WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

PKI-Infrastruktur konfigurieren

Sie können Schlüsselspeicher, Truststores, Kennwörter und Zertifikate zur Aktivierung der SSL-Kommunikation und Web Services Security konfigurieren.

Überlegen Sie, wie die PKI-Infrastruktur verwendet werden soll. Sie können Schlüsselspeicher und Truststores auf beiden Brokerebenen (ein Schlüsselspeicher-, ein Truststore und ein persönliches Zertifikat für jeden Broker) oder auf Ausführungsgruppenebene (ein Schlüsselspeicher-, ein Truststore- und ein persönliches Zertifikat für jede Ausführungsgruppe) konfigurieren. Ausführungsgruppen, für die die PKI-Infrastruktur nicht konfiguriert ist, verwenden die PKI-Konfiguration auf Brokerebene.

Verschlüsselungsgrad

Die WebSphere Message Broker Java™ Runtime Environment (JRE) wird mit einer starken, aber begrenzten Verschlüsselung bereitgestellt. Wenn Sie Schlüssel nicht in Schlüsselspeicher importieren können, kann dies auf die begrenzte Verschlüsselung zurückzuführen sein. Starten Sie ikeyman mithilfe des Befehls strmqikm oder laden Sie die uneingeschränkten Standortrichtliniendateien von der Website IBM® developer kits: Security information herunter.

Wichtig: In Ihrem Herkunftsland gelten möglicherweise Beschränkungen für den Import, den Besitz oder die Verwendung von Verschlüsselungssoftware bzw. den Reexport dieser Software in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze Ihres Landes prüfen. Überprüfen Sie die Regelungen und Richtlinien in Bezug auf den Import, den Besitz, die Verwendung und den Reexport von Verschlüsselungssoftware, um festzustellen, ob dies zulässig ist. Beachten Sie, dass die JVM, einschließlich aller aktualisierten Richtliniensatzdateien, bei der Anwendung eines Fixpacks auf eine vorhandene WebSphere Message Broker-Installation überschrieben wird. Diese Richtliniensatzdateien müssen vor dem Neustart des Brokers wiederhergestellt werden.

In diesem Abschnitt wird das Befehlszeilentool gsk7cmd zum Erstellen und Ausfüllen von Schlüsselspeichern und Truststores verwendet. Das Tool gsk7cmd ist Teil des globalen Sicherheits-Toolkits, das mit WebSphere MQ bereitgestellt wird. Folgende weitere Optionen werden mit der WebSphere Message Broker-JVM bereitgestellt: Führen Sie zur Erstellung der Infrastruktur die folgenden Tasks aus:
  1. Schlüsselspeicherdatei oder Truststore erstellen
  2. Selbst signiertes Zertifikat zu Testzwecken erstellen
  3. Zertifikat für Produktionseinsatz importieren
  4. Angaben zu einem Zertifikat anzeigen:
  5. Zertifikat extrahieren
  6. Unterzeichnerzertifikat zur Truststore-Datei hinzufügen
  7. Alle Zertifikate eines Keystores auflisten
  8. PKI auf Brokerebene konfigurieren
  9. Public Key Infrastructure (PKI) für den brokerweiten HTTP-Listener konfigurieren
  10. Public Key Infrastructure (PKI) für einen integrierten HTTP-Listener in einer Ausführungsgruppe konfigurieren

Schlüsselspeicherdatei oder Truststore erstellen

Die Schlüsselspeicherdatei enthält das persönliche Zertifikat für den Broker oder die Ausführungsgruppe. Im Schlüsselspeicher kann sich nur ein persönliches Zertifikat befinden. Sie können Unterzeichnerzertifikate in der gleichen Datei speichern oder eine separate Datei erstellen, die als Truststore bezeichnet wird.

  1. Legen Sie die Umgebungsvariable 'JAVA_HOME' fest. Beispiel:
    set JAVA_HOME=Installationsverzeichnis\MQSI\8.0\jre15
  2. Geben Sie den folgenden Befehl ein:
    gsk7cmd -keydb -create
      -db Name_des_Keystores
      [-pw Kennwort]
      -type jks
    Das Argument Kennwort ist optional. Wird dieses Argument nicht angegeben, werden Sie zur Eingabe eines Kennworts aufgefordert. Beispiel:
    gsk7cmd -keydb -create
      -db myBrokerKeystore.jks
      -type jks
    Für den Zugriff auf diese Schlüsseldatenbank ist ein Kennwort erforderlich.
    Bitte geben Sie ein Kennwort ein:

Selbst signiertes Zertifikat zu Testzwecken erstellen

Selbst signierte Zertifikate dürfen nur für den Test von SSL verwendet werden, nicht in Produktionsumgebungen.

