Standardsicherheitseinstellungen
Ein Sicherheitsexit kann für alle Clientverbindungen in demselben IBM® MQ Explorerdefiniert werden. Dieser wird als Standardsicherheitsexit bezeichnet. Nachfolgend finden Sie eine Beschreibung der Einstellungen für den Sicherheitsexit.
- Klicken Sie auf 'Einstellungen' geöffnet. . Daraufhin wird der Dialog
- Erweitern Sie MQ Explorer.
- Erweitern Sie Clientverbindungen. Die Dialoge für die Standardsicherheitseinstellungen sind jetzt zugänglich.
Sicherheitsexit
Wählen Sie Standardsicherheitsexit aktivieren aus, um den Standardsicherheitsexit für alle Clientverbindungen in derselben IBM MQ Explorerfestzulegen. Der Sicherheitsexit für alle über einen Client verbundenen Warteschlangenmanager in einem Set kann geändert werden. Der Sicherheitsexit kann überschrieben werden, wenn Sie beim Hinzufügen eines neuen fernen Warteschlangenmanagers einen neuen Sicherheitsexit definieren.
Der Sicherheitsexit für alle über einen Client verbundenen Warteschlangenmanager in einem Set kann geändert werden. Die TLS-Optionen können überschrieben werden, wenn Sie einen neuen fernen Warteschlangenmanager hinzufügen.
Element | Beschreibung |
---|---|
Exitname | Gibt den Namen des Exitprogramms an, das vom Sicherheitsexit ausgeführt werden soll. Exit name kann bis zu 1024 Zeichen lang sein und die Groß-/Kleinschreibung muss beachtet werden. Exit name kann ein vollständig qualifizierter Java-Klassenname im Verzeichnis oder in der JAR-Datei sein. Exit name kann ein C-Exit mit folgendem Format sein: dll_name(function_name) . Zur Standortangabe von C-Exits wird immer der Standardpfad für Exits verwendet. Sie können den Standort der Exit-Bibliothek erst dann in diesem Eingabefeld angeben, wenn der Standardpfad festgelegt wurde. |
in Verzeichnis | Gibt das Verzeichnis für den Sicherheitsexit an (nur Java-Exits). |
in Jar | Gibt die JAR-Datei für den Sicherheitsexit an (nur Java-Exits). |
Exitdaten | Exit data kann bis zu 32 Zeichen lang sein. Wenn für dieses Attribut kein Wert festgelegt wurde, bleibt dieses Feld leer. |
SSL/TLS-Optionen
Wählen Sie SSL-Standardoptionen aktivieren aus, um die SSL/TLS-Standardoptionen für alle Clientverbindungen in demselben IBM MQ Explorerzu aktivieren. Die SSL/TLS-Optionen für alle über einen Client verbundenen Warteschlangenmanager in einem Set können geändert werden. Die SSL/TLS-Optionen können überschrieben werden, wenn Sie einen neuen fernen Warteschlangenmanager hinzufügen.
Element | Beschreibung |
---|---|
SSL-Verschl.spezifikation | Eine CipherSpec (CipherSpecification; Verschlüsselungsspezifikation) erkennt die Kombination aus
Verschlüsselungsalgorithmus und Hashfunktion, die von einer SSL/TLS-Verbindung verwendet wird. Eine CipherSpec ist Teil einer
CipherSuite, die das Verfahren für den Schlüsselaustausch und die
Authentifizierung sowie die Algorithmen für die
Verschlüsselung und die Hashfunktion angibt. Die Größe des Schlüssels, der während des Handshakes verwendet wird, kann von dem von Ihnen verwendeten digitalen Zertifikat abhängen, aber einige der von IBM MQ unterstützten CipherSpecs enthalten eine Spezifikation der Größe des Handshakeschlüssels. Größere Handshake-Schlüssel ermöglichen eine strengere Authentifizierung. Bei kleineren Schlüsselgrößen ist der Handshake schneller. Weitere Informationen finden Sie unter CipherSpecs und CipherSuites in IBM Documentation. |
SSL-FIPS erforderlich | Wählen Sie Ja aus, wenn nur FIPS-zertifizierte Cipher Suites verwendet werden sollen. Bei Auswahl von Ja müssen alle TLS-Verbindungen FIPS-zertifizierte Cipher-Suites zu verwenden. Wählen Sie Nein aus, wenn alle verfügbaren Cipher Suites verwendet werden können. Die Standardeinstellung ist Nein. Wenn Sie diese Einstellung von 'Ja' in 'Nein' bzw. von 'Nein' in 'Ja' ändern, wird ein Dialog geöffnet, in dem Sie gefragt werden, ob Sie einen Neustart von MQ Explorer durchführen möchten. An dieser Einstellung vorgenommene Änderungen werden erst angewendet, nachdem MQ Explorer erneut gestartet wurde. |
Zähler für SSL-Rückstellungen | Geben Sie die Anzahl Bytes an (von 0 bis 999 999 999), die innerhalb eines TLS-Datenaustausches gesendet und empfangen werden, bevor der geheime Schlüssel neu festgelegt wird. Der Wert 0 gibt an, dass der geheime Schlüssel nie neu festgelegt wird. Die Anzahl der Bytes umfasst Steuerinformationen, die vom Nachrichtenkanalagenten (MCA) gesendet werden. Wenn der Wert dieses Attributs größer als 0 ist und der Wert des Attributs 'Intervall der Überwachungssignale' in den Kanaleigenschaften ebenfalls größer als 0 ist, wird der geheime Schlüssel auch neu festgelegt, bevor Nachrichtendaten nach einem Kanalüberwachungssignal gesendet oder empfangen werden. |
Peer-Name | Der von TLS zu verwendende definierte Name (Distinguished Name = DN) des Warteschlangenmanagers. Der Peer-Name wird festgelegt, um anzugeben, dass Verbindungen nur zulässig sind, wenn der Server erfolgreich als ein bestimmter definierter Name authentifiziert werden konnte. |
SSL/TLS-Speicher
Wählen Sie SSL-Standardspeicher aktivieren aus, um mit dem vertrauenswürdigen Zertifikatsspeicher und dem persönlichen Zertifikatsspeicher zu arbeiten.
Informationen zum Konfigurieren von IBM MQ Explorer mit der Position und dem Kennwort des SSL/TLS-Zertifikatsspeichers finden Sie unter Standardposition und Standardkennwort für TLS-Zertifikate angeben.
Durch die Aktivierung der SSL/TLS-Standardspeicher kann IBM MQ Explorer die Zertifikate im TrustStore und KeyStore verwenden, um eine Verbindung zu fernen Warteschlangenmanagern mit einer TLS-aktivierten Verbindung herzustellen.
Die SSL/TLS-Speicher für alle über einen Client verbundenen Warteschlangenmanager in einem Set können geändert werden. Die SSL/TLS-Speicher können überschrieben werden, wenn Sie einen neuen fernen Warteschlangenmanager hinzufügen.