使用 TLS 来保护通道
TLS(传输层安全性)协议使队列管理器能够与其他队列管理器或客户机安全地通信。
关于本任务
TLS 概念
支持 TLS 的连接在以下方面是安全的:
- 认证:为启动支持 TLS 的连接的队列管理器或客户机确定其所连接至的队列管理器的身份,而要接收连接的队列管理器则可检查要启动连接的队列管理器或客户机的身份。
- 消息隐私:通过使用唯一的会话密钥,TLS(如果已配置的话)可加密通过连接进行交换的所有信息。 这可以确保信息在受到未授权方拦截时不会被看到。
- 消息完整性:数据不会因连接而被篡改。
- 认证中心链:认证中心 (CA) 链中的每个证书都由该链中其父证书标识的实体来签署。 此链的头部是根 CA 证书。 根证书总是由根 CA 自己签署。 此链中所有证书的签名都必须被验证。
顺序概述
如以下步骤所述,安全性有两个阶段。
过程
- 当队列管理器连接至另一个队列管理器时,这两个队列管理器执行证书的标准 TLS 交换和验证检查。 如果验证成功,那么会建立连接。 要达到此目的,您必须使用适当的证书设置来配置这两个队列管理器以及它们将使用的通道。
- 当消息沿着通道从一个队列管理器发送至另一个队列管理器时,通常使用证书交换期间已建立的会话密钥来加密数据。 要达到此目的,您必须使用适当的 CipherSpec 来配置将要使用的通道。
结果
顺序详细信息
队列管理器 QM1 和 QM2 之间的典型的简单 TLS 连接顺序如下:
- QM1 连接至 QM2。
- QM2 使用的个人证书发送至 QM1。
- QM1 根据认证中心证书链来认证个人证书。
- 如果联机证书状态协议 (OCSP) 在服务器平台上受支持,那么 QM1 可以选择检查是否存在证书撤销。 有关 OCSP 的更多信息,请参阅: 使用联机证书状态协议 (OCSP)。
- QM1 可以选择根据证书撤销列表 (CRL) 检查个人证书。 有关更多信息,请参阅: 在队列管理器上配置 TLS。
- QM1 可选地应用过滤器以仅接受符合任何已定义的对等名称的个人证书。 有关更多信息,请参阅: 配置 TLS 通道。
- QM1(如果所有情况都良好的话)从 QM2 接受个人证书。
- 现在安全连接已建立。
为了更加安全,QM2 可从 QM1 请求证书,在此情况下还可能出现下列步骤:
- QM1 发送其指定的个人证书至 QM2。
- QM2 应用与先前显示相同的检查(步骤 3、4 和 5)。
- QM2(如果所有情况都良好的话)从 QM1 接受个人证书。
现在安全连接已建立。
有关更多信息,请参阅 IBM Documentation中的 保护 IBM MQ 。