Geben Sie folgenden Befehl ein:
gsk7cmd -cert -create
  -db Name_des_Keystores
  [-pw Kennwort] 
  -label Zertifikatsbezeichnung
  -dn "distinguished_name"
Beispiel:
gsk7cmd -cert -create
  -db -myBrokerKeystore.jks
  -label MyCert
  -dn "CN=MyBroker.Server,O=IBM,OU=ISSW,L=Hursley,C=GB"
Für den Zugriff auf diese Schlüsseldatenbank ist ein Kennwort erforderlich.
Bitte geben Sie ein Kennwort ein:

Zertifikat für Produktionseinsatz importieren

Sie können ein persönliches Zertifikat von einer Zertifizierungsstelle zu Produktionszwecken importieren.

Geben Sie den folgenden Befehl ein:
gsk7cmd -cert -import
  -db Name_der_PKCS12-Datei
  [-pw PKCS12-Kennwort]
  -label Kennzeichnung 
  -type pkcs12
  -target Name_des_Keystores
  [-target_pw Kennwort_des_Keystores] 
Beispiel:
gsk7cmd -cert -import
  -db SOAPListenerCertificate.p12
  -label soaplistener
  -type pkcs12 
  -target myBrokerKeystore.jks
  -target_pw  myBrokerKpass
Für den Zugriff auf diese Schlüsseldatenbank ist ein Kennwort erforderlich.
Bitte geben Sie ein Kennwort ein:

Angaben zu einem Zertifikat anzeigen:

Geben Sie den folgenden Befehl ein:
gsk7cmd -cert -details
  -db Name_des_Keystores
  [-pw Kennwort]
  -label Bezeichnung
Beispiel:
gsk7cmd -cert -details
  -db myKeyStore.jks
  -label MyCert
Für den Zugriff auf diese Schlüsseldatenbank ist ein Kennwort erforderlich.
Bitte geben Sie ein Kennwort ein:

Label: MyCert
Key Size: 1024
Version: X509 V3
Serial Number: 4A D7 39 1F
Issued By: MyBroker.Server
ISSW
IBM
Hursley, GB
Subject: MyBroker.Server
ISSW
IBM
Hursley, GB
Valid From: 15 October 2009 16:00:47 o'clock BST To: 15 October 2010 16:00:47 o'
clock BST
Fingerprint: 98:5D:C4:70:A0:28:84:72:FB:F6:3A:D2:D2:F5:EE:8D:30:33:87:82
Signature Algorithm: 1.2.840.113549.1.1.4
Trust Status: enabled

Zertifikat extrahieren

Sie können eine Kopie eines selbst signierten Zertifikats erstellen und anschließend als gesichertes Zertifikat (oder Unterzeichnerzertifikat) in eine Truststore-Datei importieren. Dieser Schritt sollte allerdings nur zu Testzwecken, nicht zu Produktionszwecken ausgeführt werden.

