Configuration de TLS sur les clients IBM MQ MQI
Gérez les certificats client IBM® MQ , configurez les canaux pour utiliser TLS et authentifiez les certificats à l'aide des listes de révocation de certificat ou de l'authentification OCSP.
A propos de cette tâche
Cette tâche présente les commandes que vous utilisez pour utiliser TLS sur un client IBM MQ . Pour plus d'informations, voir Sécurisation d' IBM MQ et Configuration de IBM MQ Sécurité du client MQI dans la documentationIBM.
Procédure
- [ OPTION 1 ] Gérer les certificats client IBM MQ
Utilisez l'interface graphique d' IBM strmqikm pour gérer vos certificats TLS. Pour plus d'informations, voir Appel de l'interface graphique d' IBM strmqikm (iKeyman).
- Recherchez l'emplacement du référentiel de clés du client.Entrez la commande suivante pour examiner la variable d'environnement MQSSLKEYR :
echo %MQSSLKEYR%
- Dans l'interface graphique de strmqikm , vérifiez que le référentiel de clés du client contient tous les certificats de l'autorité de certification qui peuvent être requis pour valider les certificats reçus d'autres gestionnaires de files d'attente.
- Vérifiez votre application car il se peut que le référentiel de clés soit défini sur un appel MQCONNX. Si les deux valeurs sont définies, la valeur définie sur l'appel MQCONNX remplace celle de MQSSLKEYR.
- Recherchez l'emplacement du référentiel de clés du client.
- [OPTION 2] Configurer les canaux pour l'utilisation de TLS
Configurez les canaux TLS comme décrit dans Configuration des canaux TLS.
- [OPTION 3] Authentifier les certificats à l'aide de listes de révocation de certificat
Les autorités de certification peuvent révoquer des certificats qui ne sont plus fiables en les mentionnant dans une liste de révocation de certificat. Lorsqu'un certificat est reçu par un gestionnaire de files d'attente ou un client IBM MQ MQI, il peut être comparé à la liste de révocation de certificat pour s'assurer qu'il n'a pas été révoqué. Cette vérification n'est pas obligatoire, mais il est recommandé de s'assurer de la validité des certificats utilisateur.
Vous pouvez configurer un client IBM MQ MQI pour vérifier les certificats par rapport aux CRL sur les serveurs LDAP.
- Sur le serveur IBM MQ , dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
- Créez un objet d'informations d'authentification de type CRL LDAP. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
- Effectuez à nouveau l'étape précédente pour créer le nombre d'objets d'information d'authentification dont vous avez besoin.
- Créez une liste de noms et ajoutez à cette liste les noms des objets d'information d'authentification que vous avez créés au cours des étapes 2 et 3. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
- Cliquez avec le bouton droit de la souris sur le gestionnaire de files d'attente, puis cliquez sur Propriétés.
- Sur la page SSL , dans la zone Liste de noms CRL , entrez le nom de la liste de noms que vous avez créée à l'étape 4.
- Cliquez sur OK.
Toutes les informations CRL LDAP sont maintenant enregistrées dans une table de définition de canaux client.
- Mettez la table de définition de canal du client à la disposition du client ou, si vous utilisez Windows Active Directory, écrivez les informations de la table de définition de canal du client dans Active Directory. Voir la commande setmqscp dans la documentationIBM.
Vous pouvez ajouter à la liste de noms jusqu'à 10 connexions vers des serveurs LDAP de secours afin de garantir une continuité de service si un ou plusieurs de ces serveurs sont inaccessibles. Pour plus d'informations, voir Sécurisation d' IBM MQ dans la documentationIBM.
Voir aussi Présentation des clients IBM MQ MQI dans la documentationIBM.
- [OPTION 4] Authentifier les certificats à l'aide de l'authentification OCSP
Vous pouvez configurer un client IBM MQ MQI pour vérifier les certificats par rapport à un répondeur OCSP. Certains environnements client ne prennent pas en charge le contrôle de révocation OCSP, mais toutes les plateformes de serveur prennent en charge la capacité de définir la configuration OCSP qui sera écrite dans le fichier de la table de définitions de canaux de client.
- Sur le serveur IBM MQ , dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
- Créez un objet d'informations d'authentification de type OCSP. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
- Effectuez à nouveau l'étape précédente pour créer le nombre d'objets d'information d'authentification OCSP dont vous avez besoin.
- Créez une liste de noms et ajoutez-y les noms des objets d'information d'authentification OCSP créés au cours des étapes 2 et 3. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
- Cliquez avec le bouton droit de la souris sur le gestionnaire de files d'attente, puis cliquez sur Propriétés.
- Sur la page SSL , dans la zone Liste de noms de révocation , entrez le nom de la liste de noms que vous avez créée à l'étape 4.
- Cliquez sur OK.
- Mettez la table de définition de canal du client à la disposition du client.
UN seul objet OCSP peut être ajouté à la liste de noms car la bibliothèque de sockets ne peut utiliser qu'une seule adresse URL de canal répondeur OCSP à la fois. Pour plus d'informations, voir Sécurisation d' IBM MQ dans la documentationIBM.
Voir aussi Présentation des clients IBM MQ MQI dans la documentationIBM.