Проверка файлов хранилища ключей TLS/SSL


Значок ошибки Атрибут хранилища ключей TLS/SSL не должен включать расширение файла .kdb

IBM MQ автоматически добавляет расширение файла к расположению хранилища ключей TLS/SSL. Поэтому если явным образом указать расширение файла .kdb, IBM MQ выполняет поиск хранилища ключей, заканчивающегося на ".kdb.kdb".

Удалите расширение файла из атрибута Хранилище ключей.

Этот тест выполняется только для администраторов очередей на платформах Windows, UNIX и Linux.

Значок предупреждения Не удается найти файл хранилища ключей SSL

Не удалось найти файл хранилища ключей TLS/SSL в расположении, указанном в атрибуте Хранилище ключей администратора очередей.

Для использования TLS/SSL файл хранилища ключей должен быть доступен для администратора хранилища. Это не является ошибкой, если вы не собираетесь использовать TLS/SSL; данный тест предназначен для применения в средах, в которых используется TLS/SSL.

Этот тест выполняется только для администраторов очередей, расположенных в локальной системе.

Значок предупреждения Невозможно найти файл бумажника для хранилища ключей TLS/SSL

Невозможно найти файл бумажника для хранилища ключей TLS/SSL в расположении, указанном в атрибуте Хранилище ключей администратора очередей.

В системах Windows, UNIX и Linux с каждым файлом базы ключей связан бумажник паролей. В этом файле хранятся зашифрованные пароли, с помощью которых программы получают доступ к базе ключей. Бумажник паролей должен находиться в том же каталоге, что и хранилище ключей, и его имя должно совпадать с именем базы ключей и иметь суффикс .sth

Для использования TLS/SSL администратор очередей должен иметь доступ к бумажнику паролей. Это не является ошибкой в том случае, если не планируется использовать TLS/SSL. Этот тест предназначен для сред, в которых применяется SSL.

Этот тест выполняется только для администраторов очередей, расположенных в локальной системе.

Значок ошибки Для системного файла TLS/SSL (<имя файла>) неправильно настроены права доступа

В атрибуте администратора очередей SSLKeyRepository задается основа имени каталога и файла для системных файлов TLS/SSL, используемых для поддержки каналов TLS/SSL, работающих с этим администратором очередей. Эти файлы являются важными для защиты администратора очередей и доступа к ним должен постоянно контролироваться. В системе Windows рекомендуются следующие максимальные уровни доступа к этим файлам: полный доступ для BUILTIN\Administrators, NT AUTHORITY\SYSTEM и одного из пользователей; доступ для чтения только для <xxxxxxxx>\mqm и никому другому (<xxxxxxxx> - идентификатор домена).

Список управления доступом (ACL) для (<имя файла>) получен с помощью команды cacls. В нем показано, что неограниченные права доступа к файлу.

Этот тест запускается только для локальных администраторов очередей Windows.

Значок ошибки Неправильные права доступа для системного файла TLS/SSL (<имя файла>)

В атрибуте администратора очередей SSLKeyRepository задается основа имени каталога и файла для системных файлов TLS/SSL, используемых для поддержки каналов TLS/SSL, работающих с этим администратором очередей. Эти файлы являются важными для защиты администратора очередей и доступа к ним должен постоянно контролироваться. В системе Linux для этих файлов необходимо установить следующие права доступа: для владельца - доступ для чтения и записи, для группы - только для чтения (-rw-r-----).

Этот тест запускается только для локальных администраторов очередей Linux.

Значок предупреждения Системный файл TLS/SSL (<имя файла>) находится в файловой системе, отличной от NTFS

Выбранному тесту не удается определить права доступа для файла, так как он не находится в файловой системе NTFS. Оцените степень защиты файла самостоятельно, так как файловые системы, отличные от NTFS, предоставляют слабый уровень управления доступом.