Zertifikate können in zwei Formaten extrahiert werden:
  • Base64-codierte ASCII-Daten (.arm). Dieses Format ist zum Einfügen in XML-Nachrichten und die Übertragung über das Internet geeignet.
  • Binäre DER-Daten (.der).
Führen Sie folgenden Befehl aus:
gsk7cmd -cert -extract
  -db Name_des_Keystores
  -pw Kennwort_des_Keystores
  -label Kennzeichnung
  -target Dateiname
  [-format ascii | binary]
Beispiel:
gsk7cmd -cert -extract
  -db myBrokerKeystore.jks
  -pw myKeyPass
  -label MyCert 
  -target MyCert.arm
  -format ascii
Anschließend können Sie das Zertifikat in einem Texteditor (z. B. Notepad) anzeigen:
notepad MyCert.arm
-----BEGIN CERTIFICATE-----
MIICIzCCAYygAwIBAgIEStc5HzANBgkqhkiG9w0BAQQFADBWMQswCQYDVQQGEwJHQjEQMA4GA1UE
BxMHSHVyc2xleTEMMAoGA1UEChMDSUJNMQ0wCwYDVQQLEwRJU1NXMRgwFgYDVQQDEw9NeUJyb2tl
ci5TZXJ2ZXIwHhcNMDkxMDE1MTUwMDQ3WhcNMTAxMDE1MTUwMDQ3WjBWMQswCQYDVQQGEwJHQjEQ
MA4GA1UEBxMHSHVyc2xleTEMMAoGA1UEChMDSUJNMQ0wCwYDVQQLEwRJU1NXMRgwFgYDVQQDEw9N
eUJyb2tlci5TZXJ2ZXIwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMwkK5kFLwC29YsHLXlf
hd0CgqFeytHlI0sZesdi8hEPXKsOzs3OQta2b0GZyUbBkh4tNeUHNWE9o7Hx2/SfziPQRKUw908R
F/6FPaHGezRkkaLJGX3uEhjt/2+n5tOJGytnKWaWJTpzdmZ79c0XjFvO83q3yXPYjKzq8rS1iVBf
AgMBAAEwDQYJKoZIhvcNAQEEBQADgYEAQEjpvZkjRcg3AHqY4RWbSMtXVWFFyoHSbjymR8IdURoQ
DCGZ2jsv3kxQLADaCXOBYgohGJAHS7PzkQoHUCiHR0kusyuAt1MNYbhEcs+BYAzvsSz1ay4oiqCw
Qs3aeNLVOb9c1RyzbuKYZl0uX59GAfGVLvyk6vQ/g7wPVL4TVgc=
-----END CERTIFICATE-----

Unterzeichnerzertifikat zur Truststore-Datei hinzufügen

Sie können ein Unterzeichnerzertifikat dem Truststore eines Brokers oder einer Ausführungsgruppe hinzufügen.

Im Folgenden wird beschrieben, wie Sie ein extrahiertes Zertifikat als Unterzeichnerzertifikat der Truststore-Datei hinzufügen. Durch Hinzufügen des selbst signierten Brokerzertifikats zum Truststore eines Brokers bzw. einer Ausführungsgruppe können Anforderungsknoten (HTTP oder SOAP) Testnachrichten an Empfangsknoten (HTTP oder SOAP) senden, wenn die Nachrichtenflüssen im Broker bzw. in der Ausführungsgruppe aktiv sind.

Geben Sie den folgenden Befehl ein:
gsk7cmd -cert -add
  -db Name_des_Truststores
  [-pw Kennwort]
  -label Kennzeichnung 
  -file Dateiname
  -format [ascii | binary]
Beispiel:
gsk7cmd -cert -add
  -db myBrokerTruststore.jks
  -label CACert 
  -file TRUSTEDPublicCerticate.arm
  -format ascii
So können Sie die Angaben zum Zertifikat anzeigen:
gsk7cmd -cert -details -db myBrokerTruststore.jks -label CACert
Für den Zugriff auf diese Schlüsseldatenbank ist ein Kennwort erforderlich.
Bitte geben Sie ein Kennwort ein:

Label: CACert
Key Size: 1024
Version: X509 V3
Serial Number: 49 49 23 1B
Issued By: VSR1BK
ISSW
IBM
GB
Subject: VSR1BK
ISSW
IBM
GB
Valid From: 17 December 2008 16:04:43 o'clock GMT To: 17 December 2009 16:04:43
o'clock GMT
Fingerprint: CB:39:E7:D8:1D:C0:00:A1:3D:B1:97:69:7A:A7:77:19:6D:09:C2:A7
Signature Algorithm: 1.2.840.113549.1.1.4
Trust Status: enabled

Alle Zertifikate eines Keystores auflisten

Führen Sie folgenden Befehl aus:
gsk7cmd -cert -list
  -db Name_des_Keystores
Beispiel:
gsk7cmd -cert -list
  -db myBrokerKeystore.jks
Für den Zugriff auf diese Schlüsseldatenbank ist ein Kennwort erforderlich.
Bitte geben Sie ein Kennwort ein:

