WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Configurando uma Infraestrutura da Chave Pública

Configure keystores, truststores, senhas e certificados para permitir a comunicação SSL e Segurança de Serviços da Web.

Decida como você usará a infraestrutura de chave pública (PKI). É possível configurar keystores e truststores em qualquer nível do broker (um keystore, um truststore e um certificado pessoal para cada broker) ou no nível do grupo de execução (um keystore, um truststore e um certificado pessoal para cada grupo de execução). Grupos de execução que não possuem PKI configurado usam a configuração PKI no nível do broker.

Força da criptografia

O Java™ Runtime Environment (JRE) do WebSphere Message Broker é fornecido com criptografia de intensidade forte, mas limitada. Se você não puder importar chaves nos keystores, a criptografia de intensidade limitada poderá ser a causa. Inicie o ikeyman usando o comando strmqikm ou faça download dos arquivos de políticas de jurisdição irrestritos a partir do IBM® Developer Kits: Informações de Segurança.

Importante: Seu país de origem poderá ter restrições sobre importação, posse, uso ou reexportação para outro país do software de criptografia. Antes de fazer download ou usar os arquivos de políticas irrestritas, você deverá verificar as leis do seu país. Verifique os regulamentos e as políticas sobre a importação, posse, uso e reexportação de software de criptografia para determinar se será permitido. Observe que quando você aplicar um fix pack a uma instalação existente do WebSphere Message Broker, a JVM é sobrescrita, incluindo quaisquer arquivos de conjunto de política de atualização. Esses arquivos de conjunto de políticas devem ser restaurados antes de reiniciar o broker.

Este tópico usa a ferramenta da linha de comandos, gsk7cmd, para criar e preencher keystores e truststores. A ferramenta gsk7cmd é uma parte do Kit de Ferramentas de Segurança Global, fornecido com o WebSphere MQ. Outras opções, fornecidas com o WebSphere Message Broker JVM, incluem o seguinte: Para criar a infraestrutura, conclua as seguintes tarefas:
  1. Criando um Arquivo Keystore ou um Truststore
  2. Criando um Certificado Autoassinado para Uso de Teste
  3. Importando um Certificado para Uso de Produção
  4. Visualizando Detalhes de um Certificado
  5. Extraindo um Certificado
  6. Incluindo um Certificado de Assinante ao Truststore
  7. Listando todos os Certificados em um Keystore
  8. Configurando o PKI no Nível do Broker
  9. Configurando o PKI para o HTTP Listener do Broker Inteiro
  10. Configurando o PKI para um Listener HTTP Integrado em um Grupo de Execução

Criando um Arquivo Keystore ou um Truststore

O arquivo keystore contém o certificado pessoal para o broker ou para o grupo de execução. É possível ter apenas um certificado pessoal no keystore. É possível armazenar certificados de assinante no mesmo arquivo ou criar um arquivo separado, conhecido como um armazenamento confiável.

  1. Configure a variável de ambiente JAVA_HOME. Por exemplo:
    set JAVA_HOME=install_dir\MQSI\8.0\jre15
  2. Emita o seguinte comando:
    gsk7cmd -keydb -create
      -db keystore_name
      [-pw password]
      -type jks
    O argumento da password é opcional. Se você omiti-lo, será solicitado que insira uma senha. Por exemplo:
    gsk7cmd -keydb -create
      -db myBrokerKeystore.jks
      -type jks
    Uma senha é necessária para acessar esse banco de dados de chaves.
    Insira uma senha:

Criando um Certificado Autoassinado para Uso de Teste

Use certificados autoassinados apenas para testar SSL, não na produção.

Insira o seguinte comando:
gsk7cmd -cert -create
  -db keystore_name
  [-pw password] 
  -label cert_label
  -dn "distinguished_name"
Por exemplo:
gsk7cmd -cert -create
  -db -myBrokerKeystore.jks
  -label MyCert
  -dn "CN=MyBroker.Server,O=IBM,OU=ISSW,L=Hursley,C=GB"
Uma senha é necessária para acessar esse banco de dados de chaves.
Insira uma senha:

Importando um Certificado para Uso de Produção

Importe um certificado pessoal de uma autoridade do certificado para uso da produção.

