O
WebSphere MQ Java Client
suporta conexões criptografadas em SSL pelo canal SVRCONN entre o aplicativo
e o gerenciador de filas. Este
tópico explica como utilizar esse suporte ao SSL ao comunicar entre o
CMP (Configuration Manager Proxy) e o
Configuration Manager.
Para a autenticação de
uma maneira (com o cliente
(Configuration Manager Proxy) autenticando apenas o
servidor (Configuration Manager)), execute as
seguintes etapas:
- Gere ou obtenha todas as chaves e certificados apropriados. Isso inclui um certificado pkcs12 assinado para o servidor e a
chave pública apropriada para a autoridade de certificação que
assinou o certificado pkcs12.
- Inclua o certificado pkcs12 ao armazenamento de
certificados do gerenciador de filas e designe-o ao gerenciador de
filas. Utilize os recursos padrão do WebSphere MQ, por exemplo, o WebSphere MQ Explorer (para o WebSphere MQ Versão
6) ou o WebSphere MQ Services (para o WebSphere MQ Versão
5).
- Inclua o certificado da autoridade de certificação ao
truststore JSSE da JVM (Java Virtual Machine) no final do
Configuration Manager Proxy, utilizando uma ferramenta
como Keytool.
- Decida qual conjunto de criptografia utilizar.
- Altere as propriedades no canal SYSTEM.BKR.CONFIG para
especificar o conjunto de criptografia a ser utilizado. Utilize os recursos padrão do
WebSphere MQ (por exemplo, o
WebSphere MQ Explorer).
- Inclua os parâmetros requeridos (conjunto de criptografia, por exemplo) no Configuration Manager Proxy. Se um truststore diferente do padrão for utilizado, o caminho
completo deve ser transmitido através de um parâmetro do truststore.
Após executar essas etapas, o
Configuration Manager Proxy conectar-se-á ao
Configuration Manager, se possuir uma chave válida
assinada, que tenha sido assinada por uma autoridade de certificação
confiável.
Para uma autenticação de duas maneiras (com o
Configuration Manager também autenticando o
Configuration Manager Proxy), execute as seguintes
etapas adicionais:
- Gere ou obtenha todas as chaves e certificados apropriados. Isso
inclui um certificado pkcs12 assinado para o cliente e a chave
pública apropriada para a autoridade de certificação que assinou o
certificado pkcs12.
- Inclua o certificado da autoridade de certificação no
armazenamento de certificados do gerenciador de filas; utilize os
recursos padrão do WebSphere MQ (por
exemplo, o WebSphere MQ Explorer para o WebSphere MQ Versão
6).
- Defina o canal SYSTEM.BKR.CONFIG como sempre autenticado. Você pode utilizar
SSLCAUTH(REQUIRED) em runmqsc, ou o WebSphere MQ Explorer.
- Inclua o certificado pkcs12 ao armazenamento de chave JSEE da JVM
no final do Configuration Manager Proxy, utilizando uma
ferramenta como Keytool.
- Se não utilizar o armazenamento de chave padrão, o caminho
completo deve ser transmitido no
Configuration Manager Proxy através do parâmetro de
armazenamento de chave
Após executar essas etapas, o
Configuration Manager permite ao
Configuration Manager Proxy conectar-se apenas se o
Configuration Manager Proxy possuir um certificado
assinado por umas das autoridades de certificação no armazenamento de
chave.
Restrições adicionais podem ser feitas utilizando o
campo sslPeerName; por exemplo, é possível permitir conexões apenas
dos portadores de certificado com uma empresa específica ou nome de
departamento nos certificados. Além disso, é possível chamar uma
saída de segurança para comunicações entre o
Configuration Manager Proxy e o
Configuration Manager; consulte
Utilizando Saídas de Segurança.