L'autenticazione SSL è disponibile per il nodo Real-Time, il listener HTTP e il client Java di WebSphere MQ.
L'autenticazione SSL in WebSphere Message Broker supporta un protocollo di autenticazione conosciuto come autenticazione password challenge-response reciproca. Questo è una variante non standard del protocollo SSL industry-standard in cui la crittografia a chiave pubblica richiamata da SSL viene sostituita dalla crittografia a chiave segreta simmetrica. Anche se questo protocollo è sicuro e conveniente da gestire, sarebbe meglio utilizzare il protocollo SSL industry-standard così come definito, specialmente se un'infrastruttura di crittografia a chiave pubblica viene già distribuita per altri scopi. Esistono due versioni standardizzate di protocollo SSL che sono:
In entrambe le istanze, l'autenticazione SSL non mantiene il protocollo SSL per l'intera durata della connessione, in quanto si verificherebbero dei sovraccarichi di protezione su tutti i messaggi. Il protocollo SSL rimane attivo fino al compimento dell'autenticazione reciproca e per stabilire una chiave di sessione segreta condivisa che possa essere utilizzata dalla protezione del messaggio (fare riferimento a Protezione messaggi). I messaggi vengono quindi protetti singolarmente in base al livello di protezione specificato per il dato argomento.
L'implementazione del protocollo SSL richiede un file PKCS (Public-Key Cryptography Standards), contenente certificati X.509 V3 per la chiave privata del broker e possibilmente le chiavi pubbliche dei client e altri broker. Questo file, denominato key ring, deve contenere almeno un certificato per il broker e per la CA (Certification Authority) sicura che ha emesso e firmato il certificato del broker. Relativamente al modulo R di SSL, il file key ring può inoltre avere le chiavi pubbliche di client e altri broker che devono essere autenticati ed i certificati che supportano tali chiavi pubbliche. Tuttavia, il protocollo SSL richiama lo scambio dei certificati e delle chiavi pubbliche, cosicché i file key ring non devono essere necessariamente preparati in questo modo, in quanto sono presenti sufficienti autorizzazioni comunemente sicure ad assicurare il completamento dell'autenticazione.
Per convenzione, i file key ring sono crittografati e protetti da pass phrase, memorizzata in un secondo file. Il file pass phrase richiede un'attenta protezione nell'uso dei meccanismi del sistema operativo a garanzia che questo non venga esposto ad osservatori non autorizzati. Un osservatore che viene a conoscenza della pass phrase può apprendere le chiavi private nel file key ring. Tuttavia, solo il file pass phrase deve essere protetto in tale modo poiché il file key ring è protetto da pass phrase. Solo le chiavi private sono sensibili al maiuscolo/minuscolo. Altre informazioni presenti nel file key ring, come i certificati del broker, possono essere rivelate senza comprometterne la sicurezza.
Per ulteriori informazioni sull'autenticazione SSL per il nodo Real-Time, fare riferimento a Abilitazione di SSL per il nodo Real-Time.
Per informazioni sull'autenticazione SSL per il listener HTTP, fare riferimento a Configurazione dei nodi HTTPInput e HTTPReply per l'uso di SSL (HTTPS) e Configurazione di un nodo HTTPRequest per l'uso di SSL (HTTPS).
Per informazioni sull'autenticazione SSL per il client Java MQ, fare riferimento a Abilitazione di SSL sul client Java WebSphere MQ.