Configure keystores, truststores, senhas e certificados para permitir a comunicação SSL e Segurança de Serviços da Web.
Força da criptografia
O Java™ Runtime Environment (JRE) do WebSphere Message Broker é fornecido com criptografia de intensidade forte, mas limitada. Se você não puder importar chaves nos keystores, a criptografia de intensidade limitada poderá ser a causa. Inicie o ikeyman usando o comando strmqikm ou faça download dos arquivos de políticas de jurisdição irrestritos a partir do IBM® Developer Kits: Informações de Segurança.
Importante: Seu país de origem poderá ter restrições sobre importação, posse, uso ou reexportação para outro país do software de criptografia. Antes de fazer download ou usar os arquivos de políticas irrestritas, você deverá verificar as leis do seu país. Verifique os regulamentos e as políticas sobre a importação, posse, uso e reexportação de software de criptografia para determinar se será permitido. Observe que quando você aplicar um fix pack a uma instalação existente do WebSphere Message Broker, a JVM é sobrescrita, incluindo quaisquer arquivos de conjunto de política de atualização. Esses arquivos de conjunto de políticas devem ser restaurados antes de reiniciar o broker.
O arquivo keystore contém o certificado pessoal para o broker ou para o grupo de execução. É possível ter apenas um certificado pessoal no keystore. É possível armazenar certificados de assinante no mesmo arquivo ou criar um arquivo separado, conhecido como um armazenamento confiável.
Use certificados autoassinados apenas para testar SSL, não na produção.
gsk7cmd -cert -create
-db keystore_name
[-pw password]
-label cert_label
-dn "distinguished_name"
Por exemplo:
gsk7cmd -cert -create
-db -myBrokerKeystore.jks
-label MyCert
-dn "CN=MyBroker.Server,O=IBM,OU=ISSW,L=Hursley,C=GB"
Uma senha é necessária para acessar esse banco de dados de chaves.
Insira uma senha:
Importe um certificado pessoal de uma autoridade do certificado para uso da produção.
gsk7cmd -cert -import
-db pkcs12_file_name
[-pw pkcs12_password]
-label label
-type pkcs12
-target keystore_name
[-target_pw keystore_password]
Por exemplo:
gsk7cmd -cert -import
-db SOAPListenerCertificate.p12
-label soaplistener
-type pkcs12
-target myBrokerKeystore.jks
-target_pw myBrokerKpass
Uma senha é necessária para acessar esse banco de dados de chaves.
Insira uma senha:
gsk7cmd -cert -details
-db keystore_name
[-pw password]
-label label
Por exemplo:
gsk7cmd -cert -details
-db myKeyStore.jks
-label MyCert
Uma senha é necessária para acessar esse banco de dados de chaves.
Insira uma senha:
Rótulo: MyCert
Tamanho da Chave: 1024
Versão: X509 V3
Número de Série: 4A D7 39 1F
Emitido Por: MyBroker.Server
ISSW
IBM
Hursley, GB
Assunto: MyBroker.Server
ISSW
IBM
Hursley, GB
Válido a partir de: 15 de outubro de 2009 16:00:47 BST a: 15 de outubro de 2010 16:00:47
BST
Impressão Digital: 98:5D:C4:70:A0:28:84:72:FB:F6:3A:D2:D2:F5:EE:8D:30:33:87:82
Algoritmo da Assinatura: 1.2.840.113549.1.1.4
Status de Confiança: ativado
Gere uma cópia de um certificado autoassinado que você possa importar como confiável (ou certificado do assinante) para um arquivo truststore. Use esse procedimento apenas para testar, não para produção.
gsk7cmd -cert -extract
-db keystore_name
-pw keystore_passwd
-label label
-target file_name
[-format ascii | binary]
Por exemplo:
gsk7cmd -cert -extract
-db myBrokerKeystore.jks
-pw myKeyPass
-label MyCert
-target MyCert.arm
-format ascii
É possível, em seguida, visualizar o certificado em um editor de texto,
como Notepad: notepad MyCert.arm
-----BEGIN CERTIFICATE-----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-----FIM DO CERTIFICADO-----
Inclua um certificado de assinante ao truststore de um broker ou grupo de execução.
As etapas a seguir mostram como incluir um certificado extraído como certificado de assinante ao arquivo truststore. Incluir o certificado autoassinado do broker a um broker, ou truststore de grupo de execução, ativa os nós do pedido (HTTP ou SOAP) para enviar mensagens de teste para nós de entrada (HTTP ou SOAP) quando os fluxos estão executando no broker ou no grupo de execução.
gsk7cmd -cert -add
-db truststore_name
[-pw password]
-label label
-file file_name
-format [ascii | binary]
Por exemplo:
gsk7cmd -cert -add
-db myBrokerTruststore.jks
-label CACert
-file TRUSTEDPublicCerticate.arm
-format ascii
É possível visualizar detalhes do certificado:
gsk7cmd -cert -details -db myBrokerTruststore.jks -label CACert
Uma senha é necessária para acessar esse banco de dados de chaves.
