Компания IBM
Опубликован: 14.12.2004 | Доступ: свободный | Студентов: 1529 / 139 | Оценка: 4.36 / 3.98 | Длительность: 16:32:00
ISBN: 978-5-9556-0031-4
Специальности: Системный архитектор
Лекция 14:

Обеспечение безопасности WebSphere MQ

Работа с WebSphere MQ через Интернет/Интранет

Работа с WebSphere MQ в Интранет возможна при помощи Internet Explorer почти так же, как и с WebSphere MQ Explorer. Читатель может легко настроить работу с WebSphere MQ в интранет через Internet Explorer на основе следующих простых правил:

  • При инсталляции WebSphere MQ сервер необходимо отметить опцию для инсталляции компонентов: Web Administration Server;
  • Через любой Web браузер можно подключиться к менеджеру очередей с помощью команды http://<hostname>:<port_number>, например, http://9.20.20.92:8081/ (по умолчанию порт Web Administration Server - 8081)

В корпоративных системах работа через Интернет, в отличие от интранет, требует обязательной защиты от внешних посягательств, например, такими средствами как шифрование данных через SSL, демилитаризованная зона ( Demiliatarized Zone - DMZ), FireWall. Поэтому для работы с WebSphere MQ клиентом и такими средствами защиты понадобится установить с сайта ИБМ свободно распространяемый SupportPacs MS81 - WebSphere MQ internet pass-thru ( MQIPT ):

http://www-306.ibm.com/software/integration/support/supportpacs/category.html

MQIPT создан для подключения клиента WebSphere MQ версии 5.3 к WebSphere MQ менеджеру очередей с использованием SSL. MQIPT устанавливается на WebSphere MQ клиенте или в DMZ на WebSphere MQ сервере и работает как proxy-сервер для WebSphere MQ трафика. Типичный пример подключения MQIPT приведен на рис.13.12.

Схема подключения MQIPT

Рис. 13.12. Схема подключения MQIPT

Эта схема показывает, как MQIPT моделирует клиента и SSL -защищенный канал. В этой схеме может использоваться любой сертификат, заверенный центром сертификации (CA). MQIPT имеет свой простой сертификат, который может быть установлен на WebSphere MQ менеджере и MQIPT в целях тестирования.

Настройка такой конфигурации состоит из следующих шагов.

  1. Конфигурирование WebSphere MQ.

    На машине с WebSphere MQ сервером создается менеджер с именем, например, QM. MQIPT инсталлируется на другой машине в директорию C:\mqipt вместе с WebSphere MQ клиентом. Стандартные команды для клиента и сервера ( amqsputc, amqsgetc ) работают. На WebSphere MQ сервере создаются: менеджер очередей MQIPT.QM1, канал server connection с именем MQIPT.CONN.CHANNEL, локальная очередь MQIPT.LOCAL.QUEUE, TCP/IP listener для MQIPT.QM1 на порту 1414.

  2. Назначение самоподписанного сертификата MQIPT для MQIPT.QM1.

    Для этого необходимо импортировать сертификат в Windows Internet Explorer: выбрать в меню "Tools" => "Content" => "Certificates" и нажать кнопку "Import". Найти сертификат на пути c:\mqipt\ssl\sslSample.pfx и ввести пароль "mqiptV1.3" (без кавычек). Выбрать "Automatically select the certicate store based on the type of certificate" и нажать "Finish". Далее следует импортировать сертификат в WebSphere MQ Explorer. На свойствах MQIPT.QM1 выбрать закладку SSL, нажать the "manage SSL certificates" и "add" - добавить. Среди сертификатов выбрать только что добавленный сертификат, подписанный "Phil Blake", и нажать "add" - добавить. После этого для нашего сертификата нажать кнопку "assign" - назначить.

  3. Определение кода шифрования.

    В свойствах канала MQIPT.CONN.CHANNEL выбрать закладку SSL, из выпадающего меню выбрать RC4_MD5_EXPORT и нажать кнопку "OK".

  4. Конфигурирование MQIPT.

