WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

SSL auf dem WebSphere MQ-Java-Client aktivieren

Der WebSphere MQ-Java™-Client unterstützt SSL-verschlüsselte Verbindungen über den Serververbindungskanal (SVRCONN) zwischen Anwendung und Warteschlangenmanager. Konfigurieren Sie die SSL-Unterstützung für Verbindungen zwischen Anwendungen, die die CMP-API (einschließlich WebSphere Message Broker Toolkit und WebSphere Message Broker Explorer) und einen Broker verwenden.

Implementieren Sie anhand der folgenden Anweisungen die SSL-Sicherheit im SVRCONN-Kanal. Sie müssen über die richtige Software für die Verwaltung von SSL-Zertifikatsspeichern verfügen; Sie können beispielsweise entweder den WebSphere MQ Client oder den Server installieren und die Tools von IBM® Key Management für den Client nutzen. Sie können entweder JKS oder PKCS12-Speicher verwenden.
  1. Aktualisieren Sie die SVRCONN-Definition mit den WebSphere MQ-Funktionen, um den erforderlichen Wert im Attribut SSLCIPH anzugeben.
  2. Definieren Sie im WebSphere Message Broker Toolkit oder im WebSphere Message Broker Explorer die Verbindung zum Broker. Sie können die SSL-Felder nur festlegen, wenn Sie die Verbindung definieren; zu einem späteren Zeitpunkt ist keine Änderung mehr möglich. Wenn Sie Ihre Verbindung bereits definiert haben, löschen Sie sie und definieren Sie sie erneut.
  3. Wählen Sie die Cipher Suite aus, die dem Wert entspricht, den Sie für die Eigenschaft SSLCIPH des SVRCONN-Kanals festgelegt haben.
  4. Geben Sie für den Schlüsselspeicher und den gesicherten Speicher den vollständigen Pfad und den Namen ein, oder klicken Sie auf Durchsuchen, um nach diesen zu suchen.
  5. Fügen Sie dem gesicherten Speicher des Clients das Zertifikat des Warteschlangenmanagers hinzu.
  6. Wenn eine einseitige Authentifizierung konfiguriert werden soll, bei der lediglich der Client (Konfigurationsmanager-Proxy-Anwendung) den Broker authentifiziert, müssen folgende Schritte ausgeführt werden:
    1. Besorgen Sie sich die notwendigen Schlüssel und Zertifikate bzw. erstellen Sie sie. Dazu gehört ein signiertes PKCS12-Zertifikat für den Server und der entsprechende öffentliche Schlüssel für die Zertifizierungsstelle, von der das PKCS12-Zertifikat signiert wurde. Im Abschnitt SSL-Zertifikate für den WebSphere MQ -Java-Client erstellen finden Sie einige Beispielschritte zur Erstellung von Schlüsseln und Zertifikaten.
    2. Fügen Sie das PKCS12-Zertifikat dem Zertifikatspeicher des Warteschlangenmanagers hinzu und ordnen Sie es dem Warteschlangenmanager zu. Dies kann mit den standardmäßigen Komponenten von WebSphere MQ erfolgen, beispielsweise WebSphere MQ Explorer.
    3. Fügen Sie das Zertifikat der Zertifizierungsstelle mithilfe eines Tools wie Keytool zum JSSE-Truststore (Java Secure Socket Extension) in der JVM (Java Virtual Machine) auf der Seite der Konfigurationsmanager-Proxy-Anwendung hinzu.
    4. Legen Sie die Cipher Suite fest, die verwendet werden soll, und ändern Sie über WebSphere MQ Explorer die Eigenschaften für den Serververbindungskanal entsprechend Ihrer Auswahl. Der Standardname dieses Kanals lautet SYSTEM.BKR.CONFIG und wird verwendet, wenn Sie im Assistenten Verbindung zu fernen Broker herstellen keinen anderen Namen angegeben haben (siehe Herstellen einer Verbindung zu einem fernen Broker und Verbindung zu einem fernen Broker unter z/OS herstellen).
    5. Fügen Sie der Konfigurationsmanager-Proxy-Anwendung die erforderlichen Parameter (z. B. Cipher Suite) hinzu. Wird nicht der Standard-Zertifikatspeicher verwendet, muss über den entsprechenden Parameter der vollständige Pfad des Zertifikatspeichers angegeben werden, der verwendet werden soll.
    Nach Ausführung dieser Schritte wird von der Konfigurationsmanager-Proxy-Anwendung eine Verbindung zum Broker hergestellt, wenn dieser über einen gültigen Schlüssel verfügt, der von einer anerkannten Zertifizierungsstelle signiert wurde.
  7. Wenn eine gegenseitige Authentifizierung konfiguriert werden soll, bei der der Broker auch die Konfigurationsmanager-Proxy-Anwendung überprüft, müssen noch die folgenden zusätzlichen Schritte ausgeführt werden:
    1. Besorgen Sie sich die notwendigen Schlüssel und Zertifikate bzw. erstellen Sie sie. Dazu gehört ein signiertes PKCS12-Zertifikat für den Client und der entsprechende öffentliche Schlüssel für die Zertifizierungsstelle, von der das PKCS12-Zertifikat signiert wurde. Im Abschnitt SSL-Zertifikate für den WebSphere MQ -Java-Client erstellen finden Sie einige Beispielschritte zum Erstellen von Schlüsseln und Zertifikaten.
    2. Fügen Sie das Zertifikat der Zertifizierungsstelle mithilfe der Standardfunktionen von WebSphere MQ dem Zertifikatsspeicher des Warteschlangenmanagers hinzu.
    3. Setzen Sie den Serververbindungskanal so, dass immer eine Authentifizierung erfolgt. Dazu wird SSLCAUTH(REQUIRED) in runmqsc oder in WebSphere MQ Explorer angegeben.
    4. Fügen Sie das PKCS12-Zertifikat mithilfe eines Tools wie Keytool zum JSSE-Schlüsselspeicher der JVM auf der Seite der Konfigurationsmanager-Proxy-Anwendung hinzu.
    5. Wenn nicht der Standardschlüsselspeicher verwendet wird, muss der vollständige Pfad des Schlüsselspeichers, der verwendet werden soll, über den entsprechenden Parameter an den Konfigurationsmanager-Proxy übergeben werden.
    Nach Ausführung dieser Schritte gestattet der Broker Verbindungen der Konfigurationsmanager-Proxy-Anwendung nur, wenn sie über ein Zertifikat verfügt, das von einer der im Schlüsselspeicher enthaltenen Zertifizierungsstellen signiert wurde.

Weitere Einschränkungen sind über das Feld 'sslPeerName' möglich; so können Sie beispielsweise festlegen, dass nur Zertifikatseigner mit einem bestimmten Firmen- oder Abteilungsnamen im Zertifikat eine Verbindung herstellen können. Darüber hinaus können Sie einen Sicherheitsexit für die Kommunikation zwischen den Konfigurationsmanager-Proxy-Anwendungen und dem Broker aufrufen (Sicherheitsexits verwenden).

Informationen zur Konfiguration von Verbindungen, die mit SSL geschützt sind, finden Sie im Abschnitt WebSphere MQ Java Client developerWorks-Artikel.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:21:55


TaskthemaTaskthema | Version 8.0.0.5 | ap12232_