Certificates in database: myBrokerKeystore.jks
    verisign class 1 public primary certification authority - g3
    verisign class 4 public primary certification authority - g3
    verisign class 1 public primary certification authority - g2
    verisign class 4 public primary certification authority - g2
    verisign class 2 public primary certification authority
    entrust.net global client certification authority
    rsa secure server certification authority
    verisign class 2 public primary certification authority - g3
    verisign class 2 public primary certification authority - g2
    verisign class 3 secure server ca
    verisign class 3 public primary certification authority
    verisign class 3 public primary certification authority - g3
    verisign class 3 public primary certification authority - g2
    thawte premium server ca
    verisign class 1 public primary certification authority
    entrust.net global secure server certification authority
    thawte personal basic ca
    thawte personal premium ca
    thawte personal freemail ca
    verisign international server ca - class 3
    thawte server ca
    entrust.net certification authority (2048)
    cacert
    entrust.net client certification authority
    entrust.net secure server certification authority
    soaplistener
    mycert

PKI auf Brokerebene konfigurieren

Definieren Sie die Eigenschaften des Brokerregisters, über die Pfad, Name und Kennwort der Keystore- und Truststore-Dateien angegeben werden.

Diese werden als Standardeinstellungen für den brokerweiten HTTP-Listener und alle integrierten HTTP-Listener in Ausführungsgruppen auf dem Broker verwendet. Diese Einstellungen können für den brokerweiten HTTP-Listener (siehe Public Key Infrastructure (PKI) für den brokerweiten HTTP-Listener konfigurieren) und für einzelne integrierte HTTP-Listener (siehe Public Key Infrastructure (PKI) für einen integrierten HTTP-Listener in einer Ausführungsgruppe konfigurieren) überschrieben werden.
  1. Starten Sie den Broker:
    mqsistart Brokername
  2. Zeigen Sie die aktuelle Einstellung der Brokerregistereigenschaften an:
    mqsireportproperties Brokername 
      -o BrokerRegistry
      –r
  3. Setzen Sie die Keystore-Eigenschaft:
    mqsichangeproperties Brokername
      -o BrokerRegistry
      -n brokerKeystoreFile
      -v Installationsverzeichnis\MQSI\8.0\MyBrokerKeystore.jks
  4. Setzen Sie die Truststore-Eigenschaft:
    mqsichangeproperties Brokername
      -o BrokerRegistry
      -n brokerTruststoreFile
      -v Installationsverzeichnis\MQSI\8.0\MyBrokerTruststore.jks
  5. Stoppen Sie den Broker:
    mqsistop Brokername
  6. Setzen Sie das Kennwort für den Keystore:
    mqsisetdbparms Brokername
      -n brokerKeystore::password
      -u ignore
      -p Kennwort_des_Keystores
  7. Setzen Sie das Kennwort für den Truststore:
    mqsisetdbparms Brokername
      -n brokerTruststore::password
      -u ignore
      -p Kennwort_des_Truststores
  8. Starten Sie den Broker:
    mqsistart Brokername
  9. Zeigen Sie die Eigenschaften des Brokerregisters an und überprüfen Sie sie:
    mqsireportproperties Brokername
      -o BrokerRegistry 
        –r

Public Key Infrastructure (PKI) für den brokerweiten HTTP-Listener konfigurieren

Sie können Eigenschaften für den brokerweiten HTTP-Listener definieren, mit denen Position, Name und Kennwort der Keystore- und Truststore-Dateien angegeben werden.

Eine eventuell auf Brokerebene festgelegte PKI-Konfiguration wird durch diese Einstellungen überschrieben. Wenn Sie SSL auf dem brokerweiten HTTP-Listener aktivieren ohne die folgenden Eigenschaften festzulegen, dann werden die brokerweiten Einstellungen angewendet (siehe PKI auf Brokerebene konfigurieren).
  1. Starten Sie den Broker.
    mqsistart Brokername
  2. Zeigen Sie die aktuellen Einstellungen für die Eigenschaften des brokerweiten Listeners an.
    mqsireportproperties Brokername 
      -b httplistener 
      -o HTTPSConnector 
      -a
  3. Setzen Sie die Keystore-Eigenschaft.
    mqsichangeproperties Brokername 
        -b httplistener 
      -o HTTPSConnector 
      -n keystoreFile 
      -v Installationsverzeichnis\MQSI\8.0\MyBrokerKeystore.jks
  4. Setzen Sie die Truststore-Eigenschaft.
    mqsichangeproperties Brokername 
        -b httplistener 
      -o HTTPSConnector 
      -n truststoreFile 
      -v Installationsverzeichnis\MQSI\8.0\MyBrokerTruststore.jks
  5. Stoppen Sie den Broker:
    mqsistop Brokername
  6. Setzen Sie das Kennwort für den Keystore.
    mqsichangeproperties Brokername 
        -b httplistener 
      -o HTTPSConnector 
      -n keystorePass
      -v Keystorekennwort
  7. Setzen Sie das Kennwort für den Truststore.
    mqsichangeproperties Brokername 
        -b httplistener 
      -o HTTPSConnector 
      -n truststorePass
      -v Truststorekennwort
  8. Starten Sie den Broker:
    mqsistart Brokername
  9. Zeigen Sie die Eigenschaften des brokerweiten Listeners an und prüfen Sie diese.
    mqsireportproperties Brokername 
      -b httplistener 
      -o HTTPSConnector 
      -a

