Usando Advanced Message Security com Managed File Transfer

Este cenário explica como configurar o Advanced Message Security para fornecer privacidade de mensagem para dados que estão sendo enviados por meio de um Managed File Transfer.

Antes de Começar

Assegure-se de ter o componente Advanced Message Security instalado na instalação do IBM® MQ que hospeda as filas usadas pelo Managed File Transfer que você deseja proteger.

Se seus agentes do Managed File Transfer estiverem se conectando no modo de ligação, assegure-se de que você também tenha o componente IBM Global Security Kit (GSKit) instalado em sua instalação local

Sobre esta tarefa

Quando a transferência de dados entre dois agentes Managed File Transfer é interrompida, possivelmente dados confidenciais podem permanecer desprotegidos nas filas do IBM MQ subjacentes usadas para gerenciar a transferência. Este cenário explica como configurar e usar o Advanced Message Security para proteger esses dados nas filas do Managed File Transfer

Neste cenário, consideramos uma topologia simples que compreende uma máquina com duas Managed File Transfer filas e dois agentes, AGENT1 e AGENT2, compartilhando um único gerenciador de filas, conforme descrito no cenário Managed File Transfer cenário. Ambos os agentes se conectam da mesma maneira, no modo de ligações ou no modo cliente.

1. Criando certificados

Antes de Começar

Este cenário usa um modelo simples em que um usuário ftagent em um grupo FTAGENTS é usado para executar os processos Managed File Transfer Agent . Se você estiver usando os seus próprios nomes do usuário e do grupo, mude os comandos de modo correspondente.

Sobre esta tarefa

O Advanced Message Security usa a criptografia de chave pública para assinar e / ou criptografar mensagens em filas protegidas
Nota:
  • Se os agentes Managed File Transfer estiverem sendo executados no modo de vinculação, os comandos usados para criar um repositório de chaves CMS (Cryptographic Message Syntax) estão detalhados no Guia de Início RápidoWindows ou AIX®) da sua plataforma.
  • Se seus agentes Managed File Transfer estiverem sendo executados no modo cliente, os comandos necessários para criar um JKS ( Java Keystore) estão detalhados no Guia de início rápido do AMS com clientes Java.

Procedimento

  1. Crie um certificado auto-assinado para identificar o usuário ftagent conforme detalhado no Guia de Iniciação Rápida apropriado.
    Use um Nome distinto (DN) conforme a seguir:
    CN=ftagent, OU=MFT, O=<organisation>, L=<location>, ST=<state>, C=<country>
  2. Crie um arquivo keystore.conf para identificar a localização do armazenamento de chaves e o certificado dentro dele conforme detalhado no Guia de Iniciação Rápida apropriado.

2. Configurando a proteção de mensagens

Sobre esta tarefa

É necessário definir uma política de segurança para a fila de dados usada pelo AGENT2 usando o comando setmqspl. Nesse cenário, o mesmo usuário é usado para iniciar ambos os agentes, e, portanto, o signatário e o destinatário DN são iguais e corresponderem ao certificado gerado.

Procedimento

  1. Encerrar os agentes Managed File Transfer em preparação para a proteção usando o comando fteStopAgent .
  2. Criar uma política de segurança para proteger a fila SYSTEM.FTE.DATA.AGENT2 .
    setmqspl -m hubQM -p SYSTEM.FTE.DATA.AGENT2 -s SHA1 -a "CN=ftagent, OU=MFT, O=<organisation>, L=<location>, ST=<state>, C=<country>"
-e AES128 -r "CN=ftagent, OU=MFT, O=<organisation>, L=<location>, ST=<state>, C=<country>"
  3. Assegure-se de que o usuário que está executando o processo Managed File Transfer Agent tenha acesso para procurar a fila de políticas do sistema e colocar mensagens na fila de erros.
    setmqaut -m hubQM -t queue -n SYSTEM.PROTECTION.POLICY.QUEUE -p ftagent +browse

    setmqaut -m hubQM -t queue -n SYSTEM.PROTECTION.ERROR.QUEUE -p ftagent +put
  4. Reinicie seus agentes Managed File Transfer usando o comando fteStartAgent .
  5. Confirme que seus agentes reiniciaram com sucesso usando o comando fteListAgents e verificando se os agentes estão em status READY .

Resultados

Você agora é capaz de enviar transferências do AGENT1 para AGENT2 e o conteúdo do arquivo será transmitido de forma segura entre os dois agentes.