WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

TCP/IP-Serverknoten für SSL konfigurieren

Erstellen Sie eine TCP/IP-Konfiguration, die SSL verwendet, um die Verbindungen zu und von den TCP/IP-Serverknoten zu schützen.
Sie können TCP/IP-Serververbindungen, die SSL verwenden, erstellen oder ändern, indem Sie einen konfigurierbaren Service erstellen oder ändern. Dabei können Sie Folgendes angeben:
  • Den Protokolltyp.
  • Die erlaubten Cipher Suites.
  • Einen Schlüsselalias.
  • Ob ein sich verbindender Client Authentifizierungsdaten bereitstellen soll.
Standardmäßig ist SSL für konfigurierbare Services nicht aktiviert. Die Knoten verwenden die Standardkonfiguration für den Schlüsselspeicher und Truststore des Brokers.
Vorbereitungen: Richten Sie eine PKI-Infrastruktur auf Brokerebene ein; die entsprechenden Anweisungen finden Sie im Abschnitt PKI-Infrastruktur konfigurieren.

Führen Sie die folgenden Schritte aus, um die TCP/IP-Knoten für SSL zu konfigurieren:

  1. TCP/IP-Serverkonfiguration für die Verwendung von SSL ändern
  2. TCP/IP-Serverkonfiguration mit Verwendung von SSL erstellen

TCP/IP-Serverkonfiguration für die Verwendung von SSL ändern

Ändern Sie mit dem Befehl mqsichangeproperties einen konfigurierbaren TCPIPServer-Service.

  1. Mit folgendem Befehl wird ein konfigurierbarer TCPIPServer-Service so geändert, dass er SSLv3 zusammen mit einer beliebigen verfügbaren Cipher Suite verwendet. Clients, mit denen Verbindungen hergestellt werden, werden nicht aufgefordert, sich zu authentifizieren.
    mqsichangeproperties MYBROKER 
      -c TCPIPClient 
      -o myTCPIPServerService 
      -n SSLProtocol  
      -v SSLv3
  2. Führen Sie einen Neustart der Ausführungsgruppe durch, die die Nachrichtenflüsse enthält.

TCP/IP-Serverkonfiguration mit Verwendung von SSL erstellen

Erstellen Sie mit dem Befehl mqsicreateconfigurableservice einen konfigurierbaren TCPIPServer-Service.

  1. Mit folgendem Befehl wird ein konfigurierbarer TCPIPServer-Service erstellt, der Verbindungen an Port 1455 herstellt. Dabei wird das SSL-Protokoll SSLv3 mit einer speziellen Liste zulässiger Cipher Suites verwendet. Clients, mit denen Verbindungen hergestellt werden, müssen sich authentifizieren.
    mqsicreateconfigurableservice MYBROKER 
         -c TCPIPServer 
         -o myTCPIPServerService 
         -n Port,SSLProtocol,SSLCiphers,SSLClientAuth 
         -v 1455,SSLv3,SSL_RSA_WITH_RC4_128_MD5;
            SSL_RSA_WITH_3DES_EDE_CBC_SHA,require
  2. Führen Sie einen Neustart der Ausführungsgruppe durch, die die Nachrichtenflüsse enthält.

SSL-Schlüsselalias verwenden

Ein Schlüsselalias gibt den Schlüssel an, der für die SSL-Verbindung verwendet werden soll, wenn der Schlüsselspeicher des Brokers oder der Ausführungsgruppe mehrere Schlüssel enthält. In Verbindung mit der Eigenschaft SSLKeyAlias verwenden Sie nach Bedarf den Befehl mqsichangeproperties oder mqsicreateconfigurableservice. Der Standardwert "" oder none bedeutet, dass kein SSL-Schlüsselaliasname verwendet wird. Jede andere Zeichenfolge gibt den Schlüsselalias an.

Anmerkung: Enthält der Schlüsselspeicher mehrere Schlüssel und ist kein Schlüsselalias definiert, wählt die Java™ Virtual Machine während der Ausführung willkürlich einen Schlüssel aus.

Mit folgendem Befehl wird ein konfigurierbarer TCPIPServer-Service erstellt, der Verbindungen an Port 1455 herstellt. Er verwendet das SSL-Protokoll SSLv3 mit den Cipher Suites SSL_RSA_WITH_RC4_128_MD5 und SSL_RSA_WITH_3DES_EDE_CBC_SHA. Er verlangt, dass sich der Client selbst authentifiziert, und verwendet den Schlüsselalias MyKey zur Identifizierung des zu verwendenden Schlüssels.

mqsicreateconfigurableservice MYBROKER 
  -c TCPIPServer 
  -o myTCPIPServerService 
  -n Port,SSLProtocol,SSLCiphers,SSLClientAuth,SSLKeyAlias 
  -v 1455,SSLv3,SSL_RSA_WITH_RC4_128_MD5;SSL_RSA_WITH_3DES_EDE_CBC_SHA
     ,require,MyKey

Folgender Befehl ändert einen konfigurierbaren TCPIPServer-Service so, dass der erste aus dem Schlüsselspeicher abgerufene Schlüssel sowie das SSL-Protokoll SSLv3 verwendet wird. 'SSLClientAuth' ist inaktiviert.

mqsichangeproperties MYBROKER 
  -c TCPIPClient 
  -o myTCPIPServerService 
  -n SSLProtocol
  -v SSLv3

Konfiguration testen

Stellen Sie zum Testen der Konfiguration über den Server-Port eine Verbindung mit einem Client mit aktiviertem SSL her, z. B. mit einem anderen Programm oder einem Web-Browser. Verbindungsfehlernachrichten, z. B. Handshake-Fehler oder nicht vertrauenswürdige Schlüssel, weisen darauf hin, dass Sie die Konfiguration ändern müssen.

Clientidentität

Wenn die SSL-Clientauthentifizierung verlangt wird und sich der Client erfolgreich authentifiziert, steht der definierte Name (DN) im Eigenschaftenparser in der bei der Verbindungsherstellung vom Open-Terminal weitergeleiteten Baumstruktur als Identitätsquellentoken zur Verfügung. Dies gilt nur für den TCPIPServerInput-Knoten.
  • Das Feld IdentitySourceToken wird auf den definierten Namen aus dem Clientzertifikat gesetzt.
  • Das Feld IdentitySourceType wird auf die Zeichenfolge des Benutzernamens gesetzt.
  • Das Feld IdentitySourceIssuedBy wird auf den Aussteller des vom Client vorgelegten Zertifikats gesetzt.
Wenn die SSL-Clientauthentifizierung verlangt wird und der Client die erforderlichen Berechtigungsnachweise nicht vorlegt, bleiben die Felder leer.
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:23:19


TaskthemaTaskthema | Version 8.0.0.5 | bp34105_