MFT 中的 FIPS 支持
Managed File Transfer 支持在从代理程序,命令和 IBM® MQ Explorer 到队列管理器的客户机连接中使用符合 FIPS 的密码术模块。 到队列管理器的所有 SSL 连接都仅使用 TLS 协议。 提供针对 JKS 和 PKCS#12 密钥库类型的支持。
注: 在 AIX®, Linux®, and Windows上, IBM MQ 通过 IBM Crypto for C (ICC) 加密模块提供 FIPS 140-$tag5 合规性。 此模块的证书已移至历史状态。 客户应查看 IBM Crypto for C (ICC) 证书 并了解 NIST 提供的任何建议。 当前正在进行 FIPS 140-$tag1 替换模块,可以通过在 流程列表中的 NIST CMVP 模块中搜索该模块来查看其状态。
指定您是否希望启用针对代理、协调队列管理器或命令队列管理器的 FIPS 支持,如下所示:
- 如果您要针对特定代理启用 FIPS,请在此代理的 agent.properties 文件内设置适当的 agentSsl 属性。 有关更多信息,请参阅 MFT的 SSL/TLS 属性。
- 如果您要针对特定协调队列管理器启用 FIPS,请在此协调队列管理器的 coordination.properties 文件内设置适当的 coordinationSsl 属性。 有关更多信息,请参阅 MFT的 SSL/TLS 属性。
- 如果您要针对特定命令队列管理器启用 FIPS,请在此命令队列管理器的 command.properties 文件内设置适当的 connectionSsl 属性。 有关更多信息,请参阅 MFT的 SSL/TLS 属性。
![[IBM i]](ngibmi.gif)
IBM i的 Managed File Transfer 上不支持 FIPS。
与协议网桥或 Connect:Direct® 网桥的连接不支持 FIPS。
有关 IBM MQ 和 FIPS 以及所需配置步骤的更多信息,请参阅 联邦信息处理标准 (FIPS)。
如果您要使用 FIPS,那么 CipherSuite 必须符合 FIPS,否则连接会失败。 有关 IBM MQ支持的 CipherSpecs 的更多信息,请参阅 Java 的 IBM MQ 类中的 SSL/TLS CipherSpecs 和 CipherSuites 和 针对 JMS 的 IBM MQ 类中的 SSL/TLS CipherSpecs 和 CipherSuites。