Настройка TLS в клиентах IBM MQ MQI
Управление сертификатами клиентов IBM® MQ, настройка каналов для TLS и идентификация сертификатов с помощью списков аннулированных сертификатов и идентификации OCSP.
Об этой задаче
В этой задаче описаны команды, предназначенные для работы с протоколом TLS в клиенте IBM MQ. См. разделы Защита и Настройка защиты клиента IBM MQ MQI в IBM Knowledge Center.
Процедура
-
[ВАРИАНТ 1] Управление сертификатами клиентов IBM MQ
Для управления сертификатами TLS используется графический пользовательский интерфейс IBM Key Management (iKeyman). См. раздел Запуск IBM Key Management GUI.
-
Найдите расположение хранилища ключей клиентов.
Введите следующую команду для проверки переменной среды MQSSLKEYR:
echo %MQSSLKEYR%
- В iKeyman GUI убедитесь, что хранилище ключей клиентов содержит все сертификаты CA, которые могут потребоваться для проверки сертификатов, полученных от других администраторов очередей.
-
Проверьте приложение, поскольку хранилище ключей может быть задано в вызове MQCONNX.
Если оба значения установлены, вызов MQCONNX переопределяет значение MQSSLKEYR.
-
Найдите расположение хранилища ключей клиентов.
-
[ВАРИАНТ 2] Настройка каналов для TLS
Настройте каналы TLS (см. раздел Настройка каналов TLS).
-
[ВАРИАНТ 3] Идентификация сертификатов с помощью списков аннулированных сертификатов
CA могут отменить действие незащищенных сертификатов и опубликовать их в списке аннулированных сертификатов (CRL). После получения сертификата администратор очередей или клиент IBM MQ MQI проверяет его наличие в списке аннулированных сертификатов (CRL). Проверка по списку CRL не обязательна для передачи сообщений по протоколу TLS, но рекомендуется для полной уверенности в действительности пользовательских сертификатов.
Можно настроить клиент IBM MQ MQI для проверки сертификатов от CRL серверов LDAP.
- На сервере IBM MQ в IBM MQ Explorer разверните администратор очередей.
- Создайте новый объект информации идентификации типа CRL LDAP. Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
- Повторите предыдущее действие для создания всех необходимых объектов информации идентификации.
-
Создайте список имен и добавьте в него имена объектов информации идентификации, созданных на шагах 2 и 3.
Дополнительная информация приведена в Создание и настройка администраторов очередей и объектов.
- Щелкните правой кнопкой мыши, затем выберите Свойства.
- На странице SSL, в поле Список имен CRL введите имя списка имен, созданных на этапе 4.
-
Нажмите кнопку OK.
Вся информация LDAP CRL будет отображена в таблице определений каналов клиента.
-
Сделайте таблицу определений каналов клиента доступной для клиента или,
если используется
Windows
Active Directory, запишите информацию из таблицы определений каналов клиента в
каталог Active Directory.
См. описание команды setmqscp в IBM Knowledge Center.
В список имен можно добавлять до 10 соединений с альтернативными серверами, чтобы повысить надежность соединения, если один или несколько серверов LDAP будут недоступны. Дополнительные сведения можно найти в разделе Защита в IBM Knowledge Center.
См. также Обзор клиентов IBM MQ MQI в IBM Knowledge Center.
-
[ВАРИАНТ 4] Идентификация сертификатов с помощью идентификации OCSP
Можно настроить клиент IBM MQ MQI для проверки сертификатов на сервере OCSP. Отдельные клиенты не поддерживают проверку сертификатов с помощью OCSP, однако все платформы серверов позволяют указать конфигурацию OCSP, которая будет записана в файл таблицы определений каналов клиента.
- На сервере IBM MQ в IBM MQ Explorer разверните администратор очередей.
-
Создайте новый объект информации идентификации типа OCSP.
Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
- Повторите предыдущее действие для создания всех необходимых объектов информации идентификации OCSP.
-
Создайте новый список имен и добавьте в него имена объектов
идентификационной информации, созданных на шагах 2 и 3.
Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
- Щелкните правой кнопкой мыши, затем выберите Свойства.
- На странице SSL, в поле Список аннулированных имен введите имя списка имен, созданных на этапе 4.
- Нажмите кнопку OK.
- Сделайте таблицу определений каналов клиента доступной для клиента.
В список имен можно добавить только объект OCSP, поскольку библиотека сокетов одновременно может использовать только URL отвечающей стороны OCSP. Дополнительные сведения можно найти в разделе Защита в IBM Knowledge Center.
См. также Обзор клиентов IBM MQ MQI в IBM Knowledge Center.