    MQIPT должен быть сконфигурирован как SSL клиент. Для этого выбрать конфигурационный файл c:\mqipt\mqipt.conf и отредактировать его следующим образом для определения маршрута для SSL клиента:

    [route]
    ListenerPort=1415
    Destination=10.20.9.2
    DestinationPort=1414
    SSLClient=true
    SSLClientKeyRing=c:\\mqipt\\ssl\\sslSample.pfx
    SSLClientKeyRingPW=c:\\mqipt\\ssl\\sslSample.pwd
    SSLClientCipherSuite=SSL_RSA_EXPORT_WITH_RC4_40_MD5

    Примечание. Соответствие CipherSpec и SSLClientCipherSuite определяется таблицей:

    Вид шифрования (CipherSpec) Набор шифров SSL (SSLClientCipherSuite)
    DES_SHA_EXPORT SSL_RSA_WITH_DES_CBC_SHA
    DES_SHA_EXPORT1024 SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA *
    NULL_MD5 SSL_RSA_WITH_NULL_MD5
    NULL_SHA SSL_RSA_WITH_NULL_SHA
    RC2_MD5_EXPORT SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
    RC4_56_SHA_EXPORT1024 SSL_RSA_EXPORT1024_WITH_RC4_56_SHA *
    RC4_MD5_US SSL_RSA_WITH_RC4_128_MD5
    RC4_MD5_EXPORT SSL_RSA_EXPORT_WITH_RC4_40_MD5
    RC4_SHA_US SSL_RSA_WITH_RC4_128_SHA
    TRIPLE_DES_SHA_US SSL_RSA_WITH_3DES_EDE_CBC_SHA

    После этого активизировать MQIPT через командное окно:

    cd \mqipt\bin
    mqipt ..

    В командном окне появятся консольные сообщения, сообщающие об успешном старте MQIPT .

  5. Конфигурирование и работа с WebSphere MQ клиент.

    Менеджер QM1 и MQIPT готовы для совместной работы. На клиенте переменная MQSERVER должна отражать IP - адрес вашего сервера и для этого установить в командном окне:

    SET MQSERVER=TEST.CONN.CHANNEL/TCP/10.20.3.1

    Теперь помещение сообщения в очередь можно сделать командой:

    amqsputc MQIPT.LOCAL.QUEUE MQIPT.QM1

    а извлечение сообщения из очереди делается командой:

    amqsgetc MQIPT.LOCAL.QUEUE MQIPT.QM1

    Конфигурирование выполнено успешно и WebSphere MQ клиент версии 5.3 может работать через SSL защиту с использованием MQIPT и Интернет.

Таким образом, MQIPT позволяет сформировать канал для создания SSL - соединения и работы через Интернет. Работа между менеджерами осуществляется также просто. MQIPT дает возможность осуществлять трассировку передачи сообщений по каналу связи.

В завершение раздела хочется отметить еще две полезные особенности WebSphere MQ: работа по выделенным каналам связи и работа через модем. По выделенным каналам, как только установится надежная TCP/IP связь, работа ничем не отличается от работы в локальной сети. Каналы стартуют как обычно, может быть на 1-2 секунды дольше, если речь идет о тысячах километров и оптоволоконных каналах связи. Сообщения движутся так же быстро, надежность доставки гарантируется. Главное, чтобы канал связи обеспечивал качественную связь, а WebSphere MQ доставит, например, котировки курсов акций со всего мира за считанные секунды.

При работе WebSphere MQ через модем необходимы, как правило, специальные программы, которые обеспечивают дозвон и устанавливают TCP/IP адресацию. После этого запускается приложение, работающее через WebSphere MQ клиента с удаленным WebSphere MQ сервером. Это наиболее типичный вариант работы, ведь, как известно, WebSphere MQ клиент IBM распространяет бесплатно через Интернет (в версии 5.3 WebSphere MQ клиент имеет объем 86Мбт и это не всегда удобно - прим. авторов). Таким образом, число клиентских приложений не ограничено по финансовым соображениям и один WebSphere MQ сервер под Windows выдерживает подключение 3 - 5 тысяч клиентов со временем обслуживания менее 1 сек. Чем этот способ лучше обычной передачи файлов через модем? WebSphere MQ гарантирует доставку, скорость, целостность передачи, средства защиты через SSL и, наконец, отлаженную технологию интеграции данных и приложений.