TLS auf Warteschlangenmanagern konfigurieren

Nach dem Start der grafischen Benutzerschnittstelle (GUI) von IBM® Key Management (iKeyman) können Sie darin TLS-Zertifikate verwalten. Sie können Zertifikate auch mithilfe von Zertifikatswiderrufslisten oder der OCSP-Authentifizierung authentifizieren.

Vorbereitende Schritte

Weitere Informationen zum Starten der iKeyman-GUI finden Sie unter IBM Key Management-GUI starten.

Informationen zu diesem Vorgang

In dieser Task werden die Befehle beschrieben, die zur Verwendung der TLS-Sicherheit auf einem IBM MQ-Client erforderlich sind. Weitere Informationen finden Sie unter Sicherheit und IBM MQ MQI-Clientsicherheit einrichten in der IBM Knowledge Center.

Vorgehensweise

  • [OPTION 1] Erstellen des Schlüsselrepositorys des Warteschlangenmanagers

    Vom Warteschlangenmanager verwendete Zertifikate werden im Schlüsselrepository gespeichert. Auf Windows-, Linux®- und UNIX-Plattformen wird das Schlüsselrepository auch als Schlüsseldatenbankdatei bezeichnet.

    Die Zertifikate des Warteschlangenmanagers können erst im Schlüsselrepository gespeichert werden, wenn an dieser Adresse eine Schlüsseldatenbankdatei erstellt wurde.

    1. Suchen Sie die Position des Schlüsselrepositorys des Warteschlangenmanagers.
      Sie ist im Attribut Schlüsselrepository des Warteschlangenmanagers angegeben.
    2. Wenn Sie die Schlüsseldatenbankdatei erstellen müssen, verwenden Sie die iKeyman-GUI.
    3. Vergewissern Sie sich in der iKeyman-GUI, dass das Schlüsselrepository des Warteschlangenmanagers alle CA-Zertifikate enthält, die zur Prüfung von Zertifikaten, die von anderen Warteschlangenmanagern empfangen werden, erforderlich sein könnten.
  • [OPTION 2] Ändern der Position des Schlüsselrepositorys des Warteschlangenmanagers

    Unter bestimmten Umständen kann es angebracht sein, die Position des Schlüsselrepositorys zu ändern, z. B., um eine einzelne Position zu verwenden, die von allen Warteschlangenmanagern in einem einzigen Betriebssystem gemeinsam genutzt wird.

    Gehen Sie wie folgt vor, um die Adresse des Schlüsselrepositorys eines Warteschlangenmanagers zu ändern:

    1. Ändern Sie die Speicherposition des Schlüsselrepositorys in den Eigenschaften des Warteschlangenmanagers:
      1. Öffnen Sie IBM MQ Explorer und erweitern Sie den Ordner Warteschlangenmanager.
      2. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
      3. Ändern Sie auf der Seite mit den SSL-Eigenschaften den Pfad im Feld Schlüsselrepository so, dass er auf das Verzeichnis Ihrer Wahl verweist.
      4. Klicken Sie im Warnungsdialog auf Ja.
    2. Übertragen Sie die persönlichen Zertifikate des Warteschlangenmanagers mithilfe der GUI von iKeyman an die neue Speicherposition.
      Weitere Informationen finden Sie unter Sicherheit in der IBM Knowledge Center.
  • [OPTION 3] Authentifizieren von Zertifikaten mithilfe von Zertifikatswiderrufslisten

    Zertifizierungsstellen (Certification Authorities, CAs) können Zertifikate sperren, die nicht mehr allgemein zugänglich sein sollen und diese in einer Zertifikatswiderrufsliste (Certification Revocation List, CRL) auflisten. Empfängt ein Warteschlangenmanager oder ein IBM MQ MQI-Client ein Zertifikat, kann anhand der Zertifikatswiderrufsliste überprüft werden, ob dieses Zertifikat widerrufen wurde. Die CRL-Überprüfung ist für eine TLS-gesicherte Nachrichtenübertragung nicht unbedingt erforderlich, wird jedoch empfohlen, da so die Integrität von Benutzerzertifikaten gewährleistet wird.

    Gehen Sie wie folgt vor, um eine Verbindung zu einem LDAP-CRL-Server einzurichten:

    1. Erweitern Sie in IBM MQ Explorer den Warteschlangenmanager.
    2. Erstellen Sie ein Authentifizierungsdatenobjekt des Typs CRL LDAP. Weitere Informationen hierzu finden Sie in Warteschlangenmanager und Objekte erstellen und konfigurieren.
    3. Wiederholen Sie den vorherigen Schritt, um beliebig viele Authentifizierungsdatenobjekte des Typs 'CRL LDAP' zu erstellen.
    4. Erstellen Sie eine Namensliste und fügen Sie dieser die Namen der Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben.
    5. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
    6. Geben Sie auf der Seite SSL im Feld CRL-Namensliste den Namen der von Ihnen in Schritt 4 erstellten Namensliste ein.
    7. Klicken Sie auf OK.

