Konfigurowanie protokołu TLS w menedżerach kolejek

Po uruchomieniu interfejsu GUI IBM® Key Management (iKeyman), można go użyć do zarządzania certyfikatami TLS.

Zanim rozpoczniesz

Więcej informacji o uruchamianiu interfejsu GUI iKeyman można znaleźć w sekcji Uruchamianie interfejsu GUI IBM Key Management.

Tworzenie repozytorium kluczy menedżera kolejek

O tym zadaniu

Repozytorium kluczy to miejsce, w którym przechowywane są certyfikaty użyte przez menedżer kolejek. Na platformach Windows, Linux, i UNIX repozytorium kluczy jest znane pod nazwą baza danych kluczy.

Miejsce repozytorium kluczy menedżera kolejek jest określone w atrybucie menedżera kolejek Repozytorium kluczy. Przed umieszczeniem certyfikatów menedżera kolejek w repozytorium kluczy należy sprawdzić, czy plik bazy danych kluczy istnieje w danym miejscu. W razie potrzeby utworzenia pliku bazy danych kluczy należy użyć interfejsu GUI iKeyman. Więcej informacji na ten temat zawiera sekcja Bezpieczeństwo w elektronicznej dokumentacji produktu IBM MQ.

Zmiana repozytorium kluczy menedżera kolejek

O tym zadaniu

W niektórych przypadkach może wystąpić potrzeba zmiany repozytorium kluczy; na przykład aby użyć jednego miejsca współużytkowanego przez wszystkie menedżery kolejek w jednym systemie operacyjnym.

Aby zmienić położenie repozytorium kluczy menedżera kolejek:

Procedura

  1. Zmień położenie repozytorium kluczy we właściwościach menedżera kolejek:
    1. Otwórz program IBM MQ Explorer i rozwiń folder Menedżery kolejek.
    2. Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
    3. Na stronie właściwości SSL zmodyfikuj ścieżkę w polu Repozytorium kluczy, aby wskazać wybrany katalog.
    4. W oknie dialogowym ostrzeżenia kliknij przycisk Tak.
  2. Prześlij certyfikaty osobiste menedżera kolejek do nowego miejsca, używając interfejsu GUI iKeyman. Więcej informacji można znaleźć w sekcji Bezpieczeństwo elektronicznej dokumentacji produktu IBM MQ.

Uwierzytelnianie certyfikatów za pomocą list CRL (Certificate Revocation Lists)

O tym zadaniu

Ośrodki certyfikacji (CA) mogą unieważnić certyfikaty, które nie są już certyfikatami zaufanymi, publikując je na liście CRL (Certification Revocation List). Po odebraniu certyfikatu przez menedżer kolejek lub klient MQI produktu IBM MQ można sprawdzić na liście CRL, czy ten certyfikat nie został unieważniony. Sprawdzanie listy CRL nie jest obowiązkowe w celu aktywowania przesyłania komunikatów z włączonym TLS, ale jest zalecane w celu zagwarantowania wiarygodności certyfikatów użytkownika.

Więcej informacji o tym sposobie konfigurowania listy CRL można znaleźć w sekcji Bezpieczeństwo w elektronicznej dokumentacji produktu IBM MQ.

Aby skonfigurować połączenie z serwerem CRL LDAP:

Procedura

  1. W programie IBM MQ Explorer rozwiń menedżer kolejek.
  2. Utwórz obiekt informacji uwierzytelniającej typu CRL LDAP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
  3. Powtórz punkt 2, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej CRL LDAP.
  4. Utwórz listę nazw i dodaj do niej nazwy obiektów informacji uwierzytelniającej utworzonych w krokach 2 i 3. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
  5. Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
  6. Na stronie SSL, w polu Lista nazw odwołań wpisz nazwę listy nazw utworzonej w punkcie 4.
  7. Kliknij przycisk OK.

Wyniki

Certyfikaty otrzymywane przez menedżer kolejek mogą teraz zostać uwierzytelnione za pomocą listy CRL znajdującej się na serwerze LDAP.

