La configurazione di SSL per IBM® MQ .NET gestito consiste nella creazione dei certificati del firmatario, quindi nella configurazione del server, del client e del programma applicativo.
Informazioni su questa attività
Per configurare SSL, è necessario prima creare i certificati del firmatario appropriati. I certificati del firmatario possono essere autofirmati o certificati forniti da un'autorità di certificazione. Sebbene i certificati autofirmati possano essere utilizzati su un sistema di sviluppo, test o pre - produzione, non utilizzarli su un sistema di produzione. Su un sistema di produzione, utilizzare i certificati ottenuti da una CA (certificate authority) esterna attendibile.
Procedura
- Creare i certificati firmatari.
- Per creare certificati autofirmati, utilizzare uno dei seguenti strumenti forniti con IBM MQ :
- Per ottenere i certificati per il gestore code e i client da una CA (Certificate Authority), seguire le istruzioni in Ottenimento di certificati personali da un'autorità di certificazione.
- Configurare il server.
- Configurare SSL sul gestore code, utilizzando IBM Global Security Kit (GSKit), come descritto in Connessione sicura di un client a un gestore code.
- Impostare gli attributi SSL del canale SVRCONN:
- Configurare il lato client.
- Importare i certificati client nell'archivio certificati Windows (nell'account Utente / Computer).
IBM MQ .NET accede ai certificati client dall'archivio certificati
Windows , pertanto è necessario importare i propri certificati nell'archivio certificati
Windows per stabilire una connessione socket sicura a
IBM MQ . Per ulteriori informazioni su come accedere al keystore
Windows e importare i certificati lato client, consultare
Importazione o esportazione di certificati e chiavi private.
- Fornire CertificateLabel come descritto in Connessione sicura di un client a un gestore code.
- Se necessario, modificare il Criterio di gruppo 'Windows per impostare il CipherSpec, quindi, affinché gli aggiornamenti del Criterio di gruppo 'Windows abbiano effetto, riavviare il computer.
- Configurare il programma applicativo.
- Impostare il valore MQEnvironment o SSLCipherSpec per indicare la connessione come una connessione protetta.
Il valore specificato viene utilizzato per identificare il protocollo SSL utilizzato (SSL o TLS) e deve corrispondere a qualsiasi preferenza specificata nel criterio di gruppo Windows .
- Impostare la proprietà SSLKeyRepository su
"*SYSTEM" o "*USER".
- Facoltativo: impostare SSLPEERNAME sul DN (distinguished name) del certificato del server.
- Fornire CertificateLabel come descritto in Connessione sicura di un client a un gestore code.
- Impostare eventuali altri parametri opzionali, come KeyResetCount, CertificationRevocationCheck, e enable FIPS.
Esempi di come impostare il protocollo SSL e il repository delle chiavi SSL
Per
.NETdi base, è possibile impostare il protocollo SSL e il repository delle chiavi SSL tramite la classe MQEnvironment come mostrato nel seguente esempio:
MQEnvironment.SSLCipherSpec = "TLS_RSA_WITH_AES_128_CBC_SHA256";
MQEnvironment.SSLKeyRepository = "*USER";
MQEnvironment.properties.Add(MQC.SSL_CIPHER_SPEC_PROPERTY, "TLS_RSA_WITH_AES_128_CBC_SHA256")
In alternativa, è possibile impostare il protocollo SSL e il repository di chiavi SSL fornendo una tabella hash come parte del costruttore MQQueueManager , come mostrato nel seguente esempio.
Hashtable properties = new Hashtable();
properties.Add(MQC.SSL_CERT_STORE_PROPERTY, sslKeyRepository);
properties.Add(MQC.SSL_CIPHER_SPEC_PROPERTY, "TLS_RSA_WITH_AES_128_CBC_SHA256")
Cosa fare successivamente
Per ulteriori informazioni relative allo sviluppo di applicazioni SSL gestite da IBM MQ .NET , consultareScrittura di un'applicazione semplice.