Il client Java
WebSphere MQ supporta
collegamenti crittografati SSL sul canale SVRCONN tra l'applicazione e il gestore
code. Questo argomento illustra come utilizzare il presente supporto SSL nelle
comunicazioni tra
CMP (Configuration Manager Proxy/Proxy di Gestione configurazione) e
Gestione configurazione.
Per procedere all'autenticazione ad una via,
con il client (Proxy di
Gestione configurazione) che autentica solo
il server (Gestione configurazione), eseguire i passi
riportati di seguito:
- Generare od ottenere tutti i certificati e le chiavi appropriate. Ciò comprende un certificato pkcs12 con firma per il server e la chiave
pubblica appropriata per la CA (Certification Authority) che ha firmato il certificato pkcs12.
- Aggiungere il certificato pkcs12 all'archivio di certificati del gestore code
ed assegnarlo al gestore code. Utilizzare le funzioni WebSphere MQ standard,
ad esempio, WebSphere MQ (per WebSphere MQ Versione
6) o Servizi WebSphere MQ (per WebSphere MQ Versione
5).
- Aggiungere il certificato della CA (Certification Authority) all'archivio JSEE
di JVM (Java Virtual Machine) alla fine del Proxy di
Gestione configurazione utilizzando
uno strumento quale Keytool.
- Decidere la suite Cipher da utilizzare.
- Modificare le proprietà sul canale SYSTEM.BKR.CONFIG per specificare la codifica da
utilizzare. Utilizzare le funzioni WebSphere MQ standard
(ad esempio, WebSphere MQ Explorer).
- Aggiungere i parametri richiesti (suite Cipher, ad esempio) al Proxy di
Gestione configurazione. Se viene utilizzato un archivio sicuro
diverso da quello predefinito, il relativo percorso completo deve essere specificato mediante il parametro dell'archivio sicuro.
Una volta effettuati questi passi, Proxy di
Gestione configurazione eseguirà il collegamento
a Gestione configurazione se dispone di una chiave valida con firma di una CA (Certification Authority) sicura.
Per l'autenticazione a due vie (con
Gestione configurazione che
autentica anche il
Proxy di
Gestione configurazione) eseguire gli ulteriori passi riportati
di seguito:
- Generare od ottenere tutti i certificati e le chiavi appropriate. Ciò comprende un certificato pkcs12 con firma per il client e la chiave
pubblica appropriata per la CA (Certification Authority) che ha firmato il certificato pkcs12.
- Aggiungere il certificato della CA (Certification Authority) all'archivio di certificati del gestore code; utilizzare le funzioni WebSphere MQ standard
(ad esempio, WebSphere MQ Explorer per WebSphere MQ Versione
6).
- Impostare il canale SYSTEM.BKR.CONFIG in modo da essere sempre autenticato. È possibile utilizzare
SSLCAUTH(REQUIRED) in runmqsc o in WebSphere MQ.
- Aggiungere il certificato pkcs12 all'archivio di chiavi JSEE di JVM alla fine del Proxy di
Gestione configurazione utilizzando
uno strumento quale Keytool.
- Se non si utilizza l'archivio di chiavi predefinito, nel Proxy di
Gestione configurazione deve essere specificato il relativo percorso completo mediante il parametro dell'archivio di chiavi.
Una volta eseguiti questi passi, Gestione configurazione consente al
Proxy di
Gestione configurazione il collegamento solo se questo dispone di
un certificato firmato da una delle CA (Certification Authority) nel relativo archivio di chiavi.
E' possibile effettuare
ulteriori limitazioni utilizzando il campo sslPeerName; ad esempio, è possibile consentire
i collegamenti solo ai possessori di certificati di una determinata società o reparto. Inoltre, è possibile richiamare un'uscita di sicurezza per le comunicazioni tra il Proxy di
Gestione configurazione e
Gestione configurazione; fare riferimento a Utilizzo delle uscite di sicurezza.