SSL 认证

SSL 认证可用于 Real Time 节点、HTTP 侦听器和 WebSphere MQ Java 客户机。

Real Time 节点的 SSL 认证

WebSphere Message Broker 中的 SSL 认证支持名为相互挑战 - 响应密码认证的认证协议。这是业界标准 SSL 协议的一个非标准变体,其中对称密钥密码术取代了 SSL 所要求的公用密钥密码术。虽然该协议安全且易管理,但完全使用定义的业界标准 SSL 协议可能会更好,特别是如果已为其他用途而部署了公用密钥密码术基础结构。有两个标准化的 SSL 版本,它们是:

非对称 SSL
这常用于多数 Web 浏览器中。在该协议中,只有代理有公用/专用密钥对,并且客户机知道代理的公用密钥。 SSL 协议建立了安全连接,在该连接中,代理使用公用密钥密码术来认证到客户机,然后,客户机将发送其经过安全的会话密钥加密的密码,以便将其自身认证到代理。
对称 SSL
在这种情况下,参与者双方都有公用/专用密钥对。该 SSL 协议使用公用密钥密码术来完成相互认证。

在两种情况中,SSL 认证不会在整个连接过程中保持 SSL 协议的连接,因为这会导致所有消息的保护开销。SSL 协议保持有效的时间会足以完成相互认证并建立共享的秘密会话密钥,该密钥可用于消息保护(请参阅消息保护)。然后,按照为给定主题指定的保护级别,对消息进行个别保护。

SSL 协议实现需要“公用密钥密码术标准”(PKCS)文件,它包含了用于代理专用密钥的 X.509 V3 证书,并可能包含客户机和其他代理的公用密钥。该文件称为密钥环文件,必须包含代理和发出并签署代理证书的可信认证中心(CA)的至少一个证书。对于 SSL 的 R 表单,密钥环文件也可以有客户机和需要认证的其他代理的公用密钥,以及支持那些公用密钥的证书。然而,SSL 协议要求公用密钥和证书进行交换,因此只要拥有足够的常用可信权限来确保认证的完成,密钥环文件就不必以该方式进行完全初始化。

按照常规,密钥环文件会由存储在另一文件内的口令进行加密和保护。口令文件需要使用操作系统机制小心地进行保护,确保其不会被未经授权的观察者查阅。知道口令的观察者就可以知道密钥环文件内的专用密钥。但是,只有口令文件需要以该方式进行保护,密钥环文件由口令保护。只有专用密钥是敏感信息。密钥环文件中的其他信息(例如代理证书)可以进行展示而不会影响安全性。

有关 Real Time 节点的 SSL 认证的更多信息,请参阅启用 Real Time 节点的 SSL

HTTP 侦听器的 SSL 认证

有关 HTTP 侦听器的 SSL 认证的更多信息,请参阅配置 HTTPInput 和 HTTPReply 节点以使用 SSL(HTTPS)配置 HTTPRequest 节点以使用 SSL(HTTPS)

MQ Java 客户机的 SSL 认证

有关 MQ Java 客户机的 SSL 认证的信息,请参阅在 WebSphere MQ Java 客户机上启用 SSL

相关概念
安全性概述
相关任务
实现 SSL 认证
启用 Real Time 节点的 SSL
配置 HTTPInput 和 HTTPReply 节点以使用 SSL(HTTPS)
配置 HTTPRequest 节点以使用 SSL(HTTPS)
在 WebSphere MQ Java 客户机上启用 SSL
设置代理域安全性
相关参考
管理任务的安全要求
声明 | 商标 | 下载 | 书库 | 支持 | 反馈
Copyright IBM Corporation 1999, 2006 最后一次更新时间:2006/08/14
ap12210_