Configuration de la sécurité TLS sur les gestionnaires de files d'attente

Une fois l'interface utilisateur d'IBM® Key Management (iKeyman) démarrée, vous pouvez l'utiliser pour gérer les certificats TLS. Vous pouvez aussi authentifier les certificats à l'aide de listes de révocation de certificat ou de l'authentification OCSP.

Avant de commencer

Pour plus d'informations sur le démarrage de l'interface graphique d'iKeyman, voir Démarrage de l'interface graphique d'IBM Key Management.

Pourquoi et quand exécuter cette tâche

Cette tâche présente les commandes dont vous vous servez pour utiliser TLS sur un client IBM MQ. Pour plus d'informations, voir Securing et Configuration de la sécurité du client IBM MQ MQI dans l'IBM Knowledge Center.

Procédure

  • [OPTION 1] Créer le référentiel de clés du gestionnaire de files d'attente

    Le référentiel de clés est l'emplacement dans lequel le gestionnaire de files d'attente conserve ses certificats. Sur les plateformes Windows, Linux® et UNIX, le référentiel de clés est appelé fichier de clés.

    Pour pouvoir stocker les certificats du gestionnaire de files d'attente dans le référentiel de clés, vous devez vous assurer qu'un fichier de clés existe à cet emplacement.

    1. Recherchez l'emplacement du référentiel de clés du gestionnaire de files d'attente.
      Il est spécifié dans l'attribut Référentiel de clés du gestionnaire de files d'attente.
    2. Si vous devez créer le fichier de base de données de clés, utilisez l'interface graphique d'iKeyman.
    3. Dans l'interface graphique d'iKeyman, vérifiez que le référentiel de clés du gestionnaire de files d'attente contient tous les certificats de l'autorité de certification pouvant être requis pour valider des certificats reçus d'autres gestionnaires de files d'attente.
  • [OPTION 2] Changer l'emplacement du référentiel de clés du gestionnaire de files d'attente

    Dans certains cas, il peut s'avérer utile de changer l'emplacement du référentiel de clés, par exemple pour utiliser un emplacement unique partagé par tous les gestionnaires de files d'attente d'un système d'exploitation.

    Pour modifier l'emplacement du référentiel de clés d'un gestionnaire de files d'attente, procédez comme suit :

    1. Modifiez l'emplacement du référentiel de clés dans les propriétés du gestionnaire de files d'attente :
      1. Ouvrez IBM MQ Explorer et développez le dossier des gestionnaires de files d'attente.
      2. Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
      3. Dans la page de propriétés SSL, dans la zone Référentiel de clés, indiquez le chemin d'accès au répertoire de votre choix.
      4. Dans la boîte de dialogue Avertissement, cliquez sur Oui.
    2. Transférez les certificats personnels du gestionnaire de files d'attente vers le nouvel emplacement à l'aide de l'interface graphique d'iKeyman.
      Pour plus d'informations, voir Securing dans l'IBM Knowledge Center.
  • [OPTION 3] Authentifier les certificats à l'aide de listes de révocation de certificat

    Les autorités de certification peuvent révoquer des certificats qui ne sont plus fiables en les mentionnant dans une liste de révocation de certificat. Lorsqu'un gestionnaire de files d'attente ou un client IBM MQ MQI reçoit un certificat, vous pouvez vérifier qu'il ne figure pas dans la liste de révocation de certificat pour vous assurer qu'il n'a pas été révoqué. Cette vérification n'est pas obligatoire, mais il est recommandé de s'assurer de la validité des certificats utilisateur.

    Pour configurer une connexion à un serveur de liste de révocation de certificat LDAP, procédez comme suit :

    1. Dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
    2. Créez un objet d'information d'authentification de type CRL LDAP. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
    3. Effectuez à nouveau l'étape précédente pour créer le nombre d'objets d'information d'authentification LDAP de liste de révocation de certificat dont vous avez besoin.
    4. Créez une liste de noms et ajoutez à cette liste les noms des objets d'information d'authentification que vous avez créés au cours des étapes 2 et 3.
    5. Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
    6. Dans la page SSL, dans la zone Liste de noms CRL, tapez le nom de la liste de noms créée à l'étape 4.
    7. Cliquez sur OK.

