验证 TLS/SSL 密钥库文件


错误图标 TLS/SSL 密钥库属性不能包含文件扩展名 .kdb

IBM MQ 会为 TLS/SSL 密钥库位置自动追加文件扩展名。因此,如果您使用文件扩展名 .kdb 来显式指定文件扩展名,则 IBM MQ 将查找以“.kdb.kdb”结尾的密钥库。

密钥库属性中除去文件扩展名。

此测试仅对 Windows、UNIX 和 Linux 上的队列管理器有效。

警告图标 找不到 SSL 密钥库文件

在队列管理器的密钥库属性中指定的位置上找不到 TLS/SSL 密钥库文件。

队列管理器必须可访问密钥库文件才能使用 TLS/SSL。如果您不打算使用 TLS/SSL,那么这不是错误;该测试旨在用于使用 TLS/SSL 的环境。

仅对本地计算机上的队列管理器运行此测试。

警告图标找不到 TLS/SSL 密钥库的隐藏文件

在队列管理器的密钥库属性中指定的位置上找不到 TLS/SSL 密钥库的密码隐藏文件。

在 Windows、UNIX 和 Linux 计算机上,每个密钥数据库文件都具有一个相关联的密码隐藏文件。此文件拥有允许程序访问密钥数据库的加密密码。密码隐藏文件和密钥库必须位于相同的目录中,它还必须与密钥数据库具有相同的文件名,但具有后缀 .sth

队列管理器必须可访问密码隐藏文件才能使用 TLS/SSL。如果您不打算使用 TLS/SSL,那么这不是错误;该测试旨在用于使用 SSL 的环境。

仅对本地计算机上的队列管理器运行此测试。

错误图标针对 TLS/SSL 系统文件(<文件名>)配置的访问控制不正确

队列管理器属性 SSLKeyRepository 为用于支持在该队列管理器上运行 TLS/SSL 通道的 TLS/SSL 系统文件提供目录和文件名主干。这些文件对于队列管理器的安全性十分重要,必须严格控制对这些文件的访问。在 Windows 上针对这些文件建议的最高访问级别为:针对 BUILTIN\Administrators、NT AUTHORITY\SYSTEM 和另一位其他用户为完整权限;仅针对 <xxxxxxxx>\mqm 为只读权限(<xxxxxxxx> 表示域标识)。

使用 cacls 命令已获得了(<文件名>)的访问控制表 (ACL)。它表示对该文件的访问权未受到充分的限制。

该测试仅针对本地 Windows 队列管理器运行。

错误图标针对 TLS/SSL 系统文件(<文件名>)的文件许可权不正确

队列管理器属性 SSLKeyRepository 为用于支持在该队列管理器上运行 TLS/SSL 通道的 TLS/SSL 系统文件提供目录和文件名主干。这些文件对于队列管理器的安全性十分重要,必须严格控制对这些文件的访问。在 Linux 上,这些文件的许可权应设置为针对文件所有者为读写许可权,针对文件组 (-rw-r-----) 为读许可权。

该测试仅针对本地 Linux 队列管理器运行。

警告图标 TLS/SSL 系统文件(<文件名>)存储在非 NTFS 文件系统上

所选测试无法确定文件的访问控制,因为它未存储在 NTFS 文件系统上。 您应考虑它是否受到充分的保护,因为非 NTFS 文件系统具有的访问控制较弱。