Configuração de canais TLS com IBM MQ Explorer
Para configurar canais TLS em IBM® MQ Explorer, você usa a página SSL da caixa de diálogo Propriedades do canal para definir a especificação de cifra a ser usada. É possível opcionalmente configurar um canal para aceitar somente certificados com atributos no nome distinto do proprietário que corresponde a valores fornecidos. Também é possível opcionalmente configurar um canal do gerenciador de filas para que o gerenciador de filas recuse a conexão se a parte iniciante não enviar seu próprio certificado pessoal.
Sobre esta tarefa
Para configurar canais em IBM MQ Explorer, complete as etapas a seguir.
Procedimento
- Abrir IBM MQ Explorer.
- Na visualização Navigator , expanda a pasta Gerenciadores de Filas , em seguida, clique na pasta Channels .
- Na visualização Conteúdo , clique com o botão direito do mouse no canal, em seguida, clique em Propriedades.
- No diálogo Propriedades , abra a página SSL .
Resultados
Use a página SSL do diálogo de Propriedades do Canal para as tarefas a seguir.
Configurando a Segurança das Mensagens
O sistema de mensagens ativado para TLS oferece dois métodos para assegurar a segurança da mensagem:
- A criptografia assegura que se a mensagem for interceptada, será ilegível.
- As funções hash asseguram que se a mensagem for alterada, isso será detectado.
A combinação desses métodos é chamada de especificação de criptografia ou CipherSpec. O mesmo CipherSpec deve ser configurado para as duas extremidades de um canal, caso contrário, o sistema de mensagens ativado para TLS falhará. Para obter mais informações, consulte Segurando IBM MQ em IBM Documentation.
Na página SSL do diálogo Propriedades, proceda de uma das seguintes formas:
- No campo Criptografia padrão, selecione uma criptografia padrão.
Se você for um usuário avançado em z/OS® e estiver administrando uma plataforma de gerenciador de filas que inclua novos CipherSpecs que não sejam a lista predefinida de IBM MQ, insira um valor específico da plataforma para um CipherSpec no campo Cifras personalizadas.
Se você for um usuário avançado em IBM i e estiver administrando um gerenciador de filas que inclua novas CipherSpecs que não sejam a IBM MQ lista predefinida, insira um valor específico da plataforma para uma CipherSpec no campo Cifras personalizadas.
Filtrando Certificados pelo Nome do Proprietário
Os certificados contêm o nome distinto do proprietário do certificado. Opcionalmente, é possível configurar o canal para aceitar apenas certificados com atributos no nome distinto do proprietário que correspondam a valores fornecidos. Para fazer isso, selecione a caixa de opções Aceitar apenas certificados com Nomes Distintos que correspondam a esses valores.
Os nomes de atributos que IBM MQ podem filtrar estão listados na tabela a seguir:
Nomes de atributos | Significado |
---|---|
SERIALNUMBER | Número de série do certificado |
Endereço de e-mail | |
![]() |
Endereço de e-mail (descontinuado na preferência para MAIL) |
UID ou USERID | Identificador de usuários |
CN | Nome Comum |
T | Título |
OU | Nome de Unidade Organizacional |
DC | Componente de domínio |
O | Nome da organização |
STREET | Rua / Primeira linha do endereço |
L | Nome da localidade |
ST (ou SP ou S) | Nome do estado ou região |
PC | Código Postal / Código de Endereçamento Postal |
C | País |
UNSTRUCTUREDNAME | Nome do host |
UNSTRUCTUREDADDRESS | endereço IP |
DNQ | Qualificador de Nome Distinto |
No campo Aceitar somente certificados com Nomes Distintos correspondentes a esses valores, você pode utilizar o caractere curinga (*) no começo ou no final do valor do atributo, no lugar de qualquer número de caracteres. Por exemplo, para aceitar apenas certificados de qualquer pessoa com um nome terminando comSmithtrabalhando paraIBMemGB, tipo:
CN=*Smith, O=IBM, C=GB
Autenticando Partes que Iniciam Conexões com um Gerenciador de Filas
Quando outra parte inicia uma conexão ativada para TLS com um gerenciador de filas, este deve enviar seu certificado pessoal à parte iniciante como prova de identidade. Também é possível configurar opcionalmente o canal do gerenciador de filas, para que o gerenciador de filas recuse a conexão se a parte iniciante não enviar seu próprio certificado pessoal. Para fazer isso, na página SSL do diálogo de Propriedades do Canal, selecione Obrigatório na lista Autenticação de partes que iniciam conexões.