IBM MQ クライアントの TLS の構成

IBM® MQ クライアント証明書を管理し、TLS を使用するようにチャネルを構成し、証明書取り消しリストまたは OCSP 認証を使用して証明書を認証します。

このタスクについて

このタスクでは、IBM MQ クライアントで TLS の作業をするために使用するコマンドを紹介します。詳しくは、IBM Knowledge Center 内の 保護 および IBM MQ MQI クライアント・セキュリティーのセットアップ を参照してください。

手順

  • [オプション 1] IBM MQ クライアント証明書の管理

    IBM 鍵管理 (IKEYMAN) GUI を使用して、TLS 証明書を管理します。詳しくは、IBM 鍵管理 GUI の開始を参照してください。

    1. クライアントのキー・リポジトリーの場所を見つけます。
      次のコマンドを入力して、MQSSLKEYR 環境変数を調べます。
      echo %MQSSLKEYR%
    2. IKEYMAN GUI で、クライアントのキー・リポジトリーに、他のキュー・マネージャーから受け取った証明書の検証に必要な可能性のある、すべての認証局 (CA) 証明書が含まれていることを確認します。
    3. キー・リポジトリーは MQCONNX 呼び出しに設定することができるため、ご使用のアプリケーションを検査します。
      両方の値が設定されている場合、MQCONNX 呼び出しに設定されている値は MQSSLKEYR の値を指定変更します。
  • [オプション 2] TLS を使用するためのチャネルの構成

    TLS チャネルの構成の説明に従って TLS チャネルをセットアップします。

  • [オプション 3] 証明書取り消しリストによる証明書の認証

    認証機関 (CA) は、信頼できない証明書を証明書取り消しリスト (CRL) で公開することによって、 そのような証明書を取り消すことができます。 証明書がキュー・マネージャーまたは IBM MQ MQI クライアントにより受け取られたとき、 CRL に照らし合わせて検査し、その証明書が取り消されていないことを確認できます。CRL 検査は、TLS 対応メッセージングの実現に必須ではありませんが、ユーザー証明書の信頼性を保証するために推奨されます。

    IBM MQ MQI クライアントをセットアップして、LDAP サーバーの CRL に照らして証明書をチェックすることができます。

    1. IBM MQ サーバー上の IBM MQ エクスプローラーで、キュー・マネージャーを展開します。
    2. タイプ「CRL LDAP」の新規認証情報オブジェクトを作成します。 詳しくは、キュー・マネージャーとオブジェクトの作成および構成を参照してください。
    3. 前のステップを繰り返して、必要な数の認証情報オブジェクトを作成します。
    4. 名前リストを作成し、ステップ 2 と 3 で作成した認証情報オブジェクトの名前をこの名前リストに追加します。
    5. キュー・マネージャーを右クリックして「プロパティー」を選択します。
    6. 「SSL」ページの「CRL 名前リスト」フィールドに、 ステップ 4 で作成した名前リストの名前を入力します。
    7. 「OK」をクリックします。

      すべての LDAP CRL 情報がクライアント・チャネル定義テーブルに書き込まれます。

    8. クライアント・チャネル定義テーブルをクライアントで使用できるようにするか、または Windows Active Directory を使用している場合は、クライアント・チャネル定義テーブルから Active Directory に情報を書き出します。
      IBM Knowledge Centersetmqscp コマンドを参照してください。

    代替 LDAP サーバーへの接続を最大 10 まで名前リストに追加でき、1 つまたは複数の LDAP サーバーにアクセス不能に なったとき、サービスの継続性を保証できます。詳しくは、IBM Knowledge Center 内の保護を参照してください。

    IBM Knowledge CenterIBM MQ MQI クライアントの概要も参照してください。

  • [オプション 4] OCSP 認証による証明書の認証

    IBM MQ MQI クライアントをセットアップして、証明書を OCSP 応答側に照らして検査することができます。一部のクライアント環境では、OCSP 取り消し検査がサポートされていませんが、すべてのサーバー・プラットフォームで、クライアント・チャネル定義テーブル・ファイルに書き込まれる OCSP 構成を定義することができます。

    1. IBM MQ サーバー上の IBM MQ エクスプローラーで、キュー・マネージャーを展開します。
    2. タイプ「OCSP」の新規認証情報オブジェクトを作成します。
    3. 前のステップを繰り返して、必要な数の OCSP 認証情報オブジェクトを作成します。
    4. 新規の名前リストを作成し、ステップ 2 と 3 で作成した OCSP 認証情報オブジェクトの名前をこの名前リストに追加します。
    5. キュー・マネージャーを右クリックして「プロパティー」を選択します。
    6. 「SSL」ページの「取り消し名前リスト」フィールドに、 ステップ 4 で作成した名前リストの名前を入力します。
    7. 「OK」をクリックします。
    8. クライアント・チャネル定義テーブルをクライアントで使用できるようにします。.

    ソケット・ライブラリーで一度に使用できる OCSP 応答側 URL が 1 つのみであるため、名前リストには 1 つの OCSP オブジェクトしか追加できません。詳しくは、IBM Knowledge Center 内の保護を参照してください。

    IBM Knowledge CenterIBM MQ MQI クライアントの概要も参照してください。