在队列管理器上配置 TLS

启动 IBM® Key Management (iKeyman) GUI 后,您可以用它来管理 TLS 证书。

开始之前

有关如何启动 iKeyman GUI 的更多信息,请参阅启动 IBM Key Management GUI

创建队列管理器密钥存储库

关于此任务

密钥存储库是存储队列管理器使用的证书的地方。在 WindowsLinuxUNIX 平台上,密钥存储库称为密钥数据库文件。

在队列管理器的密钥存储库属性中指定队列管理器的密钥存储库位置。您必须确保此位置上存在密钥数据库文件,然后才能在密钥存储库中存储队列管理器证书。如果您需要创建密钥数据库文件,请使用 iKeyman GUI。有关更多信息,请参阅 IBM MQ 联机产品文档中的保护

更改队列管理器密钥存储库

关于此任务

在某些情况下,您可能想要更改密钥存储库,例如,要使用一个操作系统上所有队列管理器共享的一个位置。

要更改队列管理器密钥存储库位置:

过程

  1. 在队列管理器属性中更改密钥存储库位置:
    1. 打开 IBM MQ Explorer 并展开队列管理器文件夹。
    2. 右键单击队列管理器,然后单击属性
    3. SSL 属性页面上,编辑密钥存储库字段中的路径以指向您选择的目录。
    4. 在警告对话框中,单击
  2. 使用 iKeyman GUI 将队列管理器个人证书传输至新位置。 有关更多信息,请参阅 IBM MQ 联机产品文档中的保护

使用证书撤销列表认证证书

关于此任务

认证中心(CA)可通过在证书撤销列表(CRL)中发布不再可信的证书来撤销它们。队列管理器或 IBM MQ MQI 客户机收到证书后,可根据 CRL 来检查该证书,以确保该证书尚未被撤销。 CRL 检查对于完成支持 TLS 的消息传递来说不是强制的,但是建议使用它以确保用户证书的可信性。

有关如何以这种方式设置 CRL 的更多信息,请参阅 IBM MQ 联机产品文档中的保护

要设置与 LDAP CRL 服务器的连接:

过程

  1. IBM MQ Explorer 中,展开队列管理器。
  2. 创建 CRL LDAP 类型的认证信息对象。有关更多信息,请参阅创建和配置队列管理器和对象
  3. 重复步骤 2 以创建您所需要的 CRL LDAP 认证信息对象数量。
  4. 创建名称列表,并将您在步骤 2 和步骤 3 中创建的认证信息对象的名称添加至该新的名称列表。 有关更多信息,请参阅创建和配置队列管理器和对象
  5. 右键单击队列管理器,然后单击属性
  6. SSL 页面的撤销名称列表字段中,输入您在步骤 4 中创建的名称列表的名称。
  7. 单击确定

结果

现在可根据 LDAP 服务器上保留的 CRL 来认证队列管理器接收的证书。

您可将最多 10 个备用 LDAP 服务器的连接添加至名称列表,以确保在一个或多个 LDAP 服务器不可用的情况下继续服务。

使用 OCSP 认证来认证证书

关于此任务

[UNIX][Windows]UNIXWindows 上,IBM MQ TLS 支持可使用 OCSP(联机证书状态协议)或使用 LDAP(轻量级目录访问协议)服务器上的 CRL 与 ARL 来检查是否有已撤销的证书。OCSP 是首选方法。用于 Java™ 的 IBM MQ 类用于 JMS 的 IBM MQ 类 不能使用客户机通道定义表文件中的 OCSP 信息。 但是,您可以按照 IBM MQ 联机产品文档中的 撤销证书和 OCSP 所述来配置 OCSP。

[IBM i][z/OS]IBM iz/OS® 不支持 OCSP 检查,但允许生成包含 OCSP 信息的客户机通道定义表 (CCDT)。

有关 CCDT 和 OCSP 的更多信息,请参阅 IBM MQ 联机产品文档中的客户机通道定义表

要设置与 OCSP 服务器的连接:

过程

  1. IBM MQ Explorer 中,展开队列管理器。
  2. 创建 OCSP 类型的认证信息对象。 有关更多信息,请参阅创建和配置队列管理器和对象
  3. 重复步骤 2 以创建您所需要的 OCSP 认证信息对象。
  4. 创建名称列表,并将您在步骤 2 和步骤 3 中创建的 OCSP 认证信息对象的名称添加至该新的名称列表。 有关更多信息,请参阅创建和配置队列管理器和对象
  5. 右键单击队列管理器,然后单击属性
  6. SSL 页面的撤销名称列表字段中,输入您在步骤 4 中创建的名称列表的名称。
  7. 单击确定

结果

将根据 OCSP 响应程序来认证队列管理器接收的证书。

该队列管理器将 OCSP 信息写入 CCDT。

由于套接字库每次只能使用一个 OCSP 响应程序 URL,所以只能将一个 OCSP 对象添加至该名称列表。

配置加密硬件

关于此任务

IBM MQ 可支持加密硬件,并且必须相应地配置队列管理器。

要配置用于加密硬件的队列管理器:

过程

  1. 启动 IBM MQ Explorer
  2. 在“导航器”视图中,右键单击队列管理器,然后单击属性。“属性”对话框打开。
  3. SSL 页面上,单击配置。这样会打开“加密硬件设置”对话框。
  4. 在“加密硬件设置”对话框中: 所有受支持的加密卡现在使用 PKCS #11,因此忽略对 Rainbow Cryptoswift 或 nCipher nFast 卡的引用。输入 PKCS #11 驱动程序的路径以及令牌标签、令牌密码和对称的密码设置。
  5. 单击确定

结果

现在配置了此队列管理器,使它可使用加密硬件。

您还可通过 iKeyman 使用存储在 PKCS #11 硬件上的证书。

有关更多信息,请参阅 IBM MQ 联机产品文档中的保护


任务 任务

反馈

时间戳记图标 最近一次更新时间: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_qmanagers.htm