在队列管理器上配置 TLS
启动 IBM® strmqikm (iKeyman) 后 GUI ,您可以使用它来管理 TLS 证书。 您还可以使用证书撤销列表或 OCSP 认证来对证书进行认证。
开始之前
有关如何启动 strmqikm GUI 的更多信息,请参阅 调用 IBM strmqikm (iKeyman) GUI。
关于本任务
此任务引入了用于在 IBM MQ 客户机上使用 TLS 的命令。 有关更多信息,请参阅 IBM 文档中的 保护 IBM MQ 和 设置 IBM MQ MQI 客户机安全性 。
过程
- [选项 1] 创建队列管理器密钥存储库
密钥存储库是存储队列管理器使用的证书的地方。 在 AIX®, Linux®和 Windows 平台上,密钥存储库称为密钥数据库文件。
您必须确保此位置上存在密钥数据库文件,然后才能在密钥存储库中存储队列管理器证书。
- 查找队列管理器密钥存储库的位置。 这是在队列管理器的密钥存储库属性中指定的。
- 如果需要创建密钥数据库文件,请使用 strmqikm GUI 执行此操作。 有关更多信息,请参阅 调用 IBM strmqikm (iKeyman) GUI。
- 在 strmqikm GUI 中,确保队列管理器密钥存储库包含验证从其他队列管理器接收的证书时可能需要的所有认证中心 (CA) 证书。
- 查找队列管理器密钥存储库的位置。
- [选项 2] 更改队列管理器密钥存储库位置
在某些情况下,您可能想要更改密钥存储库位置,例如,要使用一个操作系统上所有队列管理器共享的一个位置。
要更改队列管理器密钥存储库位置:
- 在队列管理器属性中更改密钥存储库位置:
- 打开 IBM MQ Explorer 并展开 队列管理器 文件夹。
- 右键单击队列管理器,然后单击属性。
- 在 SSL 属性页面上,编辑密钥存储库字段中的路径以指向您选择的目录。
- 在“警告”对话框中,单击是。
- 使用 strmqikm GUI 将队列管理器个人证书传输到新位置。 有关更多信息,请参阅 IBM 文档中的 保护 IBM MQ 。
- 在队列管理器属性中更改密钥存储库位置:
- [选项 3] 使用证书撤销列表来认证证书
认证中心(CA)可通过在证书撤销列表(CRL)中发布不再可信的证书来撤销它们。 当队列管理器或 IBM MQ MQI 客户机接收到证书时,可以根据 CRL 对其进行检查,以确保该证书未被撤销。 CRL 检查对于完成支持 TLS 的消息传递来说不是强制的,但是建议使用它以确保用户证书的可信性。
要建立与 LDAP CRL 服务器的连接,请完成以下步骤:
- 在 IBM MQ Explorer中,展开队列管理器。
- 创建类型为 CRL LDAP的认证信息对象。 有关更多信息,请参阅 创建和配置队列管理器和对象。
- 重复之前的步骤以创建所需数量的 CRL LDAP 认证信息对象。
- 创建名称列表,并将您在步骤 2 和步骤 3 中创建的认证信息对象的名称添加到此名称列表中。 有关更多信息,请参阅 创建和配置队列管理器和对象。
- 右键单击队列管理器,然后单击 属性。
- 在 SSL 页面上的 CRL 名称列表 字段中,输入在步骤 4 中创建的名称列表的名称。
- 单击 确定。
现在可根据 LDAP 服务器上保留的 CRL 来认证队列管理器接收的证书。
您可将最多 10 个备用 LDAP 服务器的连接添加至名称列表,以确保在一个或多个 LDAP 服务器不可用的情况下继续服务。
- [认证 4] 使用 OCSP 认证来认证证书
在 AIX, Linux和 Windows上, IBM MQ TLS 支持使用 OCSP (联机证书状态协议) 或 在 LDAP (轻量级目录访问协议) 服务器上使用 CRL 和 ARL。 OCSP 是首选方法。 IBM MQ classes for Java 和 IBM MQ classes for JMS 无法使用客户机通道定义表文件中的 OCSP 信息。 但是,您可以配置 OCSP ,如 IBM 文档中的 已撤销证书和 OCSP 中所述。
IBM i 和 z/OS® 不支持 OCSP 检查,但它们允许生成包含客户机通道定义表 (CCDT) OCSP 信息。
有关 CCDT 和 OCSP 的更多信息,请参阅 IBM 文档中的 客户机通道定义表 。
要建立与 OCSP 服务器的连接,请完成以下步骤。
- 在 IBM MQ Explorer中,展开队列管理器。
- 创建类型为 OCSP的认证信息对象。 有关更多信息,请参阅 创建和配置队列管理器和对象。
- 重复之前的步骤以创建所需数量的 OCSP 认证信息对象。
- 创建名称列表,并将您在步骤 2 和步骤 3 中创建的 OCSP 认证信息对象的名称添加到此名称列表中。 有关更多信息,请参阅 创建和配置队列管理器和对象。
- 右键单击队列管理器,然后单击 属性。
- 在 " SSL " 页面上的 撤销名称列表 字段中,输入您在步骤 4 中创建的名称列表的名称。
- 单击 确定。
将根据 OCSP 响应程序来认证队列管理器接收的证书。
该队列管理器将 OCSP 信息写入 CCDT。
由于套接字库每次只能使用一个 OCSP 响应程序 URL,所以只能将一个 OCSP 对象添加至该名称列表。
- [选项 5] 配置加密硬件
IBM MQ 可以支持加密硬件,并且必须相应地配置队列管理器。
- 启动 IBM MQ Explorer。
- 在 " Navigator " 视图中,右键单击队列管理器,然后单击 属性。 这样会打开“属性”对话框。
- 在 " SSL " 页面上,单击 配置。 这样会打开“加密硬件设置”对话框。
- 在 " 加密硬件设置 " 对话框中,输入 PKCS #11 驱动程序的路径,令牌标签,令牌密码和对称密码设置。
所有受支持的加密卡现在均使用 PKCS #11,因此将忽略对 Rainbow Cryptoswift 或 nCipher nFast 卡的引用。
- 单击 确定。