SSL CipherSpecs und Cipher-Suites in JMS

Von WebSphere MQ unterstützte CipherSpecs und die entsprechenden Cipher-Suites.

In Tabelle 1 sind die von WebSphere MQ unterstützten CipherSpecs und die entsprechenden Cipher-Suites aufgeführt. Wenn die ConnectionFactory-Eigenschaft SSLFIPSREQUIRED auf den Wert NO gesetzt ist, kann eine Anwendung, die die WebSphere MQ-Klassen für JMS verwendet, eine Verbindung zu einem Warteschlangenmanager herstellen, wenn eine unterstützte CipherSpec am Serverende des MQI-Kanals und die funktional entsprechende Cipher-Suite am Clientende angegeben ist. Wenn SSLFIPSREQUIRED auf YES gesetzt ist, bestimmt die Kombination aus CipherSpec und Cipher-Suite, ob die Anwendung eine Verbindung zum Warteschlangenmanager herstellen kann.

Am Serverende eines MQI-Kanals kann der Name einer CipherSpec als Wert des Parameters "SSLCIPH" in einem Befehl "DEFINE CHANNEL CHLTYPE(SVRCONN)" angegeben werden. Am Clientende eines MQI-Kanals kann der Name einer Cipher-Suite wie folgt angegeben werden:
  • Eine Anwendung kann die Methode setSSLCipherSuite() eines ConnectionFactory-Objekts aufrufen.
  • Mit dem WebSphere MQ-JMS-Verwaltungstool können Sie die Eigenschaft SSLCIPHERSUITE eines ConnectionFactory-Objekts festlegen.
Tabelle 1. Von WebSphere MQ unterstützte CipherSpecs und die entsprechenden Cipher-Suites
CipherSpec Entsprechende Cipher-Suite Verbindung möglich, wenn SFIPS 1 auf YES gesetzt ist?
NULL_MD5 SSL_RSA_WITH_NULL_MD5 Nein
NULL_SHA SSL_RSA_WITH_NULL_SHA Nein
RC4_MD5_EXPORT SSL_RSA_EXPORT_WITH_RC4_40_MD5 Nein
RC4_MD5_US SSL_RSA_WITH_RC4_128_MD5 Nein
RC4_SHA_US SSL_RSA_WITH_RC4_128_SHA Nein
RC2_MD5_EXPORT SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 Nein
DES_SHA_EXPORT SSL_RSA_WITH_DES_CBC_SHA Nein
RC4_56_SHA_EXPORT1024 SSL_RSA_EXPORT1024_WITH_RC4_56_SHA Nein
DES_SHA_EXPORT1024 SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA Nein
TRIPLE_DES_SHA_US SSL_RSA_WITH_3DES_EDE_CBC_SHA Nein
TLS_RSA_WITH_NULL_SHA256 SSL_RSA_WITH_NULL_SHA256 Nein 7
TLS_RSA_WITH_AES_128_CBC_SHA SSL_RSA_WITH_AES_128_CBC_SHA Ja 5 7
TLS_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_AES_256_CBC_SHA Ja 5 7
TLS_RSA_WITH_AES_256_CBC_SHA256 SSL_RSA_WITH_AES_256_CBC_SHA256 Ja5 7
AES_SHA_US 2    
TLS_RSA_WITH_DES_CBC_SHA8 9 SSL_RSA_WITH_DES_CBC_SHA Nein 3
TLS_RSA_WITH_3DES_EDE_CBC_SHA8 SSL_RSA_WITH_3DES_EDE_CBC_SHA Ja
FIPS_WITH_DES_CBC_SHA SSL_RSA_FIPS_WITH_DES_CBC_SHA Nein4
FIPS_WITH_3DES_EDE_CBC_SHA SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA Nein6
Hinweise:
  1. Wenn das WebSphere MQ-JMS-Verwaltungstool verwendet wird, ist SFIPS der Kurzname der ConnectionFactory-Eigenschaft SSLFIPSREQUIRED.
  2. Für diese CipherSpec ist keine funktional entsprechende Cipher-Suite vorhanden.
  3. Diese CipherSpec wurde vor dem 19. Mai 2007 nach FIPS 140-2 zertifiziert.
  4. Diese CipherSpec wurde vor dem 19. Mai 2007 nach FIPS 140-2 zertifiziert. Der Name FIPS_WITH_DES_CBC_SHA ist historisch und gibt die Tatsache wieder, dass diese Verschlüsselungsspezifikation (CipherSpec) zuvor mit FIPS konform war. Dies ist jedoch nicht mehr der Fall. Diese CipherSpec ist veraltet. Von ihrer Verwendung wird abgeraten.
  5. Verbindungen zwischen WebSphere MQ Explorer und einem Warteschlangenmanager können mit diesen CipherSpecs (TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256) nur gesichert werden, wenn für die von WebSphere MQ Explorer verwendete JRE die uneingeschränkten Richtliniendateien verwendet werden.

    Weitere Informationen zu Richtliniendateien finden Sie in den Sicherheitsinformationen.

  6. Der Name FIPS_WITH_3DES_EDE_CBC_SHA ist historisch und gibt die Tatsache wieder, dass diese Verschlüsselungsspezifikation (CipherSpec) zuvor mit FIPS konform war. Dies ist jedoch nicht mehr der Fall. Diese CipherSpec ist veraltet. Von ihrer Verwendung wird abgeraten.
  7. Für diese CipherSpecs (TLS_RSA_WITH_NULL_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256) sind die IBM JREs 6.0 SR13 FP2, 7.0 SR4 FP2 oder höher erforderlich.
  8. Für diese CipherSpecs (TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_DES_CBC_SHA, TLS_RSA_WITH_RC4_128_SHA256) kann SSLv3 oder TLS verwendet werden. Wenn FIPS nicht aktiviert ist, wird standardmäßig SSLv3 verwendet. Wenn TLS verwendet werden soll, muss die Java-Systemeigenschaft com.ibm.mq.cfg.preferTLS auf true gesetzt werden.
  9. Die CipherSpec TLS_RSA_WITH_3DES_EDE_CBC_SHA wird nicht weiter unterstützt. Sie kann jedoch immer noch für die Übertragung von Daten bis zu 32 GB verwendet werden, bevor die Verbindung mit Fehler AMQ9288 beendet wird. Dieser Fehler kann vermieden werden, indem Sie kein Triple-DES verwenden oder bei Verwendung dieser CipherSpec das Zurücksetzen des geheimen Schlüssels aktivieren.
Übergeordnetes Thema: Secure Sockets Layer (SSL) mit WebSphere MQ Classes for JMS verwenden
Zugehörige Informationen:
Angeben, dass nur FIPS-zertifizierte CipherSpecs während der Ausführung auf dem MQI-Client verwendet werden
Federal Information Processing Standards (FIPS) für UNIX, Linux und Windows

Referenz Referenz
Feedback

Timestamp icon Letzte Aktualisierung: 30. Oktober 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_7.5.0/com.ibm.mq.dev.doc/com.ibm.mq.dev.doc/q032470_.htm jm34740_