Configuration de TLS sur les clients IBM MQ MQI
Pour utiliser TLS sur un client IBM® MQ, vous devez utiliser diverses commandes.
Pourquoi et quand exécuter cette tâche
Cette tâche présente les commandes dont vous vous servez pour utiliser TLS sur un client IBM MQ. Pour plus d'informations, voir Sécurisation dans la documentation en ligne du produit IBM MQ.
Gestion des certificats du client IBM MQ
Utilisez l'interface graphique IBM Key Management (iKeyman) pour gérer vos certificats TLS. Pour plus d'informations, voir Démarrage de l'interface graphique d'IBM Key Management.
Dans l'interface graphique iKeyman, vérifiez que le référentiel de clés contient tous les certificats de l'autorité de certification pouvant être requis pour valider des certificats reçus d'autres gestionnaires de files d'attente.
Pour localiser le référentiel de clés du client, entrez la commande suivante pour connaître la valeur de la variable d'environnement MQSSLKEYR :
echo %MQSSLKEYR%
Vérifiez également votre application il se peut que le référentiel de clés soit défini sur un appel MQCONNX. Si les deux valeurs sont définies, la valeur définie sur l'appel MQCONNX remplace celle de MQSSLKEYR.
Configuration des canaux en vue de l'utilisation de TLS
Les canaux TLS doivent être définis comme indiqué dans la rubrique Configuration de canaux TLS.
Pour plus d'informations sur la configuration de la sécurité du client IBM MQ, voir Configuration de la sécurité du client IBM MQ MQI dans la documentation en ligne du produit IBM MQ.
Vérification des certificats par rapport à la Liste de Révocation des Certificats
Pourquoi et quand exécuter cette tâche
Vous pouvez configurer un client IBM MQ MQI pour vérifier les certificats dans les listes de retrait de certificats (CRL) et les serveurs LDAP :
Procédure
- Sur le serveur IBM MQ, dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
- Créez un objet informations d'authentification de type CRL LDAP. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
- Répétez l'étape 2 pour créer le nombre d'objets d'informations d'authentification dont vous avez besoin.
- Créez une liste de noms et ajoutez-y les noms des objets d'informations d'authentification créés au cours des étapes 2 et 3. Pour plus d'information, voir la section Création et configuration de gestionnaires de files d'attente et d'objets.
- Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
- Dans la page SSL, dans la zone Liste de noms CRL, tapez le nom de la liste de noms créée à l'étape 4.
- Cliquez sur OK. Toutes les informations CRL LDAP sont maintenant enregistrées dans une table de définition de canaux client.
- Mettez à la disposition du client la table de définition de canal client ou, si vous utilisez Windows Active Directory, écrivez les informations de la table de définition de canal client dans Active Directory. Voir la commande setmqscp dans la documentation en ligne du produit IBM MQ.
Résultats
Pour plus d'informations, voir Présentation des clients IBM MQ MQI dans la documentation en ligne du produit IBM MQ.
Vous pouvez ajouter à la liste de noms jusqu'à 10 connexions vers des serveurs LDAP de secours afin de garantir une continuité de service si un ou plusieurs de ces serveurs sont inaccessibles. Pour plus d'informations, voir Sécurisation dans la documentation en ligne du produit IBM MQ.
Vérification des certificats à l'aide de l'authentification OCSP
Pourquoi et quand exécuter cette tâche
Vous pouvez configurer un client IBM MQ MQI pour vérifier les certificats dans un répondeur OCSP. Certains environnements client ne prennent pas en charge le contrôle de révocation OCSP, mais toutes les plateformes de serveur prennent en charge la capacité de définir la configuration OCSP qui sera écrite dans le fichier de la table de définitions de canaux de client.
Procédure
- Sur le serveur IBM MQ, dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
- Créez un objet informations d'authentification de type OCSP. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
- Répétez l'étape 2 pour créer le nombre d'objets d'informations d'authentification OCSP dont vous avez besoin.
- Créez une liste de noms et ajoutez-y les noms des objets d'informations d'authentification OCSP créés au cours des étapes 2 et 3. Pour plus d'information, voir la section Création et configuration de gestionnaires de files d'attente et d'objets.
- Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
- Dans la page SSL, et plus précisément dans la zone Liste de noms de révocation, entrez le nom de la liste de noms créée à l'étape 4.
- Cliquez sur OK.
- Mettez la table de définition de canaux client à la disposition du client.
Résultats
Pour plus d'informations, voir Présentation des clients IBM MQ MQI dans la documentation en ligne du produit IBM MQ.
UN seul objet OCSP peut être ajouté à la liste de noms car la bibliothèque de sockets ne peut utiliser qu'une seule adresse URL de canal répondeur OCSP à la fois. Pour plus d'informations, voir Sécurisation dans la documentation en ligne du produit IBM MQ.