Configuration des canaux TLS avec IBM MQ Explorer
Pour configurer les canaux TLS dans IBM® MQ Explorer, vous utilisez la page SSL de la boîte de dialogue Propriétés du canal pour définir la spécification de chiffrement à utiliser. Si vous le souhaitez, vous pouvez configurer un canal afin qu'il n'accepte que les certificats dont les attributs dans le nom distinctif du propriétaire correspondent aux valeurs données. Vous pouvez également configurer un canal de gestionnaire de files d'attente pour que ce dernier refuse la connexion si la partie initialisante n'envoie pas son propre certificat personnel.
A propos de cette tâche
Pour configurer des canaux dans IBM MQ Explorer, procédez comme suit.
Procédure
- Ouvrez IBM MQ Explorer.
- Dans la vue Navigator , développez le dossier Gestionnaires de files d'attente , puis cliquez sur le dossier Canaux .
- Dans la vue Contenu , cliquez avec le bouton droit de la souris sur le canal, puis cliquez sur Propriétés.
- Dans la boîte de dialogue Propriétés , ouvrez la page SSL .
Résultats
Utilisez la page SSL de la boîte de dialogue Propriétés de canal pour les tâches suivantes.
Configuration de la sécurité des messages
La messagerie compatible avec TLS propose deux méthodes pour sécuriser les messages :
- Le chiffrement, qui assure que le message ne pourra être lu, même s'il est intercepté.
- Les fonctions de hachage qui assurent que toute modification du message sera détectée.
La combinaison de ces méthodes est appelée CipherSpec, ou spécification de chiffrement. Il faut que le même CipherSpec soit défini pour chaque extrémité d'un canal ; sinon la messagerie TLS ne peut pas fonctionner. Pour plus d'informations, voir Sécurisation IBM MQ dans IBM Documentation.
Dans la page SSL de la boîte de dialogue Propriétés, procédez comme suit :
- Dans la zone Chiffrements standard, sélectionnez un chiffrement standard.
Si vous êtes un utilisateur avancé sur z/OS®, et que vous administrez une plateforme de gestion des files d'attente qui inclut de nouveaux CipherSpecs qui ne figurent pas dans la IBM MQ liste prédéfinie, saisissez une valeur spécifique à la plateforme pour un CipherSpec dans le champ CipherSpecs personnalisés.
Si vous êtes un utilisateur avancé sur IBM i, et que vous administrez un gestionnaire de file d'attente qui inclut de nouveaux CipherSpecs qui ne sont pas la IBM MQ liste prédéfinie, entrez une valeur spécifique à la plate-forme pour un CipherSpec dans le champ CipherSpecs personnalisés.
Filtrage de certificats selon le nom de leur propriétaire
Les certificats contiennent le nom distinctif du propriétaire du certificat. Si vous le souhaitez, vous pouvez configurer le canal afin qu'il n'accepte que les certificats dont les attributs dans le nom distinctif du propriétaire correspondent aux valeurs données. Pour ce faire, cochez la case Accepter uniquement les certificats dont les noms distinctifs correspondent à ces valeurs.
Les noms d'attribut que IBM MQ peut filtrer sont répertoriés dans le tableau suivant:
Noms d'attributs | Explication |
---|---|
SERIALNUMBER | Numéro de série du certificat |
Adresse électronique | |
![]() |
Adresse électronique (dépréciée dans la préférence pour MAIL) |
UID ou USERID | ID utilisateur |
CN | Nom CN |
T | Titre |
OU | Nom d'unité organisationnelle |
DC | Composant de domaine |
O | Nom de l'organisation |
STREET | Rue/Première ligne d'adresse |
L | Nom du lieu |
ST (ou SP ou S) | Nom du département |
ordinateur personnel | Code postal |
C | Pays |
UNSTRUCTUREDNAME | Nom d'hôte |
UNSTRUCTUREDADDRESS | Adresse IP |
DNQ | Qualificateur de nom distinctif |
Dans la zone Seuls les certificats dotés de noms distinctifs correspondant à ces valeurs sont acceptés, vous pouvez utiliser le caractère générique(*) au début ou à la fin de la valeur d'attribut pour représenter des caractères. Par exemple, pour accepter uniquement les certificats d'une personne dont le nom se termine parSmithtravailler pourIBMenGB, entrez:
CN=*Smith, O=IBM, C=GB
Authentification des parties initialisant des connexions à un gestionnaire de files d'attente
Lorsqu'une autre partie initialise une connexion TLS sur un gestionnaire de files d'attente, celui-ci doit lui envoyer son certificat personnel comme preuve d'identité. Vous pouvez également configurer le canal de gestionnaire de files d'attente pour que ce dernier refuse la connexion si la partie initialisante n'envoie pas son propre certificat personnel. Pour ce faire, dans la page SSL de la boîte de dialogue Propriétés du canal, sélectionnez Requis dans la liste Authentification des parties initialisant les connexions.