Konfigurace TLS pro správce front

Po spuštění můžete grafické uživatelské rozhraní Správa klíčů IBM® (iKeyman) použít ke správě certifikátů TLS. Certifikáty můžete také ověřit buď pomocí seznamů odvolaných certifikátů, nebo pomocí ověření OCSP.

Než začnete

Další informace ke spuštění grafického uživatelského rozhraní iKeyman naleznete v tématu Spuštění grafického uživatelského rozhraní IBM Správa klíčů.

Informace o této úloze

Tato úloha představuje příkazy používané pro práci se zabezpečením TLS v klientu IBM MQ. Další informace viz Zabezpečení a Nastavení zabezpečení klienta IBM MQ MQI v Centrum znalostí IBM.

Postup

  • [VOLBA 1] Vytvoření úložiště klíčů správce front

    Termínem úložiště klíčů se označuje umístění, ve kterém jsou ukládány certifikáty používané správcem front. Na platformách Windows, Linux® a UNIX se úložiště klíčů označuje termínem soubor databáze klíčů.

    Předtím, než budete moci uložit certifikáty správce front v úložišti klíčů, musí v tomto umístění existovat soubor databáze klíčů.

    1. Vyhledejte umístění úložiště klíčů správce front.
      Je určeno v atributu Úložiště klíčů daného správce front.
    2. Pokud je třeba vytvořit soubor databáze klíčů, použijte grafické uživatelské rozhraní iKeyman.
    3. V rozhraní GUI iKeyman zkontrolujte, zda úložiště klíčů správce front obsahuje všechny certifikáty certifikační autority (CA), které by mohly být potřebné k ověření certifikátů přijatých od jiných správců front.
  • [VOLBA 2] Změna umístění úložiště klíčů správce front

    Za určitých okolností může být vhodné změnit umístění úložiště klíčů; chcete-li například použít jediné umístění sdílené všemi správci front v jednom operačním systému.

    Postup při změně umístění úložiště klíčů správce front:

    1. Změňte umístění úložiště klíčů v okně s vlastnostmi správce front:
      1. Otevřete produkt IBM MQ Explorer a rozbalte složku Správci front.
      2. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
      3. Na stránce s vlastnostmi zabezpečení SSL upravte cestu v poli Úložiště klíčů tak, aby odkazovala na vybraný adresář.
      4. V dialogovém okně Varování klepněte na volbu Ano.
    2. Přeneste osobní certifikáty správce front do nového umístění pomocí grafického uživatelského rozhraní iKeyman.
      Další informace viz Zabezpečení v Centrum znalostí IBM.
  • [VOLBA 3] Ověřování certifikátů pomocí seznamů odvolaných certifikátů

    Certifikační autority mohou odvolávat certifikáty, které ztratily důvěryhodnost. Toto zrušení je provedeno jejich publikováním na seznamu zrušených certifikátů (CRL - Certification Revocation List). Pokud správce front nebo klient IBM MQ MQI obdrží certifikát, lze v seznamu zrušených certifikátů zkontrolovat, zda nebyl odvolán. Ověření oproti seznamu CRL není v systému zpráv s povoleným zabezpečením TLS povinné, avšak doporučuje se pomocí něj ověřovat důvěryhodnost certifikátů uživatele.

    Chcete-li nastavit připojení k serveru LDAP CRL, proveďte následující kroky:

    1. V produktu IBM MQ Explorer rozbalte položku správce front.
    2. Vytvořte objekt s ověřovacími informacemi typu CRL LDAP. Další informace viz Vytvoření a konfigurace správců front a objektů.
    3. Zopakováním předchozího kroku můžete vytvořit další objekty s ověřovacími informacemi CRL LDAP.
    4. Vytvořte seznam názvů a přidejte do něj názvy objektů s ověřovacími informacemi, které byly vytvořeny v krocích 2 a 3.
    5. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
    6. Na stránce SSL zadejte do pole Seznam názvů CRL název seznamu názvů, který byl vytvořen v kroku 4.
    7. Klepněte na tlačítko OK.

