Autenticação SSL

A autenticação SSL está disponível para o nó Real Time, o listener HTTP e o WebSphere MQ Java Client.

Autenticação SSL para o Nó Real Time

A autenticação SSL no WebSphere Message Broker suporta um protocolo de autenticação conhecido como autenticação de senha por desafio-resposta mútuos. Essa é uma variante não padrão do protocolo SSL padrão de mercado na qual a criptografia de chave pública chamada por SSL é substituída por criptografia de chave secreta simétrica. Embora esse protocolo seja seguro e conveniente para administrar, talvez seja melhor utilizar o protocolo SSL padrão de mercado exatamente como definido, especialmente se uma infra-estrutura de criptografia de chave pública já estiver implementada para outras finalidades. Existem duas versões padronizadas de SSL, que são:

SSL Assimétrico
Utilizado pela maioria dos navegadores da Web. Nesse protocolo, somente os intermediários têm pares de chaves pública/privada e os clientes conhecem as chaves públicas dos intermediários. O protocolo SSL estabelece uma conexão segura, na qual o intermediário é autenticado para o cliente utilizando criptografia de chave pública, após o qual o cliente pode enviar sua senha, criptografada por uma chave de sessão segura, para autenticar-se no intermediário.
SSL Simétrico
Este é onde ambos os participantes têm pares de chaves pública/privada. O protocolo SSL utiliza criptografia de chave pública para efetuar a autenticação mútua.

Nos dois casos, a autenticação SSL não mantém o protocolo SSL ativo por todo o período de vida de uma conexão, porque isso causaria cargas adicionais de proteção em todas as mensagens. O protocolo SSL permanece ativo o tempo suficiente para executar a autenticação mútua e para estabelecer uma chave de sessão secreta compartilhada que pode ser utilizada pela proteção de mensagem (consulte Proteção de Mensagem). As mensagens são então protegidas individualmente de acordo com o nível de proteção especificado para o tópico específico.

A implementação do protocolo SSL exige um arquivo PKCS (Public-Key Cryptography Standards) contendo certificados X.509 V3 para a chave privada do intermediário, e possivelmente as chaves públicas dos clientes e de outros intermediários. Esse arquivo, denominado arquivo de anel de chaves, deve conter pelo menos um certificado para o intermediário e para a CA (Autoridade de Certificação) confiável que emitiu e assinou o certificado do intermediário. Para a forma R de SSL, o arquivo de anel de chaves também pode conter as chaves públicas dos clientes e de outros intermediários que precisarão ser autenticados, além dos certificados que suportam essas chaves públicas. Contudo, o protocolo SSL chama a troca de chaves públicas e certificados, e portanto os arquivos de anel de chaves não necessitam ser inteiramente inicializados dessa forma, desde que existam autoridades comumente confiáveis suficientes para assegurar que a autenticação seja concluída.

Por convenção, os arquivos de anel de chaves são criptografados e protegidos por uma frase-senha, a qual é armazenada em um segundo arquivo. O arquivo de frase senha exige proteção cuidadosa utilizando mecanismos do sistema operacional para assegurar que ele não seja exposto a observadores não autorizados. Um observador que aprender a frase-senha poderá descobrir as chaves privadas no arquivo de anel de chaves. No entanto, somente o arquivo de frase-senha precisa ser protegido dessa maneira e o arquivo de anel de chaves é protegido pela frase-senha. Somente chaves privadas são sensíveis. Outras informações no arquivo do conjunto de chaves, como os certificados do intermediário, podem ser reveladas sem comprometer a segurança.

Para obter informações adicionais sobre autenticação SSL para o nó Real Time, consulte Ativando SSL para o Nó Real Time.

Autenticação SSL para o Listener HTTP

Para obter informações sobre a autenticação de SSL para o listener HTTP, consulte Configurando os Nós HTTPInput e HTTPReply para Utilizar SSL (HTTPS) e Configurando um Nó HTTPRequest para Utilizar SSL (HTTPS).

Autenticação SSL para o MQ Java Client

Para obter informações sobre autenticação SSL para o MQ Java Client, consulte Ativando o SSL no WebSphere MQ Java Client.

Conceitos relacionados
Visão Geral de Segurança
Tarefas relacionadas
Implementando a Autenticação SSL
Ativando SSL para o Nó Real Time
Configurando os Nós HTTPInput e HTTPReply para Utilizar SSL (HTTPS)
Configurando um Nó HTTPRequest para Utilizar SSL (HTTPS)
Ativando o SSL no WebSphere MQ Java Client
Configurando a Segurança no Domínio do Intermediário
Referências relacionadas
Requisitos de Segurança para Tarefas Administrativas
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback
Direitos Autorais IBM Corporation 1999, 2006 Última Atualização: 1 Sep 2006
ap12210_