IBM MQ MQI 用戶端上配置 TLS

管理 IBM® MQ 用戶端憑證,配置通道以使用 TLS,並使用「憑證撤銷清冊」或 OCSP 鑑別來鑑別憑證。

關於此作業

此作業介紹您用來在 IBM MQ 用戶端上使用 TLS 的指令。 如需相關資訊,請參閱 保護設定 IBM MQ MQI 用戶端安全

程序

  • [OPTION 1] 管理 IBM MQ 用戶端憑證

    使用 IBM strmqikm GUI 來管理 TLS 憑證。 如需相關資訊,請參閱 呼叫 IBM strmqikm (iKeyman) GUI

    1. 尋找用戶端金鑰儲存庫的位置。
      鍵入下列指令,以檢查 MQSSLKEYR 環境變數:
      echo %MQSSLKEYR%
    2. strmqikm GUI 中,確保用戶端金鑰儲存庫包含所有憑證管理中心 (CA) 憑證,這些憑證可能需要用來驗證從其他佇列管理程式收到的憑證。
    3. 請檢查您的應用程式,因為金鑰儲存庫可以設定在 MQCONNX 呼叫上。
      如果同時設定兩個值,則設定在 MQCONNX 呼叫中的值會置換 MQSSLKEYR 的值。
  • [OPTION 2] 配置通道以使用 TLS

    依照 配置 TLS 通道中的說明來設定 TLS 通道。

  • [OPTION 3] 使用「憑證撤銷清冊」來鑑別憑證

    憑證管理中心 (CA) 可以在憑證撤銷清冊 (CRL) 中公佈不再信任的憑證,來撤銷那些憑證。 當佇列管理程式或 IBM MQ MQI 用戶端收到憑證時,可以根據 CRL 來檢查它,以確定它尚未撤銷。 要達到啟用 TLS 的傳訊,不一定要強制進行 CRL 檢查,但建議您這麼做,以確保使用者憑證的可信度。

    您可以設定 IBM MQ MQI 用戶端,以針對 LDAP 伺服器上的 CRL 檢查憑證。

    1. IBM MQ 伺服器上,在 IBM MQ Explorer中,展開佇列管理程式。
    2. 建立 CRL LDAP類型的新鑑別資訊物件。 如需相關資訊,請參閱 建立及配置佇列管理程式和物件
    3. 重複前一個步驟,以建立許多鑑別資訊物件作為您需要的物件。
    4. 建立名稱清單,並新增至名稱清單中您在步驟 2 和 3 中建立的鑑別資訊物件的名稱。
      如需相關資訊,請參閱 建立及配置佇列管理程式和物件
    5. 用滑鼠右鍵按一下佇列管理程式,然後按一下 內容
    6. 在「 SSL 」頁面的 CRL 名單 欄位中,輸入您在步驟 4 中建立的名單名稱。
    7. 按一下 確定

      現在,所有 LDAP CRL 資訊都會寫入至用戶端通道定義表中。

    8. 讓用戶端通道定義表可供用戶端使用,或者如果您是使用 Windows Active Directory,請將資訊從用戶端通道定義表寫入 Active Directory。
      請參閱 setmqscp 指令。

    您可以將替代 LDAP 伺服器的最多 10 條連線新增至名稱清單中,以確保萬一有一或多個 LDAP 伺服器無法存取時,服務還是可以繼續。 如需相關資訊,請參閱 保護

    另請參閱 IBM MQ MQI 用戶端概觀

  • [OPTION 4] 使用 OCSP 鑑別來鑑別憑證

    您可以設定 IBM MQ MQI 用戶端,以針對 OCSP 回應者檢查憑證。 某些用戶端環境不支援 OCSP 撤銷檢查,但所有伺服器平台都支援定義 OCSP 配置的功能(該配置會寫入用戶端通道定義表檔案中)。

    1. IBM MQ 伺服器上,在 IBM MQ Explorer中,展開佇列管理程式。
    2. 建立類型為 OCSP的新鑑別資訊物件。
      如需相關資訊,請參閱 建立及配置佇列管理程式和物件
    3. 重複前一個步驟,以根據您需要的數量來建立 OCSP 鑑別資訊物件。
    4. 建立新的名稱清單,並在名稱清單中新增您在步驟 2 和 3 中建立的 OCSP 鑑別資訊物件的名稱。
      如需相關資訊,請參閱 建立及配置佇列管理程式和物件
    5. 用滑鼠右鍵按一下佇列管理程式,然後按一下 內容
    6. 在「 SSL 」頁面上的 撤銷名單 欄位中,鍵入您在步驟 4 中建立的名單名稱。
    7. 按一下 確定
    8. 使用戶端通道定義表可供用戶端使用。

    只有一個 OCSP 物件可以新增至名稱清單,因為 Socket 程式庫一次只能使用一個 OCSP 回應端 URL。 如需相關資訊,請參閱 保護

    另請參閱 IBM MQ MQI 用戶端概觀