TLS beállítása sorkezelőkön

Az IBM® Kulcskezelő (iKeyman) grafikus felületének elindítása után használhatja azt TLS tanúsítványok kezeléséhez.

Mielőtt elkezdené

Az iKeyman grafikus felület indításával kapcsolatos további információkért tekintse meg az IBM Kulcskezelő grafikus felület elindítása című részt.

Sorkezelő kulcslerakatának létrehozása

Erről a feladatról

A sorkezelő által használt tanúsítványok a kulcslerakatban kerülnek tárolásra. Windows, Linux és UNIX platformokon a kulcslerakatot kulcs adatbázisfájlnak nevezik.

A sorkezelő kulcslerakatának helye a sorkezelő Kulcslerakat attribútumában van meghatározva. Mielőtt a sorkezelő tanúsítványait tárolhatná a kulcslerakatban, meg kell győződnie arról, hogy a kulcs adatbázisfájl létezik ezen a helyen. Ha létre kell hoznia a kulcs adatbázisfájlt, akkor használja az iKeyman grafikus felületet. További információkért tekintse meg a Biztonság beállítása című részt az IBM MQ online termékdokumentációjában.

Sorkezelő kulcslerakatának módosítása

Erről a feladatról

Bizonyos helyzetekben szüksége lehet a kulcslerakat módosítását; például ha egyetlen helyet szeretne használni, amely meg van osztva az összes sorkezelő között az operációs rendszeren.

Sorkezelő kulcslerakat helyének módosításához:

Eljárás

  1. Módosítsa a kulcslerakat helyét a sorkezelő tulajdonságaiban:
    1. Nyissa meg az IBM MQ Explorer programot, és bontsa ki a Sorkezelők mappát.
    2. Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
    3. Az SSL adatlapon módosítsa a Kulcslerakat mezőben található útvonalat úgy, hogy az a kiválasztott könyvtárra mutasson.
    4. A figyelmeztető párbeszédablakban kattintson az Igen gombra.
  2. Az iKeyman grafikus felhasználói felület használatával vigye át a sorkezelő személyes tanúsítványait az új helyre. További információkért tekintse meg a Biztonság beállítása című részt az IBM MQ online termékdokumentációjában.

Tanúsítványok hitelesítése Tanúsítvány visszavonási listák használatával

Erről a feladatról

A Tanúsítványhatóságok (CA) visszavonhatják a már nem megbízható tanúsítványokat úgy, hogy közzéteszik azokat egy Tanúsítvány visszavonási listában (CRL). Amikor tanúsítványt kap egy sorkezelőtől vagy IBM MQ MQI ügyféltől, akkor ellenőrizheti a CRL listában, hogy az nem lett-e visszavonva. A CRL ellenőrzés nem kötelező a TLS alapú üzenetkezelés eléréséhez, de ajánlott a felhasználói tanúsítványok megbízhatóságának biztosításához.

Tanúsítvány-visszavonási lista (CRL) ilyen módszerű beállításával kapcsolatos további információkért lásd: Biztonság beállítása az IBM MQ online termékdokumentációban.

Kapcsolat beállítása egy LDAP CRL kiszolgálóhoz:

Eljárás

  1. Az IBM MQ Explorer programban bontsa ki a sorkezelőt.
  2. Hozzon létre egy CRL LDAP típusú hitelesítési információs objektumot. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
  3. Ismételje meg a 2. lépést, és hozzon létre annyi CRL LDAP hitelesítési információs objektumot, amennyi szükséges.
  4. Hozzon létre egy névlistát, és vegye fel rá a 2. és 3. lépésben létrehozott hitelesítési információs objektumok nevét. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
  5. Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
  6. Az SSL oldalon a Visszavonási névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
  7. Kattintson az OK gombra.

Eredmények

A sorkezelő által fogadott tanúsítványokat most már hitelesíteni lehet az LDAP kiszolgálón található CRL listával.

A névlistához legfeljebb 10 alternatív LDAP kiszolgálót adhat hozzá, hogy biztosítsa a folyamatos szolgáltatást, ha bizonyos LDAP kiszolgálók nem elérhetőek.

