SSL-Authentifizierung

SSL-Authentifizierung ist für den Echtzeitknoten, das HTTP-Empfangsprogramm und den Java-Client von WebSphere MQ verfügbar.

SSL für den Echtzeitknoten

Die SSL-Authentifizierung in WebSphere Message Broker unterstützt das als gegenseitige Challenge/Response-Authentifizierung bekannte Protokoll. Dabei handelt es sich auf eine vom Standard abweichende Variante des SSL-Protokolls, einem Branchenstandard, in dem die Public Key-Verschlüsselung, die sonst von SSL verwendet wird, durch eine symmetrische Verschlüsselung ersetzt wird, die auf geheimen Schlüsseln beruht. Dieses Protokoll ist zwar sicher und komfortabel in der Verwaltung, trotzdem sollte das SSL-Branchenstandardprotokoll so wie ursprünglich definiert verwendet werden, wenn eine Public Key-Verschlüsselungsinfrastruktur bereits für andere Zwecke verwendet wird. Es gibt zwei Standardversionen von SSL:

Asymmetrisches SSL
Wird von den meisten Web-Browsern verwendet. In diesem Protokoll verfügen nur die Broker über ein öffentliches/privates Schlüsselpaar, während den Clients der öffentliche Schlüssel des Brokers bekannt ist. Das SSL-Protokoll stellt eine sichere Verbindung her, in der der Broker sich gegenüber dem Client über die Public Key-Verschlüsselung ausweisen muss; anschließend kann der Client sein Kennwort senden, das über einen sicheren Sitzungsschlüssel verschlüsselt wurde, und sich selbst gegenüber dem Broker ausweisen.
Symmetrisches SSL
Bei dieser Variante verfügen beide Seiten über ein öffentliches/privates Schlüsselpaar. Das SSL-Protokoll verwendet für die gegenseitige Authentifizierung die Public Key-Verschlüsselung.

In beiden Fällen behält die SSL-Authentifizierung das SSL-Protokoll nicht über die ganze Dauer einer Verbindung bei, da dies einen hohen schutztechnischen Aufwand für alle Nachrichten bedeuten würde. Das SSL-Protokoll bleibt nur so lange aktiv, bis die gegenseitige Authentifizierung abgeschlossen und ein geheimer Sitzungsschlüssel für die gemeinsame Nutzung durch den Nachrichtenschutz eingerichtet wurde (siehe Nachrichtenschutz). Nachrichten werden dann individuell entsprechend der für das gegebene Thema definierten Sicherungsstufe geschützt.

Für die Implementierung des SSL-Protokolls ist eine PKCS-Datei (Public-Key Cryptography Standards) erforderlich, die die X.509-Zertifikate (V3) für den privaten Schlüssel des Brokers und eventuell die öffentlichen Schlüssel der Clients und anderer Broker enthält. Diese Datei, die so genannte Schlüsselringdatei, muss mindestens ein Zertifikat für den Broker und für die vertrauenswürdige CA (Certification Authority; Zertifizierungsstelle) enthalten; letztere stellt das Brokerzertifikat aus und signiert es. Bei der R-Variante des SSL-Protokolls kann die Schlüsselringdatei außerdem die öffentlichen Schlüssel der Clients und anderer Broker enthalten, die sich ausweisen müssen, sowie die Zertifikate für diese öffentlichen Schlüssel. Das SSL-Protokoll verlangt jedoch den Austausch von öffentlichen Schlüsseln und Zertifikaten, daher müssen die Schlüsselringdateien nicht so umfangreich sein, solange eine ausreichende Anzahl allgemein vertrauenswürdiger Stellen vorhanden ist, die eine erfolgreiche Authentifizierung sicherstellen.

In der Regel werden Schlüsselringdateien verschlüsselt und durch eine Kennphrase geschützt, die in einer zweiten Datei gespeichert wird. Diese Kennphrasendatei muss über das Betriebssystem sorgfältig geschützt werden, um sicherzustellen, dass sie nicht von Unbefugten eingesehen werden kann. Jedem, dem die Kennphrase bekannt ist, sind damit auch die privaten Schlüssel in der Schlüsselringdatei bekannt. Nur die Kennphrasendatei muss so gut geschützt werden; die Schlüsselringdatei selbst wird wiederum durch die Kennphrasendatei geschützt. Nur private Schlüssel stellen sensible Daten dar. Andere Informationen in der Schlüsselringdatei, wie beispielsweise die Brokerzertifikate, können ohne Sicherheitsrisiko veröffentlicht werden.

Weitere Informationen zur SSL-Authentifizierung für den Echtzeitknoten finden Sie unter SSL für den Echtzeitknoten aktivieren.

SSL- für HTTP-Empfangsprogramm

Informationen zur SSL-Authentifizierung für das HTTP-Empfangsprogramm finden Sie unter HTTPEmpfangs- und HTTPAntwortknoten für die Verwendung von SSL (HTTPS) konfigurieren und HTTPAnforderungsknoten für die Verwendung von SSL (HTTPS) konfigurieren.

SSL-Authentifizierung für den MQ-Java-Client

Weitere Informationen zur SSL-Authentifizierung für den MQ-Java-Client finden Sie unter SSL auf dem WebSphere MQ-Java-Client aktivieren Client.

Zugehörige Konzepte
Sicherheit - Übersicht
Zugehörige Tasks
Implementierung der SSL-Authentifizierung
SSL für den Echtzeitknoten aktivieren
HTTPEmpfangs- und HTTPAntwortknoten für die Verwendung von SSL (HTTPS) konfigurieren
HTTPAnforderungsknoten für die Verwendung von SSL (HTTPS) konfigurieren
SSL auf dem WebSphere MQ-Java-Client aktivieren Client
Sicherheit für die Brokerdomäne einrichten
Zugehörige Verweise
Sicherheitsanforerungen für Verwaltungstasks
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 23. Aug. 2006
ap12210_