WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

WebSphere MQ Java クライアントで SSL を使用可能にする

WebSphere® MQ Java™ クライアントは、 アプリケーションとキュー・マネージャーの間のサーバー接続 (SVRCONN) チャネル上で、SSL 暗号化接続をサポートします。 CMP API (WebSphere Message Broker Toolkit および WebSphere Message Broker Explorer を含む) およびブローカーを使用するアプリケーション間の接続用の SSL サポートを構成します。

SVRCONN チャネル上に SSL セキュリティーを実装するには、以下の手順に従います。SSL 証明書ストアを管理するための適切なソフトウェアを所有している必要があります。 例えば、WebSphere MQ Client または Server のどちらかをインストールして、 IBM® Key Management ツールをクライアントのために使用できます。 JKS ストアまたは PKCS12 ストアのどちらかを使用できます。
  1. WebSphere MQ 機能を使用して SVRCONN 定義を更新し、SSLCIPH 属性で必要な値を指定します。
  2. WebSphere Message Broker Toolkit または WebSphere Message Broker Explorer で、ブローカーへの接続を定義します。 接続を定義するときにのみ、SSL フィールドを設定できます。後で変更することはできません。 既に接続を定義した場合には、それを削除して再び定義してください。
  3. SVRCONN チャネルの SSLCIPH プロパティーで設定した値に適合する暗号スイートを選択します。
  4. 鍵ストアおよびトラスト・ストアの絶対パスおよび名前を入力するか、 または「参照」をクリックしてそれらを検索します。
  5. キュー・マネージャー証明書をクライアントのトラスト・ストアに追加します。
  6. 片方向認証の場合、クライアント CMP アプリケーションがブローカーを認証するときに、以下のステップを完了します。
    1. すべての該当する鍵と証明書を生成するか入手します。 サーバー用の署名付き pkcs12 証明書と、pkcs12 証明書に署名した認証局用の該当する公開鍵を組み込む必要があります。 鍵および証明書を作成する手順の例については、WebSphere MQ Java クライアント用の SSL 証明書の作成を参照してください。
    2. pkcs12 証明書を、キュー・マネージャーの証明書ストアに追加し、キュー・マネージャーに割り当てます。 標準 WebSphere MQ 機能 (例えば WebSphere MQ Explorer) を使用します。
    3. keytool などのツールを使用して、認証局の証明書を、CMP アプリケーション側の Java 仮想マシン (JVM) の Java Secure Socket Extension (JSSE) トラストストアに追加します。
    4. 使用する暗号スイートを決定し、WebSphere MQ Explorer を使用してサーバー接続チャネルのプロパティーを変更し、使用する暗号スイートを指定します。 このチャネルにはデフォルト名 SYSTEM.BKR.CONFIG があります。 「リモート・ブローカーへ接続」ウィザード (リモート・ブローカーへの接続およびz/OS 上のリモート・brokerへの接続を参照) で別の名前を指定しない限り、この名前が使用されます。
    5. 必要パラメーター (例えば、暗号スイート) を CMP アプリケーションに追加します。 デフォルト以外のトラストストアを使用する場合は、トラストストア・パラメーターにより、その絶対パスを渡さなければなりません。
    上記のステップをすべて実行したら、CMP アプリケーションは、信頼できる認証局によって署名された有効な鍵がある場合は、ブローカーに接続します。
  7. 両方向認証 (ブローカーも CMP アプリケーションを認証する) の場合は、以下の追加のステップを完了します。
    1. すべての該当する鍵と証明書を生成するか入手します。 クライアント用の署名付き pkcs12 証明書と、pkcs12 証明書に署名した認証局用の該当する公開鍵を組み込む必要があります。 鍵および証明書を作成する手順の例については、WebSphere MQ Java クライアント用の SSL 証明書の作成を参照してください。
    2. 標準的な WebSphere MQ 機能を使用して、認証局の証明書をキュー・マネージャー証明書ストアに追加します。
    3. 常に認証を行うようにサーバー接続チャネルを設定します。 SSLCAUTH(REQUIRED) を runmqsc、または WebSphere MQ Explorer で指定します。
    4. Keytool などのツールを使用して、pkcs12 証明書を、CMP アプリケーション側の JVM の JSSE 鍵ストアに追加します。
    5. デフォルトの鍵ストアを使用しない場合は、鍵ストア・パラメーターを使用して、その絶対パスをCMPに渡さなければなりません。
    上記のステップをすべて実行したら、鍵ストア中の認証局の 1 つによって署名された証明書がアプリケーションにある場合にのみ、ブローカーは CMP アプリケーションに接続を許可します。

sslPeerName フィールドを使用して、さらに制約事項を作成できます。例えば、証明書中に特定の会社名か部門名がある場合のみその証明書の所有者が接続できるようにすることができます。 また、CMP アプリケーションとブローカーの間の通信でセキュリティー出口を呼び出すこともできます。セキュリティー出口の使用を参照してください。

SSL で保護された接続を構成する方法の詳細については、WebSphere MQ Java Client developerWorks® の記事を参照してください。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:47:56


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | ap12232_