TLS beállítása sorkezelőkön
Az IBM® Kulcskezelő (iKeyman) grafikus felületének elindítása után használhatja azt TLS tanúsítványok kezeléséhez. A tanúsítványokat a visszavont tanúsítványok listája vagy OCSP hitelesítés használatával is hitelesítheti.
Mielőtt elkezdené
Az iKeyman grafikus felület indításával kapcsolatos további információkért tekintse meg az IBM Kulcskezelő grafikus felület elindítása című részt.
Erről a feladatról
Ez a feladat azokat a parancsokat mutatja be, melyeket a TLS kezelésére használhat egy IBM MQ ügyfélen. További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása és Setting up IBM MQ MQI ügyfél biztonság témakörét.
Eljárás
-
[1. LEHETŐSÉG] A sorkezelő kulcslerakatának létrehozása
A sorkezelő által használt tanúsítványok a kulcslerakatban kerülnek tárolásra. Windows, Linux® és UNIX platformokon a kulcslerakatot kulcs adatbázisfájlnak nevezik.
Mielőtt a sorkezelő tanúsítványait tárolhatná a kulcslerakatban, meg kell győződnie arról, hogy a kulcs adatbázisfájl létezik ezen a helyen.
-
Keresse meg a sorkezelő kulcslerakatának helyét.
Ez a sorkezelő Kulcslerakat attribútumában van megadva.
-
Ha létre kell hoznia a kulcs adatbázisfájlt, akkor ezt az iKeyman
grafikus felület segítségével tegye.
További információk: IBM Kulcskezelő grafikus felületének indítása.
- Az iKeyman grafikus felületen győződjön meg róla, hogy a sorkezelő kulcslerakata tartalmaz minden olyan Tanúsítványhatóság (CA) tanúsítványt, amelyre szükség lehet a más sorkezelőktől kapott tanúsítványok ellenőrzéséhez.
-
Keresse meg a sorkezelő kulcslerakatának helyét.
-
[2. LEHETŐSÉG] A sorkezelő kulcslerakat helyének módosítása
Bizonyos helyzetekben szüksége lehet a kulcslerakat helyének módosítására; például ha egyetlen helyet szeretne használni, amely meg van osztva az összes sorkezelő között az operációs rendszeren.
Sorkezelő kulcslerakat helyének módosításához:
-
Módosítsa a kulcslerakat helyét a sorkezelő tulajdonságaiban:
- Nyissa meg az IBM MQ Explorer programot, és bontsa ki a Sorkezelők mappát.
- Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
- Az SSL adatlapon módosítsa a Kulcslerakat mezőben található útvonalat úgy, hogy az a kiválasztott könyvtárra mutasson.
- A figyelmeztetés párbeszédablakban kattintson az Igen lehetőségre.
-
Az iKeyman grafikus felhasználói felület használatával vigye át a
sorkezelő személyes tanúsítványait az új helyre.
További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása részét.
-
Módosítsa a kulcslerakat helyét a sorkezelő tulajdonságaiban:
-
[3. LEHETŐSÉG] Tanúsítványok hitelesítése visszavont tanúsítványok listája
használatával
A Tanúsítványhatóságok (CA) visszavonhatják a már nem megbízható tanúsítványokat úgy, hogy közzéteszik azokat egy Tanúsítvány visszavonási listában (CRL). Amikor tanúsítványt kap egy sorkezelőtől vagy IBM MQ MQI ügyféltől, akkor ellenőrizheti a CRL listában, hogy az nem lett-e visszavonva. A CRL ellenőrzés nem kötelező a TLS alapú üzenetkezelés eléréséhez, de ajánlott a felhasználói tanúsítványok megbízhatóságának biztosításához.
LDAP CRL kiszolgáló kapcsolatának beállításához tegye a következőket:
- Az IBM MQ Explorer programban bontsa ki a sorkezelőt.
- Hozzon létre egy CRL LDAP típusú hitelesítési információs objektumot. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
- Ismételje meg az előző lépést, és hozzon létre annyi CRL LDAP hitelesítési információs objektumot, amennyi szükséges.
-
Hozzon létre egy névlistát, és vegye fel rá a 2. és 3. lépésben
létrehozott hitelesítési információs objektumok nevét.
