SSL CipherSpecs und Cipher-Suites in JMS
Von WebSphere MQ unterstützte CipherSpecs und die entsprechenden Cipher-Suites.
In Tabelle 1 sind die von WebSphere MQ unterstützten CipherSpecs und die entsprechenden Cipher-Suites aufgeführt. Wenn die ConnectionFactory-Eigenschaft SSLFIPSREQUIRED auf den Wert NO gesetzt ist, kann eine Anwendung, die die WebSphere MQ-Klassen für JMS verwendet, eine Verbindung zu einem Warteschlangenmanager herstellen, wenn eine unterstützte CipherSpec am Serverende des MQI-Kanals und die funktional entsprechende Cipher-Suite am Clientende angegeben ist. Wenn SSLFIPSREQUIRED auf YES gesetzt ist, bestimmt die Kombination aus CipherSpec und Cipher-Suite, ob die Anwendung eine Verbindung zum Warteschlangenmanager herstellen kann.
- Eine Anwendung kann die Methode setSSLCipherSuite() eines ConnectionFactory-Objekts aufrufen.
- Mit dem WebSphere MQ-JMS-Verwaltungstool können Sie die Eigenschaft SSLCIPHERSUITE eines ConnectionFactory-Objekts festlegen.
CipherSpec | Entsprechende Cipher-Suite | Verbindung möglich, wenn SFIPS 1 auf YES gesetzt ist? |
---|---|---|
NULL_MD5 | SSL_RSA_WITH_NULL_MD5 | Nein |
NULL_SHA | SSL_RSA_WITH_NULL_SHA | Nein |
RC4_MD5_EXPORT | SSL_RSA_EXPORT_WITH_RC4_40_MD5 | Nein |
RC4_MD5_US | SSL_RSA_WITH_RC4_128_MD5 | Nein |
RC4_SHA_US | SSL_RSA_WITH_RC4_128_SHA | Nein |
RC2_MD5_EXPORT | SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 | Nein |
DES_SHA_EXPORT | SSL_RSA_WITH_DES_CBC_SHA | Nein |
RC4_56_SHA_EXPORT1024 | SSL_RSA_EXPORT1024_WITH_RC4_56_SHA | Nein |
DES_SHA_EXPORT1024 | SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA | Nein |
TRIPLE_DES_SHA_US | SSL_RSA_WITH_3DES_EDE_CBC_SHA | Nein |
TLS_RSA_WITH_NULL_SHA256 | SSL_RSA_WITH_NULL_SHA256 | Nein 7 |
TLS_RSA_WITH_AES_128_CBC_SHA | SSL_RSA_WITH_AES_128_CBC_SHA | Ja 5 7 |
TLS_RSA_WITH_AES_256_CBC_SHA | SSL_RSA_WITH_AES_256_CBC_SHA | Ja 5 7 |
TLS_RSA_WITH_AES_256_CBC_SHA256 | SSL_RSA_WITH_AES_256_CBC_SHA256 | Ja5 7 |
AES_SHA_US 2 | ||
TLS_RSA_WITH_DES_CBC_SHA8 9 | SSL_RSA_WITH_DES_CBC_SHA | Nein 3 |
TLS_RSA_WITH_3DES_EDE_CBC_SHA8 | SSL_RSA_WITH_3DES_EDE_CBC_SHA | Ja |
FIPS_WITH_DES_CBC_SHA | SSL_RSA_FIPS_WITH_DES_CBC_SHA | Nein4 |
FIPS_WITH_3DES_EDE_CBC_SHA | SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA | Nein6 |
- Wenn das WebSphere MQ-JMS-Verwaltungstool verwendet wird, ist SFIPS der Kurzname der ConnectionFactory-Eigenschaft SSLFIPSREQUIRED.
- Für diese CipherSpec ist keine funktional entsprechende Cipher-Suite vorhanden.
- Diese CipherSpec wurde vor dem 19. Mai 2007 nach FIPS 140-2 zertifiziert.
- Diese CipherSpec wurde vor dem 19. Mai 2007 nach FIPS 140-2 zertifiziert. Der Name FIPS_WITH_DES_CBC_SHA ist historisch und gibt die Tatsache wieder, dass diese Verschlüsselungsspezifikation (CipherSpec) zuvor mit FIPS konform war. Dies ist jedoch nicht mehr der Fall. Diese CipherSpec ist veraltet. Von ihrer Verwendung wird abgeraten.
- Verbindungen zwischen WebSphere MQ Explorer und einem Warteschlangenmanager können mit diesen CipherSpecs (TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256) nur gesichert werden, wenn für die von WebSphere MQ Explorer verwendete JRE die uneingeschränkten Richtliniendateien verwendet werden.
Weitere Informationen zu Richtliniendateien finden Sie in den Sicherheitsinformationen.
- Der Name FIPS_WITH_3DES_EDE_CBC_SHA ist historisch und gibt die Tatsache wieder, dass diese Verschlüsselungsspezifikation (CipherSpec) zuvor mit FIPS konform war. Dies ist jedoch nicht mehr der Fall. Diese CipherSpec ist veraltet. Von ihrer Verwendung wird abgeraten.
- Für diese CipherSpecs (TLS_RSA_WITH_NULL_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256) sind die IBM JREs 6.0 SR13 FP2, 7.0 SR4 FP2 oder höher erforderlich.
- Für diese CipherSpecs (TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_DES_CBC_SHA, TLS_RSA_WITH_RC4_128_SHA256) kann SSLv3 oder TLS verwendet werden. Wenn FIPS nicht aktiviert ist, wird standardmäßig SSLv3 verwendet. Wenn TLS verwendet werden soll, muss die Java-Systemeigenschaft com.ibm.mq.cfg.preferTLS auf true gesetzt werden.
- Die CipherSpec TLS_RSA_WITH_3DES_EDE_CBC_SHA wird nicht weiter unterstützt. Sie kann jedoch immer noch für die Übertragung von Daten bis zu 32 GB verwendet werden, bevor die Verbindung mit Fehler AMQ9288 beendet wird. Dieser Fehler kann vermieden werden, indem Sie kein Triple-DES verwenden oder bei Verwendung dieser CipherSpec das Zurücksetzen des geheimen Schlüssels aktivieren.