Védett socket réteg (SSL) támogatás használata

Az SSL használatához mind az ügyfélnek (IMS TM erőforrás-illesztő), mind a kiszolgálónak (IMS Connect) beállításra kell kerülnie.
Az alábbi táblázat átfogó leírást nyújt az IMS TM erőforrás-illesztő, az IMS Connector for Java és az IMS Connect beállításainak lépéseiről az SSL használatához.
SSL ügyfél (IMS Connector for Java) SSL kiszolgáló (IMS Connect)
  1. Döntse el, szükséges-e ügyfélhitelesítés. Ha nem szükséges, akkor lépjen az 5. lépéshez.
Megjegyzés: Erősen ajánlott az ügyfélhitelesítés igénybe vétele az IMS Connect védelméhez jogosulatlan hozzáférések ellen.
2. Ha szükséges az ügyfélhitelesítés, akkor szerezzen be aláírt igazolásokat és magánkulcsot.  
3. Ha szükséges az ügyfélhitelesítés, akkor hozzon létre egy kulcstárolót és illessze be az ügyfél magánkulcsát és igazolását. További részletek a lenti leírásban találhatók.  
  4. Ha szükséges az ügyfélhitelesítés, akkor illessze be az ügyfél nyilvános kulcsú igazolását a kulcscsomóba. További információkért tanulmányozza az IMS Connect felhasználói kézikönyvet (SC27-0946-03).
5. Hozzon létre egy igazolástárolót (másik, nem kötelező kulcstárolót) és illessze be a kiszolgáló nyilvános kulcsú igazolását. Ennek alternatívájaként illessze be a kiszolgáló nyilvános kulcsú igazolását az ügyfél kulcstárolójába akkor, ha a megbízható és nem megbízható igazolásokat ugyanabban a kulcstárolóban tárolja.  
  6. Határozza meg a használandó IMS Connect SSL portot. Állítsa be az IMS Connect programot és az SSL konfigurációs tagokat a megfelelő értékekkel. Ezen konfigurációs tagok beállításáról további információk az IMS Connect felhasználói kézikönyvben (SC27-0946) találhatók.
7. Állítsa be a kapcsolatgyárat a megfelelő SSL paraméterekkel, köztük a 6. lépésben meghatározott portszámmal. További részletek a lenti leírásban találhatók.  
8. Kösse az alkalmazást az SSL kapcsolatgyárhoz.  

Kulcstároló vagy igazolástároló létrehozása az ügyfél számára

Ahhoz, hogy az ügyfél és a kiszolgáló hitelesítse egymást, mind ügyféloldalon, mind kiszolgáló oldalon biztosítania kell egy érvényes X.509 igazolásokkal rendelkező JKS kulcstárolót vagy RACF kulcscsomót. Ha a kiszolgáló általi ügyfélhitelesítés nem igényelt, akkor nem szükséges az ügyféligazolást létrehozni és azt a kiszolgáló kulcstárolójához vagy kulcscsomójához hozzáadni. A kulcstárolók kezeléséhez számos eszköz áll rendelkezésre. JKS kulcstároló ügyféloldali és kiszolgáló oldali biztosításához tegye a következőket:
  • Az ügyfél (IMS Connector for Java) beállításához hozzon létre egy igazolást és írassa azt alá egy igazolási hatósággal (például VeriSign); vagy hozza létre a saját igazolási hatóságát (CA) az OpenSSL vagy más hasonló program segítségével a saját igazolás aláírásához (saját aláírású igazolás).
  • Kulcstároló létrehozásához használjon kulcskezelési (például Ikeyman vagy Keytool) eszközt. A kulcstároló létrehozása után importálja az ügyféligazolást (ha rendelkezésre áll ilyen) a kulcstárolóba.
  • Igazolástároló létrehozásához hozzon létre egy másik kulcstárolót és importálja a kiszolgáló (IMS Connect) igazolását. Megjegyzés: Ha csak egy kulcstárolót kíván létrehozni, akkor a kiszolgáló igazolását ugyanabba a kulcstárolóba importálja, amelyik az ügyféligazolásokat tartalmazza. Egy RACF kulcscsomó létrehozásához kulcstárolóként vagy igazolástárolóként tanulmányozza az RACF dokumentációt.

SSL beállítás

A Java ügyfélalkalmazás és az IMS Connect közötti biztonságos SSL kapcsolat létrehozásához biztosítani kell azt, hogy a Java ügyfélalkalmazás által használt kapcsolatgyár rendelkezzen az SSL tulajdonságok megfelelő értékeivel. Az SSL tulajdonságok értékeiről leírás a Kapcsolat tulajdonságai fejezetben található.

