Konfigurowanie protokołu TLS w menedżerach kolejek
Po uruchomieniu programu IBM® strmqikm (iKeyman) Interfejs GUI może używać go do zarządzania certyfikatami TLS. Do uwierzytelniania certyfikatów można również użyć list CRL (Certificate Revocation Lists) lub uwierzytelniania OCSP.
Zanim zaczniesz
Więcej informacji na temat uruchamiania interfejsu GUI strmqikm można znaleźć w sekcji Wywoływanie interfejsu GUI IBM strmqikm (iKeyman).
Informacje o zadaniu
To zadanie wprowadza komendy używane do pracy z protokołem TLS w kliencie IBM MQ . For more information, see Zabezpieczanie IBM MQ and Konfigurowanie zabezpieczeń klienta MQI produktu IBM MQ in Dokumentacja produktu IBM.
Procedura
- [OPCJA 1] Utwórz repozytorium kluczy menedżera kolejek
Repozytorium kluczy to miejsce, w którym przechowywane są certyfikaty użyte przez menedżer kolejek. Na platformach AIX®, Linux®i Windows kluczowe repozytorium jest znane jako plik bazy danych kluczy.
Przed umieszczeniem certyfikatów menedżera kolejek w repozytorium kluczy należy sprawdzić, czy plik bazy danych kluczy istnieje w danym miejscu.
- Znajdź miejsce repozytorium kluczy menedżera kolejek. Miejsce jest określone w atrybucie menedżera kolejek Repozytorium kluczy.
- Jeśli konieczne jest utworzenie pliku bazy danych kluczy, należy to zrobić, korzystając z interfejsu GUI strmqikm . Więcej informacji na ten temat zawiera sekcja Wywoływanie interfejsu GUI IBM strmqikm (iKeyman).
- W interfejsie GUI strmqikm upewnij się, że repozytorium kluczy menedżera kolejek zawiera wszystkie certyfikaty ośrodka certyfikacji (CA), które mogą być wymagane do sprawdzania poprawności certyfikatów odbieranych od innych menedżerów kolejek.
- Znajdź miejsce repozytorium kluczy menedżera kolejek.
- [OPCJA 2] Zmień miejsce repozytorium kluczy menedżera kolejek
W niektórych przypadkach może wystąpić potrzeba zmiany miejsca repozytorium kluczy; na przykład aby użyć jednego miejsca współużytkowanego przez wszystkie menedżery kolejek w jednym systemie operacyjnym.
Aby zmienić położenie repozytorium kluczy menedżera kolejek:
- Zmień położenie repozytorium kluczy we właściwościach menedżera kolejek:
- Otwórz program IBM MQ Explorer i rozwiń folder Menedżery kolejek .
- Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
- Na stronie właściwości SSL zmodyfikuj ścieżkę w polu Repozytorium kluczy, aby wskazać wybrany katalog.
- W oknie dialogowym ostrzeżenia kliknij przycisk Tak.
- Prześlij certyfikaty osobiste menedżera kolejek do nowego miejsca za pomocą interfejsu GUI strmqikm . Więcej informacji na ten temat zawiera sekcja Securing IBM MQ w dokumentacji IBM Documentation.
- Zmień położenie repozytorium kluczy we właściwościach menedżera kolejek:
- [OPCJA 3] Uwierzytelniaj certyfikaty za pomocą list CRL (Certificate Revocation
Lists)
Ośrodki certyfikacji (CA) mogą unieważnić certyfikaty, które nie są już certyfikatami zaufanymi, publikując je na liście CRL (Certification Revocation List). Jeśli certyfikat jest odbierany przez menedżera kolejek lub klienta MQI produktu IBM MQ , może on zostać sprawdzony względem listy CRL, aby upewnić się, że nie został on unieważniony. Sprawdzanie listy CRL nie jest obowiązkowe w celu aktywowania przesyłania komunikatów z włączonym TLS, ale jest zalecane w celu zagwarantowania wiarygodności certyfikatów użytkownika.
Aby skonfigurować połączenie z serwerem CRL LDAP, wykonaj poniższe kroki:
- W programie IBM MQ Eksploratorrozwiń menedżer kolejek.
- Utwórz obiekt informacji uwierzytelniającej typu CRL LDAP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej CRL LDAP.
