配置 TLS 通道

若要配置 TLS 通道,請使用「 通道內容 」對話框的 SSL 頁面來定義要使用的密碼規格。 您可以選擇性地配置通道,讓它僅接受擁有者識別名稱中的屬性符合給定值的憑證。 您可以選擇性地配置佇列管理程式通道,讓佇列管理程式可以在起始方未傳送自己的個人憑證時拒絕連線。

關於此作業

若要在 IBM® MQ Explorer 中配置通道,請完成下列步驟。

程序

  1. 開啟 IBM MQ Explorer
  2. 在「 Navigator 」視圖中,展開 佇列管理程式 資料夾,然後按一下 通道 資料夾。
  3. 在「 內容 」視圖中,用滑鼠右鍵按一下通道,然後按一下 內容
  4. 在「 內容 」對話框中,開啟 SSL 頁面。

結果

針對下列作業,使用「 通道內容 」對話框的 SSL 頁面。

設定訊息安全

啟用 TLS 的傳訊提供兩種方法來確保訊息的安全:

  • 加密可確保如果訊息遭到攔截,它是無法閱讀的。
  • 雜湊函數可確保如果訊息遭到變更,會被偵測出來。

這些方法的組合稱為密碼規格或 CipherSpec。 通道兩端必須設定相同的 CipherSpec,否則,啟用 TLS 的傳訊會失敗。 如需相關資訊,請參閱 IBM Documentation中的 保護 IBM MQ

在「 內容 」對話框的 SSL 頁面上,執行下列其中一項:

  • 標準密碼欄位中,選取標準密碼。
  • 如果您是進階使用者,且您在 z/OS®IBM i 平台上管理佇列管理程式,其中包含的新 CipherSpec 不在 IBM MQ 預先定義的清單中,請在自訂密碼欄位中針對 CipherSpec 輸入特定平台專用的值。

以其擁有者的名稱過濾憑證

憑證含有憑證擁有者的識別名稱。 您可以選擇性地配置通道,讓它僅接受擁有者識別名稱中的屬性符合給定值的憑證。 要執行這項作業,請選取只接受識別名稱符合這些值的憑證勾選框。

IBM MQ 可過濾的屬性名稱列在下表中:

屬性名稱 意義
SERIALNUMBER 憑證序號
MAIL 電子郵件位址
[已淘汰]E 電子郵件位址(已淘汰,最好使用 MAIL)
UID 或 USERID 使用者 ID
CN 通用名稱
T 標題
OU 組織單位名稱
DC 網域元件
O 組織名稱
STREET 街道/地址的第一行
L 地區名稱
ST(或 SP、S) 州/省(縣/市)名稱
PC 郵遞區號
C 國家/地區
UNSTRUCTUREDNAME 主機名稱
UNSTRUCTUREDADDRESS IP 位址
DNQ 識別名稱限定元

只接受識別名稱符合這些值的憑證欄位中,您可以在屬性值的前後使用萬用字元 (*) 來代替任何數目的字元。 例如,僅接受來自名稱以結尾的任何人員的憑證SmithIBMGB,類型:


CN=*Smith, O=IBM, C=GB

鑑別起始連線至佇列管理程式的各方

當另一方對佇列管理程式起始啟用 TLS 的連線時,佇列管理程式必須傳送其個人憑證給起始方作為身分證明。 您可以選擇性地配置佇列管理程式通道,讓佇列管理程式可以在起始方未傳送自己的個人憑證時,拒絕連線。 若要這麼做,請在「 通道內容 」對話框的 SSL 頁面上,從 鑑別起始連線的各方 清單中選取 必要