Обеспечение безопасности WebSphere MQ
Работа с WebSphere MQ через Интернет/Интранет
Работа с WebSphere MQ в Интранет возможна при помощи Internet Explorer почти так же, как и с WebSphere MQ Explorer. Читатель может легко настроить работу с WebSphere MQ в интранет через Internet Explorer на основе следующих простых правил:
- При инсталляции WebSphere MQ сервер необходимо отметить опцию для инсталляции компонентов: Web Administration Server;
- Через любой Web браузер можно подключиться к менеджеру очередей с помощью команды http://<hostname>:<port_number>, например, http://9.20.20.92:8081/ (по умолчанию порт Web Administration Server - 8081)
В корпоративных системах работа через Интернет, в отличие от интранет, требует обязательной защиты от внешних посягательств, например, такими средствами как шифрование данных через SSL, демилитаризованная зона ( Demiliatarized Zone - DMZ), FireWall. Поэтому для работы с WebSphere MQ клиентом и такими средствами защиты понадобится установить с сайта ИБМ свободно распространяемый SupportPacs MS81 - WebSphere MQ internet pass-thru ( MQIPT ):
http://www-306.ibm.com/software/integration/support/supportpacs/category.html
MQIPT создан для подключения клиента WebSphere MQ версии 5.3 к WebSphere MQ менеджеру очередей с использованием SSL. MQIPT устанавливается на WebSphere MQ клиенте или в DMZ на WebSphere MQ сервере и работает как proxy-сервер для WebSphere MQ трафика. Типичный пример подключения MQIPT приведен на рис.13.12.
Эта схема показывает, как MQIPT моделирует клиента и SSL -защищенный канал. В этой схеме может использоваться любой сертификат, заверенный центром сертификации (CA). MQIPT имеет свой простой сертификат, который может быть установлен на WebSphere MQ менеджере и MQIPT в целях тестирования.
Настройка такой конфигурации состоит из следующих шагов.
- Конфигурирование WebSphere MQ.
На машине с WebSphere MQ сервером создается менеджер с именем, например, QM. MQIPT инсталлируется на другой машине в директорию C:\mqipt вместе с WebSphere MQ клиентом. Стандартные команды для клиента и сервера ( amqsputc, amqsgetc ) работают. На WebSphere MQ сервере создаются: менеджер очередей MQIPT.QM1, канал server connection с именем MQIPT.CONN.CHANNEL, локальная очередь MQIPT.LOCAL.QUEUE, TCP/IP listener для MQIPT.QM1 на порту 1414.
- Назначение самоподписанного сертификата MQIPT для MQIPT.QM1.
Для этого необходимо импортировать сертификат в Windows Internet Explorer: выбрать в меню "Tools" => "Content" => "Certificates" и нажать кнопку "Import". Найти сертификат на пути c:\mqipt\ssl\sslSample.pfx и ввести пароль "mqiptV1.3" (без кавычек). Выбрать "Automatically select the certicate store based on the type of certificate" и нажать "Finish". Далее следует импортировать сертификат в WebSphere MQ Explorer. На свойствах MQIPT.QM1 выбрать закладку SSL, нажать the "manage SSL certificates" и "add" - добавить. Среди сертификатов выбрать только что добавленный сертификат, подписанный "Phil Blake", и нажать "add" - добавить. После этого для нашего сертификата нажать кнопку "assign" - назначить.
- Определение кода шифрования.
В свойствах канала MQIPT.CONN.CHANNEL выбрать закладку SSL, из выпадающего меню выбрать RC4_MD5_EXPORT и нажать кнопку "OK".
- Конфигурирование MQIPT.
