Stanza SSL del archivo de configuración de cliente

Los siguientes atributos pueden incluirse en la stanza SSL:

AllowOutboundSNI = SÍ (predeterminado) | NO

Si se habilita, los clientes compatibles con SNI establecerán el SNI con el nombre del canal de destino IBM MQ en el sistema remoto al iniciar una conexión TLS. Si este atributo se establece en NO, los clientes que tengan habilitado SNI no establecerán la cabecera SNI lo que hará que las solicitudes de conexión saliente reciban el certificado predeterminado del gestor de colas remoto durante el reconocimiento TLS, por lo que no se podrán utilizar los certificados por canal.

Este atributo lo pueden leer los clientes C, .NET, IBM MQ classes for Javay IBM MQ classes for JMS no gestionados.

El cliente Java/JMS interpreta los valores de propiedad con distinción de mayúsculas y minúsculas, por lo que los valores YES/NO deben establecerse en mayúsculas.

Atención: La AllowOutboundSNIIBM MQ 9.3.0 propiedad está obsoleta y solo está disponible por motivos de compatibilidad con versiones anteriores.

AllowOutboundSNI Si se establece en YES, proporciona la misma función que OutboundSNI establecido en CHANNEL, mientras que AllowOutboundSNI establecido en NO proporciona la misma función que OutboundSNI establecido en HOSTNAME.

Si los atributos AllowOutboundSNI y OutboundSNI están presentes en la stanza SSL, el valor de OutboundSNI tiene prioridad.

Perm itirTLSV13=S|SÍ|T|VERDADERO (predeterminado) |N|NO|F|FALSO

Especifica si un gestor de colas puede utilizar TLS 1.3 CipherSpecs (véase « CipherSpecs » ).

Este atributo puede ser leído por los clientes C/C++.

Este atributo tiene los siguientes valores posibles:

• Y (predeterminado), YES (predeterminado), T (predeterminado) o TRUE (predeterminado): habilita TLS 1.3, lo que permite al gestor de colas utilizar TLS 1.3 CipherSpecs.
• N, NO, F o FALSE: inhabilita TLS 1.3, lo que significa que el gestor de colas no puede utilizar las CipherSpecs de TLS 1.3.

Nota: Al utilizar el cliente MQI, el valor de AllowTLSV13 se deduce automáticamente, a menos que se especifique explícitamente en la sección « SSL » de la sección « SSL » del archivo de configuración del cliente que utiliza la aplicación. Para obtener más información, consulte IBM MQ MQI client y TLS 1.3.

CCDTHttpsCertValPolicy = CU AL QUIERA|HOSTNAMECN (predeterminado) |NINGUNO

Especifica el nivel de validación que ejecuta la biblioteca IBM MQ cliente cuando recupera un token de archivos CCDT desde un punto final HTTPS.

Este atributo puede ser leído por IBM MQ classes for JMS los clientes.

Estos atributos tienen los siguientes valores posibles:

CUALQUIERA

Verifica que el certificado del par sea válido, esté firmado por una autoridad de confianza e ignora la verificación del nombre de host. Si se proporciona un SSLSocketFactory personalizado, este sustituye al mecanismo predeterminado de Java Secure Socket Extension (JSSE).

HOSTNAMECN (predeterminado)

Verifica que el certificado del par sea válido, esté firmado por una autoridad de confianza y que el nombre distintivo del certificado (incluidas las extensiones CN y SAN) coincida con el del servidor HTTP con el que se está contactando. Si se proporciona un SSLSocketFactory personalizado, este sustituye al mecanismo predeterminado de Java Secure Socket Extension (JSSE).

Ninguna

Todos los certificados de servidor se aceptan sin validación. Se utilizará una implementación interna del controlador que proporciona una instancia de SSLSocketFactory que confía en todos los certificados. Si se proporciona un SSLSocketFactory personalizado, este anula la implementación del controlador.

Nota: Si una aplicación cliente no proporciona ningún valor, el valor predeterminado que IBM MQ classes for JMS se utiliza es HOSTNAMECN.

