WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Configurar los nodos de servidor TCP/IP para utilizar SSL

Configure una configuración de TCP/IP para utilizar SSL para proteger la conectividad a y desde los nodos de servidor TCPIP.
Puede crear o modificar conexiones de servidor TCP/IP que utilicen SSL, creando o modificando un servicio configurable. Puede especificar:
  • El tipo de protocolo.
  • Las suites de cifrado permitidas.
  • Un alias de clave.
  • Si un cliente que se conecta debe proporcionar información de autenticación.
De forma predeterminada, SSL no está habilitado para ningún servicio configurable. Los nodos utilizan el almacén de claves del intermediario estándar y la configuración del almacén de confianza.
Antes de empezar: configure una infraestructura de claves públicas (PKI) en el nivel de intermediario siguiendo las instrucciones que se indican en Configuración de una infraestructura clave pública.

Siga estos pasos para configurar los nodos TCPIP para utilizar SSL:

  1. Cambiar una configuración de servidor TCP/IP para utilizar SSL
  2. Crear una configuración de servidor TCP/IP que utilice SSL

Cambiar una configuración de servidor TCP/IP para utilizar SSL

Utilice el mandato mqsichangeproperties para cambiar un servicio configurable TCPIPServer existente.

  1. El mandato siguiente cambia un servicio configurable TCPIPServer para que utilice SSLv3 con cualquier suite de cifrado disponible. No es necesario que los clientes se autentiquen.
    mqsichangeproperties MYBROKER 
      -c TCPIPClient 
      -o myTCPIPServerService 
      -n SSLProtocol  
      -v SSLv3
  2. Reinicie el grupo de ejecución que contiene los flujos de mensajes.

Crear una configuración de servidor TCP/IP que utilice SSL

Utilice el mandato mqsicreateconfigurableservice para crear un servicio configurable TCPIPServer.

  1. El mandato siguiente crea un servicio configurable TCPIPServer para realizar conexiones en el puerto 1455. Utiliza el protocolo SSL SSLv3 con una lista específica de suites de cifrado permitidas. Es necesario que los clientes se autentiquen.
    mqsicreateconfigurableservice MYBROKER 
         -c TCPIPServer 
         -o myTCPIPServerService 
         -n Port,SSLProtocol,SSLCiphers,SSLClientAuth 
         -v 1455,SSLv3,SSL_RSA_WITH_RC4_128_MD5;
            SSL_RSA_WITH_3DES_EDE_CBC_SHA,require
  2. Reinicie el grupo de ejecución que contiene los flujos de mensajes.

Utilizar un alias de clave SSL

Un alias de clave identifica la clave que se utilizará para la conexión SSL, si el almacén de claves del intermediario o del grupo de ejecución contiene más de una clave. Utilice el mandato mqsichangeproperties o mqsicreateconfigurableservice, según corresponda, con la propiedad SSLKeyAlias. El valor predeterminado " " o none, significa que no se utiliza un alias de clave SSL. Cualquier otro valor de serie identifica el alias.

Nota: Si el almacén de claves contiene más de una clave, y se define ningún alias de clave, la máquina virtual Java™ arbitraria elige una clave en tiempo de ejecución.

El mandato siguiente crea un servicio configurable TCPIPServer para realizar conexiones en el puerto 1455. Utiliza el protocolo SSL SSLv3 con las suites de cifrado SSL_RSA_WITH_RC4_128_MD5 y SSL_RSA_WITH_3DES_EDE_CBC_SHA. Requiere que el cliente se autentique a sí mismo, y utiliza el alias de clave MyKey para identificar la clave que se va a utilizar.

mqsicreateconfigurableservice MYBROKER 
  -c TCPIPServer 
  -o myTCPIPServerService 
  -n Port,SSLProtocol,SSLCiphers,SSLClientAuth,SSLKeyAlias 
  -v 1455,SSLv3,SSL_RSA_WITH_RC4_128_MD5;SSL_RSA_WITH_3DES_EDE_CBC_SHA
     ,require,MyKey

El mandato siguiente cambia un servicio configurable TCPIPServer para que utilice la primera clave recuperada del almacén de claves, con el protocolo SSL SSLv3. SSLClientAuth está inhabilitada.

mqsichangeproperties MYBROKER 
  -c TCPIPClient 
  -o myTCPIPServerService 
  -n SSLProtocol
  -v SSLv3

Probar la configuración

Para probar la configuración, conecte un cliente habilitado para SSL, como por ejemplo otro programa o un navegador web, al puerto del servidor. Los mensajes de error de conexión, como anomalías de reconocimiento, o claves no fiables, indican que debe cambiar la configuración.

Identidad del cliente

Si se solicita o se requiere la autenticación de cliente SSL, y el cliente se autentica correctamente, el nombre distinguido está presente como una señal de origen de identidad en el analizador de propiedades, en el árbol propagado desde el terminal Open en el momento de la conexión. Esto sólo se aplica al nodo TCPIPServerInput.
  • El campo IdentitySourceToken se establece en el nombre distinguido del certificado de cliente.
  • El campo IdentitySourceType se establece en la serie username.
  • El campo IdentitySourceIssuedBy se establece en el emisor del certificado presentado por el cliente.
Si la autenticación de cliente SSL se solicita, y el cliente no proporciona las credenciales necesarias, los campos se establecen en blanco.
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:01:39


Tema de tareaTema de tarea | Versión 8.0.0.5 | bp34105_