Domyślne preferencje zabezpieczeń
Wyjście zabezpieczeń może być zdefiniowane dla wszystkich połączeń klienckich w tym samym IBM® MQ Explorer. Takie wyjście jest znane jako domyślne wyjście zabezpieczeń. Poniżej opisano preferencje dla wyjścia zabezpieczeń.
- Kliknij kolejno opcje Preferencje. . Zostanie otwarte okno dialogowe
- Rozwiń opcję MQ Explorer.
- Rozwiń węzeł Połączenia klienckie. Okna dialogowe domyślnych ustawień zabezpieczeń będą teraz dostępne.
Wyjście zabezpieczeń
Wybierz opcję Włącz domyślne wyjście zabezpieczeń , aby ustawić domyślne wyjście zabezpieczeń dla wszystkich połączeń klienckich w tym samym produkcie IBM MQ Explorer. Wyjście zabezpieczeń dla wszystkich menedżerów kolejek znajdujących się w zestawie i połączonych z klientami może być zmieniane. Wyjście zabezpieczeń może zostać przesłonięte w przypadku zdefiniowania nowego wyjścia zabezpieczeń podczas dodawania nowego zdalnego menedżera kolejek.
Wyjście zabezpieczeń dla wszystkich menedżerów kolejek znajdujących się w zestawie i połączonych z klientami może być zmieniane. Opcje protokołu TLS mogą zostać przesłonięte podczas dodawania nowego menedżera kolejek zdalnych.
Element | Opis |
---|---|
Nazwa wyjścia | Określa nazwę programu zewnętrznego, który ma być
uruchamiany przez wyjście zabezpieczeń. Parametr Exit name może zawierać maksymalnie 1024 znaki. W przypadku tej nazwy rozróżniana jest wielkość liter. Parametr Exit name może być pełną nazwą klasy Java w katalogu lub pliku JAR.Parametr Exit name może być nazwą funkcji wyjścia języka C mającej następujący format: dll_name(function_name) . Do wyszukiwania wyjść języka C zawsze jest używana ścieżka domyślna wyjść. Nie
można określić położenia biblioteki wyjścia w tym polu wprowadzania, jeśli
ustawiona jest ścieżka domyślna. |
w katalogu | Określa katalog wyjścia zabezpieczeń (tylko wyjścia Java). |
w pliku JAR | Określa plik JAR wyjścia zabezpieczeń (tylko wyjścia Java). |
Dane wyjścia | Parametr Exit data może zawierać maksymalnie 32 znaki. Jeśli dla tego atrybutu nie zdefiniowano żadnej wartości, pole jest puste. |
Opcje protokołu SSL/TLS
Wybierz opcję Włącz domyślne opcje protokołu SSL , aby włączyć domyślne opcje protokołu SSL/TLS dla wszystkich połączeń klienckich w tym samym produkcie IBM MQ Explorer. Opcje SSL/TLS dla wszystkich menedżerów kolejek znajdujących się w zestawie i połączonych z klientami mogą być zmieniane. Opcje protokołu SSL/TLS mogą zostać przesłonięte podczas dodawania nowego zdalnego menedżera kolejek.
Element | Opis |
---|---|
CipherSpec SSL | Atrybut CipherSpec identyfikuje kombinację algorytmu
szyfrowania oraz funkcji mieszającej używaną przez połączenie SSL/TLS. Atrybut
CipherSpec stanowi część obiektu CipherSuite identyfikującego mechanizm
wymiany kluczy i uwierzytelniania, a także algorytmy szyfrowania i funkcji
mieszającej. Wielkość klucza używanego podczas uzgadniania może być uzależniona od certyfikatu cyfrowego, który jest używany, ale niektóre ze specyfikacji CipherSpecs obsługiwane przez produkt IBM MQ zawierają specyfikację wielkości klucza uzgadniania. Należy zauważyć, że klucze o większej długości zapewniają silniejsze uwierzytelnianie. Natomiast w przypadku kluczy o mniejszej długości uzgadnianie przebiega szybciej. Więcej informacji na ten temat zawiera sekcja CipherSpecs i CipherSuites w podręczniku IBM Documentation. |
Wymagane SSL FIPS | Aby używać wyłącznie zestawów algorytmów szyfrowania z certyfikatem FIPS, należy wybrać opcję Tak. Jeśli opcja Tak zostanie wybrana, to wszystkie połączenia TLS będą musiały używać zestawów algorytmów szyfrowania z certyfikatem FIPS. Aby używać dowolnych dostępnych zestawów algorytmów szyfrowania, należy wybrać opcję Nie. Ustawieniem domyślnym jest Nie. W przypadku zmiany tego ustawienia z wartości Tak na wartość Nie lub z wartości Nie na wartość Tak zostanie otwarte okno dialogowe z zapytaniem o chęć zrestartowania programu MQ Explorer. Żadne zmiany tego ustawienia nie będą uwzględnione, dopóki program MQ Explorer nie zostanie zrestartowany. |
Licznik zerowania SSL | Należy wpisać liczbę z zakresu od 0 do 999999999, która określa, ile bajtów jest wysyłanych i odbieranych w ramach konwersacji TLS przed ponownym wynegocjowaniem klucza tajnego. Podanie wartości 0 oznacza, że klucz tajny nie jest ponownie negocjowany. Liczba bajtów obejmuje informacje kontrolne wysyłane przez agent kanału komunikatów (MCA). Jeśli wartość tego atrybutu jest większa niż 0 i wartość atrybutu Okres pulsu w oknie Właściwości kanału jest większa niż 0, to klucz tajny jest również ponowne negocjowany przed wysłaniem lub odebraniem danych komunikatu zgodnie z pulsem kanału. |
Nazwa węzła sieci | Nazwa wyróżniająca (Distinguished Name - DN) menedżera kolejek na potrzeby protokołu TLS. Nazwa węzła sieci jest ustawiana w celu wskazania, że połączenia będą dozwolone wyłącznie tam, gdzie serwer zostanie pomyślnie uwierzytelniony jako serwer o konkretnej nazwie wyróżniającej. |
Magazyny SSL/TLS
Opcję Włącz domyślne magazyny SSL należy wybrać, aby móc korzystać z magazynu zaufanych certyfikatów oraz magazynu certyfikatów osobistych.
Aby skonfigurować produkt IBM MQ Explorer przy użyciu położenia i hasła bazy certyfikatów SSL/TLS, należy zapoznać się z tematem Określanie położenia domyślnego i domyślnego hasła certyfikatów TLS.
Po włączeniu domyślnych sklepów SSL/TLS produkt IBM MQ Explorer może używać certyfikatów znajdujących się w magazynie TrustStore i KeyStore w celu nawiązania połączenia ze zdalnymi menedżerami kolejek przy użyciu połączenia z obsługą protokołu TLS.
Magazyny SSL/TLS dla wszystkich menedżerów kolejek znajdujących się w zestawie i połączonych z klientami mogą być zmieniane. Magazyny SSL/TLS mogą zostać przesłonięte podczas dodawania nowego zdalnego menedżera kolejek.