AIX, Linux, and Windows での SSL または TLS 通信のセットアップ

SSL または TLS 暗号セキュリティー・プロトコルを使用するセキュア通信では、通信チャネルをセットアップし、認証に使用するデジタル証明書を管理する必要があります。

SSL または TLS インストール環境をセットアップするには、SSL または TLS を使用するようにチャネルを定義する必要があります。また、デジタル証明書を作成し、管理することも必要です。 AIX®, Linux®, and Windows システムでは、自己署名証明書を使用してテストを実行できます。

重要: TLS 対応チャネルを使用して一緒に結合するキュー・マネージャーでは、楕円曲線署名証明書と RSA 署名証明書を組み合わせて使用することはできません。

TLS 対応チャネルを使用したキュー・マネージャーがすべて RSA の署名の付いた証明書を使用するか、すべて EC の署名の付いた証明書を使用するかのどちらかにしなければなりません。両方を混在させることはできません。

詳細については、「 IBM MQにおけるデジタル証明書CipherSpecと」を参照してください。

自己署名証明書は、取り消すことができません。したがって、アタッカーが秘密鍵を不正に取得してしまうと、身分を偽って勝手に操作を実行する、という事態が発生しかねません。一方、CA は、暗号の漏えいが発生した証明書を取り消して、その証明書がそれ以上使用される事態を防止できます。したがって、実稼働環境では、CA 署名証明書を使用するほうが安全です。一方テスト・システムでは、自己署名証明書を使用するほうが便利です。

証明書の作成と管理の詳細については、 AIX、Linux、およびWindowsでのSSL/TLSの使用を参照してください。

このトピック集では、SSL 通信のセットアップに関連したタスクをいくつか取り上げ、それらのタスクを実行するための段階的な手順を説明します。

また、プロトコルのオプション部分である SSL または TLS クライアント認証をテストすることもできます。 SSL または TLS ハンドシェーク中に、SSL または TLS クライアントは常にサーバーからデジタル証明書を取得し検証します。 IBM MQ 実装では、SSL または TLS サーバーは常にクライアントからの証明書を要求します。

AIX, Linux, and Windowsでは、SSL または TLS クライアントは、正しい IBM MQ 形式のラベルが付いた証明書がある場合にのみ、証明書を送信します。

キュー・マネージャーの場合は、ibmwebspheremq の後にキュー・マネージャーの名前を小文字に変換して追加した形式になります。例えば、QM1 の場合は、ibmwebspheremqqm1 です。
IBM MQ クライアントの場合、 ibmwebspheremq の後に、小文字に変換されたログオン・ユーザー ID が続きます (例: ibmwebspheremqmyuserid)。

IBM MQ は、他の製品の証明書との混同を避けるために、ラベルに ibmwebspheremq 接頭部を使用します。証明書ラベル全体を小文字で指定してください。

SSL または TLS サーバーは、クライアント証明書が送信される場合は、常にそのクライアント証明書を検証します。クライアントが証明書を送信しない場合に認証が失敗するのは、チャネルの SSL または TLS サーバー側の定義で、SSLCAUTH パラメーターが REQUIRED に設定されている場合、または SSLPEER パラメーター値が設定されている場合に限られます。詳しくは、 SSL または TLS を使用した 2 つのキュー・マネージャーの接続を参照してください。