Configuration de la sécurité TLS sur les gestionnaires de files d'attente
Une fois l'interface utilisateur d'IBM® Key Management (iKeyman) démarrée, vous pouvez l'utiliser pour gérer les certificats TLS.
Avant de commencer
Pour plus d'informations sur le démarrage de l'interface graphique d'iKeyman, voir Démarrage de l'interface graphique d'IBM Key Management.
Création du référentiel de clés du gestionnaire de files d'attente
Pourquoi et quand exécuter cette tâche
Le référentiel de clés est l'emplacement dans lequel le gestionnaire de files d'attente conserve ses certificats. Sur les plateformes Windows, Linux et UNIX, le référentiel de clés est appelé fichier de clés.
L'emplacement du référentiel de clés d'un gestionnaire de files d'attente est indiqué dans l'attributRéférentiel de clés de ce dernier. Pour pouvoir stocker les certificats du gestionnaire de files d'attente dans le référentiel de clés, vous devez vous assurer qu'un fichier de clés existe à cet emplacement. Si vous devez créer ce fichier, utilisez l'interface graphique Keyman. Pour plus d'informations, voir Sécurisation dans la documentation en ligne du produit IBM MQ.
Modification du référentiel de clés du gestionnaire de files d'attente
Pourquoi et quand exécuter cette tâche
Dans certains cas, il peut s'avérer utile de modifier l'emplacement du référentiel de clés, par exemple pour utiliser un emplacement unique, partagé par tous les gestionnaires de files d'attente d'un système d'exploitation.
Pour modifier l'emplacement du référentiel de clés d'un gestionnaire de files d'attente, procédez comme suit :
Procédure
Vérification des certificats par rapport à la Liste de Révocation des Certificats
Pourquoi et quand exécuter cette tâche
Les autorités de certification peuvent révoquer des certificats qui ne sont plus fiables en les mentionnant dans une liste CRL (Certification Revocation List). Quand un gestionnaire de files d'attente ou un client IBM MQ MQI reçoit un certificat, le certificat peut être vérifié dans la liste de retrait des certificats pour déterminer s'il a été retiré. Cette vérification n'est pas obligatoire, mais il est recommandé de s'assurer de la validité des certificats utilisateur.
Pour plus d'informations sur la configuration d'une liste de révocation de certificat (CRL) de cette façon, voir Sécurisation dans la documentation en ligne du produit IBM MQ.
Pour configurer une connexion à un serveur CRL LDAP :
Procédure
- Dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
- Créez un objet informations d'authentification de type CRL LDAP. Pour plus d'informations, voir la section Création et configuration de gestionnaires de files d'attente et d'objets.
- Répétez l'étape 2 pour créer le nombre d'objets d'informations d'authentification LDAP CRL dont vous avez besoin.
- Créez une liste de noms et ajoutez-y les noms des objets d'informations d'authentification créés au cours des étapes 2 et 3. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
- Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
- Dans la page SSL, et plus précisément dans la zone Liste de noms de révocation, entrez le nom de la liste de noms créée à l'étape 4.
- Cliquez sur OK.
Résultats
Les certificats reçus par le gestionnaire de files d'attente peuvent maintenant être authentifiés auprès de la liste de retrait de certificats du serveur LDAP.
Vous pouvez ajouter à la liste de noms jusqu'à 10 connexions vers des serveurs LDAP de secours afin de garantir une continuité de service si un ou plusieurs de ces serveurs sont inaccessibles.
Vérification des certificats à l'aide de l'authentification OCSP
Pourquoi et quand exécuter cette tâche
Sur les systèmes UNIX et Windows, la prise en charge TLS d'IBM MQ
recherche des certificats révoqués avec le protocole OCSP (Online Certificate Status Protocol) ou des listes
CRL et ARL sur les serveurs LDAP (Lightweight Directory Access Protocol). OCSP est la méthode préférée.
IBM MQ
classes for Java™ et IBM MQ
classes for JMS ne peuvent pas utiliser les informations
OCSP dans un fichier de table de définition de canal du client. Toutefois, vous pouvez configurer le protocole OCSP comme décrit dans
Certificats révoqués et OCSP dans la documentation en ligne du produit
IBM MQ.
Les systèmes IBM i et z/OS ne prennent pas en charge la vérification via OCSP mais autorisent la
génération de tables de définition de canaux client (CCDT) contenant des informations OCSP.
Pour plus d'informations sur les tables de définition de canal du client et OCSP, voir Table de définition de canal du client dans la documentation du produit IBM MQ.
Pour configurer une connexion à un serveur OCSP :
Procédure
- Dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
- Créez un objet informations d'authentification de type OCSP. Pour plus d'informations, voir : Création et configuration de gestionnaires de files d'attente et d'objets.
- Répétez l'étape 2 pour créer le nombre d'objets d'informations d'authentification OCSP dont vous avez besoin.
- Créez une liste de noms et ajoutez-y les noms des objets d'informations d'authentification OCSP créés au cours des étapes 2 et 3. Pour plus d'informations, voir : Création et configuration de gestionnaires de files d'attente et d'objets.
- Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
- Dans la page SSL, et plus précisément dans la zone Liste de noms de révocation, entrez le nom de la liste de noms créée à l'étape 4.
- Cliquez sur OK.
Résultats
Les certificats reçus par le gestionnaire de files d'attente sont authentifiés auprès du canal répondeur OCSP.
Le gestionnaire de files d'attente écrit des informations OCSP dans la table de définition de canal du client.
UN seul objet OCSP peut être ajouté à la liste de noms car la bibliothèque de sockets ne peut utiliser qu'une seule adresse URL de canal répondeur OCSP à la fois.
Configuration du matériel de cryptographie
Pourquoi et quand exécuter cette tâche
IBM MQ prend en charge le matériel de cryptographie et le gestionnaire de files d'attente doit être configuré en conséquence.
Pour configurer le gestionnaire de files d'attente pour le matériel de cryptographie :
Procédure
- Démarrez IBM MQ Explorer.
- Dans la vue Navigateur, avec le bouton droit de la souris, cliquez sur le gestionnaire de files d'attente, puis sur Propriétés. La boîte de dialogue des propriétés s'ouvre.
- Sur la page SSL, cliquez sur Configurer La boîte de dialogue des paramètres du matériel de cryptographie apparaît.
- Dans la boîte de dialogue Paramètres du matériel de cryptographie : Toutes les cartes de cryptographie prises en charge utilisent PKCS #11. Ignorez donc toutes les références aux cartes Rainbow Cryptoswift ou nCipher nFast. Entrez le chemin d'accès au pilote PKCS #11, ainsi qu'un intitulé et un mot de passe de jeton et le paramètre relatif à la spécification cipher symétrique.
- Cliquez sur OK.
Résultats
Le gestionnaire de files d'attente est maintenant configuré pour utiliser le matériel de cryptographie.
Vous pouvez également travailler avec des certificats stockés sur le matériel PKCS #11 à l'aide d'iKeyman.
Pour plus d'informations, voir Sécurisation dans la documentation en ligne du produit IBM MQ.