JMS 对象的 TLS 属性

使用 SSLCIPHERSUITE 属性启用传输层安全性 (TLS) 加密。然后，您可以使用其他几个属性来更改 TLS 加密的特征。

当您指定了传输 (CLIENT) 时，可以使用 SSLCIPHERSUITE 属性来启用 TLS 加密通信。将此属性设置为 JSSE 提供程序提供的有效 CipherSuite ; 它必须与 CHANNEL 属性指定的 SVRCONN 通道上的 CipherSpec 匹配。

但是， CipherSpecs (在 SVRCONN 通道上指定) 和 CipherSuites (在 ConnectionFactory 对象上指定) 使用不同的命名方案来表示相同的 TLS 加密算法。如果在 SSLCIPHERSUITE 属性上指定了可识别的 CipherSpec 名称，那么 JMSAdmin 将发出警告并将 CipherSpec 映射到其等效的 CipherSuite。请参阅 IBM® MQ classes for JMS 中的 TLS CipherSpecs 和 CipherSuites ，以获取 IBM MQ 和 JMSAdmin 识别的 CipherSpecs 列表。

如果需要连接以使用 IBM Java JSSE FIPS 提供程序 (IBMJSSEFIPS) 支持的 CipherSuite ，请将连接工厂的 SSLFIPSREQUIRED 属性设置为 YES。此属性的缺省值为 NO ，这意味着连接可以使用任何受支持的 CipherSuite。如果未设置 SSLCIPHERSUITE ，那么将忽略该属性。

SSLPEERNAME 与 SSLPEER 参数的格式相匹配，可以在通道定义上设置此格式。它是由逗号或分号分隔的属性名称/值对的列表。例如：

SSLPEERNAME(CN=QMGR.*, OU=IBM, OU=WEBSPHERE)

名称和值集构成 专有名称。有关专有名称及其与 IBM MQ配合使用的更多详细信息，请参阅保护 IBM MQ。

给定的示例检查服务器在连接时提供的标识证书。要使连接成功，证书必须具有以 QMGR. 开头的公共名称。并且必须至少具有两个组织单元名称，其中第一个是 IBM ，第二个是 WEBSPHERE。检查不区分大小写。

如果未设置 SSLPEERNAME ，那么不会执行此类检查。如果未设置 SSLCIPHERSUITE ，那么将忽略 SSLPEERNAME。

SSLCRL 属性指定零个或多个 CRL (证书撤销列表) 服务器。使用此属性需要 JVM 位于 Java 2 v1.4。这是格式为以下的条目的空格分隔列表:

ldap:// hostname:[ port ]

(可选) 后跟单个/。如果省略 port ，那么将采用缺省 LDAP 端口 389。在连接时，将针对指定的 CRL 服务器检查服务器提供的 TLS 证书。有关 CRL 安全性的更多信息，请参阅保护 IBM MQ 。

如果未设置 SSLCRL ，那么不会执行此类检查。如果未设置 SSLCIPHERSUITE ，那么将忽略 SSLCRL。

SSLRESETCOUNT 属性表示在重新协商用于加密的密钥之前，连接发送和接收的总字节数。发送的字节数是加密之前的字节数，接收的字节数是解密之后的字节数。字节数还包括 IBM MQ classes for JMS发送和接收的控制信息。

例如，要使用在流动的数据达到 4 MB 后重新协商的密钥配置 ConnectionFactory 对象（可用于创建通过启用 TLS 的 MQI 通道的连接），请向 JMSAdmin 发出以下命令：

ALTER CF(my.cf) SSLRESETCOUNT(4194304)

如果 SSLRESETCOUNT 的值为零 (缺省值) ，那么永远不会重新协商密钥。如果未设置 SSLCIPHERSUITE ，那么将忽略 SSLRESETCOUNT 属性。