Configurando o TLS em gerenciadores de filas
Depois de iniciar o IBM® strmqikm (iKeyman) GUI, você pode usá-lo para gerenciar certificados TLS. Também é possível autenticar os certificados usando as Listas de revogação de certificados ou a autenticação OCSP.
Antes de Iniciar
Para obter mais informações sobre como iniciar a GUI do strmqikm , consulte Invoando a GUI do IBM strmqikm (iKeyman).
Sobre esta tarefa
Esta tarefa apresenta os comandos que você usa para trabalhar com TLS em um cliente IBM MQ . Para obter mais informações, consulte Securing IBM MQ e Configurando o IBM MQ segurança do cliente em IBM Documentação.
Procedimento
- [OPÇÃO 1] Criar o repositório de chaves do gerenciador de filas
O repositório de chaves é onde os certificados utilizados pelo gerenciador de filas são armazenados. Nas plataformas AIX®, Linux®e Windows , o repositório de chaves é conhecido como o arquivo de banco de dados chave.
Antes de poder armazenar os certificados do gerenciador de filas no repositório de chaves, você deve se certificar de que exista nesse local um arquivo do banco de dados de chaves.
- Encontre o local do repositório de chaves do gerenciador de filas. Isso é especificado no atributo Repositório de chaves do gerenciador de filas.
- Se você precisar criar o arquivo de banco de dados chave, faça isso usando a GUI do strmqikm . Para obter mais informações, consulte Invoking the IBM strmqikm (iKeyman) GUI.
- Na GUI do strmqikm , certifique-se de que o repositório de chaves gerenciador de filas contém todos os certificados CA (Autoridade de Certificação) que podem ser necessários para validar certificados que são recebidos de outros gerenciadores de filas.
- Encontre o local do repositório de chaves do gerenciador de filas.
- [OPÇÃO 2] Mudar o local do repositório de chaves do gerenciador de filas
Em determinadas circunstâncias, é possível que você queira mudar o local do repositório de chaves, por exemplo, para usar um único local que é compartilhado por todos os gerenciadores de filas em um sistema operacional.
Para alterar o local do repositório de chaves de um gerenciador de filas:
- Altere o local do repositório de chaves nas propriedades do gerenciador de filas:
- Abra o IBM MQ Explorer e expanda a pasta Gerenciadores de Filas .
- Clique com o botão direito do mouse no gerenciador de filas e, em seguida, clique em Propriedades.
- Na página de propriedades SSL, edite o caminho no campo Repositório de Chaves para apontar para o diretório escolhido.
- No diálogo Aviso, clique em Sim.
- Transfira os certificados pessoais do gerenciador de filas para o novo local usando o GUI do strmqikm . Para obter mais informações, consulte Securing IBM MQ em IBM Documentação.
- Altere o local do repositório de chaves nas propriedades do gerenciador de filas:
- [OPÇÃO 3] Autenticar os certificados usando as Listas de revogação de certificado
As CAs (Autoridades de Certificação) podem revogar certificados que não mais são confiáveis, publicando-os em uma CRL (Lista de Revogação de Certificados). Quando um certificado é recebido por um gerenciador de filas ou um cliente cliente IBM MQ , ele pode ser conferido contra o CRL para garantir que ele não tenha sido revogado. A verificação da CRL não é obrigatória para que o sistema de mensagens ativado para TLS seja concluído com êxito, mas é recomendável para assegurar a fidelidade dos certificados de usuário.
Para configurar uma conexão com um servidor CRL LDAP, conclua as etapas a seguir:
- Em IBM MQ Explorer, expanda o gerenciador de filas.
- Criar um objeto de informação de autenticação do tipo CRL LDAP. Para obter mais informações, consulte Criando e configurando gerenciadores de filas e objetos.
- Repita a etapa anterior para criar quantos objetos de informações de autenticação LDAP CRL forem necessários.
