WebSphere MQ Java Client soporta conexiones
cifradas con SSL a través del canal SVRCONN entre la aplicación y el gestor de colas. Este tema le explica cómo utilizar este soporte SSL al comunicarse entre
el
Proxy del Gestor de configuración (CMP) y el
Gestor de configuración.
Para la autenticación unidireccional
(con el cliente (Proxy del
Gestor de configuración) que autentica
al servidor (Gestor de configuración) sólo) realice los pasos
siguientes:
Para la autenticación bidireccional (con el
Gestor de configuración también autenticando al
Proxy del
Gestor de configuración), realice los siguientes pasos adicionales:
- Genere u obtenga todas las claves y todos los certificados apropiados. Esto incluye un
certificado pkcs12 firmado para el cliente y la clave pública
apropiada para la entidad emisora de certificados que ha firmado el certificado
pkcs12.
- Añada el certificado de la autoridad de certificación al almacén de certificados del gestor de colas. Utilice los recursos de WebSphere MQ estándar, por ejemplo, WebSphere MQ Explorer paraWebSphere MQ Versión
6).
- Establezca el canal SYSTEM.BKR.CONFIG para que autentique siempre. Puede utilizar
SSLCAUTH(REQUIRED) en runmqsc o WebSphere MQ Explorer.
- Añada el certificado pkcs12 al almacén de
claves JSEE de la (JVM) en el extremo del Proxy del
Gestor de configuración
utilizando una herramienta como Keytool.
- Si no está utilizando el almacén de claves por omisión, se deberá pasar la vía de acceso
completa al Proxy del
Gestor de configuración a través del parámetro keystore
Cuando haya realizado estos pasos, el Gestor de configuración
sólo permitirá al Proxy del
Gestor de configuración conectarse si
el Proxy del
Gestor de configuración tiene un certificado firmado por una de las
entidades emisoras de certificados del almacén de claves.
Se pueden crear restricciones
adicionales utilizando el campo sslPeerName; por ejemplo, puede permitir sólo conexiones
de los propietarios de certificados de una empresa específica o con un nombre de
departamento en los certificados. Además, puede invocar una rutina de salida de seguridad
para las comunicaciones entre el Proxy del
Gestor de configuración y el
Gestor de configuración; consulte
Utilización de rutinas de salida de seguridad.