A WebSphere és a Rational termékeket példaként felhasználva több lehetőség áll rendelkezésre SSL tulajdonságok beállításához:

Megjegyzés: Az információs üzenetek és figyelmeztetések a WebSphere Application Server által előállított trace.log fájlban találhatók. Az IMS Connector for Java naplózásról és nyomkövetésről a következő fejezetben találhatók információk: Naplózás és nyomkövetés az IMS TM erőforrás-illesztővel.

Amikor futás közben a Java ügyfélalkalmazás interakciót hajt végre az IMS rendszerrel, akkor az interakció biztonságos (SSL) kapcsolaton folyik az SSL ügyfél (IMS Connector for Java) és az SSL kiszolgáló (IMS Connect) között. Az ügyfél és kiszolgáló közötti SSL kapcsolat megnyitásához SSL egyeztetési folyamat megy végbe. Ez a Java ügyfélalkalmazás számára átlátszó SSL egyeztetés az alábbiak szerint valósul meg:
  • Az SSL ügyfél, az IMS Connector for Java kapcsolatot kezdeményez egy hello ügyfélüzenet küldésével. A kiszolgáló, az IMS Connect egy hello kiszolgáló-üzenettel, valamint a nyilvános kulcsát tartalmazó igazolásával válaszol.
  • Ha ezt az igazolást a kiszolgáló sikeresen hitelesítette, akkor egy munkamenet kulcs jön létre mindkét végponton, továbbá egy rejtjel kerül egyeztetésre, amely meghatározza a kapcsolaton használandó titkosítás típusát. A rejtjel lehet STRONG, WEAK vagy ENULL. Ezzel az SSL egyeztetés befejeződik.
  • Ha a kiszolgáló nem igényel ügyfélhitelesítést, akkor az ügyfél a kiszolgáló igazolását az abból nyert kiszolgáló nyilvános kulcs felhasználásával hitelesíti. Ha ez a hitelesítés sikeres, akkor egy ügyféligazolás kerül elküldésre az ügyfél kulcstárolójából. Ha ezt az igazolást a kiszolgáló sikeresen hitelesítette, akkor egy munkamenet kulcs jön létre mindkét végponton, továbbá egy rejtjel kerül egyeztetésre, amely meghatározza a kapcsolaton használandó titkosítás típusát. Ezzel az SSL egyeztetés befejeződik.
  • Az ügyfél és a kiszolgáló ezután készen áll titkosított adatok küldésére és fogadására.
Fontos megjegyezni, hogy alkalmazások felügyelt környezetben történő futtatása során (amely erősen ajánlott SSL kapcsolatok használatakor az SSL egyeztetési folyamat többletterhelése miatt) az IMS TM erőforrás-illesztő csak állandó socket kapcsolatokkal kommunikál az IMS Connect programmal. Valójában az IMS TM erőforrás-illesztő mindig állandó socket kapcsolatokat használ, viszont nem felügyelt környezetben ezeket az állandó kapcsolatokat az alkalmazás minden használat után szétkapcsolja ahelyett, hogy elérhetővé tenné más alkalmazás számára újrafelhasználásra. A WebSphere Application Server kapcsolatkezelő használata esetén a kapcsolatokat más ügyfélalkalmazások sorozatosan újrafelhasználhatják. A kapcsolatkezelő szükség esetén hoz létre kapcsolatokat és igény szerint látja el azokkal az alkalmazásokat. Amikor egy alkalmazás befejezte egy kapcsolat használatát, akkor a kapcsolatkezelő visszaadja azt a szabad kapcsolatok készletébe; ezzel elérhető lesz más, hasonló típusú kapcsolatot igénylő alkalmazás számára újrafelhasználásra. Ügyfél- és kiszolgáló-hitelesítés viszont minden socket-re csak egyszer történik az egyeztetés során, amely az adott socket első létrehozása és SSL socket-ként inicializálása során valósul meg. Egy socket újrafelhasználásakor az SSL ügyfél, vagyis az IMS TM erőforrás-illesztő és a kiszolgáló, vagyis az IMS Connect nem változik. Ebből kifolyólag egy socket újrafelhasználásakor nincs ok az ügyfél és a kiszolgáló újrahitelesítésére (az újbóli egyeztetési folyamatra). Ez összefügg azzal a ténnyel, hogy a socket-et azonosító ügyfélazonosító ugyanaz marad egy socket minden egyes újrafelhasználásakor.

Ha az SSLEncryption értéke ENULL, akkor a teljesítmény gyorsabb, mint amikor az SSL kapcsolatok STRONG vagy WEEK titkosítást használnak. A javulás mértéke sok tényezőtől függ, köztük attól is, hogy hardver- vagy szoftvertitkosítás használt. Hardvertitkosítás esetén a javulás kisebb lesz, mert a hardvertitkosítás gyorsabb, mint a szoftvertitkosítás.


Visszajelzés