Configuration de la sécurité TLS sur les gestionnaires de files d'attente

Une fois l'interface utilisateur d'IBM® Key Management (iKeyman) démarrée, vous pouvez l'utiliser pour gérer les certificats TLS.

Avant de commencer

Pour plus d'informations sur le démarrage de l'interface graphique d'iKeyman, voir Démarrage de l'interface graphique d'IBM Key Management.

Création du référentiel de clés du gestionnaire de files d'attente

Pourquoi et quand exécuter cette tâche

Le référentiel de clés est l'emplacement dans lequel le gestionnaire de files d'attente conserve ses certificats. Sur les plateformes Windows, Linux et UNIX, le référentiel de clés est appelé fichier de clés.

L'emplacement du référentiel de clés d'un gestionnaire de files d'attente est indiqué dans l'attributRéférentiel de clés de ce dernier. Pour pouvoir stocker les certificats du gestionnaire de files d'attente dans le référentiel de clés, vous devez vous assurer qu'un fichier de clés existe à cet emplacement. Si vous devez créer ce fichier, utilisez l'interface graphique Keyman. Pour plus d'informations, voir Sécurisation dans la documentation en ligne du produit IBM MQ.

Modification du référentiel de clés du gestionnaire de files d'attente

Pourquoi et quand exécuter cette tâche

Dans certains cas, il peut s'avérer utile de modifier l'emplacement du référentiel de clés, par exemple pour utiliser un emplacement unique, partagé par tous les gestionnaires de files d'attente d'un système d'exploitation.

Pour modifier l'emplacement du référentiel de clés d'un gestionnaire de files d'attente, procédez comme suit :

Procédure

  1. Modifiez l'emplacement du référentiel de clés dans les propriétés du gestionnaire de files d'attente :
    1. Ouvrez IBM MQ Explorer et développez le dossier des gestionnaires de files d'attente.
    2. Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
    3. Sur la page de propriétés SSL, dans la zoneRéférentiel de clés indiquez un chemin pointant sur le répertoire choisi.
    4. Dans la boîte de dialogue d'avertissement, cliquez sur Oui.
  2. Transférez les certificats personnels du gestionnaire de files d'attente vers le nouvel emplacement à l'aide de l'interface graphique iKeyman. Pour plus d'informations, voir Sécurisation dans la documentation en ligne du produit IBM MQ.

Vérification des certificats par rapport à la Liste de Révocation des Certificats

Pourquoi et quand exécuter cette tâche

Les autorités de certification peuvent révoquer des certificats qui ne sont plus fiables en les mentionnant dans une liste CRL (Certification Revocation List). Quand un gestionnaire de files d'attente ou un client IBM MQ MQI reçoit un certificat, le certificat peut être vérifié dans la liste de retrait des certificats pour déterminer s'il a été retiré. Cette vérification n'est pas obligatoire, mais il est recommandé de s'assurer de la validité des certificats utilisateur.

Pour plus d'informations sur la configuration d'une liste de révocation de certificat (CRL) de cette façon, voir Sécurisation dans la documentation en ligne du produit IBM MQ.

Pour configurer une connexion à un serveur CRL LDAP :

Procédure

  1. Dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
  2. Créez un objet informations d'authentification de type CRL LDAP. Pour plus d'informations, voir la section Création et configuration de gestionnaires de files d'attente et d'objets.
  3. Répétez l'étape 2 pour créer le nombre d'objets d'informations d'authentification LDAP CRL dont vous avez besoin.
  4. Créez une liste de noms et ajoutez-y les noms des objets d'informations d'authentification créés au cours des étapes 2 et 3. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
  5. Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
  6. Dans la page SSL, et plus précisément dans la zone Liste de noms de révocation, entrez le nom de la liste de noms créée à l'étape 4.
  7. Cliquez sur OK.

Résultats

Les certificats reçus par le gestionnaire de files d'attente peuvent maintenant être authentifiés auprès de la liste de retrait de certificats du serveur LDAP.

