Konfigurieren von TLS-Kanälen mit IBM MQ Explorer

Um TLS-Kanäle in IBM® MQ Explorer zu konfigurieren, verwenden Sie die Seite SSL des Dialogs Kanaleigenschaften, um die zu verwendende Verschlüsselungsspezifikation zu definieren. Optional können Sie den Kanal auch so konfigurieren, dass nur Zertifikate akzeptiert werden, deren Attribute im DN des Eigners bestimmten Werten entsprechen. Auch den Kanal des Warteschlangenmanagers können Sie optional so konfigurieren, dass der Warteschlangenmanager die Verbindung ablehnt, wenn die einleitende Partei kein persönliches Zertifikat sendet.

Informationen zu dieser Task

Hinweis: Um Kanäle in IBM MQ zu konfigurieren, siehe Konfiguration von TLS-Kanälen in IBM Documentation .

Führen Sie die folgenden Schritte aus, um Kanäle in IBM MQ Explorerzu konfigurieren:

Verfahren

  1. Öffnen Sie IBM MQ Explorer.
  2. Erweitern Sie in der Ansicht Navigator den Ordner Warteschlangenmanager und klicken Sie dann auf den Ordner Kanäle .
  3. Klicken Sie in der Inhaltsansicht mit der rechten Maustaste auf den Kanal und klicken Sie dann auf Eigenschaften.
  4. Öffnen Sie im Dialog Eigenschaften die Seite SSL .

Ergebnisse

Verwenden Sie die Seite SSL des Dialogs Kanaleigenschaften für die folgenden Tasks.

Festlegen der Nachrichtensicherheit

Die TLS-gesicherte Nachrichtenübertragung stellt zwei Methoden zur Gewährleistung der Nachrichtensicherheit bereit:

  • Durch die Verschlüsselung wird sichergestellt, dass eine unbefugt abgefangene Nachricht unlesbar ist.
  • Durch Hash-Funktionen wird eine Änderung der Nachricht entdeckt.

Die Kombination dieser Methoden wird Verschlüsselungsspezifikation oder CipherSpec genannt. Es ist wichtig, dass für beide Kanalenden dieselbe CipherSpec festgelegt wird, da andernfalls die TLS-gesicherte Nachrichtenübertragung fehlschlägt. Weitere Informationen finden Sie unter Sicherung von IBM MQ in IBM Documentation.

Führen Sie auf der Seite SSL des Dialogs Eigenschaften eine der folgenden Aktionen aus:

  • Wählen Sie im Feld Standardverschlüsselung eine Standardverschlüsselung aus.
  • [z/OS]Wenn Sie ein fortgeschrittener Benutzer auf z/OS® sind und eine Warteschlangenmanager-Plattform verwalten, die neue CipherSpecs enthält, die nicht die IBM MQ vordefinierte Liste sind, geben Sie einen plattformspezifischen Wert für ein CipherSpec in das Feld Benutzerdefinierte Chiffren ein.
  • [IBM i]Wenn Sie ein fortgeschrittener Benutzer auf IBM i sind und einen Warteschlangenmanager verwalten, der neue CipherSpecs enthält, die nicht die IBM MQ vordefinierte Liste sind, geben Sie einen plattformspezifischen Wert für einen CipherSpec in das Feld Benutzerdefinierte Chiffren ein.

Zertifikate nach dem Namen des zugehörigen Eigners filtern

Zertifikate enthalten den definierten Namen (DN) des Zertifikateigners. Sie können den Kanal optional so konfigurieren, dass nur Zertifikate akzeptiert werden, deren Attribute im DN des Eigners bestimmten Werten entsprechen. Wählen Sie in diesem Fall das Kontrollkästchen Nur Zertifikate mit den folgenden DNs (Distinguished Names) akzeptieren aus.

Die Attributnamen, die IBM MQ filtern kann, sind in der folgenden Tabelle aufgelistet:

Attributnamen Bedeutung
SERIALANZAHL Seriennummer des Zertifikats
MAIL E-Mail-Adresse
[Veraltet]E E-Mail-Adresse (wird nicht weiter unterstützt; MAIL wird verwendet)
UID oder USERID Benutzer-ID
CN Allgemeiner Name
T Titel
OU Name der Organisationseinheit
Gleichstrom Domänenkomponente
O Organisationsname
STREET Straße / Erste Adresszeile
L Lokalitätsname
ST (oder SP oder S) Name des Bundeslandes oder der Provinz
PC Postleitzahl
C Land
UNSTRUKTUREDNAME Hostname
UNSTRUKTUREDADRESSE IP-Adresse
DNQ Qualifikationsmerkmal für den definierten Namen

Im Feld Nur Zertifikate mit den folgenden definierten Namen (DNs) akzeptieren kann am Anfang oder Ende des Peernamens ein Platzhalterzeichen (*) verwendet werden, das eine beliebige Anzahl an Zeichen ersetzt. Wenn Sie beispielsweise nur Zertifikate von Personen akzeptieren möchten, deren Name mitSmithArbeiten fürIBMLinkedInGB, Typ:


CN=*Smith, O=IBM, C=GB

Authentifizierung von Parteien, die Verbindungen zu Warteschlangenmanagern herstellen

Wenn eine andere Partei eine TLS-gesicherte Verbindung zu einem Warteschlangenmanager einleitet, muss der Warteschlangenmanager sein persönliches Zertifikat als Identitätsnachweis an die einleitende Partei senden. Optional können Sie auch den Kanal des Warteschlangenmanagers so konfigurieren, dass der Warteschlangenmanager die Verbindung ablehnt, wenn die einleitende Partei kein persönliches Zertifikat sendet. Wählen Sie dazu auf der Seite SSL des Dialogs Kanaleigenschaften in der Liste Authentifizierung von Parteien, die Verbindungen aufbauen die Option Erforderlich aus.