Zarządzaj certyfikatami klientów IBM® MQ,
konfiguruj kanały w celu użycia szyfrowania TLS i uwierzytelniaj certyfikaty za pomocą list CRL (Certificate Revocation Lists) lub uwierzytelniania OCSP.
O tym zadaniu
W tym zadaniu przedstawiono komendy używane podczas pracy z
protokołem TLS w kliencie
IBM MQ.
Więcej informacji zawierają sekcje Zabezpieczania i Konfigurowanie zabezpieczeń klienta MQI produktu IBM MQ
w Centrum Wiedzy IBM.
Procedura
-
[OPCJA 1] Zarządzaj certyfikatami klienta IBM MQ
-
Znajdź lokalizację repozytorium kluczy klienta.
Wpisz następującą komendę, aby sprawdzić zmienną środowiskową MQSSLKEYR:
echo %MQSSLKEYR%
-
W interfejsie GUI iKeyman należy
sprawdzić, czy repozytorium kluczy klienta zawiera wszystkie certyfikaty ośrodka certyfikacji, które mogą być
wymagane w celu sprawdzenia poprawności certyfikatów otrzymywanych z innych menedżerów kolejek.
-
Sprawdź używaną
aplikację, ponieważ repozytorium kluczy może zostać ustawione na wywołanie MQCONNX.
Jeśli obie wartości są ustawione, wartość wywołania MQCONNX nadpisuje wartość MQSSLKEYR.
-
[OPCJA 2] Skonfiguruj kanały w celu użycia szyfrowania TLS
-
[OPCJA 3] Uwierzytelniaj certyfikaty za pomocą list CRL (Certificate Revocation
Lists)
Ośrodki certyfikacji (CA) mogą unieważnić certyfikaty, które nie są już certyfikatami zaufanymi, publikując je na liście CRL (Certification Revocation List). Po
odebraniu certyfikatu przez menedżer kolejek lub klienta MQI produktu IBM MQ można sprawdzić na liście CRL, czy ten
certyfikat nie został unieważniony. Sprawdzanie listy CRL nie jest obowiązkowe w celu aktywowania przesyłania komunikatów z włączonym TLS, ale jest zalecane w celu zagwarantowania wiarygodności certyfikatów użytkownika.
Klient MQI produktu IBM MQ może zostać skonfigurowany w celu sprawdzania certyfikatów według list CRL na
serwerach LDAP.
-
Na serwerze IBM MQ, w programie IBM MQ Explorer rozwiń menedżer kolejek.
-
Utwórz nowy obiekt informacji uwierzytelniającej typu CRL LDAP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
-
Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej.
-
Utwórz listę nazw i dodaj do niej nazwy obiektów informacji
uwierzytelniającej utworzonych w punktach 2 i 3.
-
Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
-
Na stronie SSL, w polu Lista nazw CRL wpisz nazwę listy nazw utworzonej w punkcie 4.
-
Kliknij przycisk OK.
Wszystkie informacje typu CRL LDAP są teraz zapisywane w tabeli definicji kanału klienta.
-
Udostępnij klientowi tabelę definicji kanału klienta lub, jeśli używasz
usług
Windows
Active Directory, zapisz informację z tabeli definicji kanału klienta w
katalogu Active Directory.
Patrz komenda
setmqscp w
Centrum Wiedzy IBM.
Do listy nazw można dodać maksymalnie 10 połączeń z alternatywnymi serwerami LDAP, aby zagwarantować ciągłość usługi w przypadku, gdy jeden lub więcej serwerów LDAP jest niedostępnych.
Więcej informacji zawiera sekcja Zabezpieczania w Centrum Wiedzy IBM.
Patrz także Przegląd klientów MQI produktu IBM MQ w dokumentacji Centrum Wiedzy IBM.
-
[OPCJA 4] Uwierzytelniaj certyfikaty za pomocą uwierzytelniania OCSP
Klient MQI produktu IBM MQ może zostać skonfigurowany w celu sprawdzania certyfikatów z użyciem modułu odpowiadającego
OCSP. Niektóre środowiska
klienckie nie obsługują sprawdzania odwołań OCSP, jednak wszystkie platformy
serwerów obsługują definiowanie konfiguracji OCSP zapisywanej w pliku tabeli
definicji kanału klienta.
-
Na serwerze IBM MQ, w programie IBM MQ Explorer rozwiń menedżer kolejek.
-
Utwórz nowy obiekt informacji uwierzytelniającej typu OCSP.
-
Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej OCSP.
-
Utwórz nową listę nazw i dodaj do niej nazwy obiektów informacji
uwierzytelniającej OCSP utworzonych w punktach 2 i 3.
-
Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
-
Na stronie SSL, w polu Lista nazw
odwołań wpisz nazwę listy nazw utworzonej w punkcie 4.
-
Kliknij przycisk OK.
-
Udostępnij klientowi tabelę definicji kanału klienta.
Do
listy nazw można dodać tylko jeden obiekt OCSP, ponieważ biblioteka gniazd może używać jednocześnie tylko jednego adresu URL modułu odpowiadającego OCSP.
Więcej informacji zawiera sekcja Zabezpieczania w Centrum Wiedzy IBM.
Patrz także Przegląd klientów MQI produktu IBM MQ w dokumentacji Centrum Wiedzy IBM.