TLS beállítása IBM MQ MQI ügyfeleken

Az IBM® MQ ügyfél tanúsítványok kezelése, a csatornák beállítása TLS használatára, tanúsítványok hitelesítése visszavont tanúsítványok listája vagy OCSP hitelesítés használatával.

Erről a feladatról

Ez a feladat azokat a parancsokat mutatja be, melyeket a TLS kezelésére használhat egy IBM MQ ügyfélen. További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása és Setting up IBM MQ MQI ügyfél biztonság témakörét.

Eljárás

  • [1. LEHETŐSÉG] Az IBM MQ kezel tanúsítványok kezelése

    A TLS tanúsítványok kezeléséhez használja az IBM Kulcskezelő (iKeyman) grafikus felületet. További információk: IBM Kulcskezelő grafikus felületének indítása.

    1. Keresse meg az ügyfél kulcslerakatának helyét.
      Az MQSSLKEYR környezeti változó vizsgálatához adja ki a következő parancsot:
      echo %MQSSLKEYR%
    2. Az iKeyman grafikus felületen győződjön meg róla, hogy az ügyfél kulcslerakata tartalmaz minden olyan Tanúsítványhatóság (CA) tanúsítványt, amelyre szükség lehet a más sorkezelőktől kapott tanúsítványok ellenőrzéséhez.
    3. Ellenőrizze az alkalmazást, mert a kulcslerakat egy MQCONNX hívásra lehet beállítva.
      Ha mindkét érték be van állítva, akkor az MQCONNX híváson beállított érték felülbírálja az MQSSLKEYR értékét.
  • [2. LEHETŐSÉG] Csatornák beállítása TLS használatára

    Állítsa be a TLS csatornákat a következő helyen leírtak szerint: TLS csatornák beállítása.

  • [3. LEHETŐSÉG] Tanúsítványok hitelesítése visszavont tanúsítványok listája használatával

    A Tanúsítványhatóságok (CA) visszavonhatják a már nem megbízható tanúsítványokat úgy, hogy közzéteszik azokat egy Tanúsítvány visszavonási listában (CRL). Amikor tanúsítványt kap egy sorkezelőtől vagy IBM MQ MQI ügyféltől, akkor ellenőrizheti a CRL listában, hogy az nem lett-e visszavonva. A CRL ellenőrzés nem kötelező a TLS alapú üzenetkezelés eléréséhez, de ajánlott a felhasználói tanúsítványok megbízhatóságának biztosításához.

    Az IBM MQ MQI ügyfelet beállíthatja úgy, hogy a tanúsítványokat LDAP kiszolgálókon található CRL listákkal ellenőrizze.

    1. A IBM MQ kiszolgálón, az IBM MQ Explorer programban bontsa ki a sorkezelőt.
    2. Hozzon létre egy új CRL LDAP típusú hitelesítési információs objektumot. További információk: Sorkezelők és objektumok létrehozása és beállítása.
    3. Ismételje meg az előző lépést, és hozzon létre annyi hitelesítési információs objektumot, amennyi szükséges.
    4. Hozzon létre egy névlistát, és vegye fel rá a 2. és 3. lépésben létrehozott hitelesítési információs objektumok nevét.
    5. Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
    6. Az SSL oldalon a CRL Névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
    7. Kattintson az OK gombra.

      Az összes LDAP CRL információ beírásra került az ügyfélcsatorna-meghatározási táblázatba.

    8. Tegye elérhetővé az ügyfélcsatorna-meghatározási táblázatot az ügyfél számára, vagy Windows Active Directory használata esetén írja ki az információkat az ügyfélcsatorna-meghatározási táblázatból az Active Directory címtárba.
      Tekintse meg a setmqscp parancs leírását az IBM Knowledge Center webhelyen.

    A névlistához legfeljebb 10 alternatív LDAP kiszolgálót adhat hozzá, hogy biztosítsa a folyamatos szolgáltatást, ha bizonyos LDAP kiszolgálók nem elérhetőek. További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása témakörét.

    Lásd még: Az IBM MQ MQI ügyfelek áttekintése az IBM Knowledge Center webhelyen.

  • [4. LEHETŐSÉG] Tanúsítványok hitelesítése OCSP hitelesítés használatával

    Beállíthatja úgy az IBM MQ MQI ügyfelet úgy, hogy egy OCSP válaszadóval ellenőrizze a tanúsítványokat. Bizonyos ügyfél környezetek nem támogatják az OCSP visszavonás-ellenőrzést, de minden kiszolgálóplatform támogatja az OCSP konfiguráció meghatározásának képességét, ami kiírásra kerül az ügyfélcsatorna-meghatározási táblázat fájlba.

    1. A IBM MQ kiszolgálón, az IBM MQ Explorer programban bontsa ki a sorkezelőt.
    2. Hozzon létre egy új OCSP típusú hitelesítési információs objektumot.
    3. Ismételje meg az előző lépést, és hozzon létre annyi OCSP hitelesítési információs objektumot, amennyi szükséges.
    4. Hozzon létre egy új névlistát, és vegye fel rá a 2. és 3. lépésben létrehozott OCSP hitelesítési információs objektumok nevét.
    5. Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
    6. Az SSL oldalon a Visszavonási névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
    7. Kattintson az OK gombra.
    8. Tegye elérhetővé az ügyfél számára az ügyfélcsatorna-meghatározási táblázatot.

    Csak egy OCSP objektum vehető fel a névlistára, mivel a socket könyvtár egyszerre csak egy OCSP válaszadó URL címet képes használni. További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása témakörét.

    Lásd még: Az IBM MQ MQI ügyfelek áttekintése az IBM Knowledge Center webhelyen.