Emita o seguinte comando:
gsk7cmd -cert -import
  -db pkcs12_file_name
  [-pw pkcs12_password]
  -label label 
  -type pkcs12
  -target keystore_name
  [-target_pw keystore_password] 
Por exemplo:
gsk7cmd -cert -import
  -db SOAPListenerCertificate.p12
  -label soaplistener
  -type pkcs12 
  -target myBrokerKeystore.jks
  -target_pw  myBrokerKpass
Uma senha é necessária para acessar esse banco de dados de chaves.
Insira uma senha:

Visualizando Detalhes de um Certificado

Emita o seguinte comando:
gsk7cmd -cert -details
  -db keystore_name
  [-pw password]
  -label label
Por exemplo:
gsk7cmd -cert -details
  -db myKeyStore.jks
  -label MyCert
Uma senha é necessária para acessar esse banco de dados de chaves.
Insira uma senha:

Rótulo: MyCert
Tamanho da Chave: 1024
Versão: X509 V3
Número de Série: 4A D7 39 1F
Emitido Por: MyBroker.Server
ISSW
IBM
Hursley, GB
Assunto: MyBroker.Server
ISSW
IBM
Hursley, GB
Válido a partir de: 15 de outubro de 2009 16:00:47 BST a: 15 de outubro de 2010 16:00:47
BST
Impressão Digital: 98:5D:C4:70:A0:28:84:72:FB:F6:3A:D2:D2:F5:EE:8D:30:33:87:82
Algoritmo da Assinatura: 1.2.840.113549.1.1.4
Status de Confiança: ativado

Extraindo um Certificado

Gere uma cópia de um certificado autoassinado que você possa importar como confiável (ou certificado do assinante) para um arquivo truststore. Use esse procedimento apenas para testar, não para produção.

Certificados podem ser extraídos em dois formatos:
  • Dados ASCII codificados em Base64 (.arm). Esse formato é conveniente para inclusão em mensagens XML e transmissão por meio da Internet.
  • Dados DER binários (.der).
Emita o seguinte comando:
gsk7cmd -cert -extract
  -db keystore_name
  -pw keystore_passwd
  -label label
  -target file_name
  [-format ascii | binary]
Por exemplo:
gsk7cmd -cert -extract
  -db myBrokerKeystore.jks
  -pw myKeyPass
  -label MyCert 
  -target MyCert.arm
  -format ascii
É possível, em seguida, visualizar o certificado em um editor de texto, como Notepad:
notepad MyCert.arm
-----BEGIN CERTIFICATE-----
MIICIzCCAYygAwIBAgIEStc5HzANBgkqhkiG9w0BAQQFADBWMQswCQYDVQQGEwJHQjEQMA4GA1UE
BxMHSHVyc2xleTEMMAoGA1UEChMDSUJNMQ0wCwYDVQQLEwRJU1NXMRgwFgYDVQQDEw9NeUJyb2tl
ci5TZXJ2ZXIwHhcNMDkxMDE1MTUwMDQ3WhcNMTAxMDE1MTUwMDQ3WjBWMQswCQYDVQQGEwJHQjEQ
MA4GA1UEBxMHSHVyc2xleTEMMAoGA1UEChMDSUJNMQ0wCwYDVQQLEwRJU1NXMRgwFgYDVQQDEw9N
eUJyb2tlci5TZXJ2ZXIwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMwkK5kFLwC29YsHLXlf
hd0CgqFeytHlI0sZesdi8hEPXKsOzs3OQta2b0GZyUbBkh4tNeUHNWE9o7Hx2/SfziPQRKUw908R
F/6FPaHGezRkkaLJGX3uEhjt/2+n5tOJGytnKWaWJTpzdmZ79c0XjFvO83q3yXPYjKzq8rS1iVBf
AgMBAAEwDQYJKoZIhvcNAQEEBQADgYEAQEjpvZkjRcg3AHqY4RWbSMtXVWFFyoHSbjymR8IdURoQ
DCGZ2jsv3kxQLADaCXOBYgohGJAHS7PzkQoHUCiHR0kusyuAt1MNYbhEcs+BYAzvsSz1ay4oiqCw
Qs3aeNLVOb9c1RyzbuKYZl0uX59GAfGVLvyk6vQ/g7wPVL4TVgc=
-----FIM DO CERTIFICADO-----

Incluindo um Certificado de Assinante ao Truststore

Inclua um certificado de assinante ao truststore de um broker ou grupo de execução.

As etapas a seguir mostram como incluir um certificado extraído como certificado de assinante ao arquivo truststore. Incluir o certificado autoassinado do broker a um broker, ou truststore de grupo de execução, ativa os nós do pedido (HTTP ou SOAP) para enviar mensagens de teste para nós de entrada (HTTP ou SOAP) quando os fluxos estão executando no broker ou no grupo de execução.

