Konfigurace zabezpečení TLS v klientech IBM MQ MQI

Spravujte certifikáty klienta produktu IBM® MQ, nakonfigurujte kanály pro používání TLS a certifikáty ověřujte buď pomocí seznamů odvolaných certifikátů, nebo ověřováním OCSP.

Informace o této úloze

Tato úloha představuje příkazy používané pro práci se zabezpečením TLS v klientu IBM MQ. Další informace viz Zabezpečení a Nastavení zabezpečení klienta IBM MQ MQI v Centrum znalostí IBM.

Postup

  • [VOLBA 1] Správa certifikátů klienta IBM MQ

    Ke správě certifikátů TLS lze použít grafické uživatelské rozhraní Správa klíčů IBM (iKeyman). Další informace viz Spuštění grafického uživatelského rozhraní Správa klíčů IBM.

    1. Vyhledejte umístění úložiště klíčů klienta.
      Chcete-li prozkoumat proměnnou prostředí MQSSLKEYR, zadejte následující příkaz:
      echo %MQSSLKEYR%
    2. V rozhraní GUI iKeyman zkontrolujte, zda úložiště klíčů klienta obsahuje všechny certifikáty certifikační autority (CA), které by mohly být potřebné k ověření certifikátů přijatých od jiných správců front.
    3. Zkontrolujte svou aplikaci, protože úložiště klíčů lze nastavit na volání MQCONNX.
      Jsou-li zadány obě hodnoty, volání MQCONNX přepíše hodnotu proměnné MQSSLKEYR.
  • [VOLBA 2] Konfigurace kanálů pro použití TLS

    Nastavte kanály TLS, jak je popsáno v tématu Konfigurace kanálů TLS.

  • [VOLBA 3] Ověřování certifikátů pomocí seznamů odvolaných certifikátů

    Certifikační autority mohou odvolávat certifikáty, které ztratily důvěryhodnost. Toto zrušení je provedeno jejich publikováním na seznamu zrušených certifikátů (CRL - Certification Revocation List). Pokud správce front nebo klient IBM MQ MQI obdrží certifikát, lze v seznamu zrušených certifikátů zkontrolovat, zda nebyl odvolán. Ověření oproti seznamu CRL není v systému zpráv s povoleným zabezpečením TLS povinné, avšak doporučuje se pomocí něj ověřovat důvěryhodnost certifikátů uživatele.

    Klienta IBM MQ MQI lze nastavit tak, že bude certifikáty kontrolovat vzhledem k seznamům odvolaných certifikátů na serverech LDAP.

    1. Na serveru IBM MQ rozbalte v produktu IBM MQ Explorer položku správce front.
    2. Vytvořte nový objekt s ověřovacími informacemi typu CRL LDAP. Další informace viz Vytvoření a konfigurace správců front a objektů.
    3. Zopakováním předchozího kroku můžete vytvořit další objekty s ověřovacími informacemi.
    4. Vytvořte seznam názvů a přidejte do něj názvy objektů s ověřovacími informacemi, které byly vytvořeny v krocích 2 a 3.
    5. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
    6. Na stránce SSL zadejte do pole Seznam názvů CRL název seznamu názvů, který byl vytvořen v kroku 4.
    7. Klepněte na tlačítko OK.

      Všechny informace seznamu LDAP CRL nyní budou zapsány do tabulky definic kanálů klienta.

    8. Povolte tabulku definic kanálů klienta pro klienta nebo, používáte-li systém Windows Active Directory, zapište informace z tabulky definic kanálů klienta do adresáře služby Active Directory.
      Viz příkaz setmqscp v Centrum znalostí IBM.

    Do seznamu názvů lze přidat až 10 připojení k alternativním serverům LDAP s cílem zajistit pokračování činnosti služby i při nedostupnosti jednoho či více serverů LDAP. Další informace viz Zabezpečení v Centrum znalostí IBM.

    Viz také Přehled klientů IBM MQ MQI v Centrum znalostí IBM.

  • [VOLBA 4] Ověřování certifikátů pomocí ověření OCSP

    Klienta IBM MQ MQI lze nastavit tak, aby kontroloval certifikáty pomocí odpovídacího modulu OCSP. V některých klientských prostředích není kontrola odvolání pomocí protokolu OCSP podporována, všechny serverové platformy však podporují možnost definovat konfiguraci OCSP, která bude zapsána do souboru definiční tabulky kanálu klienta.

    1. Na serveru IBM MQ rozbalte v produktu IBM MQ Explorer položku správce front.
    2. Vytvořte nový objekt ověřovacích informací typu OCSP.
    3. Zopakováním předchozího kroku můžete vytvořit další objekty s ověřovacími informacemi OCSP.
    4. Vytvořte nový seznam názvů a přidejte do něj názvy objektů s ověřovacími informacemi OCSP, které byly vytvořeny v krocích 2 a 3.
    5. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
    6. Na stránce SSL zadejte do pole Seznam názvů revokace název seznamu názvů, který byl vytvořen v kroku 4.
    7. Klepněte na tlačítko OK.
    8. Povolte klientovi tabulku definic kanálů klienta.

    Do seznamu názvů lze přidat jen jeden objekt OCSP, protože knihovna soketů nemůže využívat více než jednu adresu URL odpovídacího modulu OCSP současně. Další informace viz Zabezpečení v Centrum znalostí IBM.

    Viz také Přehled klientů IBM MQ MQI v Centrum znalostí IBM.