CDPCheckExtensions = YES|NO (valor predeterminado)

CDPCheckExtensions especifica si los canales TLS de este gestor de colas intentan comprobar los servidores CDP especificados en las extensiones de certificado CrlDistributionPoint.

Este atributo lo pueden leer los clientes C y .NET no gestionados.

Este atributo tiene los siguientes valores posibles:

• YES: los canales TLS intentan comprobar los servidores CDP para determinar si el certificado digital está revocado.
• NO: los canales TLS no intentan comprobar los servidores CDP. Este valor es el valor por omisión.

CertificateLabel = cadena

la etiqueta de certificado de la definición de canal.

Este atributo lo pueden leer los clientes C y .NET no gestionados.

Consulte Etiqueta de certificado (CERTLABL) para obtener más información.

CertificateValPolicy = cadena

Determina el tipo de validación de certificados utilizado.

Este atributo lo pueden leer los clientes C y .NET no gestionados.

Este atributo tiene los siguientes valores posibles:

CUALQUIERA

Utilizar cualquier política de validación de certificados soportada por la biblioteca de sockets seguros subyacente. Este valor es el predeterminado.

RFC5280

Utilizar sólo la validación de certificados que cumpla con el estándar RFC 5280.

NINGUNO

No utilizar validación de certificado.

ClientRevocationChecks = REQUERIDO|OPCIONAL|DISABLED

Determina cómo se configura la comprobación de revocación de certificados si la llamada de conexión del cliente utiliza un canal TLS. Consulte también OCSPAuthentication.

Este atributo lo pueden leer los clientes C y .NET no gestionados.

Este atributo tiene los siguientes valores posibles:

REQUIRED (valor predeterminado)

Intenta cargar la configuración de revocación de certificados desde CCDT y realiza la comprobación de revocación de certificados, tal como se ha configurado. Si el archivo CCDT no se puede abrir o si no es posible validar el certificado (por ejemplo, debido a que no está disponible un servidor OCSP o CRL), llamada MQCONN fallará. No se realiza la comprobación de la revocación si CCDT no contiene ninguna configuración de revocación pero esto no hace que el canal falle.

En Windows los sistemas, también puede utilizar Active Directory para comprobar la revocación de CRL. No puede utilizar Active Directory para la comprobación de revocación de OCSP.

Si está utilizando MQSCO o CCDT, la conexión se realiza correctamente. Si no hay ningún archivo CCDT y si tampoco se proporciona MQSCO, la conexión falla con un código de razón 2059 y el registro de errores informaAMQ9518E: File '/var/mqm/AMQCLCHL.TAB' not found.

OPCIONAL

Igual que para REQUIRED, pero si no se puede cargar la configuración de revocación de certificado, el canal no fallará.

DISABLED

No se intenta cargar la configuración de revocación de certificados desde CCDT y no se realiza la comprobación de revocación de certificados.

Nota: Si utiliza MQCONNX en lugar de llamadas MQCONN, puede optar por proporcionar registros de información de autenticación (MQAIR) a través de MQSCO. Por lo tanto, el comportamiento predeterminado de MQCONNX es que no dará error si no se puede abrir el archivo CCDT pero asumirá que está suministrando un MQAIR (incluso si ha elegido no hacerlo).

EncryptionPolicySuiteB = cadena

Determina si un canal utiliza cifrado compatible con Suite B y qué nivel de potencia se utilizará.

Este atributo lo pueden leer los clientes C y .NET no gestionados.

Este atributo tiene los siguientes valores posibles:

Ninguna

No se utiliza el cifrado compatible con Suite B. Este valor es el predeterminado.

128_BIT,192_BIT

Establece el nivel de seguridad para niveles de 128 bit y de 192 bits.

128_BIT

Establece la potencia de seguridad en un nivel de 128 bits.

192_BIT

Establece la potencia de seguridad en un nivel de 192 bits.

Ámbito medioambiental = PROCESO|CONEXIÓN

Controla si IBM MQ utiliza un único entorno IBM Global Security Kit (GSKit) para todo el proceso o un entorno GSKit por conexión.

Este atributo puede ser leído por clientes C.

