Configuración de canales TLS con IBM MQ Explorer
Para configurar canales TLS en IBM® MQ Explorer, se utiliza la página SSL del cuadro de diálogo Propiedades del canal para definir la especificación de cifrado que se utilizará. Existe la opción de configurar un canal para que sólo acepte certificados que tengan atributos en el nombre distinguido del propietario que coincidan con los valores dados. También puede configurar opcionalmente un canal del gestor de colas para que el gestor rehúse la conexión si la parte iniciadora no envía su propio certificado personal.
Acerca de esta tarea
Para configurar canales en IBM MQ Explorer, realice los pasos siguientes.
Procedimiento
- Abra IBM MQ Explorer.
- En la vista Navigator , expanda la carpeta Gestores de colas y, a continuación, pulse la carpeta Canales .
- En la vista Contenido , pulse con el botón derecho del ratón en el canal y, a continuación, pulse Propiedades.
- En el diálogo Propiedades , abra la página SSL .
Resultados
Utilice la página SSL del diálogo Propiedades de canal para las tareas siguientes.
Definición de la Seguridad de mensajes
La mensajería habilitada para TLS ofrece dos métodos para garantizar la seguridad de los mensajes:
- El cifrado asegura que si el mensaje es interceptado, no podrá leerse.
- Las funciones hash aseguran que si el mensaje se modifica, esta acción se detecta.
La combinación de estos métodos se denomina especificación de cifrado o CipherSpec. Se debe definir la misma CipherSpec para ambos extremos de un canal, de lo contrario la mensajería habilitada para TLS falla. Para obtener más información, consulte Asegurar IBM MQen IBM Documentation.
En la página SSL del diálogo Propiedades, efectúe una de las acciones siguientes:
- En el campo Cifra estándar, seleccione una cifra estándar.
Si es un usuario avanzado en z/OS®, y está administrando una plataforma de gestor de colas que incluye nuevos CipherSpecs que no son la lista IBM MQ predefinida, introduzca un valor específico de la plataforma para un CipherSpec en el campo Cifras personalizadas.
Si es un usuario avanzado en IBM i, y está administrando un gestor de colas que incluye nuevos CipherSpecs que no son la lista predefinida de IBM MQ, introduzca un valor específico de la plataforma para un CipherSpec en el campo Cifras personalizadas.
Filtrado de certificados en nombre de su propietario
Los certificados contienen el nombre distinguido del propietario del certificado. Existe la opción de configurar el canal para que sólo acepte certificados que tengan atributos en el nombre distinguido del propietario que coincidan con los valores dados. Para hacer esto, active el recuadro de selección Aceptar únicamente certificados con nombres distinguidos que coincidan con estos valores.
Los nombres de atributo que IBM MQ puede filtrar se listan en la tabla siguiente:
Nombres de atributo | Significado |
---|---|
SERIALNUMBER | Número de serie de certificado |
Dirección de correo electrónico | |
![]() |
Dirección de correo electrónico (En desuso por ser preferible MAIL) |
UID o USERID | Identificador de usuario |
CN | Nombre común |
T | Título |
OU | Nombre de la unidad organizativa |
DC | Componente de dominio |
O | Nombre de la organización |
CALLE | Calle / Primera línea de dirección |
L | Nombre de la localidad |
ST (o SP o S) | Nombre del estado o provincia |
PC | Código postal |
C | País |
UNSTRUCTUREDNAME | Nombre de host |
UNSTRUCTUREDADDRESS | Dirección IP |
DNQ | Calificador de nombre distinguido |
En el campo Aceptar sólo certificados con nombres distinguidos que coincidan con estos valores, puede utilizar el carácter comodín (*) al principio o al final del valor del atributo, como sustituto de todos los caracteres que desee. Por ejemplo, para aceptar sólo certificados de cualquier persona con un nombre que termine conSmithtrabajar paraIBMenGB, escriba:
CN=*Smith, O=IBM, C=GB
Autenticación de entidades que inician conexiones con un gestor de colas
Cuando otra parte inicie una conexión habilitada para TLS con un gestor de colas, el gestor de colas debe enviar su certificado personal a la parte iniciadora como prueba de la identidad. También puede configurar opcionalmente el canal del gestor de colas para que el gestor rehúse la conexión si la parte iniciadora no envía su propio certificado personal. Para hacerlo, en la página SSL del diálogo Propiedades de canal, seleccione Obligatorio de la lista Autenticación de partes que inician conexiones.