Настройка администратора очередей TLS
После запуска графического пользовательского интерфейса IBM® Key Management (iKeyman) можно приступить к управлению сертификатами TLS. Сертификаты также можно идентифицировать с помощью списков аннулированных сертификатов или идентификации OCSP.
Прежде чем начать
Дополнительная информация о запуске графического пользовательского интерфейса iKeyman приведена в разделе Запуск Графического пользовательского интерфейса IBM Key Management.
Об этой задаче
В этой задаче описаны команды, предназначенные для работы с протоколом TLS в клиенте IBM MQ. См. разделы Защита и Настройка защиты клиента IBM MQ MQI в IBM Knowledge Center.
Процедура
-
[ВАРИАНТ 1] Создание хранилища ключей администратора очередей
Хранилище ключей - это расположение, где хранятся сертификаты, используемые администратором очередей. На платформах Windows, Linux® и UNIX хранилище ключей известно как файл базы данных ключей.
Перед сохранением сертификатов администраторов очередей в хранилище ключей убедитесь, что файл базы данных ключей хранится в этом расположении.
-
Найдите расположение хранилища ключей администратора очередей.
Оно указано в атрибуте Хранилище ключей администратора очередей.
-
Если необходимо создать файл базы данных ключей, сделайте это с помощью iKeyman GUI.
См. раздел Запуск IBM Key Management GUI.
- В iKeyman GUI убедитесь, что хранилище ключей администратора очередей содержит все сертификаты CA, которые могут потребоваться для проверки сертификатов, полученных от других администраторов очередей.
-
Найдите расположение хранилища ключей администратора очередей.
-
[ВАРИАНТ 2] Изменение расположения хранилища ключей администратора очередей
При определенных обстоятельствах может понадобиться изменить расположение хранилища ключей (например, для совместного использования отдельного хранилища всеми администраторами очередей одной операционной системы).
Для изменения расположения хранилища ключей администраторов очередей:
-
Измените расположение хранилища ключей в свойствах администратора очередей:
- Откройте IBM MQ Explorer и разверните каталог Администраторы очередей.
- Щелкните правой кнопкой мыши, затем выберите Свойства.
- На странице свойств SSL измените путь к каталогу Хранилище ключей на новый каталог.
- В окне предупреждение выберите Да.
-
Перенесите личные сертификаты администраторов очередей в новое расположение с помощью GUI iKeyman.
См. раздел Защита в IBM Knowledge Center.
-
Измените расположение хранилища ключей в свойствах администратора очередей:
-
[ВАРИАНТ 3] Идентификация сертификатов с помощью списков аннулированных сертификатов
CA могут отменить действие незащищенных сертификатов и опубликовать их в Списке аннулированных сертификатов (CRL). После получения сертификата администратор очередей или клиент IBM MQ MQI проверяет его наличие в списке аннулированных сертификатов (CRL). Проверка по списку CRL не обязательна для передачи сообщений по протоколу TLS, но рекомендуется для полной уверенности в действительности пользовательских сертификатов.
Для того чтобы настроить соединение с сервером CRL LDAP, выполните следующие действия:
- В IBM MQ Explorer разверните администратор очередей.
- Создайте объект информации идентификации типа CRL LDAP. Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
- Повторите предыдущее действие для создания всех необходимых объектов информации идентификации CRL LDAP.
-
Создайте список имен и добавьте в него имена объектов
информации идентификации, созданных на шагах 2 и 3.
Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
- Щелкните правой кнопкой мыши, затем выберите Свойства.
- На странице SSL, в поле Список имен CRL введите имя списка имен, созданных на этапе 4.
- Нажмите кнопку OK.
Теперь администратор очередей сможет проверять полученные сертификаты на наличие в списке CRL на сервере LDAP.
В список имен можно добавлять до 10 соединений с альтернативными серверами, чтобы повысить надежность соединения, если один или несколько серверов LDAP будут недоступны.
-
[ВАРИАНТ 4] Идентификация сертификатов с помощью идентификации OCSP
В UNIX и Windows поддержка TLS IBM MQ проверяет аннулированные сертификаты с помощью OCSP (Online Certificate Status Protocol), а также с помощью CRL и ARL на серверах LDAP (Lightweight Directory Access Protocol). OCSP следует рассматривать как предпочитаемый способ. IBM MQ classes for Java™ и IBM MQ classes for .NET не могут использовать информацию OCSP в файле таблицы определений каналов клиента. Но можно настроить OCSP (см. раздел Аннулированные сертификаты и OCSP в IBM Knowledge Center).
IBM i и z/OS не поддерживают проверку OCSP, но разрешают создание таблиц определений каналов клиента (CCDT), содержащих информацию OCSP.
Дополнительная информация о CCDT и OCSP приведена в разделе Таблица определений каналов клиента в IBM Knowledge Center.
Для того чтобы настроить соединение с сервером OCSP, выполните следующие действия.
- В IBM MQ Explorer разверните администратор очередей.
-
Создайте объект информации идентификации типа OCSP.
Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
- Повторите предыдущее действие для создания всех необходимых объектов информации идентификации OCSP.
-
Создайте список имен и добавьте в него имена объектов
информации идентификации OCSP, созданных на шагах 2 и 3.
Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
- Щелкните правой кнопкой мыши, затем выберите Свойства.
- На странице SSL, в поле Список аннулированных имен введите имя списка имен, созданных на этапе 4.
- Нажмите кнопку OK.
Администратор очередей проверяет полученные сертификаты с помощью промежуточного клиента OCSP.
Администратор очередей записывает информацию OCSP в CCDT.
В список имен можно добавить только объект OCSP, поскольку библиотека сокетов одновременно может использовать только URL отвечающей стороны OCSP.
-
[ВАРИАНТ 5] Настройка криптографического аппаратного обеспечения
IBM MQ может поддерживать криптографическое аппаратное обеспечение. Для этого необходимо соответствующим образом настроить администратор очередей.
- Запустите IBM MQ Explorer.
-
На панели Навигатор щелкните правой кнопкой мыши и выберите Свойства .
Откроется окно Свойства.
-
На странице SSL выберите Настроить.
Откроется окно Параметры криптографического аппаратного обеспечения.
-
В окне Параметры криптографического аппаратного обеспечения введите путь к драйверу
PKCS #11 и укажите метку ключа, пароль ключа и параметр симметричного шифра.
Поскольку все поддерживаемые криптографические устройства теперь используют PKCS #11, все ссылки на карты Rainbow Cryptoswift и nCipher nFast следует игнорировать.
- Нажмите кнопку OK.
Администратор очередей будет настроен для работы с криптографическим аппаратным обеспечением.
Также можно работать с аппаратным обеспечением PKCS #11 с помощью iKeyman.
См. раздел Защита в IBM Knowledge Center.