Configuration de TLS sur les clients IBM MQ MQI

Gérez les certificats client IBM® MQ, configurez les canaux pour qu'ils utilisent TLS et authentifier les certificats à l'aide de listes de révocation de certificat ou de l'authentification OCSP.

Pourquoi et quand exécuter cette tâche

Cette tâche présente les commandes dont vous vous servez pour utiliser TLS sur un client IBM MQ. Pour plus d'informations, voir Securing et Configuration de la sécurité du client IBM MQ MQI dans l'IBM Knowledge Center.

Procédure

  • [OPTION 1] Gérer les certificats client IBM MQ

    Utilisez l'interface graphique IBM Key Management (iKeyman) pour gérer vos certificats TLS. Pour plus d'informations, voir Démarrage de l'interface graphique d'IBM Key Management.

    1. Recherchez l'emplacement du référentiel de clés du client.
      Entrez la commande suivante pour examiner la variable d'environnement MQSSLKEYR :
      echo %MQSSLKEYR%
    2. Dans l'interface graphique d'iKeyman, vérifiez que le référentiel de clés du client contient tous les certificats de l'autorité de certification pouvant être requis pour valider des certificats reçus d'autres gestionnaires de files d'attente.
    3. Vérifiez votre application car il se peut que le référentiel de clés soit défini sur un appel MQCONNX.
      Si les deux valeurs sont définies, la valeur définie sur l'appel MQCONNX remplace celle de MQSSLKEYR.
  • [OPTION 2] Configurer les canaux pour l'utilisation de TLS

    Configurez les canaux TLS, comme décrit dans Configuration de canaux TLS.

  • [OPTION 3] Authentifier les certificats à l'aide de listes de révocation de certificat

    Les autorités de certification peuvent révoquer des certificats qui ne sont plus fiables en les mentionnant dans une liste de révocation de certificat (CRL). Lorsqu'un gestionnaire de files d'attente ou un client IBM MQ MQI reçoit un certificat, vous pouvez vérifier qu'il ne figure pas dans la liste de révocation de certificat pour vous assurer qu'il n'a pas été révoqué. Cette vérification n'est pas obligatoire, mais il est recommandé de s'assurer de la validité des certificats utilisateur.

    Vous pouvez configurer un client IBM MQ MQI pour vérifier si les certificats figurent dans des listes de révocation de certificat sur des serveurs LDAP.

    1. Sur le serveur IBM MQ, dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
    2. Créez un objet d'information d'authentification de type CRL LDAP. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
    3. Effectuez à nouveau l'étape précédente pour créer le nombre d'objets d'information d'authentification dont vous avez besoin.
    4. Créez une liste de noms et ajoutez à cette liste les noms des objets d'information d'authentification que vous avez créés au cours des étapes 2 et 3.
    5. Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
    6. Dans la page SSL, dans la zone Liste de noms CRL, tapez le nom de la liste de noms créée à l'étape 4.
    7. Cliquez sur OK.

      Toutes les informations CRL LDAP sont maintenant enregistrées dans une table de définition de canal du client.

    8. Mettez à la disposition du client la table de définition de canal du client ou, si vous utilisez Windows Active Directory, écrivez les informations de la table de définition de canal du client dans Active Directory.
      Voir la commande setmqscp dans l'IBM Knowledge Center.

    Vous pouvez ajouter à la liste de noms jusqu'à 10 connexions vers des serveurs LDAP de secours afin de garantir une continuité de service si un ou plusieurs de ces serveurs sont inaccessibles. Pour plus d'informations, voir Securing dans l'IBM Knowledge Center.

    Voir aussi Présentation des clients IBM MQ MQI dans l'IBM Knowledge Center.

  • [OPTION 4] Authentifier les certificats à l'aide de l'authentification OCSP

    Vous pouvez configurer un client IBM MQ MQI pour vérifier les certificats dans un répondeur OCSP. Certains environnements client ne prennent pas en charge le contrôle de révocation OCSP, mais toutes les plateformes de serveur prennent en charge la capacité de définir une configuration OCSP qui sera écrite dans le fichier de table de définition de canal du client.

    1. Sur le serveur IBM MQ, dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
    2. Créez un objet d'information d'authentification de type OCSP.
    3. Effectuez à nouveau l'étape précédente pour créer le nombre d'objets d'information d'authentification OCSP dont vous avez besoin.
    4. Créez une liste de noms et ajoutez-y les noms des objets d'information d'authentification OCSP créés au cours des étapes 2 et 3.
    5. Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
    6. Dans la page SSL et plus précisément dans la zone Liste de noms de révocation, entrez le nom de la liste de noms créée à l'étape 4.
    7. Cliquez sur OK.
    8. Mettez la table de définition de canal du client à la disposition du client.

    UN seul objet OCSP peut être ajouté à la liste de noms car la bibliothèque de sockets ne peut utiliser qu'une seule adresse URL de canal répondeur OCSP à la fois. Pour plus d'informations, voir Securing dans l'IBM Knowledge Center.

    Voir aussi Présentation des clients IBM MQ MQI dans l'IBM Knowledge Center.