Konfigurowanie protokołu TLS w menedżerach kolejek
Po uruchomieniu interfejsu GUI IBM® Key Management (iKeyman), można go użyć do zarządzania certyfikatami TLS. Do uwierzytelniania certyfikatów można również użyć list CRL (Certificate Revocation Lists) lub uwierzytelniania OCSP.
Zanim rozpoczniesz
Więcej informacji o uruchamianiu interfejsu GUI iKeyman można znaleźć w sekcji Uruchamianie interfejsu GUI IBM Key Management.
O tym zadaniu
W tym zadaniu przedstawiono komendy używane podczas pracy z protokołem TLS w kliencie IBM MQ. Więcej informacji zawierają sekcje Zabezpieczania i Konfigurowanie zabezpieczeń klienta MQI produktu IBM MQ w Centrum Wiedzy IBM.
Procedura
-
[OPCJA 1] Utwórz repozytorium kluczy menedżera kolejek
Repozytorium kluczy to miejsce, w którym przechowywane są certyfikaty użyte przez menedżer kolejek. Na platformach Windows, Linux®, i UNIX repozytorium kluczy jest znane pod nazwą baza danych kluczy.
Przed umieszczeniem certyfikatów menedżera kolejek w repozytorium kluczy należy sprawdzić, czy plik bazy danych kluczy istnieje w danym miejscu.
-
Znajdź miejsce repozytorium kluczy menedżera kolejek.
Miejsce jest określone w atrybucie menedżera kolejek Repozytorium kluczy.
-
W razie potrzeby utworzenia pliku bazy danych kluczy należy użyć interfejsu GUI iKeyman.
Więcej informacji na ten temat zawiera sekcja Uruchamianie interfejsu GUI IBM Key Management.
- W interfejsie GUI iKeyman należy sprawdzić, czy repozytorium kluczy menedżera kolejek zawiera wszystkie certyfikaty ośrodka certyfikacji, które mogą być wymagane w celu sprawdzenia poprawności certyfikatów otrzymywanych z innych menedżerów kolejek.
-
Znajdź miejsce repozytorium kluczy menedżera kolejek.
-
[OPCJA 2] Zmień miejsce repozytorium kluczy menedżera kolejek
W niektórych przypadkach może wystąpić potrzeba zmiany miejsca repozytorium kluczy; na przykład aby użyć jednego miejsca współużytkowanego przez wszystkie menedżery kolejek w jednym systemie operacyjnym.
Aby zmienić położenie repozytorium kluczy menedżera kolejek:
-
Zmień położenie repozytorium kluczy we właściwościach menedżera kolejek:
- Otwórz program IBM MQ Explorer i rozwiń folder Menedżery kolejek.
- Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
- Na stronie właściwości SSL zmodyfikuj ścieżkę w polu Repozytorium kluczy, aby wskazać wybrany katalog.
- W oknie dialogowym ostrzeżenia kliknij przycisk Tak.
-
Prześlij certyfikaty osobiste menedżera kolejek do nowego miejsca, używając interfejsu GUI iKeyman.
Więcej informacji zawiera sekcja Zabezpieczania w Centrum Wiedzy IBM.
-
Zmień położenie repozytorium kluczy we właściwościach menedżera kolejek:
-
[OPCJA 3] Uwierzytelniaj certyfikaty za pomocą list CRL (Certificate Revocation
Lists)
Ośrodki certyfikacji (CA) mogą unieważnić certyfikaty, które nie są już certyfikatami zaufanymi, publikując je na liście CRL (Certification Revocation List). Po odebraniu certyfikatu przez menedżer kolejek lub klienta MQI produktu IBM MQ można sprawdzić na liście CRL, czy ten certyfikat nie został unieważniony. Sprawdzanie listy CRL nie jest obowiązkowe w celu aktywowania przesyłania komunikatów z włączonym TLS, ale jest zalecane w celu zagwarantowania wiarygodności certyfikatów użytkownika.
Aby skonfigurować połączenie z serwerem CRL LDAP, wykonaj poniższe kroki:
- W programie IBM MQ Explorer rozwiń menedżer kolejek.
