Konfigurowanie protokołu TLS dla klientów MQI produktu IBM MQ

Zarządzaj certyfikatami klientów IBM® MQ, konfiguruj kanały w celu użycia szyfrowania TLS i uwierzytelniaj certyfikaty za pomocą list CRL (Certificate Revocation Lists) lub uwierzytelniania OCSP.

O tym zadaniu

W tym zadaniu przedstawiono komendy używane podczas pracy z protokołem TLS w kliencie IBM MQ. Więcej informacji zawierają sekcje Zabezpieczania i Konfigurowanie zabezpieczeń klienta MQI produktu IBM MQ w Centrum Wiedzy IBM.

Procedura

  • [OPCJA 1] Zarządzaj certyfikatami klienta IBM MQ

    Aby zarządzać certyfikatami TLS, należy użyć interfejsu GUI IBM Key Management (iKeyman). Więcej informacji na ten temat zawiera sekcja Uruchamianie interfejsu GUI IBM Key Management.

    1. Znajdź lokalizację repozytorium kluczy klienta.
      Wpisz następującą komendę, aby sprawdzić zmienną środowiskową MQSSLKEYR:
      echo %MQSSLKEYR%
    2. W interfejsie GUI iKeyman należy sprawdzić, czy repozytorium kluczy klienta zawiera wszystkie certyfikaty ośrodka certyfikacji, które mogą być wymagane w celu sprawdzenia poprawności certyfikatów otrzymywanych z innych menedżerów kolejek.
    3. Sprawdź używaną aplikację, ponieważ repozytorium kluczy może zostać ustawione na wywołanie MQCONNX.
      Jeśli obie wartości są ustawione, wartość wywołania MQCONNX nadpisuje wartość MQSSLKEYR.
  • [OPCJA 2] Skonfiguruj kanały w celu użycia szyfrowania TLS

    Skonfiguruj kanały TLS w sposób opisany w sekcji Konfigurowanie kanałów TLS.

  • [OPCJA 3] Uwierzytelniaj certyfikaty za pomocą list CRL (Certificate Revocation Lists)

    Ośrodki certyfikacji (CA) mogą unieważnić certyfikaty, które nie są już certyfikatami zaufanymi, publikując je na liście CRL (Certification Revocation List). Po odebraniu certyfikatu przez menedżer kolejek lub klienta MQI produktu IBM MQ można sprawdzić na liście CRL, czy ten certyfikat nie został unieważniony. Sprawdzanie listy CRL nie jest obowiązkowe w celu aktywowania przesyłania komunikatów z włączonym TLS, ale jest zalecane w celu zagwarantowania wiarygodności certyfikatów użytkownika.

    Klient MQI produktu IBM MQ może zostać skonfigurowany w celu sprawdzania certyfikatów według list CRL na serwerach LDAP.

    1. Na serwerze IBM MQ, w programie IBM MQ Explorer rozwiń menedżer kolejek.
    2. Utwórz nowy obiekt informacji uwierzytelniającej typu CRL LDAP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
    3. Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej.
    4. Utwórz listę nazw i dodaj do niej nazwy obiektów informacji uwierzytelniającej utworzonych w punktach 2 i 3.
      Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
    5. Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
    6. Na stronie SSL, w polu Lista nazw CRL wpisz nazwę listy nazw utworzonej w punkcie 4.
    7. Kliknij przycisk OK.

      Wszystkie informacje typu CRL LDAP są teraz zapisywane w tabeli definicji kanału klienta.

    8. Udostępnij klientowi tabelę definicji kanału klienta lub, jeśli używasz usług Windows Active Directory, zapisz informację z tabeli definicji kanału klienta w katalogu Active Directory.
      Patrz komenda setmqscp w Centrum Wiedzy IBM.

    Do listy nazw można dodać maksymalnie 10 połączeń z alternatywnymi serwerami LDAP, aby zagwarantować ciągłość usługi w przypadku, gdy jeden lub więcej serwerów LDAP jest niedostępnych. Więcej informacji zawiera sekcja Zabezpieczania w Centrum Wiedzy IBM.

    Patrz także Przegląd klientów MQI produktu IBM MQ w dokumentacji Centrum Wiedzy IBM.

  • [OPCJA 4] Uwierzytelniaj certyfikaty za pomocą uwierzytelniania OCSP

    Klient MQI produktu IBM MQ może zostać skonfigurowany w celu sprawdzania certyfikatów z użyciem modułu odpowiadającego OCSP. Niektóre środowiska klienckie nie obsługują sprawdzania odwołań OCSP, jednak wszystkie platformy serwerów obsługują definiowanie konfiguracji OCSP zapisywanej w pliku tabeli definicji kanału klienta.

    1. Na serwerze IBM MQ, w programie IBM MQ Explorer rozwiń menedżer kolejek.
    2. Utwórz nowy obiekt informacji uwierzytelniającej typu OCSP.
      Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
    3. Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej OCSP.
    4. Utwórz nową listę nazw i dodaj do niej nazwy obiektów informacji uwierzytelniającej OCSP utworzonych w punktach 2 i 3.
      Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
    5. Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
    6. Na stronie SSL, w polu Lista nazw odwołań wpisz nazwę listy nazw utworzonej w punkcie 4.
    7. Kliknij przycisk OK.
    8. Udostępnij klientowi tabelę definicji kanału klienta.

    Do listy nazw można dodać tylko jeden obiekt OCSP, ponieważ biblioteka gniazd może używać jednocześnie tylko jednego adresu URL modułu odpowiadającego OCSP. Więcej informacji zawiera sekcja Zabezpieczania w Centrum Wiedzy IBM.

    Patrz także Przegląd klientów MQI produktu IBM MQ w dokumentacji Centrum Wiedzy IBM.