Настройка TLS в клиентах IBM MQ MQI

Для работы с TLS в клиенте IBM® MQ необходимо использовать следующие команды.

Об этой задаче

В этой задаче описаны команды, предназначенные для работы с протоколом TLS в клиенте IBM MQ. Дополнительная информация приведена в разделе Защита в документации по продукту IBM MQ.

Управление сертификатами клиента IBM MQ

Для управления сертификатами TLS используется графический пользовательский интерфейс IBM Key Management (iKeyman). Дополнительная информация приведена в разделе Запуск IBM Key Management GUI.

В iKeyman GUI убедитесь, что хранилище ключей клиента содержит все сертификаты CA, которые могут потребоваться для проверки сертификатов, полученных от других администраторов очередей.

Для поиска расположения хранилища ключей клиента введите следующую команду для проверки переменной среды MQSSLKEYR:

echo %MQSSLKEYR%

Также проверьте приложение, поскольку ключи хранилища могут быть настроены на вызов MQCONNX. Если оба значения установлены, вызов MQCONNX переопределяет значение MQSSLKEYR.

Настройка каналов для использования TLS

Каналы TLS необходимо настроить в соответствии с инструкциями из раздела Настройка каналов TLS.

Дополнительная информация о настройке защиты клиента IBM MQ приведена в разделе Настройка защиты клиента IBM MQ MQI в документации по продукту IBM MQ.

Идентификация сертификатов с помощью Списков аннулированных сертификатов

About this task

Можно настроить клиент IBM MQ MQI для проверки сертификатов от CRL серверов LDAP:

Procedure

  1. На сервере IBM MQ в IBM MQ Explorer разверните администратор очередей.
  2. Создайте новый объект информации идентификации типа CRL LDAP. Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
  3. Повторите Шаг 2 для повторения для всех объектов информации идентификации.
  4. Создайте новый список имен и добавьте в список имена объектов информации идентификации, созданных на шагах 2 и 3. Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
  5. Щелкните правой кнопкой мыши, затем выберите Свойства.
  6. На странице SSL, в поле Список имен CRL введите имя списка имен, созданных на этапе 4.
  7. Нажмите OK. Вся информация LDAP CRL будет отображена в таблице определений каналов клиента.
  8. Сделайте таблицу определений каналов клиента доступной для клиента или, если используется Windows Active Directory, запишите информацию из таблицы определений каналов клиента в каталог Active Directory. См. описание команды setmqscp в документации по продукту IBM MQ).

Results

Дополнительная информация приведена в разделе Обзор клиентов IBM MQ MQI в документации по продукту IBM MQ.

В список имен можно добавлять до 10 соединений с альтернативными серверами, чтобы повысить надежность соединения, если один или несколько серверов LDAP будут недоступны. Дополнительная информация приведена в разделе Защита в документации по продукту IBM MQ.

Идентификация сертификатов с помощью идентификационных данных OCSP

About this task

Можно настроить клиент IBM MQ MQI для проверки сертификатов на сервере OCSP. Отдельные клиенты не поддерживают проверку сертификатов с помощью OCSP, однако все платформы серверов позволяют указать конфигурацию OCSP, которая будет записана в файл таблицы определений каналов клиентов.

Procedure

  1. На сервере IBM MQ в IBM MQ Explorer разверните администратор очередей.
  2. Создайте новый объект информации идентификации типа OCSP. Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
  3. Повторите Шаг 2 для повторения для всех объектов идентификационной информации OCSP.
  4. Создайте новый список имен и добавьте в список имена объектов информации идентификации OCSP, созданных на шагах 2 и 3. Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
  5. Щелкните правой кнопкой мыши, затем выберите Свойства.
  6. На странице SSL, в поле Список аннулированных имен введите имя списка имен, созданных на этапе 4.
  7. Нажмите кнопку OK.
  8. Сделайте таблицу определений каналов клиента доступной для клиента.

Results

Дополнительная информация приведена в разделе Обзор клиентов IBM MQ MQI в документации по продукту IBM MQ.

В список имен можно добавить только объект OCSP, поскольку библиотека сокетов одновременно может использовать только URL отвечающей стороны OCSP. Дополнительная информация приведена в разделе Защита в документации по продукту IBM MQ.


Задача Задача

Комментарии

Системное время Последнее обновление: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_mqclients.htm