IBM MQ MQI 用戶端上配置 TLS

若要在 IBM® MQ 用戶端上使用 TLS,您必須使用各種指令。

關於這項作業

這項作業引入了您可以在 IBM MQ 用戶端上使用 TLS 的指令。如需相關資訊,請參閱 IBM MQ 線上產品說明文件中的維護安全

管理 IBM MQ 用戶端的憑證

請使用「IBM 金鑰管理 (iKeyman) GUI」來管理 TLS 憑證。如需相關資訊,請參閱啟動 IBM 金鑰管理 GUI

在 iKeyman GUI 中,確保用戶端金鑰儲存庫包含了所有可能需要的「憑證管理中心 (CA)」憑證,這些憑證可用來驗證從其他佇列管理程式所接收的憑證。

若要找出用戶端金鑰儲存庫的位置,請輸入下列指令來檢查 MQSSLKEYR 環境變數:

echo %MQSSLKEYR%

另請檢查應用程式,因為 MQCONNX 呼叫中也可能會設定金鑰儲存庫。如果同時設定兩個值,則設定在 MQCONNX 呼叫中的值會置換 MQSSLKEYR 的值。

配置通道使用 TLS

必須如配置 TLS 通道在這裡的說明來設定 TLS 通道。

如需設定 IBM MQ 用戶端安全的相關資訊,請參閱 IBM MQ 線上產品說明文件中的設定 IBM MQ MQI 用戶端安全

利用「憑證撤銷清冊」來鑑別憑證

關於這項作業

您可以設定 IBM MQ MQI 用戶端,根據 LDAP 伺服器上的 CRL 來檢查憑證:

程序

  1. IBM MQ 伺服器上,於「IBM MQ 探險家」中展開佇列管理程式。
  2. 建立 CRL LDAP 類型的新鑑別資訊物件。如需相關資訊,請參閱建立及配置佇列管理程式和物件
  3. 重複步驟 2,依您的需要來建立許多鑑別資訊物件。
  4. 建立新名稱清單並在該名稱清單中新增您在步驟 2 和 3 建立的鑑別資訊物件的名稱。如需相關資訊,請參閱建立及配置佇列管理程式和物件
  5. 在佇列管理程式上按一下滑鼠右鍵,然後按一下內容
  6. SSL 頁面的 CRL 名稱清單欄位中,輸入您在步驟 4 建立之名稱清單的名稱。
  7. 按一下確定。現在,所有 LDAP CRL 資訊都會寫入至用戶端通道定義表中。
  8. 讓用戶端通道定義表可供用戶端使用;或者,如果您是使用 Windows Active Directory,則將該資訊從用戶端通道定義表寫入 Active Directory。 請參閱 IBM MQ 線上產品說明文件中的 setmqscp 指令。

結果

如需相關資訊,請參閱 IBM MQ 線上產品說明文件中的 IBM MQ MQI 用戶端的概觀

您可以將替代 LDAP 伺服器的最多 10 條連線新增至名稱清單中,以確保萬一有一或多個 LDAP 伺服器無法存取時,服務還是可以繼續。如需相關資訊,請參閱 IBM MQ 線上產品說明文件中的維護安全

利用 OCSP 鑑別來鑑別憑證

關於這項作業

您可以設定 IBM MQ MQI 用戶端,根據 OCSP 回應端來檢查憑證。某些用戶端環境不支援 OCSP 撤銷檢查,但所有伺服器平台都支援定義 OCSP 配置的功能(該配置會寫入用戶端通道定義表檔案中)。

程序

  1. IBM MQ 伺服器上,於「IBM MQ 探險家」中展開佇列管理程式。
  2. 建立類型為 OCSP 的新鑑別資訊物件。如需相關資訊,請參閱建立及配置佇列管理程式和物件
  3. 重複步驟 2,視需要建立多個 OCSP 鑑別資訊物件。
  4. 建立新名稱清單,並在該名稱清單中新增您在步驟 2 和 3 建立的 OCSP 鑑別資訊物件的名稱。如需相關資訊,請參閱建立及配置佇列管理程式和物件
  5. 在佇列管理程式上按一下滑鼠右鍵,然後按一下內容
  6. SSL 頁面的撤銷名稱清單欄位中,輸入您在步驟 4 建立之名稱清單的名稱。
  7. 按一下確定
  8. 使用戶端通道定義表可供用戶端使用.

結果

如需相關資訊,請參閱 IBM MQ 線上產品說明文件中的 IBM MQ MQI 用戶端的概觀

只有一個 OCSP 物件可以新增至名稱清單,因為 Socket 程式庫一次只能使用一個 OCSP 回應端 URL。如需相關資訊,請參閱 IBM MQ 線上產品說明文件中的維護安全


工作 工作

反饋

「時間戳記」圖示 前次更新時間: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_mqclients.htm