큐 관리자에서 TLS 구성
IBM® strmqikm (iKeyman) 시작 후 GUI 에서 이를 사용하여 TLS 인증서를 관리할 수 있다. 또한 인증서 폐기 목록 또는 OCSP 인증을 사용하여 인증서를 인증할 수 있습니다.
시작하기 전 주의사항
strmqikm GUI 시작 방법에 대한 자세한 정보는 IBM strmqikm (iKeyman) GUI 호출의 내용을 참조하십시오.
이 태스크 정보
이 태스크에서는 IBM MQ 클라이언트에서 TLS에 대해 작업하는 데 사용하는 명령을 소개합니다. 자세한 정보는 보안 및 IBM MQ MQI 클라이언트 보안 설정을 참조하십시오.
프로시저
- [옵션 1] 큐 관리자 키 저장소 작성
키 저장소는 큐 관리자가 사용하는 인증서가 저장된 위치입니다. AIX®, Linux®, and Windows 플랫폼에서 키 저장소는 키 데이터베이스 파일로 알려져 있습니다.
키 저장소에 큐 관리자 인증서를 저장하려면 이 위치에 키 데이터베이스 파일이 있는지 확인해야 합니다.
- 큐 관리자 키 저장소의 위치를 찾으십시오. 이는 큐 관리자의 키 저장소 속성에 지정되어 있습니다.
- 키 데이터베이스 파일을 작성해야 하는 경우 strmqikm GUI를 사용하여 이를 수행하십시오. 자세한 정보는 IBM strmqikm (iKeyman) GUI 호출의 내용을 참조하십시오.
- strmqikm GUI에서 큐 관리자 키 저장소에 다른 큐 관리자로부터 수신된 인증서의 유효성을 검증하는 데 필요한 모든 CA (Certificate Authority) 인증이 포함되어 있는지 확인하십시오.
- 큐 관리자 키 저장소의 위치를 찾으십시오.
- [옵션 2] 큐 관리자 키 저장소 위치 변경
특정 환경에서 키 저장소를 변경하려 할 수 있습니다. 예를 들어, 한 운영 체제에서 모든 큐 관리자가 공유하는 단일 위치를 사용하려 할 수 있습니다.
큐 관리자 키 저장소 위치를 변경하려면 다음을 수행하십시오.
- 다음과 같이 큐 관리자 특성에서 키 저장소 위치를 변경하십시오.
- IBM MQ Explorer 를 열고 큐 관리자 폴더를 펼치십시오.
- 큐 관리자를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누르십시오.
- SSL 특성 페이지에서 키 저장소 필드에 있는 경로를 편집하여 선택된 디렉토리를 지시하십시오.
- 경고 대화 상자에서 예를 클릭하십시오.
- strmqikm GUI를 사용하여 큐 관리자 개인 인증서를 새 위치로 전송하십시오. 자세한 정보는 보안을 참조하십시오.
- 다음과 같이 큐 관리자 특성에서 키 저장소 위치를 변경하십시오.
- [옵션 3] CRL(인증서 폐기 목록)을 사용하여 인증서 인증
인증 기관(CA)에서는 인증서 폐기 목록(CRL)에 발행하여 더 이상 신뢰하지 않는 인증을 철회할 수 있습니다. 큐 관리자 또는 IBM MQ MQI 클라이언트가 인증서를 수신하면 CRL에 대해 점검하여 취소되지 않았는지 확인할 수 있습니다. CRL 검사가 TLS 사용 가능 메시징을 수행하는 데 있어서 필수는 아니지만 사용자 인증서의 신뢰성을 보장하기 위해 사용하는 것이 좋습니다.
LDAP CRL 서버에 연결을 설정하려면 다음 단계를 완료하십시오.
- IBM MQ Explorer에서 큐 관리자를 펼치십시오.
- CRL LDAP유형의 인증 정보 오브젝트를 작성하십시오. 자세한 정보는 큐 관리자 및 오브젝트 작성 및 구성을 참조하십시오.
- 이전 단계를 반복하여 필요한 만큼의 CRL LDAP 인증 정보 오브젝트를 작성하십시오.