Insira uma senha:
Rótulo: CACert
Tamanho da Chave: 1024
Versão: X509 V3
Número de Série: 49 49 23 1B
Emitido Por: VSR1BK
ISSW
IBM
GB
Assunto: VSR1BK
ISSW
IBM
GB
Válido De: 17 de dezembro de 2008 16:04:43 GMT A: 17 de dezembro de 2009 16:04:43
GMT
Impressão Digital: CB:39:E7:D8:1D:C0:00:A1:3D:B1:97:69:7A:A7:77:19:6D:09:C2:A7
Algoritmo da Assinatura: 1.2.840.113549.1.1.4
Status de Confiança: ativado
gsk7cmd -cert -list
-db keystore_name
Por exemplo:
gsk7cmd -cert -list
-db myBrokerKeystore.jks
Uma senha é necessária para acessar esse banco de dados de chaves.
Insira uma senha:
Certificados no banco de dados: myBrokerKeystore.jks
verisign class 1 public primary certification authority - g3
verisign class 4 public primary certification authority - g3
verisign class 1 public primary certification authority - g2
verisign class 4 public primary certification authority - g2
verisign class 2 public primary certification authority
entrust.net global client certification authority
rsa secure server certification authority
verisign class 2 public primary certification authority - g3
verisign class 2 public primary certification authority - g2
verisign class 3 secure server ca
verisign class 3 public primary certification authority
verisign class 3 public primary certification authority - g3
verisign class 3 public primary certification authority - g2
thawte premium server ca
verisign class 1 public primary certification authority
entrust.net global secure server certification authority
thawte personal basic ca
thawte personal premium ca
thawte personal freemail ca
verisign international server ca - class 3
thawte server ca
entrust.net certification authority (2048)
cacert
entrust.net client certification authority
entrust.net secure server certification authority
soaplistener
mycert
Defina as propriedades de registro do broker que identificam o local, nome e senha dos arquivos keystore e truststore.
mqsistart broker_name
mqsireportproperties broker_name
-o BrokerRegistry
–r
mqsichangeproperties broker_name
-o BrokerRegistry
-n brokerKeystoreFile
-v install_dir\MQSI\8.0\MyBrokerKeystore.jks
mqsichangeproperties broker_name
-o BrokerRegistry
-n brokerTruststoreFile
-v install_dir\MQSI\8.0\MyBrokerTruststore.jks
mqsistop broker_name
mqsisetdbparms broker_name
-n brokerKeystore::password
-u ignore
-p keystore_pass
mqsisetdbparms broker_name
-n brokerTruststore::password
-u ignore
-p truststore_pass
mqsistart broker_name
mqsireportproperties broker_name
-o BrokerRegistry
–r
Defina as propriedades para o HTTP listener do broker inteiro para identificar o local, nome e senha dos arquivos keystore e de armazenamento.
mqsistart broker_name
mqsireportproperties broker_name
-b httplistener
-o HTTPSConnector
-a
mqsichangeproperties broker_name
-b httplistener
-o HTTPSConnector
-n keystoreFile
-v install_dir\MQSI\8.0\MyBrokerKeystore.jks
mqsichangeproperties broker_name
-b httplistener
-o HTTPSConnector
-n truststoreFile
-v install_dir\MQSI\8.0\MyBrokerTruststore.jks
mqsistop broker_name
mqsichangeproperties broker_name
-b httplistener
-o HTTPSConnector
-n keystorePass
-v keystore_pass
mqsichangeproperties broker_name
-b httplistener
-o HTTPSConnector
-n truststorePass
-v truststore_pass
mqsistart broker_name
mqsireportproperties broker_name
-b httplistener
-o HTTPSConnector
-a
Defina as propriedades ComIbmJVMManager para o grupo de execução necessário para identificar o local, nome e senha dos arquivos keystore e truststore.
mqsistart broker_name
mqsireportproperties broker_name
-e exec_grp_name
-o ComIbmJVMManager
-r
mqsichangeproperties broker_name
-e exec_grp_name
-o ComIbmJVMManager
-n keystoreFile
-v install_dir\MQSI\8.0\MyExecGrpKeystore.jks
mqsichangeproperties broker_name
-e exec_grp_name
-o ComIbmJVMManager
-n keystorePass
-v exec_grp_nameKeystore::password
mqsichangeproperties broker_name
-e exec_grp_name
-o ComIbmJVMManager
-n truststoreFile
-v install_dir\MQSI\8.0\MyExecGrpTruststore.jks
mqsichangeproperties broker_name
-e exec_grp_name
-o ComIbmJVMManager
-n truststorePass
-v exec_grp_nameTruststore::password
mqsistop broker_name
mqsisetdbparms broker_name
-n exec_grp_nameKeystore::password
-u ignore
-p keystore_pass
mqsisetdbparms broker_name
-n exec_grp_nameTruststore::password
-u ignore
-p truststore_pass
mqsistart broker_name
mqsireportproperties broker_name
-e exec_grp_name
-o ComIbmJVMManager
-r
Para obter informações sobre requisitos de conjunto de cifras (como o algoritmo criptográfico e os correspondentes comprimentos de chave), consulte Guia de Referência do Java Secure Socket Extension (JSSE) IBMJSSE2 Provider.