TLS beállítása IBM MQ MQI ügyfeleken
Az IBM® MQ ügyfél tanúsítványok kezelése, a csatornák beállítása TLS használatára, tanúsítványok hitelesítése visszavont tanúsítványok listája vagy OCSP hitelesítés használatával.
Erről a feladatról
Ez a feladat azokat a parancsokat mutatja be, melyeket a TLS kezelésére használhat egy IBM MQ ügyfélen. További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása és Setting up IBM MQ MQI ügyfél biztonság témakörét.
Eljárás
-
[1. LEHETŐSÉG] Az IBM MQ kezel
tanúsítványok kezelése
A TLS tanúsítványok kezeléséhez használja az IBM Kulcskezelő (iKeyman) grafikus felületet. További információk: IBM Kulcskezelő grafikus felületének indítása.
-
Keresse meg az ügyfél kulcslerakatának helyét.
Az MQSSLKEYR környezeti változó vizsgálatához adja ki a következő parancsot:
echo %MQSSLKEYR%
- Az iKeyman grafikus felületen győződjön meg róla, hogy az ügyfél kulcslerakata tartalmaz minden olyan Tanúsítványhatóság (CA) tanúsítványt, amelyre szükség lehet a más sorkezelőktől kapott tanúsítványok ellenőrzéséhez.
-
Ellenőrizze az alkalmazást, mert a kulcslerakat egy MQCONNX hívásra lehet
beállítva.
Ha mindkét érték be van állítva, akkor az MQCONNX híváson beállított érték felülbírálja az MQSSLKEYR értékét.
-
Keresse meg az ügyfél kulcslerakatának helyét.
-
[2. LEHETŐSÉG] Csatornák beállítása TLS használatára
Állítsa be a TLS csatornákat a következő helyen leírtak szerint: TLS csatornák beállítása.
-
[3. LEHETŐSÉG] Tanúsítványok hitelesítése visszavont tanúsítványok listája
használatával
A Tanúsítványhatóságok (CA) visszavonhatják a már nem megbízható tanúsítványokat úgy, hogy közzéteszik azokat egy Tanúsítvány visszavonási listában (CRL). Amikor tanúsítványt kap egy sorkezelőtől vagy IBM MQ MQI ügyféltől, akkor ellenőrizheti a CRL listában, hogy az nem lett-e visszavonva. A CRL ellenőrzés nem kötelező a TLS alapú üzenetkezelés eléréséhez, de ajánlott a felhasználói tanúsítványok megbízhatóságának biztosításához.
Az IBM MQ MQI ügyfelet beállíthatja úgy, hogy a tanúsítványokat LDAP kiszolgálókon található CRL listákkal ellenőrizze.
- A IBM MQ kiszolgálón, az IBM MQ Explorer programban bontsa ki a sorkezelőt.
- Hozzon létre egy új CRL LDAP típusú hitelesítési információs objektumot. További információk: Sorkezelők és objektumok létrehozása és beállítása.
- Ismételje meg az előző lépést, és hozzon létre annyi hitelesítési információs objektumot, amennyi szükséges.
-
Hozzon létre egy névlistát, és vegye fel rá a 2. és 3. lépésben
létrehozott hitelesítési információs objektumok nevét.
További információk: Sorkezelők és objektumok létrehozása és beállítása.
- Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
- Az SSL oldalon a CRL Névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
-
Kattintson az OK gombra.
Az összes LDAP CRL információ beírásra került az ügyfélcsatorna-meghatározási táblázatba.
-
Tegye elérhetővé az ügyfélcsatorna-meghatározási táblázatot az
ügyfél számára, vagy
Windows
Active Directory használata esetén írja ki az információkat az
ügyfélcsatorna-meghatározási táblázatból az Active Directory
címtárba.
Tekintse meg a setmqscp parancs leírását az IBM Knowledge Center webhelyen.
A névlistához legfeljebb 10 alternatív LDAP kiszolgálót adhat hozzá, hogy biztosítsa a folyamatos szolgáltatást, ha bizonyos LDAP kiszolgálók nem elérhetőek. További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása témakörét.
Lásd még: Az IBM MQ MQI ügyfelek áttekintése az IBM Knowledge Center webhelyen.
-
[4. LEHETŐSÉG] Tanúsítványok hitelesítése OCSP hitelesítés használatával
Beállíthatja úgy az IBM MQ MQI ügyfelet úgy, hogy egy OCSP válaszadóval ellenőrizze a tanúsítványokat. Bizonyos ügyfél környezetek nem támogatják az OCSP visszavonás-ellenőrzést, de minden kiszolgálóplatform támogatja az OCSP konfiguráció meghatározásának képességét, ami kiírásra kerül az ügyfélcsatorna-meghatározási táblázat fájlba.
- A IBM MQ kiszolgálón, az IBM MQ Explorer programban bontsa ki a sorkezelőt.
-
Hozzon létre egy új OCSP típusú hitelesítési
információs objektumot.
További információk: Sorkezelők és objektumok létrehozása és beállítása.
- Ismételje meg az előző lépést, és hozzon létre annyi OCSP hitelesítési információs objektumot, amennyi szükséges.
-
Hozzon létre egy új névlistát, és vegye fel rá a 2. és 3. lépésben
létrehozott OCSP hitelesítési információs objektumok nevét.
További információk: Sorkezelők és objektumok létrehozása és beállítása.
- Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
- Az SSL oldalon a Visszavonási névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
- Kattintson az OK gombra.
- Tegye elérhetővé az ügyfél számára az ügyfélcsatorna-meghatározási táblázatot.
Csak egy OCSP objektum vehető fel a névlistára, mivel a socket könyvtár egyszerre csak egy OCSP válaszadó URL címet képes használni. További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása témakörét.
Lásd még: Az IBM MQ MQI ügyfelek áttekintése az IBM Knowledge Center webhelyen.