在佇列管理程式上配置 TLS

在啟動 IBM® strmqikm (iKeyman) 之後 GUI ,您可以使用它來管理 TLS 憑證。 您也可以使用「憑證撤銷清冊」或 OCSP 鑑別來鑑別憑證。

開始之前

如需如何啟動 strmqikm GUI 的相關資訊,請參閱 呼叫 IBM strmqikm (iKeyman) GUI

關於此作業

此作業介紹您用來在 IBM MQ 用戶端上使用 TLS 的指令。 如需相關資訊,請參閱 保護設定 IBM MQ MQI 用戶端安全

程序

  • [選項 1] 建立佇列管理程式金鑰儲存庫

    金鑰儲存庫是佇列管理程式所用的憑證的儲存所在。 在 AIX®, Linux®, and Windows 平台上,金鑰儲存庫稱為金鑰資料庫檔。

    將佇列管理程式憑證儲存在金鑰儲存庫之前,您必須先確定金鑰資料庫檔存在於此位置。

    1. 尋找佇列管理程式金鑰儲存庫的位置。
      這會在佇列管理程式的金鑰儲存庫屬性中指定。
    2. 如果您需要建立金鑰資料庫檔,請使用 strmqikm GUI 來執行此動作。
      如需相關資訊,請參閱 呼叫 IBM strmqikm (iKeyman) GUI
    3. strmqikm GUI 中,確保佇列管理程式金鑰儲存庫包含所有憑證管理中心 (CA) 憑證,這些憑證可能需要用來驗證從其他佇列管理程式收到的憑證。
  • [選項 2] 變更佇列管理程式金鑰儲存庫位置

    在某些情況下,您可能想要變更金鑰儲存庫位置;例如,使用一個作業系統上所有佇列管理程式共用的單一位置。

    若要變更佇列管理程式金鑰儲存庫位置,請執行下列動作:

    1. 變更佇列管理程式內容中的金鑰儲存庫位置:
      1. 開啟 IBM MQ Explorer 並展開佇列管理程式資料夾。
      2. 在佇列管理程式上按一下滑鼠右鍵,然後按一下內容
      3. SSL 內容頁上,可編輯金鑰儲存庫欄位中的路徑,讓它指向您選擇的目錄。
      4. 警告對話框中,按一下
    2. 使用 strmqikm GUI 將佇列管理程式個人憑證傳送至新位置。
      如需相關資訊,請參閱 維護安全
  • [OPTION 3] 使用「憑證撤銷清冊」來鑑別憑證

    憑證管理中心 (CA) 可以在憑證撤銷清冊 (CRL) 中公佈不再信任的憑證,來撤銷那些憑證。 當佇列管理程式或 IBM MQ MQI 用戶端收到憑證時,可以根據 CRL 來檢查它,以確定它尚未撤銷。 要達到啟用 TLS 的傳訊,不一定要強制進行 CRL 檢查,但建議您這麼做,以確保使用者憑證的可信度。

    若要設定與 LDAP CRL 伺服器的連線,請完成下列步驟:

    1. IBM MQ Explorer中,展開佇列管理程式。
    2. 建立 CRL LDAP類型的鑑別資訊物件。 如需相關資訊,請參閱 建立及配置佇列管理程式和物件
    3. 重複前一個步驟,以根據您需要的數量來建立 CRL LDAP 鑑別資訊物件。
    4. 建立名稱清單,並新增至名稱清單中您在步驟 2 和 3 中建立的鑑別資訊物件的名稱。
      如需相關資訊,請參閱 建立及配置佇列管理程式和物件
    5. 用滑鼠右鍵按一下佇列管理程式,然後按一下 內容
    6. 在「 SSL 」頁面的 CRL 名單 欄位中,輸入您在步驟 4 中建立的名單名稱。
    7. 按一下 確定

    現在,可以根據 LDAP 伺服器所保留的 CRL 來鑑別佇列管理程式接收的憑證。

    您可以將替代 LDAP 伺服器的最多 10 條連線新增至名稱清單中,以確保萬一有一或多個 LDAP 伺服器無法存取時,服務還是可以繼續。

  • [OPTION 4] 使用 OCSP 鑑別來鑑別憑證

    [AIX、Linux、Windows]AIX, Linux, and Windows上, IBM MQ TLS 支援會使用 OCSP (線上憑證狀態通訊協定) 或使用 LDAP (輕量型目錄存取通訊協定) 伺服器上的 CRL 及 ARL ,來檢查已撤銷的憑證。 OCSP 是較好的方法。 IBM MQ classes for JavaIBM MQ classes for JMS 無法在用戶端通道定義表檔案中使用 OCSP 資訊。 不過,您可以依照 已撤銷的憑證和 OCSP中的說明來配置 OCSP。

    [z/OS][IBM i]IBM iz/OS® 不支援 OCSP 檢查,但容許產生包含 OCSP 資訊的用戶端通道定義表 (CCDT)。

    如需 CCDT 及 OCSP 的相關資訊,請參閱 用戶端通道定義表

    若要設定與 OCSP 伺服器的連線,請完成下列步驟。

    1. IBM MQ Explorer中,展開佇列管理程式。
    2. 建立 OCSP類型的鑑別資訊物件。
      如需相關資訊,請參閱 建立及配置佇列管理程式和物件
    3. 重複前一個步驟,以根據您需要的數量來建立 OCSP 鑑別資訊物件。
    4. 建立名稱清單並在其中新增您在步驟 2 和 3 中建立的 OCSP 鑑別資訊物件的名稱。
      如需相關資訊,請參閱 建立及配置佇列管理程式和物件
    5. 用滑鼠右鍵按一下佇列管理程式,然後按一下 內容
    6. 在「 SSL 」頁面上的 撤銷名單 欄位中,鍵入您在步驟 4 中建立的名單名稱。
    7. 按一下 確定

    根據 OCSP 回應端,鑑別佇列管理程式所收到的憑證。

    佇列管理程式會將 OCSP 資訊寫入 CCDT。

    只有一個 OCSP 物件可以新增至名稱清單,因為 Socket 程式庫一次只能使用一個 OCSP 回應端 URL。

  • [選項 5] 配置加密硬體

    IBM MQ 可以支援加密硬體,且必須相應地配置佇列管理程式。

    1. 啟動 IBM MQ Explorer
    2. 在「 Navigator 」視圖中,用滑鼠右鍵按一下佇列管理程式,然後按一下 內容
      即會開啟內容對話框。
    3. SSL 頁面上,按一下 配置
      即會開啟加密硬體設定對話框。
    4. 在「 加密硬體設定 」對話框中,輸入 PKCS #11 驅動程式的路徑,以及記號標籤、記號密碼和對稱密碼設定。

      所有支援的加密卡現在都使用 PKCS #11,因此請忽略對 Rainbow Cryptoswift 或 nCipher nFast 卡的參照。

    5. 按一下 確定

    現在佇列管理程式已配置為使用加密硬體。

    您也可以使用 iKeyman,來使用儲存在 PKCS #11 硬體上的憑證。

    如需相關資訊,請參閱 維護安全