在佇列管理程式上配置 TLS

啟動「IBM® 金鑰管理 (iKeyman) GUI」之後,您可以使用它來管理 TLS 憑證。

開始之前

如需如何啟動 iKeyman GUI 的相關資訊,請參閱啟動 IBM 金鑰管理 GUI

建立佇列管理程式金鑰儲存庫

關於這項作業

金鑰儲存庫是佇列管理程式所用的憑證的儲存所在。在 WindowsLinuxUNIX 平台上,金鑰儲存庫即所謂的金鑰資料庫檔。

佇列管理程式的金鑰儲存庫位置是指定在佇列管理程式的金鑰儲存庫屬性中。將佇列管理程式憑證儲存在金鑰儲存庫之前,您必須先確定金鑰資料庫檔存在於此位置。如果您需要建立金鑰資料庫檔,請使用 iKeyman GUI。如需相關資訊,請參閱 IBM MQ 線上產品說明文件中的維護安全

變更佇列管理程式金鑰儲存庫

關於這項作業

在某些情況下,您可以變更金鑰儲存庫,比方說,使用單一作業系統中的所有佇列管理程式共用的單一位置。

若要變更佇列管理程式金鑰儲存庫位置,請執行下列動作:

程序

  1. 變更佇列管理程式內容中的金鑰儲存庫位置:
    1. 開啟「IBM MQ 探險家」,然後展開佇列管理程式資料夾。
    2. 在佇列管理程式上按一下滑鼠右鍵,然後按一下內容
    3. SSL 內容頁上,可編輯金鑰儲存庫欄位中的路徑,讓它指向您選擇的目錄。
    4. 在警告對話框上,按一下
  2. 使用 iKeyman GUI,將佇列管理程式個人憑證傳送到新位置。 如需相關資訊,請參閱 IBM MQ 線上產品說明文件中的維護安全

利用「憑證撤銷清冊」來鑑別憑證

關於這項作業

憑證管理中心 (CA) 可以在憑證撤銷清冊 (CRL) 中公佈不再信任的憑證,來撤銷那些憑證。當佇列管理程式或 IBM MQ MQI 用戶端收到憑證時,會根據 CRL 來檢查該憑證,以確定該憑證未被撤銷。要達到啟用 TLS 的傳訊,不一定要強制進行 CRL 檢查,但建議您這麼做,以確保使用者憑證的可信度。

如需如何使用此方式設定 CRL 的相關資訊,請參閱 IBM MQ 線上產品說明文件中的維護安全

若要設定 LDAP CRL 伺服器的連線:

程序

  1. 在「IBM MQ 探險家」中,展開佇列管理程式。
  2. 建立 CRL LDAP 類型的鑑別資訊物件。如需相關資訊,請參閱建立及配置佇列管理程式和物件
  3. 重複步驟 2,視需要建立多個 CRL LDAP 鑑別資訊物件。
  4. 建立名稱清單,並將您在步驟 2 和 3 中建立的鑑別資訊物件名稱加入新名稱清單中。如需相關資訊,請參閱建立及配置佇列管理程式和物件
  5. 在佇列管理程式上按一下滑鼠右鍵,然後按一下內容
  6. SSL 頁面的撤銷名稱清單欄位中,輸入您在步驟 4 建立之名稱清單的名稱。
  7. 按一下確定

結果

現在,可以根據 LDAP 伺服器所保留的 CRL 來鑑別佇列管理程式接收的憑證。

您可以將替代 LDAP 伺服器的最多 10 條連線新增至名稱清單中,以確保萬一有一或多個 LDAP 伺服器無法存取時,服務還是可以繼續。

利用 OCSP 鑑別來鑑別憑證

關於這項作業

[UNIX][Windows]UNIXWindows 上,IBM MQ TLS 支援使用 OCSP(線上憑證狀態通訊協定)或是使用 LDAP(輕量型目錄存取通訊協定)伺服器上的 CRL 及 ARL,來檢查已撤銷的憑證。OCSP 是較好的方法。「IBM MQ for Java™ 類別」及 IBM MQ for JMS 類別 無法在用戶端通道定義表檔案中使用 OCSP 資訊。但是,您可以如 IBM MQ 線上產品說明文件內的撤銷的憑證及 OCSP 中所述來配置 OCSP。

[IBM i][z/OS]IBM iz/OS® 不支援 OCSP 檢查,但容許產生包含 OCSP 資訊的用戶端通道定義表 (CCDT)。

如需 CCDT 及 OCSP 的相關資訊,請參閱 IBM MQ 線上產品說明文件中的用戶端通道定義表

若要設定 OCSP 伺服器的連線,請執行下列動作:

程序

  1. 在「IBM MQ 探險家」中,展開佇列管理程式。
  2. 建立 OCSP 類型的鑑別資訊物件。如需相關資訊,請參閱建立及配置佇列管理程式和物件
  3. 重複步驟 2,視需要建立多個 OCSP 鑑別資訊物件。
  4. 建立名稱清單,並將您在步驟 2 和 3 中建立的 OCSP 鑑別資訊物件名稱加入新名稱清單中。如需相關資訊,請參閱建立及配置佇列管理程式和物件
  5. 在佇列管理程式上按一下滑鼠右鍵,然後按一下內容
  6. SSL 頁面的撤銷名稱清單欄位中,輸入您在步驟 4 建立之名稱清單的名稱。
  7. 按一下確定

結果

根據 OCSP 回應端,鑑別佇列管理程式所收到的憑證。

佇列管理程式會將 OCSP 資訊寫入 CCDT。

只有一個 OCSP 物件可以新增至名稱清單,因為 Socket 程式庫一次只能使用一個 OCSP 回應端 URL。

配置加密硬體

關於這項作業

IBM MQ 可支援加密硬體,且必須從而配置佇列管理程式。

若要配置加密硬體的佇列管理程式:

程序

  1. 啟動「IBM MQ 探險家」。
  2. 在「導覽器」視圖中,在佇列管理程式上按一下滑鼠右鍵,然後按一下內容。這時會開啟「內容」對話框。
  3. SSL 頁面上,按一下配置。這時會開啟「加密硬體設定」對話框。
  4. 在「加密硬體設定」對話框中:所有支援的加密卡現在都使用 PKCS #11,因此請忽略 Rainbow Cryptoswift 或 nCipher nFast 卡的參照。請輸入 PKCS #11 驅動程式的路徑,以及記號標籤、記號密碼和對稱的密碼設定。
  5. 按一下確定

結果

現在佇列管理程式已配置為使用加密硬體。

您也可以使用 iKeyman,來使用儲存在 PKCS #11 硬體上的憑證。

如需相關資訊,請參閱 IBM MQ 線上產品說明文件中的維護安全


工作 工作

反饋

「時間戳記」圖示 前次更新時間: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_qmanagers.htm