Configurazione dei canali TLS con MQSC

Per configurare i canali TLS, utilizzare i comandi runmqsc e ALTER CHANNEL. È possibile, facoltativamente, configurare il canale in modo da accettare soltanto i certificati con gli attributi nel DN (Distinguished Name) del proprietario che corrispondono a tali valori. È inoltre possibile configurare, facoltativamente, un canale del gestore code in modo che quest'ultimo rifiuti la connessione se la parte impegnata nell'avvio non provvede all'invio del proprio certificato personale.

Informazioni su questa attività

Per configurare i canali in 'IBM® MQ Explorer, vedere Configurazione dei canali TLS con 'IBM MQ Explorer.

Per configurare i canali utilizzando runmqsc, completare la seguente procedura.

Procedura

  1. Richiamare il comando di runmqsc connessione al gestore code di destinazione.
  2. Identifica il canale che vuoi abilitare per TLS.
    Notare sia il nome che il tipo di canale.
  3. Utilizzare il comando ALTER CHANNEL per modificare le proprietà di un canale IBM MQ .
    Fornisci il nome e il tipo di canale oltre al comando. Ad esempio, per modificare un canale mittente denominato MQ.TEST eseguire il seguente comando:
    ALTER CHANNEL(‘MQ.TEST’) CHLTYPE(SDR)
    Ci sono vari attributi del canale correlati a TLS che puoi regolare sulle definizioni del canale IBM MQ .

Cosa fare successivamente

Impostazione della sicurezza dei messaggi

La messaggistica abilitata a TLS offre due metodi per garantire la sicurezza dei messaggi:
  • La crittografia garantisce che se il messaggio viene intercettato, questo non potrà essere letto.
  • La funzione hash garantisce il rilevamento di un'alterazione del messaggio.

La combinazione di questi due metodi è detta specifica della cifratura, o CipherSpec. I CipherSpecs compatibili devono essere impostati per entrambe le estremità di un canale, altrimenti la messaggistica abilitata a TLS fallisce. Per ulteriori informazioni, vedere Abilitazione di CipherSpecs.

Per modificare un canale IBM MQ abilitato a TLS, specificare un valore nell'attributo SSLCIPH Questo attributo deve essere impostato su un CipherSpec valido per la piattaforma di code del gestore di code dall'elenco CipherSpecs abilitazione.

Per modificare un canale IBM MQ per disabilitare il TLS, impostare SSLCIPH su un valore vuoto. Ad esempio:
ALTER CHANNEL('MQ.TEST') CHLTYPE(SDR) SSLCIPH(' ')
Nota: devi racchiudere il nome del canale tra virgolette singole per garantire che il carattere sia mantenuto. Senza virgolette singole, IBM MQ trasforma la stringa in maiuscolo.

Filtro dei certificati in base al nome del proprietario

I certificati contengono il nome distinto del proprietario del certificato. Se si desidera, è possibile configurare il canale in modo da accettare soltanto i certificati con gli attributi nel DN (Distinguished Name) del proprietario che ha tali valori.

I nomi di attributo che IBM MQ può filtrare sono elencati nella seguente tabella:
Nomi degli attributi Significato
SERIALNUMBER Numero di serie del certificato
MAIL Indirizzo email
[Obsoleto]E Indirizzo e-mail (obsoleto, preferenza:n MAIL)
UID o USERID Identificativo utente
CN Nome comune (Common Name)
T Titolo
OU Nome unità organizzativa
DC Componente dominio
O Nome organizzazione
STREET Via / Prima riga dell'indirizzo
L Nome località
ST (o SP o S) Nome stato o provincia
PC Codice postale
C Paese
UNSTRUCTUREDNAME Nome host
UNSTRUCTUREDADDRESS Indirizzo IP
DNQ Identificativo DN (Distinguished Name)
È possibile utilizzare il carattere jolly (*) all'inizio o alla fine del valore dell'attributo al posto di qualsiasi numero di caratteri. Ad esempio, per accettare solo i certificati da qualsiasi persona con un nome che termina conSmithlavorare perIBMinGB, tipo:
CN=*Smith, O=IBM, C=GB
Ad esempio:
ALTER CHANNEL(‘MQ.TEST’) CHLTYPE(SDR) SSLPEER(‘CN=*Smith, O=IBM, C=GB’)
Nota: è necessario racchiudere la stringa SSLPEER tra virgolette singole per garantire il mantenimento della distinzione dei caratteri. Senza virgolette singole, IBM MQ trasforma la stringa in tutte le maiuscole.

Parti di autenticazione che avviano le connessioni a un gestore code

Quando un'altra parte inizia una connessione abilitata a TLS a un gestore code, il gestore code deve inviare il proprio certificato personale alla parte iniziatrice come prova della propria identità. È inoltre possibile configurare, facoltativamente, il canale del gestore code in modo che quest'ultimo rifiuti la connessione se la parte impegnata nell'avvio non provvede all'invio del proprio certificato di identità personale.

A tal fine, impostare l'attributo SSLCAUTH. Questo attributo è un attributo booleano e può avere i valori OPZIONALE o OBBLIGATORIO:
  • OPZIONALE autentica il certificato di un client che si connette, se ne viene fornito uno, ma non richiede che il client ne invii uno. Un client viene rifiutato se invia un certificato non valido.
  • REQUIRED rifiuta qualsiasi client di connessione che non fornisca un certificato TLS valido
Ad esempio:
ALTER CHANNEL(‘MQ.TEST’) CHLTYPE(RCVR) SSLCAUTH(REQUIRED)