    Die vom Warteschlangenmanager empfangenen Zertifikate können jetzt mit der CRL auf dem LDAP-Server authentifiziert werden.

    Der Namensliste können bis zu zehn Verbindungen zu anderen LDAP-Servern hinzugefügt werden; auf diese Weise ist auch bei einer Nichtverfügbarkeit eines oder mehrerer LDAP-Server ein ordnungsgemäßer Betrieb gewährleistet.

  • [OPTION 4] Authentifizieren von Zertifikaten mithilfe der OCSP-Authentifizierung

    [Windows][UNIX]Unter UNIX und Windows führt die TLS-Unterstützung in IBM MQ mithilfe von OCSP (Online Certificate Status Protocol) oder CRLs und ARLs auf LDAP-Servern (Lightweight Directory Access Protocol) eine Prüfung auf widerrufene Zertifikate durch. Die bevorzugte Methode ist OCSP. IBM MQ-Klassen für Java™ und IBM MQ-Klassen für JMS können die OCSP-Informationen einer Clientkanaldefinitionstabelle nicht nutzen. Sie können OCSP jedoch wie im Abschnitt Widerrufene Zertifikate und OCSP in der IBM Knowledge Center konfigurieren.

    [IBM i][z/OS]IBM i: und z/OS unterstützen keine OCSP-Überprüfung, sie lassen jedoch die Generierung von Definitionstabellen für Clientkanäle (Client Channel Definition Tables, CCDTs) zu, die OCSP-Informationen enthalten.

    Weitere Informationen zu CCDTs und OCSP finden Sie unter Definitionstabelle für Clientkanäle in der IBM Knowledge Center.

    Gehen Sie wie folgt vor, um eine Verbindung zu einem OCSP-Server einzurichten:

    1. Erweitern Sie in IBM MQ Explorer den Warteschlangenmanager.
    2. Erstellen Sie ein Authentifizierungsdatenobjekt des Typs OCSP.
      Weitere Informationen hierzu finden Sie in Warteschlangenmanager und Objekte erstellen und konfigurieren.
    3. Wiederholen Sie den vorherigen Schritt, um beliebig viele OCSP-Authentifizierungsdatenobjekte zu erstellen.
    4. Erstellen Sie eine Namensliste und fügen Sie dieser die Namen der OCSP-Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben.
      Weitere Informationen hierzu finden Sie in Warteschlangenmanager und Objekte erstellen und konfigurieren.
    5. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
    6. Geben Sie auf der Seite SSL im Feld Widerrufs-Namensliste den Namen der von Ihnen in Schritt 4 erstellten Namensliste ein.
    7. Klicken Sie auf OK.

    Die vom Warteschlangenmanager empfangenen Zertifikate werden anhand des OCSP-Responders authentifiziert.

    Der Warteschlangenmanager schreibt OCSP-Informationen in die Definitionstabelle für Clientkanäle.

    Es kann nur ein OCSP-Objekt zur Namensliste hinzugefügt werden, da die Sockets-Bibliothek immer nur eine OCSP-Responder-URL verwenden kann.

  • [OPTION 5] Konfigurieren Sie Verschlüsselungshardware

    IBM MQ unterstützt Verschlüsselungshardware, wobei der Warteschlangenmanager entsprechend konfiguriert werden muss.

    1. Starten Sie IBM MQ Explorer.
    2. Klicken Sie in der Navigatoransicht mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie dann auf Eigenschaften.
      Der Dialog Eigenschaften wird geöffnet.
    3. Klicken Sie auf der Seite SSL auf Konfigurieren.
      Der Dialog Verschlüsselungshardwareeinstellungen wird geöffnet.
    4. Geben Sie im Dialog Verschlüsselungshardwareeinstellungen den Pfad zum PKCS #11-Treiber sowie die Tokenbezeichnung, das Tokenkennwort und die symmetrische Verschlüsselungseinstellung ein.

      Alle unterstützten Verschlüsselungskarten verwenden jetzt PKCS #11. Ignorieren Sie also Verweise auf die Rainbow Cryptoswift- oder nCipher nFast-Karten.

    5. Klicken Sie auf OK.

    Der Warteschlangenmanager ist jetzt für die Verwendung der Verschlüsselungshardware konfiguriert.

    Sie können mithilfe von iKeyman auch mit Zertifikaten arbeiten, die mit der PKCS #11-Hardware gespeichert werden.

    Weitere Informationen finden Sie unter Sicherheit in der IBM Knowledge Center.