IBM MQ クライアントの TLS の構成
IBM® MQ クライアントで TLS を処理するには、さまざまなコマンドを使用する必要があります。
このタスクについて
このタスクでは、IBM MQ クライアントで TLS の作業をするために使用するコマンドを紹介します。詳しくは、オンラインの IBM MQ 製品資料で『保護』 を参照してください。
IBM MQ クライアントの証明書の管理
IBM 鍵管理 (IKEYMAN) GUI を使用して、TLS 証明書を管理します。詳しくは、IBM 鍵管理 GUI の開始を参照してください。
IKEYMAN GUI で、クライアントのキー・リポジトリーに、他のキュー・マネージャーから受け取った証明書の検証に必要な可能性のある、すべての認証局 (CA) 証明書が含まれていることを確認します。
クライアントのキー・リポジトリーの場所を検索するには、以下のコマンドを入力して MQSSLKEYR 環境変数を調べます。
echo %MQSSLKEYR%
キー・リポジトリーは MQCONNX 呼び出しに設定することができるため、ご使用のアプリケーションを検査します。両方の値が設定されている場合、MQCONNX 呼び出しに設定されている値は MQSSLKEYR の値を指定変更します。
TLS を使用するためのチャネルの構成
TLS チャネルは、TLS チャネルの構成で説明されているとおりにセットアップされていなければなりません。
IBM MQ クライアント・セキュリティーのセットアップについて詳しくは、IBM MQ オンラインの製品資料でIBM MQ MQI クライアント・セキュリティーのセットアップを参照してください。
証明書取り消しリストによる証明書の認証
このタスクについて
IBM MQ MQI クライアントをセットアップして、LDAP サーバーの CRL に照らして証明書をチェックすることができます。
手順
- IBM MQ サーバー上の IBM MQ エクスプローラーで、キュー・マネージャーを展開します。
- タイプ「CRL LDAP」の新規認証情報オブジェクトを作成します。 詳しくは、キュー・マネージャーとオブジェクトの作成および構成を参照してください。
- ステップ 2 を繰り返して、必要な数の認証情報オブジェクトを作成します。
- 新規の名前リストを作成し、ステップ 2 と 3 で作成した認証情報オブジェクトの名前をこの名前リストに追加します。詳しくは、キュー・マネージャーとオブジェクトの作成および構成を参照してください。
- キュー・マネージャーを右クリックして「プロパティー」を選択します。
- 「SSL」ページの「CRL 名前リスト」フィールドに、 ステップ 4 で作成した名前リストの名前を入力します。
- 「OK」をクリックします。 すべての LDAP CRL 情報がクライアント・チャネル定義テーブルに書き込まれます。
- クライアント・チャネル定義テーブルをクライアントで使用できるようにするか、または Windows Active Directory を使用している場合は、クライアント・チャネル定義テーブルから Active Directory に情報を書き出します。 IBM MQ オンラインの製品資料の setmqscp コマンドを参照してください。
タスクの結果
詳しくは、オンラインの IBM MQ 製品資料で『IBM MQ MQI クライアントの概要』 を参照してください。
代替 LDAP サーバーへの接続を最大 10 まで名前リストに追加でき、1 つまたは複数の LDAP サーバーにアクセス不能に なったとき、サービスの継続性を保証できます。詳しくは、オンラインの IBM MQ 製品資料で『保護』 を参照してください。
OCSP 認証による証明書の認証
このタスクについて
IBM MQ MQI クライアントをセットアップして、証明書を OCSP 応答側に照らして検査することができます。一部のクライアント環境では、OCSP 取り消し検査がサポートされていませんが、すべてのサーバー・プラットフォームで、クライアント・チャネル定義テーブル・ファイルに書き込まれる OCSP 構成を定義することができます。
手順
- IBM MQ サーバー上の IBM MQ エクスプローラーで、キュー・マネージャーを展開します。
- タイプ「OCSP」の新規認証情報オブジェクトを作成します。 詳しくは、キュー・マネージャーとオブジェクトの作成および構成を参照してください。
- ステップ 2 を繰り返して、必要な数の OCSP 認証情報オブジェクトを作成します。
- 新規の名前リストを作成し、ステップ 2 と 3 で作成した OCSP 認証情報オブジェクトの名前をこの名前リストに追加します。詳しくは、キュー・マネージャーとオブジェクトの作成および構成を参照してください。
- キュー・マネージャーを右クリックして「プロパティー」を選択します。
- 「SSL」ページの「取り消し名前リスト」フィールドに、 ステップ 4 で作成した名前リストの名前を入力します。
- 「OK」をクリックします。
- クライアント・チャネル定義テーブルをクライアントで使用できるようにします。.
タスクの結果
詳しくは、オンラインの IBM MQ 製品資料で『IBM MQ MQI クライアントの概要』 を参照してください。
ソケット・ライブラリーで一度に使用できる OCSP 応答側 URL が 1 つのみであるため、名前リストには 1 つの OCSP オブジェクトしか追加できません。詳しくは、オンラインの IBM MQ 製品資料で『保護』 を参照してください。