- Utwórz listę nazw i dodaj do niej nazwy obiektów informacji
uwierzytelniającej utworzonych w punktach 2 i 3. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Kliknij prawym przyciskiem myszy menedżer kolejek, a następnie kliknij opcję Właściwości.
- Na stronie SSL , w polu Lista nazw CRL , wpisz nazwę listy nazw utworzonej w kroku 4.
- Kliknij przycisk OK.
Certyfikaty otrzymywane przez menedżer kolejek mogą teraz zostać uwierzytelnione za pomocą listy CRL znajdującej się na serwerze LDAP.
Do listy nazw można dodać maksymalnie 10 połączeń z alternatywnymi serwerami LDAP, aby zagwarantować ciągłość usługi w przypadku, gdy jeden lub więcej serwerów LDAP jest niedostępnych.
- [OPCJA 4] Uwierzytelniaj certyfikaty za pomocą uwierzytelniania OCSP
W systemach AIX, Linux, and Windows, IBM MQ TLS obsługuje sprawdzanie unieważnionych certyfikatów przy użyciu protokołu OCSP (Online Certificate Status Protocol) lub za pomocą list CRL i ARL na serwerach LDAP (Lightweight Directory Access Protocol). Preferowaną metodą jest użycie protokołu OCSP. Klasy IBM MQ classes for Java i klasy IBM MQ classes for JMS nie mogą używać informacji OCSP w pliku tabeli definicji kanału klienta. Można jednak skonfigurować protokół OCSP w sposób opisany w sekcji Unieważnione certyfikaty i OCSP w produkcie Dokumentacja produktu IBM.
Produkty
IBM i i z/OS® nie obsługują sprawdzania protokołu OCSP, ale umożliwiają generowanie tabel definicji kanału klienta (CCDTs). Informacje OCSP.
Więcej informacji na temat CCDTs i OCSP zawiera sekcja Tabela definicji kanału klienta w dokumentacji IBM Documentation.
Aby skonfigurować połączenie z serwerem OCSP, wykonaj poniższe kroki.
- W programie IBM MQ Eksploratorrozwiń menedżer kolejek.
- Utwórz obiekt informacji uwierzytelniającej typu OCSP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej OCSP.
- Utwórz listę nazw i dodaj do niej nazwy obiektów informacji
uwierzytelniającej OCSP utworzonych w punktach 2 i 3. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Kliknij prawym przyciskiem myszy menedżer kolejek, a następnie kliknij opcję Właściwości.
- Na stronie SSL , w polu Lista nazw odwołań , wpisz nazwę listy nazw utworzonej w kroku 4.
- Kliknij przycisk OK.
Certyfikaty odbierane przez menedżer kolejek są uwierzytelniane za pomocą programu odpowiadającego OCSP.
Menedżer kolejek zapisuje informacje OCSP w tabeli CCDT.
Do listy nazw można dodać tylko jeden obiekt OCSP, ponieważ biblioteka gniazd może używać jednocześnie tylko jednego adresu URL modułu odpowiadającego OCSP.
- [OPCJA 5] Skonfiguruj sprzęt szyfrujący
Produkt IBM MQ może obsługiwać sprzęt szyfrujący, a menedżer kolejek musi być odpowiednio skonfigurowany.
- Uruchom produkt IBM MQ Eksplorator.
- W widoku Navigator kliknij prawym przyciskiem myszy menedżer kolejek, a następnie kliknij opcję Właściwości. Zostanie otwarte okno dialogowe Właściwości.
- Na stronie SSL kliknij opcję Konfiguruj. Zostanie otwarte okno dialogowe Ustawienia sprzętu szyfrującego.
- W oknie dialogowym Cryptographic Hardware Settings (Ustawienia sprzętu szyfrującego) wprowadź ścieżkę do sterownika PKCS #11 oraz etykietę tokenu, hasło tokenu oraz symetryczne ustawienie szyfru.
Wszystkie obsługiwane obecnie karty szyfrujące są w standardzie PKCS #11, dlatego należy zignorować odwołania do kart Rainbow Cryptoswift czy nCipher nFast.
- Kliknij przycisk OK.
Menedżer kolejek został skonfigurowany w celu użycia sprzętu szyfrującego.
Można również pracować z certyfikatami przechowywanymi na sprzęcie PKCS #11 za pomocą programu iKeyman.
Więcej informacji na ten temat zawiera sekcja Securing IBM MQ w dokumentacji IBM Documentation.