キュー・マネージャーでの TLS の構成
IBM® 鍵管理 (iKeyman) GUI を開始した後に、それを使用して TLS 証明書を管理できます。
始める前に
iKeyman GUI を開始する方法について詳しくは、IBM 鍵管理 GUI の開始を参照してください。
キュー・マネージャーのキー・リポジトリーの作成
このタスクについて
キー・リポジトリーとは、キュー・マネージャーが使用する証明書を格納する場所です。Windows、Linux、および UNIX プラットフォームでは、キー・リポジトリーは鍵データベース・ファイルとして知られています。
キュー・マネージャーのキー・リポジトリーの場所は、 キュー・マネージャーの「キー・リポジトリー」属性で指定されます。 キー・リポジトリーにキュー・マネージャーの証明書を保管する前に、この場所に鍵データベース・ファイルが 存在していることを確認する必要があります。 鍵データベース・ファイルを作成する必要がある場合は、iKeyman GUI を使用します。 詳しくは、オンラインの IBM MQ 製品資料で『保護』 を参照してください。
キュー・マネージャーのキー・リポジトリーの変更
このタスクについて
特定の状況では、例えば 1 つのオペレーティング・システムですべてのキュー・マネージャーによって共有される 1 つの場所を使用するには、キー・リポジトリーを変更することもできます。
キュー・マネージャーのキー・リポジトリーを変更するには、以下のようにします。
手順
証明書取り消しリストによる証明書の認証
このタスクについて
認証機関 (CA) は、信頼できない証明書を証明書取り消しリスト (CRL) で公開することによって、 そのような証明書を取り消すことができます。 証明書がキュー・マネージャーまたは IBM MQ MQI クライアントにより受け取られたとき、 CRL に照らし合わせて検査し、その証明書が取り消されていないことを確認できます。 CRL 検査は、TLS 対応メッセージングの実現に必須ではありませんが、ユーザー証明書の信頼性を保証するために推奨されます。
この方法での CRL のセットアップ方法について詳しくは、IBM MQ オンラインの製品資料で『保護』を参照してください。
LDAP CRL サーバーへの接続をセットアップするには、以下を行います。
手順
- IBM MQ エクスプローラーで、キュー・マネージャーを展開します。
- タイプ「CRL LDAP」の認証情報オブジェクトを作成します。 詳しくは、キュー・マネージャーとオブジェクトの作成および構成を参照してください。
- ステップ 2 を繰り返して、必要な数の CRL LDAP 認証情報オブジェクトを作成します。
- 名前リストを作成し、ステップ 2 と 3 で作成した認証情報オブジェクトの名前をこの新規名前リストに追加します。詳しくは、キュー・マネージャーとオブジェクトの作成および構成を参照してください。
- キュー・マネージャーを右クリックして「プロパティー」を選択します。
- 「SSL」ページの「取り消し名前リスト」フィールドに、 ステップ 4 で作成した名前リストの名前を入力します。
- 「OK」をクリックします。
タスクの結果
これで、キュー・マネージャーが受け取る証明書は、LDAP サーバーで保持されている CRL に対して認証されます。
代替 LDAP サーバーへの接続を最大 10 まで名前リストに追加でき、1 つまたは複数の LDAP サーバーにアクセス不能に なったとき、サービスの継続性を保証できます。
OCSP 認証による証明書の認証
このタスクについて
![[UNIX]](./ngunix.gif)
UNIX および Windows では、IBM MQ TLS サポートにより、OCSP (Online Certificate Status Protocol) または LDAP (Lightweight Directory Access Protocol) サーバー上の CRL と ARL を使用して、取り消された証明書がないか検査されます。OCSP が推奨される方法です。
IBM MQ classes for Java™ および IBM MQ classes for JMS では、クライアント・チャネル定義テーブル・ファイルの OCSP 情報を使用できません。
ただし、IBM MQ オンラインの製品資料の『失効した証明書および OCSP』に記載されている方法で OCSP を構成することができます。
![[IBM i]](./ngibmi.gif)
IBM i および z/OS® では OCSP 検査がサポートされませんが、OCSP 情報を含むクライアント・チャネル定義テーブル (CCDT) を生成することができます。
CCDT および OCSP について詳しくは、IBM MQ オンラインの製品資料で『クライアント・チャネル定義テーブル』を参照してください。
OCSP サーバーへの接続をセットアップするには、以下を行います。
手順
- IBM MQ エクスプローラーで、キュー・マネージャーを展開します。
- タイプ「OCSP」の認証情報オブジェクトを作成します。 詳しくは、キュー・マネージャーとオブジェクトの作成および構成を参照してください。
- ステップ 2 を繰り返して、必要な数の OCSP 認証情報オブジェクトを作成します。
- 名前リストを作成し、ステップ 2 と 3 で作成した OCSP 認証情報オブジェクトの名前をこの新規名前リストに追加します。詳しくは、キュー・マネージャーとオブジェクトの作成および構成を参照してください。
- キュー・マネージャーを右クリックして「プロパティー」を選択します。
- 「SSL」ページの「取り消し名前リスト」フィールドに、 ステップ 4 で作成した名前リストの名前を入力します。
- 「OK」をクリックします。
タスクの結果
キュー・マネージャーが受け取る証明書が、OCSP 応答側に照らして認証されます。
キュー・マネージャーが OCSP 情報を CCDT に書き込みます。
ソケット・ライブラリーで一度に使用できる OCSP 応答側 URL が 1 つのみであるため、名前リストには 1 つの OCSP オブジェクトしか追加できません。
暗号ハードウェアの構成
このタスクについて
IBM MQ は暗号ハードウェアをサポートすることができますが、それに従ってキュー・マネージャーを構成する 必要があります。
暗号ハードウェアに対してキュー・マネージャーを構成するには、以下を行います。
手順
- IBM MQ エクスプローラーを開始します。
- 「ナビゲーター」ビューで、キュー・マネージャーを右クリックして から、「プロパティー」をクリックします。 「プロパティー」ダイアログが開きます。
- 「SSL」ページで、「構成」をクリックします。 「暗号ハードウェア設定」ダイアログが開きます。
- 「暗号ハードウェア設定」ダイアログでは、サポートされているすべての暗号カードに PKCS #11 が使用されていて、Rainbow Cryptoswift カードまたは nCipher nFast カードへの参照は無視されます。PKCS #11 ドライバーへのパス、トークン・ラベル、トークン・パスワード、および対称暗号の設定を入力します。
- 「OK」をクリックします。
タスクの結果
こうして、キュー・マネージャーは暗号ハードウェアを使用するように構成されました。
IKEYMAN を使用して、PKCS #11 ハードウェアに保管されている証明書を処理することもできます。
詳しくは、オンラインの IBM MQ 製品資料で『保護』 を参照してください。
タスク