Do listy nazw można dodać maksymalnie 10 połączeń z alternatywnymi serwerami LDAP, aby zagwarantować ciągłość usługi w przypadku, gdy jeden lub więcej serwerów LDAP jest niedostępnych.

Uwierzytelnianie certyfikatów za pomocą uwierzytelniania OCSP

O tym zadaniu

[UNIX][Windows]W systemach UNIX oraz Windows obsługa TLS produktu IBM MQ sprawdza odwołane certyfikaty, korzystając z protokołu OCSP (Online Certificate Status Protocol) lub za pomocą list CRL i ARL na serwerach LDAP (Lightweight Directory Access Protocol). Preferowaną metodą jest użycie protokołu OCSP. Produkty IBM MQ classes for Java™ i IBM MQ classes for JMS nie mogą używać informacji OCSP z pliku tabeli definicji kanału klienta. Jednak można skonfigurować protokół OCSP w sposób opisany w sekcji Unieważnione certyfikaty i protokół OCSP znajdującej się w elektronicznej dokumentacji produktu IBM MQ.

[IBM i][z/OS]Systemy IBM i i z/OS nie obsługują sprawdzania protokołu OCSP, ale umożliwiają generowanie tabel definicji kanału klienta (CCDT) zawierających informacje OCSP.

Więcej informacji na temat elementów CCDT i OCSP zawiera sekcja Tabela definicji kanału klienta w elektronicznej dokumentacji produktu IBM MQ.

Aby skonfigurować połączenie z serwerem OCSP:

Procedura

  1. W programie IBM MQ Explorer rozwiń menedżer kolejek.
  2. Utwórz obiekt informacji uwierzytelniającej typu OCSP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
  3. Powtórz punkt 2, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej OCSP.
  4. Utwórz listę nazw i dodaj do niej nazwy obiektów informacji uwierzytelniającej OCSP utworzonych w krokach 2 i 3. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
  5. Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
  6. Na stronie SSL, w polu Lista nazw odwołań wpisz nazwę listy nazw utworzonej w punkcie 4.
  7. Kliknij przycisk OK.

Wyniki

Certyfikaty odbierane przez menedżer kolejek są uwierzytelniane za pomocą programu odpowiadającego OCSP.

Menedżer kolejek zapisuje informacje OCSP w tabeli CCDT.

Do listy nazw można dodać tylko jeden obiekt OCSP, ponieważ biblioteka gniazd może używać jednocześnie tylko jednego adresu URL modułu odpowiadającego OCSP.

Konfigurowanie sprzętu szyfrującego

O tym zadaniu

Produkt IBM MQ może obsługiwać sprzęt szyfrujący; w tym celu należy odpowiednio skonfigurować menedżer kolejek.

Aby skonfigurować menedżera kolejek dla sprzętu szyfrującego:

Procedura

  1. Uruchom program IBM MQ Explorer.
  2. W widoku Nawigator kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości. Zostanie otwarte okno dialogowe Właściwości.
  3. Na stronie SSL kliknij opcję Skonfiguruj. Zostanie otwarte okno dialogowe ustawień sprzętu szyfrującego.
  4. W oknie dialogowym Ustawienia sprzętu szyfrującego: Wszystkie obsługiwane obecnie karty szyfrujące są w standardzie PKCS #11, dlatego należy zignorować odwołania do kart Rainbow Cryptoswift czy nCipher nFast. Wprowadź ścieżkę do sterownika PKCS #11, etykietę tokenu, hasło tokenu oraz symetryczne ustawienie szyfru.
  5. Kliknij przycisk OK.

Wyniki

Menedżer kolejek został skonfigurowany w celu użycia sprzętu szyfrującego.

Można również pracować z certyfikatami przechowywanymi na sprzęcie PKCS #11 za pomocą programu iKeyman.

Więcej informacji można znaleźć w sekcji Bezpieczeństwo elektronicznej dokumentacji produktu IBM MQ.


Zadanie Zadanie

Opinie

Ikona znacznika czasu Ostatnia aktualizacja: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_qmanagers.htm