Konfigurace TLS pro správce front

Po spuštění můžete grafické uživatelské rozhraní Správa klíčů IBM® (iKeyman) použít ke správě certifikátů TLS.

Než začnete

Další informace ke spuštění grafického uživatelského rozhraní iKeyman naleznete v tématu Spuštění grafického uživatelského rozhraní IBM Správa klíčů.

Vytvoření úložiště klíčů správce front

Informace o této úloze

Termínem úložiště klíčů se označuje umístění, ve kterém jsou ukládány certifikáty používané správcem front. Na platformách Windows, Linux a UNIX se úložiště klíčů označuje termínem soubor databáze klíčů.

Umístění úložiště klíčů pro správce front je určeno hodnotou atributu Úložiště klíčů tohoto správce front. Předtím, než budete moci uložit certifikáty správce front v úložišti klíčů, musí v tomto umístění existovat soubor databáze klíčů. Pokud je třeba vytvořit soubor databáze klíčů, použijte grafické uživatelské rozhraní iKeyman. Další informace viz Zabezpečení v online dokumentaci produktu IBM MQ.

Změna úložiště klíčů správce front

Informace o této úloze

Za určitých okolností může vyvstat nutnost úložiště klíčů změnit; chcete-li například použít jediné umístění sdílené všemi správci front v jednom operačním systému.

Postup při změně umístění úložiště klíčů správce front:

Postup

  1. Změňte umístění úložiště klíčů v okně s vlastnostmi správce front:
    1. Otevřete produkt IBM MQ Explorer a rozbalte složku Správci front.
    2. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
    3. Na stránce s vlastnostmi zabezpečení SSL upravte cestu v poli Úložiště klíčů tak, aby odkazovala na vybraný adresář.
    4. V dialogovém okně s varovnou zprávou klepněte na tlačítko Ano.
  2. Přeneste osobní certifikáty správce front do nového umístění pomocí grafického uživatelského rozhraní iKeyman. Další informace viz Zabezpečení v online dokumentaci produktu IBM MQ.

Ověřování certifikátů prostřednictvím seznamu odvolaných certifikátů

Informace o této úloze

Certifikační autority mohou odvolávat certifikáty, které ztratily důvěryhodnost. Toto zrušení je provedeno jejich publikováním na seznamu zrušených certifikátů (CRL - Certification Revocation List). Pokud správce front nebo klient IBM MQ MQI obdrží certifikát, lze v seznamu zrušených certifikátů zkontrolovat, zda nebyl odvolán. Ověření oproti seznamu CRL není v systému zpráv s povoleným zabezpečením TLS povinné, avšak doporučuje se pomocí něj ověřovat důvěryhodnost certifikátů uživatele.

Další informace k nastavení seznamů CRL tímto způsobem viz Zabezpečení v online dokumentaci produktu IBM MQ.

Postup konfigurace připojení k serveru CRL LDAP:

Postup

  1. V produktu IBM MQ Explorer rozbalte položku správce front.
  2. Vytvořte objekt s ověřovacími informacemi typu CRL LDAP. Další informace naleznete v části Vytvoření a konfigurace správců front a objektů.
  3. Zopakováním kroku 2 můžete vytvořit další objekty ověřovacích informací typu CRL LDAP.
  4. Vytvořte seznam názvů a přidejte do něj názvy objektů s ověřovacími informacemi, které byly vytvořeny v krocích 2 a 3. Další informace naleznete v části Vytvoření a konfigurace správců front a objektů.
  5. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
  6. Na stránce SSL zadejte do pole Seznam názvů revokace název seznamu názvů, který byl vytvořen v kroku 4.
  7. Klepněte na tlačítko OK.

Výsledky

Certifikáty, které správce front obdrží, mohou být nyní ověřeny oproti seznamu odvolaných certifikátů uloženému na serveru LDAP.

