A autenticação SSL está disponível para o nó Real Time, o listener HTTP e o WebSphere MQ Java Client.
A autenticação SSL no WebSphere Message Broker suporta um protocolo de autenticação conhecido como autenticação de senha por desafio-resposta mútuos. Essa é uma variante não padrão do protocolo SSL padrão de mercado na qual a criptografia de chave pública chamada por SSL é substituída por criptografia de chave secreta simétrica. Embora esse protocolo seja seguro e conveniente para administrar, talvez seja melhor utilizar o protocolo SSL padrão de mercado exatamente como definido, especialmente se uma infra-estrutura de criptografia de chave pública já estiver implementada para outras finalidades. Existem duas versões padronizadas de SSL, que são:
Nos dois casos, a autenticação SSL não mantém o protocolo SSL ativo por todo o período de vida de uma conexão, porque isso causaria cargas adicionais de proteção em todas as mensagens. O protocolo SSL permanece ativo o tempo suficiente para executar a autenticação mútua e para estabelecer uma chave de sessão secreta compartilhada que pode ser utilizada pela proteção de mensagem (consulte Proteção de Mensagem). As mensagens são então protegidas individualmente de acordo com o nível de proteção especificado para o tópico específico.
A implementação do protocolo SSL exige um arquivo PKCS (Public-Key Cryptography Standards) contendo certificados X.509 V3 para a chave privada do intermediário, e possivelmente as chaves públicas dos clientes e de outros intermediários. Esse arquivo, denominado arquivo de anel de chaves, deve conter pelo menos um certificado para o intermediário e para a CA (Autoridade de Certificação) confiável que emitiu e assinou o certificado do intermediário. Para a forma R de SSL, o arquivo de anel de chaves também pode conter as chaves públicas dos clientes e de outros intermediários que precisarão ser autenticados, além dos certificados que suportam essas chaves públicas. Contudo, o protocolo SSL chama a troca de chaves públicas e certificados, e portanto os arquivos de anel de chaves não necessitam ser inteiramente inicializados dessa forma, desde que existam autoridades comumente confiáveis suficientes para assegurar que a autenticação seja concluída.
Por convenção, os arquivos de anel de chaves são criptografados e protegidos por uma frase-senha, a qual é armazenada em um segundo arquivo. O arquivo de frase senha exige proteção cuidadosa utilizando mecanismos do sistema operacional para assegurar que ele não seja exposto a observadores não autorizados. Um observador que aprender a frase-senha poderá descobrir as chaves privadas no arquivo de anel de chaves. No entanto, somente o arquivo de frase-senha precisa ser protegido dessa maneira e o arquivo de anel de chaves é protegido pela frase-senha. Somente chaves privadas são sensíveis. Outras informações no arquivo do conjunto de chaves, como os certificados do intermediário, podem ser reveladas sem comprometer a segurança.
Para obter informações adicionais sobre autenticação SSL para o nó Real Time, consulte Ativando SSL para o Nó Real Time.
Para obter informações sobre a autenticação de SSL para o listener HTTP, consulte Configurando os Nós HTTPInput e HTTPReply para Utilizar SSL (HTTPS) e Configurando um Nó HTTPRequest para Utilizar SSL (HTTPS).
Para obter informações sobre autenticação SSL para o MQ Java Client, consulte Ativando o SSL no WebSphere MQ Java Client.