Autenticazione SSL

L'autenticazione SSL è disponibile per il nodo Real-Time, il listener HTTP e il client Java di WebSphere MQ.

Autenticazione SSL per il nodo Real-Time

L'autenticazione SSL in WebSphere Message Broker supporta un protocollo di autenticazione conosciuto come autenticazione password challenge-response reciproca. Questo è una variante non standard del protocollo SSL industry-standard in cui la crittografia a chiave pubblica richiamata da SSL viene sostituita dalla crittografia a chiave segreta simmetrica. Anche se questo protocollo è sicuro e conveniente da gestire, sarebbe meglio utilizzare il protocollo SSL industry-standard così come definito, specialmente se un'infrastruttura di crittografia a chiave pubblica viene già distribuita per altri scopi. Esistono due versioni standardizzate di protocollo SSL che sono:

SSL asimmetrico
Questa versione viene utilizzata dalla maggior parte dei browser di Web. In questo protocollo, solo i broker hanno coppie di chiavi pubbliche/private ed i client conoscono le chiavi pubbliche dei broker. Il protocollo SSL stabilisce una connessione protetta in cui il broker viene autenticato sul client mediante crittografia a chiave pubblica, dopo di che il client può inviare la relativa password, crittografata mediante una chiave di sessione protetta, per autenticarsi sul broker.
SSL simmetrico
In questa versione entrambi i partecipanti hanno coppie di chiavi pubbliche/private. Il protocollo SSL utilizza la crittografia a chiave pubblica per realizzare l'autenticazione reciproca.

In entrambe le istanze, l'autenticazione SSL non mantiene il protocollo SSL per l'intera durata della connessione, in quanto si verificherebbero dei sovraccarichi di protezione su tutti i messaggi. Il protocollo SSL rimane attivo fino al compimento dell'autenticazione reciproca e per stabilire una chiave di sessione segreta condivisa che possa essere utilizzata dalla protezione del messaggio (fare riferimento a Protezione messaggi). I messaggi vengono quindi protetti singolarmente in base al livello di protezione specificato per il dato argomento.

L'implementazione del protocollo SSL richiede un file PKCS (Public-Key Cryptography Standards), contenente certificati X.509 V3 per la chiave privata del broker e possibilmente le chiavi pubbliche dei client e altri broker. Questo file, denominato key ring, deve contenere almeno un certificato per il broker e per la CA (Certification Authority) sicura che ha emesso e firmato il certificato del broker. Relativamente al modulo R di SSL, il file key ring può inoltre avere le chiavi pubbliche di client e altri broker che devono essere autenticati ed i certificati che supportano tali chiavi pubbliche. Tuttavia, il protocollo SSL richiama lo scambio dei certificati e delle chiavi pubbliche, cosicché i file key ring non devono essere necessariamente preparati in questo modo, in quanto sono presenti sufficienti autorizzazioni comunemente sicure ad assicurare il completamento dell'autenticazione.

Per convenzione, i file key ring sono crittografati e protetti da pass phrase, memorizzata in un secondo file. Il file pass phrase richiede un'attenta protezione nell'uso dei meccanismi del sistema operativo a garanzia che questo non venga esposto ad osservatori non autorizzati. Un osservatore che viene a conoscenza della pass phrase può apprendere le chiavi private nel file key ring. Tuttavia, solo il file pass phrase deve essere protetto in tale modo poiché il file key ring è protetto da pass phrase. Solo le chiavi private sono sensibili al maiuscolo/minuscolo. Altre informazioni presenti nel file key ring, come i certificati del broker, possono essere rivelate senza comprometterne la sicurezza.

Per ulteriori informazioni sull'autenticazione SSL per il nodo Real-Time, fare riferimento a Abilitazione di SSL per il nodo Real-Time.

Autenticazione SSL per il listener HTTP

Per informazioni sull'autenticazione SSL per il listener HTTP, fare riferimento a Configurazione dei nodi HTTPInput e HTTPReply per l'uso di SSL (HTTPS) e Configurazione di un nodo HTTPRequest per l'uso di SSL (HTTPS).

Autenticazione SSL per il client Java MQ

Per informazioni sull'autenticazione SSL per il client Java MQ, fare riferimento a Abilitazione di SSL sul client Java WebSphere MQ.

Concetti correlati
Panoramica relativa alla sicurezza
Attività correlate
Implementazione dell'autenticazione SSL
Abilitazione di SSL per il nodo Real-Time
Configurazione dei nodi HTTPInput e HTTPReply per l'uso di SSL (HTTPS)
Configurazione di un nodo HTTPRequest per l'uso di SSL (HTTPS)
Abilitazione di SSL sul client Java WebSphere MQ
Impostazione della sicurezza del dominio broker
Riferimenti correlati
Requisiti di sicurezza per le attività amministrative
Informazioni particolari | Marchi | Download | Libreria | Supporto | Commenti
Copyright IBM Corporation 1999, 2006 Ultimo aggiornamento: ago 17, 2006
ap12210_