SSL-Authentifizierung ist für den Echtzeitknoten, das HTTP-Empfangsprogramm und den Java-Client von WebSphere MQ verfügbar.
Die SSL-Authentifizierung in WebSphere Message Broker unterstützt das als gegenseitige Challenge/Response-Authentifizierung bekannte Protokoll. Dabei handelt es sich auf eine vom Standard abweichende Variante des SSL-Protokolls, einem Branchenstandard, in dem die Public Key-Verschlüsselung, die sonst von SSL verwendet wird, durch eine symmetrische Verschlüsselung ersetzt wird, die auf geheimen Schlüsseln beruht. Dieses Protokoll ist zwar sicher und komfortabel in der Verwaltung, trotzdem sollte das SSL-Branchenstandardprotokoll so wie ursprünglich definiert verwendet werden, wenn eine Public Key-Verschlüsselungsinfrastruktur bereits für andere Zwecke verwendet wird. Es gibt zwei Standardversionen von SSL:
In beiden Fällen behält die SSL-Authentifizierung das SSL-Protokoll nicht über die ganze Dauer einer Verbindung bei, da dies einen hohen schutztechnischen Aufwand für alle Nachrichten bedeuten würde. Das SSL-Protokoll bleibt nur so lange aktiv, bis die gegenseitige Authentifizierung abgeschlossen und ein geheimer Sitzungsschlüssel für die gemeinsame Nutzung durch den Nachrichtenschutz eingerichtet wurde (siehe Nachrichtenschutz). Nachrichten werden dann individuell entsprechend der für das gegebene Thema definierten Sicherungsstufe geschützt.
Für die Implementierung des SSL-Protokolls ist eine PKCS-Datei (Public-Key Cryptography Standards) erforderlich, die die X.509-Zertifikate (V3) für den privaten Schlüssel des Brokers und eventuell die öffentlichen Schlüssel der Clients und anderer Broker enthält. Diese Datei, die so genannte Schlüsselringdatei, muss mindestens ein Zertifikat für den Broker und für die vertrauenswürdige CA (Certification Authority; Zertifizierungsstelle) enthalten; letztere stellt das Brokerzertifikat aus und signiert es. Bei der R-Variante des SSL-Protokolls kann die Schlüsselringdatei außerdem die öffentlichen Schlüssel der Clients und anderer Broker enthalten, die sich ausweisen müssen, sowie die Zertifikate für diese öffentlichen Schlüssel. Das SSL-Protokoll verlangt jedoch den Austausch von öffentlichen Schlüsseln und Zertifikaten, daher müssen die Schlüsselringdateien nicht so umfangreich sein, solange eine ausreichende Anzahl allgemein vertrauenswürdiger Stellen vorhanden ist, die eine erfolgreiche Authentifizierung sicherstellen.
In der Regel werden Schlüsselringdateien verschlüsselt und durch eine Kennphrase geschützt, die in einer zweiten Datei gespeichert wird. Diese Kennphrasendatei muss über das Betriebssystem sorgfältig geschützt werden, um sicherzustellen, dass sie nicht von Unbefugten eingesehen werden kann. Jedem, dem die Kennphrase bekannt ist, sind damit auch die privaten Schlüssel in der Schlüsselringdatei bekannt. Nur die Kennphrasendatei muss so gut geschützt werden; die Schlüsselringdatei selbst wird wiederum durch die Kennphrasendatei geschützt. Nur private Schlüssel stellen sensible Daten dar. Andere Informationen in der Schlüsselringdatei, wie beispielsweise die Brokerzertifikate, können ohne Sicherheitsrisiko veröffentlicht werden.
Weitere Informationen zur SSL-Authentifizierung für den Echtzeitknoten finden Sie unter SSL für den Echtzeitknoten aktivieren.
Informationen zur SSL-Authentifizierung für das HTTP-Empfangsprogramm finden Sie unter HTTPEmpfangs- und HTTPAntwortknoten für die Verwendung von SSL (HTTPS) konfigurieren und HTTPAnforderungsknoten für die Verwendung von SSL (HTTPS) konfigurieren.
Weitere Informationen zur SSL-Authentifizierung für den MQ-Java-Client finden Sie unter SSL auf dem WebSphere MQ-Java-Client aktivieren Client.