vous le souhaitez, vous pouvez configurer le canal afin qu'il n'accepte que les certificats dont les attributs dans le nom distinctif du propriétaire correspondent aux valeurs données. Pour ce faire, cochez la case Accepter uniquement les certificats dont les noms distinctifs correspondent à ces valeurs.

Les noms d'attribut que IBM MQ peut filtrer sont répertoriés dans le tableau suivant:

Noms d'attributs Explication
SERIALNUMBER Numéro de série du certificat
MAIL Adresse électronique
[ Obsolète ]E Adresse électronique (dépréciée dans la préférence pour MAIL)
UID ou USERID ID utilisateur
CN Nom CN
T Titre
OU Nom d'unité organisationnelle
DC Composant de domaine
O Nom de l'organisation
STREET Rue/Première ligne d'adresse
L Nom du lieu
ST (ou SP ou S) Nom du département
PC Code postal
C Pays
UNSTRUCTUREDNAME Nom d'hôte
UNSTRUCTUREDADDRESS Adresse IP
DNQ Qualificateur de nom distinctif

Dans la zone Seuls les certificats dotés de noms distinctifs correspondant à ces valeurs sont acceptés, vous pouvez utiliser le caractère générique(*) au début ou à la fin de la valeur d'attribut pour représenter des caractères. Par exemple, pour accepter uniquement les certificats d'une personne dont le nom se termine parSmithtravailler pourIBMdansGB, entrez:


CN=*Smith, O=IBM, C=GB

Authentification des parties initialisant des connexions à un gestionnaire de files d'attente

Lorsqu'une autre partie initialise une connexion TLS sur un gestionnaire de files d'attente, celui-ci doit lui envoyer son certificat personnel comme preuve d'identité. Vous pouvez également configurer le canal de gestionnaire de files d'attente pour que ce dernier refuse la connexion si la partie initialisante n'envoie pas son propre certificat personnel. Pour ce faire, dans la page SSL de la boîte de dialogue Propriétés du canal, sélectionnez Requis dans la liste Authentification des parties initialisant les connexions.