SSL CipherSpecs und Cipher-Suites in WebSphere MQ-Klassen für Java

Ob Anwendungen, die die IBM® WebSphere MQ Classes for Java™ verwenden, eine Verbindung zu einem Warteschlangenmanager herstellen können, hängt von der am Serverende des MQI-Kanals angegebenen CipherSpec und von der am Clientende angegebenen Cipher-Suite ab.

Ob eine Anwendung, die die IBM WebSphere MQ Classes for Java verwendet, eine Verbindung zu einem Warteschlangenmanager herstellen kann, hängt bei jeder Kombination von CipherSpec und Cipher-Suite vom Wert des Feldes 'sslFipsRequired' in der MQEnvironment-Klasse oder vom Wert der Umgebungseigenschaft CMQC.SSL_FIPS_REQUIRED_PROPERTY ab.

Am Serverende eines MQI-Kanals kann der Name einer CipherSpec als Wert des Parameters "SSLCIPH" in einem Befehl "DEFINE CHANNEL CHLTYPE(SVRCONN)" angegeben werden. Am Clientende eines MQI-Kanals kann eine Anwendung, die die IBM WebSphere MQ Classes for Java verwendet, das Feld 'sslCipherSuite' in der MQEnvironment-Klasse oder die Umgebungseigenschaft CMQC.SSL_CIPHER_SUITE_PROPERTY festlegen.

Anwendung für die Verwendung von IBM Java- oder Oracle Java-Cipher-Suite-Zuordnungen konfigurieren

Ab IBM WebSphere MQ Version 7.5.0, Fixpack 5 können Sie vorgeben, ob Ihre Anwendung die standardmäßigen IBM Java-Cipher-Suite/WebSphere MQ-CipherSpec-Zuordnungen oder die Oracle-Cipher-Suite/WebSphere MQ-CipherSpec-Zuordnungen verwendet. Daher können Sie TLS-Cipher-Suites unabhängig davon verwenden, ob Ihre Anwendung eine IBM-JRE oder eine Oracle-JRE verwendet. Die Java-Systemeigenschaft com.ibm.mq.cfg.useIBMCipherMappings gibt vor, welche Zuordnungen verwendet werden. Für diese Eigenschaft sind folgende Werte möglich:
true
Die IBM Java-Cipher-Suite/WebSphere MQ-CipherSpec-Zuordnungen werden verwendet.
Dieser Wert ist der Standardwert.
false
Die Oracle-Cipher-Suite/WebSphere MQ-CipherSpec-Zuordnungen werden verwendet.

In der folgenden Tabelle sind die von IBM WebSphere MQ unterstützten CipherSpecs und die entsprechenden Cipher-Suites aufgeführt. In der Tabelle ist auch angegeben, ob eine Anwendung, die die IBM WebSphere MQ Classes for Java verwendet, eine Verbindung zu einem Warteschlangenmanager herstellen kann, wenn am Serverende des MQI-Kanals eine CipherSpec angegeben ist und am Clientende die entsprechende Cipher-Suite angegeben ist.