Este atributo tiene los siguientes valores posibles:

PROCESS

Se utiliza un único entorno de GSKit para varias conexiones creadas por el proceso. La utilización de este valor significa que los cambios del almacén de claves TLS no estarán disponibles hasta que se hayan detenido todas las conexiones TLS activas dentro del proceso.

Este es el valor predeterminado.

CONNECTION

Se crea un entorno GSKit para cada conexión dentro del mismo proceso. Habilitarlo significa que los cambios de almacén de claves TLS se recogerán inmediatamente mediante cualquier nueva conexión TLS que inicie el proceso.

Aviso: La habilitación de esta modalidad de operación hace que las aplicaciones utilicen recursos de CPU y memoria adicionales para crear cada entorno de GSKit . Este consumo de recursos aumenta con cada conexión TLS simultánea adicional.

HTTPSKeyStore = cadena

Especifica la ruta a un repositorio de claves PKCS #12 que la biblioteca cliente ' IBM MQ ' puede utilizar como almacén de confianza cuando crea conexiones HTTPS salientes, como la obtención de un archivo CCDT para conectarse a un gestor de colas. El archivo del repositorio de claves debe estar cifrado y acompañado de un archivo stash (un archivo con extensión ' .sth ) del mismo nombre, que se utiliza cuando la biblioteca cliente necesita acceder al repositorio de claves.

Este atributo no tiene valor por defecto. Si no proporciona un valor, la función que requiere un almacén de confianza HTTPS en el cliente ' IBM MQ ' se desactiva.

Este atributo lo pueden leer los clientes C y .NET no gestionados. Si actualiza este atributo, deberá reiniciar la aplicación cliente para empezar a utilizar el archivo de repositorio de claves que haya especificado.

Consulte «Creación de un repositorio de claves para utilizarlo como almacén de confianza de TLS » para obtener información sobre cómo crear un almacén de confianza que utilice certificados de AIX® los sistemas operativos y Linux® .

HTTPSCertValidation = CUALQUIERA (predeterminado) | H OSTNAMECN|NINGUNO

Especifica el nivel de validación que la biblioteca cliente ' IBM MQ ' ejecuta cuando realiza una conexión HTTPS.

Este atributo lo pueden leer los clientes C y .NET no gestionados.

Este atributo tiene los siguientes valores posibles:

ANY (valor predeterminado)

Compruebe que el certificado del homólogo es válido y está firmado por una autoridad de confianza.

HOSTNAMECN

Compruebe que el certificado del homólogo es válido y está firmado por una autoridad de confianza, y que el nombre distinguido del certificado coincide con el del servidor HTTP con el que se está contactando.

Ninguna

No compruebe el certificado del compañero. La sesión está cifrada mediante TLS, pero no hay garantía de que el cliente se esté comunicando con el servidor previsto. Utilice esta opción con precaución; el uso de esta opción podría, por ejemplo, permitir un ataque man-in-the-middle que redirija al cliente a un archivo CCDT malicioso.

HTTPSCertRevocation = REQUERIDO (predeterminado) | OP CIONAL|DESACTIVADO

Especifica el nivel de comprobación de revocación que la biblioteca cliente ' IBM MQ ' ejecuta cuando realiza una conexión HTTPS, si el certificado que se utiliza para establecer la confianza para la conexión proporciona una URL revocación de certificado.

Este atributo lo pueden leer los clientes C y .NET no gestionados.

Este atributo tiene los siguientes valores posibles:

REQUIRED (valor predeterminado)

Comprueba el estado de revocación del certificado con el servidor especificado. Si no se puede acceder al servidor, se asume que el certificado no es válido y se rechaza la conexión HTTPS.

OPCIONAL

Comprueba el estado de revocación del certificado con el servidor especificado. Si la comprobación de la revocación no puede completarse por algún motivo (por ejemplo, no se puede acceder al servidor de revocación), acepte el certificado como válido.

DISABLED

No ejecute comprobaciones de revocación de certificados.

MinimumRSAKeySize=int

Especifica el tamaño de clave mínimo que deben tener los certificados RSA para poder aceptarse. Permite cualquier valor igual a 0 o superior. El valor predeterminado es 1 o 2048 si no se especifica.

