Sie können Schlüsselspeicher, Truststores, Kennwörter und Zertifikate zur Aktivierung der SSL-Kommunikation und Web Services Security konfigurieren.
Verschlüsselungsgrad
Die WebSphere Message Broker Java™ Runtime Environment (JRE) wird mit einer starken, aber begrenzten Verschlüsselung bereitgestellt. Wenn Sie Schlüssel nicht in Schlüsselspeicher importieren können, kann dies auf die begrenzte Verschlüsselung zurückzuführen sein. Starten Sie ikeyman mithilfe des Befehls strmqikm oder laden Sie die uneingeschränkten Standortrichtliniendateien von der Website IBM® developer kits: Security information herunter.
Wichtig: In Ihrem Herkunftsland gelten möglicherweise Beschränkungen für den Import, den Besitz oder die Verwendung von Verschlüsselungssoftware bzw. den Reexport dieser Software in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze Ihres Landes prüfen. Überprüfen Sie die Regelungen und Richtlinien in Bezug auf den Import, den Besitz, die Verwendung und den Reexport von Verschlüsselungssoftware, um festzustellen, ob dies zulässig ist. Beachten Sie, dass die JVM, einschließlich aller aktualisierten Richtliniensatzdateien, bei der Anwendung eines Fixpacks auf eine vorhandene WebSphere Message Broker-Installation überschrieben wird. Diese Richtliniensatzdateien müssen vor dem Neustart des Brokers wiederhergestellt werden.
Die Schlüsselspeicherdatei enthält das persönliche Zertifikat für den Broker oder die Ausführungsgruppe. Im Schlüsselspeicher kann sich nur ein persönliches Zertifikat befinden. Sie können Unterzeichnerzertifikate in der gleichen Datei speichern oder eine separate Datei erstellen, die als Truststore bezeichnet wird.
Selbst signierte Zertifikate dürfen nur für den Test von SSL verwendet werden, nicht in Produktionsumgebungen.
gsk7cmd -cert -create
-db Name_des_Keystores
[-pw Kennwort]
-label Zertifikatsbezeichnung
-dn "distinguished_name"
Beispiel:
gsk7cmd -cert -create
-db -myBrokerKeystore.jks
-label MyCert
-dn "CN=MyBroker.Server,O=IBM,OU=ISSW,L=Hursley,C=GB"
Für den Zugriff auf diese Schlüsseldatenbank ist ein Kennwort erforderlich.
Bitte geben Sie ein Kennwort ein:
Sie können ein persönliches Zertifikat von einer Zertifizierungsstelle zu Produktionszwecken importieren.
gsk7cmd -cert -import
-db Name_der_PKCS12-Datei
[-pw PKCS12-Kennwort]
-label Kennzeichnung
-type pkcs12
-target Name_des_Keystores
[-target_pw Kennwort_des_Keystores]
Beispiel:
gsk7cmd -cert -import
-db SOAPListenerCertificate.p12
-label soaplistener
-type pkcs12
-target myBrokerKeystore.jks
-target_pw myBrokerKpass
Für den Zugriff auf diese Schlüsseldatenbank ist ein Kennwort erforderlich.
Bitte geben Sie ein Kennwort ein:
gsk7cmd -cert -details
-db Name_des_Keystores
[-pw Kennwort]
-label Bezeichnung
Beispiel:
gsk7cmd -cert -details
-db myKeyStore.jks
-label MyCert
Für den Zugriff auf diese Schlüsseldatenbank ist ein Kennwort erforderlich.
