Настройка TLS в клиентах IBM MQ MQI

Управление сертификатами клиентов IBM® MQ, настройка каналов для TLS и идентификация сертификатов с помощью списков аннулированных сертификатов и идентификации OCSP.

Об этой задаче

В этой задаче описаны команды, предназначенные для работы с протоколом TLS в клиенте IBM MQ. См. разделы Защита и Настройка защиты клиента IBM MQ MQI в IBM Knowledge Center.

Процедура

  • [ВАРИАНТ 1] Управление сертификатами клиентов IBM MQ

    Для управления сертификатами TLS используется графический пользовательский интерфейс IBM Key Management (iKeyman). См. раздел Запуск IBM Key Management GUI.

    1. Найдите расположение хранилища ключей клиентов.
      Введите следующую команду для проверки переменной среды MQSSLKEYR:
      echo %MQSSLKEYR%
    2. В iKeyman GUI убедитесь, что хранилище ключей клиентов содержит все сертификаты CA, которые могут потребоваться для проверки сертификатов, полученных от других администраторов очередей.
    3. Проверьте приложение, поскольку хранилище ключей может быть задано в вызове MQCONNX.
      Если оба значения установлены, вызов MQCONNX переопределяет значение MQSSLKEYR.
  • [ВАРИАНТ 2] Настройка каналов для TLS

    Настройте каналы TLS (см. раздел Настройка каналов TLS).

  • [ВАРИАНТ 3] Идентификация сертификатов с помощью списков аннулированных сертификатов

    CA могут отменить действие незащищенных сертификатов и опубликовать их в списке аннулированных сертификатов (CRL). После получения сертификата администратор очередей или клиент IBM MQ MQI проверяет его наличие в списке аннулированных сертификатов (CRL). Проверка по списку CRL не обязательна для передачи сообщений по протоколу TLS, но рекомендуется для полной уверенности в действительности пользовательских сертификатов.

    Можно настроить клиент IBM MQ MQI для проверки сертификатов от CRL серверов LDAP.

    1. На сервере IBM MQ в IBM MQ Explorer разверните администратор очередей.
    2. Создайте новый объект информации идентификации типа CRL LDAP. Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
    3. Повторите предыдущее действие для создания всех необходимых объектов информации идентификации.
    4. Создайте список имен и добавьте в него имена объектов информации идентификации, созданных на шагах 2 и 3.
      Дополнительная информация приведена в Создание и настройка администраторов очередей и объектов.
    5. Щелкните правой кнопкой мыши, затем выберите Свойства.
    6. На странице SSL, в поле Список имен CRL введите имя списка имен, созданных на этапе 4.
    7. Нажмите кнопку OK.

      Вся информация LDAP CRL будет отображена в таблице определений каналов клиента.

    8. Сделайте таблицу определений каналов клиента доступной для клиента или, если используется Windows Active Directory, запишите информацию из таблицы определений каналов клиента в каталог Active Directory.
      См. описание команды setmqscp в IBM Knowledge Center.

    В список имен можно добавлять до 10 соединений с альтернативными серверами, чтобы повысить надежность соединения, если один или несколько серверов LDAP будут недоступны. Дополнительные сведения можно найти в разделе Защита в IBM Knowledge Center.

    См. также Обзор клиентов IBM MQ MQI в IBM Knowledge Center.

  • [ВАРИАНТ 4] Идентификация сертификатов с помощью идентификации OCSP

    Можно настроить клиент IBM MQ MQI для проверки сертификатов на сервере OCSP. Отдельные клиенты не поддерживают проверку сертификатов с помощью OCSP, однако все платформы серверов позволяют указать конфигурацию OCSP, которая будет записана в файл таблицы определений каналов клиента.

    1. На сервере IBM MQ в IBM MQ Explorer разверните администратор очередей.
    2. Создайте новый объект информации идентификации типа OCSP.
      Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
    3. Повторите предыдущее действие для создания всех необходимых объектов информации идентификации OCSP.
    4. Создайте новый список имен и добавьте в него имена объектов идентификационной информации, созданных на шагах 2 и 3.
      Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
    5. Щелкните правой кнопкой мыши, затем выберите Свойства.
    6. На странице SSL, в поле Список аннулированных имен введите имя списка имен, созданных на этапе 4.
    7. Нажмите кнопку OK.
    8. Сделайте таблицу определений каналов клиента доступной для клиента.

    В список имен можно добавить только объект OCSP, поскольку библиотека сокетов одновременно может использовать только URL отвечающей стороны OCSP. Дополнительные сведения можно найти в разделе Защита в IBM Knowledge Center.

    См. также Обзор клиентов IBM MQ MQI в IBM Knowledge Center.