Este atributo puede ser leído por los clientes C/C++.

Autenticación OCSPA = OPCIONAL | REQUERIDO | ADVERTENCIA

Define el comportamiento de IBM MQ cuando OCSP está habilitado y la comprobación de revocación de OCSP no puede determinar el estado de revocación del certificado. Consulte también ClientRevocationChecks.

Este atributo lo pueden leer los clientes C y .NET no gestionados.

Si no se define ningún respondedor OCSP, no se realizan comprobaciones de revocación OCSP y se permite que la conexión continúe.

Este atributo tiene los siguientes valores posibles:

OPCIONAL

Se acepta cualquier certificado que tenga un estado de revocación que no se pueda determinar mediante la comprobación de OCSP, y no se genera ningún mensaje de aviso o de error. La conexión SSL o TLS continúa como si no se hubiera realizado ninguna comprobación de revocación.

OBLIGATORIO

La comprobación de OCSP debe producir un resultado de revocación definitivo para cada certificado SSL o TLS que se haya comprobado. Cualquier certificado SSL o TLS que tenga un estado de revocación que no se pueda comprobar se rechaza, y se emite un mensaje de error. Si se habilitan mensajes de sucesos SSL del gestor de colas, se genera un mensaje MQRC_CHANNEL_SSL_ERROR con un ReasonQualifier de MQRQ_SSL_HANDSHAKE_ERROR. Se cierra la conexión.

Este es el valor predeterminado.

WARN

Si una comprobación de revocación OCSP no puede determinar el estado de revocación de cualquier certificado SSL o TLS, se informa de un error en los registros de errores del gestor de colas. Si se habilitan los mensajes de sucesos SSL del gestor de colas, se genera un mensaje MQRC_CHANNEL_SSL_WARNING con un ReasonQualifier de MQRQ_SSL_UNKNOWN_REVOCATION. La conexión tiene permiso para continuar.

OCSPCheckExtensions=YES|NO

Controla si IBM MQ actúa sobre las extensiones de certificado AuthorityInfoAccess.

Este atributo lo pueden leer los clientes C y .NET no gestionados.

Si el valor se establece en NO, IBM MQ ignora las extensiones de certificado AuthorityInfoAccess y no intenta una comprobación de seguridad OCSP. El valor predeterminado es YES.

OCSPTimeout = número

El número de segundos que se debe esperar un programa de respuesta OCSP al realizar una comprobación de revocación.

Este atributo lo pueden leer los clientes C y .NET no gestionados.

A partir de IBM MQ 9.3.0, si se establece un valor de 0, se utiliza el tiempo de espera predeterminado de 30 segundos.

Si no se establece ningún valor, se utiliza el valor predeterminado de IBM MQ de 30 segundos.

OutboundSNI = CHANNEL | HOSTNAME

Si OutboundSNI se establece en CANAL, los clientes con capacidad SNI establecen SNI en el nombre de canal de IBM MQ de destino en el sistema remoto al iniciar una conexión TLS.

Si este atributo se establece en HOSTNAME, los clientes que tengan habilitado SNI establecerán la cabecera SNI en el nombre de host, lo que hará que las solicitudes de conexión saliente reciban el certificado predeterminado del gestor de colas remoto durante el reconocimiento TLS, por lo que no se podrán utilizar los certificados por canal.

Este atributo lo pueden leer los clientes C, .NET, IBM MQ classes for Javay IBM MQ classes for JMS no gestionados.

El cliente Java/JMS interpreta los valores de propiedad con distinción de mayúsculas y minúsculas, por lo que los valores YES/NO deben establecerse en mayúsculas.

A partir de la IBM MQ 9.3.0, el cliente IBM MQ gestionado .NET se ha actualizado para establecer SERVERNAME en el nombre de host respectivo si la propiedad OutboundSNI se establece en HOSTNAME, lo que permite a un cliente IBM MQ gestionado .NET conectarse a un gestor de colas utilizando rutas de Red Hat® OpenShift®.

Nota: Si una aplicación con un valor OutboundSNI de HOSTNAME se conecta a un canal con una etiqueta de certificado configurada, la aplicación se rechaza con un MQRC_SSL_INITIALIZATION_ERROR y se imprime un mensaje AMQ9673 en los registros de errores del gestor de colas.

