キュー・マネージャーでの TLS の構成

IBM® 鍵管理 (iKeyman) GUI を開始した後に、それを使用して TLS 証明書を管理できます。証明書取り消しリストまたは OCSP 認証を使用して証明書を認証することもできます。

始める前に

iKeyman GUI を開始する方法について詳しくは、IBM 鍵管理 GUI の開始を参照してください。

このタスクについて

このタスクでは、IBM MQ クライアントで TLS の作業をするために使用するコマンドを紹介します。詳しくは、IBM Knowledge Center 内の 保護 および IBM MQ MQI クライアント・セキュリティーのセットアップ を参照してください。

手順

  • [オプション 1] キュー・マネージャーのキー・リポジトリーの作成

    キー・リポジトリーとは、キュー・マネージャーが使用する証明書を格納する場所です。WindowsLinux®、および UNIX プラットフォームでは、キー・リポジトリーは鍵データベース・ファイルとして知られています。

    キー・リポジトリーにキュー・マネージャーの証明書を保管する前に、この場所に鍵データベース・ファイルが 存在していることを確認する必要があります。

    1. キュー・マネージャーのキー・リポジトリーの場所を見つけます。
      これは、キュー・マネージャーの「キー・リポジトリー」属性で指定されます。
    2. 鍵データベース・ファイルを作成する必要がある場合は、iKeyman GUI を使用して作成します。
      詳しくは、IBM 鍵管理 GUI の開始を参照してください。
    3. IKEYMAN GUI で、キュー・マネージャーのキー・リポジトリーに、他のキュー・マネージャーから受け取った証明書の検証に必要な可能性のある、すべての認証局 (CA) 証明書が含まれていることを確認します。
  • [オプション 2] キュー・マネージャーのキー・リポジトリーの場所の変更

    特定の状況では、例えば 1 つのオペレーティング・システムですべてのキュー・マネージャーによって共有される 1 つの場所を使用するために、キー・リポジトリーの場所を変更することもできます。

    キュー・マネージャーのキー・リポジトリーを変更するには、以下のようにします。

    1. キュー・マネージャーのプロパティーでキー・リポジトリーの場所を以下のように変更します。
      1. IBM MQ エクスプローラーを開き、「キュー・マネージャー」フォルダーを展開します。
      2. キュー・マネージャーを右クリックして「プロパティー」を選択します。
      3. 「SSL」プロパティー・ページで、 「キー・リポジトリー」フィールドのパスを編集して、選択したディレクトリーを 指すようにします。
      4. 警告」ダイアログで「はい」をクリックします。
    2. iKeyman の GUI を使用して、キュー・マネージャーの個人証明書を新規の場所に転送します。
      詳しくは、IBM Knowledge Center 内の保護を参照してください。
  • [オプション 3] 証明書取り消しリストによる証明書の認証

    認証機関 (CA) は、信頼できない証明書を証明書取り消しリスト (CRL) で公開することによって、 そのような証明書を取り消すことができます。 証明書がキュー・マネージャーまたは IBM MQ MQI クライアントにより受け取られたとき、 CRL に照らし合わせて検査し、その証明書が取り消されていないことを確認できます。CRL 検査は、TLS 対応メッセージングの実現に必須ではありませんが、ユーザー証明書の信頼性を保証するために推奨されます。

    LDAP CRL サーバーへの接続をセットアップするには、以下の手順を実行します。

    1. IBM MQ エクスプローラーで、キュー・マネージャーを展開します。
    2. タイプ「CRL LDAP」の認証情報オブジェクトを作成します。 詳しくは、キュー・マネージャーとオブジェクトの作成および構成を参照してください。
    3. 前のステップを繰り返して、必要な数の CRL LDAP 認証情報オブジェクトを作成します。
    4. 名前リストを作成し、ステップ 2 と 3 で作成した認証情報オブジェクトの名前をこの名前リストに追加します。
    5. キュー・マネージャーを右クリックして「プロパティー」を選択します。
    6. 「SSL」ページの「CRL 名前リスト」フィールドに、 ステップ 4 で作成した名前リストの名前を入力します。
    7. 「OK」をクリックします。

    これで、キュー・マネージャーが受け取る証明書は、LDAP サーバーで保持されている CRL に対して認証されます。

    代替 LDAP サーバーへの接続を最大 10 まで名前リストに追加でき、1 つまたは複数の LDAP サーバーにアクセス不能に なったとき、サービスの継続性を保証できます。

  • [オプション 4] OCSP 認証による証明書の認証

    [Windows] [UNIX]    UNIX および Windows では、IBM MQ TLS サポートにより、OCSP (Online Certificate Status Protocol) または LDAP (Lightweight Directory Access Protocol) サーバー上の CRL と ARL を使用して、取り消された証明書がないか検査されます。OCSP が推奨される方法です。 IBM MQ classes for Java™ および IBM MQ classes for JMS では、クライアント・チャネル定義テーブル・ファイルの OCSP 情報を使用できません。 ただし、IBM Knowledge Center の『失効した証明書および OCSP』に記載されている方法で OCSP を構成することができます。

    [IBM i][z/OS]    IBM i および z/OS® では OCSP 検査がサポートされませんが、OCSP 情報を含むクライアント・チャネル定義テーブル (CCDT) を生成することができます。

    CCDT および OCSP について詳しくは、IBM Knowledge Centerクライアント・チャネル定義テーブル を参照してください。

    OCSP サーバーへの接続をセットアップするには、以下の手順を実行します。

    1. IBM MQ エクスプローラーで、キュー・マネージャーを展開します。
    2. タイプ「OCSP」の認証情報オブジェクトを作成します。
    3. 前のステップを繰り返して、必要な数の OCSP 認証情報オブジェクトを作成します。
    4. 名前リストを作成し、ステップ 2 と 3 で作成した OCSP 認証情報オブジェクトの名前をこの名前リストに追加します。
    5. キュー・マネージャーを右クリックして「プロパティー」を選択します。
    6. 「SSL」ページの「取り消し名前リスト」フィールドに、 ステップ 4 で作成した名前リストの名前を入力します。
    7. 「OK」をクリックします。

    キュー・マネージャーが受け取る証明書が、OCSP 応答側に照らして認証されます。

    キュー・マネージャーが OCSP 情報を CCDT に書き込みます。

    ソケット・ライブラリーで一度に使用できる OCSP 応答側 URL が 1 つのみであるため、名前リストには 1 つの OCSP オブジェクトしか追加できません。

  • [オプション 5] 暗号化ハードウェアの構成

    IBM MQ は暗号ハードウェアをサポートすることができますが、それに従ってキュー・マネージャーを構成する 必要があります。

    1. IBM MQ エクスプローラーを開始します。
    2. 「ナビゲーター」ビューで、キュー・マネージャーを右クリックして から、「プロパティー」をクリックします。
      「プロパティー」ダイアログが開きます。
    3. 「SSL」ページで、「構成」をクリックします。
      「暗号ハードウェア設定」ダイアログが開きます。
    4. 「暗号ハードウェア設定」ダイアログで、PKCS #11 ドライバーへのパス、トークン・ラベル、トークン・パスワード、およびシンメトリック暗号設定を入力します。

      サポートされているすべての暗号カードに PKCS #11 が使用されていて、Rainbow Cryptoswift カードまたは nCipher nFast カードへの参照は無視されます。

    5. 「OK」をクリックします。

    こうして、キュー・マネージャーは暗号ハードウェアを使用するように構成されました。

    IKEYMAN を使用して、PKCS #11 ハードウェアに保管されている証明書を処理することもできます。

    詳しくは、IBM Knowledge Center 内の保護を参照してください。