SSL-Authentifizierung

SSL-Authentifizierung ist für den Echtzeitknoten, das HTTP-Empfangsprogramm und den Java-Client von WebSphere MQ verfügbar.

SSL für den Echtzeitknoten

Durch die SSL-Authentifizierung in WebSphere Message Broker wird ein Authentifizierungsprotokoll unterstützt, das Kennwortauthentifizierung für die gegenseitige Abfrage/Antwort genannt wird. Dabei handelt es sich um eine vom Standard abweichende Variante des SSL-Protokolls, eines Branchenstandards, in dem die Public Key-Verschlüsselung, die sonst von SSL verwendet wird, durch eine symmetrische Verschlüsselung ersetzt wird, die auf geheimen Schlüsseln beruht. Dieses Protokoll ist zwar sicher und komfortabel in der Verwaltung, trotzdem sollte das SSL-Branchenstandardprotokoll so wie ursprünglich definiert verwendet werden, wenn eine Public Key-Verschlüsselungsinfrastruktur bereits für andere Zwecke verwendet wird. Es gibt zwei Standardversionen von SSL:

Asymmetrisches SSL
Wird von den meisten Web-Browsern verwendet. In diesem Protokoll verfügen nur die Broker über ein öffentliches/privates Schlüsselpaar, während den Clients der öffentliche Schlüssel des Brokers bekannt ist. Das SSL-Protokoll stellt eine sichere Verbindung her, in der der Broker sich gegenüber dem Client über die Public Key-Verschlüsselung ausweisen muss; anschließend kann der Client sein Kennwort senden, das über einen sicheren Sitzungsschlüssel verschlüsselt wurde, und sich selbst gegenüber dem Broker ausweisen.
Symmetrisches SSL
Bei dieser Variante verfügen beide Seiten über ein öffentliches/privates Schlüsselpaar. Das SSL-Protokoll verwendet für die gegenseitige Authentifizierung die Public Key-Verschlüsselung.

In beiden Fällen behält die SSL-Authentifizierung das SSL-Protokoll nicht über die ganze Dauer einer Verbindung bei, da dies einen hohen schutztechnischen Aufwand für alle Nachrichten bedeuten würde. Das SSL-Protokoll bleibt nur so lange aktiv, bis die gegenseitige Authentifizierung abgeschlossen und ein geheimer Sitzungsschlüssel für die gemeinsame Nutzung durch den Nachrichtenschutz eingerichtet wurde (siehe Nachrichtenschutz). Nachrichten werden dann individuell entsprechend der für das gegebene Thema definierten Sicherungsstufe geschützt.

Für die Implementierung des SSL-Protokolls ist eine PKCS-Datei (Public-Key Cryptography Standards) erforderlich, die die X.509-Zertifikate (V3) für den privaten Schlüssel des Brokers und eventuell die öffentlichen Schlüssel der Clients und anderer Broker enthält. Diese Datei, die so genannte Schlüsselringdatei, muss mindestens ein Zertifikat für den Broker und für die vertrauenswürdige Zertifizierungsstelle enthalten; letztere stellt das Brokerzertifikat aus und signiert es. Bei der R-Variante des SSL-Protokolls kann die Schlüsselringdatei außerdem die öffentlichen Schlüssel der Clients und anderer Broker enthalten, die sich ausweisen müssen, sowie die Zertifikate für diese öffentlichen Schlüssel. Das SSL-Protokoll verlangt jedoch den Austausch von öffentlichen Schlüsseln und Zertifikaten, daher müssen die Schlüsselringdateien nicht so umfangreich sein, solange eine ausreichende Anzahl allgemein vertrauenswürdiger Stellen vorhanden ist, die eine erfolgreiche Authentifizierung sicherstellen.

In der Regel werden Schlüsselringdateien verschlüsselt und durch eine Kennphrase geschützt, die in einer zweiten Datei gespeichert wird. Diese Kennphrasendatei muss über das Betriebssystem sorgfältig geschützt werden, um sicherzustellen, dass sie nicht von Unbefugten eingesehen werden kann. Jedem, dem die Kennphrase bekannt ist, sind damit auch die privaten Schlüssel in der Schlüsselringdatei bekannt. Nur die Kennphrasendatei muss so gut geschützt werden; die Schlüsselringdatei selbst wird wiederum durch die Kennphrasendatei geschützt. Nur private Schlüssel stellen sensible Daten dar. Andere Informationen in der Schlüsselringdatei, wie beispielsweise die Brokerzertifikate, können ohne Sicherheitsrisiko veröffentlicht werden.

Weitere Informationen zur SSL-Authentifizierung für den Echtzeitknoten finden Sie unter SSL für den Echtzeitknoten aktivieren.

SSL- für HTTP-Empfangsprogramm

Weitere Informationen zur SSL-Authentifizierung für das HTTP-Empfangsprogramm finden Sie unter SSL- für HTTP-Empfangsprogramm aktivieren.

SSL-Authentifizierung für den MQ-Java-Client

Weitere Informationen zur SSL-Authentifizierung für den MQ-Java-Client finden Sie unter SSL auf dem WebSphere MQ-Java-Client aktivieren Client.

Zugehörige Konzepte
Sicherheit - Übersicht
Zugehörige Tasks
Implementierung der SSL-Authentifizierung
SSL für den Echtzeitknoten aktivieren
SSL- für HTTP-Empfangsprogramm aktivieren
SSL auf dem WebSphere MQ-Java-Client aktivieren Client
Sicherheit für Brokerdomäne erstellen
Zugehörige Verweise
Sicherheitsanforderungen für Verwaltungstasks
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2005 Letzte Aktualisierung: Nov 17, 2005
ap12210_