Pe erCertChainValidation=cadena

Este atributo puede ser leído por C y los clientes .NET no gestionados.

La serie puede ser uno de los dos valores siguientes:

• Usepeerchain [Valor predeterminado]: la cadena de certificados proporcionada por el interlocutor se puede utilizar de puente para cualquier intervalo de cadena de confianza al validar los certificados. Con la excepción del certificado raíz.
• TruststoreOnly [No recomendado]: solo se utilizarán certificados del almacén de confianza para validar el certificado del interlocutor.

RFC5280EKUChecks = VERDADERO | FALSO

Valida la extensión de uso de clave extendido (EKU) del certificado del servidor.

Este atributo puede ser leído por clientes C.

Este atributo tiene los siguientes valores posibles:

TRUE

Si el certificado del administrador de colas ha especificado un EKU que no incluye serverAuth, entonces se rechaza la conexión. Éste es el valor predeterminado.

FALSE

La EKU no se valida independientemente de si el certificado del gestor de colas ha especificado una EKU o no.

SSLCryptoHardware = cadena

Establece la serie de parámetros necesaria para configurar el hardware de cifrado PKCS #11 existente en el sistema.

Este atributo lo pueden leer los clientes C y .NET no gestionados.

Especifique una serie con el formato siguiente: GSK_PKCS11 = driver path and filename;token label;token password;symmetric cipher setting;

Por ejemplo: GSK_PKCS11=/usr/lib/pkcs11/PKCS11_API.so;tokenlabel;passw0rd;SYMMETRIC_CIPHER_ON

La vía de acceso del controlador es una vía de acceso absoluta a la biblioteca compartida que ofrece soporte para la tarjeta PKCS #11. El nombre de archivo de controlador es el nombre de la biblioteca compartida. Un ejemplo del valor necesario para la vía de acceso del controlador PKCS #11 y el nombre de archivo es /usr/lib/pkcs11/PKCS11_API.so. Para acceder a las operaciones de cifrado simétrico a través de GSKit, especifique el parámetro de valor de cifrado simétrico. El valor de este parámetro es:

SYMMETRIC_CIPHER_OFF

No acceder a operaciones de cifrado simétrico. Este valor es el predeterminado.

SYMMETRIC_CIPHER_ON

Acceder a las operaciones de cifrado simétrico.

Al proporcionar los diferentes componentes de la cadena, debe escapar los caracteres de punto y coma utilizando el carácter de barra invertida, ya que el carácter de punto y coma se trata como un comentario. Por ejemplo: '\;'

Debe proteger la contraseña de señal contenida en la serie del atributo SSLCryptoHardware. Para obtener más información, consulte «Clientes de IBM MQ que utilizan hardware criptográfico».

Para manejar las contraseñas cifradas, ahora no hay límite para la longitud de la serie.

El valor predeterminado es en blanco. Si especifica una serie que no está en el formato correcto, se genera un error.

SSLCryptoHardwareKeyFile = nombre de la ruta

La vía de acceso completa y el nombre del archivo que contiene la clave inicial que se ha utilizado para cifrar la contraseña en la serie de configuración de hardware criptográfico PKCS #11 que se especifica con el atributo SSLCryptoHardware . La clave inicial debe especificarse si se ha especificado un archivo de claves inicial cuando la contraseña de la serie de configuración de hardware criptográfico se cifró utilizando el mandato runp11cred . Para obtener más información, consulte Clientes deIBM MQ que utilizan hardware de cifrado.

Este atributo puede ser leído por C y los clientes .NET no gestionados.

SSLFipsRequired = SÍ|NO

Especifica si se deben utilizar una biblioteca FIPS criptográfica certificada y algoritmos si se lleva a cabo criptografía en IBM MQ.

Especifica si solo se deben FIPS utilizar algoritmos certificados si se lleva a cabo criptografía en IBM MQ.

Este atributo puede ser leído por C y los clientes .NET no gestionados.

