Configurar TLS en clientes de MQI de IBM MQ

Para trabajar con TLS en un cliente de IBM® MQ, debe utilizar varios mandatos.

Acerca de esta tarea

Esta tarea presenta los mandatos que puede utilizar para trabajar son TLS en un cliente IBM MQ. Para obtener más información, consulte Seguridad en la documentación del producto en línea de IBM MQ.

Gestión de certificados de clientes IBM MQ

Utilice la GUI de IBM Key Management (iKeyman) para gestionar sus certificados TLS. Si desea ver más información, consulte Inicio de la GUI de IBM Key Management.

En la GUI de iKeyman, asegúrese de que el repositorio de claves del cliente contiene todos los certificados de la entidad emisora de certificados (CA) que pueden ser necesarios para validar certificados de otros gestores de colas.

Para obtener información acerca de la ubicación del depósito de claves del cliente, escriba el mandato siguiente para examinar la variable de entorno MQSSLKEYR:

echo %MQSSLKEYR%

Compruebe también su aplicación, ya que el depósito de claves se puede establecer en una llamada MQCONNX. Si se establecen ambos valores, el valor establecido en la llamada MQCONNX altera temporalmente el valor de MQSSLKEYR.

Configuración de los canales para el uso de TLS

Los canales TLS deben estar configurados tal como se describe aquí en Configuración de canales TLS.

Para obtener más información sobre cómo configurar la seguridad del cliente de IBM MQ, consulte Configuración de la seguridad del cliente MQI de IBM MQ en la documentación del producto en línea de IBM MQ.

Autenticación de certificados utilizando listas de revocación de certificados (CRL)

Acerca de esta tarea

Puede configurar un cliente de IBM MQ MQI que compruebe los certificados contra CRL en servidores LDAP:

Procedimiento

  1. En el servidor de IBM MQ, en MQ Explorer, expanda el gestor de colas.
  2. Cree un nuevo objeto de información de autenticación de tipo CRL LDAP. Si desea ver más información, consulte Crear y configurar gestores de colas y objetos.
  3. Repita el paso 2 para crear tantos objetos de información de autenticación como sean necesarios.
  4. Cree una nueva lista de nombres y agregue a la lista de nombres los nombres de los objetos de información de autenticación creados en los pasos 2 y 3. Si desea ver más información, consulte Crear y configurar gestores de colas y objetos.
  5. Pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
  6. En la página SSL, en el campo Lista de nombres CRL, escriba el nombre de la lista de nombres creada en el paso 4.
  7. Pulse Aceptar. Toda la información CRL LDAP se escribe en la tabla de definiciones de canal del cliente.
  8. Asegúrese de que la tabla de la definición de canal del cliente esté a disposición del cliente, o, si está utilizando Windows Active Directory, grabe la información de la tabla de definición de canal del cliente en Active Directory (consulte el mandato setmqscp en la documentación del producto en línea de IBM MQ).

Resultados

Para obtener más información, consulte Visión general de clientes MQI de IBM MQ en la documentación del producto en línea de IBM MQ.

Puede añadir a la lista de nombres hasta 10 conexiones a servidores LDAP alternativos para asegurar la continuidad del servicio si uno o más de los servidores LDAP son inaccesibles. Para obtener más información, consulte Seguridad en la documentación del producto en línea de IBM MQ.

Autenticación de certificados utilizando la autenticación OCSP

Acerca de esta tarea

Puede configurar un cliente MQI de IBM MQ que compruebe los certificados contra un programa de respuesta OCSP. Algunos entornos de cliente no dan soporte a la comprobación de revocaciones OCSP pero todas las plataformas del servidor dan soporte a la posibilidad de definir la configuración OCSP que se grabará en el archivo de la tabla de definiciones de canal de cliente.

Procedimiento

  1. En el servidor de IBM MQ, en MQ Explorer, expanda el gestor de colas.
  2. Cree un objeto de información de autenticación nuevo del tipo OCSP. Si desea ver más información, consulte Crear y configurar gestores de colas y objetos.
  3. Repita el paso 2 para crear tantos objetos de información de autenticación OCSP como necesite.
  4. Cree una nueva lista de nombres y agregue a la lista de nombres los nombres de los objetos de información de autenticación OCSP creados en los pasos 2 y 3. Si desea ver más información, consulte Crear y configurar gestores de colas y objetos.
  5. Pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
  6. En la página SSL, en el campo Lista de nombres de revocación, escriba el nombre de la lista de nombres que haya creado en el paso 4.
  7. Pulse Aceptar.
  8. Ponga la tabla de definiciones de canal de cliente a la disposición del cliente.

Resultados

Para obtener más información, consulte Visión general de clientes MQI de IBM MQ en la documentación del producto en línea de IBM MQ.

Solamente se puede añadir un objeto OCSP a la lista de nombres porque la biblioteca de sockets solamente puede utilizar un URL de programa de respuesta OCSP cada vez. Para obtener más información, consulte Seguridad en la documentación del producto en línea de IBM MQ.




Comentarios

http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_ssl_mqclients.htm