Sicherheitsrichtlinien in AMS erstellen

Sicherheitsrichtlinien definieren die Art und Weise, in der eine Nachricht geschützt wird, wenn die Nachricht ausgegeben wird, oder wie eine Nachricht geschützt worden sein muss, wenn eine Nachricht empfangen wird.

Vorbereitungen

Es gibt einige Eingangsbedingungen, die beim Erstellen von Sicherheitsrichtlinien erfüllt werden müssen:

Der WS-Manager muss aktiv sein.
Der Name einer Sicherheitsrichtlinie muss den Regeln für die Benennung von IBM® MQ-Objekten entsprechen.
Sie müssen über die erforderliche Berechtigung verfügen, um eine Verbindung zum WS-Manager herzustellen und eine Sicherheitsrichtlinie zu erstellen:
- On z/OS®, grant the authorities documented in Das Dienstprogramm für die NachrichtensicherheitspolitikCSQ0UTIL).
- Auf Multiplattformen müssen Sie die erforderlichen Berechtigungen +connect, +inq und +chg mit dem setmqaut befehl.
Weitere Informationen zur Konfiguration der Sicherheit finden Sie unter Einrichten der Sicherheit.
Vergewissern Sie sich auf z/OS, dass die erforderlichen Systemobjekte gemäß den Definitionen in CSQ4INSM definiert wurden.

Beispiel

Im Folgenden finden Sie ein Beispiel für die Erstellung einer Richtlinie für den Warteschlangenmanager QMGR. Die Richtlinie gibt an, dass Nachrichten mit dem SHA256 -Algorithmus signiert und mit dem AES256 -Algorithmus für Zertifikate mit dem DN CN=joe, O = IBM, C=US und DN verschlüsselt werden: CN=jane, O = IBM, C = US. Diese Richtlinie ist MY.QUEUE zugeordnet:

setmqspl -m QMGR -p MY.QUEUE -s SHA256 -e AES256 -r CN=joe,O=IBM,C=US -r CN=jane,O=IBM,C=US

Im Folgenden finden Sie ein Beispiel für die Erstellung einer Richtlinie auf dem Warteschlangenmanager QMGR. Die Richtlinie gibt an, dass Nachrichten mit dem Algorithmus 3DES für Zertifikate mit DNs verschlüsselt werden: CN=john, O=IBM, C=US und CN= jeff, O=IBM, C=US und signiert mit dem Algorithmus SHA256 für Zertifikate mit DN: CN=phil, O=IBM, C=US

setmqspl -m QMGR -p MY.OTHER.QUEUE -s SHA256 -e 3DES -r CN=john,O=IBM,C=US -r CN=jeff,O=IBM,C=US -a CN=phil,O=IBM,C=US

Hinweis:

Die Qualität des Schutzes, der für die Nachrichteneinteilung und -besicherung verwendet wird, muss übereinstimmen. Wenn die Richtlinienqualität des Schutzes, die für die Nachricht definiert ist, schwächer ist als für eine Warteschlange definiert, wird die Nachricht an die Fehlerbehandlungswarteschlange gesendet. Diese Richtlinie ist sowohl für lokale als auch für ferne Warteschlangen gültig.