Компания IBM
Опубликован: 14.12.2004 | Доступ: свободный | Студентов: 1529 / 139 | Оценка: 4.36 / 3.98 | Длительность: 16:32:00
ISBN: 978-5-9556-0031-4
Специальности: Системный архитектор
Лекция 14:

Обеспечение безопасности WebSphere MQ

Методика работы WebSphere MQ с SSL

SSL (Secure Sockets Layer - "слой защищенных сокетов") был первоначально создан компанией Netscape, чтобы обеспечить поверх обычного протокола HTTP дополнительный защищенный "слой". Этот дополнительный слой позволяет идентифицировать стороны на основе сертификатов, осуществлять шифрование передаваемых данных и подтверждать то, что информация в процессе передачи не искажалась. В настоящее время SSL стал стандартом защиты данных, передаваемых по сетям общего пользования. SSL протокол применяет две различные схемы шифрования: асимметричную и симметричную.

Принцип работы SSL. При инициализации сеанса связи (процесс "SSL - рукопожатие" - " SSL handshake ") стороны используют асимметричную схему шифрования. В этот период стороны идентифицируют друг друга по сертификату и договариваются об алгоритме и ключе шифрования, которые будут использоваться при симметричной схеме. По завершению процесса "SSL - рукопожатия" на каждой стороне имеется разовый секретный ключ (secret key), которым шифруется весь последующий трафик. Кроме этого, используя механизм электронной подписи, SSL гарантирует неизменность данных в процессе их передачи.

Более подробно описание работы с SSL можно разобрать на примере настройки WebSphere MQ SSL для двух менеджеров: QM1 (порт 1515 ) и QM2 (порт 1516 ) и двух каналов: QM2.QM1 и QM1.QM2, которые используют опцию настройки TRIPLE_DES_SHA_US.

Когда стартует канал-отправитель QM2.QM1, начинается "SSL рукопожатие":

  1. QM2 запускает соединение и требует сертификат.
  2. QM1 посылает сертификат, зашифрованный с помощью ключа CA.
  3. QM2 проверяет цифровую подпись QM1 на сертификате. QM2 теперь знает, что QM1 это тот, кем он себя объявляет.
  4. ...рукопожатие продолжается с использование секретного ключа обеими сторонами, которые используют для этого зашифрованные сообщения.

Из приведенного диалога следует, что WebSphere MQ сервер QM1 должен иметь сертификат и сервер QM2 должен уметь расшифровывать подписанный сертификат.

Вариантов получения сертификата для сервера QM1 может быть несколько:

  1. можно создать самоподписанный сертификат (self-signed certificates).
  2. можно иметь собственный центр сертификации.
  3. можно потребовать сертификат из центра сертификации.

В тестовых целях можно получить бесплатно демонстрационный персональный сертификат из GlobalSign.com, действительный 30 дней. Есть и другие сайты для этих целей, но GlobalSign не требует регистрации. Сертификат для других, не демонстрационных целей, конечно, не будет бесплатным.

Далее методику настройки WebSphere MQ с SSL можно изложить в виде следующих шагов-рекомендаций для работы в операционной системе Windows.

Шаг 1 - Создание менеджеров очередей QM1 и QM2

Создается менеджер QM1 с портом для listener 1515 и объектами:

DEFINE QLOCAL ('FROM.QM2') 
DEFINE QLOCAL ('QM1') USAGE(XMITQ)
DEFINE QLOCAL ('QM1.DLQ')
DEFINE QREMOTE ('TO.QM1')  XMITQ('QM1')  RNAME('FROM.QM2')  RQMNAME('QM1')
DEFINE CHANNEL ('QM2.QM1') CHLTYPE(RCVR)
DEFINE CHANNEL ('QM2.QM1') CHLTYPE(SDR)  XMITQ('QM1')  CONNAME('MQSERVER(1515)')

Создается менеджер QM2 с портом для listener 1516 и объектами:

DEFINE QLOCAL ('FROM.QM1') 
DEFINE QLOCAL ('QM2')  USAGE(XMITQ)
DEFINE QLOCAL ('QM2.DLQ') 
DEFINE QREMOTE ('TO.QM1')  XMITQ('QM2')  RNAME('FROM.QM2')  RQMNAME('QM1')
DEFINE CHANNEL ('QM1.QM2') CHLTYPE(RCVR)
DEFINE CHANNEL ('QM2.QM1') CHLTYPE(SDR)  XMITQ('QM2')  CONNAME('MQSERVER(1515)')

Шаг 2 - Получение SSL сертификата для QM1

На сайте http://www.GlobalSign.com/ выбрать из выпадающего меню Certificates пункт Personal Certificates и затем выбрать PersonalSign Demo. Это даст экран восьми шаговой процедуре для получения сертификата (рис.13.3). Нажать на пункт "Переход на Шаг 1" и выполнить действия из таблицы ниже:

Последовательность действий Описание действий
Шаг 1. Проверка Root Certificate. Необходимо инсталлировать GlobalSign's Root Certificate. Этот шаг выполняется автоматически. Нажмите "Переход на Шаг 2".
Шаг 2. Отправка e-mail адреса. Вышлите e-mail адрес и запомните введенный пароль. У вас будет запрошен e-mail адрес и пароль, который понадобится на Шаге 4. После того как вы нажмете "Перейти на Шаг 3" GlobalSign вышлет вам сообщение по e-mail.
Шаг 3. Проверка почтового ящика. Вы получите письмо по e-mail от GlobalSign в ваш почтовый ящик и в нем будет ссылка. Вы получите письмо по e-mail от "ca@GlobalSign.net" в течение 1 минуты. Письмо содержит ссылку. Нажмите на нее.
Шаг 4. Ввод пароля Введите пароль, данный на Шаге 2 и нажмите "Переход на Шаг 5".
Шаг 5. Проверка ваших персональных данных Вы можете кликнуть "Переход на Шаг 6" без каких-либо изменений.
Шаг 6. Подтверждение согласия с лицензионным договором Нажмите "Согласен (Agree) для перехода на Шаг 7"
Шаг 7. Проверка почтового ящика. Вы получите еще одно письмо по e-mail в течение 5 минут. Оно содержит ссылку, через которую открывается страница для загрузки вашего сертификата с кнопкой "Install" - инсталлировать (вы должны использовать тот же самый браузер, что и раньше)
Шаг 8. Инсталляция сертификата Нажмите "Инсталлировать". Вы должны получить уведомление что ваш сертификат инсталлирован. Нажмите OK.
Процедура получения сертификата

увеличить изображение
Рис. 13.3. Процедура получения сертификата