デフォルトのセキュリティー設定

セキュリティー出口は、同じ IBM® MQ Explorer内のすべてのクライアント接続に対して定義できます。 その出口のことをデフォルトのセキュリティー出口といいます。ここでは、セキュリティー出口の設定について説明します。

デフォルトのセキュリティー設定は、「設定」ダイアログに含まれています。そのダイアログを開くには、以下のようにします。
  1. Windows > 「設定 ...」をクリックします。 「設定」ダイアログが開きます。
  2. 「MQ エクスプローラー」を展開します。
  3. 「クライアント接続」を展開します。 デフォルトのセキュリティー設定のダイアログにアクセスできるようになります。

セキュリティー出口

「デフォルト・セキュリティー出口を使用可能にする」 を選択して、同じ IBM MQ Explorer内のすべてのクライアント接続に対してデフォルト・セキュリティー出口を設定します。 セットに含まれているすべてのクライアント接続キュー・マネージャーのセキュリティー出口を変更できます。 そのセキュリティー出口は、新しいリモート・キュー・マネージャーを追加するときに、新しいセキュリティー出口を定義することによってオーバーライドできます。

セットに含まれているすべてのクライアント接続キュー・マネージャーのセキュリティー出口を変更できます。 TLS オプションは、新しいリモート・キュー・マネージャーを追加するときにオーバーライドできます。

項目 説明
出口名 セキュリティー出口によって実行する出口プログラムの名前を指定します。 「Exit name」は、最大で 1024 文字の長さになります。大/小文字の区別があります。 「Exit name」には、ディレクト リーまたは JAR ファイルに格納されている Java クラスの完全修飾名を指定できます。「 Exit name」として、C 出口 (形式は dll_name(function_name)) を指定することもできます。 C 出口を見つける場合には、この出口のデフォルト・パスが必ず使用されます。デフォルト・パスが設定されていない場合以外は、この項目フィールドで出口ライブラリーの場所を指定することはできません。
ディレクトリー内 セキュリティー出口のディレクトリーを指定します。 (Java 出口のみ)
jar 内 セキュリティー出口の jar ファイルを指定します。 (Java 出口のみ)
出口データ Exit data」の最大長は 32 文字です。 この属性に値が定義されていない場合、このフィールドはすべてブランクになります。

SSL/TLS オプション

同じ IBM MQ Explorer内のすべてのクライアント接続に対してデフォルトの SSL/TLS オプションを有効にするには、 「デフォルトの SSL オプションを有効にする」 を選択します。 セットに含まれているすべてのクライアント接続キュー・マネージャーの SSL/TLS オプションを変更できます。 SSL/TLS オプションは、新しいリモート・キュー・マネージャーを追加するときにオーバーライドできます。

項目 説明
SSL CipherSpec 「CipherSpec」では、SSL/TLS 接続で使用する暗号化アルゴリズムとハッシュ機能の組み合わせを指定します。 「CipherSpec」は、「CipherSuite」の一部になっています。「CipherSuite」では、暗号化とハッシュ機能のアルゴリズムのほかに鍵交換メカニズムと認証メカニズムも指定します。

ハンドシェーク時に使用される鍵のサイズは、使用するデジタル証明書によって異なりますが、 IBM MQ によってサポートされる一部の CipherSpecs には、ハンドシェークの鍵サイズの指定が含まれています。 ハンドシェークの鍵サイズが大きければ、認証機能が強力になります。 鍵のサイズが小さいほど、ハンドシェークは高速になります。

詳しくは、 IBM DocumentationCipherSpecs および CipherSuites を参照してください。

SSL FIPS が必須

FIPS 認証暗号スイートだけを使用する場合は、「はい」を選択します。 「はい」を選択すると、すべての TLS 接続で FIPS 認証暗号スイートを使用することが必要になります。

使用可能な暗号スイートをどれでも使用できるようにする場合は、「いいえ」を選択します。

デフォルト設定は 「いいえ」です。

この設定を「はい」から「いいえ」、または「いいえ」から「はい」に変更すると、MQ エクスプローラーを再始動するかどうかを確認するためのダイアログが開きます。

MQ エクスプローラーを再始動するまで、この設定の変更は適用されません。

[MQ 9.4.0 2024 年 6 月]Note: version 9.3.5 から、IBM MQ Explorer は SSL FIPS 準拠モードをサポートしていません。 このオプションを無効にするか、IBM MQ Explorerの以前のバージョンを使用する必要があります。
SSL リセット・カウント 0 から 999 999 999 の範囲で、TLS 会話内で送受信されるバイト数を入力します。この数を超えると秘密鍵が再びネゴシエーションされます。 0 の値は、秘密鍵が再びネゴシエーションされないことを意味します。 バイト数には、メッセージ・チャネル・エージェント (MCA) によって送信される制御情報が含まれます。 この属性の値が 0 より大きく、「チャネル・プロパティー」の「ハートビート間隔」属性の値が 0 より大きい場合、メッセージ・データがチャネル・ハートビートに続いて送受信される前に、秘密鍵も再度ネゴシエーションされます。
ピア名 TLS で使用するキュー・マネージャーの識別名 (DN)。 このピア名を設定すると、サーバーが特定の DN として正常に認証された場合に限って接続が認められることになります。

SSL/TLS ストア

トラステッド証明書ストアと個人証明書ストアを操作する場合は、「デフォルトの SSL ストアを使用可能にする」を選択します。

SSL/TLS 証明書ストアのロケーションとパスワードを使用して IBM MQ Explorer を構成するには、 TLS 証明書のデフォルト・ロケーションとデフォルト・パスワードの指定を参照してください。

デフォルトの SSL/TLS ストアを有効にすると、 IBM MQ Explorer は TrustStore および KeyStore 内の証明書を使用して、TLS 対応接続でリモート・キュー・マネージャーに接続できます。

セットに含まれているすべてのクライアント接続キュー・マネージャーの SSL/TLS ストアを変更できます。 SSL/TLS ストアは、新しいリモート・キュー・マネージャーを追加するときにオーバーライドできます。