Configuración de TLS en clientes MQI de IBM MQ

Gestione los certificados de cliente de IBM® MQ , configure los canales para utilizar TLS y autentique los certificados utilizando las listas de revocación de certificados o la autenticación OCSP.

Acerca de esta tarea

Esta tarea introduce los mandatos que se utilizan para trabajar con TLS en un cliente IBM MQ . Para obtener más información, consulte Protección y Configuración de la seguridad del cliente MQI de IBM MQ.

Procedimiento

  • [OPCIÓN 1] Gestionar los certificados de cliente de IBM MQ

    Utilice la GUI de IBM strmqikm para gestionar los certificados TLS. Para obtener más información, consulte Invocación de la GUI de IBM strmqikm (iKeyman).

    1. Busque la ubicación del repositorio de claves del cliente.
      Escriba el mandato siguiente para examinar la variable de entorno MQSSLKEYR:
      echo %MQSSLKEYR%
    2. En la GUI de strmqikm , asegúrese de que el repositorio de claves de cliente contiene todos los certificados de la entidad emisora de certificados (CA) que pueden ser necesarios para validar los certificados recibidos de otros gestores de colas.
    3. Compruebe su aplicación, ya que el depósito de claves se puede establecer en una llamada MQCONNX.
      Si se establecen ambos valores, el valor establecido en la llamada MQCONNX altera temporalmente el valor de MQSSLKEYR.
  • [OPCIÓN 2] Configurar los canales para utilizar TLS

    Configure los canales TLS tal como se describe en Configuración de canales TLS.

  • [OPCIÓN 3] Autenticar certificados utilizando listas de revocación de certificados

    Las autoridades de certificación (CA) pueden revocar los certificados que han dejado de ser fiables; para ello, los publican en una lista de revocación de certificados (CRL). Cuando un gestor de colas o un cliente MQI de IBM MQ recibe un certificado, se puede comprobar con la CRL para asegurarse de que no se ha revocado. La comprobación con la CRL no es obligatoria para conseguir una mensajería habilitada para TLS, pero es aconsejable asegurarse de la fiabilidad de los certificados de usuario.

    Puede configurar un cliente MQI de IBM MQ para comprobar los certificados con respecto a las CRL en los servidores LDAP.

    1. En el servidor IBM MQ , en IBM MQ Explorer, expanda el gestor de colas.
    2. Cree un nuevo objeto de información de autenticación de tipo CRL LDAP. Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
    3. Repita el paso anterior para crear tantos objetos de información de autenticación como sean necesarios.
    4. Cree una nueva lista de nombres y añada a la lista de nombres los nombres de los objetos de información de autenticación OCSP que ha creado en los pasos 2 y 3.
      Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
    5. Pulse con el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
    6. En la página SSL , en el campo Lista de nombres de CRL , escriba el nombre de la lista de nombres que ha creado en el paso 4.
    7. Pulse Aceptar.

      Toda la información CRL LDAP se escribe en la tabla de definiciones de canal del cliente.

    8. Haga que la tabla de definiciones de canal de cliente esté disponible para el cliente o, si utiliza Windows Active Directory, escriba la información de la tabla de definiciones de canal de cliente en Active Directory.
      Consulte el mandato setmqscp .

    Puede añadir a la lista de nombres hasta 10 conexiones a servidores LDAP alternativos para asegurar la continuidad del servicio si uno o más de los servidores LDAP son inaccesibles. Para obtener más información, consulte Protección.

    Véase también Visión general de clientes MQI de IBM MQ.

  • [OPCIÓN 4] Autenticar certificados utilizando la autenticación OCSP

    Puede configurar un cliente MQI de IBM MQ para comprobar los certificados en un programa de respuesta OCSP. Algunos entornos de cliente no dan soporte a la comprobación de revocaciones OCSP pero todas las plataformas del servidor dan soporte a la posibilidad de definir la configuración OCSP que se grabará en el archivo de la tabla de definiciones de canal de cliente.

    1. En el servidor IBM MQ , en IBM MQ Explorer, expanda el gestor de colas.
    2. Cree un nuevo objeto de información de autenticación de tipo OCSP.
      Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
    3. Repita el paso anterior para crear tantos objetos OCSP de información de autenticación como sean necesarios.
    4. Cree una lista de nombres y añada a la lista de nombres los nombres de los objetos de información de autenticación OCSP que ha creado en los pasos 2 y 3.
      Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
    5. Pulse con el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
    6. En la página SSL , en el campo Lista de nombres de revocación , escriba el nombre de la lista de nombres que ha creado en el paso 4.
    7. Pulse Aceptar.
    8. Haga que la tabla de definiciones de canal de cliente esté disponible para el cliente.

    Solamente se puede añadir un objeto OCSP a la lista de nombres porque la biblioteca de sockets solamente puede utilizar un URL de programa de respuesta OCSP cada vez. Para obtener más información, consulte Protección.

    Véase también Visión general de clientes MQI de IBM MQ.