Verifica file di repository chiavi TLS/SSL


Icona Errore L'attributo repository chiavi TLS/SSL non deve includere l'estensione file .kdb

IBM MQ aggiunge automaticamente un'estensione file alla posizione del repository chiavi TLS/SSL. Quindi se viene specificata esplicitamente l'estensione file .kdb, IBM MQ ricerca un repository chiavi che finisce con ".kdb.kdb".

Rimuovere l'estensione file dall'attributo Repository chiavi.

Questa verifica è valida solo per i gestori code su Windows, UNIX e Linux.

Icona Avviso Impossibile trovare il repository chiavi SSL

Non è stato possibile trovare il file del repository chiavi TLS/SSL nel percorso specificato dall'attributo Repository chiavi del gestore code.

Affinché il gestore code possa utilizzare TLS/SSL, deve essere possibile poter accedere al file del repository chiavi. Non si tratta di un errore se non si desidera utilizzare la TLS/SSL; questa verifica è destinata agli ambienti in cui si utilizza la TLS/SSL.

Questa verifica viene eseguita solo su quei gestori code ubicati sul computer locale.

Icona Avviso Impossibile trovare il file stash per il repository chiavi TLS/SSL

Non è stato possibile trovare il file stash delle password del repository chiavi TLS/SSL nel percorso specificato dall'attributo Repository chiavi del gestore code.

In Windows, UNIX e Linux, a ciascun file di database chiavi è associato un file stash di password. Questo file contiene le password codificate che consentono ai programmi di accedere al database di chiavi. Il file stash delle password deve trovarsi nella stessa directory del repository chiavi e deve avere stesso nome file del database di chiavi ma con suffisso .sth

Affinché il gestore code possa utilizzare TLS/SSL, deve essere possibile poter accedere al file stash delle password. Non si tratta di un errore se non si desidera utilizzare la TLS/SSL; questa verifica è destinata agli ambienti in cui si utilizza la SSL.

Questa verifica viene eseguita solo su quei gestori code ubicati sul computer locale.

Icona Errore Controllo dell'accesso non configurato correttamente per il file di sistema di TLS/SSL (<filename>)

L'attributo del gestore code SSLKeyRepository fornisce la directory e la radice del nome del file per i file di sistema di TLS/SSL utilizzati per supportare i canali di TLS/SSL in esecuzione verso e da quel gestore code. Questi file sono molto importanti per la sicurezza del gestore code e l'accesso ad essi deve essere strettamente controllato. In Windows, i livelli di accesso massimi raccomandati per questi file sono: autorizzazione completa per BUILTIN\Administrators, NT AUTHORITY\SYSTEM e un solo altro utente; e l'autorizzazione di lettura soltanto per <xxxxxxxx>\mqm (<xxxxxxxx> rappresenta un identificativo del dominio).

L'ACL (Access Control List) per (<filename>) è stata ottenuta tramite il comando cacls. Mostra che l'accesso al file non è sufficientemente ristretto.

Questa verifica viene eseguita soltanto per i gestori di code di Windows locali.

Icona Errore Autorizzazioni del file errate per il file di sistema di TLS/SSL (<filename>)

L'attributo del gestore code SSLKeyRepository fornisce la directory e la radice del nome del file per i file di sistema di TLS/SSL utilizzati per supportare i canali di TLS/SSL in esecuzione verso e da quel gestore code. Questi file sono molto importanti per la sicurezza del gestore code e l'accesso ad essi deve essere strettamente controllato. In Linux, le autorizzazioni in questi file devono essere impostate per la lettura e la scrittura per il proprietario del file, e per la lettura per il gruppo di file (-rw-r-----).

Questa verifica viene eseguita soltanto per i gestori di code di Linux locali.

Icona Avvertenza Il file system TLS/SSL (<filename>) viene conservato su un file system non-NTFS

La verifica selezionata non può determinare il controllo di accesso per il file perché non è conservato su un file system NTFS. È opportuno considerare se viene adeguatamente protetto, perché i file system non-NTFS tendono ad avere accessi di controllo poco complessi.