TLS auf IBM MQ MQI-Clients konfigurieren

Zur Verwendung der TLS-Sicherheit auf einem IBM® MQ-Client müssen verschiedene Befehle ausgeführt werden.

Informationen zu diesem Vorgang

In dieser Task werden die Befehle beschrieben, die zur Verwendung der TLS-Sicherheit auf einem IBM MQ-Client erforderlich sind. Weitere Informationen finden Sie im Abschnitt Sicherheit in der Online-Produktdokumentation zu IBM MQ.

Zertifikat des IBM MQ-Client verwalten

Mithilfe der GUI von IBM Key Management (iKeyman) können Sie Ihre TLS-Zertifikate verwalten. Weitere Informationen hierzu finden Sie in Grafische Benutzeroberfläche von IBM Key Management starten.

Vergewissern Sie sich in der GUI von iKeyman, dass das Schlüsselrepository des Clients alle CA-Zertifikate enthält, die zur Prüfung von Zertifikaten anderer Warteschlangenmanager erforderlich sein könnten.

Geben Sie zur Ermittlung der Speicherposition des Schlüsselrepositorys des Clients den folgenden Befehl ein, mit dem die Umgebungsvariante MQSSLKEYR geprüft werden kann:

echo %MQSSLKEYR%

Überprüfen Sie auch Ihre Anwendung, da das Schlüsselrepository in einem MQCONNX-Aufruf festgelegt werden kann. Wenn beide Werte gesetzt wurden, wird der Wert der Umgebungsvariable MQSSLKEYR durch den Wert überschrieben, der im MQCONNX-Aufruf festgelegt ist.

Kanäle für die Verwendung von TLS konfigurieren

Bei der Konfiguration der TLS-Kanäle müssen die Anweisungen des Abschnitts TLS-Kanäle konfigurieren befolgt werden.

Weitere Informationen zur Einrichtung der IBM MQ-Clientsicherheit finden Sie im Abschnitt IBM MQ-MQI-Clientsicherheit einrichten in der Online-Produktdokumentation zu IBM MQ.

Authenzifizierung von Zertifikaten unter Verwendung von Zertifikatswiderrufslisten (CRLs)

Informationen zu diesem Vorgang

Sie können einen IBM MQ MQI-Client so konfigurieren, dass Zertifikate anhand von Zertifikatswiderrufslisten auf LDAP-Servern überprüft werden:

Vorgehensweise

  1. Erweitern Sie auf dem IBM MQ-Server in IBM MQ Explorer den Warteschlangenmanager.
  2. Erstellen Sie ein neues Authentifizierungsinfo-Objekt des Typs CRL LDAP. Weitere Informationen finden Sie in Warteschlangenmanager und Objekte erstellen und konfigurieren.
  3. Wiederholen Sie Schritt 2, um beliebig viele Authentifizierungsinfo-Objekte zu erstellen.
  4. Erstellen Sie eine neue Namensliste und fügen Sie dieser die Namen der Authentifizierungsinfo-Objekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben. Weitere Informationen hierzu finden Sie unter Warteschlangenmanager und Objekte erstellen und konfigurieren.
  5. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
  6. Geben Sie auf der Seite SSL im Feld CRL-Namensliste den Namen der von Ihnen in Schritt 4 erstellten Namensliste ein.
  7. Klicken Sie auf OK. Die gesamten LDAP-CRL-Informationen werden jetzt in die Definitionstabelle für Clientkanäle geschrieben.
  8. Stellen Sie dem Client die Tabelle mit den Clientkanaldefinitionen zur Verfügung. Wenn Sie Windows Active Directory verwenden, können Sie die Informationen aus der Tabelle mit den Clientkanaldefinitionen in das Active Directory schreiben. Lesen Sie hierzu die Beschreibung des Befehls setmqscp in der Online-Produktdokumentation zu IBM MQ.

Ergebnisse

Weitere Informationen finden Sie im Abschnitt Überblick über IBM MQ MQI-Clients in der Online-Produktdokumentation zu IBM MQ.

Der Namensliste können bis zu zehn Verbindungen zu anderen LDAP-Servern hinzugefügt werden; auf diese Weise ist auch bei einer Nichtverfügbarkeit eines oder mehrerer LDAP-Server ein ordnungsgemäßer Betrieb gewährleistet. Weitere Informationen finden Sie im Abschnitt Sicherheit in der Online-Produktdokumentation zu IBM MQ.

Zertifikate mithilfe der OCSP-Authentifizierung authentifizieren

Informationen zu diesem Vorgang

Sie können jetzt einen IBM MQ MQI-Client so konfigurieren, dass Zertifikate anhand eines OCSP-Responders überprüft werden. Einige Clientumgebungen unterstützen die OCSP-Widerrufsüberprüfung nicht, alle Serverplattformen unterstützen jedoch die Funktionalität zur Definition der OCSP-Konfiguration, die in die Definitionstabellendatei für Clientkanäle geschrieben wird.

Vorgehensweise

  1. Erweitern Sie auf dem IBM MQ-Server in IBM MQ Explorer den Warteschlangenmanager.
  2. Erstellen Sie ein neues Authentifizierungsdatenobjekt des Typs OCSP. Weitere Informationen finden Sie in Warteschlangenmanager und Objekte erstellen und konfigurieren.
  3. Wiederholen Sie Schritt 2, um beliebig viele Authentifizierungsdatenobjekte zu erstellen.
  4. Erstellen Sie eine neue Namensliste und fügen Sie zu dieser Liste die Namen der OCSP-Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben. Weitere Informationen hierzu finden Sie unter Warteschlangenmanager und Objekte erstellen und konfigurieren.
  5. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
  6. Geben Sie auf der Seite SSL im Feld Widerrufs-Namensliste den Namen der von Ihnen in Schritt 4 erstellten Namensliste ein.
  7. Klicken Sie auf OK.
  8. Stellen Sie dem Client die Definitionstabelle für Clientkanäle zur Verfügung.

Ergebnisse

Weitere Informationen finden Sie im Abschnitt Überblick über IBM MQ MQI-Clients in der Online-Produktdokumentation zu IBM MQ.

Es kann nur ein OCSP-Objekt zur Namensliste hinzugefügt werden, da die Sockets-Bibliothek immer nur eine OCSP-Responder-URL verwenden kann. Weitere Informationen finden Sie im Abschnitt Sicherheit in der Online-Produktdokumentation zu IBM MQ.


Anleitung Anleitung

Feedback

Timestamp icon Letzte Aktualisierung: 6. Februar 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_mqclients.htm