Configurar TLS en clientes de MQI de IBM MQ

Gestione los certificados de cliente de IBM® MQ, configure los canales para utilizar TLS y autentique los certificados utilizando las listas de revocación de certificados o la autenticación OCSP.

Acerca de esta tarea

Esta tarea introduce los mandatos que puede utilizar para trabajar con TLS en un cliente de IBM MQ. Puede obtener información adicional consultando Seguridad y Configuración de la seguridad del cliente MQI de IBM MQ en IBM Knowledge Center.

Procedimiento

  • [OPCIÓN 1] Gestionar los certificados de cliente de IBM MQ

    Utilice la GUI de IBM Key Management (iKeyman) para gestionar sus certificados TLS. Para obtener más información, consulte Inicio de la GUI de IBM Key Management.

    1. Busque la ubicación del repositorio de claves del cliente.
      Escriba el mandato siguiente para examinar la variable de entorno MQSSLKEYR:
      echo %MQSSLKEYR%
    2. En la GUI de iKeyman, asegúrese de que el repositorio de claves del cliente contiene todos los certificados de la entidad emisora de certificados (CA) que pueden ser necesarios para validar certificados de otros gestores de colas.
    3. Compruebe su aplicación, ya que el depósito de claves se puede establecer en una llamada MQCONNX.
      Si se establecen ambos valores, el valor establecido en la llamada MQCONNX altera temporalmente el valor de MQSSLKEYR.
  • [OPCIÓN 2] Configurar los canales para utilizar TLS

    Configure los canales TLS tal como se describe en Configuración de canales TLS.

  • [OPCIÓN 3] Autenticar certificados utilizando listas de revocación de certificados

    Las autoridades de certificación (CA) pueden revocar los certificados que han dejado de ser fiables; para ello, los publican en una lista de revocación de certificados (CRL). Cuando un gestor de colas o un cliente MQI de IBM MQ recibe un certificado, éste puede comprobarse con la CRL para asegurarse de que no se ha revocado. La comprobación con la CRL no es obligatoria para conseguir una mensajería habilitada para TLS, pero es aconsejable asegurarse de la fiabilidad de los certificados de usuario.

    Puede configurar un cliente de IBM MQ MQI que compruebe los certificados con la CRL en servidores LDAP.

    1. En el servidor de IBM MQ, en IBM MQ Explorer, expanda el gestor de colas.
    2. Cree un nuevo objeto de información de autenticación de tipo CRL LDAP. Para obtener más información, consulte Crear y configurar gestores de colas y objetos.
    3. Repita el paso anterior para crear tantos objetos de información de autenticación como sean necesarios.
    4. Cree una nueva lista de nombres y añada a la lista de nombres los nombres de los objetos de información de autenticación OCSP que ha creado en los pasos 2 y 3.
      Para obtener más información, consulte Crear y configurar gestores de colas y objetos.
    5. Pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
    6. En la página SSL, en el campo Lista de nombres CRL, escriba el nombre de la lista de nombres creada en el paso 4.
    7. Pulse Aceptar.

      Toda la información CRL LDAP se escribe en la tabla de definiciones de canal del cliente.

    8. Asegúrese de que la tabla de la definición de canal del cliente esté a disposición del cliente, o, si está utilizando Windows Active Directory, grabe la información de la tabla de definición de canal del cliente en Active Directory.
      Consulte el setmqscp comando en IBM Knowledge Center.

    Puede añadir a la lista de nombres hasta 10 conexiones a servidores LDAP alternativos para asegurar la continuidad del servicio si uno o más de los servidores LDAP son inaccesibles. Para obtener más información, consulte Seguridad en IBM Knowledge Center.

    Consulte también Visión general de los clientes MQI de IBM MQ en IBM Knowledge Center.

  • [OPCIÓN 4] Autenticar certificados utilizando la autenticación OCSP

    Puede configurar un cliente MQI de IBM MQ que compruebe los certificados contra un programa de respuesta OCSP. Algunos entornos de cliente no dan soporte a la comprobación de revocaciones OCSP pero todas las plataformas del servidor dan soporte a la posibilidad de definir la configuración OCSP que se grabará en el archivo de la tabla de definiciones de canal de cliente.

    1. En el servidor de IBM MQ, en IBM MQ Explorer, expanda el gestor de colas.
    2. Cree un objeto de información de autenticación nuevo del tipo OCSP.
      Para obtener más información, consulte Crear y configurar gestores de colas y objetos.
    3. Repita el paso anterior para crear tantos objetos OCSP de información de autenticación como sean necesarios.
    4. Cree una lista de nombres y añada a la lista de nombres los nombres de los objetos de información de autenticación OCSP que ha creado en los pasos 2 y 3.
      Para obtener más información, consulte Crear y configurar gestores de colas y objetos.
    5. Pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
    6. En la página SSL, en el campo Lista de nombres de revocación, escriba el nombre de la lista de nombres que haya creado en el paso 4.
    7. Pulse Aceptar.
    8. Ponga la tabla de definiciones de canal de cliente a la disposición del cliente.

    Solamente se puede añadir un objeto OCSP a la lista de nombres porque la biblioteca de sockets solamente puede utilizar un URL de programa de respuesta OCSP cada vez. Para obtener más información, consulte Seguridad en IBM Knowledge Center.

    Consulte también Visión general de los clientes MQI de IBM MQ en IBM Knowledge Center.