Configurando o TLS em gerenciadores de filas
Depois de iniciar a GUI do IBM® Key Management (iKeyman), é possível usá-la para gerenciar certificados TLS.
Antes de Iniciar
Para obter mais informações sobre como iniciar a GUI do iKeyman, consulte Iniciando a GUI do IBM Key Management.
Criando o repositório de chaves do gerenciador de filas
Sobre Esta Tarefa
O repositório de chaves é onde os certificados utilizados pelo gerenciador de filas são armazenados. Nas plataformas Windows, Linux e UNIX, o repositório de chaves é conhecido como o arquivo do banco de dados de chave.
O local do repositório de chaves de um gerenciador de filas é especificado no atributo Repositório de Chaves do gerenciador de filas. Antes de poder armazenar os certificados do gerenciador de filas no repositório de chaves, você deve se certificar de que exista nesse local um arquivo do banco de dados de chaves. Se for necessário criar o arquivo do banco de dados de chaves, utilize a GUI do iKeyman. Para obter mais informações, veja Protegendo na documentação on-line do produto IBM MQ.
Alterando o Repositório da Chave do Gerenciador de Filas
About this task
Em determinadas circunstâncias, poderá ser necessário alterar o repositório de chaves; por exemplo, para utilizar um único local compartilhado por todos os gerenciadores de filas em um sistema operacional.
Para alterar o local do repositório de chaves de um gerenciador de filas:
Procedure
Autenticando Certificados Usando Listas de Revogação de Certificado
About this task
As CAs (Autoridades de Certificação) podem revogar certificados que não mais são confiáveis, publicando-os em uma CRL (Lista de Revogação de Certificados). Quando um certificado é recebido por um gerenciador de filas ou um cliente MQI do IBM MQ, ele pode ser verificado com a CRL para assegurar que não tenha sido revogado. A verificação da CRL não é obrigatória para que o sistema de mensagens ativado para TLS seja concluído com êxito, mas é recomendável para assegurar a fidelidade dos certificados de usuário.
Para obter mais informações sobre como configurar uma CRL desta forma, consulte Protegendo na documentação do produto on-line do IBM MQ.
Para configurar uma conexão com um servidor LDAP CRL:
Procedure
- No IBM MQ Explorer, expanda o gerenciador de filas.
- Crie um objeto de informações de autenticação do tipo LDAP CRL. Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Repita a Etapa 2 para criar tantos objetos de informações de autenticação de LDAP CRL quantos forem necessários.
- Crie uma lista de nomes e inclua os nomes dos objetos de informações de autenticação criados nas Etapas 2 e 3 na nova lista de nomes. Para obter mais informações, consulte Criando e Configurando Gerenciadores de Filas e Objetos.
- Clique com o botão direito do mouse no gerenciador de filas e, em seguida, clique em Propriedades.
- Na página SSL, no campo Lista de Nomes de Revogação, digite o nome da lista de nomes criada na Etapa 4.
- Clique em OK.
Results
Os certificados que o gerenciador de filas recebe agora podem ser autenticados junto à CRL mantida no servidor LDAP.
Você pode incluir na lista de nomes até 10 conexões com servidores LDAP alternativos para assegurar a continuidade de serviço se um ou mais servidores LDAP ficarem inacessíveis.
Autenticando Certificados Usando a Autenticação do OCSP
About this task
No UNIX e no Windows, o suporte do TLS do IBM MQ verifica certificados revogados usando OCSP (Online Certificate Status Protocol) ou usando CRLs e ARLs nos servidores LDAP (Lightweight Directory Access Protocol). OCSP é o método preferido.
IBM MQ classes for Java™ e IBM MQ classes for JMS não pode usar as informações do OCSP em um arquivo da tabela de definição de canal do cliente. No entanto, é possível configurar o OCSP conforme descrito em Certificados Revogados e OCSP na documentação on-line do
produto IBM MQ.
IBM i e z/OS não suportam a verificação de OCSP, mas permitem a geração de tabelas de definição de canal de cliente (CCDTs) que contenham informações de OCSP.
Para obter mais informações sobre CCDTs e OCSP, consulte Tabela de Definição de Canal de Cliente na documentação do produto on-line do IBM MQ.
Para configurar uma conexão com um servidor OCSP:
Procedure
- No IBM MQ Explorer, expanda o gerenciador de filas.
- Crie um objeto de informação de autenticação do tipo OCSP. Para obter informações adicionais, consulte: Criando e Configurando Gerenciadores de Filas e Objetos.
- Repita a Etapa 2 para criar tantos objetos de informações de autenticação do OCSP quantos forem necessários.
- Crie uma lista de nomes e inclua os nomes dos objetos de informações de autenticação do OCSP criados nas Etapas 2 e 3 na nova lista de nomes. Para obter informações adicionais, consulte: Criando e Configurando Gerenciadores de Filas e Objetos.
- Clique com o botão direito do mouse no gerenciador de filas e, em seguida, clique em Propriedades.
- Na página SSL, no campo Lista de Nomes de Revogação, digite o nome da lista de nomes criada na Etapa 4.
- Clique em OK.
Results
Os certificados que o gerenciador de filas recebe são autenticados com relação ao respondente do OCSP.
O gerenciador de filas grava as informações do OCSP na CCDT.
Somente um objeto do OCSP pode ser incluído na lista de nomes porque a biblioteca de soquetes pode usar somente uma URL do respondente do OCSP de cada vez.
Configurando o Hardware Criptográfico
About this task
O IBM MQ pode suportar hardware de criptografia e o gerenciador de filas deve ser configurado de forma apropriada.
Para configurar o gerenciador de filas para hardware criptográfico:
Procedure
- Inicie o IBM MQ Explorer.
- Na visualização do Navegador, clique com o botão direito no gerenciador de filas e, em seguida, clique em Propriedades. O diálogo Propriedades é aberto.
- Na página SSL, clique em Configurar. O diálogo Configurações do Hardware de Criptografia é aberto.
- No diálogo Configurações de Hardware de Criptografia: todos os cartões de criptografia suportados agora usam PKCS #11, portanto ignore as referências aos cartões Rainbow Cryptoswift ou nCipher nFast. Insira o caminho para o driver PKCS #11, a etiqueta do token, a senha do token e a configuração de código simétrico.
- Clique em OK.
Results
Agora o gerenciador de filas está configurado para utilizar o hardware criptográfico.
Também é possível trabalhar com certificados armazenados no hardware PKCS #11 usando o iKeyman.
Para obter mais informações, consulte Protegendo na documentação do produto on-line do IBM MQ.