Websphere MQ主题和SSL

Question

我正在尝试了解MQ主题在业界的使用情况。 和MQ与SSL？

谢谢， 盖伊

Answer 1

发布/订阅
此前WMQ的V7，发布/订阅是可利用的或者作为WMQ的单独的组件或作为的WebSphere消息代理器的功能的一部分。现在在v7 pub/sub是WMQ不可或缺的一部分，并允许主题级别的安全性。有一定数量的发布/订阅正在发生，因为它现在已经作为本地功能被发布到WMQ中。

影响WMQ pub/sub摄取的另一个因素是更多的人通过WMQ File Transfer Edition接触到它。 WMQ FTE将文件传输状态作为出版物提供，许多使用此产品的人员正在编写监视这些主题的应用程序，以提供各种自定义功能。一旦他们开始使用pub/sub，许多这些商店开始看到它的其他用途。

Pub/Sub还解决了消息传递中的一些常见问题，例如当前正在写入队列的应用程序，并且出现了将该消息的副本发送给其他使用者的新需求。在v7之前，将应用程序从写入队列切换到写入主题有点侵入性，并且需要对JMS应用程序进行配置更改或对其他类型的代码进行更改。解决这个问题最简单的方法是用一个应用程序或者将拷贝写入两个或多个队列的退出来拦截消息。从v7开始，为队列编写的应用程序可以通过主题提供别名。生产者仍然认为它正在写入队列，但WMQ将消息发布到主题。然后消费者可以直接订阅，或者在需要队列的旧版代码的情况下，管理订阅可以使主题上的消息传递到队列。我在pub/sub上看到很多应对这些要求的情况。

还有一些情况是pub/sub是合适的解决方案，仅用于这个原因。过去，对单独组件，管理技能或WMB许可证的要求阻碍了采用，导致某些部分的pub/sub应用程序被重新设计为点对点。随着WMQ内置的pub/sub，这些障碍被消除或至少显着减少，这导致了更多的吸收，因为它是适用于问题的正确架构。

一般来说，我会说WMQ pub/sub已经成为v7的主流。自从2011年9月宣布v6报废后，今年将有大规模迁移到第7版，并因此导致更多地采用pub/sub。

SSL/TLS
至于SSL，WMQ安全性已接近主流。我不会说SSL是规范 - 但是在过去的两三年里，它足够的要求IMPACT和欧洲WebSphere技术会议上的我的WMQ Hands-On Security Lab会话已经有溢出出席。我recently wrote ...

术语“可信任的企业内部网” 被创造出来，以区分网络的一部分 这是从防火墙外部 目的地内部。但是 这个 上下文中使用的术语“可信”是相对的。它不是 应该表明内部网络是隐式信任的，只有 它比防火墙外部的东西 更可信。不幸的是， 这个词有时被理解为 。我有客户 相当认真地告诉我的定义 我们相信在“内部网络可信 ”的一切，这就是为什么我们称之为 它。当然，这种夸大 的情况下，因为即使是坚信 信任内部网络 仍然强制登录到服务器，数据库和 应用程序的基于密码的 。所以内部网络 是可信的，但只能达到一个点， 甚至在内部网络 认证和授权 必不可少的。

虽然SSL（TLS，实际上）通道加密，他们也进行身份验证。随着越来越多的人意识到他们需要在“可信任”的内部网络上验证WMQ连接，SSL一直是实现这一目标的常用方法。当然，WMQ频道上的内部和外部连接对隐私（加密）和完整性服务的要求也越来越高，这也推动了WMQ SSL频道的采用。

既然SSL比较常见，当人们不完全理解WMQ安全性时，会出现一些次要问题。事实上，这些现在是WMQ listserve和MQSeries.net上的常见话题证明了SSL采用的水平。其中一些次要问题是未使用的证书颁发机构根证书包含在QMgr的密钥库中，或缺少QPEQ（按专有名称过滤连接）或MCAUSER（将授权映射到特定用户帐户）等QMgr通道设置。通常人们启用SSL，但忽略其中一个或多个其他设置，并且达不到他们的预期安全级别。由于您必须启用SSL才能解决这些问题，因此我的朋友称这是“奢侈品问题”。受到SSLPEER设置的挑战要比根本不应用SSL好得多。

总之...
所以我想简短的回答这两个问题是WMQ在使用的pub/sub和SSL的相当普遍。现在都在急剧上升的趋势中，如果我正在编写新的应用程序，我肯定会使用SSL，并会毫不犹豫地使用WMQ pub/sub。