- Utwórz obiekt informacji uwierzytelniającej typu CRL LDAP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej CRL LDAP.
-
Utwórz listę nazw i dodaj do niej nazwy obiektów informacji
uwierzytelniającej utworzonych w punktach 2 i 3.
Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
- Na stronie SSL, w polu Lista nazw CRL wpisz nazwę listy nazw utworzonej w punkcie 4.
- Kliknij przycisk OK.
Certyfikaty otrzymywane przez menedżer kolejek mogą teraz zostać uwierzytelnione za pomocą listy CRL znajdującej się na serwerze LDAP.
Do listy nazw można dodać maksymalnie 10 połączeń z alternatywnymi serwerami LDAP, aby zagwarantować ciągłość usługi w przypadku, gdy jeden lub więcej serwerów LDAP jest niedostępnych.
-
[OPCJA 4] Uwierzytelniaj certyfikaty za pomocą uwierzytelniania OCSP
W systemach UNIX oraz Windows obsługa TLS produktu IBM MQ sprawdza odwołane certyfikaty, korzystając z protokołu OCSP (Online Certificate Status Protocol) lub za pomocą list CRL i ARL na serwerach LDAP (Lightweight Directory Access Protocol). Preferowaną metodą jest użycie protokołu OCSP. Produkty IBM MQ classes for Java™ i IBM MQ classes for JMS nie mogą używać informacji OCSP z pliku tabeli definicji kanału klienta. Można jednak skonfigurować protokół OCSP w sposób opisany w sekcji Unieważnione certyfikaty i protokół OCSP w Centrum Wiedzy IBM.
Systemy IBM i i z/OS nie obsługują sprawdzania protokołu OCSP, ale umożliwiają generowanie tabel definicji kanału klienta (CCDT) zawierających informacje OCSP.
Więcej informacji na temat tabel CCDT i protokołu OCSP zawiera sekcja Tabela definicji kanału klienta w Centrum Wiedzy IBM.
Aby skonfigurować połączenie z serwerem OCSP, wykonaj poniższe kroki.
- W programie IBM MQ Explorer rozwiń menedżer kolejek.
-
Utwórz obiekt informacji uwierzytelniającej typu OCSP.
Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej OCSP.
-
Utwórz listę nazw i dodaj do niej nazwy obiektów informacji
uwierzytelniającej OCSP utworzonych w punktach 2 i 3.
Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
- Na stronie SSL, w polu Lista nazw odwołań wpisz nazwę listy nazw utworzonej w punkcie 4.
- Kliknij przycisk OK.
Certyfikaty odbierane przez menedżer kolejek są uwierzytelniane za pomocą programu odpowiadającego OCSP.
Menedżer kolejek zapisuje informacje OCSP w tabeli CCDT.
Do listy nazw można dodać tylko jeden obiekt OCSP, ponieważ biblioteka gniazd może używać jednocześnie tylko jednego adresu URL modułu odpowiadającego OCSP.
-
[OPCJA 5] Skonfiguruj sprzęt szyfrujący
Produkt IBM MQ może obsługiwać sprzęt szyfrujący; w tym celu należy odpowiednio skonfigurować menedżer kolejek.
- Uruchom program IBM MQ Explorer.
-
W widoku Nawigator kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
Zostanie otwarte okno dialogowe Właściwości.
-
Na stronie SSL kliknij opcję Skonfiguruj.
Zostanie otwarte okno dialogowe Ustawienia sprzętu szyfrującego.
-
W oknie dialogowym Ustawienia sprzętu szyfrującego wprowadź ścieżkę do sterownika PKCS
#11, etykietę tokenu, hasło tokenu oraz symetryczne ustawienie szyfru.
Wszystkie obsługiwane obecnie karty szyfrujące są w standardzie PKCS #11, dlatego należy zignorować odwołania do kart Rainbow Cryptoswift czy nCipher nFast.
- Kliknij przycisk OK.
Menedżer kolejek został skonfigurowany w celu użycia sprzętu szyfrującego.
Można również pracować z certyfikatami przechowywanymi na sprzęcie PKCS #11 za pomocą programu iKeyman.
Więcej informacji zawiera sekcja Zabezpieczania w Centrum Wiedzy IBM.