在佇列管理程式上配置 TLS

在啟動 IBM® strmqikm (iKeyman) 之後 GUI ,您可以使用它來管理 TLS 憑證。 您也可以使用「憑證撤銷清冊」或 OCSP 鑑別來鑑別憑證。

開始之前

如需如何啟動 strmqikm GUI 的相關資訊,請參閱 呼叫 IBM strmqikm (iKeyman) GUI

關於此作業

此作業引進您用來在 IBM MQ 用戶端上使用 TLS 的指令。 如需相關資訊,請參閱 IBM 文件中的 保護 IBM MQ 安全設定 IBM MQ MQI 用戶端安全

程序

  • [選項 1] 建立佇列管理程式金鑰儲存庫

    金鑰儲存庫是佇列管理程式所用的憑證的儲存所在。 在 AIX®、 Linux®及 Windows 平台上,金鑰儲存庫稱為金鑰資料庫檔。

    將佇列管理程式憑證儲存在金鑰儲存庫之前,您必須先確定金鑰資料庫檔存在於此位置。

    1. 尋找佇列管理程式金鑰儲存庫的位置。
      這會在佇列管理程式的金鑰儲存庫屬性中指定。
    2. 如果您需要建立金鑰資料庫檔,請使用 strmqkm GUI 來執行此動作。
      如需相關資訊,請參閱 呼叫 IBM strmqikm (iKeyman) GUI
    3. strmqkm GUI 中,確保佇列管理程式金鑰儲存庫包含所有憑證管理中心 (CA) 憑證,這些憑證可能需要驗證從其他佇列管理程式收到的憑證。
  • [選項 2] 變更佇列管理程式金鑰儲存庫位置

    在某些情況下,您可能想要變更金鑰儲存庫位置;例如,使用一個作業系統上所有佇列管理程式共用的單一位置。

    若要變更佇列管理程式金鑰儲存庫位置,請執行下列動作:

    1. 變更佇列管理程式內容中的金鑰儲存庫位置:
      1. 開啟「 IBM MQ 探險家 」,並展開 佇列管理程式 資料夾。
      2. 在佇列管理程式上按一下滑鼠右鍵,然後按一下內容
      3. SSL 內容頁上,可編輯金鑰儲存庫欄位中的路徑,讓它指向您選擇的目錄。
      4. 警告對話框中,按一下
    2. 使用 strmqkm GUI 將佇列管理程式個人憑證傳送至新位置。
      如需相關資訊,請參閱 IBM 說明文件中的 保護 IBM MQ
  • [OPTION 3] 使用「憑證撤銷清冊」來鑑別憑證

    憑證管理中心 (CA) 可以在憑證撤銷清冊 (CRL) 中公佈不再信任的憑證,來撤銷那些憑證。 當佇列管理程式或 IBM MQ MQI 用戶端收到憑證時,會根據 CRL 來檢查該憑證,以確定該憑證未被撤銷。 要達到啟用 TLS 的傳訊,不一定要強制進行 CRL 檢查,但建議您這麼做,以確保使用者憑證的可信度。

    若要設定與 LDAP CRL 伺服器的連線,請完成下列步驟:

    1. 在「 IBM MQ 探險家」中,展開佇列管理程式。
    2. 建立 CRL LDAP類型的鑑別資訊物件。 如需相關資訊,請參閱 建立及配置佇列管理程式和物件
    3. 重複前一個步驟,以根據您需要的數量來建立 CRL LDAP 鑑別資訊物件。
    4. 建立名稱清單,並新增至名稱清單中您在步驟 2 和 3 中建立的鑑別資訊物件的名稱。
      如需相關資訊,請參閱 建立及配置佇列管理程式和物件
    5. 用滑鼠右鍵按一下佇列管理程式,然後按一下 內容
    6. 在「 SSL 」頁面的 CRL 名單 欄位中,輸入您在步驟 4 中建立的名單名稱。
    7. 按一下 確定

    現在,可以根據 LDAP 伺服器所保留的 CRL 來鑑別佇列管理程式接收的憑證。

    您可以將替代 LDAP 伺服器的最多 10 條連線新增至名稱清單中,以確保萬一有一或多個 LDAP 伺服器無法存取時,服務還是可以繼續。

  • [OPTION 4] 使用 OCSP 鑑別來鑑別憑證

    [AIX、Linux、Windows]AIX、 Linux及 Windows上, IBM MQ TLS 支援會使用 OCSP (線上憑證狀態通訊協定) 或 在 LDAP (輕量型目錄存取通訊協定) 伺服器上使用 CRL 及 ARL。 OCSP 是較好的方法。 IBM MQ classes for JavaIBM MQ classes for JMS 無法使用用戶端通道定義表檔案中的 OCSP 資訊。 不過,您可以依照 IBM Documentation已撤銷憑證和 OCSP 的說明來配置 OCSP。

    [z/OS][IBM i]IBM iz/OS® 不支援 OCSP 檢查,但允許產生包含下列內容的用戶端通道定義表 (CCDT): OCSP 資訊。

    如需 CCDT 及 OCSP 的相關資訊,請參閱 IBM 文件中的 用戶端通道定義表

    若要設定與 OCSP 伺服器的連線,請完成下列步驟。

    1. 在「 IBM MQ 探險家」中,展開佇列管理程式。
    2. 建立 OCSP類型的鑑別資訊物件。
      如需相關資訊,請參閱 建立及配置佇列管理程式和物件
    3. 重複前一個步驟,以根據您需要的數量來建立 OCSP 鑑別資訊物件。
    4. 建立名稱清單並在其中新增您在步驟 2 和 3 中建立的 OCSP 鑑別資訊物件的名稱。
      如需相關資訊,請參閱 建立及配置佇列管理程式和物件
    5. 用滑鼠右鍵按一下佇列管理程式,然後按一下 內容
    6. 在「 SSL 」頁面上的 撤銷名單 欄位中,鍵入您在步驟 4 中建立的名單名稱。
    7. 按一下 確定

    根據 OCSP 回應端,鑑別佇列管理程式所收到的憑證。

    佇列管理程式會將 OCSP 資訊寫入 CCDT。

    只有一個 OCSP 物件可以新增至名稱清單,因為 Socket 程式庫一次只能使用一個 OCSP 回應端 URL。

  • [選項 5] 配置加密硬體

    IBM MQ 可以支援加密硬體,且必須相應地配置佇列管理程式。

    1. 啟動 IBM MQ 探險家
    2. 在「 Navigator 」視圖中,用滑鼠右鍵按一下佇列管理程式,然後按一下 內容
      即會開啟內容對話框。
    3. SSL 頁面上,按一下 配置
      即會開啟加密硬體設定對話框。
    4. 在「 加密硬體設定 」對話框中,輸入 PKCS #11 驅動程式的路徑,以及記號標籤、記號密碼和對稱密碼設定。

      所有支援的加密卡現在都使用 PKCS #11,因此請忽略對 Rainbow Cryptoswift 或 nCipher nFast 卡的參照。

    5. 按一下 確定

    現在佇列管理程式已配置為使用加密硬體。

    您也可以使用 iKeyman,來使用儲存在 PKCS #11 硬體上的憑證。

    如需相關資訊,請參閱 IBM 說明文件中的 保護 IBM MQ