Configurando o TLS em clientes IBM MQ MQI
Para trabalhar com o TLS em um cliente IBM® MQ, deve-se usar vários comandos.
Sobre Esta Tarefa
Esta tarefa introduz os comandos que você usa para trabalhar com TLS em um cliente IBM MQ. Para obter mais informações, veja Protegendo na documentação on-line do produto IBM MQ.
Gerenciando os certificados de cliente do IBM MQ
Use a GUI do IBM Key Management (iKeyman) para gerenciar seus certificados TLS. Para obter mais informações, consulte Iniciando a GUI do IBM Key Management.
Na GUI do iKeyman, assegure-se de que o repositório de chaves do cliente contenha todos os certificados da Autoridade de Certificação (CA) que podem ser necessários para validar certificados recebidos de outros gerenciadores de filas.
Para descobrir o local do repositório de chaves do cliente, digite o seguinte comando para examinar a variável de ambiente MQSSLKEYR:
echo %MQSSLKEYR%
Verifique também seu aplicativo, porque o repositório de chaves pode ser configurado em uma chamada MQCONNX. Se ambos os valores forem definidos, o valor definido na chamada MQCONNX substitui o valor de MQSSLKEYR.
Configurando os Canais para Usar TLS
Os canais TLS devem ser configurados conforme descrito aqui em Configurando canais TLS.
Para obter mais informações sobre configuração de segurança do cliente do IBM MQ, consulte Configurando segurança do cliente do IBM MQ MQI na documentação do produto on-line do IBM MQ.
Autenticando Certificados Usando Listas de Revogação de Certificado
Sobre Esta Tarefa
É possível configurar um cliente MQI do IBM MQ para verificar os certificados nas CRLs em servidores LDAP:
Procedimento
- No servidor IBM MQ, no IBM MQ Explorer, expanda o gerenciador de filas.
- Crie um novo objeto de informações de autenticação do tipo LDAP CRL. Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Repita a Etapa 2 para criar quantos objetos de informações sobre autenticação você precisar.
- Crie uma nova lista de nomes e inclua nela os nomes dos objetos de informações sobre autenticação criados nas Etapas 2 e 3. Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Clique com o botão direito do mouse no gerenciador de filas e, em seguida, clique em Propriedades.
- Na página SSL, no campo Lista de Nomes de CRL, digite o nome da lista de nomes criada na Etapa 4.
- Clique em OK. Todas as informações de LDAP CRL são gravadas agora na tabela de definições de canal do cliente.
- Torne a tabela de definição de canal de cliente disponível ao cliente ou, se estiver usando o Windows Active Directory, grave as informações da tabela de definição de canal de cliente no Active Directory. Veja o comando setmqscp na documentação on-line do produto IBM MQ.
Resultados
Para obter mais informações, consulte Visão geral dos clientes do IBM MQ MQI na documentação do produto on-line do IBM MQ.
Você pode incluir na lista de nomes até 10 conexões com servidores LDAP alternativos para assegurar a continuidade de serviço se um ou mais servidores LDAP ficarem inacessíveis. Para obter mais informações, veja Protegendo na documentação on-line do produto IBM MQ.
Autenticando Certificados Usando a Autenticação do OCSP
Sobre Esta Tarefa
É possível configurar um cliente MQI do IBM MQ para verificar certificados em um respondente OCSP. Alguns ambientes do cliente não suportam a verificação de revogação do OCSP, mas todas as plataformas do servidor suportam a habilidade de definir a configuração do OCSP que será gravada no arquivo da tabela de definição de canal do cliente.
Procedimento
- No servidor IBM MQ, no IBM MQ Explorer, expanda o gerenciador de filas.
- Crie um novo objeto de informação de autenticação do tipo OCSP. Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Repita a Etapa 2 para criar tantos objetos de informações de autenticação do OCSP quantos forem necessários.
- Crie uma nova lista de nomes e inclua nela os nomes dos objetos de informações sobre autenticação do OCSP criados nas Etapas 2 e 3. Para obter informações adicionais, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Clique com o botão direito do mouse no gerenciador de filas e, em seguida, clique em Propriedades.
- Na página SSL, no campo Lista de Nomes de Revogação, digite o nome da lista de nomes criada na Etapa 4.
- Clique em OK.
- Disponibilize a tabela de definição de canal do cliente para o cliente.
Resultados
Para obter mais informações, consulte Visão geral dos clientes do IBM MQ MQI na documentação do produto on-line do IBM MQ.
Somente um objeto do OCSP pode ser incluído na lista de nomes porque a biblioteca de soquetes pode usar somente uma URL do respondente do OCSP de cada vez. Para obter mais informações, veja Protegendo na documentação on-line do produto IBM MQ.