Documentation - DOKA-NG (Functional availability is per selected plan)

User Tools

Site Tools

You are here: DOKA-NG Application Documentation » Deutsch » DOKA-NG Benutzerdokumentation » Basissystem » Nachrichten » MQ Verschlüsselung
de:app:020cor:030message:0200mqkey
Book Creator
 Add this page to your book
Book Creator
 Remove this page from your book  

 Manage book (0 page(s))
 Help

MQ Verschlüsselung

Bei dieser Anleitung wird davon ausgegangen,

  • dass DOKA-NG nur mit dem Client von MQ betrieben wird und
  • dass die SWIFT-Kommunikation zwischen DOKA-NG, MQ und der Gegenstelle unverschlüsselt bereits funktioniert.

Um SWIFT Nachrichten nun verschlüsselt auszutauschen, ist folgendes zu tun:

SSL konfigurieren

Keystore anlegen und konfigurieren

Der MQ-Client enthält SSL-Funktionalität, die zu verwenden ist. Im MQ-Client befindet sich das Tool IBM Key Management (IKEYMAN), mit dem ein Keystore erzeugt werden kann. Im erzeugten Keystore ist

1. ein persönliches Zertifikat anzulegen, welches ibmwebspheremq<benutzername> heißen muss. Benutzername ist der Benutzer, über den das MQ angesprochen wird.

2. das von der Gegenstelle übermittelte Zertifikat zu importieren.

CipherSpec und Java Richtliniendateien

Mit der Gegenstelle ist der Verschlüsselungsstring (CipherSpec) zu vereinbaren (z. B. TLS_RSA_WITH_AES_256_CBC_SHA256). Für bestimmte CipherSpecs (z. B. dem oben genannten) sind für die von WebSphere MQ Explorer verwendete JRE die uneingeschränkten Richtliniendateien zu verwenden. Dann sind 2 Jar-Dateien auszutauschen:

- US_export_policy.jar

- Local_policy.jar

im Verzeichnis jre/lib/security/ des Java SDK unterhalb MQ.

Die beiden Dateien sind je nach Release und Service Release herunterzuladen unter:

https://www.ibm.com/support/knowledgecenter/en/SSYKE2_6.0.0/com.ibm.java.security.component.60.doc/security-component/sdkpolicyfiles.html

Test SSL

Ein Test kann mit “openssl” oder “Win32 openssl” erfolgen, indem der openssl-Befehl “s_client -connect …” gem. Syntax von openssl die IP-Adresse und der Port der Gegenstelle eingegeben wird. Der Test ist i. d. R. dann erfolgreich, wenn das Zertifikat (vielzeiliger String) zurückgegeben wird.

DOKA-NG konfigurieren

Ausgehende Nachrichten

In der Transaktion Task Manager (MGRTSK):

Panel “SWIFT Versand” ausgehend:

Checkbox “SSL” markieren

Feld “Schlüsselstelle” belegen mit dem vollen Pfad zum Keystore inkl. Namen des Keystore ohne Endung, also z. B. d:\doka\mqm\keystore1

Feld “Verschlüsselung” mit dem mit der Gegenstelle vereinbarten Wert belegen (z. B. “TLS_RSA_WITH_AES_256_CBC_SHA256”)

Ggf. in den Panels anderer Services, die den MQ-Service verwenden, analog konfigurieren (z. B. “SIC” oder “EuroSIC”).

Eingehende Nachrichten

In der Transaktion MQ Series Manager für eingehende Nachrichten (MQITSK):

Panel “Konfiguration”:

Sicherstellen, dass Checkbox “SWIFT eingehend” markiert ist.

Grid-Zeile zu “SWIFT eingehend”:

Spalte “Schlüsselstelle” belegen mit vollen Pfad zum Keystore inkl. Namen des Keystore ohne Endung, also z. B. d:\doka\mqm\keystore1

Spalte “Verschlüsselung” ist zu belegen mit dem vereinbarten CipherSpec-Wert (s. o.).

Neustart

Zum Schluss sind alle Instanzen von MGRTSK und MQITSK herunterzufahren und neu zu starten.

de/app/020cor/030message/0200mqkey.txt · Last modified: 2022/04/19 13:14 (external edit)

Page Tools

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki