Websphere MQ主題和SSL

Question

我正在嘗試瞭解MQ主題在業界的使用情況。 和MQ與SSL？

謝謝， 蓋伊

Answer 1

發佈/訂閱
此前WMQ的V7，發佈/訂閱是可利用的或者作爲WMQ的單獨的組件或作爲的WebSphere消息代理器的功能的一部分。現在在v7 pub/sub是WMQ不可或缺的一部分，並允許主題級別的安全性。有一定數量的發佈/訂閱正在發生，因爲它現在已經作爲本地功能被髮布到WMQ中。

影響WMQ pub/sub攝取的另一個因素是更多的人通過WMQ File Transfer Edition接觸到它。 WMQ FTE將文件傳輸狀態作爲出版物提供，許多使用此產品的人員正在編寫監視這些主題的應用程序，以提供各種自定義功能。一旦他們開始使用pub/sub，許多這些商店開始看到它的其他用途。

Pub/Sub還解決了消息傳遞中的一些常見問題，例如當前正在寫入隊列的應用程序，並且出現了將該消息的副本發送給其他使用者的新需求。在v7之前，將應用程序從寫入隊列切換到寫入主題有點侵入性，並且需要對JMS應用程序進行配置更改或對其他類型的代碼進行更改。解決這個問題最簡單的方法是用一個應用程序或者將拷貝寫入兩個或多個隊列的退出來攔截消息。從v7開始，爲隊列編寫的應用程序可以通過主題提供別名。生產者仍然認爲它正在寫入隊列，但WMQ將消息發佈到主題。然後消費者可以直接訂閱，或者在需要隊列的舊版代碼的情況下，管理訂閱可以使主題上的消息傳遞到隊列。我在pub/sub上看到很多應對這些要求的情況。

還有一些情況是pub/sub是合適的解決方案，僅用於這個原因。過去，對單獨組件，管理技能或WMB許可證的要求阻礙了採用，導致某些部分的pub/sub應用程序被重新設計爲點對點。隨着WMQ內置的pub/sub，這些障礙被消除或至少顯着減少，這導致了更多的吸收，因爲它是適用於問題的正確架構。

一般來說，我會說WMQ pub/sub已經成爲v7的主流。自從2011年9月宣佈v6報廢后，今年將有大規模遷移到第7版，並因此導致更多地採用pub/sub。

SSL/TLS
至於SSL，WMQ安全性已接近主流。我不會說SSL是規範 - 但是在過去的兩三年裏，它足夠的要求IMPACT和歐洲WebSphere技術會議上的我的WMQ Hands-On Security Lab會話已經有溢出出席。我recently wrote ...

術語「可信任的企業內部網」 被創造出來，以區分網絡的一部分 這是從防火牆外部 目的地內部。但是 這個 上下文中使用的術語「可信」是相對的。它不是 應該表明內部網絡是隱式信任的，只有 它比防火牆外部的東西 更可信。不幸的是， 這個詞有時被理解爲 。我有客戶 相當認真地告訴我的定義 我們相信在「內部網絡可信 」的一切，這就是爲什麼我們稱之爲 它。當然，這種誇大 的情況下，因爲即使是堅信 信任內部網絡 仍然強制登錄到服務器，數據庫和 應用程序的基於密碼的 。所以內部網絡 是可信的，但只能達到一個點， 甚至在內部網絡 認證和授權 必不可少的。

雖然SSL（TLS，實際上）通道加密，他們也進行身份驗證。隨着越來越多的人意識到他們需要在「可信任」的內部網絡上驗證WMQ連接，SSL一直是實現這一目標的常用方法。當然，WMQ頻道上的內部和外部連接對隱私（加密）和完整性服務的要求也越來越高，這也推動了WMQ SSL頻道的採用。

既然SSL比較常見，當人們不完全理解WMQ安全性時，會出現一些次要問題。事實上，這些現在是WMQ listserve和MQSeries.net上的常見話題證明了SSL採用的水平。其中一些次要問題是未使用的證書頒發機構根證書包含在QMgr的密鑰庫中，或缺少QPEQ（按專有名稱過濾連接）或MCAUSER（將授權映射到特定用戶帳戶）等QMgr通道設置。通常人們啓用SSL，但忽略其中一個或多個其他設置，並且達不到他們的預期安全級別。由於您必須啓用SSL才能解決這些問題，因此我的朋友稱這是「奢侈品問題」。受到SSLPEER設置的挑戰要比根本不應用SSL好得多。

總之...
所以我想簡短的回答這兩個問題是WMQ在使用的pub/sub和SSL的相當普遍。現在都在急劇上升的趨勢中，如果我正在編寫新的應用程序，我肯定會使用SSL，並會毫不猶豫地使用WMQ pub/sub。