IBM MQ MQI クライアントでの TLS の構成

IBM® MQ クライアント証明書を管理し、TLS を使用するようにチャネルを構成し、証明書失効リストまたは OCSP 認証のいずれかを使用して証明書を認証します。

本タスクについて

このタスクでは、 IBM MQ クライアントで TLS を処理するために使用するコマンドを紹介します。 詳しくは、 IBM 資料IBM MQ の保護 および IBM MQ MQI クライアント・セキュリティーのセットアップ を参照してください。

手順

  • [オプション 1] IBM MQ クライアント証明書の管理

    IBM strmqikm GUI を使用して、TLS 証明書を管理します。 詳しくは、 IBM strmqikm (iKeyman) GUI の呼び出しを参照してください。

    1. クライアントのキー・リポジトリーの場所を見つけます。
      次のコマンドを入力して、MQSSLKEYR 環境変数を調べます。
      echo %MQSSLKEYR%
    2. strmqikm GUI で、他のキュー・マネージャーから受け取った証明書を検証するために必要となる可能性があるすべての認証局 (CA) 証明書がクライアント鍵リポジトリーに含まれていることを確認します。
    3. キー・リポジトリーは MQCONNX 呼び出しに設定することができるため、ご使用のアプリケーションを検査します。
      両方の値が設定されている場合、MQCONNX 呼び出しに設定されている値は MQSSLKEYR の値を指定変更します。
  • [オプション 2] TLS を使用するためのチャネルの構成

    TLS チャネルの構成の説明に従って、TLS チャネルをセットアップします。

  • [オプション 3] 証明書取り消しリストによる証明書の認証

    認証機関 (CA) は、信頼できない証明書を証明書取り消しリスト (CRL) で公開することによって、 そのような証明書を取り消すことができます。 証明書がキュー・マネージャーまたは IBM MQ MQI クライアントによって受信されると、CRL に照らして検査し、取り消されていないことを確認することができます。 CRL 検査は、TLS 対応メッセージングの実現に必須ではありませんが、ユーザー証明書の信頼性を保証するために推奨されます。

    IBM MQ MQI クライアントをセットアップして、LDAP サーバー上の CRL に照らして証明書を検査することができます。

    1. IBM MQ サーバーの場合は、 IBM MQ エクスプローラーでキュー・マネージャーを展開します。
    2. CRL LDAPタイプの新規認証情報オブジェクトを作成します。 詳しくは、 キュー・マネージャーおよびオブジェクトの作成と構成を参照してください。
    3. 前のステップを繰り返して、必要な数の認証情報オブジェクトを作成します。
    4. 名前リストを作成し、ステップ 2 と 3 で作成した認証情報オブジェクトの名前をこの名前リストに追加します。
    5. キュー・マネージャーを右クリックして、 「プロパティー」をクリックします。
    6. 「SSL」 ページの 「CRL 名前リスト」 フィールドに、ステップ 4 で作成した名前リストの名前を入力します。
    7. 「OK」をクリックします。

      すべての LDAP CRL 情報がクライアント・チャネル定義テーブルに書き込まれます。

    8. クライアント・チャネル定義テーブルをクライアントで使用できるようにするか、Windows Active Directoryを使用している場合は、クライアント・チャネル定義テーブルの情報を Active Directoryに書き込みます。
      IBM 資料」の setmqscp コマンドを参照してください。

    代替 LDAP サーバーへの接続を最大 10 まで名前リストに追加でき、1 つまたは複数の LDAP サーバーにアクセス不能に なったとき、サービスの継続性を保証できます。 詳しくは、「 IBM Documentation」の「 Securing IBM MQ 」を参照してください。

    IBM 資料」の「 IBM MQ MQI クライアントの概要 」も参照してください。

  • [オプション 4] OCSP 認証による証明書の認証

    IBM MQ MQI クライアントをセットアップして、OCSP レスポンダーに対して証明書を検査することができます。 一部のクライアント環境では、OCSP 取り消し検査がサポートされていませんが、すべてのサーバー・プラットフォームで、クライアント・チャネル定義テーブル・ファイルに書き込まれる OCSP 構成を定義することができます。

    1. IBM MQ サーバーの場合は、 IBM MQ エクスプローラーでキュー・マネージャーを展開します。
    2. OCSPタイプの新規認証情報オブジェクトを作成します。
    3. 前のステップを繰り返して、必要な数の OCSP 認証情報オブジェクトを作成します。
    4. 新規の名前リストを作成し、ステップ 2 と 3 で作成した OCSP 認証情報オブジェクトの名前をこの名前リストに追加します。
    5. キュー・マネージャーを右クリックして、 「プロパティー」をクリックします。
    6. 「SSL」 ページの 「失効名前リスト」 フィールドに、ステップ 4 で作成した名前リストの名前を入力します。
    7. 「OK」をクリックします。
    8. クライアント・チャネル定義テーブルをクライアントが使用できるようにします。

    ソケット・ライブラリーで一度に使用できる OCSP 応答側 URL が 1 つのみであるため、名前リストには 1 つの OCSP オブジェクトしか追加できません。 詳しくは、「 IBM Documentation」の「 Securing IBM MQ 」を参照してください。

    IBM 資料」の「 IBM MQ MQI クライアントの概要 」も参照してください。