Настройка администратора очередей TLS

После запуска графического пользовательского интерфейса IBM® Key Management (iKeyman) можно приступить к управлению сертификатами TLS.

Прежде чем начать

Дополнительная информация о запуске графического пользовательского интерфейса iKeyman приведена в разделе Запуск Графического пользовательского интерфейса IBM Key Management.

Создание хранилища ключей администратора очередей

Об этой задаче

Хранилище ключей - это расположение, где хранятся сертификаты, используемые администратором очередей. На платформах Windows, Linux и UNIX хранилище ключей известно как файл базы данных ключей.

Расположение хранилища ключей администратора очередей определено в атрибуте администратора очередей Хранилище ключей. Перед сохранением сертификатов администраторов очередей в хранилище ключей убедитесь, что файл базы данных ключей хранится в этом расположении. Если необходимо создать файл базы данных ключей, используйте iKeyman GUI. Дополнительная информация приведена в разделе Защита в документации по продукту IBM MQ.

Изменение хранилища ключей администратора очередей

About this task

При определенных обстоятельствах может понадобиться изменить хранилище ключей, например, для совместного использования отдельного хранилища всеми администраторами очередей одной операционной системы.

Для изменения расположения хранилища ключей администраторов очередей:

Procedure

  1. Измените расположение хранилища ключей в свойствах администратора очередей:
    1. Откройте IBM MQ Explorer и разверните каталог Администраторы очередей.
    2. Щелкните правой кнопкой мыши, затем выберите Свойства.
    3. На странице свойств SSL измените путь к каталогу Хранилище ключей на новый каталог.
    4. В окне предупреждения выберите Да.
  2. Перенесите личные сертификаты администраторов очередей в новое расположение с помощью GUI iKeyman. Дополнительная информация приведена в разделе Защита в документации по продукту IBM MQ.

Идентификация сертификатов с помощью Списков аннулированных сертификатов

About this task

CA могут отменить действие незащищенных сертификатов и опубликовать их в Списке аннулированных сертификатов (CRL). После получения администратор очередей или клиент IBM MQ MQI проверяет наличие сертификата в списке аннулированных сертификатов (CRL). Проверка по списку CRL не обязательна для передачи сообщений по протоколу TLS, но рекомендуется для полной уверенности в действительности пользовательских сертификатов.

Дополнительная информация об этом способе настройки CRL приведена в разделе Защита в документации по продукту IBM MQ.

Для того чтобы настроить сервер CRL LDAP:

Procedure

  1. В IBM MQ Explorer разверните администратор очередей.
  2. Создайте объект информации идентификации типа CRL LDAP. Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
  3. Повторите Шаг 2 для повторения для всех объектов информации идентификации CRL LDAP.
  4. Создайте список имен и добавьте в него имена объектов информации идентификации, созданных на шагах 2 и 3. Дополнительные сведения можно найти в разделе Создание и настройка администраторов очередей и объектов.
  5. Щелкните правой кнопкой мыши, затем выберите Свойства.
  6. На странице SSL, в поле Список аннулированных имен введите имя списка имен, созданных на этапе 4.
  7. Нажмите кнопку OK.

Results

Теперь администратор очередей сможет проверять полученные сертификаты на наличие в списке CRL на сервере LDAP.

В список имен можно добавлять до 10 соединений с альтернативными серверами, чтобы повысить надежность соединения, если один или несколько серверов LDAP будут недоступны.

Идентификация сертификатов с помощью идентификационных данных OCSP

About this task

[UNIX][Windows]В UNIX и Windows поддержка TLS IBM MQ проверяет аннулированные сертификаты с помощью OCSP (Online Certificate Status Protocol), а также с помощью CRL и ARL на серверах LDAP (Lightweight Directory Access Protocol). OCSP следует рассматривать как предпочитаемый способ. IBM MQ classes for Java™ и IBM MQ classes for .NET не могут использовать информацию OCSP в файле таблицы определений клиентского канала. Но можно настроить OCSP в соответствии с инструкциями из раздела Аннулированные сертификаты и OCSP в документации по продукту IBM MQ.

[IBM i][z/OS]IBM i и z/OS® не поддерживают проверку OCSP, но разрешают создание таблиц определений каналов клиентов (CCDT), содержащих информацию OCSP.

Дополнительная информация о CCDT и OCSP приведена в разделе Таблица определений каналов клиента в документации по продукту IBM MQ.

Для настройки соединения с сервером OCSP выполните следующие действия:

Procedure

  1. В IBM MQ Explorer разверните администратор очередей.
  2. Создайте объект информации идентификации типа OCSP. Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
  3. Повторите Шаг 2 для повторения для всех объектов идентификационной информации OCSP.
  4. Создайте список имен и добавьте в него имена объектов идентификационной информации, созданных на шагах 2 и 3. Дополнительная информация приведена в разделе Создание и настройка администраторов очередей и объектов.
  5. Щелкните правой кнопкой мыши, затем выберите Свойства.
  6. На странице SSL, в поле Список аннулированных имен введите имя списка имен, созданных на этапе 4.
  7. Нажмите кнопку OK.

Results

Администратор очередей проверяет полученные сертификаты с помощью промежуточного клиента OCSP.

Администратор очередей записывает информацию OCSP в CCDT.

В список имен можно добавить только объект OCSP, поскольку библиотека сокетов одновременно может использовать только URL отвечающей стороны OCSP.

Настройка шифровального аппаратного обеспечения

About this task

IBM MQ может поддерживать шифровальное аппаратное обеспечение. Для этого необходимо соответствующим образом настроить администратор очередей.

Для настройки поддержки шифровального аппаратного обеспечения администраторов очередей:

Procedure

  1. Запустите IBM MQ Explorer.
  2. На панели Навигатор щелкните правой кнопкой мыши и выберите Свойства . Откроется окно Свойства.
  3. На странице SSL нажмите кнопку Настроить. Откроется окно Параметры аппаратного обеспечения шифрования.
  4. Окно Параметры аппаратного обеспечения шифрования: Поскольку все поддерживаемые криптографические устройства теперь используют PKCS #11, все ссылки на карты Rainbow Cryptoswift и nCipher nFast следует игнорировать. Введите путь к драйверу PKCS #11, а также метку ключа, пароль ключа и параметр симметричного шифра.
  5. Нажмите кнопку OK.

Results

Администратор очередей будет настроен для работы с шифровальным аппаратном обеспечением.

Также можно работать с аппаратным обеспечением PKCS #11 с помощью iKeyman.

Дополнительная информация приведена в разделе Защита в документации по продукту IBM MQ.


Задача Задача

Комментарии

Системное время Последнее обновление: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_qmanagers.htm