WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Ativando o SSL no WebSphere MQ Java Client

O Cliente Java™ WebSphere MQ suporta conexões criptografadas por SSL pelo canal de conexão do servidor (SVRCONN) entre um aplicativo e o gerenciador de filas. Configure o suporte de SSL para conexões entre aplicativos que usam o CMP API (incluindo o WebSphere Message Broker Toolkit e o WebSphere Message Broker Explorer) e um broker.

Use as instruções a seguir para implementar a segurança SSL no canal SVRCONN. É necessário ter o software apropriado para gerenciar armazenamentos de certificados SSL; por exemplo, é possível instalar o Cliente ou o Servidor do WebSphere MQ e usar as ferramentas IBM® Key Management para o cliente. Você pode utilizar armazenamentos JKS ou PKCS12.
  1. Use os recursos do WebSphere MQ para atualizar a definição de SVRCONN para especificar o valor necessário no atributo SSLCIPH.
  2. No WebSphere Message Broker Toolkit ou WebSphere Message Broker Explorer, defina a conexão com o broker. É possível configurar os campos SSL apenas quando você define a conexão; não é possível alterá-los posteriormente. Se você já tiver definido sua conexão, exclua-a e a defina novamente.
  3. Selecione o conjunto de criptografia que corresponde ao valor configurado para a propriedade SSLCIPH do canal SVRCONN.
  4. Insira o caminho completo e nome para o keystore e o truststore ou clique em Navegar para procurá-los.
  5. Inclua o certificado do gerenciador de filas no truststore do cliente.
  6. Para autenticação unilateral, quando o aplicativo CMP cliente autentica o broker, conclua as seguintes etapas:
    1. Gere ou obtenha todas as chaves e certificados apropriados. É necessário incluir um certificado pkcs12 assinado para o servidor e a chave pública apropriada para a autoridade de certificação que assinou o certificado pkcs12. Consulte Criando Certificados SSL para o WebSphere MQ Java Client, para obter algumas etapas de exemplo para criar chaves e certificados.
    2. Inclua o certificado pkcs12 ao armazenamento de certificados do gerenciador de filas e designe-o ao gerenciador de filas. Use os recursos do WebSphere MQ padrão; por exemplo, WebSphere MQ Explorer.
    3. Inclua o certificado da autoridade de certificação do armazenamento confiável Java Secure Socket Extension (JSSE) da Java Virtual Machine (JVM) no aplicativo final CMP usando uma ferramenta como Keytool.
    4. Decida qual conjunto de crifras usar e altere as propriedades no canal de conexão do servidor usando o WebSphere MQ Explorer para especificar o conjunto de crifas a ser usado. Este canal tem o nome padrão de SYSTEM.BKR.CONFIG; este nome é usado a menos que seja especificado um nome diferente no assistente Conectar-se a Broker Remoto; consulte Conectando-se a um Broker Remoto e Conectando-se a um broker remoto no z/OS.
    5. Inclua os parâmetros necessários (conjunto de criptografia, por exemplo) no aplicativo do CMP. Se um truststore diferente do padrão for usado, o caminho completo deverá ser passado através de um parâmetro do truststore.
    Depois de concluir essas etapas, o aplicativo CMP se conectará ao broker, se ele tiver uma chave válida assinada por uma autoridade de certificação confiável.
  7. Para a autenticação de duas vias, quando o broker também autenticar o aplicativo CMP, conclua as seguintes etapas adicionais:
    1. Gere ou obtenha todas as chaves e certificados apropriados. É necessário incluir um certificado pkcs12 assinado para o cliente e a chave pública apropriada para a autoridade de certificação que assinou o certificado pkcs12. Consulte Criando Certificados SSL para o WebSphere MQ Java Client, para obter algumas etapas de exemplo para criar chaves e certificados.
    2. Inclua o certificado da autoridade de certificação no armazenamento de certificados do gerenciador de filas usando os recursos padrão do WebSphere MQ.
    3. Configure o canal de conexão do servidor para autenticar sempre. Especifique SSLCAUTH(REQUIRED) em runmqsc ou no WebSphere MQ Explorer.
    4. Inclua o certificado pkcs12 no keystore JSSE da JVM no final do aplicativo do CMP usando uma ferramenta tal como Keytool.
    5. Se você não estiver usando o keystore padrão, seu caminho completo deverá ser transmitido para o CMP através do parâmetro keystore.
    Depois de concluir essas etapas, o broker permitirá que o aplicativo CMP se conecte apenas se esse aplicativo tiver um certificado assinado por uma das autoridades de certificação em seu keystore.

É possível criar restrições adicionais usando o campo sslPeerName; por exemplo, você pode permitir conexões somente a partir de portadores de certificado com um nome de empresa ou departamento específico em seus certificados. Além disso, é possível chamar uma saída de segurança para comunicações entre os aplicativos CMP e o broker; consulte Utilizando Saídas de Segurança.

Para obter informações adicionais sobre como configurar conexões para serem protegidas com SSL, consulte o Artigo do developerWorks, WebSphere MQ Java Client .

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:17


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | ap12232_