Si se ha configurado el hardware de cifrado, los módulos criptográficos utilizados son aquellos módulos proporcionados por el producto de hardware. Éstos pueden tener o no la certificación FIPS de un determinado nivel, en función del producto de hardware utilizado.

SSLHTTPProxyName = cadena

La cadena es el nombre de host o la dirección de red del servidor proxy HTTP que debe utilizar ' GSKit ' para las comprobaciones OCSP. Esta dirección puede ir seguida de un número de puerto opcional, delimitado mediante paréntesis. Si no especifica el número de puerto, se utiliza el puerto HTTP predeterminado, el 80.

Este atributo puede ser leído por C y los clientes .NET no gestionados.

Para clientes de 32 bits en AIX, la dirección de red solo puede ser una IPv4 dirección.

En otras plataformas, la dirección de red puede ser una dirección IPv4 o IPv6 .

Este atributo puede ser necesario si, por ejemplo, un cortafuegos impide el acceso al URL del programa de respuestas OCSP.

SSLHTTPConnectTimeout = número |0

El número de segundos que se va a esperar a que una conexión de red se establezca correctamente en un servidor HTTP al realizar una comprobación de revocación.

Este atributo lo pueden leer los clientes C y .NET no gestionados.

Si no se establece ningún valor, se utiliza el valor predeterminado de IBM MQ de 0 (desactivado).

SSLKeyRepository = nombreruta

La vía de acceso completa y el nombre de archivo del repositorio de claves que contiene el certificado digital del usuario.

Si no se especifica la extensión del archivo:

• IBM MQ primero busca un archivo con la extensión .p12 antes de buscar un archivo con la extensión .kdb.
• Si no se especifica la extensión del archivo, se supone que es .kdb.

Este atributo puede ser leído por C y los clientes .NET no gestionados.

SSLKeyRepositoryPassword = frase de paso

Frase de contraseña para acceder al repositorio de claves. El valor puede ser una serie de texto sin formato o una frase de contraseña que se ha cifrado utilizando el programa de utilidad runmqicred .

Este atributo puede ser leído por C y los clientes .NET no gestionados.

SSLKeyResetCount = entero|0

El número de bytes no cifrados enviados y recibidos en un canal TLS antes de que se cambie la clave secreta.

Este atributo puede ser leído por C y los clientes .NET no gestionados.

El valor debe estar entre 0 y 999999999.

El valor predeterminado es 0, lo que significa que las claves secretas no se negocian nunca.

Si especifica un valor entre 1 y 32768, los canales TLS utilizan un número de restablecimiento de clave secreta de 32768 (32 Kb). De esta forma, se evitan restablecimientos de clave excesivos que se producirían para valores de restablecimiento de claves secretas pequeñas.

TokenHttpsCertValPolicy = CU AL QUIERA|HOSTNAMECN (predeterminado) |NINGUNO

Especifica el nivel de validación que ejecuta la biblioteca IBM MQ cliente cuando recupera un token JWT de un punto final HTTPS.

Este atributo puede ser leído por IBM MQ classes for JMS los clientes.

Estos atributos tienen los siguientes valores posibles:

CUALQUIERA

Verifica que el certificado del par sea válido, esté firmado por una autoridad de confianza e ignora la verificación del nombre de host. Si se proporciona un SSLSocketFactory personalizado, este sustituye al mecanismo predeterminado de Java Secure Socket Extension (JSSE).

HOSTNAMECN (predeterminado)

Verifica que el certificado del par sea válido, esté firmado por una autoridad de confianza y que el nombre distintivo del certificado (incluidas las extensiones CN y SAN) coincida con el del servidor HTTP con el que se está contactando. Si se proporciona un SSLSocketFactory personalizado, este sustituye al mecanismo predeterminado de Java Secure Socket Extension (JSSE).

Ninguna

Todos los certificados de servidor se aceptan sin validación. Se utilizará una implementación interna del controlador que proporciona una instancia de SSLSocketFactory que confía en todos los certificados. Si se proporciona un SSLSocketFactory personalizado, este anula la implementación del controlador.

Nota: Si una aplicación cliente no proporciona ningún valor, el valor predeterminado que IBM MQ classes for JMS se utiliza es HOSTNAMECN.