Я не использовал stunnel, поэтому я оставлю эту часть ответа другому ответчику. Что касается WMQ, имейте в виду, что это предоставит вам конфиденциальность данных и целостность данных по ссылке stunnel, но будет не предоставить вам услуги уровня канала, такие как аутентификация WMQ. Правда, у вас будет определенный уровень аутентификации в самом соединении stunnel, но любой, у кого есть TCP-маршрут к QMgr, который не приходит через stunnel, также сможет запустить этот канал.
Ваше требование к безопасности, очевидно, включает конфиденциальность данных. Если это также включает проверку подлинности и авторизацию, вам может потребоваться использовать что-то вроде BlockIP2 (от http://mrmq.dk), чтобы фильтровать входящие соединения на этом канале по IP-адресу, чтобы гарантировать, что они прибывают по ссылке stunnel. Конечно, нет ничего, что помешало бы кому-то на удаленном конце указать любое имя канала для подключения, поэтому, если вы защищаете один канал, вам необходимо их обеспечить - т.е. убедитесь, что SYSTEM.DEF. * И SYSTEM.AUTO. * каналы отключены или что они используют SSL и/или выход для аутентификации входящего соединения.
Наконец, имейте в виду, что если WMQ настроен на прием идентификатора, представленного клиентом, то соединение имеет полный административный доступ и включает в себя удаленное выполнение кода. Чтобы этого не произошло, должен настроить все входящие каналы (RCVR, RQSTR, CLUSRCVR и SVRCONN), которые не являются административными с низким привилегированным идентификатором в MCAUSER канала. Для любых каналов, предназначенных для администраторов, аутентифицируйте их с помощью SSL. (Надеюсь, ваша третья сторона SW является приложением, а не административный инструмент! Любой WMQ администратора инструмент сусло поддержка SSL или еще не использовать!)
Так все средства использовать Stunnel, чтобы обеспечить эту связь, просто убедитесь, что остальная часть QMgr или кто-либо, кто может законно подключиться (или даже анонимные удаленные пользователи, если вы оставите MCAUSER пустым и не используете SSL и/или выходы) просто обойдутся безопасностью или отключите его.
Есть копия презентации IMPACT Укрепление безопасности WMQ по адресу https://t-rob.net/links/, в котором объясняется все это более подробно.