配置 TLS 通道

要配置 TLS 通道,请使用 " 通道属性 " 对话框的 SSL 页面来定义要使用的密码规范。 您可以选择将此通道配置为仅接受含有与给定值匹配的所有者专有名称中属性的证书。 您还可以选择配置队列管理器通道,以便在启动方不发送其自有个人证书时,此队列管理器会拒绝连接。

关于本任务

要在 IBM® MQ Explorer中配置通道,请完成以下步骤。

过程

  1. 打开 IBM MQ Explorer
  2. Navigator 视图中,展开 队列管理器 文件夹,然后单击 通道 文件夹。
  3. 在 " 内容 " 视图中,右键单击通道,然后单击 属性
  4. 在 " 属性 " 对话框中,打开 SSL 页面。

结果

将 " 通道属性 " 对话框的 SSL 页面用于以下任务。

设置消息安全性

支持 TLS 的消息传递提供了两种方法来确保消息的安全性:

  • 加密确保一旦此消息被拦截,它也是不可读的。
  • 散列函数确保一旦此消息被改变,也会检测到这一情况。

这些方法的组合称为密码规范或 CipherSpec。 必须为通道的两端设置相同的 CipherSpec,否则支持 TLS 的消息传递将失败。 有关更多信息,请参阅 IBM Documentation中的 保护 IBM MQ

在 " 属性 " 对话框的 SSL 页面上,执行下列其中一项操作:

  • 标准密码字段中,选择一个标准密码。
  • 如果您是高级用户,并且要在包含非 IBM MQ 预定义列表的新 CipherSpecs 的 z/OS®IBM i 平台上管理队列管理器,请在 定制密码 字段中输入特定于平台的 CipherSpec 值。

根据其所有者的名称过滤证书

证书包含证书所有者的专有名称。 您可以选择将此通道配置为仅接受含有与给定值匹配的所有者专有名称中的属性的证书。 要执行此操作,请选择仅接受专有名称与这些值匹配的证书复选框。

下表列出了 IBM MQ 可过滤的属性名称:

属性名称 含义
SERIALNUMBER 证书序列号
MAIL 电子邮件地址
[不推荐]E 电子邮件地址(不推荐,最好使用 MAIL)
UID 或 USERID 用户标识
CN 公共名称
T 标题
OU 组织单元名称
DC 域组件
O 组织名称
STREET 街道/地址第一行
L 地区名称
ST(或 SP 或 S) 省/直辖市/自治区名称
PC 邮政编码
C 国家或地区
UNSTRUCTUREDNAME 主机名
UNSTRUCTUREDADDRESS IP 地址
DNQ 专有名称限定符

仅接受专有名称与这些值匹配的证书字段中,您可在属性值的开始处和结束处使用通配符(*)作为任意个字符的替代项。 例如,仅接受名称以Smith工作IBM独一无二的GB,类型:


CN=*Smith, O=IBM, C=GB

认证方启动与队列管理器的连接

当另一方启动对队列管理器的支持 TLS 的连接时,此队列管理器必须将其个人证书作为身份证明发送至启动方。 您还可以选择配置队列管理器通道,以便在启动方不发送其自己的个人证书时,此队列管理器拒绝连接。 为此,请在 " 通道属性 " 对话框的 SSL 页面上,从 启动连接的参与方的认证 列表中选择 必需