Tabelle 1. Von WebSphere MQ unterstützte CipherSpecs und die entsprechenden Cipher-Suites
CipherSpec Äquivalente Cipher-Suite (IBM JRE) Äquivalente Cipher-Suite (Oracle-JRE) Verbindung möglich, wenn SFIPS1 auf YES gesetzt ist?
NULL_MD5 SSL_RSA_WITH_NULL_MD5 SSL_RSA_WITH_NULL_MD5 Nein
NULL_SHA SSL_RSA_WITH_NULL_SHA SSL_RSA_WITH_NULL_SHA Nein
RC4_MD5_EXPORT SSL_RSA_EXPORT_WITH_RC4_40_MD5   Nein
RC4_MD5_US SSL_RSA_WITH_RC4_128_MD5 SSL_RSA_WITH_RC4_128_MD5 Nein
RC4_SHA_US SSL_RSA_WITH_RC4_128_SHA   Nein
RC2_MD5_EXPORT SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 SSL_RSA_EXPORT_WITH_RC4_40_MD5 Nein
DES_SHA_EXPORT SSL_RSA_WITH_DES_CBC_SHA   Nein
RC4_56_SHA_EXPORT1024 SSL_RSA_EXPORT1024_WITH_RC4_56_SHA   Nein
DES_SHA_EXPORT1024 SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA   Nein
TRIPLE_DES_SHA_US SSL_RSA_WITH_3DES_EDE_CBC_SHA   Nein
TLS_RSA_WITH_NULL_SHA256 SSL_RSA_WITH_NULL_SHA256 TLS_RSA_WITH_NULL_SHA256 Nein7
TLS_RSA_WITH_AES_128_CBC_SHA SSL_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA Ja5 7
TLS_RSA_WITH_AES_128_CBC_SHA256 SSL_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 Ja5 7
TLS_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA Ja5 7
TLS_RSA_WITH_AES_256_CBC_SHA256 SSL_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 Ja5 7
AES_SHA_US 2      
TLS_RSA_WITH_DES_CBC_SHA8 SSL_RSA_WITH_DES_CBC_SHA SSL_RSA_WITH_DES_CBC_SHA Nein 3
TLS_RSA_WITH_3DES_EDE_CBC_SHA8 9 SSL_RSA_WITH_3DES_EDE_CBC_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA Ja
FIPS_WITH_DES_CBC_SHA SSL_RSA_FIPS_WITH_DES_CBC_SHA   Nein4
FIPS_WITH_3DES_EDE_CBC_SHA SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA   Nein6
Hinweise:
  1. Geben Sie in einer Anwendung, die die IBM WebSphere MQ Classes for Java verwendet, an, dass nur FIPS-zertifizierte Algorithmen verwendet werden sollen, indem Sie für das Feld 'sslFipsRequired' in der MQEnvironment-Klasse true festlegen. Geben Sie an, dass auch nicht FIPS-zertifizierte Algorithmen verwendet werden können, indem Sie für das Feld 'sslFipsRequired' false festlegen. Alternativ können Sie die Umgebungseigenschaft CMQC.SSL_FIPS_REQUIRED_PROPERTY festlegen.
  2. Für diese CipherSpec ist keine funktional entsprechende Cipher-Suite vorhanden.
  3. Diese CipherSpec wurde vor dem 19.05.2007 FIPS 140-2-zertifiziert.
  4. Diese CipherSpec wurde vor dem 19.05.2007 FIPS 140-2-zertifiziert. Der Name FIPS_WITH_DES_CBC_SHA ist historisch und gibt die Tatsache wieder, dass diese Verschlüsselungsspezifikation (CipherSpec) zuvor mit FIPS konform war. Dies ist jedoch nicht mehr der Fall. Diese CipherSpec ist veraltet. Von ihrer Verwendung wird abgeraten.
  5. Diese CipherSpecs (TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256) können nicht verwendet werden, um eine Verbindung zwischen WebSphere MQ Explorer und einem Warteschlangenmanager zu schützen, es sei denn, für die von Explorer verwendete JRE gelten die entsprechenden uneingeschränkten Richtliniendateien.

    Weitere Informationen zu Richtliniendateien finden Sie unter Sicherheitsinformationen.

  6. Der Name FIPS_WITH_3DES_EDE_CBC_SHA ist historisch und gibt die Tatsache wieder, dass diese CipherSpec zuvor FIPS-konform war. Dies ist jedoch nicht mehr der Fall. Diese CipherSpec ist veraltet. Von ihrer Verwendung wird abgeraten.
  7. Für diese CipherSpecs (TLS_RSA_WITH_NULL_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256) ist IBM JREs 6.0 SR13 FP2, 7.0 SR4 FP2 oder höher erforderlich.
  8. Für diese CipherSpecs (TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_DES_CBC_SHA, TLS_RSA_WITH_RC4_128_SHA256) kann SSLv3 oder TLS verwendet werden. Wenn FIPS nicht aktiviert ist, wird standardmäßig SSLv3 verwendet. Wenn TLS verwendet werden soll, muss die Java-Systemeigenschaft com.ibm.mq.cfg.preferTLS auf true gesetzt werden.
  9. Die CipherSpec TLS_RSA_WITH_3DES_EDE_CBC_SHA wird nicht weiter unterstützt. Sie kann jedoch immer noch für die Übertragung von Daten bis zu 32 GB verwendet werden, bevor die Verbindung mit Fehler AMQ9288 beendet wird. Dieser Fehler kann vermieden werden, indem Sie kein Triple-DES verwenden oder bei Verwendung dieser CipherSpec das Zurücksetzen des geheimen Schlüssels aktivieren.

Referenz Referenz

Feedback

Timestamp icon Letzte Aktualisierung: 30. Oktober 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_7.5.0/com.ibm.mq.dev.doc/com.ibm.mq.dev.doc/q031290_.htm ja34740_