SSL auf dem WebSphere MQ-Java-Client aktivieren Client

Der WebSphere MQ-Java-Client unterstützt SSL-verschlüsselte Verbindungen über den Serververbindung-Kanal (SVRCONN) zwischen Anwendung und Warteschlangenmanager. In diesem Abschnitt erfahren Sie, wie Sie diese SSL-Unterstützung für die Kommunikation zwischen dem Konfigurationsmanager-Proxy und dem Konfigurationsmanager nutzen.

Für eine einseitige Authentifizierung (bei der nur der Client (Konfigurationsmanager-Proxy) den Server (Konfigurationsmanager) authentifiziert) müssen folgende Schritte ausgeführt werden:

  1. Besorgen Sie sich die notwendigen Schlüssel und Zertifikate bzw. erstellen Sie sie. Dazu gehört ein signiertes PKCS12-Zertifikat für den Server und der entsprechende öffentliche Schlüssel für die Zertifizierungsstelle, die das PKCS12-Zertifikat signiert hat.
  2. Fügen Sie das PKCS12-Zertifikat dem Zertifikatspeicher des Warteschlangenmanagers hinzu, und ordnen Sie es dem Warteschlangenmanager zu. Verwenden Sie die standardmäßigen WebSphere MQ-Funktionen wie z. B. WebSphere MQ Explorer (für WebSphere MQ Version 6) oder WebSphere MQ Services (für WebSphere MQ Version 5).
  3. Fügen Sie auf der Seite des Konfigurationsmanager-Proxys das Zertifikat der Zertifizierungsstelle dem JSEE-Zertifikatspeicher der JVM (Java Virtual Machine) hinzu (über ein Tool wie beispielsweise Keytool).
  4. Legen Sie die Cipher Suite fest, die verwendet werden soll.
  5. Ändern Sie über den WebSphere MQ-Explorer die Eigenschaften des Serververbindungskanals, um die Cipher Suite anzugeben, die verwendet werden soll. Der Standardname dieses Kanals lautet SYSTEM.BKR.CONFIG; er wird verwendet, wenn Sie nicht einen anderen Namen im Fensterbereich 'Domänenverbindung erstellen' oder 'Domäneneigenschaften' haben; weitere Informationen erhalten Sie unter Domänenverbindung herstellen und Eigenschaften von Domänenverbindungen ändern.
  6. Fügen Sie dem Konfigurationsmanager-Proxy die erforderlichen Parameter hinzu (z. B. Cipher Suite). Wird nicht der Standardzertifikatspeicher verwendet, muss über den entsprechenden Parameter der vollständige Pfad des Zertifikatspeichers angegeben werden, der verwendet werden soll.
Nach Ausführung dieser Schritte wird eine Verbindung vom Konfigurationsmanager-Proxy zum Konfigurationsmanager hergestellt, wenn er über einen gültigen signierten Schlüssel verfügt, der von einer anerkannten Zertifizierungsstelle signiert wurde.
Bei einer gegenseitigen Authentifizierung (bei der der Konfigurationsmanager auch den Konfigurationsmanager-Proxy überprüft) werden die folgenden Schritte durchgeführt:
  1. Besorgen Sie sich die notwendigen Schlüssel und Zertifikate bzw. erstellen Sie sie. Dazu gehört ein signiertes PKCS12-Zertifikat für den Client und der entsprechende öffentliche Schlüssel für die Zertifizierungsstelle, die das PKCS12-Zertifikat signiert hat.
  2. Fügen Sie das Zertifikat der Zertifizierungsstelle dem Zertifikatspeicher des Warteschlangenmanagers hinzu; dazu werden die Standardfunktionen von WebSphere MQ verwendet (z. B. WebSphere MQ Explorer für WebSphere MQ Version 6).
  3. Setzen Sie den Serververbindungskanal so, dass immer eine Authentifizierung erfolgt. Sie können 'SSLCAUTH(REQUIRED)' in 'runmqsc' oder WebSphere MQ Explorer verwenden.
  4. Fügen Sie auf der Seite des Konfigurationsmanager-Proxys das PKCS12-Zertifikat dem JSEE-Schlüsselspeicher der JVM hinzu (über ein Tool wie beispielsweise Keytool).
  5. Wird nicht der Standardschlüsselspeicher verwendet, müssen Sie über den entsprechenden Parameter den vollständigen Pfad des Schlüsselspeichers, der verwendet werden soll, an den Konfigurationsmanager-Proxy übergeben.

Nach Ausführung dieser Schritte gestattet der Konfigurationsmanager Verbindungen des Konfigurationsmanager-Proxys nur, wenn der Konfigurationsmanager-Proxy über ein Zertifikat verfügt, dass von einer der im Schlüsselspeicher enthaltenen Zertifikatsstellen signiert wurde.

Weitere Einschränkungen können über das Feld 'sslPeerName' vorgenommen werden; so können Sie beispielsweise festlegen, dass nur Zertifikateigner mit einem bestimmten Firmen- oder Abteilungsnamen im Zertifikat eine Verbindung herstellen können. Darüberhinaus können Sie auch einen Sicherheitsexit für die Kommunikation zwischen dem Konfigurationsmanager-Proxy und dem Konfigurationsmanager aufrufen (siehe Sicherheitsexits verwenden).

Zugehörige Konzepte
Sicherheit - Übersicht
SSL-Authentifizierung
Authentifizierungsservices
Zugehörige Tasks
Sicherheitsexits verwenden
Implementierung der SSL-Authentifizierung
Eigenschaften von Domänenverbindungen ändern
Zugehörige Verweise
Sicherheitsanforerungen für Verwaltungstasks
Brokereigenschaften
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Alle Rechte vorbehalten.
Letzte Aktualisierung : 2009-02-17 15:50:00

ap12232_