Bei dieser Anleitung wird davon ausgegangen,
Um SWIFT Nachrichten nun verschlüsselt auszutauschen, ist folgendes zu tun:
Der MQ-Client enthält SSL-Funktionalität, die zu verwenden ist. Im MQ-Client befindet sich das Tool IBM Key Management (IKEYMAN), mit dem ein Keystore erzeugt werden kann. Im erzeugten Keystore ist
1. ein persönliches Zertifikat anzulegen, welches ibmwebspheremq<benutzername> heißen muss. Benutzername ist der Benutzer, über den das MQ angesprochen wird.
2. das von der Gegenstelle übermittelte Zertifikat zu importieren.
Mit der Gegenstelle ist der Verschlüsselungsstring (CipherSpec) zu vereinbaren (z. B. TLS_RSA_WITH_AES_256_CBC_SHA256). Für bestimmte CipherSpecs (z. B. dem oben genannten) sind für die von WebSphere MQ Explorer verwendete JRE die uneingeschränkten Richtliniendateien zu verwenden. Dann sind 2 Jar-Dateien auszutauschen:
- US_export_policy.jar
- Local_policy.jar
im Verzeichnis jre/lib/security/ des Java SDK unterhalb MQ.
Die beiden Dateien sind je nach Release und Service Release herunterzuladen unter:
Ein Test kann mit “openssl” oder “Win32 openssl” erfolgen, indem der openssl-Befehl “s_client -connect …” gem. Syntax von openssl die IP-Adresse und der Port der Gegenstelle eingegeben wird. Der Test ist i. d. R. dann erfolgreich, wenn das Zertifikat (vielzeiliger String) zurückgegeben wird.
In der Transaktion Task Manager (MGRTSK):
Panel “SWIFT Versand” ausgehend:
Checkbox “SSL” markieren
Feld “Schlüsselstelle” belegen mit dem vollen Pfad zum Keystore inkl. Namen des Keystore ohne Endung, also z. B. d:\doka\mqm\keystore1
Feld “Verschlüsselung” mit dem mit der Gegenstelle vereinbarten Wert belegen (z. B. “TLS_RSA_WITH_AES_256_CBC_SHA256”)
Ggf. in den Panels anderer Services, die den MQ-Service verwenden, analog konfigurieren (z. B. “SIC” oder “EuroSIC”).
In der Transaktion MQ Series Manager für eingehende Nachrichten (MQITSK):
Panel “Konfiguration”:
Sicherstellen, dass Checkbox “SWIFT eingehend” markiert ist.
Grid-Zeile zu “SWIFT eingehend”:
Spalte “Schlüsselstelle” belegen mit vollen Pfad zum Keystore inkl. Namen des Keystore ohne Endung, also z. B. d:\doka\mqm\keystore1
Spalte “Verschlüsselung” ist zu belegen mit dem vereinbarten CipherSpec-Wert (s. o.).
Zum Schluss sind alle Instanzen von MGRTSK und MQITSK herunterzufahren und neu zu starten.