Public Key Infrastructure (PKI) für einen integrierten HTTP-Listener in einer Ausführungsgruppe konfigurieren

Definieren Sie die ComIbmJVMManager-Eigenschaften für die betreffende Ausführungsgruppe, um Pfad, Name und Kennwort der Keystore- und Truststore-Dateien anzugeben.

Eine eventuell auf Brokerebene festgelegte PKI-Konfiguration wird durch diese Einstellungen überschrieben. Wenn Sie SSL auf einem integrierten HTTP-Listener aktivieren ohne die folgenden Eigenschaften festzulegen, dann werden die brokerweiten Einstellungen angewendet (siehe PKI auf Brokerebene konfigurieren).
  1. Starten Sie den Broker.
    mqsistart Brokername
  2. Zeigen Sie die aktuelle Einstellung der ComIbmJVMManager-Eigenschaften an.
    mqsireportproperties Brokername
      -e Name_der_Ausführungsgruppe
      -o ComIbmJVMManager
      -r
  3. Setzen Sie die Keystore-Eigenschaft.
    mqsichangeproperties Brokername
      -e Name_der_Ausführungsgruppe
      -o ComIbmJVMManager
      -n keystoreFile 
      -v Installationsverzeichnis\MQSI\8.0\MyExecGrpKeystore.jks
  4. Setzen Sie die Schlüsseleigenschaft für das Keystore-Kennwort. Der Wert für diese Eigenschaft wird im Format beliebiger_Präfixname::password angegeben. Mit diesem Wert wird das im Befehl mqsisetdbparms definierte Kennwort korreliert.
    mqsichangeproperties Brokername
      -e Name_der_Ausführungsgruppe
      -o ComIbmJVMManager
      -n keystorePass
      -v Name_der_AusführungsgruppeKeystore::password
  5. Setzen Sie die Truststore-Eigenschaft.
    mqsichangeproperties Brokername
      -e Name_der_Ausführungsgruppe
      -o ComIbmJVMManager
      -n truststoreFile 
      -v Installationsverzeichnis\MQSI\8.0\MyExecGrpTruststore.jks
  6. Setzen Sie die Schlüsseleigenschaft für das Truststore-Kennwort. Der Wert für diese Eigenschaft wird im Format beliebiger_Präfixname::password angegeben. Mit diesem Wert wird das im Befehl mqsisetdbparms definierte Kennwort korreliert.
    mqsichangeproperties Brokername
      -e Name_der_Ausführungsgruppe
      -o ComIbmJVMManager
      -n truststorePass
      -v Name_der_AusführungsgruppeTruststore::password
  7. Stoppen Sie den Broker.
    mqsistop Brokername
  8. Setzen Sie das Kennwort für den Keystore.
    mqsisetdbparms Brokername
      -n Name_der_AusführungsgruppeKeystore::password
      -u ignore
      -p Kennwort_des_Keystores
  9. Setzen Sie das Kennwort für den Truststore.
    mqsisetdbparms Brokername
      -n Name_der_AusführungsgruppeTruststore::password
      -u ignore
      -p Kennwort_des_Truststores
  10. Starten Sie den Broker.
    mqsistart Brokername
  11. Zeigen Sie die ComIbmJVMManager-Eigenschaften an und überprüfen Sie sie.
    mqsireportproperties Brokername
      -e Name_der_Ausführungsgruppe
      -o ComIbmJVMManager
      -r

Informationen zu Cipher-Suite-Anforderungen (z. B. Verschlüsselungsalgorithmus und zugehörige Schlüssellängen) finden Sie im Abschnitt Referenzhandbuch für Java Secure Socket Extension (JSSE) IBMJSSE2 Provider.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:21:56


TaskthemaTaskthema | Version 8.0.0.5 | ap34020_