Definieren und installieren Sie AT-TLS-Richtlinien unter Verwendung des Tools 'IBM® Configuration Assistant for z/OS Communications
Server'.
Sie können die AT-TLS-Richtlinien unter Verwendung des Tools 'IBM Configuration
Assistant for z/OS Communications
Server' erstellen. Dabei handelt es sich um eine Java™-Anwendung, die von IBM zum Download bereitgestellt wird.
Führen Sie die folgenden Schritte aus, um die Richtlinien zu definieren, die für die Aktivierung der SSL-Unterstützung fürWebSphere Message
Broker for z/OS mit aktiven SOAPInput- und SOAPInput-Knoten erforderlich sind:
- Starten Sie den Konfigurationsassistenten, indem Sie nacheinander auf klicken.
- Klicken Sie auf Add a New z/OS Image (Neues z/OS-Image hinzufügen), geben Sie einen Namen und eine Beschreibung für Ihr z/OS-Image (LPAR) ein und klicken Sie anschließend auf OK.
- Wählen Sie im Navigationsfenster des Konfigurationsassistenten das in Schritt 2 hinzugefügte Image aus, klicken Sie auf Add New TCP/IP
Stack (Neuen TCP/IP-Stack hinzufügen), geben Sie den Namen und die Beschreibung des Stacks ein und klicken Sie dann auf OK.
- Wählen Sie im Navigationsfenster des Konfigurationsassistenten den in Schritt 3 hinzugefügten Stack aus, wählen Sie in der Liste der Technologien den EintragAT-TLS aus und klicken Sie dann auf Enable (Aktivieren).
- Klicken Sie auf Configure (Konfigurieren).
- Klicken Sie auf Add (Hinzufügen). Daraufhin wird der Assistent Connectivity Rule (Konnektivitätsregel) geöffnet. Klicken Sie auf Next (Weiter).
- Identifizieren Sie die Datenendpunkte, indem Sie die folgenden Felder ausfüllen. Eine generische Regel ermöglicht Tests, kann jedoch zu einem späteren Zeitpunkt verfeinert werden.
- Wählen Sie im Feld für den lokalen Datenendpunkt ALL_IP_Addresses aus.
- Wählen Sie im Feld für den fernen Datenendpunkt ALL_IP_Addresses aus.
- Geben Sie im Feld für die Konnektivitätsregel ein Suffix für den Namen der Regeln ein und klicken Sie dann auf Next (Weiter).
- Wählen Sie eine Anforderungszuordnung aus, indem Sie auf Add (Hinzufügen) klicken. Mit der Zuordnung wird die Art des IP-Datenverkehrs mit der Sicherheitsstufe abgeglichen, die von AT-TLS implementiert werden soll.
- Geben Sie für die Anforderungszuordnung einen Namen und eine Beschreibung ein und klicken Sie dann auf Work with Traffic Descriptors (Mit Datenverkehrdeskriptoren arbeiten). Zwei Datenverkehrsdeskriptoren sind erforderlich: einer für die eingehenden SOAP-Anforderungen (WebSphere Message
Broker fungiert als Server) und einer für die abgehenden SOAP-Anforderungen (WebSphere Message
Broker fungiert als Client).
- Erstellen Sie einen Deskriptor für den eingehenden Datenverkehr, indem Sie auf Add (Hinzufügen) klicken, einen Namen und eine Beschreibung eingeben und anschließend auf OK klicken.
- Geben Sie die Einzeldaten zum Deskriptor für den eingehenden Datenverkehr ein:
- Wählen Sie für den lokalen Port Single port (Einzelner Port) aus und setzen Sie die Portnummer auf 7800 (der Port, an dem der SOAPInput-Knoten normalerweise empfangsbereit ist).
- Wählen Sie für den fernen Port All ports (Alle Ports) aus.
- Setzen Sie die Angabe für die TCP-Verbindungsrichtung auf Inbound
only (Nur eingehend).
- Geben Sie im Feld für den Jobnamen einen Stern (*) ein.
- Geben Sie im Feld für die Benutzer-ID einen Stern (*) ein.
- Wählen Sie Use the following key ring database (Folgende Schlüsselringdatenbank verwenden) aus.
- Wählen Sie Key ring is in SAF produce (such as
RACF) (Schlüsselring befindet sich in SAF-Erstellung (z. B. RACF)) aus und geben Sie dann den Namen des Schlüsselrings ein.
- Setzen Sie die AT-TLS-Handshake-Rolle auf Server und klicken Sie dann auf AT-TLS Advanced (AT-TLS Erweitert).
- Geben Sie die Bezeichnung des persönlichen WebSphere Message
Broker-Zertifikats ein und klicken Sie anschließend auf OK.
- Klicken Sie auf OK, um die Details zum Datenverkehr für den eingehenden SOAP-Datenverkehr zu speichern, und anschließend nochmals auf OK, um den Datenverkehrdeskriptor für das eingehende SOAP zu erstellen.
