![[AIX, Linux, Windows]](ngalw.gif)
MQ Telemetry configuración de canal para autenticación de cliente MQTT mediante TLS
El administrador de IBM® MQ configura los canales de telemetría en el servidor. Cada canal se configura para aceptar una conexión TCP/IP en un número de puerto diferente. Los canales TLS se configuran con un acceso protegido con frase de contraseña a archivos de claves. Si un canal TLS está definido sin frase de contraseña o archivo de claves, el canal no acepta conexiones SSL.
Establezca la propiedad com.ibm.mq.MQTT.ClientAuth de un canal de telemetría TLS en REQUIRED para obligar a todos los clientes que se conectan en dicho canal a proporcionar una prueba de que tienen certificados digitales verificados. Los certificados de cliente se autentican utilizando certificados de las entidades emisoras de certificados, dirigidos a un certificado raíz de confianza. Si el certificado de cliente es autofirmado o está firmado por un certificado que proviene de una entidad emisora de certificados, los certificados firmados públicamente del cliente, o autoridad de certificados, deben almacenarse de forma segura en el servidor.
Coloque el certificado de cliente firmado públicamente o el certificado de la entidad emisora de certificados en el almacén de claves del canal de telemetría. En el servidor, los certificados firmados públicamente se almacenan en el mismo archivo de claves que los certificados firmados en privado, en vez de en un almacén de confianza aparte.
El servidor verifica la firma de los certificados de cliente que se envía utilizando todos los certificados públicos y paquetes de cifrado que tenga. El servidor verifica la cadena de claves. El gestor de colas puede configurarse para probar el certificado respecto a la lista de revocación de certificados. La propiedad de lista de nombres de revocación de gestor de colas es SSLCRLNL.
Si alguno de los certificados que un cliente envía lo verifica un certificado del almacén de claves del servidor, el cliente se autentica.
El administrador de IBM MQ puede configurar el mismo canal de telemetría para utilizar JAAS para comprobar el UserName o ClientIdentifier del cliente con la Contraseñadel cliente.
Puede utilizar el mismo almacén de claves para varios canales de telemetría.
La verificación de al menos un certificado digital en el almacén de claves de cliente protegido con contraseña en el dispositivo autentica al cliente en el servidor. El certificado digital sólo se utiliza para la autenticación por parte de IBM MQ. No se utiliza para verificar la dirección TCP/IP del cliente, o establecer la identidad del cliente para la autorización o la contabilidad. La identidad del cliente adoptada por el servidor es el Nombre de usuario o ClientIdentifier del cliente, o una identidad creada por el administrador de IBM MQ .
También puede utilizar las suites de cifrado TLS para la autenticación de cliente. Si tiene previsto utilizar conjuntos de cifrado SHA-2, consulte Requisitos del sistema para utilizar conjuntos de cifrado SHA-2 con canales MQTT.