Az SSL használatához mind az ügyfélnek (IMS
TM erőforrás-illesztő), mind a kiszolgálónak (IMS
Connect) beállításra kell kerülnie.
Az alábbi táblázat átfogó leírást nyújt az IMS
TM erőforrás-illesztő, az IMS
Connector for Java
és az IMS
Connect beállításainak lépéseiről az SSL használatához.
SSL ügyfél (IMS Connector for Java) |
SSL kiszolgáló (IMS Connect) |
|
1. Döntse el, szükséges-e ügyfélhitelesítés. Ha nem szükséges,
akkor lépjen az 5. lépéshez. Megjegyzés: Erősen ajánlott az ügyfélhitelesítés
igénybe vétele az IMS
Connect védelméhez jogosulatlan hozzáférések ellen.
|
2. Ha szükséges az ügyfélhitelesítés, akkor szerezzen be aláírt
igazolásokat és magánkulcsot. |
|
3. Ha szükséges az ügyfélhitelesítés, akkor hozzon létre egy
kulcstárolót és illessze be az ügyfél magánkulcsát és igazolását. További
részletek a lenti leírásban találhatók. |
|
|
4. Ha szükséges az ügyfélhitelesítés, akkor illessze be az ügyfél
nyilvános kulcsú igazolását a kulcscsomóba. További információkért
tanulmányozza az IMS Connect felhasználói kézikönyvet (SC27-0946-03). |
5. Hozzon létre egy igazolástárolót (másik, nem kötelező
kulcstárolót) és illessze be a kiszolgáló nyilvános kulcsú igazolását. Ennek
alternatívájaként illessze be a kiszolgáló nyilvános kulcsú igazolását az
ügyfél kulcstárolójába akkor, ha a megbízható és nem megbízható igazolásokat
ugyanabban a kulcstárolóban tárolja. |
|
|
6. Határozza meg a használandó IMS
Connect SSL portot. Állítsa be az IMS
Connect programot és az SSL konfigurációs tagokat a megfelelő értékekkel. Ezen
konfigurációs tagok beállításáról további információk az IMS
Connect felhasználói kézikönyvben (SC27-0946) találhatók. |
7. Állítsa be a kapcsolatgyárat a megfelelő SSL paraméterekkel,
köztük a 6. lépésben meghatározott portszámmal. További részletek a lenti
leírásban találhatók. |
|
8. Kösse az alkalmazást az SSL kapcsolatgyárhoz. |
|
Kulcstároló
vagy igazolástároló létrehozása az ügyfél számára
Ahhoz, hogy
az ügyfél és a kiszolgáló hitelesítse egymást, mind ügyféloldalon, mind
kiszolgáló oldalon biztosítania kell egy érvényes X.509 igazolásokkal
rendelkező JKS kulcstárolót vagy RACF
kulcscsomót. Ha a kiszolgáló általi ügyfélhitelesítés nem igényelt, akkor
nem szükséges az ügyféligazolást létrehozni és azt a kiszolgáló
kulcstárolójához vagy kulcscsomójához hozzáadni. A kulcstárolók
kezeléséhez számos eszköz áll rendelkezésre. JKS kulcstároló
ügyféloldali és kiszolgáló oldali biztosításához tegye a következőket:
- Az ügyfél (IMS Connector for
Java)
beállításához hozzon létre egy igazolást és írassa azt alá egy igazolási
hatósággal (például VeriSign); vagy hozza létre a saját igazolási
hatóságát (CA) az OpenSSL vagy más hasonló program segítségével a saját
igazolás aláírásához (saját aláírású igazolás).
- Kulcstároló létrehozásához használjon kulcskezelési (például Ikeyman vagy Keytool) eszközt.
A kulcstároló létrehozása után importálja az ügyféligazolást (ha
rendelkezésre áll ilyen) a kulcstárolóba.
- Igazolástároló létrehozásához hozzon létre egy másik kulcstárolót és
importálja a kiszolgáló (IMS
Connect) igazolását. Megjegyzés: Ha csak egy kulcstárolót kíván
létrehozni, akkor a kiszolgáló igazolását ugyanabba a kulcstárolóba
importálja, amelyik az ügyféligazolásokat tartalmazza. Egy RACF
kulcscsomó létrehozásához kulcstárolóként vagy igazolástárolóként
tanulmányozza az RACF
dokumentációt.
SSL beállítás
A Java
ügyfélalkalmazás és az IMS
Connect közötti biztonságos SSL kapcsolat létrehozásához biztosítani kell
azt, hogy a Java
ügyfélalkalmazás által használt kapcsolatgyár rendelkezzen az SSL
tulajdonságok megfelelő értékeivel. Az SSL tulajdonságok értékeiről leírás
a Kapcsolat tulajdonságai
fejezetben található.