Bitte geben Sie ein Kennwort ein:
Label: MyCert
Key Size: 1024
Version: X509 V3
Serial Number: 4A D7 39 1F
Issued By: MyBroker.Server
ISSW
IBM
Hursley, GB
Subject: MyBroker.Server
ISSW
IBM
Hursley, GB
Valid From: 15 October 2009 16:00:47 o'clock BST To: 15 October 2010 16:00:47 o'
clock BST
Fingerprint: 98:5D:C4:70:A0:28:84:72:FB:F6:3A:D2:D2:F5:EE:8D:30:33:87:82
Signature Algorithm: 1.2.840.113549.1.1.4
Trust Status: enabled
Sie können eine Kopie eines selbst signierten Zertifikats erstellen und anschließend als gesichertes Zertifikat (oder Unterzeichnerzertifikat) in eine Truststore-Datei importieren. Dieser Schritt sollte allerdings nur zu Testzwecken, nicht zu Produktionszwecken ausgeführt werden.
gsk7cmd -cert -extract
-db Name_des_Keystores
-pw Kennwort_des_Keystores
-label Kennzeichnung
-target Dateiname
[-format ascii | binary]
Beispiel:
gsk7cmd -cert -extract
-db myBrokerKeystore.jks
-pw myKeyPass
-label MyCert
-target MyCert.arm
-format ascii
Anschließend können Sie das Zertifikat in einem Texteditor (z. B. Notepad) anzeigen: notepad MyCert.arm
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Sie können ein Unterzeichnerzertifikat dem Truststore eines Brokers oder einer Ausführungsgruppe hinzufügen.
Im Folgenden wird beschrieben, wie Sie ein extrahiertes Zertifikat als Unterzeichnerzertifikat der Truststore-Datei hinzufügen. Durch Hinzufügen des selbst signierten Brokerzertifikats zum Truststore eines Brokers bzw. einer Ausführungsgruppe können Anforderungsknoten (HTTP oder SOAP) Testnachrichten an Empfangsknoten (HTTP oder SOAP) senden, wenn die Nachrichtenflüssen im Broker bzw. in der Ausführungsgruppe aktiv sind.
gsk7cmd -cert -add
-db Name_des_Truststores
[-pw Kennwort]
-label Kennzeichnung
-file Dateiname
-format [ascii | binary]
Beispiel:
gsk7cmd -cert -add
-db myBrokerTruststore.jks
-label CACert
-file TRUSTEDPublicCerticate.arm
-format ascii
So können Sie die Angaben zum Zertifikat anzeigen:
gsk7cmd -cert -details -db myBrokerTruststore.jks -label CACert
Für den Zugriff auf diese Schlüsseldatenbank ist ein Kennwort erforderlich.
Bitte geben Sie ein Kennwort ein:
Label: CACert
Key Size: 1024
Version: X509 V3
Serial Number: 49 49 23 1B
Issued By: VSR1BK
ISSW
IBM
GB
Subject: VSR1BK
ISSW
IBM
GB
Valid From: 17 December 2008 16:04:43 o'clock GMT To: 17 December 2009 16:04:43
o'clock GMT
Fingerprint: CB:39:E7:D8:1D:C0:00:A1:3D:B1:97:69:7A:A7:77:19:6D:09:C2:A7
Signature Algorithm: 1.2.840.113549.1.1.4
Trust Status: enabled
gsk7cmd -cert -list
-db Name_des_Keystores
Beispiel:
gsk7cmd -cert -list
-db myBrokerKeystore.jks
Für den Zugriff auf diese Schlüsseldatenbank ist ein Kennwort erforderlich.
Bitte geben Sie ein Kennwort ein:
Certificates in database: myBrokerKeystore.jks
verisign class 1 public primary certification authority - g3
verisign class 4 public primary certification authority - g3
verisign class 1 public primary certification authority - g2
verisign class 4 public primary certification authority - g2
verisign class 2 public primary certification authority
entrust.net global client certification authority
rsa secure server certification authority
verisign class 2 public primary certification authority - g3
verisign class 2 public primary certification authority - g2
verisign class 3 secure server ca
verisign class 3 public primary certification authority
verisign class 3 public primary certification authority - g3
verisign class 3 public primary certification authority - g2
thawte premium server ca
verisign class 1 public primary certification authority
entrust.net global secure server certification authority
thawte personal basic ca
thawte personal premium ca
thawte personal freemail ca
verisign international server ca - class 3
thawte server ca
entrust.net certification authority (2048)
cacert
entrust.net client certification authority
entrust.net secure server certification authority
soaplistener
mycert
Definieren Sie die Eigenschaften des Brokerregisters, über die Pfad, Name und Kennwort der Keystore- und Truststore-Dateien angegeben werden.
