Weryfikowanie plików repozytoriów kluczy TLS/SSL


Ikona błędu Wartość atrybutu Repozytorium kluczy TLS/SSL nie może zawierać rozszerzenia pliku .kdb.

Program IBM MQ automatycznie dopisuje rozszerzenie pliku do położenia repozytorium kluczy TLS/SSL. Jeśli rozszerzenie pliku zostanie jawnie określone jako .kdb, IBM MQ będzie poszukiwał repozytorium kluczy z przyrostkiem ".kdb.kdb".

Usuń rozszerzenie pliku z wartości atrybutu Repozytorium kluczy.

Ten test jest poprawny jedynie w przypadku menedżerów kolejek na platformie Windows, UNIX i Linux.

Ikona ostrzeżenia Nie można odnaleźć pliku repozytorium kluczy SSL

W miejscu określonym za pomocą atrybutu Repozytorium kluczy menedżera kolejek nie można znaleźć pliku repozytorium kluczy TLS/SSL.

W celu użycia warstwy TLS/SSL menedżer kolejek musi mieć dostęp do repozytorium kluczy. Nie stanowi to błędu, jeśli nie jest planowane używanie warstwy TLS/SSL. Przeprowadzenie testu jest zalecane w środowiskach, w których używana jest warstwa TLS/SSL.

Test jest przeprowadzany jedynie dla menedżerów kolejek udostępnianych na komputerze lokalnym.

Ikona ostrzeżenia Nie można znaleźć pliku ukrytych haseł repozytorium kluczy TLS/SSL.

W miejscu określonym za pomocą atrybutu Repozytorium kluczy menedżera kolejek nie można znaleźć pliku ukrytych haseł repozytorium kluczy TLS/SSL.

Na komputerach z systemami Windows, UNIX oraz Linux poszczególnym zbiorom bazy danych przypisane są zeskładowane zbiory haseł. W pliku tym przechowywane są zaszyfrowane hasła umożliwiające programom uzyskanie dostępu do bazy danych kluczy. Plik ukrytych haseł musi znajdować się w tym samym katalogu co repozytorium kluczy, zaś jego nazwa musi różnić się od nazwy bazy danych kluczy jedynie przyrostkiem .sth

W celu użycia warstwy TLS/SSL menedżer kolejek musi mieć dostęp do pliku ukrytych haseł. Nie stanowi to błędu, jeśli nie jest planowane używanie warstwy TLS/SSL. Przeprowadzenie testu jest zalecane w środowiskach, w których używana jest warstwa SSL.

Test jest przeprowadzany jedynie dla menedżerów kolejek udostępnianych na komputerze lokalnym.

Ikona ostrzeżenia Niepoprawnie skonfigurowano kontrolę dostępu dla pliku systemowego TLS/SSL (<nazwa pliku>).

Atrybut menedżera kolejek SSLKeyRepository określa rdzeń nazw katalogów i plików dla plików systemowych TLS/SSL używanych do obsługi kanałów TLS/SSL prowadzących do i z menedżera kolejek. Te pliki są bardzo ważne ze względu na bezpieczeństwo menedżera kolejek, dlatego dostęp do nich musi być dokładnie kontrolowany. W systemie Windows zalecane maksymalne poziomy dostępu do plików to: pełne uprawnienia dla użytkowników BUILTIN\Administrators, NT AUTHORITY\SYSTEM i jednego innego użytkownika oraz uprawnienie do odczytu wyłącznie dla użytkownika <xxxxxxxx>\mqm (wartość <xxxxxxxx> reprezentuje identyfikator domeny).

Listę kontroli dostępu dla pliku (<nazwa pliku>) uzyskano przy użyciu komendy cacls. Z listy wynika, że dostęp do pliku nie został wystarczająco ograniczony.

Ten test jest uruchamiany jedynie w lokalnych menedżerach kolejek systemu Windows.

Ikona błędu Uprawnienia do pliku systemowego TLS/SSL (<nazwa pliku>) są niepoprawne.

Atrybut menedżera kolejek SSLKeyRepository określa rdzeń nazw katalogów i plików dla plików systemowych TLS/SSL używanych do obsługi kanałów TLS/SSL prowadzących do i z menedżera kolejek. Te pliki są bardzo ważne ze względu na bezpieczeństwo menedżera kolejek, dlatego dostęp do nich musi być dokładnie kontrolowany. W systemie Linux należy ustawić uprawnienia do odczytu i zapisu tych plików dla właściciela pliku oraz do odczytu dla grupy pliku (-rw-r-----).

Ten test jest uruchamiany jedynie w lokalnych menedżerach kolejek systemu Linux.

Ikona ostrzeżenia Plik systemowy TLS/SSL (<nazwa pliku>) jest przechowywany w systemie plików innym niż NTFS.

W wybranym teście nie można określić kontroli dostępu do pliku, ponieważ jest on przechowywany w systemie plików innym niż NTFS. Należy sprawdzić, czy plik jest odpowiednio zabezpieczony, ponieważ systemy plików inne niż NTFS mają zwykle słabe mechanizmy kontroli dostępu.