TLS beállítása sorkezelőkön

Az IBM® Kulcskezelő (iKeyman) grafikus felületének elindítása után használhatja azt TLS tanúsítványok kezeléséhez. A tanúsítványokat a visszavont tanúsítványok listája vagy OCSP hitelesítés használatával is hitelesítheti.

Mielőtt elkezdené

Az iKeyman grafikus felület indításával kapcsolatos további információkért tekintse meg az IBM Kulcskezelő grafikus felület elindítása című részt.

Erről a feladatról

Ez a feladat azokat a parancsokat mutatja be, melyeket a TLS kezelésére használhat egy IBM MQ ügyfélen. További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása és Setting up IBM MQ MQI ügyfél biztonság témakörét.

Eljárás

  • [1. LEHETŐSÉG] A sorkezelő kulcslerakatának létrehozása

    A sorkezelő által használt tanúsítványok a kulcslerakatban kerülnek tárolásra. Windows, Linux® és UNIX platformokon a kulcslerakatot kulcs adatbázisfájlnak nevezik.

    Mielőtt a sorkezelő tanúsítványait tárolhatná a kulcslerakatban, meg kell győződnie arról, hogy a kulcs adatbázisfájl létezik ezen a helyen.

    1. Keresse meg a sorkezelő kulcslerakatának helyét.
      Ez a sorkezelő Kulcslerakat attribútumában van megadva.
    2. Ha létre kell hoznia a kulcs adatbázisfájlt, akkor ezt az iKeyman grafikus felület segítségével tegye.
    3. Az iKeyman grafikus felületen győződjön meg róla, hogy a sorkezelő kulcslerakata tartalmaz minden olyan Tanúsítványhatóság (CA) tanúsítványt, amelyre szükség lehet a más sorkezelőktől kapott tanúsítványok ellenőrzéséhez.
  • [2. LEHETŐSÉG] A sorkezelő kulcslerakat helyének módosítása

    Bizonyos helyzetekben szüksége lehet a kulcslerakat helyének módosítására; például ha egyetlen helyet szeretne használni, amely meg van osztva az összes sorkezelő között az operációs rendszeren.

    Sorkezelő kulcslerakat helyének módosításához:

    1. Módosítsa a kulcslerakat helyét a sorkezelő tulajdonságaiban:
      1. Nyissa meg az IBM MQ Explorer programot, és bontsa ki a Sorkezelők mappát.
      2. Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
      3. Az SSL adatlapon módosítsa a Kulcslerakat mezőben található útvonalat úgy, hogy az a kiválasztott könyvtárra mutasson.
      4. A figyelmeztetés párbeszédablakban kattintson az Igen lehetőségre.
    2. Az iKeyman grafikus felhasználói felület használatával vigye át a sorkezelő személyes tanúsítványait az új helyre.
      További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása részét.
  • [3. LEHETŐSÉG] Tanúsítványok hitelesítése visszavont tanúsítványok listája használatával

    A Tanúsítványhatóságok (CA) visszavonhatják a már nem megbízható tanúsítványokat úgy, hogy közzéteszik azokat egy Tanúsítvány visszavonási listában (CRL). Amikor tanúsítványt kap egy sorkezelőtől vagy IBM MQ MQI ügyféltől, akkor ellenőrizheti a CRL listában, hogy az nem lett-e visszavonva. A CRL ellenőrzés nem kötelező a TLS alapú üzenetkezelés eléréséhez, de ajánlott a felhasználói tanúsítványok megbízhatóságának biztosításához.

    LDAP CRL kiszolgáló kapcsolatának beállításához tegye a következőket:

    1. Az IBM MQ Explorer programban bontsa ki a sorkezelőt.
    2. Hozzon létre egy CRL LDAP típusú hitelesítési információs objektumot. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
    3. Ismételje meg az előző lépést, és hozzon létre annyi CRL LDAP hitelesítési információs objektumot, amennyi szükséges.
    4. Hozzon létre egy névlistát, és vegye fel rá a 2. és 3. lépésben létrehozott hitelesítési információs objektumok nevét.
    5. Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
    6. Az SSL oldalon a CRL Névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
    7. Kattintson az OK gombra.

