Konfigurace kanálů TLS

Chcete-li nakonfigurovat kanály TLS, použijte stránku SSL dialogového okna Vlastnosti kanálu, abyste nadefinovali specifikaci šifrování, která se má použít. Kanál můžete volitelně konfigurovat tak, aby přijímal pouze certifikáty s atributy v rozlišujícím názvu vlastníka, které odpovídají zadaným hodnotám. Volitelně můžete též konfigurovat kanál správce front tak, aby správce front odmítl připojení v případě, že inicializující strana neodešle vlastní osobní certifikát.

Informace o této úloze

Chcete-li nakonfigurovat kanály v produktu IBM® MQ Explorer, postupujte takto.

Postup

  1. Otevřete produkt IBM MQ Explorer.
  2. V pohledu Navigator rozbalte složku Správci front a poté klepněte na složku Kanály .
  3. V pohledu Obsah klepněte pravým tlačítkem myši na kanál a poté klepněte na volbu Vlastnosti.
  4. V dialogovém okně Vlastnosti otevřete stránku SSL .

Výsledky

Na stránce SSL v dialogovém okně Vlastnosti kanálu proveďte následující úlohy.

Nastavení zabezpečení zpráv

Systém zpráv se zabezpečením TLS nabízí dvě metody pro zabezpečení zpráv:

  • Díky šifrování je zajištěno, že zpráva je při případném zachycení nečitelná.
  • Díky funkcím typu hash lze odhalit případný zásah do integrity zpráv.

Kombinace těchto dvou metod je označována termínem specifikace CipherSpec. Pro oba konce kanálu musí být nastavena stejná specifikace CipherSpec, jinak systém zpráv s povoleným zabezpečením TLS selže. Další informace naleznete v tématu Zabezpečení produktu IBM MQ v příručce IBM Documentation.

Na stránce SSL dialogového okna Vlastnosti proveďte některou z následujících úloh:

  • V poli Standardní šifrování vyberte standardní šifrování.
  • Jste-li pokročilým uživatelem a provádíte administraci správce front na platformě z/OS® nebo IBM i , která obsahuje nové specifikace CipherSpecs, které nejsou předem definovaným seznamem IBM MQ , zadejte do pole Vlastní šifry specifickou hodnotu pro specifikaci CipherSpec pro danou platformu.

Filtrování certifikátů podle jmen vlastníků

Certifikáty obsahují rozlišující název svého vlastníka. Kanál můžete volitelně konfigurovat tak, aby přijímal pouze certifikáty s atributy v rozlišujícím názvu vlastníka, které odpovídají zadaným hodnotám. To lze provést zaškrtnutím políčka Přijmout pouze certifikáty s rozlišujícími názvy shodnými s těmito hodnotami.

Názvy atributů, které IBM MQ mohou filtrovat, jsou vypsány v následující tabulce:

Názvy atributů Význam
SERIALNUMBER Sériové číslo certifikátu
MAIL E-mailová adresa
[ Zamítnuto]E E-mailová adresa (zamítnuto ve prospěch volby MAIL)
UID nebo USERID Identifikátor uživatele
CN Obecný název
T Titulek
OU Název organizační jednotky
DC Komponenta domény
O Název organizace
STREET Ulice/první řádek adresy
L Název umístění
ST (nebo SP či S) Název státu nebo správního celku
PC PSČ
C Země
UNSTRUCTUREDNAME Název hostitele
UNSTRUCTUREDADDRESS Adresa IP
DNQ Kvalifikátor rozlišujícího názvu

V poli Přijmout pouze certifikáty s rozlišujícími názvy shodnými s těmito hodnotami můžete na začátku nebo na konci hodnoty atributu namísto libovolného počtu znaků použít zástupné znaky (*). Chcete-li například přijmout pouze certifikáty od jakékoli osoby s názvem končícímSmithpráce proIBMINGB, zadejte:


CN=*Smith, O=IBM, C=GB

Ověřování stran inicializujících připojení ke správci front

Pokud připojení s povoleným zabezpečením ke správci front inicializuje jiná strana, musí správce front inicializující straně odeslat jako důkaz identity osobní certifikát. Volitelně můžete též konfigurovat kanál správce front tak, aby správce front odmítl připojení v případě, že inicializující strana neodešle vlastní osobní certifikát. Chcete-li provést tuto akci, vyberte na stránce SSL v dialogovém okně Vlastnosti kanálu v seznamu Ověřování stran navazujících připojení položku Vyžadováno.