Configurar TLS en los gestores de colas

Tras iniciar la GUI de IBM® Key Management (iKeyman), puede utilizarla para gestionar los certificados TLS.También puede autenticar certificados utilizando las listas de revocación de certificados o la autenticación OCSP.

Antes de empezar

Para obtener más información sobre cómo iniciar la GUI de iKeyman, consulte Iniciar la GUI de IBM Key Management.

Acerca de esta tarea

Esta tarea introduce los mandatos que puede utilizar para trabajar con TLS en un cliente de IBM MQ. Puede obtener información adicional consultando Seguridad y Configuración de la seguridad del cliente MQI de IBM MQ en IBM Knowledge Center.

Procedimiento

  • [OPCIÓN 1] Crear el repositorio de claves del gestor de colas

    El depósito de claves es el lugar donde se almacenan los certificados utilizados por el gestor de colas. En las plataformas Windows, Linux® y UNIX, el depósito de claves se conoce como archivo de base de datos de claves.

    Para poder almacenar los certificados del gestor de colas en el depósito de claves, debe asegurarse de que existe un archivo de base de datos de claves en esta ubicación.

    1. Busque la ubicación del repositorio de claves del gestor de claves.
      Esto se especifica en el atributo Repositorio de claves del gestor de colas.
    2. Si tiene que crear el archivo de base de datos de claves, utilice la GUI de iKeyman.
      Si desea ver más información, consulte Inicio de la GUI de IBM Key Management.
    3. En la GUI de iKeyman, asegúrese de que el repositorio de claves del gestor de claves contiene todos los certificados de la entidad emisora de certificados (CA) que pueden ser necesarios para validar certificados de otros gestores de colas.
  • [OPCIÓN 2] Cambiar la ubicación del repositorio de claves del gestor de colas

    En determinadas circunstancias es aconsejable cambiar la ubicación del repositorio de claves; por ejemplo, para utilizar una ubicación compartida por todos los gestores de colas de un sistema operativo.

    Para cambiar la ubicación del depósito de claves de un gestor de colas:

    1. Cambie la ubicación del depósito de claves en las propiedades del gestor de colas:
      1. Abra IBM MQ Explorer y expanda la carpeta Gestores de colas.
      2. Pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
      3. En la página de propiedades SSL, edite la vía de acceso en el campo Depósito de claves para que señale al directorio seleccionado.
      4. En el diálogo aviso, pulse .
    2. Transfiera los certificados personales del gestor de colas a la nueva ubicación mediante la GUI iKeyman.
      Para obtener más información, consulte Seguridad en IBM Knowledge Center.
  • [OPCIÓN 3] Autenticar certificados utilizando listas de revocación de certificados

    Las autoridades de certificación (CA) pueden revocar los certificados que han dejado de ser fiables; para ello, los publican en una lista de revocación de certificados (CRL). Cuando un gestor de colas o un cliente MQI de IBM MQ recibe un certificado, éste puede comprobarse con la CRL para asegurarse de que no se ha revocado. La comprobación con la CRL no es obligatoria para conseguir una mensajería habilitada para TLS, pero es aconsejable asegurarse de la fiabilidad de los certificados de usuario.

    Para configurar una conexión con un servidor CRL LDAP, realice los pasos siguientes:

    1. En IBM MQ Explorer, expanda el gestor de colas.
    2. Cree un objeto de información de autenticación de tipo CRL LDAP. Si desea ver más información, consulte Crear y configurar gestores de colas y objetos.
    3. Repita el paso anterior para crear tantos objetos CRL LDAP de información de autenticación como sean necesarios.
    4. Cree una nueva lista de nombres y añada a la lista de nombres los nombres de los objetos de información de autenticación OCSP que ha creado en los pasos 2 y 3.
      Para obtener más información, consulte Crear y configurar gestores de colas y objetos.
    5. Pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
    6. En la página SSL, en el campo Lista de nombres CRL, escriba el nombre de la lista de nombres creada en el paso 4.
    7. Pulse Aceptar.

    Los certificados que recibe el gestor de colas se pueden autenticar contra la CRL mantenida en el servidor LDAP.

    Puede añadir a la lista de nombres hasta 10 conexiones a servidores LDAP alternativos para asegurar la continuidad del servicio si uno o más de los servidores LDAP son inaccesibles.

  • [OPCIÓN 4] Autenticar certificados utilizando la autenticación OCSP

    [Windows][UNIX]En UNIX y Windows, el soporte TLS de IBM MQ comprueba los certificados revocados utilizando OCSP (Online Certificate Status Protocol) o utilizando CRL y ARL en servidores LDAP (Lightweight Directory Access Protocol). El OCSP es el método preferido. IBM MQ classes for Java™ y IBM MQ classes for JMS no pueden utilizar la información de OCSP en un archivo de tabla de definiciones de canal de cliente. Sin embargo, se puede configurar OCSP tal y como se describe en Certificados revocados y OCSP en IBM Knowledge Center.

    [IBM i][z/OS]IBM i y z/OS no ofrecen soporte para la comprobación OCSP, pero permiten la generación de tablas de definición de canal de cliente (CCDT) que contienen información OCSP.

    Puede obtener información adicional relativa a las CCDT y OCSP consultando Tabla de definición de canal de cliente en IBM Knowledge Center.

    Para configurar una conexión con un servidor OCSP, realice los pasos siguientes.

    1. En IBM MQ Explorer, expanda el gestor de colas.
    2. Cree un objeto de información de autenticación del tipo OCSP.
      Para obtener más información, consulte Crear y configurar gestores de colas y objetos.
    3. Repita el paso anterior para crear tantos objetos OCSP de información de autenticación como sean necesarios.
    4. Cree una nueva lista de nombres y añada a la lista de nombres los nombres de los objetos de información de autenticación OCSP que ha creado en los pasos 2 y 3.
      Para obtener más información, consulte Crear y configurar gestores de colas y objetos.
    5. Pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
    6. En la página SSL, en el campo Lista de nombres de revocación, escriba el nombre de la lista de nombres que haya creado en el paso 4.
    7. Pulse Aceptar.

    Los certificados que recibe el gestor de colas se autentican contra el programa de respuesta de OCSP.

    El gestor de colas escribe información OCSP al CCDT.

    Solamente se puede añadir un objeto OCSP a la lista de nombres porque la biblioteca de sockets solamente puede utilizar un URL de programa de respuesta OCSP cada vez.

  • [OPCIÓN 5] Configurar hardware criptográfico

    IBM MQ puede dar soporte al hardware de cifrado y el gestor de colas debe estar configurado adecuadamente.

    1. Inicie IBM MQ Explorer.
    2. En la vista de Navegador, pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
      Se abre el diálogo Propiedades.
    3. En la página SSL, pulse Configurar.
      Se abre el diálogo Valores de hardware criptográfico.
    4. En el diálogo Valores de hardware criptográfico, escriba la vía de acceso al controlador PKCS#11 y del valor de la etiqueta de señal, de la contraseña de señal y del cifrado simétrico.

      Todas las tarjetas criptográficas admitidas utilizan ahora PKCS #11, por lo que debe hacer caso omiso a las referencias a tarjetas Rainbow Cryptoswift o nCipher nFast.

    5. Pulse Aceptar.

    Ahora el gestor de colas está configurado para utilizar el hardware de cifrado.

    También puede trabajar con certificados que se almacenan en el hardware PKCS #11 utilizando iKeyman.

    Para obtener más información, consulte Seguridad en IBM Knowledge Center.