- Erstellen Sie einen Deskriptor für den abgehenden Datenverkehr, indem Sie auf Add (Hinzufügen) klicken, einen Namen und eine Beschreibung hinzufügen und anschließend auf OK klicken.
- Geben Sie die Einzeldaten zum Deskriptor für den abgehenden Datenverkehr ein:
- Wählen Sie für den lokalen Port All ports (Alle Ports) aus.
- Wählen Sie für den fernen Port Single port (Einzelner Port) aus und setzen Sie die Portnummer auf 7843.
- Setzen Sie die Angabe für die TCP-Verbindungsrichtung auf Outbound
only (Nur abgehend).
- Geben Sie im Feld für den Jobnamen einen Stern (*) ein.
- Geben Sie im Feld für die Benutzer-ID einen Stern (*) ein.
- Wählen Sie Use the following key ring database (Folgende Schlüsselringdatenbank verwenden) aus.
- Wählen Sie Key ring is in SAF produce (such as
RACF) (Schlüsselring befindet sich in SAF-Erstellung (z. B. RACF)) aus und geben Sie dann den Namen des Schlüsselrings ein.
- Setzen Sie die AT-TLS-Handshake-Rolle auf Client und klicken Sie dann auf AT-TLS Advanced (AT-TLS Erweitert).
- Geben Sie die Bezeichnung des persönlichen WebSphere Message
Broker-Zertifikats ein und klicken Sie anschließend auf OK.
- Klicken Sie auf OK, um die Details zum Datenverkehr für den abgehenden SOAP-Datenverkehr zu speichern, und anschließend nochmals auf OK, um den Datenverkehrdeskriptor für das abgehende SOAP zu erstellen.
- Klicken Sie auf Close (Schließen).
- Wenn Sie eine Sicherheitsstufe für WebSphere Message
Broker erstellen möchten, klicken Sie auf Work with
Security Levels (Mit Sicherheitsstufen arbeiten) und anschließend auf Add (Hinzufügen).
- Geben Sie auf der Registerkarte für Namen und Typ einen Namen und eine Beschreibung ein.
- Wählen Sie auf der Registerkarte 'Ciphers' (Chiffrierwerte) Use TLS V1 (TLS V1 verwenden), Use
SSL V3 (SSL V3 verwenden) und Use System SSL defaults (System-SSL-Standardwerte verwenden) aus und klicken Sie anschließend auf OK.
- Wenn Sie der Anforderungszuordnung Datenverkehrdeskriptoren hinzufügen möchten, wählen Sie in der Objektliste SOAP_Server und SOAP_Client aus und klicken Sie dann auf Add (Hinzufügen).
- Wählen Sie für jeden Datenverkehrdeskriptor die in Schritt 17 erstellte AT-TLS-Sicherheitsstufe aus und klicken Sie dann auf OK.
- Klicken Sie auf Next (Weiter) und legen Sie die entsprechenden optionalen Einstellungen für die Konnektivitätsregel fest. Mit diesen Einstellungen werden die Traceebenen, Optimierungsparameter und Ablaufsteuerungen der aktiven Regel festgelegt.
- Klicken Sie auf Finish (Fertigstellen).
- Wenn Sie Änderungen an den AT-TLS-Regeln speichern möchten, klicken Sie auf Apply
changes (Änderungen anwenden) und anschließend auf Main perspective (Hauptperspektive).
- Wählen Sie zur Installation der AT-TLS-Richtlinie AT-TLS
technology (AT-TLS-Technologie) aus, klicken Sie auf Install (Installieren) und anschließend auf FTP, um die Richtlinienregeln an die logische Partition (LPAR) zu senden.
- Geben Sie die FTP-Parameter an:
- Geben Sie den LPAR-Hostnamen ein und setzen Sie die Portnummer auf 21.
- Geben Sie Ihre Benutzer-ID und Ihr Kennwort ein.
- Geben Sie die Position und den Namen der AT-TLS-Richtliniendatei ein (beispielsweise /etc/pagent/TCPIP_TTLS.policy).
- Wählen Sie Default transfer mode (Standardübertragungsmodus) aus.
- Klicken Sie auf Send (Senden), warten Sie, bis die Dateiübertragung abgeschlossen ist, und prüfen Sie dann, ob die Übertragung erfolgreich verlaufen ist.
- Klicken Sie auf Close (Schließen).
- Nach der Dateiübertragung müssen Sie PAGENT aktualisieren oder erneut starten.
Die AT-TLS-Richtlinien wurden erstellt und implementiert.
Nächster Schritt: Testen und überprüfen Sie AT-TLS
für
WebSphere Message
Broker mithilfe der Anweisungen im Abschnitt
AT-TLS testen und überprüfen.