A WebSphere
és a Rational
termékeket példaként felhasználva több lehetőség áll rendelkezésre SSL tulajdonságok beállításához:
Megjegyzés: Az információs üzenetek és figyelmeztetések
a WebSphere
Application Server által előállított trace.log fájlban találhatók. Az IMS
Connector for Java
naplózásról és nyomkövetésről a következő fejezetben találhatók információk:
Naplózás és nyomkövetés az IMS TM erőforrás-illesztővel.
Amikor futás közben a Java
ügyfélalkalmazás interakciót hajt végre az IMS
rendszerrel, akkor az interakció biztonságos (SSL) kapcsolaton folyik az
SSL ügyfél (IMS Connector for
Java)
és az SSL kiszolgáló (IMS
Connect) között. Az ügyfél és kiszolgáló közötti SSL kapcsolat
megnyitásához SSL egyeztetési folyamat megy végbe. Ez a Java
ügyfélalkalmazás számára átlátszó SSL egyeztetés az alábbiak szerint valósul meg:
- Az SSL ügyfél, az IMS
Connector for Java
kapcsolatot kezdeményez egy hello ügyfélüzenet küldésével. A kiszolgáló, az IMS
Connect egy hello kiszolgáló-üzenettel, valamint a nyilvános kulcsát
tartalmazó igazolásával válaszol.
- Ha ezt az igazolást a kiszolgáló sikeresen hitelesítette,
akkor egy munkamenet kulcs jön létre mindkét végponton, továbbá egy rejtjel
kerül egyeztetésre, amely meghatározza a kapcsolaton használandó
titkosítás típusát. A rejtjel lehet STRONG, WEAK vagy ENULL. Ezzel az
SSL egyeztetés befejeződik.
- Ha a kiszolgáló nem igényel ügyfélhitelesítést, akkor az ügyfél a
kiszolgáló igazolását az abból nyert kiszolgáló nyilvános kulcs
felhasználásával hitelesíti.
Ha ez a hitelesítés sikeres, akkor egy ügyféligazolás kerül elküldésre az
ügyfél kulcstárolójából. Ha ezt az igazolást a kiszolgáló sikeresen
hitelesítette, akkor egy munkamenet kulcs jön létre mindkét végponton,
továbbá egy rejtjel kerül egyeztetésre, amely meghatározza a kapcsolaton
használandó titkosítás típusát. Ezzel az SSL egyeztetés befejeződik.
- Az ügyfél és a kiszolgáló ezután készen áll titkosított adatok
küldésére és fogadására.
Fontos megjegyezni, hogy alkalmazások
felügyelt környezetben történő futtatása során (amely erősen ajánlott SSL
kapcsolatok használatakor az SSL egyeztetési folyamat többletterhelése
miatt) az IMS
TM erőforrás-illesztő csak állandó socket kapcsolatokkal kommunikál az
IMS
Connect programmal. Valójában az IMS
TM erőforrás-illesztő mindig állandó socket kapcsolatokat használ, viszont
nem felügyelt környezetben ezeket az állandó kapcsolatokat az alkalmazás
minden használat után szétkapcsolja ahelyett, hogy elérhetővé tenné más
alkalmazás számára újrafelhasználásra. A WebSphere Application
Server kapcsolatkezelő használata esetén a kapcsolatokat más
ügyfélalkalmazások sorozatosan újrafelhasználhatják. A kapcsolatkezelő
szükség esetén hoz létre kapcsolatokat és igény szerint látja el azokkal
az alkalmazásokat. Amikor egy alkalmazás befejezte egy kapcsolat
használatát, akkor a kapcsolatkezelő visszaadja azt a szabad kapcsolatok
készletébe; ezzel elérhető lesz más, hasonló típusú kapcsolatot igénylő
alkalmazás számára újrafelhasználásra. Ügyfél- és kiszolgáló-hitelesítés
viszont minden socket-re csak egyszer történik az egyeztetés során, amely
az adott socket első létrehozása és SSL socket-ként inicializálása során
valósul meg. Egy socket újrafelhasználásakor az SSL ügyfél, vagyis az IMS
TM erőforrás-illesztő és a kiszolgáló, vagyis az IMS
Connect nem változik. Ebből kifolyólag egy socket újrafelhasználásakor
nincs ok az ügyfél és a kiszolgáló újrahitelesítésére (az újbóli
egyeztetési folyamatra).
Ez összefügg azzal a ténnyel, hogy a socket-et azonosító ügyfélazonosító
ugyanaz marad egy socket minden egyes újrafelhasználásakor.
Ha
az SSLEncryption értéke ENULL, akkor a teljesítmény gyorsabb, mint amikor
az SSL kapcsolatok STRONG vagy WEEK titkosítást használnak. A javulás
mértéke sok tényezőtől függ, köztük attól is, hogy hardver- vagy
szoftvertitkosítás használt. Hardvertitkosítás esetén a javulás kisebb
lesz, mert a hardvertitkosítás gyorsabb, mint a szoftvertitkosítás.