IBM MQ MQI 클라이언트에서 TLS 구성

IBM® MQ 클라이언트 인증서를 관리하고 TLS를 사용하도록 채널을 구성하며 인증서 폐기 목록 또는 OCSP 인증을 사용하여 인증서를 인증합니다.

이 태스크 정보

이 태스크에서는 IBM MQ 클라이언트에서 TLS에 대해 작업하는 데 사용하는 명령을 소개합니다. 자세한 정보는 보안IBM MQ MQI 클라이언트 보안 설정 in IBM Knowledge Center의 내용을 참조하십시오.

프로시저

  • [옵션 1] IBM MQ 클라이언트 인증서 관리

    IBM 키 관리(iKeyman) GUI를 사용하여 TLS 인증서를 관리하십시오. 추가 정보는 IBM 키 관리 GUI 시작의 내용을 참조하십시오.

    1. 클라이언트 키 저장소의 위치를 찾으십시오.
      다음 명령을 입력하여 MQSSLKEYR 환경 변수를 조사하십시오.
      echo %MQSSLKEYR%
    2. iKeyman GUI에서, 기타 큐 관리자에서 수신한 인증서를 유효성 검증하기 위해 필요한 모든 인증 기관(CA) 인증서가 클라이언트 키 저장소에 포함되어 있는지 확인하십시오.
    3. 키 저장소가 MQCONNX 호출로 설정될 수 있으므로 애플리케이션도 점검하십시오.
      두 값 모두 설정된 경우, MQCONNX 호출에 설정된 값이 MQSSLKEYR 값을 대체합니다.
  • [옵션 2] TLS를 사용하도록 채널 구성

    TLS 채널 구성에 설명한 대로, TLS 채널을 설정하십시오.

  • [옵션 3] CRL(인증서 폐기 목록)을 사용하여 인증서 인증

    인증 기관(CA)에서는 인증서 폐기 목록(CRL)에 발행하여 더 이상 신뢰하지 않는 인증을 철회할 수 있습니다. 큐 관리자 또는 IBM MQ MQI 클라이언트가 인증서를 수신하면, CRL에서 점검하여 폐기되지 않았는지 확인할 수 있습니다. CRL 검사가 TLS 사용 가능 메시징을 수행하는 데 있어서 필수는 아니지만 사용자 인증서의 신뢰성을 보장하기 위해 사용하는 것이 좋습니다.

    IBM MQ MQI 클라이언트가 LDAP 서버의 CRL에 대한 인증서를 점검하도록 설정할 수 있습니다.

    1. IBM MQ 서버의 IBM MQ 탐색기에서 큐 관리자를 펼치십시오.
    2. CRL LDAP 유형의 새 인증 정보 오브젝트를 작성하십시오. 추가 정보는 큐 관리자 및 오브젝트 작성 및 구성의 내용을 참조하십시오.
    3. 이전 단계를 반복하여 필요한 만큼의 인증 정보 오브젝트를 작성하십시오.
    4. 이름 목록을 작성하고 2 및 3단계에서 작성한 인증 정보 오브젝트의 이름을 이름 목록에 추가하십시오.
      추가 정보는 큐 관리자 및 오브젝트 작성 및 구성의 내용을 참조하십시오.
    5. 큐 관리자를 마우스 오른쪽 단추로 클릭한 다음 특성을 클릭하십시오.
    6. CRL 이름 목록 필드의 SSL 페이지에서 단계 4에 작성된 이름 목록의 이름을 입력하십시오.
    7. 확인을 클릭하십시오.

      모든 LDAP CRL 정보가 이제 클라이언트 채널 정의 테이블에 기록됩니다.

    8. 클라이언트 채널 정의 테이블을 클라이언트가 사용할 수 있도록 하십시오. 또는 Windows Active Directory를 사용 중인 경우 클라이언트 채널 정의 테이블의 정보를 Active Directory에 쓰십시오.
      IBM Knowledge Center에서 setmqscp 명령을 참조하십시오.

    하나 이상의 LDAP 서버에 액세스할 수 없는 경우 서비스가 연속적으로 제공되도록 대체 LDAP 서버에 대한 최대 10개의 연결을 이름 목록에 추가할 수 있습니다. 자세한 정보는 IBM Knowledge Center보안의 내용을 참조하십시오.

    IBM Knowledge Center에서 IBM MQ MQI 클라이언트 개요도 참조하십시오.

  • [옵션 4] OCSP 인증을 사용하여 인증서 인증

    IBM MQ MQI 클라이언트가 OCSP 응답자에 대한 인증서를 점검하도록 설정할 수 있습니다. 일부 클라이언트 환경은 OCSP 폐기 점검을 지원하지 않지만, 모든 서버 플랫폼은 클라이언트 채널 정의 테이블 파일에 기록될 OCSP 구성을 정의하는 기능을 지원합니다.

    1. IBM MQ 서버의 IBM MQ 탐색기에서 큐 관리자를 펼치십시오.
    2. OCSP 유형의 새 인증 정보 오브젝트를 작성하십시오.
      추가 정보는 큐 관리자 및 오브젝트 작성 및 구성의 내용을 참조하십시오.
    3. 이전 단계를 반복하여 필요한 만큼의 OCSP 인증 정보 오브젝트를 작성하십시오.
    4. 이름 목록을 새로 작성하고 2 및 3단계에서 작성한 OCSP 인증 정보 오브젝트의 이름을 이름 목록에 추가하십시오.
      추가 정보는 큐 관리자 및 오브젝트 작성 및 구성의 내용을 참조하십시오.
    5. 큐 관리자를 마우스 오른쪽 단추로 클릭한 다음 특성을 클릭하십시오.
    6. SSL 페이지의 폐기 이름 목록 필드에 4단계에서 작성한 이름 목록의 이름을 입력하십시오.
    7. 확인을 클릭하십시오.
    8. 클라이언트 채널 정의 테이블을 클라이언트가 사용할 수 있도록 하십시오..

    소켓 라이브러리는 한 번에 하나의 OCSP 응답자 URL만 사용할 수 있으므로 하나의 OCSP 오브젝트만 이름 목록에 추가할 수 있습니다.자세한 정보는 IBM Knowledge Center보안의 내용을 참조하십시오.

    IBM Knowledge Center에서 IBM MQ MQI 클라이언트 개요도 참조하십시오.