TLS/SSL キー・リポジトリー・ファイルの検査


エラー・アイコン TLS/SSL キー・リポジトリー属性にはファイル拡張子 .kdb を含めないでください

IBM MQ は自動的に、TLS/SSL キー・リポジトリー位置にファイル拡張子を付加します。 そのため、ファイル拡張子 .kdb を明示的に指定した場合、IBM MQ は ".kdb.kdb" で終わるキー・リポジトリーを 検索します。

「キー・リポジトリー」属性からファイル拡張子を除去してください。

このテストは、Windows、UNIX、および Linux 上のキュー・マネージャーに対してのみ有効です。

警告アイコン SSL キー・リポジトリー・ファイルが 見つかりません

TLS/SSL キー・リポジトリー・ファイルが、キュー・マネージャーの「キー・リポジトリー」属性で指定された場所に見つかりませんでした。

キュー・マネージャーで TLS/SSL を使用するためには、キー・リポジトリー・ファイルがアクセス可能でなければなりません。 TLS/SSL を使用しない場合には、これはエラーではありません。 このテストは、TLS/SSL が使用される環境で使われます。

このテストは、ローカル・コンピューターでホストされるキュー・マネージャーに対してのみ実行されます。

警告アイコン TLS/SSL キー・リポジトリーの stash ファイルが見つかりません

TLS/SSL キー・リポジトリーのパスワード stash ファイルが、キュー・マネージャーの「キー・リポジトリー」属性で指定された位置に見つかりません。

Windows、UNIX、および Linux コンピューターでは、各キー・データベース・ファイルにパスワード stash ファイルが 関連付けられています。 このファイルには、プログラムがキー・データベースにアクセスできるようにするための暗号化されたパスワードが 保持されています。 パスワード stash ファイルは、キー・リポジトリーと同じディレクトリー内に存在する必要があり、接尾部 .sth を除いて キー・データベースと同じファイル名でなければなりません。

キュー・マネージャーで TLS/SSL を使用するには、パスワード stash ファイルがアクセス可能でなければなりません。 TLS/SSL を使用しない場合には、これはエラーではありません。このテストは、SSL が使用される環境で使われます。

このテストは、ローカル・コンピューターでホストされるキュー・マネージャーに対してのみ実行されます。

エラー・アイコン TLS/SSL システム・ファイル (<filename>) のアクセス制御が間違って構成されています

キュー・マネージャーの属性 SSLKeyRepository は、そのキュー・マネージャーとの間の TLS/SSL チャネルをサポートするために使われる TLS/SSL システム・ファイル用のディレクトリーとファイル名の語幹を提供します。 キュー・マネージャーのセキュリティーにとってこれらのファイルは非常に重要であり、アクセスを厳重に制御する必要があります。 Windows では、これらのファイルに関する推奨される最大アクセス・レベルは次のとおりです。BUILTIN¥Administrators、NT AUTHORITY¥SYSTEM、および他の 1 ユーザーに対して全権限を付与します。さらに <xxxxxxxx>¥mqm だけに対して読み取り権限を与えます。(他の権限は与えません。<xxxxxxxx> はドメイン ID を表します。)

cacls コマンドを使って <filename> のアクセス制御リスト (ACL) が既に取得されています。 これは、ファイルのアクセス権限が適切に制限されていないことを示します。

このテストは、ローカル Windows キュー・マネージャーに対してのみ実行されます。

エラー・アイコン TLS/SSL システム・ファイル (<filename>) のファイル許可が間違っています

キュー・マネージャーの属性 SSLKeyRepository は、そのキュー・マネージャーとの間の TLS/SSL チャネルをサポートするために使われる TLS/SSL システム・ファイル用のディレクトリーとファイル名の語幹を提供します。 キュー・マネージャーのセキュリティーにとってこれらのファイルは非常に重要であり、アクセスを厳重に制御する必要があります。 Linux では、これらのファイルに対する許可を次のように設定する必要があります。ファイル所有者に対しては読み取り/書き込み、ファイルのグループに対しては読み取り (-rw-r-----)。

このテストは、ローカル Linux キュー・マネージャーに対してのみ実行されます。

警告アイコン TLS/SSL システム・ファイル (<filename>) は NTFS 以外のファイル・システムに保持されています

NTFS ファイル・システムにファイルが保持されていないため、選択されたテストではファイルのアクセス制御を判別できません。 ファイルが適切に保護されているかどうか考慮してください。通常、NTFS 以外のファイル・システムのアクセス制御は脆弱です。