Emita o seguinte comando:
gsk7cmd -cert -add
  -db truststore_name
  [-pw password]
  -label label 
  -file file_name
  -format [ascii | binary]
Por exemplo:
gsk7cmd -cert -add
  -db myBrokerTruststore.jks
  -label CACert 
  -file TRUSTEDPublicCerticate.arm
  -format ascii
É possível visualizar detalhes do certificado:
gsk7cmd -cert -details -db myBrokerTruststore.jks -label CACert
Uma senha é necessária para acessar esse banco de dados de chaves.
Insira uma senha:

Rótulo: CACert
Tamanho da Chave: 1024
Versão: X509 V3
Número de Série: 49 49 23 1B
Emitido Por: VSR1BK
ISSW
IBM
GB
Assunto: VSR1BK
ISSW
IBM
GB
Válido De: 17 de dezembro de 2008 16:04:43 GMT A: 17 de dezembro de 2009 16:04:43
GMT
Impressão Digital: CB:39:E7:D8:1D:C0:00:A1:3D:B1:97:69:7A:A7:77:19:6D:09:C2:A7
Algoritmo da Assinatura: 1.2.840.113549.1.1.4
Status de Confiança: ativado

Listando todos os Certificados em um Keystore

Emita o seguinte comando:
gsk7cmd -cert -list
  -db keystore_name
Por exemplo:
gsk7cmd -cert -list
  -db myBrokerKeystore.jks
Uma senha é necessária para acessar esse banco de dados de chaves.
Insira uma senha:

Certificados no banco de dados: myBrokerKeystore.jks
    verisign class 1 public primary certification authority - g3
    verisign class 4 public primary certification authority - g3
    verisign class 1 public primary certification authority - g2
    verisign class 4 public primary certification authority - g2
    verisign class 2 public primary certification authority
    entrust.net global client certification authority
    rsa secure server certification authority
    verisign class 2 public primary certification authority - g3
    verisign class 2 public primary certification authority - g2
    verisign class 3 secure server ca
    verisign class 3 public primary certification authority
    verisign class 3 public primary certification authority - g3
    verisign class 3 public primary certification authority - g2
    thawte premium server ca
    verisign class 1 public primary certification authority
    entrust.net global secure server certification authority
    thawte personal basic ca
    thawte personal premium ca
    thawte personal freemail ca
    verisign international server ca - class 3
    thawte server ca
    entrust.net certification authority (2048)
    cacert
    entrust.net client certification authority
    entrust.net secure server certification authority
    soaplistener
    mycert

Configurando o PKI no Nível do Broker

Defina as propriedades de registro do broker que identificam o local, nome e senha dos arquivos keystore e truststore.

Essas configurações são usadas como as configurações padrão para o listener HTTP do broker e todos os listeners HTTP integrados em grupos de execução no broker. Essas configurações podem ser substituídas para o listener HTTP do broker inteiro (consulte Configurando o PKI para o HTTP Listener do Broker Inteiro) e para os listeners HTTP integrados individuais (consulte Configurando o PKI para um Listener HTTP Integrado em um Grupo de Execução).
  1. Inicie o broker:
    mqsistart broker_name
  2. Exiba as configurações atuais das propriedades de registro do broker:
    mqsireportproperties broker_name 
      -o BrokerRegistry
      –r
  3. Configure a propriedade keystore:
    mqsichangeproperties broker_name
      -o BrokerRegistry
      -n brokerKeystoreFile
      -v install_dir\MQSI\8.0\MyBrokerKeystore.jks
  4. Configure a propriedade truststore:
    mqsichangeproperties broker_name
      -o BrokerRegistry
      -n brokerTruststoreFile
      -v install_dir\MQSI\8.0\MyBrokerTruststore.jks
  5. Pare o broker:
    mqsistop broker_name
  6. Configure a senha para o keystore:
    mqsisetdbparms broker_name
      -n brokerKeystore::password
      -u ignore
      -p keystore_pass
  7. Configure a senha para o truststore:
    mqsisetdbparms broker_name
      -n brokerTruststore::password
      -u ignore
      -p truststore_pass
  8. Inicie o broker:
    mqsistart broker_name
  9. Exiba e verifique as propriedades de registro do broker:
    mqsireportproperties broker_name
      -o BrokerRegistry 
      –r

Configurando o PKI para o HTTP Listener do Broker Inteiro

Defina as propriedades para o HTTP listener do broker inteiro para identificar o local, nome e senha dos arquivos keystore e de armazenamento.

