Configurazione di TLS su client MQI IBM MQ
Gestire i certificati client IBM® MQ , configurare i canali per utilizzare TLS, e autenticare i certificati utilizzando Certificate Revoation Lists o l'autenticazione OCSP.
Informazioni su questa attività
Questa attività introduce i comandi che si utilizzano per lavorare con TLS su un client IBM MQ . Per ulteriori informazioni, consultare Sicurezza IBM MQ e Impostazione di IBM MQ Sicurezza client MQI in IBM Documentazione.
PROCEDURE
- [ OPZIONE 1] Gestisci i certificati client IBM MQ
Utilizzare la GUI IBM strmqikm per gestire i certificati TLS. Per ulteriori informazioni, consultare Invore la GUI IBM strmqikm (iKeyman).
- Trovare l'ubicazione del repository delle chiavi del client.Digitare il seguente comando per esaminare la variabile di ambiente MQSSLKEYR:
echo %MQSSLKEYR%
- Nella GUI strmqikm , assicurarsi che il repository delle chiavi del client contenga tutti i certificati CA (Certificate Authority) che potrebbero essere richiesti per convalidare i certificati ricevuti da altri gestori di coda.
- Controllare l'applicazione, perché il repository delle chiavi può essere impostato su una chiamata MQCONNX. Se sono impostati entrambi i valori, il valore impostato su una chiamata MQCONNX sovrascrive il valore di MQSSLKEYR.
- Trovare l'ubicazione del repository delle chiavi del client.
- [OPZIONE 2] Configurare i canali per utilizzare TLS
Impostare i canali TLS come descritto in Configurazione dei canali TLS.
- [OPZIONE 3] Autenticare i certificati utilizzando i CRL (Certificate Revocation List)
Le CA (Certification Authority) possono revocare i certificati che non sono più considerati sicuri pubblicandoli in un elenco di revoca dei certificati (CRL, Certification Revocation List). Quando un certificato viene ricevuto da un gestore code o da un client MQI IBM MQ , può essere controllato contro il CRL per assicurarsi che non sia stato revocato. Il controllo del CRL non è obbligatorio per la messaggistica abilitata a TLS, ma si consiglia comunque di eseguirlo per verificare l'attendibilità dei certificati utente.
È possibile impostare un client MQI IBM MQ per controllare i certificati contro i CRL sui server LDAP.
- Sul server IBM MQ , in IBM MQ Explorer, espandere il gestore code.
- Creare una nuova oggetto di informazioni di autenticazione di tipo CRL LDAP. Per ulteriori informazioni, consultare Creazione e configurazione di gestori di coda e oggetti.
- Ripetere il passo precedente per creare tutti gli oggetti di informazioni di autenticazione di cui si ha bisogno.
- Creare un elenco dei nomi e aggiungere a tale elenco i nomi degli oggetti di informazioni di autenticazione creati nei passi 2 e 3. Per ulteriori informazioni, consultare Creazione e configurazione di gestori di coda e oggetti.
- Fare Clic Con Il Tasto Destro Del Mouse sul gestore code, quindi fare clic su Proprietà.
- Nella pagina SSL , nel campo Namelist CRL , digitare il nome dell'namelist creato nel Passo 4.
- Fare clic su OK.
Tutte le informazioni CRL su LDAP vengono scritte nella tabella di definizione di canale client.
- Fare la tabella di definizione del canale client disponibile per il client o, se si sta utilizzando Windows Active Directory, scrivere le informazioni dalla tabella di definizione del canale client alla Active Directory. Consultare il comando setmqscp in IBM Documentazione.
È possibile aggiungere all'elenco nomi un massimo di 10 connessioni a server LDAP alternativi in modo da garantire la continuità del servizio se non è più possibile accedere a uno o più server LDAP. Per ulteriori informazioni, consultare Sicurezza IBM MQ in IBM Documentazione.
Vedi anche Panoramica dei client MQI IBM MQ in IBM Documentazione.
- [OPZIONE 4] Autenticare i certificati utilizzando l'autenticazione OCSP
È possibile impostare un client MQI IBM MQ per verificare i certificati nei confronti di un responder OCSP. alcuni ambienti client non supportano il controllo della revoca OCSP ma tutte le piattaforme server supportano la capacità di definire la configurazione OCSP che verrà scritta nel file contenente la tabella di definizione di canale client.
- Sul server IBM MQ , in IBM MQ Explorer, espandere il gestore code.
- Creare un nuovo oggetto informativo di autenticazione di tipo OCSP. Per ulteriori informazioni, consultare Creazione e configurazione di gestori di coda e oggetti.
- Ripetere il passo precedente per creare tutti gli oggetti di informazioni di autenticazione OCSP di cui si ha bisogno.
- Creare un nuovo elenco dei nomi e aggiungere a tale elenco i nomi degli oggetti di informazioni di autenticazione OCSP creati nei passi 2 e 3. Per ulteriori informazioni, consultare Creazione e configurazione di gestori di coda e oggetti.
- Fare Clic Con Il Tasto Destro Del Mouse sul gestore code, quindi fare clic su Proprietà.
- Nella pagina SSL , nel campo Revocation namelist , digitare il nome dell'namelist creato nel Passo 4.
- Fare clic su OK.
- Fare la tabella di definizione del canale client disponibile per il client.
È possibile aggiungere all'elenco nomi un solo oggetto OCSP dato che la libreria di socket può utilizzare un solo URL responder OCSP alla volta. Per ulteriori informazioni, consultare Sicurezza IBM MQ in IBM Documentazione.
Vedi anche Panoramica dei client MQI IBM MQ in IBM Documentazione.