Konfigurace TLS pro správce front

Po spuštění serveru IBM® strmqikm (iKeyman) Grafické rozhraní, které můžete použít ke správě certifikátů TLS. Certifikáty můžete také ověřit buď pomocí seznamů odvolaných certifikátů, nebo pomocí ověření OCSP.

Než začnete

Další informace o tom, jak spustit grafické rozhraní strmqikm , najdete v tématu Vyvolání grafického uživatelského rozhraní IBM strmqikm (iKeyman).

Informace o této úloze

Tato úloha představuje příkazy, které používáte při práci s protokolem TLS na klientu IBM MQ . Další informace najdete v tématu Zabezpečení IBM MQ a Nastavení IBM MQ MQI client security v příručce IBM Documentation.

Postup

  • [VOLBA 1] Vytvoření úložiště klíčů správce front

    Termínem úložiště klíčů se označuje umístění, ve kterém jsou ukládány certifikáty používané správcem front. Na platformách AIX®, Linux®a Windows je klíčové úložiště známé jako soubor databáze klíčů.

    Předtím, než budete moci uložit certifikáty správce front v úložišti klíčů, musí v tomto umístění existovat soubor databáze klíčů.

    1. Vyhledejte umístění úložiště klíčů správce front.
      Je určeno v atributu Úložiště klíčů daného správce front.
    2. Potřebujete-li vytvořit soubor databáze klíčů, použijte grafické uživatelské rozhraní strmqikm .
    3. V grafickém uživatelském rozhraní strmqikm zkontrolujte, zda úložiště klíčů správce front obsahuje všechny certifikáty certifikační autority (CA), které mohou být vyžadovány k ověření certifikátů přijatých od jiných správců front.
  • [VOLBA 2] Změna umístění úložiště klíčů správce front

    Za určitých okolností může být vhodné změnit umístění úložiště klíčů; chcete-li například použít jediné umístění sdílené všemi správci front v jednom operačním systému.

    Postup při změně umístění úložiště klíčů správce front:

    1. Změňte umístění úložiště klíčů v okně s vlastnostmi správce front:
      1. Otevřete aplikaci IBM MQ Explorer a rozbalte složku Správci front .
      2. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
      3. Na stránce s vlastnostmi zabezpečení SSL upravte cestu v poli Úložiště klíčů tak, aby odkazovala na vybraný adresář.
      4. V dialogovém okně Varování klepněte na volbu Ano.
    2. Přeneste osobní certifikáty správce front do nového umístění pomocí rozhraní GUI strmqikm .
      Další informace naleznete v tématu Zabezpečení produktu IBM MQ v dokumentaci IBM Documentation.
  • [VOLBA 3] Ověřování certifikátů pomocí seznamů odvolaných certifikátů

    Certifikační autority mohou odvolávat certifikáty, které ztratily důvěryhodnost. Toto zrušení je provedeno jejich publikováním na seznamu zrušených certifikátů (CRL - Certification Revocation List). Je-li certifikát přijat správcem front nebo klientem IBM MQ MQI, lze jej zkontrolovat v seznamu odvolaných certifikátů a ujistit se, že nebyl odvolán. Ověření oproti seznamu CRL není v systému zpráv s povoleným zabezpečením TLS povinné, avšak doporučuje se pomocí něj ověřovat důvěryhodnost certifikátů uživatele.

    Chcete-li nastavit připojení k serveru LDAP CRL, proveďte následující kroky:

    1. V produktu IBM MQ Explorerrozbalte položku správce front.
    2. Vytvořte objekt ověřovacích informací typu CRL LDAP. Další informace naleznete v tématu Vytvoření a konfigurace správců front a objektů.
    3. Zopakováním předchozího kroku můžete vytvořit další objekty s ověřovacími informacemi CRL LDAP.
    4. Vytvořte seznam názvů a přidejte do něj názvy objektů s ověřovacími informacemi, které byly vytvořeny v krocích 2 a 3.
      Další informace naleznete v tématu Vytvoření a konfigurace správců front a objektů.
    5. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
    6. Na stránce SSL v poli Seznam názvů CRL zadejte název seznamu názvů, který jste vytvořili v kroku 4.
    7. Klepněte na tlačítko OK.

