Компания IBM
Опубликован: 14.12.2004 | Доступ: свободный | Студентов: 1529 / 139 | Оценка: 4.36 / 3.98 | Длительность: 16:32:00
ISBN: 978-5-9556-0031-4
Специальности: Системный архитектор
Лекция 14:

Обеспечение безопасности WebSphere MQ

Шаг 7 - Получение, добавление и назначение SSL сертификата менеджеру очередей QM2

  1. Повторить Шаг 2 и Шаг 3 для получения SSL сертификата для QM2.
  2. Поскольку первый сертификат уже добавлен к WebSphere MQ серверу, можно добавить последовательно сертификаты, используя графический интерфейс вместо командной строки.
  3. Нажать Start, Programs, IBM Websphere MQ, WebSphere MQ Services.
  4. Нажать правой кнопкой на менеджер очередей (в данном случае, QM2 ).
  5. Выбрать All tasks и далее Manage SSL Certificates.
  6. Нажать на Add. Это покажет список всех сертификатов Windows.
  7. Изменить наше хранилище сертификатов ( Certificate Store ) с All на MY (текущий пользователь).
  8. Должен быть виден сертификат (рис.13.10), присланный на наш e-mail адрес GlobalSign Class 1 CA. Проверить по серийному номеру, что будет выбран новый сертификат, а не один из тех, что уже назначен для QM1. QM1 уже имеет инсталлированный сертификат, проверить его серийный номер для выбора правильного сертификата для использования в QM2.
    Выбор сертификата для QM2

    увеличить изображение
    Рис. 13.10. Выбор сертификата для QM2
  9. Выбрать сертификат, присланный на наш e-mail адрес, и нажать Add. Это добавит сертификат в хранилище сертификатов менеджера очередей и его можно будет увидеть в списке.
  10. Повторить шаг 5 для назначения сертификата QM2.
  11. Как и раньше, повторить шаг 6 для добавления SSL- сертификата в хранилище сертификатов менеджера, на этот раз в QM1.

Шаг 8 - Настройка SSL - свойств для каналов WebSphere MQ

  1. Для каждого канала QM1.QM2 и QM2.QM1 в WebSphere MQ Explorer перейти на свойства и нажать закладку SSL для отправляющего и принимающего каналов.
  2. На канале-отправителе в свойствах выбрать закладку SSL и в ней выбрать, например, TRIPLE_DES_SHA_US из выпадающего меню шифров (рис.13.11). Нажать OK.
  3. На канале-получателе в свойствах выбрать закладку SSL и в ней выбрать TRIPLE_DES_SHA_US из выпадающего меню шифров. Отметить значок "Всегда идентифицировать сторону, инициирующую соединение". Нажать OK.
    Выбор алгоритма шифрования в канале

    увеличить изображение
    Рис. 13.11. Выбор алгоритма шифрования в канале
  4. Стартовать канал-отправитель и нажать кнопку Обновить (Refresh). Статус канала должен быть running.

Шаг 9 - Тестирование

Для тестирования можно остановить каналы, убрать в одном из них настройку SSL (CipherSpec установить в none) и попробовать стартовать каналы. Успешного старта отправляющего канала не произойдет, и он будет оставаться в состоянии retry. Вернув настройку SSL в канале в прежнее состояние, каналы можно успешно стартовать. После старта каналов следует передать сообщение, например, на менеджере QM1 командой:

amqsput TO.QM2 QM1

Если сообщение передано успешно, то тест настройки SSL соединения следует считать выполненным успешно.

Для проверки шифрования в канале после отправки сообщения нужна специальная программа-перехватчик сообщений. Ведь в очередях на отправку и прием сообщения хранятся в незашифрованном виде. Такая программа может быть написана на C++ или Java как channel-exit программа для перехвата сообщений по порту 1515 для QM1 и по порту 1516 для QM2. В перехваченных сообщениях будет видно, что они зашифрованы. Написание такой программы читателю предлагается проделать самостоятельно или придумать другой способ проверки шифрования сообщений с помощью SSL -защиты на каналах менеджеров.

Заключительные замечания.

  1. Данная методика рекомендуется для практической работы под Windows. Освоив ее, читатель без труда сможет настроить SSL на UNIX, OS/390, OS400, OS/2 и др. платформах с помощью документации [ 24 ] , [ 26 ] и специалистов с http://www.mqseries.net.
  2. Существует альтернативный метод создания и использования самоподписанных сертификатов. Если имеется инсталлированные WebSphere Application Server и/или IBM HTTP Server, то можно сгенерировать собственный самоподписанный сертификат для такого демонстрационного примера без необходимости затребования сертификата из CA такого как GlobalSign.