SSL 认证可用于 Real Time 节点、HTTP 侦听器和 WebSphere MQ Java 客户机。
WebSphere Message Broker 中的 SSL 认证支持名为相互挑战 - 响应密码认证的认证协议。这是业界标准 SSL 协议的一个非标准变体,其中对称密钥密码术取代了 SSL 所要求的公用密钥密码术。虽然该协议安全且易管理,但完全使用定义的业界标准 SSL 协议可能会更好,特别是如果已为其他用途而部署了公用密钥密码术基础结构。有两个标准化的 SSL 版本,它们是:
在两种情况中,SSL 认证不会在整个连接过程中保持 SSL 协议的连接,因为这会导致所有消息的保护开销。SSL 协议保持有效的时间会足以完成相互认证并建立共享的秘密会话密钥,该密钥可用于消息保护(请参阅消息保护)。然后,按照为给定主题指定的保护级别,对消息进行个别保护。
SSL 协议实现需要“公用密钥密码术标准”(PKCS)文件,它包含了用于代理专用密钥的 X.509 V3 证书,并可能包含客户机和其他代理的公用密钥。该文件称为密钥环文件,必须包含代理和发出并签署代理证书的可信认证中心(CA)的至少一个证书。对于 SSL 的 R 表单,密钥环文件也可以有客户机和需要认证的其他代理的公用密钥,以及支持那些公用密钥的证书。然而,SSL 协议要求公用密钥和证书进行交换,因此只要拥有足够的常用可信权限来确保认证的完成,密钥环文件就不必以该方式进行完全初始化。
按照常规,密钥环文件会由存储在另一文件内的口令进行加密和保护。口令文件需要使用操作系统机制小心地进行保护,确保其不会被未经授权的观察者查阅。知道口令的观察者就可以知道密钥环文件内的专用密钥。但是,只有口令文件需要以该方式进行保护,密钥环文件由口令保护。只有专用密钥是敏感信息。密钥环文件中的其他信息(例如代理证书)可以进行展示而不会影响安全性。
有关 Real Time 节点的 SSL 认证的更多信息,请参阅启用 Real Time 节点的 SSL。
有关 HTTP 侦听器的 SSL 认证的更多信息,请参阅配置 HTTPInput 和 HTTPReply 节点以使用 SSL(HTTPS)和配置 HTTPRequest 节点以使用 SSL(HTTPS)。
有关 MQ Java 客户机的 SSL 认证的信息,请参阅在 WebSphere MQ Java 客户机上启用 SSL。