TLS beállítása IBM MQ MQI ügyfeleken
Ha TLS réteget kíván kezelni egy IBM® MQ ügyfélen, akkor különféle parancsokat kell használnia.
Erről a feladatról
Ez a feladat azokat a parancsokat mutatja be, melyeket a TLS kezelésére használhat egy IBM MQ ügyfélen. További információkért tekintse meg a Biztonság beállítása című részt az IBM MQ online termékdokumentációjában.
A IBM MQ ügyféltanúsítványok kezelése
A TLS tanúsítványok kezeléséhez használja az IBM Kulcskezelő (iKeyman) grafikus felületet. További információkért tekintse meg a IBM Kulcskezelő grafikus felületének indítása részt.
Az iKeyman grafikus felületen győződjön meg róla, hogy az ügyfél kulcslerakata tartalmaz minden olyan Tanúsítványhatóság (CA) tanúsítványt, amelyre szükség lehet a más sorkezelőktől kapott tanúsítványok ellenőrzéséhez.
Az ügyfélhez tartozó kulcslerakat helyének megtalálásához írja be a következő parancsot az MQSSLKEYR környezeti változó megvizsgálásához:
echo %MQSSLKEYR%
Továbbá ellenőrizze az alkalmazást, mert a kulcslerakat egy MQCONNX hívásra lehet állítva. Ha mindkét érték be van állítva, akkor az MQCONNX híváson beállított érték felülbírálja az MQSSLKEYR értékét.
Csatornák beállítása TLS használatára
A TLS csatornákat be kell állítani az TLS csatornák beállítása részben leírtak szerint.
Az IBM MQ ügyfélbiztonság beállításával kapcsolatos további információkért lásd: IBM MQ MQI ügyfélbiztonság beállítása az IBM MQ online termékdokumentációjában.
Tanúsítványok hitelesítése Tanúsítvány visszavonási listák használatával
Erről a feladatról
A IBM MQ MQI ügyfelet beállíthatja úgy, hogy a tanúsítványokat LDAP kiszolgálókon található CRL listákkal ellenőrizze:
Eljárás
- A IBM MQ kiszolgálón, az IBM MQ Explorer programban bontsa ki a sorkezelőt.
- Hozzon létre egy új CRL LDAP típusú hitelesítési információs objektumot. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
- Ismételje meg a 2. lépést, és hozzon létre annyi hitelesítési információs objektumot, amennyi szükséges.
- Hozzon létre egy új névlistát, és a névlistához vegye fel a 2. és 3. lépésben létrehozott hitelesítési információs objektumok neveit. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
- Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
- Az SSL oldalon a CRL Névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
- Kattintson az OK gombra. Az összes LDAP CRL információ beírásra került az ügyfélcsatorna meghatározási táblázatba.
- Tegye elérhetővé az ügyfélcsatorna meghatározási táblázatot az ügyfél számára, vagy Windows Active Directory használata esetén írja ki az információkat az ügyfélcsatorna meghatározási táblázatból az Active Directory címtárba. Lásd a setmqscp parancsot az IBM MQ online termékdokumentációban.
Eredmények
További információkért tekintse meg a IBM MQ MQI ügyfelek áttekintése című részt az IBM MQ online termékdokumentációjában.
A névlistához legfeljebb 10 alternatív LDAP kiszolgálót adhat hozzá, hogy biztosítsa a folyamatos szolgáltatást, ha bizonyos LDAP kiszolgálók nem elérhetőek. További információkért tekintse meg a Biztonság beállítása című részt az IBM MQ online termékdokumentációjában.
Tanúsítványok hitelesítése OCSP hitelesítés használatával
Erről a feladatról
Beállíthatja úgy a IBM MQ MQI ügyfelet úgy, hogy egy OCSP válaszadóval ellenőrizze a tanúsítványokat. Bizonyos ügyfél környezetek nem támogatják az OCSP visszavonás-ellenőrzést, de minden kiszolgálóplatform támogatja az OCSP konfiguráció meghatározásának képességét, ami kiírásra kerül az ügyfélcsatorna meghatározási táblázat fájlba.
Eljárás
- A IBM MQ kiszolgálón, az IBM MQ Explorer programban bontsa ki a sorkezelőt.
- Hozzon létre egy új OCSP típusú hitelesítési információs objektumot. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
- Ismételje meg a 2. lépést, és hozzon létre annyi OCSP hitelesítési információs objektumot, amennyi szükséges.
- Hozzon létre egy új névlistát, és a névlistához vegye fel a 2. és 3. lépésben létrehozott OCSP hitelesítési információs objektumok neveit. További információkért tekintse meg a Sorkezelők és objektumok létrehozása és beállítása részt.
- Kattintson a jobb egérgombbal a sorkezelőre, majd válassza az előugró menü Tulajdonságok menüpontját.
- Az SSL oldalon a Visszavonási névlista mezőbe írja be a 4. lépésben létrehozott névlista nevét.
- Kattintson az OK gombra.
- Tegye elérhetővé az ügyfél számára az ügyfélcsatorna meghatározási táblázatot.
Eredmények
További információkért tekintse meg a IBM MQ MQI ügyfelek áttekintése című részt az IBM MQ online termékdokumentációjában.
Csak egy OCSP objektum vehető fel a névlistára, mivel a socket könyvtár egyszerre csak egy OCSP válaszadó URL címet képes használni. További információkért tekintse meg a Biztonság beállítása című részt az IBM MQ online termékdokumentációjában.