Konfigurowanie protokołu TLS w klientach MQI produktu IBM MQ

Zarządzaj certyfikatami klienta IBM® MQ , skonfiguruj kanały w taki sposób, aby używały protokołu TLS i uwierzytelniaj certyfikaty przy użyciu list odwołań certyfikatów lub uwierzytelniania OCSP.

Informacje o zadaniu

To zadanie wprowadza komendy używane do pracy z protokołem TLS w kliencie IBM MQ . For more information, see Zabezpieczanie IBM MQ and Konfigurowanie zabezpieczeń klienta MQI produktu IBM MQ in Dokumentacja produktu IBM.

Procedura

  • [ OPCJA 1] Zarządzanie certyfikatami klienta IBM MQ

    Za pomocą interfejsu GUI IBM strmqikm można zarządzać certyfikatami TLS. Więcej informacji na ten temat zawiera sekcja Wywoływanie interfejsu GUI IBM strmqikm (iKeyman).

    1. Znajdź lokalizację repozytorium kluczy klienta.
      Wpisz następującą komendę, aby sprawdzić zmienną środowiskową MQSSLKEYR:
      echo %MQSSLKEYR%
    2. W interfejsie GUI strmqikm należy upewnić się, że repozytorium kluczy klienta zawiera wszystkie certyfikaty ośrodka certyfikacji (CA), które mogą być wymagane do sprawdzania poprawności certyfikatów odbieranych od innych menedżerów kolejek.
    3. Sprawdź używaną aplikację, ponieważ repozytorium kluczy może zostać ustawione na wywołanie MQCONNX.
      Jeśli obie wartości są ustawione, wartość wywołania MQCONNX nadpisuje wartość MQSSLKEYR.
  • [OPCJA 2] Skonfiguruj kanały w celu użycia szyfrowania TLS

    Skonfiguruj kanały TLS zgodnie z opisem w sekcji Konfigurowanie kanałów TLS.

  • [OPCJA 3] Uwierzytelniaj certyfikaty za pomocą list CRL (Certificate Revocation Lists)

    Ośrodki certyfikacji (CA) mogą unieważnić certyfikaty, które nie są już certyfikatami zaufanymi, publikując je na liście CRL (Certification Revocation List). Jeśli certyfikat jest odbierany przez menedżera kolejek lub klienta MQI produktu IBM MQ , może on zostać sprawdzony względem listy CRL, aby upewnić się, że nie został on unieważniony. Sprawdzanie listy CRL nie jest obowiązkowe w celu aktywowania przesyłania komunikatów z włączonym TLS, ale jest zalecane w celu zagwarantowania wiarygodności certyfikatów użytkownika.

    Klient MQI produktu IBM MQ można skonfigurować w taki sposób, aby sprawdzał certyfikaty dla list CRL na serwerach LDAP.

    1. Na serwerze IBM MQ , w programie IBM MQ Explorer, rozwiń menedżer kolejek.
    2. Utwórz nowy obiekt informacji uwierzytelniającej typu CRL LDAP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
    3. Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej.
    4. Utwórz listę nazw i dodaj do niej nazwy obiektów informacji uwierzytelniającej utworzonych w punktach 2 i 3.
      Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
    5. Kliknij prawym przyciskiem myszy menedżer kolejek, a następnie kliknij opcję Właściwości.
    6. Na stronie SSL , w polu Lista nazw CRL , wpisz nazwę listy nazw utworzonej w kroku 4.
    7. Kliknij przycisk OK.

      Wszystkie informacje typu CRL LDAP są teraz zapisywane w tabeli definicji kanału klienta.

    8. Utwórz tabelę definicji kanału klienta dla klienta lub, jeśli używasz systemu Windows Active Directory, zapisz informacje z tabeli definicji kanału klienta w Active Directory.
      Więcej informacji na ten temat zawiera opis komendy setmqscp w dokumentacji IBM Documentation.

    Do listy nazw można dodać maksymalnie 10 połączeń z alternatywnymi serwerami LDAP, aby zagwarantować ciągłość usługi w przypadku, gdy jeden lub więcej serwerów LDAP jest niedostępnych. Więcej informacji na ten temat zawiera sekcja Zabezpieczanie IBM MQ w podręczniku Dokumentacja produktu IBM.

    Patrz także Przegląd klientów MQI produktu IBM MQ w dokumentacji dokumentacjiIBM.

  • [OPCJA 4] Uwierzytelniaj certyfikaty za pomocą uwierzytelniania OCSP

    Klient MQI produktu IBM MQ można skonfigurować w taki sposób, aby sprawdzał certyfikaty na podstawie modułu odpowiadającego OCSP. Niektóre środowiska klienckie nie obsługują sprawdzania odwołań OCSP, jednak wszystkie platformy serwerów obsługują definiowanie konfiguracji OCSP zapisywanej w pliku tabeli definicji kanału klienta.

    1. Na serwerze IBM MQ , w programie IBM MQ Explorer, rozwiń menedżer kolejek.
    2. Utwórz nowy obiekt informacji uwierzytelniającej typu OCSP.
      Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
    3. Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej OCSP.
    4. Utwórz nową listę nazw i dodaj do niej nazwy obiektów informacji uwierzytelniającej OCSP utworzonych w punktach 2 i 3.
      Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
    5. Kliknij prawym przyciskiem myszy menedżer kolejek, a następnie kliknij opcję Właściwości.
    6. Na stronie SSL , w polu Lista nazw odwołań , wpisz nazwę listy nazw utworzonej w kroku 4.
    7. Kliknij przycisk OK.
    8. Dokonaj dostępu do tabeli definicji kanału klienta dla klienta.

    Do listy nazw można dodać tylko jeden obiekt OCSP, ponieważ biblioteka gniazd może używać jednocześnie tylko jednego adresu URL modułu odpowiadającego OCSP. Więcej informacji na ten temat zawiera sekcja Zabezpieczanie IBM MQ w podręczniku Dokumentacja produktu IBM.

    Patrz także Przegląd klientów MQI produktu IBM MQ w dokumentacji dokumentacjiIBM.