Configurando canais TLS

Para configurar canais TLS, use a página SSL do diálogo Propriedades do canal para definir a especificação de código a ser usada. É possível opcionalmente configurar um canal para aceitar somente certificados com atributos no nome distinto do proprietário que corresponde a valores fornecidos. Também é possível opcionalmente configurar um canal do gerenciador de filas para que o gerenciador de filas recuse a conexão se a parte iniciante não enviar seu próprio certificado pessoal.

Sobre esta tarefa

Para configurar canais em IBM® MQ Explorer, complete as etapas a seguir.

Procedimento

  1. Abrir IBM MQ Explorer.
  2. Na visualização Navigator , expanda a pasta Gerenciadores de Filas , em seguida, clique na pasta Channels .
  3. Na visualização Conteúdo , clique com o botão direito do mouse no canal, em seguida, clique em Propriedades.
  4. No diálogo Propriedades , abra a página SSL .

Resultados

Use a página SSL do diálogo de Propriedades do Canal para as tarefas a seguir.

Configurando a Segurança das Mensagens

O sistema de mensagens ativado para TLS oferece dois métodos para assegurar a segurança da mensagem:

  • A criptografia assegura que se a mensagem for interceptada, será ilegível.
  • As funções hash asseguram que se a mensagem for alterada, isso será detectado.

A combinação desses métodos é chamada de especificação de criptografia ou CipherSpec. O mesmo CipherSpec deve ser configurado para as duas extremidades de um canal, caso contrário, o sistema de mensagens ativado para TLS falhará. Para obter mais informações, consulte Securing IBM MQ em IBM Documentation.

Na página SSL do diálogo Propriedades, proceda de uma das seguintes formas:

  • No campo Criptografia padrão, selecione uma criptografia padrão.
  • Se você for um usuário avançado e estiver administrando um gerenciador de filas em uma plataforma z/OS® ou IBM i que inclui novas CipherSpecs que não são a lista predefinida IBM MQ , insira um valor específico da plataforma para um CipherSpec no campo Cifras Customizadas .

Filtrando Certificados pelo Nome do Proprietário

Os certificados contêm o nome distinto do proprietário do certificado. Opcionalmente, é possível configurar o canal para aceitar apenas certificados com atributos no nome distinto do proprietário que correspondam a valores fornecidos. Para fazer isso, selecione a caixa de opções Aceitar apenas certificados com Nomes Distintos que correspondam a esses valores.

Os nomes de atributos que IBM MQ podem filtrar estão listados na tabela a seguir:

Nomes de atributos Significado
SERIALNUMBER Número de série do certificado
MAIL Endereço de e-mail
[Descontinuado]E Endereço de e-mail (descontinuado na preferência para MAIL)
UID ou USERID Identificador de usuários
CN Nome Comum
T Título
OU Nome de Unidade Organizacional
DC Componente de domínio
O Nome da organização
STREET Rua / Primeira linha do endereço
L Nome da localidade
ST (ou SP ou S) Nome do estado ou região
PC Código Postal / Código de Endereçamento Postal
C País
UNSTRUCTUREDNAME Nome do host
UNSTRUCTUREDADDRESS endereço IP
DNQ Qualificador de Nome Distinto

No campo Aceitar somente certificados com Nomes Distintos correspondentes a esses valores, você pode utilizar o caractere curinga (*) no começo ou no final do valor do atributo, no lugar de qualquer número de caracteres. Por exemplo, para aceitar apenas certificados de qualquer pessoa com um nome terminando comSmithtrabalhando paraIBMemGB, tipo:


CN=*Smith, O=IBM, C=GB

Autenticando Partes que Iniciam Conexões com um Gerenciador de Filas

Quando outra parte inicia uma conexão ativada para TLS com um gerenciador de filas, este deve enviar seu certificado pessoal à parte iniciante como prova de identidade. Também é possível configurar opcionalmente o canal do gerenciador de filas, para que o gerenciador de filas recuse a conexão se a parte iniciante não enviar seu próprio certificado pessoal. Para fazer isso, na página SSL do diálogo de Propriedades do Canal, selecione Obrigatório na lista Autenticação de partes que iniciam conexões.