    Les certificats reçus par le gestionnaire de files d'attente peuvent maintenant être authentifiés auprès de la liste de retrait de certificats du serveur LDAP.

    Vous pouvez ajouter à la liste de noms jusqu'à 10 connexions vers des serveurs LDAP de secours afin de garantir une continuité de service si un ou plusieurs de ces serveurs sont inaccessibles.

  • [OPTION 4] Authentifier les certificats à l'aide de l'authentification OCSP

    [Windows][UNIX]Sur les systèmes UNIX et Windows, la prise en charge TLS d'IBM MQ recherche des certificats révoqués avec le protocole OCSP (Online Certificate Status Protocol) ou des listes CRL et ARL sur les serveurs LDAP (Lightweight Directory Access Protocol). OCSP est la méthode préférée. IBM MQ classes for Java™ et IBM MQ classes for JMS ne peuvent pas utiliser les informations OCSP dans un fichier de table de définition de canal du client. Toutefois, vous pouvez configurer le protocole OCSP comme décrit dans la rubrique Certificats révoqués et OCSP dans l'IBM Knowledge Center.

    [IBM i][z/OS]Les systèmes IBM i et z/OS ne prennent pas en charge la vérification via OCSP mais autorisent la génération de tables de définition de canal du client (CCDT) contenant des informations OCSP.

    Pour plus d'informations sur les tables de définition de canal du client et OCSP, voir Table de définition de canal du client dans l'IBM Knowledge Center.

    Pour configurer une connexion à un serveur OCSP, procédez comme suit :

    1. Dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
    2. Créez un objet d'information d'authentification de type OCSP.
    3. Effectuez à nouveau l'étape précédente pour créer le nombre d'objets d'information d'authentification OCSP dont vous avez besoin.
    4. Créez une liste de noms et ajoutez à cette liste les noms des objets d'information d'authentification OCSP que vous avez créés au cours des étapes 2 et 3.
    5. Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
    6. Dans la page SSL et plus précisément dans la zone Liste de noms de révocation, entrez le nom de la liste de noms créée à l'étape 4.
    7. Cliquez sur OK.

    Les certificats reçus par le gestionnaire de files d'attente sont authentifiés auprès du canal répondeur OCSP.

    Le gestionnaire de files d'attente écrit des informations OCSP dans la table de définition de canal du client.

    UN seul objet OCSP peut être ajouté à la liste de noms car la bibliothèque de sockets ne peut utiliser qu'une seule adresse URL de canal répondeur OCSP à la fois.

  • [OPTION 5] Configurer le matériel de cryptographie

    IBM MQ prend en charge le matériel de cryptographie et le gestionnaire de files d'attente doit être configuré en conséquence.

    1. Démarrez IBM MQ Explorer.
    2. Dans la vue Navigateur, avec le bouton droit de la souris, cliquez sur le gestionnaire de files d'attente, puis sur Propriétés.
      La boîte de dialogue Propriétés s'ouvre.
    3. Dans la page SSL, cliquez sur Configurer.
      La boîte de dialogue Paramètres du matériel de cryptographie s'ouvre.
    4. Dans la boîte de dialogue Paramètres du matériel de cryptographie, entrez le chemin d'accès au pilote PKCS #11, ainsi qu'un libellé et un mot de passe de jeton et le paramètre relatif à la spécification de chiffrement symétrique.

      Désormais, toutes les cartes de cryptographie prises en charge utilisent PKCS #11. Ignorez donc toutes les références aux cartes Rainbow Cryptoswift ou nCipher nFast.

    5. Cliquez sur OK.

    Le gestionnaire de files d'attente est maintenant configuré pour utiliser le matériel de cryptographie.

    Vous pouvez également travailler avec des certificats stockés sur le matériel PKCS #11 à l'aide d'iKeyman.

    Pour plus d'informations, voir Securing dans l'IBM Knowledge Center.