Tanúsítványok hitelesítése OCSP hitelesítés használatával

Erről a feladatról

[UNIX][Windows]UNIX és Windows rendszereken az IBM MQ TLS támogatás OCSP (Online tanúsítványállapot protokoll) használatával vagy LDAP (Egyszerűsített címtárhozzáférési protokoll) kiszolgálókon található CRL és ARL listák segítségével ellenőrzi a visszavont tanúsítványokat. Az OCSP az előnyben részesített módszer. A IBM MQ Java™ osztályok és IBM MQ JMS osztályok nem használhatják az OCSP információkat ügyfélcsatorna meghatározási tábla fájlban. Beállíthatja azonban az OCSP-t az IBM MQ online termékdokumentáció Visszavont tanúsítványok és OCSP című témakörében leírtak szerint.

[IBM i][z/OS]A IBM i és z/OS rendszerek nem támogatják az OCSP ellenőrzést, de lehetővé teszik OCSP információkat tartalmazó ügyfél csatornameghatározási táblák (CCDT) létrehozását.

A csatornameghatározási táblákkal (CCDT) és az online tanúsítványállapot protokollal (OCSP) kapcsolatos további információkért lásd: Ügyfélcsatorna-meghatározási táblázat az IBM MQ online termékdokumentációban.

Kapcsolat beállítása egy OCSP kiszolgálóhoz:

Eljárás

  1. Az IBM MQ Explorer programban bontsa ki a sorkezelőt.
  2. Hozzon létre egy OCSP típusú hitelesítési információs objektumot. További információk: Sorkezelők és objektumok létrehozása és beállítása.
  3. Ismételje meg a 2. lépést, és hozzon létre annyi OCSP hitelesítési információs objektumot, amennyi szükséges.
  4. Hozzon létre egy névlistát, és vegye fel rá a 2. és 3. lépésben létrehozott OCSP hitelesítési információs objektumok nevét. További információk: Sorkezelők és objektumok létrehozása és beállítása.
  5. Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
  6. Az SSL oldalon a Visszavonási névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
  7. Kattintson az OK gombra.

Eredmények

A sorkezelő által fogadott tanúsítványokat most már hitelesítve vannak az OCSP válaszadóval.

A sorkezelő az OCSP információkat beírja a CCDT táblába.

Csak egy OCSP objektum vehető fel a névlistára, mivel a socket könyvtár egyszerre csak egy OCSP válaszadó URL címet képes használni.

Kriptográfiai hardver beállítása

Erről a feladatról

A IBM MQ képes támogatni a kriptográfiai hardvert, és a sorkezelőt ennek megfelelően kell beállítani.

Sorkezelő beállítása kriptográfiai hardverhez:

Eljárás

  1. Indítsa el az IBM MQ Explorer programot.
  2. A Navigátor nézetben kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját. Megnyílik a Tulajdonságok párbeszédablak.
  3. Az SSL oldalon kattintson a Beállítás lehetőségre; ekkor megnyílik a Kriptográfiai hardver beállítások párbeszédablak.
  4. A Kriptográfiai hardver beállítások párbeszédablakban: Jelenleg az összes támogatott kriptográfiai kártya PKCS #11 illesztőprogramot használ, ezért hagyja figyelmen kívül a Rainbow Cryptoswift vagy az nCipher nFast kártyákra vonatkozó utalásokat. Adja meg a PKCS #11 illesztőprogram elérési útját, a jelsor címkét, a jelsor jelszót, valamint a szimmetrikus rejtjel beállítást.
  5. Kattintson az OK gombra.

Eredmények

A sorkezelő be lett állítva a kriptográfiai hardver használatára.

Az iKeyman segítségével olyan tanúsítványokkal is dolgozhat, amelyek PKCS #11 hardveren vannak tárolva.

További információkért tekintse meg a Biztonság beállítása című részt az IBM MQ online termékdokumentációjában.


Feladatom Feladatom

Visszajelzés

Időbélyeg ikon Utolsó frissítés: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_qmanagers.htm