- Crie uma lista de nomes e inclua na lista de nomes os nomes dos objetos de informações de autenticação que você criou nas etapas 2 e 3. Para obter mais informações, consulte Criando e configurando gerenciadores de filas e objetos.
- Clique com o botão direito do gerenciador de filas, então clique em Propriedades.
- Na página SSL , no campo Namelista CRL , digite o nome do namelista que você criou na Etapa 4.
- Clique em OK.
Os certificados que o gerenciador de filas recebe agora podem ser autenticados junto à CRL mantida no servidor LDAP.
Você pode incluir na lista de nomes até 10 conexões com servidores LDAP alternativos para assegurar a continuidade de serviço se um ou mais servidores LDAP ficarem inacessíveis.
- [OPÇÃO 4] Autenticar os certificados usando a autenticação OCSP
No AIX, Linux, e Windows, IBM MQ O suporte a cheques TLS para certificados revogados usando o OCSP (Online Certificate Status Protocol) ou usando CRLs e ARLs em servidores LDAP (Lightweight Directory Access Protocol). OCSP é o método preferido. As classesIBM MQ para Java e IBM MQ para JMS não podem usar as informações do OCSP em um arquivo de tabela de definição de canal do cliente. No entanto, você pode configurar o OCSP conforme descrito em Certificados Revisados e OCSP em IBM Documentação.
IBM i e z/OS® não suportam a verificação do OCSP, mas eles permitem a geração de tabelas de definição de canal do cliente (CCDTs) contendo Informações do OCSP.
Para obter mais informações sobre CCDTs e OCSP, consulte Tabela de definição de canal do cliente em IBM Documentação.
Para configurar uma conexão com um servidor OCSP, conclua as etapas a seguir.
- Em IBM MQ Explorer, expanda o gerenciador de filas.
- Criar um objeto de informação de autenticação do tipo OCSP. Para obter mais informações, consulte Criando e configurando gerenciadores de filas e objetos.
- Repita a etapa anterior para criar quantos objetos de informações de autenticação OCSP forem necessários.
- Crie uma lista de nomes e inclua na lista de nomes os nomes dos objetos de informações de autenticação OCSP que você criou nas etapas 2 e 3. Para obter mais informações, consulte Criando e configurando gerenciadores de filas e objetos.
- Clique com o botão direito do gerenciador de filas, então clique em Propriedades.
- Na página SSL , no campo Namelista de Revocação , digite o nome do namelista que você criou na Etapa 4.
- Clique em OK.
Os certificados que o gerenciador de filas recebe são autenticados com relação ao respondente do OCSP.
O gerenciador de filas grava as informações do OCSP na CCDT.
Somente um objeto do OCSP pode ser incluído na lista de nomes porque a biblioteca de soquetes pode usar somente uma URL do respondente do OCSP de cada vez.
- [OPÇÃO 5] Configurar hardware criptográfico
IBM MQ pode suportar hardware criptográfico, e o gerenciador de filas deve ser configurado adequadamente.
- Iniciar IBM MQ Explorer.
- Na visualização do Navigator , clique com o botão direito do mouse no gerenciador de filas, em seguida, clique em Propriedades. O diálogo Propriedades é aberto.
- Na página SSL , clique em Configurar. O diálogo Configurações de hardware criptográfico é aberto.
- No diálogo Configurações de Hardware Criptográfico , digite o caminho para o driver PKCS #11 , e a etiqueta do token, a senha do token e a configuração de cifração simétrica.
Como todos os cartões criptográficos suportados agora usam o PKCS #11, ignore as referências aos cartões Rainbow Cryptoswift ou nCipher nFast.
- Clique em OK.
Agora o gerenciador de filas está configurado para utilizar o hardware criptográfico.
Também é possível trabalhar com certificados armazenados no hardware PKCS #11 usando o iKeyman.
Para obter mais informações, consulte Securing IBM MQ em IBM Documentação.