用於IBM MQ連接的窗口上的stunnel

Question

有沒有人有過使用stunnel保護MQ TCP 通信通道的經驗或只是想法？

我與第三方S.W集成，其中內置了MQ支持，但無法支持SSL。因此，爲了對TCP有某種安全性，我們希望使用stunnel。有沒有人有任何想法如何實施和任何最佳做法

Answer 1

我還沒有使用stunnel，所以我會將答案的那部分留給另一個響應者。關於WMQ，請記住，這將爲您提供通道鏈路上的數據隱私和數據完整性，但而不是會爲您提供通道級服務，例如WMQ身份驗證。誠然，你會在stunnel連接本身上獲得一定程度的認證，但是任何通過stunnel沒有到達QMgr的TCP路由的人都可以啓動該通道。

您對安全性的要求顯然包括數據隱私。如果它還包含身份驗證和授權，則可能需要使用類似BlockIP2（來自http://mrmq.dk）的內容，以按IP地址過濾該通道上的傳入連接，以確保它們通過通道鏈接到達。當然，沒有什麼可以阻止遠端的某個人指定任何通道名稱來連接，所以如果你保護一個通道，你需要保證所有通道的安全 - 即確保SYSTEM.DEF。*和SYSTEM.AUTO。*。通道被禁用，或者他們使用SSL和/或退出來驗證入站連接。

最後，請注意，如果WMQ配置爲接受客戶端提供的ID，則該連接具有完全的管理訪問權限，並且包含遠程代碼執行。爲了防止這種情況，您需要必須配置通道的MCAUSER中不具有低特權ID的管理的所有入站通道（RCVR，RQSTR，CLUSRCVR和SVRCONN）。對於供管理員使用的任何頻道，請使用SSL對其進行身份驗證。 （希望您的第三方SW是一個應用程序，而不是一個管理工具！任何WMQ管理工具必須支持SSL，否則不要使用它！）

因此，通過各種手段使用安全通道，以確保這個環節，只是務必保護QMgr的其他人員，否則任何可以合法連接的人（或者甚至匿名的遠程用戶，如果您將MCAUSER留空並且未使用SSL和/或退出）將繞過安全措施或將其禁用。

有一個IMPACT演示文稿的副本強化WMQ安全在https://t-rob.net/links/，這更詳細地解釋了所有這些。

Answer 2

搶 - 我同意你的意見。爲此，只有我們有MQIPT。哪個好得多。對於MQ的STunnel，我已經解決了這個問題。

鍵-U需要一個.pem鍵（從Key manager可以創建.p12並使用打開的ssl轉換爲.PEM）。

客戶端：下載並安裝安全通道都在配置文件中follwoing項 證書= XXX.pem 客戶端= YES [MQ] 接受= 1415 連接= DestinationIP：1415

服務器端：

cert = xxx。PEM 客戶端=無 [MQ] 接受= 1415 連接= MQIP：1415

一旦你做了這一切，你必須做的就是調用與隊列名稱的amquputc。