IBM MQ 会为 TLS/SSL 密钥库位置自动追加文件扩展名。因此,如果您使用文件扩展名 .kdb 来显式指定文件扩展名,则 IBM MQ 将查找以“.kdb.kdb”结尾的密钥库。
从密钥库属性中除去文件扩展名。
此测试仅对 Windows、UNIX 和 Linux 上的队列管理器有效。
在队列管理器的密钥库属性中指定的位置上找不到 TLS/SSL 密钥库文件。
队列管理器必须可访问密钥库文件才能使用 TLS/SSL。如果您不打算使用 TLS/SSL,那么这不是错误;该测试旨在用于使用 TLS/SSL 的环境。
仅对本地计算机上的队列管理器运行此测试。
在队列管理器的密钥库属性中指定的位置上找不到 TLS/SSL 密钥库的密码隐藏文件。
在 Windows、UNIX 和 Linux 计算机上,每个密钥数据库文件都具有一个相关联的密码隐藏文件。此文件拥有允许程序访问密钥数据库的加密密码。密码隐藏文件和密钥库必须位于相同的目录中,它还必须与密钥数据库具有相同的文件名,但具有后缀 .sth
队列管理器必须可访问密码隐藏文件才能使用 TLS/SSL。如果您不打算使用 TLS/SSL,那么这不是错误;该测试旨在用于使用 SSL 的环境。
仅对本地计算机上的队列管理器运行此测试。
队列管理器属性 SSLKeyRepository 为用于支持在该队列管理器上运行 TLS/SSL 通道的 TLS/SSL 系统文件提供目录和文件名主干。这些文件对于队列管理器的安全性十分重要,必须严格控制对这些文件的访问。在 Windows 上针对这些文件建议的最高访问级别为:针对 BUILTIN\Administrators、NT AUTHORITY\SYSTEM 和另一位其他用户为完整权限;仅针对 <xxxxxxxx>\mqm 为只读权限(<xxxxxxxx> 表示域标识)。
使用 cacls 命令已获得了(<文件名>)的访问控制表 (ACL)。它表示对该文件的访问权未受到充分的限制。
该测试仅针对本地 Windows 队列管理器运行。
队列管理器属性 SSLKeyRepository 为用于支持在该队列管理器上运行 TLS/SSL 通道的 TLS/SSL 系统文件提供目录和文件名主干。这些文件对于队列管理器的安全性十分重要,必须严格控制对这些文件的访问。在 Linux 上,这些文件的许可权应设置为针对文件所有者为读写许可权,针对文件组 (-rw-r-----) 为读许可权。
该测试仅针对本地 Linux 队列管理器运行。
所选测试无法确定文件的访问控制,因为它未存储在 NTFS 文件系统上。 您应考虑它是否受到充分的保护,因为非 NTFS 文件系统具有的访问控制较弱。