IBM MQ MQI 클라이언트에서 TLS 구성
IBM® MQ 클라이언트 인증서를 관리하고 TLS를 사용하도록 채널을 구성하며 인증서 폐기 목록 또는 OCSP 인증을 사용하여 인증서를 인증합니다.
이 태스크 정보
이 태스크에서는 IBM MQ 클라이언트에서 TLS에 대해 작업하는 데 사용하는 명령을 소개합니다. 자세한 정보는 보안 및 IBM MQ MQI 클라이언트 보안 설정 in IBM Knowledge Center의 내용을 참조하십시오.
프로시저
-
[옵션 1] IBM MQ 클라이언트 인증서 관리
IBM 키 관리(iKeyman) GUI를 사용하여 TLS 인증서를 관리하십시오. 추가 정보는 IBM 키 관리 GUI 시작의 내용을 참조하십시오.
-
클라이언트 키 저장소의 위치를 찾으십시오.
다음 명령을 입력하여 MQSSLKEYR 환경 변수를 조사하십시오.
echo %MQSSLKEYR%
- iKeyman GUI에서, 기타 큐 관리자에서 수신한 인증서를 유효성 검증하기 위해 필요한 모든 인증 기관(CA) 인증서가 클라이언트 키 저장소에 포함되어 있는지 확인하십시오.
-
키 저장소가
MQCONNX 호출로 설정될 수 있으므로 애플리케이션도 점검하십시오.
두 값 모두 설정된 경우, MQCONNX 호출에 설정된 값이 MQSSLKEYR 값을 대체합니다.
-
클라이언트 키 저장소의 위치를 찾으십시오.
-
[옵션 2] TLS를 사용하도록 채널 구성
TLS 채널 구성에 설명한 대로, TLS 채널을 설정하십시오.
-
[옵션 3] CRL(인증서 폐기 목록)을 사용하여 인증서 인증
인증 기관(CA)에서는 인증서 폐기 목록(CRL)에 발행하여 더 이상 신뢰하지 않는 인증을 철회할 수 있습니다. 큐 관리자 또는 IBM MQ MQI 클라이언트가 인증서를 수신하면, CRL에서 점검하여 폐기되지 않았는지 확인할 수 있습니다. CRL 검사가 TLS 사용 가능 메시징을 수행하는 데 있어서 필수는 아니지만 사용자 인증서의 신뢰성을 보장하기 위해 사용하는 것이 좋습니다.
IBM MQ MQI 클라이언트가 LDAP 서버의 CRL에 대한 인증서를 점검하도록 설정할 수 있습니다.
- IBM MQ 서버의 IBM MQ 탐색기에서 큐 관리자를 펼치십시오.
- CRL LDAP 유형의 새 인증 정보 오브젝트를 작성하십시오. 추가 정보는 큐 관리자 및 오브젝트 작성 및 구성의 내용을 참조하십시오.
- 이전 단계를 반복하여 필요한 만큼의 인증 정보 오브젝트를 작성하십시오.
-
이름 목록을 작성하고 2 및 3단계에서 작성한
인증 정보 오브젝트의 이름을 이름 목록에 추가하십시오.
추가 정보는 큐 관리자 및 오브젝트 작성 및 구성의 내용을 참조하십시오.
- 큐 관리자를 마우스 오른쪽 단추로 클릭한 다음 특성을 클릭하십시오.
- CRL 이름 목록 필드의 SSL 페이지에서 단계 4에 작성된 이름 목록의 이름을 입력하십시오.
-
확인을 클릭하십시오.
모든 LDAP CRL 정보가 이제 클라이언트 채널 정의 테이블에 기록됩니다.
-
클라이언트 채널 정의 테이블을 클라이언트가 사용할 수 있도록 하십시오. 또는 Windows
Active Directory를 사용 중인 경우 클라이언트 채널 정의 테이블의 정보를 Active Directory에 쓰십시오.
IBM Knowledge Center에서 setmqscp 명령을 참조하십시오.
하나 이상의 LDAP 서버에 액세스할 수 없는 경우 서비스가 연속적으로 제공되도록 대체 LDAP 서버에 대한 최대 10개의 연결을 이름 목록에 추가할 수 있습니다. 자세한 정보는 IBM Knowledge Center의 보안의 내용을 참조하십시오.
IBM Knowledge Center에서 IBM MQ MQI 클라이언트 개요도 참조하십시오.
-
[옵션 4] OCSP 인증을 사용하여 인증서 인증
IBM MQ MQI 클라이언트가 OCSP 응답자에 대한 인증서를 점검하도록 설정할 수 있습니다. 일부 클라이언트 환경은 OCSP 폐기 점검을 지원하지 않지만, 모든 서버 플랫폼은 클라이언트 채널 정의 테이블 파일에 기록될 OCSP 구성을 정의하는 기능을 지원합니다.
- IBM MQ 서버의 IBM MQ 탐색기에서 큐 관리자를 펼치십시오.
-
OCSP 유형의 새 인증 정보 오브젝트를 작성하십시오.
추가 정보는 큐 관리자 및 오브젝트 작성 및 구성의 내용을 참조하십시오.
- 이전 단계를 반복하여 필요한 만큼의 OCSP 인증 정보 오브젝트를 작성하십시오.
-
이름 목록을 새로 작성하고 2 및 3단계에서 작성한
OCSP 인증 정보 오브젝트의 이름을 이름 목록에 추가하십시오.
추가 정보는 큐 관리자 및 오브젝트 작성 및 구성의 내용을 참조하십시오.
- 큐 관리자를 마우스 오른쪽 단추로 클릭한 다음 특성을 클릭하십시오.
- SSL 페이지의 폐기 이름 목록 필드에 4단계에서 작성한 이름 목록의 이름을 입력하십시오.
- 확인을 클릭하십시오.
- 클라이언트 채널 정의 테이블을 클라이언트가 사용할 수 있도록 하십시오..
소켓 라이브러리는 한 번에 하나의 OCSP 응답자 URL만 사용할 수 있으므로 하나의 OCSP 오브젝트만 이름 목록에 추가할 수 있습니다.자세한 정보는 IBM Knowledge Center의 보안의 내용을 참조하십시오.
IBM Knowledge Center에서 IBM MQ MQI 클라이언트 개요도 참조하십시오.