Configurazione di TLS sui gestori code
Dopo aver avviato il IBM® strmqikm (iKeyman) GUI, è possibile utilizzarlo per gestire i certificati TLS. È anche possibile autenticare i certificati utilizzando i CRL (Certificate Revocation List) oppure l'autenticazione OCSP.
Introduzione
Per ulteriori informazioni su come avviare la GUI strmqikm , consultare Invore la GUI IBM strmqikm (iKeyman).
Informazioni su questa attività
Questa attività introduce i comandi che si utilizzano per lavorare con TLS su un client IBM MQ . Per ulteriori informazioni, consultare Sicurezza IBM MQ e Impostazione di IBM MQ Sicurezza client MQI in IBM Documentazione.
PROCEDURE
- [OPZIONE 1] Creare il repository delle chiavi del gestore code
Il repository delle chiavi è il sito in cui vengono memorizzati i certificati utilizzati dal gestore code. Sulle piattaforme AIX®, Linux®e Windows , il repository dei tasti è noto come file di database delle chiavi.
Prima di poter memorizzare i certificati del gestore code nel repository delle chiavi, è necessario assicurarsi che, in questa stessa ubicazione, esista un file del database delle chiavi.
- Trovare la posizione del repository delle chiavi del gestore code. Questo valore è specificato nell'attributo Repository delle chiavi del gestore code.
- Se è necessario creare il file di database delle chiavi, farlo utilizzando la GUI strmqikm . Per ulteriori informazioni, consultare Invore la GUI IBM strmqikm (iKeyman).
- Nella GUI strmqikm , assicurarsi che il repository key manager contenga tutti i certificati CA (Certificate Authority) che potrebbero essere richiesti per convalidare i certificati ricevuti da altri gestori di coda.
- Trovare la posizione del repository delle chiavi del gestore code.
- [OPZIONE 2] Modificare la posizione del repository delle chiavi del gestore code
In determinate circostanze, si potrebbe voler modificare la posizione del repository delle chiavi, ad esempio per utilizzare una singola posizione condivisa da tutti i gestori code su un unico sistema operativo.
Per modificare l'ubicazione del repository delle chiavi del gestore code:
- Modificare l'ubicazione del repository delle chiavi nelle
proprietà del gestore code:
- Aprire IBM MQ Explorer ed espandere la cartella Gestori code .
- Fare clic con il tastino destro del mouse sul gestore code, quindi selezionare Proprietà.
- Nella pagina delle proprietà SSL, modificare il percorso riportato nel campo Repository delle chiavi, in modo da fare riferimento alla directory scelta.
- Nella finestra di dialogo di avvertenza, fare clic su Sì.
- Trasferimento i certificati personali del gestore code alla nuova ubicazione utilizzando la GUI strmqikm . Per ulteriori informazioni, consultare Sicurezza IBM MQ in IBM Documentazione.
- Modificare l'ubicazione del repository delle chiavi nelle
proprietà del gestore code:
- [OPZIONE 3] Autenticare i certificati utilizzando i CRL (Certificate Revocation List)
Le CA (Certification Authority) possono revocare i certificati che non sono più considerati sicuri pubblicandoli in un elenco di revoca dei certificati (CRL, Certification Revocation List). Quando un certificato viene ricevuto da un gestore code o da un client MQI IBM MQ , può essere controllato contro il CRL per assicurarsi che non sia stato revocato. Il controllo del CRL non è obbligatorio per la messaggistica abilitata a TLS, ma si consiglia comunque di eseguirlo per verificare l'attendibilità dei certificati utente.
Per impostare una connessione ad un server CRL LDAP, completare la seguente procedura:
- In IBM MQ Explorer, espandere il gestore code.
- Creare un oggetto informativo di autenticazione di tipo CRL LDAP. Per ulteriori informazioni, consultare Creazione e configurazione di gestori di coda e oggetti.
- Ripetere il passo precedente per creare tutti gli oggetti di informazioni di autenticazione LDAP CRL di cui si ha bisogno.
