TLS auf IBM MQ MQI-Clients konfigurieren

Verwalten Sie die IBM® MQ-Clientzertifikate, konfigurieren Sie die Kanäle für die Verwendung von TLS und authentifizieren Sie Zertifikate entweder mithilfe von Zertifikatswiderrufslisten oder der OCSP-Authentifizierung.

Informationen zu diesem Vorgang

In dieser Task werden die Befehle beschrieben, die zur Verwendung der TLS-Sicherheit auf einem IBM MQ-Client erforderlich sind. Weitere Informationen finden Sie unter Sicherheit und IBM MQ MQI-Clientsicherheit einrichten in der IBM Knowledge Center.

Vorgehensweise

  • [OPTION 1] Verwalten der IBM MQ-Clientzertifikate

    Mithilfe der GUI von IBM Key Management (iKeyman) können Sie Ihre TLS-Zertifikate verwalten. Weitere Informationen finden Sie in Grafische Benutzerschnittstelle von IBM Key Management starten.

    1. Suchen Sie die Position des Clientschlüsselrepositorys.
      Geben Sie folgenden Befehl ein, um die Umgebungsvariable MQSSLKEYR zu prüfen:
      echo %MQSSLKEYR%
    2. Vergewissern Sie sich in der GUI von iKeyman, dass das Schlüsselrepository des Clients alle CA-Zertifikate enthält, die zur Prüfung von Zertifikaten anderer Warteschlangenmanager erforderlich sein könnten.
    3. Überprüfen Sie Ihre Anwendung, da das Schlüsselrepository in einem MQCONNX-Aufruf festgelegt werden kann.
      Wenn beide Werte gesetzt wurden, wird der Wert der Umgebungsvariable MQSSLKEYR durch den Wert überschrieben, der im MQCONNX-Aufruf festgelegt ist.
  • [OPTION 2] Konfigurieren der Kanäle für TLS

    Richten Sie die TLS-Kanäle ein, wie im Abschnitt TLS-Kanäle konfigurieren beschrieben.

  • [OPTION 3] Authentifizieren von Zertifikaten mithilfe von Zertifikatswiderrufslisten

    Zertifizierungsstellen (Certification Authorities, CAs) können Zertifikate sperren, die nicht mehr allgemein zugänglich sein sollen und diese in einer Zertifikatswiderrufsliste (Certification Revocation List, CRL) auflisten. Empfängt ein Warteschlangenmanager oder ein IBM MQ MQI-Client ein Zertifikat, kann anhand der Zertifikatswiderrufsliste überprüft werden, ob dieses Zertifikat widerrufen wurde. Die CRL-Überprüfung ist für eine TLS-gesicherte Nachrichtenübertragung nicht unbedingt erforderlich, wird jedoch empfohlen, da so die Integrität von Benutzerzertifikaten gewährleistet wird.

    Sie können einen IBM MQ MQI-Client so konfigurieren, dass Zertifikate anhand von Zertifikatswiderrufslisten auf LDAP-Servern überprüft werden.

    1. Erweitern Sie auf dem IBM MQ-Server in IBM MQ Explorer den Warteschlangenmanager.
    2. Erstellen Sie ein neues Authentifizierungsdatenobjekt des Typs CRL LDAP. Weitere Informationen finden Sie in Warteschlangenmanager und Objekte erstellen und konfigurieren.
    3. Wiederholen Sie den vorherigen Schritt, um beliebig viele Authentifizierungsdatenobjekte zu erstellen.
    4. Erstellen Sie eine Namensliste und fügen Sie dieser die Namen der Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben.
    5. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
    6. Geben Sie auf der Seite SSL im Feld CRL-Namensliste den Namen der von Ihnen in Schritt 4 erstellten Namensliste ein.
    7. Klicken Sie auf OK.

      Die gesamten LDAP-CRL-Informationen werden jetzt in die Definitionstabelle für Clientkanäle geschrieben.

    8. Stellen Sie dem Client die Tabelle mit den Clientkanaldefinitionen zur Verfügung. Wenn Sie Windows Active Directory verwenden, können Sie die Informationen aus der Tabelle mit den Clientkanaldefinitionen in das Active Directory schreiben.
      Weitere Informationen finden Sie im Befehl setmqscp in der IBM Knowledge Center.

    Der Namensliste können bis zu zehn Verbindungen zu anderen LDAP-Servern hinzugefügt werden; auf diese Weise ist auch bei einer Nichtverfügbarkeit eines oder mehrerer LDAP-Server ein ordnungsgemäßer Betrieb gewährleistet. Weitere Informationen finden Sie unter Sicherheit in der IBM Knowledge Center.

    Siehe auch Überblick über IBM MQ MQI-Clients in IBM Knowledge Center.

  • [OPTION 4] Authentifizieren von Zertifikaten mithilfe der OCSP-Authentifizierung

    Sie können einen IBM MQ MQI-Client so konfigurieren, dass Zertifikate anhand eines OCSP-Responder geprüft werden. Einige Clientumgebungen unterstützen die OCSP-Widerrufsüberprüfung nicht, alle Serverplattformen unterstützen jedoch die Funktionalität zur Definition der OCSP-Konfiguration, die in die Definitionstabellendatei für Clientkanäle geschrieben wird.

    1. Erweitern Sie auf dem IBM MQ-Server in IBM MQ Explorer den Warteschlangenmanager.
    2. Erstellen Sie ein neues Authentifizierungsdatenobjekt des Typs OCSP.
      Weitere Informationen hierzu finden Sie in Warteschlangenmanager und Objekte erstellen und konfigurieren.
    3. Wiederholen Sie den vorherigen Schritt, um beliebig viele OCSP-Authentifizierungsdatenobjekte zu erstellen.
    4. Erstellen Sie eine neue Namensliste und fügen Sie dieser die Namen der OCSP-Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben.
      Weitere Informationen hierzu finden Sie in Warteschlangenmanager und Objekte erstellen und konfigurieren.
    5. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
    6. Geben Sie auf der Seite SSL im Feld Widerrufs-Namensliste den Namen der von Ihnen in Schritt 4 erstellten Namensliste ein.
    7. Klicken Sie auf OK.
    8. Stellen Sie dem Client die Definitionstabelle für Clientkanäle zur Verfügung.

    Es kann nur ein OCSP-Objekt zur Namensliste hinzugefügt werden, da die Sockets-Bibliothek immer nur eine OCSP-Responder-URL verwenden kann. Weitere Informationen finden Sie unter Sicherheit in der IBM Knowledge Center.

    Siehe auch Überblick über IBM MQ MQI-Clients in IBM Knowledge Center.