További információk: Sorkezelők és objektumok létrehozása és beállítása.
- Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
- Az SSL oldalon a CRL Névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
- Kattintson az OK gombra.
A sorkezelő által fogadott tanúsítványokat most már hitelesíteni lehet az LDAP kiszolgálón található CRL listával.
A névlistához legfeljebb 10 alternatív LDAP kiszolgálót adhat hozzá, hogy biztosítsa a folyamatos szolgáltatást, ha bizonyos LDAP kiszolgálók nem elérhetőek.
-
[4. LEHETŐSÉG] Tanúsítványok hitelesítése OCSP hitelesítés használatával
UNIX és Windows rendszereken az IBM MQ TLS támogatás OCSP (Online tanúsítványállapot-protokoll) használatával vagy LDAP (Egyszerűsített címtárhozzáférési protokoll) kiszolgálókon található CRL és ARL listák segítségével ellenőrzi a visszavont tanúsítványokat. Az OCSP az előnyben részesített módszer. A IBM MQ Java™ osztályok és IBM MQ JMS osztályok nem használhatják az OCSP információkat ügyfélcsatorna meghatározási tábla fájlban. Az OCSP azonban konfigurálható az IBM Knowledge Center Visszavont tanúsítványok és OCSP témakörében leírtak szerint.
A IBM i és z/OS rendszerek nem támogatják az OCSP ellenőrzést, de lehetővé teszik OCSP információkat tartalmazó ügyfél csatornameghatározási táblák (CCDT) létrehozását.
A CCDT táblák és az OCSP további információért tekintse meg az IBM Knowledge Center Ügyfélcsatorna-meghatározási táblázat témakörét.
OCSP kiszolgáló kapcsolatának beállításához tegye a következőket:
- Az IBM MQ Explorer programban bontsa ki a sorkezelőt.
-
Hozzon létre egy OCSP típusú hitelesítési
információs objektumot.
További információk: Sorkezelők és objektumok létrehozása és beállítása.
- Ismételje meg az előző lépést, és hozzon létre annyi OCSP hitelesítési információs objektumot, amennyi szükséges.
-
Hozzon létre egy névlistát, és vegye fel rá a 2. és 3. lépésben
létrehozott OCSP hitelesítési információs objektumok nevét.
További információk: Sorkezelők és objektumok létrehozása és beállítása.
- Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
- Az SSL oldalon a Visszavonási névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
- Kattintson az OK gombra.
A sorkezelő által fogadott tanúsítványokat most már hitelesítve vannak az OCSP válaszadóval.
A sorkezelő az OCSP információkat beírja a CCDT táblába.
Csak egy OCSP objektum vehető fel a névlistára, mivel a socket könyvtár egyszerre csak egy OCSP válaszadó URL címet képes használni.
-
[5. LEHETŐSÉG] Kriptográfiai hardver beállítása
A IBM MQ képes támogatni a kriptográfiai hardvert, és a sorkezelőt ennek megfelelően kell beállítani.
- Indítsa el az IBM MQ Explorer programot.
-
A Navigátor nézetben kattintson a jobb egérgombbal a
sorkezelőre, majd válassza az előugró menü
Tulajdonságok menüpontját.
Megjelenik a Tulajdonságok párbeszédablak.
-
Az SSL oldalon kattintson a
Konfigurálás elemre.
Megjelenik a Kriptográfiai hardver beállításai párbeszédablak.
-
A Kriptográfiai hardver beállításai párbeszédablakban
adja meg a PKCS #11 illesztőprogram elérési útját, a jelsor címkét, a jelsor
jelszót, valamint a szimmetrikus rejtjel beállítást.
Jelenleg az összes támogatott kriptográfiai kártya PKCS #11 illesztőprogramot használ, ezért hagyja figyelmen kívül a Rainbow Cryptoswift vagy az nCipher nFast kártyákra vonatkozó utalásokat.
- Kattintson az OK gombra.
A sorkezelő be lett állítva a kriptográfiai hardver használatára.
Az iKeyman segítségével olyan tanúsítványokkal is dolgozhat, amelyek PKCS #11 hardveren vannak tárolva.
További információkért tekintse meg az IBM Knowledge Center Biztonság beállítása részét.