Habilitación de SSL en WebSphere MQ Java Client

WebSphere MQ Java Client soporta conexiones cifradas con SSL a través del canal SVRCONN entre la aplicación y el gestor de colas. Este tema le explica cómo utilizar este soporte SSL al comunicarse entre el Proxy del Gestor de configuración (CMP) y el Gestor de configuración.

Para la autenticación unidireccional (con el cliente (Proxy del Gestor de configuración) que autentica al servidor (Gestor de configuración) sólo) realice los pasos siguientes:

  1. Genere u obtenga todas las claves y todos los certificados apropiados. Esto incluye un certificado pkcs12 firmado para el servidor y la clave pública apropiada para la entidad emisora de certificados que ha firmado el certificado pkcs12.
  2. Añada el certificado pkcs12 al almacén de certificados del gestor de colas y asígnelo al gestor de colas. Utilice los recursos del WebSphere MQ estándar, por ejemplo, WebSphere MQ Explorer (paraWebSphere MQ Versión 6) o WebSphere MQ Services (paraWebSphere MQ Versión 5).
  3. Añada el certificado de la entidad emisora de certificados al almacén de confianza JSEE de la Java Virtual Machine (JVM) en el extremo del Proxy del Gestor de configuración utilizando una herramienta como Keytool.
  4. Decida qué grupo de cifrado va a utilizar.
  5. Cambie las propiedades del canal SYSTEM.BKR.CONFIG de modo que especifiquen la suite de cifrado que se va a utilizar. Utilice los recursos estándares de WebSphere MQ (por ejemplo WebSphere MQ Explorer).
  6. Añada los parámetros necesarios (grupo de cifrado, por ejemplo) al Proxy del Gestor de configuración. Si se utiliza un almacén de confianza distinto del valor por omisión, se debe pasar la vía de acceso completa a través del parámetro truststore.
Cuando haya realizado estos pasos, el Proxy del Gestor de configuración se conectará al Gestor de configuración si tiene una clave firmada válida que haya sido firmada por una entidad emisora de certificados fiable.
Para la autenticación bidireccional (con el Gestor de configuración también autenticando al Proxy del Gestor de configuración), realice los siguientes pasos adicionales:
  1. Genere u obtenga todas las claves y todos los certificados apropiados. Esto incluye un certificado pkcs12 firmado para el cliente y la clave pública apropiada para la entidad emisora de certificados que ha firmado el certificado pkcs12.
  2. Añada el certificado de la autoridad de certificación al almacén de certificados del gestor de colas. Utilice los recursos de WebSphere MQ estándar, por ejemplo, WebSphere MQ Explorer paraWebSphere MQ Versión 6).
  3. Establezca el canal SYSTEM.BKR.CONFIG para que autentique siempre. Puede utilizar SSLCAUTH(REQUIRED) en runmqsc o WebSphere MQ Explorer.
  4. Añada el certificado pkcs12 al almacén de claves JSEE de la (JVM) en el extremo del Proxy del Gestor de configuración utilizando una herramienta como Keytool.
  5. Si no está utilizando el almacén de claves por omisión, se deberá pasar la vía de acceso completa al Proxy del Gestor de configuración a través del parámetro keystore

Cuando haya realizado estos pasos, el Gestor de configuración sólo permitirá al Proxy del Gestor de configuración conectarse si el Proxy del Gestor de configuración tiene un certificado firmado por una de las entidades emisoras de certificados del almacén de claves.

Se pueden crear restricciones adicionales utilizando el campo sslPeerName; por ejemplo, puede permitir sólo conexiones de los propietarios de certificados de una empresa específica o con un nombre de departamento en los certificados. Además, puede invocar una rutina de salida de seguridad para las comunicaciones entre el Proxy del Gestor de configuración y el Gestor de configuración; consulte Utilización de rutinas de salida de seguridad.

Conceptos relacionados
Visión general de seguridad
Autenticación SSL
Servicios de autenticación
Tareas relacionadas
Utilización de rutinas de salida de seguridad
Implementación de autenticación SSL
Modificación de propiedades de conexión de dominio
Referencia relacionada
Requisitos de seguridad para las tareas administrativas
Propiedades del intermediario
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2006 Última actualización: 22/08/2006
ap12232_