TLS auf IBM MQ MQI-Clients konfigurieren

Verwalten Sie die IBM® MQ -Clientzertifikate, konfigurieren Sie die Kanäle für die Verwendung von TLS und authentifizieren Sie Zertifikate mithilfe von Zertifikatswiderrufslisten oder OCSP-Authentifizierung.

Informationen zu dieser Task

Diese Task führt die Befehle ein, die Sie zum Arbeiten mit TLS auf einem IBM MQ -Client verwenden. Weitere Informationen finden Sie unter IBM MQ und Einrichten von IBM MQ MQI-Clientsicherheit in der Dokumentation zuIBM.

Verfahren

  • [OPTION 1] Verwalten der IBM MQ -Clientzertifikate

    Verwenden Sie die IBM -GUI strmqikm , um Ihre TLS-Zertifikate zu verwalten. Weitere Informationen finden Sie unter IBM strmqikm-GUI (iKeyman) aufrufen.

    1. Suchen Sie die Position des Clientschlüsselrepositorys.
      Geben Sie folgenden Befehl ein, um die Umgebungsvariable MQSSLKEYR zu prüfen:
      echo %MQSSLKEYR%
    2. Stellen Sie in der grafischen Benutzerschnittstelle strmqikm sicher, dass das Clientschlüsselrepository alle Zertifikate der Zertifizierungsstelle (CA) enthält, die möglicherweise erforderlich sind, um Zertifikate zu validieren, die von anderen Warteschlangenmanagern empfangen werden.
    3. Überprüfen Sie Ihre Anwendung, da das Schlüsselrepository in einem MQCONNX-Aufruf festgelegt werden kann.
      Wenn beide Werte gesetzt wurden, wird der Wert der Umgebungsvariable MQSSLKEYR durch den Wert überschrieben, der im MQCONNX-Aufruf festgelegt ist.
  • [OPTION 2] Konfigurieren der Kanäle für TLS

    Richten Sie die TLS-Kanäle wie in TLS-Kanäle konfigurierenbeschrieben ein.

  • [OPTION 3] Authentifizieren von Zertifikaten mithilfe von Zertifikatswiderrufslisten

    Zertifizierungsstellen (Certification Authorities, CAs) können Zertifikate sperren, die nicht mehr allgemein zugänglich sein sollen und diese in einer Zertifikatswiderrufsliste (Certification Revocation List, CRL) auflisten. Wenn ein Zertifikat von einem Warteschlangenmanager oder einem IBM MQ MQI-Client empfangen wird, kann es anhand der CRL überprüft werden, um sicherzustellen, dass es nicht widerrufen wurde. Die CRL-Überprüfung ist für eine TLS-gesicherte Nachrichtenübertragung nicht unbedingt erforderlich, wird jedoch empfohlen, da so die Integrität von Benutzerzertifikaten gewährleistet wird.

    Sie können einen IBM MQ MQI-Client einrichten, um Zertifikate anhand von Zertifikatswiderrufslisten auf LDAP-Servern zu überprüfen.

    1. Erweitern Sie auf dem IBM MQ -Server in IBM MQ Explorerden Warteschlangenmanager.
    2. Erstellen Sie ein neues Authentifizierungsdatenobjekt des Typs CRL LDAP. Weitere Informationen finden Sie im Artikel Warteschlangenmanager und Objekte erstellen und konfigurieren.
    3. Wiederholen Sie den vorherigen Schritt, um beliebig viele Authentifizierungsdatenobjekte zu erstellen.
    4. Erstellen Sie eine Namensliste und fügen Sie dieser die Namen der Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben.
    5. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und anschließend auf Eigenschaften.
    6. Geben Sie auf der SSL -Seite im Feld CRL-Namensliste den Namen der Namensliste ein, die Sie in Schritt 4 erstellt haben.
    7. Klicken Sie auf OK.

      Die gesamten LDAP-CRL-Informationen werden jetzt in die Definitionstabelle für Clientkanäle geschrieben.

    8. Machen Sie die Definitionstabelle für den Clientkanal für den Client verfügbar oder schreiben Sie bei Verwendung von Windows Active Directorydie Informationen aus der Definitionstabelle für den Clientkanal in das Active Directory.
      Weitere Informationen finden Sie im Abschnitt zum Befehl setmqscp in der Dokumentation zuIBM.

    Der Namensliste können bis zu zehn Verbindungen zu anderen LDAP-Servern hinzugefügt werden; auf diese Weise ist auch bei einer Nichtverfügbarkeit eines oder mehrerer LDAP-Server ein ordnungsgemäßer Betrieb gewährleistet. Weitere Informationen finden Sie unter Securing IBM MQ in der Dokumentation zu IBM.

    Siehe auch Übersicht über IBM MQ MQI-Clients in der Dokumentation zuIBM.

  • [OPTION 4] Authentifizieren von Zertifikaten mithilfe der OCSP-Authentifizierung

    Sie können einen IBM MQ MQI-Client einrichten, um Zertifikate anhand eines OCSP-Responders zu überprüfen. Einige Clientumgebungen unterstützen die OCSP-Widerrufsüberprüfung nicht, alle Serverplattformen unterstützen jedoch die Funktionalität zur Definition der OCSP-Konfiguration, die in die Definitionstabellendatei für Clientkanäle geschrieben wird.

    1. Erweitern Sie auf dem IBM MQ -Server in IBM MQ Explorerden Warteschlangenmanager.
    2. Erstellen Sie ein neues Authentifizierungsdatenobjekt des Typs OCSP.
    3. Wiederholen Sie den vorherigen Schritt, um beliebig viele OCSP-Authentifizierungsdatenobjekte zu erstellen.
    4. Erstellen Sie eine neue Namensliste und fügen Sie dieser die Namen der OCSP-Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben.
    5. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und anschließend auf Eigenschaften.
    6. Geben Sie auf der Seite SSL im Feld Widerrufnamensliste den Namen der Namensliste ein, die Sie in Schritt 4 erstellt haben.
    7. Klicken Sie auf OK.
    8. Machen Sie die Definitionstabelle für Clientkanäle für den Client verfügbar.

    Es kann nur ein OCSP-Objekt zur Namensliste hinzugefügt werden, da die Sockets-Bibliothek immer nur eine OCSP-Responder-URL verwenden kann. Weitere Informationen finden Sie unter Securing IBM MQ in der Dokumentation zu IBM.

    Siehe auch Übersicht über IBM MQ MQI-Clients in der Dokumentation zuIBM.