驗證 TLS/SSL 金鑰儲存庫檔案


錯誤圖示「TLS/SSL 金鑰儲存庫」屬性不可以包含副檔名 .kdb

IBM MQ 會自動將副檔名附加至 TLS/SSL 金鑰儲存庫位置。因此,如果明確地指定具有副檔名為 .kdb 的副檔名,IBM MQ 會尋找結尾為 ".kdb.kdb" 的金鑰儲存庫。

請從金鑰儲存庫屬性移除副檔名。

這個測試只適用於 Windows、UNIX 及 Linux 上的佇列管理程式。

警告圖示 找不到 SSL 金鑰儲存庫檔案

在佇列管理程式的金鑰儲存庫屬性中指定的位置,找不到 TLS/SSL 金鑰儲存庫檔案。

若要使用 TLS/SSL,佇列管理程式必須能夠存取金鑰儲存庫檔案。如果您不打算使用 TLS/SSL,這就不算是錯誤;這個測試只適用於使用 TLS/SSL 的環境。

只有對位於本端電腦上的佇列管理程式,才會進行這個測試。

警告圖示 找不到 TLS/SSL 金鑰儲存庫的隱藏檔

在佇列管理程式的金鑰儲存庫屬性中指定的位置,找不到 TLS/SSL 金鑰儲存庫的密碼隱藏檔。

在 Windows、UNIX 及 Linux 電腦上,每個金鑰資料庫檔都有相關聯的密碼隱藏檔。該檔案存放讓程式存取金鑰資料庫的加密密碼。密碼隱藏檔必須與金鑰儲存庫位於相同目錄中,而且其檔名必須與金鑰資料庫相同,但帶有字尾 .sth

若要使用 TLS/SSL,佇列管理程式必須能夠存取密碼隱藏檔。如果您不打算使用 TLS/SSL,這就不算是錯誤;這個測試只適用於使用 SSL 的環境。

只有對位於本端電腦上的佇列管理程式,才會進行這個測試。

錯誤圖示 針對 TLS/SSL 系統檔案(<檔案名稱>)配置的存取控制不正確

佇列管理員屬性 SSLKeyRepository 可提供 TLS/SSL 系統檔案使用的目錄和主檔名,以支援從該佇列管理程式來回執行 TLS/SSL 通道。對於佇列管理程式的安全而言,這些檔案非常重要,因此必須緊密控管其存取權。在 Windows 上,這些檔案的建議最大存取層次如下:完整權限適用於 BUILTIN\Administrators、NT AUTHORITY\SYSTEM 以及另外一位使用者;讀取權限僅只適用於 <xxxxxxxx>\mqm(<xxxxxxxx> 代表網域 ID)。

已使用 cacls 指令取得(<檔案名稱>)的「存取控制清單 (ACL)」。該清單顯示未充分限制的檔案存取權。

這個測試只針對本端 Windows 佇列管理程式執行。

錯誤圖示 TLS/SSL 系統檔案(<檔案名稱>)的檔案權限不正確

佇列管理員屬性 SSLKeyRepository 可提供 TLS/SSL 系統檔案使用的目錄和主檔名,以支援從該佇列管理程式來回執行 TLS/SSL 通道。對於佇列管理程式的安全而言,這些檔案非常重要,因此必須緊密控管其存取權。在 Linux 上,這些檔案的權限應設定為檔案的擁有者具有讀取和寫入權限,而檔案的群組具有讀取權限 (-rw-r-----)。

這個測試只針對本端 Linux 佇列管理程式執行。

警告圖示 TLS/SSL 系統檔案(<檔案名稱>)保留在非 NTFS 檔案系統上

選取的測試無法判斷檔案的存取控制,因為該檔案未保留在 NTFS 檔案系統上。您應考量該檔案是否受到適當保護,因為非 NTFS 檔案系統的存取控制往往不足。