WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

TCP/IP サーバー・ノードで SSL を使用するための構成

TCPIP サーバー・ノードとの間の接続を保護する目的で SSL を使用するために TCP/IP 構成を設定します。
構成可能なサービスを作成または変更することにより、SSL を使用する TCP/IP サーバー接続を作成または変更できます。 以下のものを指定できます。
  • プロトコルのタイプ。
  • 許可される暗号スイート。
  • 鍵エイリアス。
  • 接続元のクライアントが認証情報を提供するかどうか。
デフォルトでは、どの構成可能サービスにも SSL は使用可能にされていません。 ノードは標準のブローカー鍵ストアおよびトラストストア構成を使用します。
始める前に: Public Key Infrastructure のセットアップの指示に従って、Public Key Infrastructure (PKI) をブローカー・レベルでセットアップします。

SSL を使用する TCPIP ノードを構成するには、以下の手順を実行します。

  1. SSL を使用するための TCP/IP サーバー構成の変更
  2. SSL を使用する TCP/IP サーバー構成の作成

SSL を使用するための TCP/IP サーバー構成の変更

mqsichangeproperties コマンドを使用して、既存の TCPIPServer 構成可能サービスを変更します。

  1. 以下のコマンドを実行すると、SSLv3 を、使用可能な任意の暗号スイートとともに使用するように TCPIPServer 構成可能サービスが変更されます。 クライアントへの接続時には認証を要求されません。
    mqsichangeproperties MYBROKER 
      -c TCPIPClient 
      -o myTCPIPServerService 
      -n SSLProtocol  
      -v SSLv3
  2. メッセージ・フローを含む実行グループを再始動します。

SSL を使用する TCP/IP サーバー構成の作成

mqsicreateconfigurableservice コマンドを使用して、TCPIPServer 構成可能サービスを作成します。

  1. 以下のコマンドを実行すると、ポート 1455 で接続を行う TCPIPServer 構成可能サービスが作成されます。 このサービスは SSL プロトコル SSLv3 を使用し、リストした許可される暗号スイートを適用します。 接続するクライアントには認証が必要です。
    mqsicreateconfigurableservice MYBROKER 
         -c TCPIPServer 
         -o myTCPIPServerService 
         -n Port,SSLProtocol,SSLCiphers,SSLClientAuth 
         -v 1455,SSLv3,SSL_RSA_WITH_RC4_128_MD5;
            SSL_RSA_WITH_3DES_EDE_CBC_SHA,require
  2. メッセージ・フローを含む実行グループを再始動します。

SSL 鍵エイリアスの使用

鍵エイリアスは、ブローカーまたは実行グループの鍵ストアに複数の鍵がある場合に SSL 接続に使用する鍵を識別します。 SSLKeyAlias プロパティーとともに、mqsichangeproperties または mqsicreateconfigurableservice を必要に応じて使用します。 デフォルト値は「""」または「none」で、これは SSL 鍵の別名が使用されないことを示します。 それ以外のストリングの場合はエイリアスを識別します。

注: 鍵ストアに複数のキーが含まれる場合、鍵エイリアスが定義されていなければ、Java™ 仮想マシンは実行時に任意にキーを選択します。

以下のコマンドを実行すると、ポート 1455 で接続を行う TCPIPServer 構成可能サービスが作成されます。 このサービスは SSL プロトコル SSLv3 で暗号スイート SSL_RSA_WITH_RC4_128_MD5 と SSL_RSA_WITH_3DES_EDE_CBC_SHA を使用します。 そのためには、クライアントがクライアント自身を認証し、使用する鍵の識別に鍵エイリアス MyKey を使用する必要があります。

mqsicreateconfigurableservice MYBROKER 
  -c TCPIPServer 
  -o myTCPIPServerService 
  -n Port,SSLProtocol,SSLCiphers,SSLClientAuth,SSLKeyAlias 
  -v 1455,SSLv3,SSL_RSA_WITH_RC4_128_MD5;SSL_RSA_WITH_3DES_EDE_CBC_SHA
     ,require,MyKey

以下のコマンドを実行すると、SSL プロトコル SSLv3 で鍵ストアから取得した最初の鍵を使用するように TCPIPServer 構成可能サービスが変更されます。 SSLClientAuth は使用不可になります。

mqsichangeproperties MYBROKER 
  -c TCPIPClient 
  -o myTCPIPServerService 
  -n SSLProtocol
  -v SSLv3

構成のテスト

構成をテストするには、別のプログラムや Web ブラウザーなどの SSL 対応クライアントをサーバー・ポートに接続します。 ハンドシェークの失敗やトラステッド鍵ではないといった接続エラー・メッセージが表示される場合は、構成を変更する必要があります。

クライアント ID

SSL クライアント認証が要求されているかまたは必須である場合に、クライアントの認証が成功すると、プロパティー・パーサー (接続時に Open ターミナルから伝搬されるツリー) の ID ソース・トークンに識別名が提供されます。 ただし、TCPIPServerInput ノードでのみこのようになります。
  • IdentitySourceToken フィールドは、クライアント証明書からの識別名に設定されます。
  • IdentitySourceType フィールドは、ストリング username に設定されます。
  • IdentitySourceIssuedBy フィールドはクライアントによって提供された証明書の発行者に設定されます。
SSL クライアント認証が要求されている場合に、クライアントが必要な資格情報を提供しないと、フィールドはブランクに設定されます。
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:49:28


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | bp34105_