SSL auf dem WebSphere MQ-Java-Client aktivieren Client

Der WebSphere MQ-Java-Client unterstützt SSL-verschlüsselte Verbindungen über den SVRCONN-Kanal zwischen Anwendung und Warteschlangenmanager. In diesem Abschnitt erfahren Sie, wie Sie diese SSL-Unterstützung für die Kommunikation zwischen dem Konfigurationsmanager-Proxy und dem Konfigurationsmanager nutzen.

Für eine einseitige Authentifizierung (bei der nur der Client (Konfigurationsmanager-Proxy) den Server (Konfigurationsmanager) authentifiziert) müssen folgende Schritte ausgeführt werden:

  1. Besorgen Sie sich die notwendigen Schlüssel und Zertifikate bzw. erstellen Sie sie. Dazu gehört ein signiertes PKCS12-Zertifikat für den Server und der entsprechende öffentliche Schlüssel für die Zertifizierungsstelle, die das PKCS12-Zertifikat signiert hat.
  2. Fügen Sie das PKCS12-Zertifikat dem Zertifikatspeicher des Warteschlangenmanagers hinzu, und ordnen Sie es dem Warteschlangenmanager zu. Verwenden Sie die standardmäßigen WebSphere MQ-Funktionen wie z. B. WebSphere MQ Explorer (für WebSphere MQ Version 6) oder WebSphere MQ Services (für WebSphere MQ Version 5).
  3. Fügen Sie auf der Seite des Konfigurationsmanager-Proxys das Zertifikat der Zertifizierungsstelle dem JSEE-Zertifikatspeicher der JVM (Java Virtual Machine) hinzu (über ein Tool wie beispielsweise Keytool).
  4. Legen Sie die Cipher Suite fest, die verwendet werden soll.
  5. Ändern Sie die Eigenschaften des Kanals SYSTEM.BKR.CONFIG, indem Sie die Cipher Suite angeben, die verwendet werden soll. Dazu werden die Standardfunktionen von WebSphere MQ verwendet (beispielsweise der WebSphere MQ-Explorer).
  6. Fügen Sie dem Konfigurationsmanager-Proxy die erforderlichen Parameter hinzu (z. B. Cipher Suite). Wird nicht der Standardzertifikatspeicher verwendet, muss über den entsprechenden Parameter der vollständige Pfad des Zertifikatspeichers angegeben werden, der verwendet werden soll.
Nach Ausführung dieser Schritte wird eine Verbindung vom Konfigurationsmanager-Proxy zum Konfigurationsmanager hergestellt, wenn er über einen gültigen signierten Schlüssel verfügt, der von einer anerkannten Zertifizierungsstelle signiert wurde.
Bei einer gegenseitigen Authentifizierung (bei der der Konfigurationsmanager auch den Konfigurationsmanager-Proxy überprüft) werden die folgenden Schritte durchgeführt:
  1. Besorgen Sie sich die notwendigen Schlüssel und Zertifikate bzw. erstellen Sie sie. Dazu gehört ein signiertes PKCS12-Zertifikat für den Client und der entsprechende öffentliche Schlüssel für die Zertifizierungsstelle, die das PKCS12-Zertifikat signiert hat.
  2. Fügen Sie das Zertifikat der Zertifizierungsstelle dem Zertifikatspeicher des Warteschlangenmanagers hinzu; dazu werden die Standardfunktionen von WebSphere MQ verwendet (z. B. WebSphere MQ Explorer für WebSphere MQ Version 6).
  3. Setzen Sie den Kanal SYSTEM.BKR.CONFIG so, dass immer eine Authentifizierung ausgeführt wird. Sie können 'SSLCAUTH(REQUIRED)' in 'runmqsc' oder WebSphere MQ Explorer verwenden.
  4. Fügen Sie auf der Seite des Konfigurationsmanager-Proxys das PKCS12-Zertifikat dem JSEE-Schlüsselspeicher der JVM hinzu (über ein Tool wie beispielsweise Keytool).
  5. Wird nicht der Standardschlüsselspeicher verwendet, müssen Sie über den entsprechenden Parameter den vollständigen Pfad des Schlüsselspeichers, der verwendet werden soll, an den Konfigurationsmanager-Proxy übergeben.

Nach Ausführung dieser Schritte gestattet der Konfigurationsmanager Verbindungen des Konfigurationsmanager-Proxys nur, wenn der Konfigurationsmanager-Proxy über ein Zertifikat verfügt, dass von einer der im Schlüsselspeicher enthaltenen Zertifikatsstellen signiert wurde.

Weitere Einschränkungen können über das Feld 'sslPeerName' vorgenommen werden; so können Sie beispielsweise festlegen, dass nur Zertifikateigner mit einem bestimmten Firmen- oder Abteilungsnamen im Zertifikat eine Verbindung herstellen können. Darüber hinaus können Sie auch einen Sicherheitsexit für die Kommunikation zwischen dem Konfigurationsmanager-Proxy und dem Konfigurationsmanager aufrufen (siehe Verwendung von Sicherheitsexits).

Zugehörige Konzepte
Sicherheit - Übersicht
SSL-Authentifizierung
Authentifizierungsservices
Zugehörige Tasks
Verwendung von Sicherheitsexits
Implementierung der SSL-Authentifizierung
Eigenschaften von Domänenverbindungen ändern
Zugehörige Verweise
Sicherheitsanforerungen für Verwaltungstasks
Brokereigenschaften
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 23. Aug. 2006
ap12232_