SSL CipherSpecs und Cipher-Suites in WebSphere MQ-Klassen für Java
Ob Anwendungen, die die IBM® WebSphere MQ Classes for Java™ verwenden, eine Verbindung zu einem Warteschlangenmanager herstellen können, hängt von der am Serverende des MQI-Kanals angegebenen CipherSpec und von der am Clientende angegebenen Cipher-Suite ab.
Ob eine Anwendung, die die IBM WebSphere MQ Classes for Java verwendet, eine Verbindung zu einem Warteschlangenmanager herstellen kann, hängt bei jeder Kombination von CipherSpec und Cipher-Suite vom Wert des Feldes 'sslFipsRequired' in der MQEnvironment-Klasse oder vom Wert der Umgebungseigenschaft CMQC.SSL_FIPS_REQUIRED_PROPERTY ab.
Am Serverende eines MQI-Kanals kann der Name einer CipherSpec als Wert des Parameters "SSLCIPH" in einem Befehl "DEFINE CHANNEL CHLTYPE(SVRCONN)" angegeben werden. Am Clientende eines MQI-Kanals kann eine Anwendung, die die IBM WebSphere MQ Classes for Java verwendet, das Feld 'sslCipherSuite' in der MQEnvironment-Klasse oder die Umgebungseigenschaft CMQC.SSL_CIPHER_SUITE_PROPERTY festlegen.
Anwendung für die Verwendung von IBM Java- oder Oracle Java-Cipher-Suite-Zuordnungen konfigurieren
- true
- Die IBM Java-Cipher-Suite/WebSphere MQ-CipherSpec-Zuordnungen werden verwendet.
- Dieser Wert ist der Standardwert.
- false
- Die Oracle-Cipher-Suite/WebSphere MQ-CipherSpec-Zuordnungen werden verwendet.
In der folgenden Tabelle sind die von IBM WebSphere MQ unterstützten CipherSpecs und die entsprechenden Cipher-Suites aufgeführt. In der Tabelle ist auch angegeben, ob eine Anwendung, die die IBM WebSphere MQ Classes for Java verwendet, eine Verbindung zu einem Warteschlangenmanager herstellen kann, wenn am Serverende des MQI-Kanals eine CipherSpec angegeben ist und am Clientende die entsprechende Cipher-Suite angegeben ist.
CipherSpec | Äquivalente Cipher-Suite (IBM JRE) | Äquivalente Cipher-Suite (Oracle-JRE) | Verbindung möglich, wenn SFIPS1 auf YES gesetzt ist? |
---|---|---|---|
NULL_MD5 | SSL_RSA_WITH_NULL_MD5 | SSL_RSA_WITH_NULL_MD5 | Nein |
NULL_SHA | SSL_RSA_WITH_NULL_SHA | SSL_RSA_WITH_NULL_SHA | Nein |
RC4_MD5_EXPORT | SSL_RSA_EXPORT_WITH_RC4_40_MD5 | Nein | |
RC4_MD5_US | SSL_RSA_WITH_RC4_128_MD5 | SSL_RSA_WITH_RC4_128_MD5 | Nein |
RC4_SHA_US | SSL_RSA_WITH_RC4_128_SHA | Nein | |
RC2_MD5_EXPORT | SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 | SSL_RSA_EXPORT_WITH_RC4_40_MD5 | Nein |
DES_SHA_EXPORT | SSL_RSA_WITH_DES_CBC_SHA | Nein | |
RC4_56_SHA_EXPORT1024 | SSL_RSA_EXPORT1024_WITH_RC4_56_SHA | Nein | |
DES_SHA_EXPORT1024 | SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA | Nein | |
TRIPLE_DES_SHA_US | SSL_RSA_WITH_3DES_EDE_CBC_SHA | Nein | |
TLS_RSA_WITH_NULL_SHA256 | SSL_RSA_WITH_NULL_SHA256 | TLS_RSA_WITH_NULL_SHA256 | Nein7 |
TLS_RSA_WITH_AES_128_CBC_SHA | SSL_RSA_WITH_AES_128_CBC_SHA | TLS_RSA_WITH_AES_128_CBC_SHA | Ja5 7 |
TLS_RSA_WITH_AES_128_CBC_SHA256 | SSL_RSA_WITH_AES_128_CBC_SHA256 | TLS_RSA_WITH_AES_128_CBC_SHA256 | Ja5 7 |
TLS_RSA_WITH_AES_256_CBC_SHA | SSL_RSA_WITH_AES_256_CBC_SHA | TLS_RSA_WITH_AES_256_CBC_SHA | Ja5 7 |
