Configurar TLS en los gestores de colas
Tras iniciar la GUI de IBM® Key Management (iKeyman), puede utilizarla para gestionar los certificados TLS.
Acerca de esta tarea
Para obtener más información sobre cómo iniciar la GUI de iKeyman, consulte Iniciar la GUI de IBM Key Management.
Crear el depósito de claves del gestor de colas
El depósito de claves es el lugar donde se almacenan los certificados utilizados por el gestor de colas. En las plataformas Windows, Linux y UNIX, el depósito de claves se conoce como archivo de base de datos de claves.
La ubicación del depósito de claves de un gestor de colas se especifica en el atributo Depósito de claves del gestor de colas. Para poder almacenar los certificados del gestor de colas en el depósito de claves, debe asegurarse de que existe un archivo de base de datos de claves en esta ubicación. Si tiene que crear el archivo de base de datos de claves, utilice la GUI de iKeyman. Para obtener más información, consulte Seguridad en la documentación del producto en línea de IBM MQ.
Cambio del depósito de claves del gestor de colas
Acerca de esta tarea
En determinadas circunstancias es aconsejable cambiar el depósito de claves; por ejemplo, para utilizar una ubicación compartida por todos los gestores de colas de un sistema operativo.
Para cambiar la ubicación del depósito de claves de un gestor de colas:
Procedimiento
Autenticación de certificados utilizando listas de revocación de certificados (CRL)
Acerca de esta tarea
Las autoridades de certificación (CA) pueden revocar los certificados que han dejado de ser fiables; para ello, los publican en una lista de revocación de certificados (CRL). Cuando un gestor de colas o un cliente MQI de IBM MQ recibe un certificado, éste puede comprobarse con la CRL para asegurarse de que no se ha revocado. La comprobación con la CRL no es obligatoria para conseguir una mensajería habilitada para TLS, pero es aconsejable asegurarse de la fiabilidad de los certificados de usuario.
Si desea más información sobre cómo configurar una CRL de esta forma, consulte el apartado Seguridad en la documentación del producto en línea de IBM MQ.
Para configurar una conexión con un servidor CRL de LDAP:
Procedimiento
- En MQ Explorer, expanda el gestor de colas.
- Cree un objeto de información de autenticación de tipo CRL LDAP. Si desea ver más información, consulte Crear y configurar gestores de colas y objetos.
- Repita el paso 2 para crear tantos objetos de información de autenticación LDAP de CRL como sean necesarios.
- Cree una lista de nombres y agregue a la lista de nombres los nombres del objeto de información de autenticación que ha creado en los pasos 2 y 3. Si desea ver más información, consulte Crear y configurar gestores de colas y objetos.
- Pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
- En la página SSL, en el campo Lista de nombres de revocación, escriba el nombre de la lista de nombres que haya creado en el paso 4.
- Pulse Aceptar.
Resultados
Los certificados que recibe el gestor de colas se pueden autenticar contra la CRL mantenida en el servidor LDAP.
Puede añadir a la lista de nombres hasta 10 conexiones a servidores LDAP alternativos para asegurar la continuidad del servicio si uno o más de los servidores LDAP son inaccesibles.
Autenticación de certificados utilizando la autenticación OCSP
Acerca de esta tarea
Para configurar una conexión con un servidor OCSP:
Procedimiento
- En MQ Explorer, expanda el gestor de colas.
- Cree un objeto de información de autenticación del tipo OCSP. Para obtener más información, consulte: Crear y configurar gestores de colas y objetos.
- Repita el paso 2 para crear tantos objetos de información de autenticación OCSP como necesite.
- Cree una lista de nombres y agregue a la lista de nombres los nombres del objeto de información de autenticación OCSP que ha creado en los pasos 2 y 3. Para obtener más información, consulte: Crear y configurar gestores de colas y objetos.
- Pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
- En la página SSL, en el campo Lista de nombres de revocación, escriba el nombre de la lista de nombres que haya creado en el paso 4.
- Pulse Aceptar.
Resultados
Los certificados que recibe el gestor de colas se autentican contra el programa de respuesta de OCSP.
El gestor de colas escribe información OCSP al CCDT.
Solamente se puede añadir un objeto OCSP a la lista de nombres porque la biblioteca de sockets solamente puede utilizar un URL de programa de respuesta OCSP cada vez.
Configuración del hardware de cifrado
Acerca de esta tarea
IBM MQ puede dar soporte al hardware de cifrado y el gestor de colas debe estar configurado adecuadamente.
Para configurar el gestor de colas para el hardware de cifrado:
Procedimiento
- Inicie MQ Explorer.
- En la vista de Navegador, pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades. Se abrirá el diálogo Propiedades.
- En la página SSL, pulse Configurar Entonces se abrirá el diálogo Valores del hardware de cifrados.
- En el diálogo Valores del hardware de cifrado: Todas las tarjetas criptográficas admitidas utilizan ahora PKCS #11, por lo que debe hacer caso omiso a las referencias a tarjetas Rainbow Cryptoswift o nCipher nFast. Escriba la vía de acceso al controlador PKCS #11 y el valor de la etiqueta de señal, de la contraseña de señal y del cifrado simétrico.
- Pulse Aceptar.
Resultados
Ahora el gestor de colas está configurado para utilizar el hardware de cifrado.
También puede trabajar con certificados que se almacenan en el hardware PKCS #11 utilizando iKeyman.
Para obtener más información, consulte Seguridad en la documentación del producto en línea de IBM MQ.