Обеспечение безопасности WebSphere MQ
Шаг 7 - Получение, добавление и назначение SSL сертификата менеджеру очередей QM2
- Повторить Шаг 2 и Шаг 3 для получения SSL сертификата для QM2.
- Поскольку первый сертификат уже добавлен к WebSphere MQ серверу, можно добавить последовательно сертификаты, используя графический интерфейс вместо командной строки.
- Нажать Start, Programs, IBM Websphere MQ, WebSphere MQ Services.
- Нажать правой кнопкой на менеджер очередей (в данном случае, QM2 ).
- Выбрать All tasks и далее Manage SSL Certificates.
- Нажать на Add. Это покажет список всех сертификатов Windows.
- Изменить наше хранилище сертификатов ( Certificate Store ) с All на MY (текущий пользователь).
- Должен быть виден сертификат (рис.13.10), присланный на наш e-mail адрес GlobalSign Class 1 CA. Проверить по серийному номеру, что будет выбран новый сертификат, а не один из тех, что уже назначен для QM1. QM1 уже имеет инсталлированный сертификат, проверить его серийный номер для выбора правильного сертификата для использования в QM2.
- Выбрать сертификат, присланный на наш e-mail адрес, и нажать Add. Это добавит сертификат в хранилище сертификатов менеджера очередей и его можно будет увидеть в списке.
- Повторить шаг 5 для назначения сертификата QM2.
- Как и раньше, повторить шаг 6 для добавления SSL- сертификата в хранилище сертификатов менеджера, на этот раз в QM1.
Шаг 8 - Настройка SSL - свойств для каналов WebSphere MQ
- Для каждого канала QM1.QM2 и QM2.QM1 в WebSphere MQ Explorer перейти на свойства и нажать закладку SSL для отправляющего и принимающего каналов.
- На канале-отправителе в свойствах выбрать закладку SSL и в ней выбрать, например, TRIPLE_DES_SHA_US из выпадающего меню шифров (рис.13.11). Нажать OK.
- На канале-получателе в свойствах выбрать закладку SSL и в ней выбрать TRIPLE_DES_SHA_US из выпадающего меню шифров. Отметить значок "Всегда идентифицировать сторону, инициирующую соединение". Нажать OK.
- Стартовать канал-отправитель и нажать кнопку Обновить (Refresh). Статус канала должен быть running.
Шаг 9 - Тестирование
Для тестирования можно остановить каналы, убрать в одном из них настройку SSL (CipherSpec установить в none) и попробовать стартовать каналы. Успешного старта отправляющего канала не произойдет, и он будет оставаться в состоянии retry. Вернув настройку SSL в канале в прежнее состояние, каналы можно успешно стартовать. После старта каналов следует передать сообщение, например, на менеджере QM1 командой:
amqsput TO.QM2 QM1
Если сообщение передано успешно, то тест настройки SSL соединения следует считать выполненным успешно.
Для проверки шифрования в канале после отправки сообщения нужна специальная программа-перехватчик сообщений. Ведь в очередях на отправку и прием сообщения хранятся в незашифрованном виде. Такая программа может быть написана на C++ или Java как channel-exit программа для перехвата сообщений по порту 1515 для QM1 и по порту 1516 для QM2. В перехваченных сообщениях будет видно, что они зашифрованы. Написание такой программы читателю предлагается проделать самостоятельно или придумать другой способ проверки шифрования сообщений с помощью SSL -защиты на каналах менеджеров.
Заключительные замечания.
- Данная методика рекомендуется для практической работы под Windows. Освоив ее, читатель без труда сможет настроить SSL на UNIX, OS/390, OS400, OS/2 и др. платформах с помощью документации [ 24 ] , [ 26 ] и специалистов с http://www.mqseries.net.
- Существует альтернативный метод создания и использования самоподписанных сертификатов. Если имеется инсталлированные WebSphere Application Server и/или IBM HTTP Server, то можно сгенерировать собственный самоподписанный сертификат для такого демонстрационного примера без необходимости затребования сертификата из CA такого как GlobalSign.