TLS beállítása sorkezelőkön
Az IBM® Kulcskezelő (iKeyman) grafikus felületének elindítása után használhatja azt TLS tanúsítványok kezeléséhez.
Mielőtt elkezdené
Az iKeyman grafikus felület indításával kapcsolatos további információkért tekintse meg az IBM Kulcskezelő grafikus felület elindítása című részt.
Sorkezelő kulcslerakatának létrehozása
Erről a feladatról
A sorkezelő által használt tanúsítványok a kulcslerakatban kerülnek tárolásra. Windows, Linux és UNIX platformokon a kulcslerakatot kulcs adatbázisfájlnak nevezik.
A sorkezelő kulcslerakatának helye a sorkezelő Kulcslerakat attribútumában van meghatározva. Mielőtt a sorkezelő tanúsítványait tárolhatná a kulcslerakatban, meg kell győződnie arról, hogy a kulcs adatbázisfájl létezik ezen a helyen. Ha létre kell hoznia a kulcs adatbázisfájlt, akkor használja az iKeyman grafikus felületet. További információkért tekintse meg a Biztonság beállítása című részt az IBM MQ online termékdokumentációjában.
Sorkezelő kulcslerakatának módosítása
Erről a feladatról
Bizonyos helyzetekben szüksége lehet a kulcslerakat módosítását; például ha egyetlen helyet szeretne használni, amely meg van osztva az összes sorkezelő között az operációs rendszeren.
Sorkezelő kulcslerakat helyének módosításához:
Eljárás
Tanúsítványok hitelesítése Tanúsítvány visszavonási listák használatával
Erről a feladatról
A Tanúsítványhatóságok (CA) visszavonhatják a már nem megbízható tanúsítványokat úgy, hogy közzéteszik azokat egy Tanúsítvány visszavonási listában (CRL). Amikor tanúsítványt kap egy sorkezelőtől vagy IBM MQ MQI ügyféltől, akkor ellenőrizheti a CRL listában, hogy az nem lett-e visszavonva. A CRL ellenőrzés nem kötelező a TLS alapú üzenetkezelés eléréséhez, de ajánlott a felhasználói tanúsítványok megbízhatóságának biztosításához.
Tanúsítvány-visszavonási lista (CRL) ilyen módszerű beállításával kapcsolatos további információkért lásd: Biztonság beállítása az IBM MQ online termékdokumentációban.
Kapcsolat beállítása egy LDAP CRL kiszolgálóhoz:
Eljárás
- Az IBM MQ Explorer programban bontsa ki a sorkezelőt.
- Hozzon létre egy CRL LDAP típusú hitelesítési információs objektumot. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
- Ismételje meg a 2. lépést, és hozzon létre annyi CRL LDAP hitelesítési információs objektumot, amennyi szükséges.
- Hozzon létre egy névlistát, és vegye fel rá a 2. és 3. lépésben létrehozott hitelesítési információs objektumok nevét. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
- Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
- Az SSL oldalon a Visszavonási névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
- Kattintson az OK gombra.
Eredmények
A sorkezelő által fogadott tanúsítványokat most már hitelesíteni lehet az LDAP kiszolgálón található CRL listával.
A névlistához legfeljebb 10 alternatív LDAP kiszolgálót adhat hozzá, hogy biztosítsa a folyamatos szolgáltatást, ha bizonyos LDAP kiszolgálók nem elérhetőek.
Tanúsítványok hitelesítése OCSP hitelesítés használatával
Erről a feladatról
UNIX
és Windows
rendszereken az
IBM MQ TLS támogatás
OCSP (Online tanúsítványállapot protokoll) használatával vagy LDAP
(Egyszerűsített címtárhozzáférési protokoll) kiszolgálókon található CRL
és ARL listák segítségével ellenőrzi a visszavont tanúsítványokat. Az OCSP az előnyben részesített módszer.
A
IBM MQ Java™ osztályok
és
IBM MQ JMS osztályok
nem használhatják az OCSP információkat ügyfélcsatorna meghatározási tábla
fájlban. Beállíthatja azonban az OCSP-t az
IBM MQ online
termékdokumentáció
Visszavont tanúsítványok és OCSP című
témakörében leírtak szerint.
A
IBM i és
z/OS rendszerek
nem támogatják az OCSP ellenőrzést, de lehetővé teszik OCSP információkat
tartalmazó ügyfél csatornameghatározási táblák (CCDT) létrehozását.
A csatornameghatározási táblákkal (CCDT) és az online tanúsítványállapot protokollal (OCSP) kapcsolatos további információkért lásd: Ügyfélcsatorna-meghatározási táblázat az IBM MQ online termékdokumentációban.
Kapcsolat beállítása egy OCSP kiszolgálóhoz:
Eljárás
- Az IBM MQ Explorer programban bontsa ki a sorkezelőt.
- Hozzon létre egy OCSP típusú hitelesítési információs objektumot. További információk: Sorkezelők és objektumok létrehozása és beállítása.
- Ismételje meg a 2. lépést, és hozzon létre annyi OCSP hitelesítési információs objektumot, amennyi szükséges.
- Hozzon létre egy névlistát, és vegye fel rá a 2. és 3. lépésben létrehozott OCSP hitelesítési információs objektumok nevét. További információk: Sorkezelők és objektumok létrehozása és beállítása.
- Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
- Az SSL oldalon a Visszavonási névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
- Kattintson az OK gombra.
Eredmények
A sorkezelő által fogadott tanúsítványokat most már hitelesítve vannak az OCSP válaszadóval.
A sorkezelő az OCSP információkat beírja a CCDT táblába.
Csak egy OCSP objektum vehető fel a névlistára, mivel a socket könyvtár egyszerre csak egy OCSP válaszadó URL címet képes használni.
Kriptográfiai hardver beállítása
Erről a feladatról
A IBM MQ képes támogatni a kriptográfiai hardvert, és a sorkezelőt ennek megfelelően kell beállítani.
Sorkezelő beállítása kriptográfiai hardverhez:
Eljárás
- Indítsa el az IBM MQ Explorer programot.
- A Navigátor nézetben kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját. Megnyílik a Tulajdonságok párbeszédablak.
- Az SSL oldalon kattintson a Beállítás lehetőségre; ekkor megnyílik a Kriptográfiai hardver beállítások párbeszédablak.
- A Kriptográfiai hardver beállítások párbeszédablakban: Jelenleg az összes támogatott kriptográfiai kártya PKCS #11 illesztőprogramot használ, ezért hagyja figyelmen kívül a Rainbow Cryptoswift vagy az nCipher nFast kártyákra vonatkozó utalásokat. Adja meg a PKCS #11 illesztőprogram elérési útját, a jelsor címkét, a jelsor jelszót, valamint a szimmetrikus rejtjel beállítást.
- Kattintson az OK gombra.
Eredmények
A sorkezelő be lett állítva a kriptográfiai hardver használatára.
Az iKeyman segítségével olyan tanúsítványokkal is dolgozhat, amelyek PKCS #11 hardveren vannak tárolva.
További információkért tekintse meg a Biztonság beállítása című részt az IBM MQ online termékdokumentációjában.