Configuración de canales TLS con MQSC

Para configurar los canales TLS, utilice los comandos runmqsc y ALTER CHANNEL. Existe la opción de configurar un canal para que sólo acepte certificados que tengan atributos en el nombre distinguido del propietario que coincidan con los valores dados. También puede configurar opcionalmente un canal del gestor de colas para que el gestor rehúse la conexión si la parte iniciadora no envía su propio certificado personal.

Acerca de esta tarea

Para configurar canales en ' IBM® MQ Explorer, consulte Configurar canales TLS con ' IBM MQ Explorer.

Para configurar canales utilizando runmqsc, realice los pasos siguientes.

Procedimiento

  1. Invoque el mandato runmqsc conectándose al gestor de colas de destino.
  2. Identifique el canal que desea habilitar para TLS.
    Anote el nombre de canal y el tipo de canal.
  3. Utilice el mandato ALTER CHANNEL para modificar varias propiedades de un canal IBM MQ .
    Proporcione el nombre de canal y el tipo de canal además del mandato. Por ejemplo, para modificar un canal emisor denominado MQ.TEST ejecute el mandato siguiente:
    ALTER CHANNEL(‘MQ.TEST’) CHLTYPE(SDR)
    Existen diversos atributos de canal relacionados con TLS que puede ajustar en las definiciones de canal de IBM MQ .

Qué hacer a continuación

Definición de la Seguridad de mensajes

La mensajería habilitada para TLS ofrece dos métodos para garantizar la seguridad de los mensajes:
  • El cifrado asegura que si el mensaje es interceptado, no podrá leerse.
  • Las funciones hash aseguran que si el mensaje se modifica, esta acción se detecta.

La combinación de estos métodos se denomina especificación de cifrado o CipherSpec. Deben establecerse CipherSpecs compatibles para ambos extremos de un canal; de lo contrario, la mensajería habilitada para TLS falla. Para obtener más información, consulte Activación de CipherSpecs.

Para alterar un IBM MQ canal habilitar TLS, especifique un valor en el SSLCIPH atributo. Este atributo debe establecerse en un CipherSpec válido para la plataforma de colas del gestor de colas de la lista Enabling CipherSpecs.

Para modificar un IBM MQ canal para desactivar TLS, ponga SSLCIPH un valor en blanco. Por ejemplo:
ALTER CHANNEL('MQ.TEST') CHLTYPE(SDR) SSLCIPH(' ')
Nota: Debe incluir el nombre de canal entre comillas simples para asegurarse de que se mantienen las mayúsculas y minúsculas del carácter. Sin comillas simples, IBM MQ transforma la serie para que esté en mayúsculas.

Filtrado de certificados en nombre de su propietario

Los certificados contienen el nombre distinguido del propietario del certificado. Existe la opción de configurar el canal para que sólo acepte certificados que tengan atributos en el nombre distinguido del propietario que coincidan con los valores dados.

Los nombres de atributo que IBM MQ puede filtrar se listan en la tabla siguiente:
Nombres de atributo Significado
SERIALNUMBER Número de serie de certificado
MAIL Dirección de correo electrónico
[En desuso]E Dirección de correo electrónico (En desuso por ser preferible MAIL)
UID o USERID Identificador de usuario
CN Nombre común
T Título
OU Nombre de la unidad organizativa
DC Componente de dominio
O Nombre de la organización
CALLE Calle / Primera línea de dirección
L Nombre de la localidad
ST (o SP o S) Nombre del estado o provincia
PC Código postal
C País
UNSTRUCTUREDNAME Nombre de host
UNSTRUCTUREDADDRESS Dirección IP
DNQ Calificador de nombre distinguido
Puede utilizar el carácter comodín (*) al principio o al final del valor de atributo en lugar de cualquier número de caracteres. Por ejemplo, para aceptar sólo certificados de cualquier persona con un nombre que termine conSmithtrabajar paraIBMenGB, escriba:
CN=*Smith, O=IBM, C=GB
Por ejemplo:
ALTER CHANNEL(‘MQ.TEST’) CHLTYPE(SDR) SSLPEER(‘CN=*Smith, O=IBM, C=GB’)
Nota: Debe encerrar la cadena SSLPEER entre comillas simples para asegurarse de que se mantienen las mayúsculas y minúsculas. Sin comillas simples, IBM MQ transforma la cadena en mayúsculas.

Autenticación de entidades que inician conexiones con un gestor de colas

Cuando otra parte inicie una conexión habilitada para TLS con un gestor de colas, el gestor de colas debe enviar su certificado personal a la parte iniciadora como prueba de la identidad. También puede configurar opcionalmente el canal del gestor de colas para que el gestor rehúse la conexión si la parte iniciadora no envía su propio certificado personal.

Para ello, establezca el atributo SSLCAUTH. Este atributo es un atributo booleano y puede tener los valores OPCIONAL o REQUERIDO:
  • OPCIONAL autentica el certificado de un cliente que se conecta si se proporciona uno, pero no requiere que un cliente envíe uno. Un cliente se rechaza si envía un certificado que no es válido.
  • REQUERIDO rechaza cualquier cliente conectado que no proporcione un certificado TLS válido
Por ejemplo:
ALTER CHANNEL(‘MQ.TEST’) CHLTYPE(RCVR) SSLCAUTH(REQUIRED)