Program IBM MQ automatycznie dopisuje rozszerzenie pliku do położenia repozytorium kluczy TLS/SSL. Jeśli rozszerzenie pliku zostanie jawnie określone jako .kdb, IBM MQ będzie poszukiwał repozytorium kluczy z przyrostkiem ".kdb.kdb".
Usuń rozszerzenie pliku z wartości atrybutu Repozytorium kluczy.
Ten test jest poprawny jedynie w przypadku menedżerów kolejek na platformie Windows, UNIX i Linux.
W miejscu określonym za pomocą atrybutu Repozytorium kluczy menedżera kolejek nie można znaleźć pliku repozytorium kluczy TLS/SSL.
W celu użycia warstwy TLS/SSL menedżer kolejek musi mieć dostęp do repozytorium kluczy. Nie stanowi to błędu, jeśli nie jest planowane używanie warstwy TLS/SSL. Przeprowadzenie testu jest zalecane w środowiskach, w których używana jest warstwa TLS/SSL.
Test jest przeprowadzany jedynie dla menedżerów kolejek udostępnianych na komputerze lokalnym.
W miejscu określonym za pomocą atrybutu Repozytorium kluczy menedżera kolejek nie można znaleźć pliku ukrytych haseł repozytorium kluczy TLS/SSL.
Na komputerach z systemami Windows, UNIX oraz Linux poszczególnym zbiorom bazy danych przypisane są zeskładowane zbiory haseł. W pliku tym przechowywane są zaszyfrowane hasła umożliwiające programom uzyskanie dostępu do bazy danych kluczy. Plik ukrytych haseł musi znajdować się w tym samym katalogu co repozytorium kluczy, zaś jego nazwa musi różnić się od nazwy bazy danych kluczy jedynie przyrostkiem .sth
W celu użycia warstwy TLS/SSL menedżer kolejek musi mieć dostęp do pliku ukrytych haseł. Nie stanowi to błędu, jeśli nie jest planowane używanie warstwy TLS/SSL. Przeprowadzenie testu jest zalecane w środowiskach, w których używana jest warstwa SSL.
Test jest przeprowadzany jedynie dla menedżerów kolejek udostępnianych na komputerze lokalnym.
Atrybut menedżera kolejek SSLKeyRepository określa rdzeń nazw katalogów i plików dla plików systemowych TLS/SSL używanych do obsługi kanałów TLS/SSL prowadzących do i z menedżera kolejek. Te pliki są bardzo ważne ze względu na bezpieczeństwo menedżera kolejek, dlatego dostęp do nich musi być dokładnie kontrolowany. W systemie Windows zalecane maksymalne poziomy dostępu do plików to: pełne uprawnienia dla użytkowników BUILTIN\Administrators, NT AUTHORITY\SYSTEM i jednego innego użytkownika oraz uprawnienie do odczytu wyłącznie dla użytkownika <xxxxxxxx>\mqm (wartość <xxxxxxxx> reprezentuje identyfikator domeny).
Listę kontroli dostępu dla pliku (<nazwa pliku>) uzyskano przy użyciu komendy cacls. Z listy wynika, że dostęp do pliku nie został wystarczająco ograniczony.
Ten test jest uruchamiany jedynie w lokalnych menedżerach kolejek systemu Windows.
Atrybut menedżera kolejek SSLKeyRepository określa rdzeń nazw katalogów i plików dla plików systemowych TLS/SSL używanych do obsługi kanałów TLS/SSL prowadzących do i z menedżera kolejek. Te pliki są bardzo ważne ze względu na bezpieczeństwo menedżera kolejek, dlatego dostęp do nich musi być dokładnie kontrolowany. W systemie Linux należy ustawić uprawnienia do odczytu i zapisu tych plików dla właściciela pliku oraz do odczytu dla grupy pliku (-rw-r-----).
Ten test jest uruchamiany jedynie w lokalnych menedżerach kolejek systemu Linux.
W wybranym teście nie można określić kontroli dostępu do pliku, ponieważ jest on przechowywany w systemie plików innym niż NTFS. Należy sprawdzić, czy plik jest odpowiednio zabezpieczony, ponieważ systemy plików inne niż NTFS mają zwykle słabe mechanizmy kontroli dostępu.