Essas configurações substituem qualquer configuração PKI que estiver configurado no nível do broker. Se você ativar o SSL no listener HTTP do broker, mas não definir as propriedades a seguir, as configurações de nível do broker serão aplicadas. Consulte Configurando o PKI no Nível do Broker.
  1. Inicie o broker.
    mqsistart broker_name
  2. Exiba as configurações atuais das propriedades do listener do broker inteiro.
    mqsireportproperties broker_name 
      -b httplistener 
      -o HTTPSConnector 
      -a
  3. Configure a propriedade keystore.
    mqsichangeproperties broker_name 
      -b httplistener 
      -o HTTPSConnector 
      -n keystoreFile 
      -v install_dir\MQSI\8.0\MyBrokerKeystore.jks
  4. Configure a propriedade truststore.
    mqsichangeproperties broker_name 
      -b httplistener 
      -o HTTPSConnector 
      -n truststoreFile 
      -v install_dir\MQSI\8.0\MyBrokerTruststore.jks
  5. Pare o broker:
    mqsistop broker_name
  6. Configure a senha para o keystore.
    mqsichangeproperties broker_name 
      -b httplistener 
      -o HTTPSConnector 
      -n keystorePass 
      -v keystore_pass
  7. Configure a senha para o truststore.
    mqsichangeproperties broker_name 
      -b httplistener 
      -o HTTPSConnector 
      -n truststorePass 
      -v truststore_pass
  8. Inicie o broker:
    mqsistart broker_name
  9. Exiba e verifique as propriedades do listener do broker inteiro.
    mqsireportproperties broker_name 
      -b httplistener 
      -o HTTPSConnector 
      -a

Configurando o PKI para um Listener HTTP Integrado em um Grupo de Execução

Defina as propriedades ComIbmJVMManager para o grupo de execução necessário para identificar o local, nome e senha dos arquivos keystore e truststore.

Essas configurações substituem qualquer configuração PKI que estiver configurado no nível do broker. Se você ativar o SSL em um listener HTTP integrado, mas não definir as propriedades a seguir, as configurações de nível do broker serão aplicadas. Consulte Configurando o PKI no Nível do Broker.
  1. Inicie o broker.
    mqsistart broker_name
  2. Exiba as configurações atuais das propriedades ComIbmJVMManager.
    mqsireportproperties broker_name
      -e exec_grp_name
      -o ComIbmJVMManager 
      -r
  3. Configure a propriedade keystore.
    mqsichangeproperties broker_name
      -e exec_grp_name
      -o ComIbmJVMManager
      -n keystoreFile 
      -v install_dir\MQSI\8.0\MyExecGrpKeystore.jks
  4. Defina a propriedade-chave da senha do keystore. O valor para esta propriedade está no formato any_prefix_name::password. Esse valor é usado para correlacionar a senha definida no comando mqsisetdbparms.
    mqsichangeproperties broker_name
      -e exec_grp_name
      -o ComIbmJVMManager
      -n keystorePass
      -v exec_grp_nameKeystore::password
  5. Configure a propriedade truststore.
    mqsichangeproperties broker_name
      -e exec_grp_name
      -o ComIbmJVMManager
      -n truststoreFile 
      -v install_dir\MQSI\8.0\MyExecGrpTruststore.jks
  6. Defina a propriedade-chave da senha do truststore. O valor para esta propriedade está no formato any_prefix_name::password. Esse valor é usado para correlacionar a senha definida no comando mqsisetdbparms.
    mqsichangeproperties broker_name
      -e exec_grp_name
      -o ComIbmJVMManager
      -n truststorePass
      -v exec_grp_nameTruststore::password
  7. Pare o broker.
    mqsistop broker_name
  8. Configure a senha para o keystore.
    mqsisetdbparms broker_name
      -n exec_grp_nameKeystore::password
      -u ignore
      -p keystore_pass
  9. Configure a senha para o truststore.
    mqsisetdbparms broker_name
      -n exec_grp_nameTruststore::password
      -u ignore
      -p truststore_pass
  10. Inicie o broker.
    mqsistart broker_name
  11. Exiba e verifique as propriedades ComIbmJVMManager.
    mqsireportproperties broker_name
      -e exec_grp_name
      -o ComIbmJVMManager 
      -r

Para obter informações sobre requisitos de conjunto de cifras (como o algoritmo criptográfico e os correspondentes comprimentos de chave), consulte Guia de Referência do Java Secure Socket Extension (JSSE) IBMJSSE2 Provider.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:17


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | ap34020_