- Creare un elenco dei nomi e aggiungere a tale elenco i nomi degli oggetti di informazioni di autenticazione creati nei passi 2 e 3. Per ulteriori informazioni, consultare Creazione e configurazione di gestori di coda e oggetti.
- Fare Clic Con Il Tasto Destro Del Mouse sul gestore code, quindi fare clic su Proprietà.
- Nella pagina SSL , nel campo Namelist CRL , digitare il nome dell'namelist creato nel Passo 4.
- Fare clic su OK.
I certificati ricevuti dal gestore code possono ora essere autenticati rispetto ai CRL del server LDAP.
È possibile aggiungere all'elenco nomi un massimo di 10 connessioni a server LDAP alternativi in modo da garantire la continuità del servizio se non è più possibile accedere a uno o più server LDAP.
- [OPZIONE 4] Autenticare i certificati utilizzando l'autenticazione OCSP
Su AIX, Linuxe Windows, IBM MQ TLS verifica i certificati revocati utilizzando OCSP (Online Certificate Status Protocol) o utilizzando CRL e ARL su server LDAP (Lightweight Directory Access Protocol). OCSP è il metodo preferito. IBM MQ classes for Java e IBM MQ classes for Java non possono utilizzare le informazioni OCSP in un file di tabella di definizione del canale client. Tuttavia, è possibile configurare OCSP come descritto in Certificati Revoked e OCSP in IBM Documentazione.
IBM i e z/OS® non supportano il controllo OCSP, ma consentono la generazione di tabelle di definizione dei canali client (CCDTs) contenenti Informazioni OCSP.
Per ulteriori informazioni su CCDTs e OCSP, consultare Tabella di definizione dei canali Client in IBM Documentazione.
Per impostare una connessione a un server OCSP, completare la seguente procedura.
- In IBM MQ Explorer, espandere il gestore code.
- Creare un oggetto informativo di autenticazione di tipo OCSP. Per ulteriori informazioni, consultare Creazione e configurazione di gestori di coda e oggetti.
- Ripetere il passo precedente per creare tutti gli oggetti di informazioni di autenticazione OCSP di cui si ha bisogno.
- Creare un elenco dei nomi e aggiungere a tale elenco i nomi degli oggetti di informazioni di autenticazione OCSP creati nei passi 2 e 3. Per ulteriori informazioni, consultare Creazione e configurazione di gestori di coda e oggetti.
- Fare Clic Con Il Tasto Destro Del Mouse sul gestore code, quindi fare clic su Proprietà.
- Nella pagina SSL , nel campo Revocation namelist , digitare il nome dell'namelist creato nel Passo 4.
- Fare clic su OK.
I certificati ricevuti dal gestore code vengono autenticati rispetto al responder OCSP.
Il gestore code scrive le informazioni OCSP nel CCDT.
È possibile aggiungere all'elenco nomi un solo oggetto OCSP dato che la libreria di socket può utilizzare un solo URL responder OCSP alla volta.
- [OPZIONE 5] Configurare l'hardware crittografico
IBM MQ può supportare l'hardware crittografico e il gestore code deve essere configurato di conseguenza.
- Start IBM MQ Explorer.
- Nella vista Navigator , fare clic con il tasto destro del mouse sul gestore code, quindi fare clic su Proprietà. Viene aperta la finestra di dialogo Proprietà.
- Nella pagina SSL , fare clic su Configura. Viene aperta la finestra di dialogo Impostazioni hardware crittografico.
- Nella finestra di dialogo Impostazioni hardware crittografiche , inserire il percorso verso il driver PKCS #11 e l'etichetta token, la password del token e l'impostazione della codifica simmetrica.
Tutte le schede crittografiche supportate ora utilizzano PKCS #11; ignorare, quindi, i riferimenti alle schede Rainbow Cryptoswift o nCipher nFast.
- Fare clic su OK.
Il gestore code è adesso configurato per utilizzare l'hardware di crittografia.
È inoltre possibile lavorare con i certificati memorizzati sull'hardware PKCS #11 mediante iKeyman.
Per ulteriori informazioni, consultare Sicurezza IBM MQ in IBM Documentazione.