TLS_RSA_WITH_AES_256_CBC_SHA256 | SSL_RSA_WITH_AES_256_CBC_SHA256 | TLS_RSA_WITH_AES_256_CBC_SHA256 | Ja5 7 |
AES_SHA_US 2 | |||
TLS_RSA_WITH_DES_CBC_SHA8 | SSL_RSA_WITH_DES_CBC_SHA | SSL_RSA_WITH_DES_CBC_SHA | Nein 3 |
TLS_RSA_WITH_3DES_EDE_CBC_SHA8 9 | SSL_RSA_WITH_3DES_EDE_CBC_SHA | SSL_RSA_WITH_3DES_EDE_CBC_SHA | Ja |
FIPS_WITH_DES_CBC_SHA | SSL_RSA_FIPS_WITH_DES_CBC_SHA | Nein4 | |
FIPS_WITH_3DES_EDE_CBC_SHA | SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA | Nein6 |
- Geben Sie in einer Anwendung, die die IBM WebSphere MQ Classes for Java verwendet, an, dass nur FIPS-zertifizierte Algorithmen verwendet werden sollen, indem Sie für das Feld 'sslFipsRequired' in der MQEnvironment-Klasse true festlegen. Geben Sie an, dass auch nicht FIPS-zertifizierte Algorithmen verwendet werden können, indem Sie für das Feld 'sslFipsRequired' false festlegen. Alternativ können Sie die Umgebungseigenschaft CMQC.SSL_FIPS_REQUIRED_PROPERTY festlegen.
- Für diese CipherSpec ist keine funktional entsprechende Cipher-Suite vorhanden.
- Diese CipherSpec wurde vor dem 19.05.2007 FIPS 140-2-zertifiziert.
- Diese CipherSpec wurde vor dem 19.05.2007 FIPS 140-2-zertifiziert. Der Name FIPS_WITH_DES_CBC_SHA ist historisch und gibt die Tatsache wieder, dass diese Verschlüsselungsspezifikation (CipherSpec) zuvor mit FIPS konform war. Dies ist jedoch nicht mehr der Fall. Diese CipherSpec ist veraltet. Von ihrer Verwendung wird abgeraten.
- Diese CipherSpecs (TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256)
können nicht verwendet werden, um eine Verbindung zwischen WebSphere MQ Explorer und einem Warteschlangenmanager zu schützen, es sei denn, für die von Explorer verwendete JRE gelten die entsprechenden uneingeschränkten Richtliniendateien.
Weitere Informationen zu Richtliniendateien finden Sie unter Sicherheitsinformationen.
- Der Name FIPS_WITH_3DES_EDE_CBC_SHA ist historisch und gibt die Tatsache wieder, dass diese CipherSpec zuvor FIPS-konform war. Dies ist jedoch nicht mehr der Fall. Diese CipherSpec ist veraltet. Von ihrer Verwendung wird abgeraten.
- Für diese CipherSpecs (TLS_RSA_WITH_NULL_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256) ist IBM JREs 6.0 SR13 FP2, 7.0 SR4 FP2 oder höher erforderlich.
- Für diese CipherSpecs (TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_DES_CBC_SHA, TLS_RSA_WITH_RC4_128_SHA256) kann SSLv3 oder TLS verwendet werden. Wenn FIPS nicht aktiviert ist, wird standardmäßig SSLv3 verwendet. Wenn TLS verwendet werden soll, muss die Java-Systemeigenschaft com.ibm.mq.cfg.preferTLS auf true gesetzt werden.
- Die CipherSpec TLS_RSA_WITH_3DES_EDE_CBC_SHA wird nicht weiter unterstützt. Sie kann jedoch immer noch für die Übertragung von Daten bis zu 32 GB verwendet werden, bevor die Verbindung mit Fehler AMQ9288 beendet wird. Dieser Fehler kann vermieden werden, indem Sie kein Triple-DES verwenden oder bei Verwendung dieser CipherSpec das Zurücksetzen des geheimen Schlüssels aktivieren.