TLS beállítása IBM MQ MQI ügyfeleken

Ha TLS réteget kíván kezelni egy IBM® MQ ügyfélen, akkor különféle parancsokat kell használnia.

Erről a feladatról

Ez a feladat azokat a parancsokat mutatja be, melyeket a TLS kezelésére használhat egy IBM MQ ügyfélen. További információkért tekintse meg a Biztonság beállítása című részt az IBM MQ online termékdokumentációjában.

A IBM MQ ügyféltanúsítványok kezelése

A TLS tanúsítványok kezeléséhez használja az IBM Kulcskezelő (iKeyman) grafikus felületet. További információkért tekintse meg a IBM Kulcskezelő grafikus felületének indítása részt.

Az iKeyman grafikus felületen győződjön meg róla, hogy az ügyfél kulcslerakata tartalmaz minden olyan Tanúsítványhatóság (CA) tanúsítványt, amelyre szükség lehet a más sorkezelőktől kapott tanúsítványok ellenőrzéséhez.

Az ügyfélhez tartozó kulcslerakat helyének megtalálásához írja be a következő parancsot az MQSSLKEYR környezeti változó megvizsgálásához:

echo %MQSSLKEYR%

Továbbá ellenőrizze az alkalmazást, mert a kulcslerakat egy MQCONNX hívásra lehet állítva. Ha mindkét érték be van állítva, akkor az MQCONNX híváson beállított érték felülbírálja az MQSSLKEYR értékét.

Csatornák beállítása TLS használatára

A TLS csatornákat be kell állítani az TLS csatornák beállítása részben leírtak szerint.

Az IBM MQ ügyfélbiztonság beállításával kapcsolatos további információkért lásd: IBM MQ MQI ügyfélbiztonság beállítása az IBM MQ online termékdokumentációjában.

Tanúsítványok hitelesítése Tanúsítvány visszavonási listák használatával

Erről a feladatról

A IBM MQ MQI ügyfelet beállíthatja úgy, hogy a tanúsítványokat LDAP kiszolgálókon található CRL listákkal ellenőrizze:

Eljárás

  1. A IBM MQ kiszolgálón, az IBM MQ Explorer programban bontsa ki a sorkezelőt.
  2. Hozzon létre egy új CRL LDAP típusú hitelesítési információs objektumot. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
  3. Ismételje meg a 2. lépést, és hozzon létre annyi hitelesítési információs objektumot, amennyi szükséges.
  4. Hozzon létre egy új névlistát, és a névlistához vegye fel a 2. és 3. lépésben létrehozott hitelesítési információs objektumok neveit. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
  5. Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
  6. Az SSL oldalon a CRL Névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
  7. Kattintson az OK gombra. Az összes LDAP CRL információ beírásra került az ügyfélcsatorna meghatározási táblázatba.
  8. Tegye elérhetővé az ügyfélcsatorna meghatározási táblázatot az ügyfél számára, vagy Windows Active Directory használata esetén írja ki az információkat az ügyfélcsatorna meghatározási táblázatból az Active Directory címtárba. Lásd a setmqscp parancsot az IBM MQ online termékdokumentációban.

Eredmények

További információkért tekintse meg a IBM MQ MQI ügyfelek áttekintése című részt az IBM MQ online termékdokumentációjában.

A névlistához legfeljebb 10 alternatív LDAP kiszolgálót adhat hozzá, hogy biztosítsa a folyamatos szolgáltatást, ha bizonyos LDAP kiszolgálók nem elérhetőek. További információkért tekintse meg a Biztonság beállítása című részt az IBM MQ online termékdokumentációjában.

Tanúsítványok hitelesítése OCSP hitelesítés használatával

Erről a feladatról

Beállíthatja úgy a IBM MQ MQI ügyfelet úgy, hogy egy OCSP válaszadóval ellenőrizze a tanúsítványokat. Bizonyos ügyfél környezetek nem támogatják az OCSP visszavonás-ellenőrzést, de minden kiszolgálóplatform támogatja az OCSP konfiguráció meghatározásának képességét, ami kiírásra kerül az ügyfélcsatorna meghatározási táblázat fájlba.

Eljárás

  1. A IBM MQ kiszolgálón, az IBM MQ Explorer programban bontsa ki a sorkezelőt.
  2. Hozzon létre egy új OCSP típusú hitelesítési információs objektumot. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
  3. Ismételje meg a 2. lépést, és hozzon létre annyi OCSP hitelesítési információs objektumot, amennyi szükséges.
  4. Hozzon létre egy új névlistát, és a névlistához vegye fel a 2. és 3. lépésben létrehozott OCSP hitelesítési információs objektumok neveit. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
  5. Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
  6. Az SSL oldalon a Visszavonási névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
  7. Kattintson az OK gombra.
  8. Tegye elérhetővé az ügyfél számára az ügyfélcsatorna meghatározási táblázatot.

Eredmények

További információkért tekintse meg a IBM MQ MQI ügyfelek áttekintése című részt az IBM MQ online termékdokumentációjában.

Csak egy OCSP objektum vehető fel a névlistára, mivel a socket könyvtár egyszerre csak egy OCSP válaszadó URL címet képes használni. További információkért tekintse meg a Biztonság beállítása című részt az IBM MQ online termékdokumentációjában.


Feladatom Feladatom

Visszajelzés

Időbélyeg ikon Utolsó frissítés: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_mqclients.htm