Zarządzaj certyfikatami klienta IBM® MQ , skonfiguruj kanały w taki sposób, aby używały protokołu TLS i uwierzytelniaj certyfikaty przy użyciu list odwołań certyfikatów lub uwierzytelniania OCSP.
Informacje o zadaniu
To zadanie wprowadza komendy używane do pracy z protokołem TLS w kliencie IBM MQ . For more information, see Zabezpieczanie IBM MQ and Konfigurowanie zabezpieczeń klienta MQI produktu IBM MQ in Dokumentacja produktu IBM.
Procedura
- [ OPCJA 1] Zarządzanie certyfikatami klienta IBM MQ
- Znajdź lokalizację repozytorium kluczy klienta.
Wpisz następującą komendę, aby sprawdzić zmienną środowiskową MQSSLKEYR:
echo %MQSSLKEYR%
- W interfejsie GUI strmqikm należy upewnić się, że repozytorium kluczy klienta zawiera wszystkie certyfikaty ośrodka certyfikacji (CA), które mogą być wymagane do sprawdzania poprawności certyfikatów odbieranych od innych menedżerów kolejek.
- Sprawdź używaną
aplikację, ponieważ repozytorium kluczy może zostać ustawione na wywołanie MQCONNX.
Jeśli obie wartości są ustawione, wartość wywołania MQCONNX nadpisuje wartość MQSSLKEYR.
- [OPCJA 2] Skonfiguruj kanały w celu użycia szyfrowania TLS
- [OPCJA 3] Uwierzytelniaj certyfikaty za pomocą list CRL (Certificate Revocation
Lists)
Ośrodki certyfikacji (CA) mogą unieważnić certyfikaty, które nie są już certyfikatami zaufanymi, publikując je na liście CRL (Certification Revocation List). Jeśli certyfikat jest odbierany przez menedżera kolejek lub klienta MQI produktu IBM MQ , może on zostać sprawdzony względem listy CRL, aby upewnić się, że nie został on unieważniony. Sprawdzanie listy CRL nie jest obowiązkowe w celu aktywowania przesyłania komunikatów z włączonym TLS, ale jest zalecane w celu zagwarantowania wiarygodności certyfikatów użytkownika.
Klient MQI produktu IBM MQ można skonfigurować w taki sposób, aby sprawdzał certyfikaty dla list CRL na serwerach LDAP.
- Na serwerze IBM MQ , w programie IBM MQ Explorer, rozwiń menedżer kolejek.
- Utwórz nowy obiekt informacji uwierzytelniającej typu CRL LDAP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej.
- Utwórz listę nazw i dodaj do niej nazwy obiektów informacji
uwierzytelniającej utworzonych w punktach 2 i 3.
- Kliknij prawym przyciskiem myszy menedżer kolejek, a następnie kliknij opcję Właściwości.
- Na stronie SSL , w polu Lista nazw CRL , wpisz nazwę listy nazw utworzonej w kroku 4.
- Kliknij przycisk OK.
Wszystkie informacje typu CRL LDAP są teraz zapisywane w tabeli definicji kanału klienta.
- Utwórz tabelę definicji kanału klienta dla klienta lub, jeśli używasz systemu Windows Active Directory, zapisz informacje z tabeli definicji kanału klienta w Active Directory.
Więcej informacji na ten temat zawiera opis komendy
setmqscp w dokumentacji
IBM Documentation.
Do listy nazw można dodać maksymalnie 10 połączeń z alternatywnymi serwerami LDAP, aby zagwarantować ciągłość usługi w przypadku, gdy jeden lub więcej serwerów LDAP jest niedostępnych. Więcej informacji na ten temat zawiera sekcja Zabezpieczanie IBM MQ w podręczniku Dokumentacja produktu IBM.
Patrz także Przegląd klientów MQI produktu IBM MQ w dokumentacji dokumentacjiIBM.
- [OPCJA 4] Uwierzytelniaj certyfikaty za pomocą uwierzytelniania OCSP
Klient MQI produktu IBM MQ można skonfigurować w taki sposób, aby sprawdzał certyfikaty na podstawie modułu odpowiadającego OCSP. Niektóre środowiska
klienckie nie obsługują sprawdzania odwołań OCSP, jednak wszystkie platformy
serwerów obsługują definiowanie konfiguracji OCSP zapisywanej w pliku tabeli
definicji kanału klienta.
- Na serwerze IBM MQ , w programie IBM MQ Explorer, rozwiń menedżer kolejek.
- Utwórz nowy obiekt informacji uwierzytelniającej typu OCSP.
- Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej OCSP.
- Utwórz nową listę nazw i dodaj do niej nazwy obiektów informacji
uwierzytelniającej OCSP utworzonych w punktach 2 i 3.
- Kliknij prawym przyciskiem myszy menedżer kolejek, a następnie kliknij opcję Właściwości.
- Na stronie SSL , w polu Lista nazw odwołań , wpisz nazwę listy nazw utworzonej w kroku 4.
- Kliknij przycisk OK.
- Dokonaj dostępu do tabeli definicji kanału klienta dla klienta.
Do
listy nazw można dodać tylko jeden obiekt OCSP, ponieważ biblioteka gniazd może używać jednocześnie tylko jednego adresu URL modułu odpowiadającego OCSP. Więcej informacji na ten temat zawiera sekcja Zabezpieczanie IBM MQ w podręczniku Dokumentacja produktu IBM.
Patrz także Przegląd klientów MQI produktu IBM MQ w dokumentacji dokumentacjiIBM.