TLS auf Warteschlangenmanagern konfigurieren

Nach dem Start der grafischen Benutzerschnittstelle (GUI) von IBM® Key Management (iKeyman) können Sie darin TLS-Zertifikate verwalten.

Vorbereitende Schritte

Informationen zum Starten der iKeyman-GUI finden Sie im Abschnitt IBM Key Management GUI starten.

Schlüsselrepository des Warteschlangenmanagers erstellen

Informationen zu diesem Vorgang

Vom Warteschlangenmanager verwendete Zertifikate werden im Schlüsselrepository gespeichert. Auf Windows-, Linux- und UNIX-Plattformen wird das Schlüsselrepository auch als Schlüsseldatenbankdatei bezeichnet.

Die Adresse des Schlüsselrepositorys eines Warteschlangenmanagers wird im Attribut Schlüsselrepository des Warteschlangenmanagers angegeben. Die Zertifikate des Warteschlangenmanagers können erst im Schlüsselrepository gespeichert werden, wenn an dieser Adresse eine Schlüsseldatenbankdatei erstellt wurde. Diese Erstellung kann mithilfe der iKeyman-GUI erfolgen. Weitere Informationen finden Sie im Abschnitt Sicherheit in der Online-Produktdokumentation zu IBM MQ.

Schlüsselrepository des Warteschlangenmanagers erstellen

Informationen zu diesem Vorgang

Unter gewissen Umständen ist es sinnvoll, das Schlüsselrepository zu ändern - beispielsweise, wenn eine einzelne Adresse von allen Warteschlangenmanagern desselben Betriebssystems gemeinsam verwendet werden soll.

Gehen Sie wie folgt vor, um die Adresse des Schlüsselrepositorys eines Warteschlangenmanagers zu ändern:

Vorgehensweise

  1. Ändern Sie die Speicherposition des Schlüsselrepositorys in den Eigenschaften des Warteschlangenmanagers:
    1. Öffnen Sie IBM MQ Explorer und erweitern Sie den Ordner Warteschlangenmanager.
    2. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
    3. Ändern Sie auf der Seite mit den SSL-Eigenschaften den Pfad im Feld Schlüsselrepository so, dass er auf das Verzeichnis Ihrer Wahl verweist.
    4. Klicken Sie in dem Warnungsdialog auf Ja.
  2. Übertragen Sie die persönlichen Zertifikate des Warteschlangenmanagers mithilfe der GUI von iKeyman an die neue Speicherposition. Weitere Informationen finden Sie im Abschnitt Sicherheit in der Online-Produktdokumentation zu IBM MQ.

Authenzifizierung von Zertifikaten unter Verwendung von Zertifikatswiderrufslisten (CRLs)

Informationen zu diesem Vorgang

Zertifizierungsstellen (Certification Authorities, CAs) können Zertifikate sperren, die nicht mehr allgemein zugänglich sein sollen und diese in einer Zertifikatswiderrufsliste (Certification Revocation List, CRL) auflisten. Empfängt ein Warteschlangenmanager oder ein IBM MQ MQI-Client ein Zertifikat, kann anhand der Zertifikatswiderrufsliste überprüft werden, ob dieses Zertifikat widerrufen wurde. Die CRL-Überprüfung ist für eine TLS-gesicherte Nachrichtenübertragung nicht unbedingt erforderlich, wird jedoch empfohlen, da so die Integrität von Benutzerzertifikaten gewährleistet wird.

Weitere Informationen zur Einrichtung einer Zertifkatswiderrufsliste auf diese Weise finden Sie im Abschnitt Sicherheit in der Online-Produktdokumentation zu IBM MQ.

Gehen Sie wie folgt vor, um eine Verbindung zu einem LDAP-CRL-Server einzurichten:

Vorgehensweise

  1. Erweitern Sie in IBM MQ Explorer den Warteschlangenmanager.
  2. Erstellen Sie ein Authentifizierungsdatenobjekt des Typs CRL LDAP. Weitere Informationen finden Sie in Warteschlangenmanager und Objekte erstellen und konfigurieren.
  3. Wiederholen Sie Schritt 2, um beliebig viele Authentifizierungsdatenobjekte des Typs CRL LDAP zu erstellen.
  4. Erstellen Sie eine Namensliste und fügen Sie zu dieser Liste die Namen der Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben. Weitere Informationen finden Sie in Warteschlangenmanager und Objekte erstellen und konfigurieren.
  5. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
  6. Geben Sie auf der Seite SSL im Feld Widerrufs-Namensliste den Namen der von Ihnen in Schritt 4 erstellten Namensliste ein.
  7. Klicken Sie auf OK.

Ergebnisse

Die vom Warteschlangenmanager empfangenen Zertifikate können jetzt mit der CRL auf dem LDAP-Server authentifiziert werden.

