Konfigurowanie protokołu TLS dla klientów MQI produktu IBM MQ

Podczas pracy z protokołem TLS w kliencie IBM® MQ należy używać różnych komend.

O tym zadaniu

W tym zadaniu przedstawiono komendy używane podczas pracy z protokołem TLS w kliencie IBM MQ. Więcej informacji na ten temat zawiera sekcja Bezpieczeństwo w elektronicznej dokumentacji produktu IBM MQ.

Zarządzanie certyfikatami klienta IBM MQ

Aby zarządzać certyfikatami TLS, należy użyć interfejsu GUI IBM Key Management (iKeyman). Więcej informacji na ten temat zawiera sekcja Uruchamianie interfejsu GUI IBM Key Management.

W interfejsie GUI iKeyman należy sprawdzić, czy repozytorium kluczy klienta zawiera wszystkie certyfikaty ośrodka certyfikacji, które mogą być wymagane w celu sprawdzenia poprawności certyfikatów otrzymywanych z innych menedżerów kolejek.

Aby ustalić miejsce repozytorium kluczy klienta, należy wpisać następującą komendę w celu sprawdzenia zmiennej środowiskowej MQSSLKEYR:

echo %MQSSLKEYR%

Należy również sprawdzić używaną aplikację, ponieważ repozytorium kluczy może zostać ustawione na wywołanie MQCONNX. Jeśli obie wartości są ustawione, wartość wywołania MQCONNX nadpisuje wartość MQSSLKEYR.

Konfigurowanie kanałów w celu użycia szyfrowania TLS

Kanały TLS muszą zostać skonfigurowane zgodnie z opisem zawartym w sekcji Konfigurowanie kanałów TLS.

Więcej informacji o konfigurowaniu zabezpieczeń klienta IBM MQ można znaleźć w sekcji Konfigurowanie zabezpieczeń klienta MQI produktu IBM MQ w elektronicznej dokumentacji produktu IBM MQ.

Uwierzytelnianie certyfikatów za pomocą list CRL (Certificate Revocation Lists)

O tym zadaniu

Klient MQI produktu IBM MQ może zostać skonfigurowany w celu sprawdzania certyfikatów według list CRL na serwerach LDAP:

Procedura

  1. Na serwerze IBM MQ, w programie IBM MQ Explorer rozwiń menedżer kolejek.
  2. Utwórz nowy obiekt informacji uwierzytelniającej typu CRL LDAP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
  3. Powtórz punkt 2, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej.
  4. Utwórz nową listę nazw i dodaj do niej nazwy obiektów informacji uwierzytelniającej utworzonych w punktach 2 i 3. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
  5. Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
  6. Na stronie SSL, w polu Lista nazw CRL wpisz nazwę listy nazw utworzonej w punkcie 4.
  7. Kliknij przycisk OK. Wszystkie informacje typu CRL LDAP są teraz zapisywane w tabeli definicji kanału klienta.
  8. Udostępnij klientowi tabelę definicji kanału klienta lub, jeśli używasz usług Windows Active Directory, zapisz informację z tabeli definicji kanału klienta w katalogu Active Directory. Więcej informacji zawiera opis komendy setmqscp w elektronicznej dokumentacji produktu IBM MQ.

Wyniki

Więcej informacji można znaleźć w sekcji Przegląd klientów MQI produktu IBM MQ elektronicznej dokumentacji produktu IBM MQ.

Do listy nazw można dodać maksymalnie 10 połączeń z alternatywnymi serwerami LDAP, aby zagwarantować ciągłość usługi w przypadku, gdy jeden lub więcej serwerów LDAP jest niedostępnych. Więcej informacji na ten temat zawiera sekcja Bezpieczeństwo w elektronicznej dokumentacji produktu IBM MQ.

Uwierzytelnianie certyfikatów za pomocą uwierzytelniania OCSP

O tym zadaniu

Klient MQI produktu IBM MQ może zostać skonfigurowany w celu sprawdzania certyfikatów z użyciem modułu odpowiadającego OCSP. Niektóre środowiska klienckie nie obsługują sprawdzania odwołań OCSP, jednak wszystkie platformy serwerów obsługują definiowanie konfiguracji OCSP zapisywanej w pliku tabeli definicji kanału klienta.

Procedura

  1. Na serwerze IBM MQ, w programie IBM MQ Explorer rozwiń menedżer kolejek.
  2. Utwórz nowy obiekt informacji uwierzytelniającej typu OCSP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
  3. Powtórz punkt 2, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej OCSP.
  4. Utwórz nową listę nazw i dodaj do niej nazwy obiektów informacji uwierzytelniającej protokołu OCSP utworzonych w punktach 2 i 3. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
  5. Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
  6. Na stronie SSL, w polu Lista nazw odwołań wpisz nazwę listy nazw utworzonej w punkcie 4.
  7. Kliknij przycisk OK.
  8. Udostępnij klientowi tabelę definicji kanału klienta.

Wyniki

Więcej informacji można znaleźć w sekcji Przegląd klientów MQI produktu IBM MQ elektronicznej dokumentacji produktu IBM MQ.

Do listy nazw można dodać tylko jeden obiekt OCSP, ponieważ biblioteka gniazd może używać jednocześnie tylko jednego adresu URL modułu odpowiadającego OCSP. Więcej informacji na ten temat zawiera sekcja Bezpieczeństwo w elektronicznej dokumentacji produktu IBM MQ.


Zadanie Zadanie

Opinie

Ikona znacznika czasu Ostatnia aktualizacja: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_mqclients.htm