SSL 認証は、Real Time ノード、HTTP リスナー、および WebSphere MQ Java クライアントで使用可能です。
WebSphere Message Broker の SSL 認証は、相互のユーザー確認のための質問への応答パスワード認証として知られる、認証プロトコルをサポートします。これは、SSL が必要とする公開鍵暗号が、対称秘密鍵暗号に置き換えられる、業界標準 SSL プロトコルの非標準変形です。 このプロトコルは、管理者に対して安全かつ便利である一方、特に公開鍵暗号インフラストラクチャーが すでに他の目的でデプロイされている場合、定義されたとおりに業界標準 SSL プロトコルを使用する ほうがよいでしょう。 SSL の標準化されたバージョンは以下の 2 つです。
どちらのインスタンスでも、SSL 認証は SSL プロトコルを接続の存続時間中ずっと保持できるわけではありません。 これは、すべてのメッセージで保護オーバーヘッドを起こす可能性があるためです。 SSL プロトコルは、相互認証が完了し、メッセージ保護 (メッセージ保護 を参照) が使用できる共用秘密セッションが確立されるまで有効です。 その後、メッセージは、決められたトピックに指定された保護レベルにしたがって個別に保護されます。
SSL プロトコル・インプリメンテーションでは、ブローカーの秘密鍵の X.509 V3 認証を含み、 またクライアントの公開鍵と他のブローカーも含む可能性のある、公開鍵暗号化標準 (PKCS) ファイルを必要とします。 鍵リング・ファイルと呼ばれるこのファイルには、ブローカーおよびブローカーの証明書を発行し、 署名した信頼できる認証局 (CA) の証明書が最低 1 つ入っているべきです。 SSL の R 形式の場合、鍵リング・ファイルには、クライアントおよび認証が必要になる他のブローカーの 公開鍵、およびこれらの公開鍵をサポートする証明書が入っているかもしれません。 しかし、SSL プロトコルでは公開鍵と証明書の交換が必要なので、 その認証が完了するのを確認するのに十分な共通に信頼できる権限がある限り、 鍵リング・ファイルをこの方法で完全にプライム状態にする必要はありません。
規則にしたがって、鍵リング・ファイルは 2 番目のファイルに保管されるパスフレーズによって暗号化され、保護されます。 パスフレーズ・ファイルは、権限を持たない監視者に公開されないよう、 オペレーティング・システムのメカニズムを使用して注意深く保護することが必要です。 パスフレーズを知る監視者は、鍵リング・ファイルの秘密も知ることができます。 しかし、この方法で保護される必要があるのはパスフレーズ・ファイルのみで、 鍵リング・ファイルはパスフレーズによって保護されます。 機密なのは秘密鍵だけです。 鍵リング・ファイルの他の情報、例えばブローカーの証明書などは、 セキュリティーの譲歩をしなくても公開できます。
Real Time ノード用の SSL 認証について詳しくは、Real Time ノード用に SSL を使用可能にするを参照してください。
HTTP リスナー用の SSL 認証については、SSL (HTTPS) を使用するよう HTTPInput および HTTPReply ノードを構成するおよびSSL (HTTPS) を使用するよう HTTPRequest ノードを構成するを参照してください。
MQ Java Client 用の SSL 認証については、WebSphere MQ Java クライアントで SSL を使用可能にするを参照してください。