IBM MQ-Server: Transportkettensicherheit
Die Systemsicherheit für eine Verbindung zwischen der Serviceintegration und einem IBM MQ-Netz wird mit den Protokollen "Transport Level Security" (TLS) und "Secure Sockets Layer" (SSL) ermöglicht.
Wenn WebSphere Application Server SSL verwendet, muss der Administrator ein SSL-Repertoire, einen Kanal und eine Transportkette erstellen. Die Transportkette muss vom IBM MQ-Server über das Transportkettenattribut des Servers referenziert werden und außerdem ein anerkannter Transport für den SIB (Service Integration Bus) sein, zu dem der IBM MQ-Server gehört. Standardmäßig erkennen SIBs nur den SSL-Transport an.
wsadmin>tcs = AdminConfig.list("TransportChannelService" ).splitlines()[0]
AdminConfig.create("TCPOutboundChannel" , tcs, [["name" , "MyWMQChain.TCP"]])
wsadmin>ssl=...
wsadmin>AdminConfig.create("SSLOutboundChannel" , tcs , [["name" , "MyWMQChain.SLL"] ,
["sslConfigAlias" , "MyRepertoire"]])
wsadmin>rmq=...
wsadmin>AdminConfig.create("RMQOutboundChannel" , tcs , [["name" , "MyWMQChain.RMQ"]])
wsadmin>tcp=...
wsadmin>AdminConfig.create("Chain" , tcs , ["name" , "MyWMQChain"] , ["enable" , "true"] ,
["transportChannels", [rmg , ssl , tcp]])
Dieser
Beispielbefehl erstellt eine Transportkette, mit der eine Verbindung zwischen einem IBM MQ-Server und
IBM MQ über SSL hergestellt werden kann. Die Kette hat den Namen "MyWMQChain" und verwendet ein SSL-Repertoire mit dem Namen
"MyRepertoire".IBM MQ verwendet nur eine einzige Cipher Suite, um Verbindungen zu einem Warteschlangenmanager zu sichern, obwohl die SSL-Repertoires von WebSphere Application Server die Angabe mehrerer Cipher Suites unterstützen. Die einzelnen Cipher Suites werden nacheinander ausprobiert, bis eine Verbindung hergestellt werden kann oder bis alle Cipher Suites ausprobiert wurden. Die letzte Cipher Suite, die eine erfolgreiche Verbindungsherstellung zulässt, wird für das jeweilige Busmember des Typs "IBM MQ-Server" zwischengespeichert und bei nachfolgenden Verbindungsversuchen zuerst ausprobiert.
Wenn die Transportsicherheit aktiviert ist, muss die Transportkette, die für Verbindungen zu IBM MQ verwendet wird, eine zulässige Kette sein, andernfalls kann keine Verbindung zu IBM MQ hergestellt werden.