WebSphere MQ Java クライアントは、アプリケーションとキュー・マネージャーの間の SVRCONN チャネル上で、SSL 暗号化接続をサポートします。
このトピックでは、
構成マネージャー・プロキシー (CMP) と
構成マネージャーの間で通信する際にこの SSL サポートを使用する方法について説明します。
片方向の認証 (クライアント (構成マネージャー・プロキシー) によるサーバー (構成マネージャー) の認証のみ) の場合、以下のステップを実行します。
- すべての該当する鍵と証明書を生成するか入手します。 サーバー用の署名付き pkcs12 証明書と、pkcs12 証明書に署名した認証局用の該当する公開鍵が含まれます。
- pkcs12 証明書を、キュー・マネージャーの証明書ストアに追加し、キュー・マネージャーに割り当てます。 WebSphere MQ の標準機能を使用してください。例えば、WebSphere MQ Explorer (WebSphere MQ バージョン 6 の場合) または WebSphere MQ Services (WebSphere MQ バージョン 5 の場合) を使用できます。
- keytool などのツールを使用して、認証局の証明書を、構成マネージャー・プロキシー側の Java 仮想マシン (JVM) の JSEE トラストストアに追加します。
- 使用する暗号スイートを決定します。
- SYSTEM.BKR.CONFIG チャネルのプロパティーに変更を加え、使用する暗号スイートを指定します。 標準的な WebSphere MQ 機能 (WebSphere MQ Explorer など) を使用してください。
- 必要パラメーター (例えば、暗号スイート) を構成マネージャー・プロキシーに追加します。 デフォルト以外のトラストストアを使用する場合は、トラストストア・パラメーターを使用して、その絶対パスを渡さなければなりません。
上記のステップを実行し終えたら、構成マネージャー・プロキシーは、信頼できる認証局によって署名された有効な署名済みの鍵がある場合には、構成マネージャーに接続します。
両方向の認証 (
構成マネージャーも
構成マネージャー・プロキシーを認証する) の場合は、以下の追加のステップを実行してください。
- すべての該当する鍵と証明書を生成するか入手します。クライアント用の署名付き pkcs12 証明書と、pkcs12 証明書に署名した認証局用の該当する公開鍵が含まれます。
- 認証局の証明書をキュー・マネージャーの証明書ストアに追加します。標準的な WebSphere MQ 機能を使用してください (例えば WebSphere MQ バージョン 6 の場合は WebSphere MQ Explorer)。
- SYSTEM.BKR.CONFIG チャネルを常時認証に設定します。runmqsc で SSLCAUTH(REQUIRED) を使用するか、または WebSphere MQ Explorer を使用します。
- keytool などのツールを使用して、pkcs12 証明書を、構成マネージャー・プロキシー側の JVM の JSEE 鍵ストアに追加します。
- デフォルトの鍵ストアを使用しない場合は、鍵ストア・パラメーターを使用して、その絶対パスを構成マネージャー・プロキシーに渡さなければなりません。
上記のステップを実行し終えたら、鍵ストア中の認証局の 1 つによって署名された証明書が構成マネージャー・プロキシーにある場合のみ、構成マネージャー・プロキシーが構成マネージャーに接続できます。
sslPeerName フィールドを使用して、さらに制約事項を作成できます。例えば、証明書中に特定の会社名か部門名がある場合のみその証明書の所有者が接続できるようにすることができます。また、構成マネージャー・プロキシーと構成マネージャーの間の通信でセキュリティー出口を呼び出すこともできます。セキュリティー出口の使用を参照してください。