[UNIX、Linux、Windows]

UNIX, Linux 或 上为 SSL 或 TLS 设置通信。 Windows

使用 SSL 或 TLS 加密安全协议的安全通信涉及设置通信通道和管理将用于认证的数字证书。

要设置 SSL 或 TLS 安装,必须定义通道以使用 SSL 或 TLS。 您还必须创建和管理数字证书。 在 UNIXLinux®Windows 系统上,可以使用自签名证书进行测试。
注意: 无法在要使用支持 TLS 的通道连接在一起的队列管理器上混合使用椭圆曲线签名证书和 RSA 签名证书。

使用启用 TLS 的通道的队列管理器必须全部使用 RSA 签名的证书,或者全部使用 EC 签名的证书,而不能同时使用这两种证书。

更多信息,请参阅 IBM MQ 中的数字证书和 CipherSpec 兼容性

无法撤销自签名证书,这可能允许攻击者在私钥被泄露后破坏身份。 CA 可以撤销已泄密的证书,这将阻止其进一步使用。 因此, CA 签署的证书在生产环境中使用更安全,尽管自签名证书对于测试系统更方便。

有关创建和管理证书的完整信息,请参阅在 UNIX、 Linux 和 Windows 上使用 SSL/TLS

此主题集合介绍了设置 SSL 通信所涉及的一些任务,并提供了有关完成这些任务的逐步指导。

您可能还想测试 SSL 或 TLS 客户端身份验证,这是协议的可选部分。 在 SSL 或 TLS 握手期间, SSL 或 TLS 客户机始终从服务器获取并验证数字证书。 通过 IBM MQ 实现, SSL 或 TLS 服务器始终向客户机请求证书。

UNIX, Linux, and Windows上,仅当 SSL 或 TLS 客户机具有以正确 IBM MQ 格式标注的证书时,才会发送该证书:
  • 对于队列管理器,格式为 ibmwebspheremq ,后跟队列管理器的名称更改为小写。 例如,对于 QM1ibmwebspheremqqm1
  • 对于 IBM MQ 客户机, ibmwebspheremq 后跟您的登录用户标识已更改为小写,例如 ibmwebspheremqmyuserid

IBM MQ 在标签上使用 ibmwebspheremq 前缀以避免与其他产品的证书混淆。 确保以小写形式指定整个证书标签。

SSL 或 TLS 服务器始终验证客户机证书 (如果发送了客户机证书)。 如果客户机未发送证书,那么仅当使用 SSLCAUTH 参数设置为 REQUIRED 或 SSLPEER 参数值来定义充当 SSL 或 TLS 服务器的通道结束时,认证才会失败。 有关更多信息,请参阅 使用 SSL 或 TLS 连接两个队列管理器