Do seznamu názvů lze přidat až 10 připojení k alternativním serverům LDAP s cílem zajistit pokračování činnosti služby i při nedostupnosti jednoho či více serverů LDAP.

Ověřování certifikátů s použitím ověřovacího protokolu OCSP

Informace o této úloze

[UNIX][Windows]V systémech UNIX a Windows podpora zabezpečení TLS v produktu IBM MQ kontroluje výskyt zamítnutých certifikátů protokolem OCSP (Online Certificate Status Protocol) nebo prostřednictvím seznamů CRL a ARL na serverech LDAP (Lightweight Directory Access Protocol). Preferovaná metoda je OCSP. Produkty třídy IBM MQ pro jazyk Java™ a třídy IBM MQ pro službu JMS nemohou používat informace OCSP v souboru s tabulkou definic kanálů klienta. Nicméně OCSP můžete nakonfigurovat dle popisu uvedeného v tématu Zrušené certifikáty and OCSP v online dokumentaci produktu IBM MQ.

[IBM i][z/OS]Systémy IBM i a z/OS nepodporují kontrolu protokolem OCSP, ale umožňují vygenerování tabulek definic klientských kanálů (CCDT), jež obsahují informace OCSP.

Další informace o tabulkách CCDT a protokolu OCSP viz Tabulka definic kanálů klienta v online dokumentaci produktu IBM MQ.

Postup konfigurace připojení k serveru OCSP:

Postup

  1. V produktu IBM MQ Explorer rozbalte položku správce front.
  2. Vytvořte objekt ověřovacích informací typu OCSP. Další informace naleznete v části Vytvoření a konfigurace správců front a objektů.
  3. Zopakováním kroku 2 můžete vytvořit další objekty ověřovacích informací OCSP.
  4. Vytvořte seznam názvů a přidejte do něj názvy objektů ověřovacích informací OCSP, které byly vytvořeny v krocích 2 a 3. Další informace naleznete v části Vytvoření a konfigurace správců front a objektů.
  5. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
  6. Na stránce SSL zadejte do pole Seznam názvů revokace název seznamu názvů, který byl vytvořen v kroku 4.
  7. Klepněte na tlačítko OK.

Výsledky

Certifikáty, které správce front obdrží, budou ověřeny s použitím odpovídacího modulu OCSP.

Správce front zapíše informace protokolu OCSP do tabulky CCDT.

Do seznamu názvů lze přidat jen jeden objekt OCSP, protože knihovna soketů nemůže využívat více než jednu adresu URL odpovídacího modulu OCSP současně.

Konfigurace kryptografického hardwaru

Informace o této úloze

Produkt IBM MQ může podporovat kryptografický hardware a konfigurace správce front tomu musí odpovídat.

Postup při konfiguraci správce front pro kryptografický hardware:

Postup

  1. Spusťte produkt IBM MQ Explorer.
  2. V pohledu Navigátor klepněte pravým tlačítkem myši na správce front a pak klepněte na volbu Vlastnosti. Otevře se dialogové okno Vlastnosti.
  3. Na stránce SSL klepněte na volbu Konfigurovat. Zobrazí se dialogové okno Nastavení kryptografického hardwaru.
  4. V dialogovém okně Nastavení kryptografického hardwaru: Všechny podporované kryptografické karty nyní podporují standard PKCS #11, ignorujte proto odkazy na karty Rainbow Cryptoswift a nCipher nFast. Zadejte cestu k ovladači PKCS #11, nastavení popisku tokenu, hesla tokenu a symetrického šifrování.
  5. Klepněte na tlačítko OK.

Výsledky

Správce front je nyní konfigurován pro použití kryptografického hardwaru.

S certifikáty uloženými v hardwaru PKCS #11 můžete též pracovat prostřednictvím správce iKeyman.

Další informace viz Zabezpečení v online dokumentaci produktu IBM MQ.


Úloha Úloha

Zpětná vazba

Ikona časové razítko Poslední aktualizace: 7. února 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_qmanagers.htm