MQIPT должен быть сконфигурирован как SSL клиент. Для этого выбрать конфигурационный файл c:\mqipt\mqipt.conf и отредактировать его следующим образом для определения маршрута для SSL клиента:
[route] ListenerPort=1415 Destination=10.20.9.2 DestinationPort=1414 SSLClient=true SSLClientKeyRing=c:\\mqipt\\ssl\\sslSample.pfx SSLClientKeyRingPW=c:\\mqipt\\ssl\\sslSample.pwd SSLClientCipherSuite=SSL_RSA_EXPORT_WITH_RC4_40_MD5
Примечание. Соответствие CipherSpec и SSLClientCipherSuite определяется таблицей:
Вид шифрования (CipherSpec) Набор шифров SSL (SSLClientCipherSuite) DES_SHA_EXPORT SSL_RSA_WITH_DES_CBC_SHA DES_SHA_EXPORT1024 SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA * NULL_MD5 SSL_RSA_WITH_NULL_MD5 NULL_SHA SSL_RSA_WITH_NULL_SHA RC2_MD5_EXPORT SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 RC4_56_SHA_EXPORT1024 SSL_RSA_EXPORT1024_WITH_RC4_56_SHA * RC4_MD5_US SSL_RSA_WITH_RC4_128_MD5 RC4_MD5_EXPORT SSL_RSA_EXPORT_WITH_RC4_40_MD5 RC4_SHA_US SSL_RSA_WITH_RC4_128_SHA TRIPLE_DES_SHA_US SSL_RSA_WITH_3DES_EDE_CBC_SHA После этого активизировать MQIPT через командное окно:
cd \mqipt\bin mqipt ..
В командном окне появятся консольные сообщения, сообщающие об успешном старте MQIPT .
- Конфигурирование и работа с WebSphere MQ клиент.
Менеджер QM1 и MQIPT готовы для совместной работы. На клиенте переменная MQSERVER должна отражать IP - адрес вашего сервера и для этого установить в командном окне:
SET MQSERVER=TEST.CONN.CHANNEL/TCP/10.20.3.1
Теперь помещение сообщения в очередь можно сделать командой:
amqsputc MQIPT.LOCAL.QUEUE MQIPT.QM1
а извлечение сообщения из очереди делается командой:
amqsgetc MQIPT.LOCAL.QUEUE MQIPT.QM1
Конфигурирование выполнено успешно и WebSphere MQ клиент версии 5.3 может работать через SSL защиту с использованием MQIPT и Интернет.
Таким образом, MQIPT позволяет сформировать канал для создания SSL - соединения и работы через Интернет. Работа между менеджерами осуществляется также просто. MQIPT дает возможность осуществлять трассировку передачи сообщений по каналу связи.
В завершение раздела хочется отметить еще две полезные особенности WebSphere MQ: работа по выделенным каналам связи и работа через модем. По выделенным каналам, как только установится надежная TCP/IP связь, работа ничем не отличается от работы в локальной сети. Каналы стартуют как обычно, может быть на 1-2 секунды дольше, если речь идет о тысячах километров и оптоволоконных каналах связи. Сообщения движутся так же быстро, надежность доставки гарантируется. Главное, чтобы канал связи обеспечивал качественную связь, а WebSphere MQ доставит, например, котировки курсов акций со всего мира за считанные секунды.
При работе WebSphere MQ через модем необходимы, как правило, специальные программы, которые обеспечивают дозвон и устанавливают TCP/IP адресацию. После этого запускается приложение, работающее через WebSphere MQ клиента с удаленным WebSphere MQ сервером. Это наиболее типичный вариант работы, ведь, как известно, WebSphere MQ клиент IBM распространяет бесплатно через Интернет (в версии 5.3 WebSphere MQ клиент имеет объем 86Мбт и это не всегда удобно - прим. авторов). Таким образом, число клиентских приложений не ограничено по финансовым соображениям и один WebSphere MQ сервер под Windows выдерживает подключение 3 - 5 тысяч клиентов со временем обслуживания менее 1 сек. Чем этот способ лучше обычной передачи файлов через модем? WebSphere MQ гарантирует доставку, скорость, целостность передачи, средства защиты через SSL и, наконец, отлаженную технологию интеграции данных и приложений.