mqsistart Brokername
mqsireportproperties Brokername
-o BrokerRegistry
–r
mqsichangeproperties Brokername
-o BrokerRegistry
-n brokerKeystoreFile
-v Installationsverzeichnis\MQSI\8.0\MyBrokerKeystore.jks
mqsichangeproperties Brokername
-o BrokerRegistry
-n brokerTruststoreFile
-v Installationsverzeichnis\MQSI\8.0\MyBrokerTruststore.jks
mqsistop Brokername
mqsisetdbparms Brokername
-n brokerKeystore::password
-u ignore
-p Kennwort_des_Keystores
mqsisetdbparms Brokername
-n brokerTruststore::password
-u ignore
-p Kennwort_des_Truststores
mqsistart Brokername
mqsireportproperties Brokername
-o BrokerRegistry
–r
Sie können Eigenschaften für den brokerweiten HTTP-Listener definieren, mit denen Position, Name und Kennwort der Keystore- und Truststore-Dateien angegeben werden.
mqsistart Brokername
mqsireportproperties Brokername
-b httplistener
-o HTTPSConnector
-a
mqsichangeproperties Brokername
-b httplistener
-o HTTPSConnector
-n keystoreFile
-v Installationsverzeichnis\MQSI\8.0\MyBrokerKeystore.jks
mqsichangeproperties Brokername
-b httplistener
-o HTTPSConnector
-n truststoreFile
-v Installationsverzeichnis\MQSI\8.0\MyBrokerTruststore.jks
mqsistop Brokername
mqsichangeproperties Brokername
-b httplistener
-o HTTPSConnector
-n keystorePass
-v Keystorekennwort
mqsichangeproperties Brokername
-b httplistener
-o HTTPSConnector
-n truststorePass
-v Truststorekennwort
mqsistart Brokername
mqsireportproperties Brokername
-b httplistener
-o HTTPSConnector
-a
Definieren Sie die ComIbmJVMManager-Eigenschaften für die betreffende Ausführungsgruppe, um Pfad, Name und Kennwort der Keystore- und Truststore-Dateien anzugeben.
mqsistart Brokername
mqsireportproperties Brokername
-e Name_der_Ausführungsgruppe
-o ComIbmJVMManager
-r
mqsichangeproperties Brokername
-e Name_der_Ausführungsgruppe
-o ComIbmJVMManager
-n keystoreFile
-v Installationsverzeichnis\MQSI\8.0\MyExecGrpKeystore.jks
mqsichangeproperties Brokername
-e Name_der_Ausführungsgruppe
-o ComIbmJVMManager
-n keystorePass
-v Name_der_AusführungsgruppeKeystore::password
mqsichangeproperties Brokername
-e Name_der_Ausführungsgruppe
-o ComIbmJVMManager
-n truststoreFile
-v Installationsverzeichnis\MQSI\8.0\MyExecGrpTruststore.jks
mqsichangeproperties Brokername
-e Name_der_Ausführungsgruppe
-o ComIbmJVMManager
-n truststorePass
-v Name_der_AusführungsgruppeTruststore::password
mqsistop Brokername
mqsisetdbparms Brokername
-n Name_der_AusführungsgruppeKeystore::password
-u ignore
-p Kennwort_des_Keystores
mqsisetdbparms Brokername
-n Name_der_AusführungsgruppeTruststore::password
-u ignore
-p Kennwort_des_Truststores
mqsistart Brokername
mqsireportproperties Brokername
-e Name_der_Ausführungsgruppe
-o ComIbmJVMManager
-r
Informationen zu Cipher-Suite-Anforderungen (z. B. Verschlüsselungsalgorithmus und zugehörige Schlüssellängen) finden Sie im Abschnitt Referenzhandbuch für Java Secure Socket Extension (JSSE) IBMJSSE2 Provider.