IBM MQ MQI 客户机上配置 TLS

要在 IBM® MQ 客户机上使用 TLS,您必须使用各种命令。

关于此任务

此任务介绍了在 IBM MQ 客户机上使用 TLS 时要使用的命令。有关更多信息,请参阅 IBM MQ 联机产品文档中的保护

管理 IBM MQ 客户机证书

使用 IBM Key Management (iKeyman) GUI 来管理 TLS 证书。有关更多信息,请参阅启动 IBM Key Management GUI

在 iKeyman GUI 中,确保客户机密钥存储库包含验证从其他队列管理器接收的证书时可能需要的所有认证中心 (CA) 证书。

要找出客户机密钥存储库的位置,请输入以下命令以检查 MQSSLKEYR 环境变量:

echo %MQSSLKEYR%

还要检查您的应用程序,因为密钥存储库可以在 MQCONNX 调用中设置。如果设置两个值,那么在此 MQCONNX 调用中设置的值会覆盖 MQSSLKEYR 的值。

配置通道以使用 TLS

必须按照配置 TLS 通道中所述来设置 TLS 通道。

有关设置 IBM MQ 客户机安全性的更多信息,请参阅 IBM MQ 联机产品文档中的设置 IBM MQ MQI 客户机安全性

使用证书撤销列表认证证书

关于此任务

您可以设置 IBM MQ MQI 客户机,以根据 LDAP 服务器上的 CRL 来检查证书:

过程

  1. IBM MQ 服务器上的 IBM MQ Explorer 中,展开队列管理器。
  2. 创建 CRL LDAP 类型的新的认证信息对象。有关更多信息,请参阅创建和配置队列管理器和对象
  3. 重复步骤 2 以创建您所需要的认证信息对象。
  4. 创建新的名称列表,并将您在步骤 2 和步骤 3 中创建的认证信息对象的名称添加至该名称列表中。有关更多信息,请参阅创建和配置队列管理器和对象
  5. 右键单击队列管理器,然后单击属性
  6. SSL 页面的 CRL 名称列表字段中,输入您在步骤 4 中创建的名称列表的名称。
  7. 单击确定。现在,所有 LDAP CRL 信息都写入客户机通道定义表。
  8. 使客户机通道定义表可供客户机使用,如果使用的是 Windows Active Directory,请将客户机通道定义表中的信息写出到 Active Directory 中。 请参阅 IBM MQ 联机产品文档中的setmqscp 命令。

结果

有关更多信息,请参阅 IBM MQ 联机产品文档中的IBM MQ MQI 客户机概述

您可将最多 10 个备用 LDAP 服务器的连接添加至名称列表,以确保在一个或多个 LDAP 服务器不可用的情况下继续服务。有关更多信息,请参阅 IBM MQ 联机产品文档中的保护

使用 OCSP 认证来认证证书

关于此任务

您可以设置 IBM MQ MQI 客户机,以根据 OCSP 响应程序来检查证书。某些客户机环境不支持 OCSP 撤销检查,但所有服务器平台均支持定义 OCSP 配置的功能,该配置将被写入客户机通道定义表文件。

过程

  1. IBM MQ 服务器上的 IBM MQ Explorer 中,展开队列管理器。
  2. 创建 OCSP 类型的新的认证信息对象。有关更多信息,请参阅创建和配置队列管理器和对象
  3. 重复步骤 2 以创建您所需要的 OCSP 认证信息对象。
  4. 创建新的名称列表,并将您在步骤 2 和步骤 3 中创建的 OCSP 认证信息对象的名称添加至该名称列表中。有关更多信息,请参阅创建和配置队列管理器和对象
  5. 右键单击队列管理器,然后单击属性
  6. SSL 页面的撤销名称列表字段中,输入您在步骤 4 中创建的名称列表的名称。
  7. 单击确定
  8. 使客户机通道定义表可用于客户机.

结果

有关更多信息,请参阅 IBM MQ 联机产品文档中的IBM MQ MQI 客户机概述

由于套接字库每次只能使用一个 OCSP 响应程序 URL,所以只能将一个 OCSP 对象添加至该名称列表。有关更多信息,请参阅 IBM MQ 联机产品文档中的保护


任务 任务

反馈

时间戳记图标 最近一次更新时间: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_mqclients.htm