Ativando o SSL no WebSphere MQ Java Client

O WebSphere MQ Java Client suporta conexões criptografadas em SSL pelo canal SVRCONN entre o aplicativo e o gerenciador de filas. Este tópico explica como utilizar esse suporte ao SSL ao comunicar entre o CMP (Configuration Manager Proxy) e o Configuration Manager.

Para a autenticação de uma maneira (com o cliente (Configuration Manager Proxy) autenticando apenas o servidor (Configuration Manager)), execute as seguintes etapas:

  1. Gere ou obtenha todas as chaves e certificados apropriados. Isso inclui um certificado pkcs12 assinado para o servidor e a chave pública apropriada para a autoridade de certificação que assinou o certificado pkcs12.
  2. Inclua o certificado pkcs12 ao armazenamento de certificados do gerenciador de filas e designe-o ao gerenciador de filas. Utilize os recursos padrão do WebSphere MQ, por exemplo, o WebSphere MQ Explorer (para o WebSphere MQ Versão 6) ou o WebSphere MQ Services (para o WebSphere MQ Versão 5).
  3. Inclua o certificado da autoridade de certificação ao truststore JSSE da JVM (Java Virtual Machine) no final do Configuration Manager Proxy, utilizando uma ferramenta como Keytool.
  4. Decida qual conjunto de criptografia utilizar.
  5. Altere as propriedades no canal SYSTEM.BKR.CONFIG para especificar o conjunto de criptografia a ser utilizado. Utilize os recursos padrão do WebSphere MQ (por exemplo, o WebSphere MQ Explorer).
  6. Inclua os parâmetros requeridos (conjunto de criptografia, por exemplo) no Configuration Manager Proxy. Se um truststore diferente do padrão for utilizado, o caminho completo deve ser transmitido através de um parâmetro do truststore.
Após executar essas etapas, o Configuration Manager Proxy conectar-se-á ao Configuration Manager, se possuir uma chave válida assinada, que tenha sido assinada por uma autoridade de certificação confiável.
Para uma autenticação de duas maneiras (com o Configuration Manager também autenticando o Configuration Manager Proxy), execute as seguintes etapas adicionais:
  1. Gere ou obtenha todas as chaves e certificados apropriados. Isso inclui um certificado pkcs12 assinado para o cliente e a chave pública apropriada para a autoridade de certificação que assinou o certificado pkcs12.
  2. Inclua o certificado da autoridade de certificação no armazenamento de certificados do gerenciador de filas; utilize os recursos padrão do WebSphere MQ (por exemplo, o WebSphere MQ Explorer para o WebSphere MQ Versão 6).
  3. Defina o canal SYSTEM.BKR.CONFIG como sempre autenticado. Você pode utilizar SSLCAUTH(REQUIRED) em runmqsc, ou o WebSphere MQ Explorer.
  4. Inclua o certificado pkcs12 ao armazenamento de chave JSEE da JVM no final do Configuration Manager Proxy, utilizando uma ferramenta como Keytool.
  5. Se não utilizar o armazenamento de chave padrão, o caminho completo deve ser transmitido no Configuration Manager Proxy através do parâmetro de armazenamento de chave

Após executar essas etapas, o Configuration Manager permite ao Configuration Manager Proxy conectar-se apenas se o Configuration Manager Proxy possuir um certificado assinado por umas das autoridades de certificação no armazenamento de chave.

Restrições adicionais podem ser feitas utilizando o campo sslPeerName; por exemplo, é possível permitir conexões apenas dos portadores de certificado com uma empresa específica ou nome de departamento nos certificados. Além disso, é possível chamar uma saída de segurança para comunicações entre o Configuration Manager Proxy e o Configuration Manager; consulte Utilizando Saídas de Segurança.

Conceitos relacionados
Visão Geral de Segurança
Autenticação SSL
Serviços de Autenticação
Tarefas relacionadas
Utilizando Saídas de Segurança
Implementando a Autenticação SSL
Modificando Propriedades da Conexão de Domínio
Referências relacionadas
Requisitos de Segurança para Tarefas Administrativas
Propriedades do Intermediário
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback
Direitos Autorais IBM Corporation 1999, 2006 Última Atualização: 1 Sep 2006
ap12232_