Vous pouvez ajouter à la liste de noms jusqu'à 10 connexions vers des serveurs LDAP de secours afin de garantir une continuité de service si un ou plusieurs de ces serveurs sont inaccessibles.

Vérification des certificats à l'aide de l'authentification OCSP

Pourquoi et quand exécuter cette tâche

[UNIX][Windows]Sur les systèmes UNIX et Windows, la prise en charge TLS d'IBM MQ recherche des certificats révoqués avec le protocole OCSP (Online Certificate Status Protocol) ou des listes CRL et ARL sur les serveurs LDAP (Lightweight Directory Access Protocol). OCSP est la méthode préférée. IBM MQ classes for Java™ et IBM MQ classes for JMS ne peuvent pas utiliser les informations OCSP dans un fichier de table de définition de canal du client. Toutefois, vous pouvez configurer le protocole OCSP comme décrit dans Certificats révoqués et OCSP dans la documentation en ligne du produit IBM MQ.

[IBM i][z/OS]Les systèmes IBM i et z/OS ne prennent pas en charge la vérification via OCSP mais autorisent la génération de tables de définition de canaux client (CCDT) contenant des informations OCSP.

Pour plus d'informations sur les tables de définition de canal du client et OCSP, voir Table de définition de canal du client dans la documentation du produit IBM MQ.

Pour configurer une connexion à un serveur OCSP :

Procédure

  1. Dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
  2. Créez un objet informations d'authentification de type OCSP. Pour plus d'informations, voir : Création et configuration de gestionnaires de files d'attente et d'objets.
  3. Répétez l'étape 2 pour créer le nombre d'objets d'informations d'authentification OCSP dont vous avez besoin.
  4. Créez une liste de noms et ajoutez-y les noms des objets d'informations d'authentification OCSP créés au cours des étapes 2 et 3. Pour plus d'informations, voir : Création et configuration de gestionnaires de files d'attente et d'objets.
  5. Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
  6. Dans la page SSL, et plus précisément dans la zone Liste de noms de révocation, entrez le nom de la liste de noms créée à l'étape 4.
  7. Cliquez sur OK.

Résultats

Les certificats reçus par le gestionnaire de files d'attente sont authentifiés auprès du canal répondeur OCSP.

Le gestionnaire de files d'attente écrit des informations OCSP dans la table de définition de canal du client.

UN seul objet OCSP peut être ajouté à la liste de noms car la bibliothèque de sockets ne peut utiliser qu'une seule adresse URL de canal répondeur OCSP à la fois.

Configuration du matériel de cryptographie

Pourquoi et quand exécuter cette tâche

IBM MQ prend en charge le matériel de cryptographie et le gestionnaire de files d'attente doit être configuré en conséquence.

Pour configurer le gestionnaire de files d'attente pour le matériel de cryptographie :

Procédure

  1. Démarrez IBM MQ Explorer.
  2. Dans la vue Navigateur, avec le bouton droit de la souris, cliquez sur le gestionnaire de files d'attente, puis sur Propriétés. La boîte de dialogue des propriétés s'ouvre.
  3. Sur la page SSL, cliquez sur Configurer La boîte de dialogue des paramètres du matériel de cryptographie apparaît.
  4. Dans la boîte de dialogue Paramètres du matériel de cryptographie : Toutes les cartes de cryptographie prises en charge utilisent PKCS #11. Ignorez donc toutes les références aux cartes Rainbow Cryptoswift ou nCipher nFast. Entrez le chemin d'accès au pilote PKCS #11, ainsi qu'un intitulé et un mot de passe de jeton et le paramètre relatif à la spécification cipher symétrique.
  5. Cliquez sur OK.

Résultats

Le gestionnaire de files d'attente est maintenant configuré pour utiliser le matériel de cryptographie.

Vous pouvez également travailler avec des certificats stockés sur le matériel PKCS #11 à l'aide d'iKeyman.

Pour plus d'informations, voir Sécurisation dans la documentation en ligne du produit IBM MQ.


Tâche Tâche

Commentaires

Icône d'horodatage Dernière révision: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_qmanagers.htm