WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Habilitación de SSL en WebSphere MQ Java Client

WebSphere MQ Java™ Client soporta conexiones cifradas SSL a través del canal de conexión con el servidor (SVRCONN) entre una aplicación y el gestor de colas. Configure el soporte SSL para conexiones entre aplicaciones que utilizan API de CMP (incluyendo el WebSphere Message Broker Toolkit y WebSphere Message Broker Explorer) y un intermediario.

Siga las instrucciones siguientes para implementar la seguridad SSL en el canal SVRCONN. Debe tener el software adecuado para gestionar los almacenes de certificados SSL; por ejemplo, puede instalar el Cliente o el Servidor de WebSphere MQ y utilizar las herramientas de IBM® Key Management para el cliente. Puede utilizar los almacenes JKS o PKCS12.
  1. Utilice los recursos de WebSphere MQ para actualizar la definición de SVRCONN y especificar el valor obligatorio del atributo SSLCIPH.
  2. En WebSphere Message Broker Toolkit o WebSphere Message Broker Explorer, defina la conexión con el intermediario. Sólo puede establecer los campos SSL al definir la conexión; no podrá cambiarlos más adelante. Si ya ha definido la conexión, suprímala y vuelva a definirla.
  3. Seleccione la suite de cifrado que coincida con el valor establecido para la propiedad SSLCIPH del canal SVRCONN.
  4. Entre el nombre y vía de acceso completa del almacén de claves y del almacén de confianza, o pulse Examinar para buscarlos.
  5. Añada el certificado del gestor de colas al almacén de confianza.
  6. Para la autenticación unidireccional, cuando la aplicación CMP del cliente autentica el intermediario, realice los pasos siguientes:
    1. Genere u obtenga todas las claves y todos los certificados apropiados. Debe incluir un certificado pkcs12 firmado para el servidor y la clave pública apropiada para la entidad emisora de certificados que ha firmado el certificado pkcs12. Consulte Creación de certificados SSL para WebSphere MQ Java Client, para ver algunos ejemplos de pasos para crear claves y certificados.
    2. Añada el certificado pkcs12 al almacén de certificados del gestor de colas y asígnelo al gestor de colas. Utilice los recursos de WebSphere MQ estándar; por ejemplo, WebSphere MQ Explorer.
    3. Añada el certificado de la entidad emisora de certificados al almacén de confianza Java Secure Socket Extension (JSSE) de la máquina virtual Java (JVM) en el extremo de la aplicación CMP utilizando una herramienta como Keytool.
    4. Decida qué suite de cifrado desea utilizar y cambie las propiedades en el canal de conexión del servidor utilizando WebSphere MQ Explorer para especificar la suite de cifrado que desea utilizar. Este canal tiene el nombre predeterminado SYSTEM.BKR.CONFIG; este nombre se utiliza a menos que haya especificado un nombre diferente en el asistente Conectar a un intermediario remoto; consulte Conexión a un intermediario remoto y Conexión a un intermediario remoto en z/OS.
    5. Añada los parámetros necesarios (suite de cifrado, por ejemplo) a la aplicación de CMP. Si se utiliza un almacén de confianza distinto del valor predeterminado, se debe pasar la vía de acceso completa mediante el parámetro truststore.
    Después de completar estos pasos, la aplicación CMP se conecta al intermediario si tiene una clave válida que esté firmada por una entidad emisora de certificados de confianza.
  7. Para la autenticación bidireccional, cuando el intermediario también autentique la aplicación de CMP, realice los siguientes pasos adicionales:
    1. Genere u obtenga todas las claves y todos los certificados apropiados. Debe incluir un certificado pkcs12 firmado para el cliente y la clave pública apropiada para la entidad emisora de certificados que ha firmado el certificado pkcs12. Consulte Creación de certificados SSL para WebSphere MQ Java Client, para ver algunos ejemplos de pasos para crear claves y certificados.
    2. Añada el certificado de la entidad emisora de certificados al almacén de certificados del gestor de colas utilizado. Utilice los recursos de WebSphere MQ estándar.
    3. Establezca el canal de conexión con el servidor para que autentique siempre. Especifique SSLCAUTH(REQUIRED) en runmqsc o en WebSphere MQ Explorer.
    4. Añada el certificado pkcs12 al almacén de claves JSSE de la (JVM) en el extremo de la aplicación de CMP utilizando una herramienta como Keytool.
    5. Si no utiliza el almacén de claves predeterminado, la vía de acceso completa deberá pasar al CMP a través del parámetro keystore.
    Cuando haya completado estos pasos, el intermediario permitirá que la aplicación de CMP se conecte únicamente si esa aplicación tiene un certificado firmado por una de las entidades emisoras de certificados en el almacén de claves.

Puede realizar más restricciones utilizando el campo sslPeerName; por ejemplo, puede permitir sólo conexiones de los propietarios de certificados de una empresa específica o con un nombre de departamento en los certificados. Además, puede invocar una salida de seguridad para las comunicaciones entre las aplicaciones de CMP y el intermediario; consulte Utilización de rutinas de salida de seguridad.

Para obtener más información sobre la configuración de conexiones para protegerlas con SSL, consulte Artículo de developerWorks sobre el cliente Java de WebSphere MQ.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:00:18


Tema de tareaTema de tarea | Versión 8.0.0.5 | ap12232_