La autenticación SSL está disponible para el nodo Real Time, el escucha HTTP y el Cliente Java de WebSphere MQ.
La autenticación SSL en WebSphere Message Broker da soporte a un protocolo de autenticación de identificación/respuesta recíproca. Es una variante no estándar del protocolo SSL estándar de la industria en la que la criptografía de clave pública que requiere SSL se sustituye por la criptografía de clave secreta simétrica. Aunque este protocolo es seguro y cómodo de administrar, puede que sea mejor utilizar el protocolo SSL estándar de la industria exactamente como se define, en especial si ya se ha desplegado una infraestructura de criptografía de clave pública para otros fines. Existen dos versiones estandarizadas de SSL, que son las siguientes:
En ambos casos, la autenticación SSL no mantiene el protocolo SSL durante toda la duración de una conexión, porque eso podría tener costos operativos de protección en todos los mensajes. El protocolo SSL permanece vigente el tiempo suficiente para llevar a cabo la autenticación recíproca y para establecer una clave de sesión secreta compartida que puede utilizar la protección de mensajes (consulte Protección de mensajes). Los mensajes se protegen luego de forma individual de acuerdo con el nivel de protección especificado para el tema concreto.
La implementación del protocolo SSL requiere un archivo PKCS (Public-Key Cryptography Standards) que contenga certificados X.509 V3 para la clave privada del intermediario y posiblemente las claves públicas de clientes y otros intermediarios. Este archivo, denominado el archivo de conjunto de claves, debe contener como mínimo un certificado para el intermediario y para la autoridad certificadora (CA) fiable que emitió y firmó el certificado del intermediario. Para el formato R de SSL, el archivo de conjunto de claves también puede tener las claves públicas de clientes y otros intermediarios que es necesario autenticar, y los certificados que dan soporte a estas claves públicas. No obstante, el protocolo SSL requiere el intercambio de claves públicas y certificados, por lo que los archivos de conjunto de claves no necesitan estar completamente preparados de este modo, siempre y cuando haya suficientes autoridades fiables para garantizar que la autenticación se lleve a cabo.
Por convenio, los archivos de conjunto de claves se cifran y protegen mediante una contraseña, que se almacena en un segundo archivo. Es necesario proteger el archivo de contraseñas con mecanismos del sistema operativo para asegurar que no está expuesto a observadores no autorizados. Un observador que conozca la contraseña puede enterarse de las claves privadas del archivo de conjunto de claves. No obstante, sólo es necesario proteger de esta forma el archivo de contraseñas, ya que el archivo de conjunto de claves está protegido por la contraseña. Sólo las claves privadas son confidenciales. Otra información del archivo de conjunto de claves, como los certificados del intermediario, pueden mostrarse sin comprometer la seguridad.
Si desea ver más información sobre la autenticación SSL para el nodo Real Time, consulte Habilitación de SSL para nodos Real-time.
Para obtener información sobre la autenticación SSL para el escucha HTTP, consulte Configuración de los nodos HTTPInput y HTTPReply para utilizar SSL (HTTPS) y Configuración de un nodo HTTPRequest para utilizar SSL (HTTPS).
Para obtener información sobre la autenticación SSL para el Cliente Java de MQ, consulte Habilitación de SSL en WebSphere MQ Java Client.