    Certifikáty, které správce front obdrží, mohou být nyní ověřeny oproti seznamu odvolaných certifikátů uloženému na serveru LDAP.

    Do seznamu názvů lze přidat až 10 připojení k alternativním serverům LDAP s cílem zajistit pokračování činnosti služby i při nedostupnosti jednoho či více serverů LDAP.

  • [VOLBA 4] Ověřování certifikátů pomocí ověření OCSP

    [Windows][UNIX]V systémech UNIX a Windows podpora zabezpečení TLS v produktu IBM MQ kontroluje výskyt zamítnutých certifikátů protokolem OCSP (Online Certificate Status Protocol) nebo prostřednictvím seznamů CRL a ARL na serverech LDAP (Lightweight Directory Access Protocol). Preferovaná metoda je OCSP. Produkty třídy IBM MQ pro jazyk Java™ a třídy IBM MQ pro službu JMS nemohou používat informace OCSP v souboru s tabulkou definic kanálů klienta. Nicméně OCSP můžete nakonfigurovat dle popisu uvedeného v tématu Zrušené certifikáty and OCSP v Centrum znalostí IBM.

    [IBM i][z/OS]Systémy IBM i a z/OS nepodporují kontrolu protokolem OCSP, ale umožňují vygenerování tabulek definic klientských kanálů (CCDT), jež obsahují informace OCSP.

    Další informace o tabulkách CCDT a protokolu OCSP viz Tabulka definic kanálů klienta v Centrum znalostí IBM.

    Chcete-li nastavit připojení k serveru OCSP, proveďte následující kroky.

    1. V produktu IBM MQ Explorer rozbalte položku správce front.
    2. Vytvořte objekt ověřovacích informací typu OCSP.
    3. Zopakováním předchozího kroku můžete vytvořit další objekty s ověřovacími informacemi OCSP.
    4. Vytvořte seznam názvů a přidejte do něj názvy objektů s ověřovacími informacemi OCSP, které byly vytvořeny v krocích 2 a 3.
    5. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
    6. Na stránce SSL zadejte do pole Seznam názvů revokace název seznamu názvů, který byl vytvořen v kroku 4.
    7. Klepněte na tlačítko OK.

    Certifikáty, které správce front obdrží, budou ověřeny s použitím odpovídacího modulu OCSP.

    Správce front zapíše informace protokolu OCSP do tabulky CCDT.

    Do seznamu názvů lze přidat jen jeden objekt OCSP, protože knihovna soketů nemůže využívat více než jednu adresu URL odpovídacího modulu OCSP současně.

  • [VOLBA 5] Konfigurace šifrovacího hardwaru

    Produkt IBM MQ může podporovat kryptografický hardware a konfigurace správce front tomu musí odpovídat.

    1. Spusťte produkt IBM MQ Explorer.
    2. V pohledu Navigátor klepněte pravým tlačítkem myši na správce front a pak klepněte na volbu Vlastnosti.
      Otevře se dialogové okno Vlastnosti.
    3. Na stránce SSL klepněte na tlačítko Konfigurovat.
      Otevře se dialogové okno Nastavení šifrovacího hardwaru.
    4. V dialogovém okně Nastavení šifrovacího hardwaru zadejte cestu k ovladači PKCS #11, nastavení popisku tokenu, hesla tokenu a symetrického šifrování.

      Všechny podporované kryptografické karty nyní podporují standard PKCS #11, ignorujte proto odkazy na karty Rainbow Cryptoswift a nCipher nFast.

    5. Klepněte na tlačítko OK.

    Správce front je nyní konfigurován pro použití kryptografického hardwaru.

    S certifikáty uloženými v hardwaru PKCS #11 můžete též pracovat prostřednictvím správce iKeyman.

    Další informace viz Zabezpečení v Centrum znalostí IBM.