- 이름 목록을 작성하고 2 및 3단계에서 작성한
인증 정보 오브젝트의 이름을 이름 목록에 추가하십시오. 자세한 정보는 큐 관리자 및 오브젝트 작성 및 구성을 참조하십시오.
- 큐 관리자를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누르십시오.
- SSL 페이지의 CRL 이름 목록 필드에 4단계에서작성한 이름 목록의 이름을 입력하십시오.
- 확인을 누르십시오.
큐 관리자에서 수신하는 인증서가 이제 LDAP 서버에 보관된 CRL을 사용하여 인증될 수 있습니다.
하나 이상의 LDAP 서버에 액세스할 수 없는 경우 서비스가 연속적으로 제공되도록 대체 LDAP 서버에 대한 최대 10개의 연결을 이름 목록에 추가할 수 있습니다.
- [옵션 4] OCSP 인증을 사용하여 인증서 인증
On AIX, Linux, and Windows, IBM MQ TLS support checks for revoked certificates using OCSP (Online Certificate Status Protocol) or using CRLs and ARLs on LDAP (Lightweight Directory Access Protocol) servers. OCSP가 기본 메소드입니다. IBM MQ classes for Java 및 IBM MQ classes for JMS 는 클라이언트 채널 정의 테이블 파일에서 OCSP 정보를 사용할 수 없습니다. 그러나 인증 취소 및 OCSP에 설명된 대로 OCSP를 구성할 수 있습니다.
IBM i and z/OS® do not support OCSP checking, but they do allow the generation of client channel definition tables (CCDTs) containing OCSP information.
CCDT및 OCSP에 대한 자세한 정보는 클라이언트 채널 정의 테이블을 참조하십시오.
OCSP 서버에 연결을 설정하려면 다음 단계를 완료하십시오.
- IBM MQ Explorer에서 큐 관리자를 펼치십시오.
- OCSP유형의 인증 정보 오브젝트를 작성하십시오. 자세한 정보는 큐 관리자 및 오브젝트 작성 및 구성을 참조하십시오.
- 이전 단계를 반복하여 필요한 만큼의 OCSP 인증 정보 오브젝트를 작성하십시오.
- 이름 목록을 작성하고 2 및 3단계에서 작성한
OCSP 인증 정보 오브젝트의 이름을 이름 목록에 추가하십시오. 자세한 정보는 큐 관리자 및 오브젝트 작성 및 구성을 참조하십시오.
- 큐 관리자를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누르십시오.
- SSL 페이지의 취소 이름 목록 필드에 4단계에서작성한 이름 목록의 이름을 입력하십시오.
- 확인을 누르십시오.
큐 관리자에서 수신하는 인증서가 OCSP 응답자를 사용하여 인증될 수 있습니다.
큐 관리자는 OCSP 정보를 CCDT에 기록합니다.
소켓 라이브러리는 한 번에 하나의 OCSP 응답자 URL만 사용할 수 있으므로 하나의 OCSP 오브젝트만 이름 목록에 추가할 수 있습니다.
- [옵션 5] 암호화 하드웨어 구성
IBM MQ 는 암호화 하드웨어를 지원할 수 있으며 이에 따라 큐 관리자를 구성해야 합니다.
- IBM MQ Explorer를 시작하십시오.
- Navigator 보기에서 큐 관리자를 마우스 오른쪽 단추로 클릭한 후 특성을 클릭하십시오. 등록 정보 대화 상자가 열립니다.
- SSL 페이지에서 구성을 클릭하십시오. 암호화 하드웨어 설정 대화 상자가 열립니다.
- 암호화 하드웨어 설정 대화 상자에서 PKCS #11 드라이버의 경로와 토큰 레이블, 토큰 암호 및 대칭 암호 설정을 입력하십시오.
지원되는 모든 암호화 카드는 이제 PKCS #11을 사용하므로 Rainbow Cryptoswift 또는 nCipher nFast 카드에 대한 참조를 무시합니다.
- 확인을 누르십시오.
이제 암호화 하드웨어를 사용하도록 큐 관리자가 구성됩니다.
iKeyman을 사용하여 PKCS #11 하드웨어에 저장된 인증서로 작업할 수도 있습니다.
자세한 정보는 보안을 참조하십시오.