Der
WebSphere MQ-Java-Client unterstützt SSL-verschlüsselte Verbindungen über den Serververbindung-Kanal (SVRCONN) zwischen Anwendung und Warteschlangenmanager. In diesem Abschnitt erfahren Sie, wie Sie diese SSL-Unterstützung für die Kommunikation zwischen dem
Konfigurationsmanager-Proxy und dem
Konfigurationsmanager nutzen.
Für eine einseitige Authentifizierung (bei der nur der Client (Konfigurationsmanager-Proxy) den Server (Konfigurationsmanager) authentifiziert) müssen folgende Schritte ausgeführt werden:
Bei einer gegenseitigen Authentifizierung (bei der der
Konfigurationsmanager auch den
Konfigurationsmanager-Proxy überprüft) werden die folgenden Schritte durchgeführt:
- Besorgen Sie sich die notwendigen Schlüssel und Zertifikate bzw. erstellen Sie sie. Dazu gehört ein signiertes PKCS12-Zertifikat für den Client und der entsprechende öffentliche Schlüssel für die Zertifizierungsstelle, die das PKCS12-Zertifikat signiert hat.
- Fügen Sie das Zertifikat der Zertifizierungsstelle dem Zertifikatspeicher des Warteschlangenmanagers hinzu; dazu werden die Standardfunktionen von WebSphere MQ verwendet (z. B. WebSphere MQ Explorer für WebSphere MQ Version
6).
- Setzen Sie den Serververbindungskanal so, dass immer eine Authentifizierung erfolgt. Sie können
'SSLCAUTH(REQUIRED)' in 'runmqsc' oder WebSphere MQ Explorer verwenden.
- Fügen Sie auf der Seite des Konfigurationsmanager-Proxys das PKCS12-Zertifikat dem JSEE-Schlüsselspeicher der JVM hinzu (über ein Tool wie beispielsweise Keytool).
- Wird nicht der Standardschlüsselspeicher verwendet, müssen Sie über den entsprechenden Parameter den vollständigen Pfad des Schlüsselspeichers, der verwendet werden soll, an den Konfigurationsmanager-Proxy übergeben.
Nach Ausführung dieser Schritte gestattet der Konfigurationsmanager Verbindungen des Konfigurationsmanager-Proxys nur, wenn der Konfigurationsmanager-Proxy über ein Zertifikat verfügt, dass von einer der im Schlüsselspeicher enthaltenen Zertifikatsstellen signiert wurde.
Weitere Einschränkungen können über das Feld 'sslPeerName' vorgenommen werden; so können Sie beispielsweise festlegen, dass nur Zertifikateigner mit einem bestimmten Firmen- oder Abteilungsnamen im Zertifikat eine Verbindung herstellen können. Darüberhinaus können Sie auch einen Sicherheitsexit für die Kommunikation zwischen dem Konfigurationsmanager-Proxy und dem Konfigurationsmanager aufrufen (siehe Sicherheitsexits verwenden).