Abilitazione di SSL sul client Java WebSphere MQ

Il client Java WebSphere MQ supporta collegamenti crittografati SSL sul canale SVRCONN tra l'applicazione e il gestore code. Questo argomento illustra come utilizzare il presente supporto SSL nelle comunicazioni tra CMP (Configuration Manager Proxy/Proxy di Gestione configurazione) e Gestione configurazione.

Per procedere all'autenticazione ad una via, con il client (Proxy di Gestione configurazione) che autentica solo il server (Gestione configurazione), eseguire i passi riportati di seguito:

  1. Generare od ottenere tutti i certificati e le chiavi appropriate. Ciò comprende un certificato pkcs12 con firma per il server e la chiave pubblica appropriata per la CA (Certification Authority) che ha firmato il certificato pkcs12.
  2. Aggiungere il certificato pkcs12 all'archivio di certificati del gestore code ed assegnarlo al gestore code. Utilizzare le funzioni WebSphere MQ standard, ad esempio, WebSphere MQ (per WebSphere MQ Versione 6) o Servizi WebSphere MQ (per WebSphere MQ Versione 5).
  3. Aggiungere il certificato della CA (Certification Authority) all'archivio JSEE di JVM (Java Virtual Machine) alla fine del Proxy di Gestione configurazione utilizzando uno strumento quale Keytool.
  4. Decidere la suite Cipher da utilizzare.
  5. Modificare le proprietà sul canale SYSTEM.BKR.CONFIG per specificare la codifica da utilizzare. Utilizzare le funzioni WebSphere MQ standard (ad esempio, WebSphere MQ Explorer).
  6. Aggiungere i parametri richiesti (suite Cipher, ad esempio) al Proxy di Gestione configurazione. Se viene utilizzato un archivio sicuro diverso da quello predefinito, il relativo percorso completo deve essere specificato mediante il parametro dell'archivio sicuro.
Una volta effettuati questi passi, Proxy di Gestione configurazione eseguirà il collegamento a Gestione configurazione se dispone di una chiave valida con firma di una CA (Certification Authority) sicura.
Per l'autenticazione a due vie (con Gestione configurazione che autentica anche il Proxy di Gestione configurazione) eseguire gli ulteriori passi riportati di seguito:
  1. Generare od ottenere tutti i certificati e le chiavi appropriate. Ciò comprende un certificato pkcs12 con firma per il client e la chiave pubblica appropriata per la CA (Certification Authority) che ha firmato il certificato pkcs12.
  2. Aggiungere il certificato della CA (Certification Authority) all'archivio di certificati del gestore code; utilizzare le funzioni WebSphere MQ standard (ad esempio, WebSphere MQ Explorer per WebSphere MQ Versione 6).
  3. Impostare il canale SYSTEM.BKR.CONFIG in modo da essere sempre autenticato. È possibile utilizzare SSLCAUTH(REQUIRED) in runmqsc o in WebSphere MQ.
  4. Aggiungere il certificato pkcs12 all'archivio di chiavi JSEE di JVM alla fine del Proxy di Gestione configurazione utilizzando uno strumento quale Keytool.
  5. Se non si utilizza l'archivio di chiavi predefinito, nel Proxy di Gestione configurazione deve essere specificato il relativo percorso completo mediante il parametro dell'archivio di chiavi.

Una volta eseguiti questi passi, Gestione configurazione consente al Proxy di Gestione configurazione il collegamento solo se questo dispone di un certificato firmato da una delle CA (Certification Authority) nel relativo archivio di chiavi.

E' possibile effettuare ulteriori limitazioni utilizzando il campo sslPeerName; ad esempio, è possibile consentire i collegamenti solo ai possessori di certificati di una determinata società o reparto. Inoltre, è possibile richiamare un'uscita di sicurezza per le comunicazioni tra il Proxy di Gestione configurazione e Gestione configurazione; fare riferimento a Utilizzo delle uscite di sicurezza.

Concetti correlati
Panoramica relativa alla sicurezza
Autenticazione SSL
Servizi di autenticazione
Attività correlate
Utilizzo delle uscite di sicurezza
Implementazione dell'autenticazione SSL
Modifica delle proprietà di connessione del dominio
Riferimenti correlati
Requisiti di sicurezza per le attività amministrative
Proprietà del broker
Informazioni particolari | Marchi | Download | Libreria | Supporto | Commenti
Copyright IBM Corporation 1999, 2006 Ultimo aggiornamento: ago 17, 2006
ap12232_