Der Namensliste können bis zu zehn Verbindungen zu anderen LDAP-Servern hinzugefügt werden; auf diese Weise ist auch bei einer Nichtverfügbarkeit eines oder mehrerer LDAP-Server ein ordnungsgemäßer Betrieb gewährleistet.

Zertifikate mithilfe der OCSP-Authentifizierung authentifizieren

Informationen zu diesem Vorgang

[UNIX][Windows]Unter UNIX und Windows führt die TLS-Unterstützung in IBM MQ mithilfe von OCSP (Online Certificate Status Protocol) oder CRLs und ARLs auf LDAP-Servern (Lightweight Directory Access Protocol) eine Prüfung auf widerrufene Zertifikate durch. Die bevorzugte Methode ist OCSP. IBM MQ-Klassen für Java™ und IBM MQ-Klassen für JMS können die OCSP-Informationen einer Clientkanaldefinitionstabelle nicht nutzen. Sie können OCSP jedoch konfigurieren, wie im Abschnitt Widerrufene Zertifikate und OCSP der Online-Produktdokumentation zu IBM MQ beschrieben.

[IBM i][z/OS]IBM i und z/OS unterstützen keine OCSP-Überprüfung, sie lassen jedoch die Generierung von Definitionstabellen für Clientkanäle (Client Channel Definition Tables, CCDTs) zu, die OCSP-Informationen enthalten.

Weitere Informationen zu CCDTs und OCSP finden Sie im Abschnitt Definitionstabelle für Clientkanäle in der Online-Produktdokumentation zu IBM MQ.

Gehen Sie wie folgt vor, um eine Verbindung zu einem OCSP-Server einzurichten:

Vorgehensweise

  1. Erweitern Sie in IBM MQ Explorer den Warteschlangenmanager.
  2. Erstellen Sie ein Authentifizierungsdatenobjekt des Typs OCSP. Weitere Informationen finden Sie unter Warteschlangenmanager und Objekte erstellen und konfigurieren.
  3. Wiederholen Sie Schritt 2, um beliebig viele Authentifizierungsdatenobjekte zu erstellen.
  4. Erstellen Sie eine Namensliste und fügen Sie zu dieser Liste die Namen der OCSP-Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben. Weitere Informationen finden Sie unter Warteschlangenmanager und Objekte erstellen und konfigurieren.
  5. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
  6. Geben Sie auf der Seite SSL im Feld Widerrufs-Namensliste den Namen der von Ihnen in Schritt 4 erstellten Namensliste ein.
  7. Klicken Sie auf OK.

Ergebnisse

Die vom Warteschlangenmanager empfangenen Zertifikate werden anhand des OCSP-Responders authentifiziert.

Der Warteschlangenmanager schreibt OCSP-Informationen in die Definitionstabelle für Clientkanäle.

Es kann nur ein OCSP-Objekt zur Namensliste hinzugefügt werden, da die Sockets-Bibliothek immer nur eine OCSP-Responder-URL verwenden kann.

Verschlüsselungshardware konfigurieren

Informationen zu diesem Vorgang

IBM MQ unterstützt Verschlüsselungshardware, wobei der Warteschlangenmanager entsprechend konfiguriert werden muss.

Gehen Sie wie folgt vor, um den Warteschlangenmanager für die Verschlüsselungshardware zu konfigurieren:

Vorgehensweise

  1. Starten Sie IBM MQ Explorer.
  2. Klicken Sie in der Navigatoransicht mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie dann auf Eigenschaften. Daraufhin wird ein Dialog mit den Eigenschaften geöffnet.
  3. Klicken Sie auf der Seite SSL auf Konfigurieren. Daraufhin wird der Dialog 'Einstellungen für Verschlüsselungshardware' geöffnet.
  4. Im Dialog Einstellungen für Verschlüsselungshardware: Alle unterstützten Verschlüsselungskarten verwenden jetzt PKCS #11. Ignorieren Sie deshalb Verweise auf die Rainbow Cryptoswift- oder nCipher nFast-Karten. Geben Sie den Pfad zum PKCS #11-Treiber sowie die Einstellungen für die Tokenkennung, das Tokenkennwort und die symmetrische Verschlüsselung ein.
  5. Klicken Sie auf OK.

Ergebnisse

Der Warteschlangenmanager ist jetzt für die Verwendung der Verschlüsselungshardware konfiguriert.

Sie können mithilfe von iKeyman auch mit Zertifikaten arbeiten, die mit der PKCS #11-Hardware gespeichert werden.

Weitere Informationen finden Sie im Abschnitt Sicherheit in der Online-Produktdokumentation zu IBM MQ.


Anleitung Anleitung

Feedback

Timestamp icon Letzte Aktualisierung: 6. Februar 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_qmanagers.htm