WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Configurando Nós de Servidor TCP/IP para Usar SSL

Defina uma configuração TCP/IP para usar SSL para proteger a conectividade de/para os nós de servidores TCPIP.
Você pode criar ou modificar as conexões do servidor TCP/IP que usam SSL, criando ou modificando um serviço configurável. É possível especificar:
  • O tipo de protocolo.
  • Os conjuntos de criptografia permitidos.
  • Um alias de chave.
  • Se um cliente de conexão deve fornecer informações sobre autenticação.
Por padrão, o SSL não é ativado para nenhum serviço configurável. Os nós usam a configuração de keystore e truststore do broker padrão.
Antes de iniciar: Configure uma infraestrutura da chave pública (PKI) no nível do broker seguindo as instruções em Configurando uma Infraestrutura da Chave Pública.

Siga estas etapas para configurar os nós TCPIP para usar SSL:

  1. Alterando uma Configuração do Servidor TCP/IP para Usar SSL
  2. Criando uma Configuração do Servidor TCP/IP que Usa SSL

Alterando uma Configuração do Servidor TCP/IP para Usar SSL

Use o comando mqsichangeproperties para alterar um serviço configurável TCPIPServer existente.

  1. O comando a seguir altera um serviço configurável TCPIPServer para usar SSLv3 com qualquer conjunto de criptografia disponível. Os clientes de conexão não são solicitados a autenticar-se.
    mqsichangeproperties MYBROKER 
      -c TCPIPClient 
      -o myTCPIPServerService 
      -n SSLProtocol  
      -v SSLv3
  2. Reinicie o grupo de execução que contém os fluxos de mensagem.

Criando uma Configuração do Servidor TCP/IP que Usa SSL

Use o comando mqsicreateconfigurableservice para criar um serviço configurável TCPIPServer.

  1. O seguinte comando cria um serviço configurável TCPIPServer para estabelecer conexões na porta 1455. Ele usa o protocolo SSLv3 com uma lista específica de conjuntos de criptografia permitidos. Os clientes de conexão são obrigados a autenticar-se.
    mqsicreateconfigurableservice MYBROKER 
         -c TCPIPServer 
         -o myTCPIPServerService 
         -n Port,SSLProtocol,SSLCiphers,SSLClientAuth 
         -v 1455,SSLv3,SSL_RSA_WITH_RC4_128_MD5;
            SSL_RSA_WITH_3DES_EDE_CBC_SHA,require
  2. Reinicie o grupo de execução que contém os fluxos de mensagem.

Usando um Alias de Chave SSL

Um alias de chave identifica a chave que será usada para a conexão SSL, se o keystore para seu broker ou grupo de execução contiver mais de uma chave. Use o mqsichangeproperties ou mqsicreateconfigurableservice, conforme adequado, com a propriedade SSLKeyAlias. O valor-padrão "" ou none significa que um alias de chave SSL não é usado. Qualquer outra cadeia identifica o alias.

Nota: Se o keystore contiver mais de uma chave e nenhum alias de chave for definido, a Java™ virtual machine escolherá arbitrariamente uma chave no tempo de execução.

O seguinte comando cria um serviço configurável TCPIPServer para estabelecer conexões na porta 1455. Ele usa o protocolo SSL SSLv3 com os conjuntos de criptografia SSL_RSA_WITH_RC4_128_MD5 e SSL_RSA_WITH_3DES_EDE_CBC_SHA. Ele requer a autenticação do cliente e usa o alias de chave MyKey para identificar a chave a ser usada.

mqsicreateconfigurableservice MYBROKER 
  -c TCPIPServer 
  -o myTCPIPServerService 
  -n Port,SSLProtocol,SSLCiphers,SSLClientAuth,SSLKeyAlias 
  -v 1455,SSLv3,SSL_RSA_WITH_RC4_128_MD5;SSL_RSA_WITH_3DES_EDE_CBC_SHA
     ,require,MyKey

O comando a seguir alterar um serviço configurável TCPIPServer para usar a primeira chave recuperada do keystore, com protocolo SSL SSLv3. SSLClientAuth é desativado.

mqsichangeproperties MYBROKER 
  -c TCPIPClient 
  -o myTCPIPServerService 
  -n SSLProtocol
  -v SSLv3

Testando sua Configuração

Para testar a configuração, conecte um cliente ativado para SSL, como outro programa, ou um navegador da Web, à porta do servidor. As mensagens de erro de conexão, como falhas de handshake, ou chaves não confiáveis, indicam que você deve alterar a configuração.

Identidade do Cliente

Se a autenticação de cliente SSL for solicitada ou necessária e o cliente se autenticar com êxito, o nome distinto estará presente como um token de origem de identidade no analisador de propriedades, na árvore propagada a partir do terminal Aberto no tempo de conexão. Isso se aplica apenas ao nó TCPIPServerInput.
  • O campo IdentitySourceToken é configurado para o nome distinto do certificado de cliente.
  • O campo IdentitySourceType é configurado para a sequência username.
  • O campo IdentitySourceIssuedBy é configurado para o emissor do certificado apresentado pelo cliente.
Se a autenticação de cliente SSL for solicitada e o cliente não fornecer as credenciais necessárias, os campos serão configurados em branco.
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:31:43


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | bp34105_