WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Ativando SSL para Grades Externas do WebSphere eXtreme Scale

Ative o SSL para uma grade externa do WebSphere eXtreme Scale configurando uma infraestrutura de chave pública, em seguida, ativando o SSL no grupo de execução.

Antes de iniciar:

Leia as informações de conceito em Grades do WebSphere eXtreme Scale e Criptografia de Chave Pública.

É possível ativar o SSL para conexões do cliente com grades externas do WebSphere eXtreme Scale. Não é possível ativar o SSL para servidores no cache global integrado.

Para ativar a comunicação de SSL, configure o keystore, o armazenamento confiável, as senhas e os certificados. Para ativar a autenticação de servidor, importe o certificado público do servidor WebSphere eXtreme Scale para o armazenamento confiável do broker ou o grupo de execução. Se o servidor requerer autenticação de cliente, você também deverá criar uma chave privada no keystore do broker ou do grupo de execução que o servidor WebSphere eXtreme Scale confia.

Depois, você configura as propriedades no grupo de execução para ativar o SSL e especifica o protocolo requerido. Também é possível nomear uma chave específica para ser usada, se houver mais de uma. As conexões SSL podem ser estabelecidas apenas de grupos de execução que não estão hospedando servidores de catálogos ou de contêineres.

As etapas a seguir descrevem como ativar o SSL para uma grade externa do WebSphere eXtreme Scale.

  1. Configure uma infraestrutura de chave pública seguindo as instruções em Configurando uma Infraestrutura da Chave Pública. É possível configurar a infraestrutura de chave pública no nível do broker ou do grupo de execução.

    As conexões com grades externas do WebSphere eXtreme Scale não podem usar implicitamente os certificados públicos que estão localizados no arquivo cacerts da JVM.

  2. Para assegurar que você esteja ativando o SSL em um grupo de execução que não hospeda um catálogo ou servidor de contêiner, use um destes métodos:
    • Configure a política no nível do broker para none para especificar funções para os grupos de execução manualmente. Por exemplo, para assegurar que um grupo de execução não hospede um servidor de catálogos ou de contêiner, execute o seguinte comando mqsichangeproperties :
      mqsichangeproperties broker_name -e execution_group_1 -o ComIbmCacheManager -n enableCatalogService,enableContainerService -v false,false
    • Configure a política no nível do broker para disabled para desativar o cache global integrado e assegurar que nenhum grupo de execução esteja hospedando componentes do servidor WebSphere eXtreme Scale.
    Para configurar a política no nível do broker, use um dos métodos a seguir:
    • Na linha de comandos, execute o comando a seguir configurando o parâmetro -b para none ou disabled:
      mqsichangebroker brokerName -b none
    • No WebSphere Message Broker Explorer, clique com o botão direito no broker apropriado, clique em Propriedades, em seguida Cache Global, em seguida, configure a política de cache para none ou disabled.
  3. Opcional: Se você configurar a política no nível do broker para none, verifique se as enableCatalogService e enableContainerService propriedades estão configuradas para false para cada grupo de execução para o qual você está ativando o SSL.
    Use um dos métodos a seguir:
    • Na linha de comandos, execute o comando a seguir, em seguida, verifique se ambas as propriedades estão configuradas para falso:
      mqsireportproperties brokerName -e executionGroupName -o ComIbmCacheManager -r 
    • No WebSphere Message Broker Explorer, selecione as propriedades para cada grupo de execução, em seguida, selecione Cache Global. Confirme se as propriedades Catalog server enabled e Container Server enabled não estão selecionadas.
  4. Para ativar o SSL, configure as propriedades a seguir no grupo de execução apropriado:
    • Para ativar o SSL, configure clientsDefaultToSSL para true.
    • Para especificar um protocolo SSL, configure sslProtocol para um valor que seja reconhecido pelo provedor de segurança IBM® JSSE2.
    • Se a grade externa requerer autenticação de cliente e houver mais de uma chave privada confiável no keystore do broker, configure sslAlias para a chave apropriada.
    Para obter informações adicionais sobre essas propriedades, consulteValores de Parâmetro para o Componente Cachemanager.
    Para configurar essas propriedades no grupo de execução, use um dos métodos a seguir:
    • Na linha de comandos, execute o comando mqsichangeproperties conforme mostrado no exemplo a seguir:
      mqsichangeproperties broker_name -e execution_group_1 -o ComIbmCacheManager 
      -n clientsDefaultToSSL,sslProtocol,sslAlias -v true,SSL_TLS,ProdKey
    • No WebSphere Message Broker Explorer, selecione as propriedades para cada grupo de execução, em seguida, selecione Cache Global. Selecione clientsDefaultToSSL e, se necessário, configure o protocolo SSL e o alias de chave SSL.
  5. Reinicie o grupo de execução. Para obter informações adicionais, consulte Comando mqsireload.
  6. Conecte-se à grade do WebSphere eXtreme Scale seguindo as instruções em Conectando-se a uma Grade do WebSphere eXtreme Scale.

As configurações de keystore, armazenamento confiável e protocolo são verificadas na primeira vez que uma conexão é feita a partir do grupo de execução (para a grade integrada ou para a primeira conexão remota). Erros na configuração são relatados como um aviso e as conexões SSL são proibidas. Por exemplo, um aviso será emitido se um arquivo keystore não for localizado, o arquivo estiver corrompido ou a senha do keystore estiver incorreta.

Se você ativar o SSL e tentar se conectar a partir de um grupo de execução que hospeda os componentes do servidor WebSphere eXtreme Scale, a conexão falhará com uma mensagem de exceção detalhada, BIP7144, que explica o motivo de falha da conexão. Se ocorrer uma exceção de handshake SSL, o fluxo de mensagens falhará e a mensagem de exceção BIP7147 será emitida.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:53


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | bc23797_