    A sorkezelő által fogadott tanúsítványokat most már hitelesíteni lehet az LDAP kiszolgálón található CRL listával.

    A névlistához legfeljebb 10 alternatív LDAP kiszolgálót adhat hozzá, hogy biztosítsa a folyamatos szolgáltatást, ha bizonyos LDAP kiszolgálók nem elérhetőek.

  • [4. LEHETŐSÉG] Tanúsítványok hitelesítése OCSP hitelesítés használatával

    [Windows][UNIX]UNIX és Windows rendszereken az IBM MQ TLS támogatás OCSP (Online tanúsítványállapot-protokoll) használatával vagy LDAP (Egyszerűsített címtárhozzáférési protokoll) kiszolgálókon található CRL és ARL listák segítségével ellenőrzi a visszavont tanúsítványokat. Az OCSP az előnyben részesített módszer. A IBM MQ Java™ osztályok és IBM MQ JMS osztályok nem használhatják az OCSP információkat ügyfélcsatorna meghatározási tábla fájlban. Az OCSP azonban konfigurálható az IBM Knowledge Center Visszavont tanúsítványok és OCSP témakörében leírtak szerint.

    [IBM i][z/OS]A IBM i és z/OS rendszerek nem támogatják az OCSP ellenőrzést, de lehetővé teszik OCSP információkat tartalmazó ügyfél csatornameghatározási táblák (CCDT) létrehozását.

    A CCDT táblák és az OCSP további információért tekintse meg az IBM Knowledge Center Ügyfélcsatorna-meghatározási táblázat témakörét.

    OCSP kiszolgáló kapcsolatának beállításához tegye a következőket:

    1. Az IBM MQ Explorer programban bontsa ki a sorkezelőt.
    2. Hozzon létre egy OCSP típusú hitelesítési információs objektumot.
    3. Ismételje meg az előző lépést, és hozzon létre annyi OCSP hitelesítési információs objektumot, amennyi szükséges.
    4. Hozzon létre egy névlistát, és vegye fel rá a 2. és 3. lépésben létrehozott OCSP hitelesítési információs objektumok nevét.
    5. Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
    6. Az SSL oldalon a Visszavonási névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
    7. Kattintson az OK gombra.

    A sorkezelő által fogadott tanúsítványokat most már hitelesítve vannak az OCSP válaszadóval.

    A sorkezelő az OCSP információkat beírja a CCDT táblába.

    Csak egy OCSP objektum vehető fel a névlistára, mivel a socket könyvtár egyszerre csak egy OCSP válaszadó URL címet képes használni.

  • [5. LEHETŐSÉG] Kriptográfiai hardver beállítása

    A IBM MQ képes támogatni a kriptográfiai hardvert, és a sorkezelőt ennek megfelelően kell beállítani.

    1. Indítsa el az IBM MQ Explorer programot.
    2. A Navigátor nézetben kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
      Megjelenik a Tulajdonságok párbeszédablak.
    3. Az SSL oldalon kattintson a Konfigurálás elemre.
      Megjelenik a Kriptográfiai hardver beállításai párbeszédablak.
    4. A Kriptográfiai hardver beállításai párbeszédablakban adja meg a PKCS #11 illesztőprogram elérési útját, a jelsor címkét, a jelsor jelszót, valamint a szimmetrikus rejtjel beállítást.

      Jelenleg az összes támogatott kriptográfiai kártya PKCS #11 illesztőprogramot használ, ezért hagyja figyelmen kívül a Rainbow Cryptoswift vagy az nCipher nFast kártyákra vonatkozó utalásokat.

    5. Kattintson az OK gombra.

    A sorkezelő be lett állítva a kriptográfiai hardver használatára.

    Az iKeyman segítségével olyan tanúsítványokkal is dolgozhat, amelyek PKCS #11 hardveren vannak tárolva.

    További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása részét.