Configurando o TLS em clientes IBM MQ MQI
Gerencie os certificados do cliente do IBM® MQ, configure os canais para usar o TLS e autentique os certificados usando as Listas de revogação de certificados ou a autenticação OCSP.
Sobre Esta Tarefa
Esta tarefa introduz os comandos que você usa para trabalhar com TLS em um cliente IBM MQ. Para obter mais informações, consulte Assegurando e Configurando a segurança do cliente IBM MQ MQI na IBM Knowledge Center.
Procedimento
-
[OPÇÃO 1] Gerenciar os certificados do cliente do IBM MQ
Use a GUI do IBM Key Management (iKeyman) para gerenciar seus certificados TLS. Para obter mais informações, consulte Iniciando a GUI do IBM Key Management.
-
Encontre o local do repositório de chaves do cliente.
Digite o comando a seguir para examinar a variável de ambiente MQSSLKEYR:
echo %MQSSLKEYR%
- Na GUI do iKeyman, assegure-se de que o repositório de chaves do cliente contenha todos os certificados da Autoridade de Certificação (CA) que podem ser necessários para validar certificados recebidos de outros gerenciadores de filas.
-
Verifique seu aplicativo, já que o repositório de chaves pode ser configurado em uma chamada MQCONNX.
Se ambos os valores forem definidos, o valor definido na chamada MQCONNX substitui o valor de MQSSLKEYR.
-
Encontre o local do repositório de chaves do cliente.
-
[OPÇÃO 2] Configurar os canais para usar o TLS
Configure os canais do TLS, conforme descrito em Configurando canais TLS.
-
[OPÇÃO 3] Autenticar os certificados usando as Listas de revogação de certificado
As CAs (Autoridades de Certificação) podem revogar certificados que não mais são confiáveis, publicando-os em uma CRL (Lista de Revogação de Certificados). Quando um certificado é recebido por um gerenciador de filas ou por um cliente do IBM MQ MQI, ele pode ser verificado com relação à CRL para assegurar que ele não tenha sido revogado. A verificação da CRL não é obrigatória para que o sistema de mensagens ativado para TLS seja concluído com êxito, mas é recomendável para assegurar a fidelidade dos certificados de usuário.
É possível configurar um cliente do IBM MQ MQI para verificar os certificados com relação às CRLs em servidores LDAP.
- No servidor IBM MQ, no IBM MQ Explorer, expanda o gerenciador de filas.
- Crie um novo objeto de informações de autenticação do tipo LDAP CRL. Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Repita a etapa anterior para criar quantos objetos de informações de autenticação forem necessários.
-
Crie uma lista de nomes e inclua na lista de nomes os nomes dos objetos de informações de autenticação que você criou nas etapas 2 e 3.
Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Clique com o botão direito do mouse no gerenciador de filas e, em seguida, clique em Propriedades.
- Na página SSL, no campo Lista de Nomes de CRL, digite o nome da lista de nomes criada na Etapa 4.
-
Clique em OK.
Todas as informações de LDAP CRL são gravadas agora na tabela de definições de canal do cliente.
-
Torne a tabela de definição de canal de cliente disponível ao cliente ou, se estiver usando o Windows
Active Directory, grave as informações da tabela de definição de canal de cliente no Active
Directory.
Consulte o comando setmqscp na IBM Knowledge Center.
Você pode incluir na lista de nomes até 10 conexões com servidores LDAP alternativos para assegurar a continuidade de serviço se um ou mais servidores LDAP ficarem inacessíveis. Para obter mais informações, consulte Assegurando na IBM Knowledge Center.
Consulte também Visão geral dos clientes do IBM MQ MQI em IBM Knowledge Center.
-
[OPÇÃO 4] Autenticar os certificados usando a autenticação OCSP
É possível configurar um cliente do IBM MQ MQI para verificar os certificados com relação a um respondente OCSP. Alguns ambientes do cliente não suportam a verificação de revogação do OCSP, mas todas as plataformas do servidor suportam a habilidade de definir a configuração do OCSP que será gravada no arquivo da tabela de definição de canal do cliente.
- No servidor IBM MQ, no IBM MQ Explorer, expanda o gerenciador de filas.
-
Crie um novo objeto de informação de autenticação do tipo OCSP.
Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Repita a etapa anterior para criar quantos objetos de informações de autenticação OCSP forem necessários.
-
Crie uma nova lista de nomes e inclua nela os nomes dos objetos de informações de autenticação OCSP criados nas Etapas 2 e 3.
Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Clique com o botão direito do mouse no gerenciador de filas e, em seguida, clique em Propriedades.
- Na página SSL, no campo Lista de Nomes de Revogação, digite o nome da lista de nomes criada na Etapa 4.
- Clique em OK.
- Disponibilize a tabela de definição de canal do cliente para o cliente.
Somente um objeto do OCSP pode ser incluído na lista de nomes porque a biblioteca de soquetes pode usar somente uma URL do respondente do OCSP de cada vez. Para obter mais informações, consulte Assegurando na IBM Knowledge Center.
Consulte também Visão geral dos clientes do IBM MQ MQI em IBM Knowledge Center.