    Certifikáty, které správce front obdrží, mohou být nyní ověřeny oproti seznamu odvolaných certifikátů uloženému na serveru LDAP.

    Do seznamu názvů lze přidat až 10 připojení k alternativním serverům LDAP s cílem zajistit pokračování činnosti služby i při nedostupnosti jednoho či více serverů LDAP.

  • [VOLBA 4] Ověřování certifikátů pomocí ověření OCSP

    [AIX, Linux, Windows]V systému AIX, Linux, a Windowspodpora TLS IBM MQ kontroluje odvolané certifikáty pomocí protokolu OCSP (Online Certificate Status Protocol) nebo použití seznamů CRL a ARL na serverech LDAP (Lightweight Directory Access Protocol). Preferovaná metoda je OCSP. Produkt IBM MQ classes for Java a IBM MQ classes for JMS nemohou používat informace OCSP v souboru s tabulkou definic kanálů klienta. Nicméně můžete OCSP nakonfigurovat podle popisu uvedeného v tématu Zrušené certifikáty a OCSP v dokumentaci produktu IBM Documentation.

    [z/OS][IBM i]IBM i a z/OS® nepodporuje kontrolu OCSP, ale umožňují generování tabulek definic klientských kanálů (CCDT), které obsahují Informace OCSP.

    Další informace o CCDT a OCSP naleznete v tématu Tabulka definic kanálů klienta v příručce IBM Documentation.

    Chcete-li nastavit připojení k serveru OCSP, proveďte následující kroky.

    1. V produktu IBM MQ Explorerrozbalte položku správce front.
    2. Vytvořte objekt ověřovacích informací typu OCSP.
      Další informace naleznete v tématu Vytvoření a konfigurace správců front a objektů.
    3. Zopakováním předchozího kroku můžete vytvořit další objekty s ověřovacími informacemi OCSP.
    4. Vytvořte seznam názvů a přidejte do něj názvy objektů s ověřovacími informacemi OCSP, které byly vytvořeny v krocích 2 a 3.
      Další informace naleznete v tématu Vytvoření a konfigurace správců front a objektů.
    5. Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
    6. Na stránce SSL zadejte do pole Seznam názvů zrušení název seznamu názvů, který jste vytvořili v kroku 4.
    7. Klepněte na tlačítko OK.

    Certifikáty, které správce front obdrží, budou ověřeny s použitím odpovídacího modulu OCSP.

    Správce front zapíše informace protokolu OCSP do tabulky CCDT.

    Do seznamu názvů lze přidat jen jeden objekt OCSP, protože knihovna soketů nemůže využívat více než jednu adresu URL odpovídacího modulu OCSP současně.

  • [VOLBA 5] Konfigurace šifrovacího hardwaru

    Produkt IBM MQ může podporovat kryptografický hardware a správce front musí být odpovídajícím způsobem nakonfigurován.

    1. Spusťte program IBM MQ Explorer.
    2. V pohledu Navigator klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
      Otevře se dialogové okno Vlastnosti.
    3. Na stránce SSL klepněte na volbu Konfigurovat.
      Otevře se dialogové okno Nastavení šifrovacího hardwaru.
    4. V dialogovém okně Nastavení kryptografického hardwaru zadejte cestu k ovladači PKCS #11 a popisek tokenu, heslo tokenu a nastavení symetrické šifry.

      Všechny podporované kryptografické karty nyní podporují standard PKCS #11, ignorujte proto odkazy na karty Rainbow Cryptoswift a nCipher nFast.

    5. Klepněte na tlačítko OK.

    Správce front je nyní konfigurován pro použití kryptografického hardwaru.

    S certifikáty uloženými v hardwaru PKCS #11 můžete též pracovat prostřednictvím správce iKeyman.

    Další informace naleznete v tématu Zabezpečení produktu IBM MQ v dokumentaci IBM Documentation.