O Cliente Java™ WebSphere MQ suporta conexões
criptografadas por SSL pelo canal de conexão do servidor (SVRCONN) entre um
aplicativo e o gerenciador de filas. Configure o suporte
de SSL para conexões entre aplicativos que usam o CMP API (incluindo o WebSphere Message Broker Toolkit e
o WebSphere Message Broker Explorer) e um broker.
Use as instruções a seguir para implementar a segurança SSL no canal SVRCONN. É necessário ter o software apropriado para gerenciar armazenamentos de certificados SSL; por exemplo,
é possível instalar o Cliente ou o Servidor do WebSphere MQ e usar as
ferramentas IBM® Key Management para o cliente. Você pode utilizar armazenamentos JKS ou PKCS12.
- Use os recursos do WebSphere MQ para atualizar a definição de SVRCONN para
especificar o valor necessário no atributo SSLCIPH.
- No WebSphere Message Broker Toolkit ou WebSphere Message Broker Explorer, defina a
conexão com o broker. É possível configurar os campos SSL apenas quando você define a conexão; não é possível alterá-los
posteriormente. Se você já tiver definido sua conexão, exclua-a e a defina novamente.
- Selecione o conjunto de criptografia que corresponde ao valor configurado para a propriedade
SSLCIPH do canal SVRCONN.
- Insira o caminho completo e nome para o keystore e o truststore ou clique em
Navegar para procurá-los.
- Inclua o certificado do gerenciador de filas no truststore do cliente.
- Para autenticação unilateral, quando o aplicativo CMP cliente autentica o broker, conclua as seguintes etapas:
- Gere ou obtenha todas as chaves e certificados apropriados. É necessário incluir um certificado pkcs12 assinado para o servidor
e a chave pública apropriada para a autoridade de certificação que
assinou o certificado pkcs12. Consulte Criando Certificados SSL para o WebSphere MQ Java Client, para obter algumas
etapas de exemplo para criar chaves e certificados.
- Inclua o certificado pkcs12 ao armazenamento de
certificados do gerenciador de filas e designe-o ao gerenciador de
filas. Use os recursos do WebSphere MQ padrão; por exemplo, WebSphere MQ Explorer.
- Inclua o certificado da autoridade de certificação do armazenamento confiável Java Secure Socket Extension (JSSE) da Java Virtual Machine (JVM) no aplicativo final CMP usando uma ferramenta como Keytool.
- Decida qual conjunto de crifras usar e altere as propriedades no canal de conexão do servidor usando o WebSphere MQ Explorer para especificar o conjunto de crifas a ser usado. Este canal tem o nome padrão de SYSTEM.BKR.CONFIG;
este nome é usado a menos que seja especificado um nome diferente no assistente Conectar-se a Broker Remoto; consulte Conectando-se a um Broker Remoto e Conectando-se a um broker remoto no z/OS.
- Inclua os parâmetros necessários (conjunto de criptografia, por exemplo)
no aplicativo do CMP. Se um truststore diferente do padrão for usado, o caminho completo deverá ser passado através de um
parâmetro do truststore.
Depois de concluir essas etapas, o aplicativo CMP se conectará ao broker, se ele tiver uma chave válida assinada por uma autoridade de certificação confiável.
- Para a autenticação de duas vias, quando o broker também autenticar o aplicativo CMP, conclua as seguintes etapas adicionais:
- Gere ou obtenha todas as chaves e certificados apropriados.
É necessário incluir um certificado pkcs12 assinado para o cliente e a
chave pública apropriada para a autoridade de certificação que assinou o
certificado pkcs12. Consulte Criando Certificados SSL para o WebSphere MQ Java Client, para obter algumas etapas de exemplo para criar chaves e certificados.
- Inclua o certificado da autoridade de certificação no armazenamento de certificados do
gerenciador de filas usando os recursos padrão do WebSphere MQ.
- Configure o canal de conexão do servidor para autenticar sempre.
Especifique SSLCAUTH(REQUIRED) em runmqsc ou no WebSphere MQ Explorer.
- Inclua o certificado pkcs12 no keystore JSSE da JVM no
final do aplicativo do CMP
usando uma ferramenta tal como Keytool.
- Se você não estiver usando o keystore padrão, seu caminho completo deverá ser transmitido para o CMP através do parâmetro keystore.
Depois de concluir essas etapas, o broker permitirá que o aplicativo CMP se conecte apenas se esse aplicativo tiver um certificado assinado por uma das autoridades de certificação em seu keystore.
É possível criar restrições adicionais
usando o campo sslPeerName; por exemplo, você pode permitir conexões
somente a partir de portadores de certificado com um nome de empresa ou departamento
específico em seus certificados. Além disso, é possível chamar uma saída de
segurança para comunicações entre os aplicativos CMP
e o broker; consulte Utilizando Saídas de Segurança.
Para obter informações adicionais sobre como configurar conexões para serem protegidas com SSL, consulte o
Artigo do developerWorks, WebSphere MQ Java Client .