Configurando o TLS em gerenciadores de filas
Depois de iniciar a GUI do IBM® Key Management (iKeyman), é possível usá-la para gerenciar certificados TLS. Também é possível autenticar os certificados usando as Listas de revogação de certificados ou a autenticação OCSP.
Antes de Iniciar
Para obter mais informações sobre como iniciar a GUI do iKeyman, consulte Iniciando a GUI do IBM Key Management.
Sobre Esta Tarefa
Esta tarefa introduz os comandos que você usa para trabalhar com TLS em um cliente IBM MQ. Para obter mais informações, consulte Assegurando e Configurando a segurança do cliente IBM MQ MQI na IBM Knowledge Center.
Procedimento
-
[OPÇÃO 1] Criar o repositório de chaves do gerenciador de filas
O repositório de chaves é onde os certificados utilizados pelo gerenciador de filas são armazenados. Nas plataformas Windows, Linux® e UNIX, o repositório de chaves é conhecido como o arquivo do banco de dados de chave.
Antes de poder armazenar os certificados do gerenciador de filas no repositório de chaves, você deve se certificar de que exista nesse local um arquivo do banco de dados de chaves.
-
Encontre o local do repositório de chaves do gerenciador de filas.
Isso é especificado no atributo Repositório de chaves do gerenciador de filas.
-
Se for necessário criar o arquivo de banco de dados de chaves, use a GUI do iKeyman.
Para obter mais informações, consulte Iniciando a GUI do IBM Key Management.
- Na GUI do iKeyman, assegure-se de que o repositório de chaves do gerenciador de filas contenha todos os certificados de CA (Autoridade de certificação) que possam ser necessários para validar os certificados que são recebidos de outros gerenciadores de filas.
-
Encontre o local do repositório de chaves do gerenciador de filas.
-
[OPÇÃO 2] Mudar o local do repositório de chaves do gerenciador de filas
Em determinadas circunstâncias, é possível que você queira mudar o local do repositório de chaves, por exemplo, para usar um único local que é compartilhado por todos os gerenciadores de filas em um sistema operacional.
Para alterar o local do repositório de chaves de um gerenciador de filas:
-
Altere o local do repositório de chaves nas propriedades do gerenciador de filas:
- Abra o IBM MQ Explorer e expanda a pasta Gerenciadores de Filas.
- Clique com o botão direito do mouse no gerenciador de filas e, em seguida, clique em Propriedades.
- Na página de propriedades SSL, edite o caminho no campo Repositório de Chaves para apontar para o diretório escolhido.
- No diálogo Aviso, clique em Sim.
-
Transfira os certificados pessoais do gerenciador de filas para o novo local usando a GUI do iKeyman.
Para obter mais informações, consulte Assegurando na IBM Knowledge Center.
-
Altere o local do repositório de chaves nas propriedades do gerenciador de filas:
-
[OPÇÃO 3] Autenticar os certificados usando as Listas de revogação de certificado
As CAs (Autoridades de Certificação) podem revogar certificados que não mais são confiáveis, publicando-os em uma CRL (Lista de Revogação de Certificados). Quando um certificado é recebido por um gerenciador de filas ou por um cliente do IBM MQ MQI, ele pode ser verificado com relação à CRL para assegurar que ele não tenha sido revogado. A verificação da CRL não é obrigatória para que o sistema de mensagens ativado para TLS seja concluído com êxito, mas é recomendável para assegurar a fidelidade dos certificados de usuário.
Para configurar uma conexão com um servidor CRL LDAP, conclua as etapas a seguir:
- No IBM MQ Explorer, expanda o gerenciador de filas.
- Crie um objeto de informações de autenticação do tipo LDAP CRL. Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Repita a etapa anterior para criar quantos objetos de informações de autenticação LDAP CRL forem necessários.
-
Crie uma lista de nomes e inclua na lista de nomes os nomes dos objetos de informações de autenticação que você criou nas etapas 2 e 3.
Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Clique com o botão direito do mouse no gerenciador de filas e, em seguida, clique em Propriedades.
- Na página SSL, no campo Lista de Nomes de CRL, digite o nome da lista de nomes criada na Etapa 4.
- Clique em OK.
Os certificados que o gerenciador de filas recebe agora podem ser autenticados junto à CRL mantida no servidor LDAP.
Você pode incluir na lista de nomes até 10 conexões com servidores LDAP alternativos para assegurar a continuidade de serviço se um ou mais servidores LDAP ficarem inacessíveis.
-
[OPÇÃO 4] Autenticar os certificados usando a autenticação OCSP
No UNIX e no Windows, o suporte do TLS do IBM MQ verifica certificados revogados usando OCSP (Online Certificate Status Protocol) ou usando CRLs e ARLs nos servidores LDAP (Lightweight Directory Access Protocol). OCSP é o método preferido. IBM MQ classes for Java™ e IBM MQ classes for JMS não pode usar as informações do OCSP em um arquivo da tabela de definição de canal do cliente. No entanto, é possível configurar o OCSP conforme descrito em Certificados Revogados e OCSP na IBM Knowledge Center.
IBM i e z/OS não suportam a verificação de OCSP, mas permitem a geração de tabelas de definição de canal de cliente (CCDTs) que contenham informações de OCSP.
Para obter mais informações sobre CCDTs e OCSP, consulte Tabela de Definição de Canal do Cliente na IBM Knowledge Center.
Para configurar uma conexão com um servidor OCSP, conclua as etapas a seguir.
- No IBM MQ Explorer, expanda o gerenciador de filas.
-
Crie um objeto de informação de autenticação do tipo OCSP.
Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Repita a etapa anterior para criar quantos objetos de informações de autenticação OCSP forem necessários.
-
Crie uma lista de nomes e inclua na lista de nomes os nomes dos objetos de informações de autenticação OCSP que você criou nas etapas 2 e 3.
Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Clique com o botão direito do mouse no gerenciador de filas e, em seguida, clique em Propriedades.
- Na página SSL, no campo Lista de Nomes de Revogação, digite o nome da lista de nomes criada na Etapa 4.
- Clique em OK.
Os certificados que o gerenciador de filas recebe são autenticados com relação ao respondente do OCSP.
O gerenciador de filas grava as informações do OCSP na CCDT.
Somente um objeto do OCSP pode ser incluído na lista de nomes porque a biblioteca de soquetes pode usar somente uma URL do respondente do OCSP de cada vez.
-
[OPÇÃO 5] Configurar hardware criptográfico
O IBM MQ pode suportar hardware de criptografia e o gerenciador de filas deve ser configurado de forma apropriada.
- Inicie o IBM MQ Explorer.
-
Na visualização do Navegador, clique com o botão direito no gerenciador de filas e, em seguida, clique em Propriedades.
O diálogo Propriedades é aberto.
-
Na página SSL, clique em Configurar.
O diálogo Configurações de hardware criptográfico é aberto.
-
No diálogo Configurações de hardware de criptografia, insira o caminho para o driver PKCS #11, além do rótulo do token, da senha do token e da configuração de cifra simétrica.
Como todos os cartões criptográficos suportados agora usam o PKCS #11, ignore as referências aos cartões Rainbow Cryptoswift ou nCipher nFast.
- Clique em OK.
Agora o gerenciador de filas está configurado para utilizar o hardware criptográfico.
Também é possível trabalhar com certificados armazenados no hardware PKCS #11 usando o iKeyman.
Para obter mais informações, consulte Assegurando na IBM Knowledge Center.