Angeben, dass nur FIPS-zertifizierte CipherSpecs während der Ausführung auf dem MQI-Client verwendet werden
Erstellen Sie Ihre Schlüsselrepositorys mit FIPS-konformer Software und geben Sie dann an, dass der Kanal FIPS-zertifizierte CipherSpecs verwenden muss.
Um zur Laufzeit FIPS-konform zu sein, müssen die Schlüsselrepositorys mit nur FIPS-konformer Software wie runmqakm mit der Option -fips erstellt und verwaltet worden sein.
- Setzen Sie das Feld FipsRequired in der MQSCO-Struktur auf MQSSL_FIPS_YES.
- Setzen Sie die Umgebungsvariable MQSSLFIPS auf YES.
- Setzen Sie das Attribut "SSLFipsRequired" in der Clientkonfigurationsdatei auf YES.
Diese Werte haben dieselbe Bedeutung wie die entsprechenden Parameterwerte in ALTER QMGR SSLFIPS (siehe ALTER QMGR ). Wenn der Clientprozess aktuell über keine aktiven SSL- oder TLS-Verbindungen verfügt und ein gültiger FipsRequired-Wert in einer SSL-MQCONNX-Verbindung angegeben ist, dürfen alle nachfolgenden SSL-Verbindungen, die diesem Prozess zugeordnet sind, nur die diesem Wert zugeordneten CipherSpecs verwenden. Dies gilt, bis diese und alle anderen SSL- oder TLS-Verbindungen gestoppt wurden, woraufhin eine nachfolgende MQCONNX-Verbindung einen neuen Wert für FipsRequired bereitstellen kann.
Wenn Verschlüsselungshardware vorhanden ist, können die Verschlüsselungsmodule, die von WebSphere® MQ verwendet werden, so konfiguriert werden, dass es sich um die Module handelt, die vom Hardwareprodukt bereitgestellt werden, und diese können bis zu einer bestimmten Stufe FIPS-zertifiziert sein. Die konfigurierbaren Module und die Angabe, ob sie FIPS-zertifiziert sind, ist abhängig vom verwendeten Hardwareprodukt.
Falls möglich, wenn FIPS-only CipherSpecs konfiguriert ist, weist der MQI-Client Verbindungen zurück, die eine Nicht-FIPS-CipherSpec-Spezifikation mit MQRC_SSL_INITIALIZATION_ERROR angeben. WebSphere MQ garantiert nicht, dass alle diese Verbindungen zurückgewiesen werden, und es liegt in Ihrer Verantwortung zu bestimmen, ob Ihre WebSphere MQ -Konfiguration FIPS-konform ist.