Konfigurace zabezpečení TLS v klientech IBM MQ MQI

Při práci se zabezpečením TLS pro klienta IBM® MQ se používají různé příkazy.

Informace o této úloze

Tato úloha představuje příkazy používané pro práci se zabezpečením TLS v klientu IBM MQ. Další informace viz Zabezpečení v online dokumentaci produktu IBM MQ.

Správa certifikátů klienta IBM MQ

Ke správě certifikátů TLS lze použít grafické uživatelské rozhraní Správa klíčů IBM (iKeyman). Další informace naleznete v části Spuštění grafického uživatelského rozhraní Správa klíčů IBM.

V rozhraní GUI iKeyman zkontrolujte, zda úložiště klíčů klienta obsahuje všechny certifikáty certifikační autority (CA), které by mohly být potřebné k ověření certifikátů přijatých od jiných správců front.

Chcete-li vyhledat umístění úložiště klíčů klienta, zadejte následující příkaz pro zjištění obsahu proměnné prostředí MQSSLKEYR:

echo %MQSSLKEYR%

Zkontrolujte také vlastní aplikaci, protože úložiště klíčů lze nastavit s použitím volání MQCONNX. Jsou-li zadány obě hodnoty, volání MQCONNX přepíše hodnotu proměnné MQSSLKEYR.

Konfigurace kanálů pro použití TLS

Kanály TLS musí být nastaveny podle popisu uvedeného v části Konfigurace kanálů TLS.

Další informace k nastavení zabezpečení klienta IBM MQ naleznete v tématu Nastavení zabezpečení klienta IBM MQ MQI v online nápovědě produktu IBM MQ.

Ověřování certifikátů prostřednictvím seznamu odvolaných certifikátů

Informace o této úloze

Klienta IBM MQ MQI lze nastavit tak, že bude certifikáty kontrolovat vzhledem k seznamům odvolaných certifikátů na serverech LDAP:

Postup

  1. Na serveru IBM MQ rozbalte v produktu IBM MQ Explorer položku správce front.
  2. Vytvořte nový objekt s ověřovacími informacemi typu CRL LDAP. Další informace naleznete v části Vytvoření a konfigurace správců front a objektů.
  3. Zopakováním kroku 2 můžete vytvořit další objekty s ověřovacími informacemi.
  4. Vytvořte nový seznam názvů a přidejte do něj názvy objektů s ověřovacími informacemi, které byly vytvořeny v krocích 2 a 3. Další informace najdete v oddílu Vytvoření a konfigurace správců front a objektů.
  5. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
  6. Na stránce SSL zadejte do pole Seznam názvů CRL název seznamu názvů, který byl vytvořen v kroku 4.
  7. Klepněte na tlačítko OK. Všechny informace seznamu LDAP CRL nyní budou zapsány do tabulky definic kanálů klienta.
  8. Povolte tabulku definic kanálů klienta pro klienta nebo, používáte-li systém Windows Active Directory, zapište informace z tabulky definic kanálů klienta do adresáře služby Active Directory. Viz příkaz setmqscp v online dokumentaci produktu IBM MQ.

Výsledky

Další informace viz téma Přehled klientů IBM MQ MQI v online dokumentaci produktu IBM MQ.

Do seznamu názvů lze přidat až 10 připojení k alternativním serverům LDAP s cílem zajistit pokračování činnosti služby i při nedostupnosti jednoho či více serverů LDAP. Další informace viz Zabezpečení v online dokumentaci produktu IBM MQ.

Ověřování certifikátů s použitím ověřovacího protokolu OCSP

Informace o této úloze

Klienta IBM MQ MQI lze nastavit tak, aby kontroloval certifikáty pomocí odpovídacího modulu OCSP. V některých klientských prostředích není kontrola odvolání pomocí protokolu OCSP podporována, všechny serverové platformy však podporují možnost definovat konfiguraci OCSP, která bude zapsána do souboru definiční tabulky kanálu klienta.

Postup

  1. Na serveru IBM MQ rozbalte v produktu IBM MQ Explorer položku správce front.
  2. Vytvořte nový objekt ověřovacích informací typu OCSP. Další informace naleznete v části Vytvoření a konfigurace správců front a objektů.
  3. Zopakováním kroku 2 můžete vytvořit další objekty ověřovacích informací OCSP.
  4. Vytvořte nový seznam názvů a přidejte do něj názvy objektů s ověřovacími informacemi OCSP, které byly vytvořeny v krocích 2 a 3. Další informace najdete v oddílu Vytvoření a konfigurace správců front a objektů.
  5. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
  6. Na stránce SSL zadejte do pole Seznam názvů revokace název seznamu názvů, který byl vytvořen v kroku 4.
  7. Klepněte na tlačítko OK.
  8. Povolte klientovi tabulku definic kanálů klienta.

Výsledky

Další informace viz téma Přehled klientů IBM MQ MQI v online dokumentaci produktu IBM MQ.

Do seznamu názvů lze přidat jen jeden objekt OCSP, protože knihovna soketů nemůže využívat více než jednu adresu URL odpovídacího modulu OCSP současně. Další informace viz Zabezpečení v online dokumentaci produktu IBM MQ.


Úloha Úloha

Zpětná vazba

Ikona časové razítko Poslední aktualizace: 7. února 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_mqclients.htm