在佇列管理程式上配置 TLS
在啟動 IBM® strmqikm (iKeyman) 之後 GUI ,您可以使用它來管理 TLS 憑證。 您也可以使用「憑證撤銷清冊」或 OCSP 鑑別來鑑別憑證。
開始之前
如需如何啟動 strmqikm GUI 的相關資訊,請參閱 呼叫 IBM strmqikm (iKeyman) GUI。
關於此作業
此作業介紹您用來在 IBM MQ 用戶端上使用 TLS 的指令。 如需相關資訊,請參閱 保護 及 設定 IBM MQ MQI 用戶端安全。
程序
- [選項 1] 建立佇列管理程式金鑰儲存庫
金鑰儲存庫是佇列管理程式所用的憑證的儲存所在。 在 AIX®, Linux®, and Windows 平台上,金鑰儲存庫稱為金鑰資料庫檔。
將佇列管理程式憑證儲存在金鑰儲存庫之前,您必須先確定金鑰資料庫檔存在於此位置。
- 尋找佇列管理程式金鑰儲存庫的位置。 這會在佇列管理程式的金鑰儲存庫屬性中指定。
- 如果您需要建立金鑰資料庫檔,請使用 strmqikm GUI 來執行此動作。 如需相關資訊,請參閱 呼叫 IBM strmqikm (iKeyman) GUI。
- 在 strmqikm GUI 中,確保佇列管理程式金鑰儲存庫包含所有憑證管理中心 (CA) 憑證,這些憑證可能需要用來驗證從其他佇列管理程式收到的憑證。
- 尋找佇列管理程式金鑰儲存庫的位置。
- [選項 2] 變更佇列管理程式金鑰儲存庫位置
在某些情況下,您可能想要變更金鑰儲存庫位置;例如,使用一個作業系統上所有佇列管理程式共用的單一位置。
若要變更佇列管理程式金鑰儲存庫位置,請執行下列動作:
- 變更佇列管理程式內容中的金鑰儲存庫位置:
- 開啟 IBM MQ Explorer 並展開佇列管理程式資料夾。
- 在佇列管理程式上按一下滑鼠右鍵,然後按一下內容。
- 在 SSL 內容頁上,可編輯金鑰儲存庫欄位中的路徑,讓它指向您選擇的目錄。
- 在警告對話框中,按一下是。
- 使用 strmqikm GUI 將佇列管理程式個人憑證傳送至新位置。 如需相關資訊,請參閱 維護安全。
- 變更佇列管理程式內容中的金鑰儲存庫位置:
- [OPTION 3] 使用「憑證撤銷清冊」來鑑別憑證
憑證管理中心 (CA) 可以在憑證撤銷清冊 (CRL) 中公佈不再信任的憑證,來撤銷那些憑證。 當佇列管理程式或 IBM MQ MQI 用戶端收到憑證時,可以根據 CRL 來檢查它,以確定它尚未撤銷。 要達到啟用 TLS 的傳訊,不一定要強制進行 CRL 檢查,但建議您這麼做,以確保使用者憑證的可信度。
若要設定與 LDAP CRL 伺服器的連線,請完成下列步驟:
- 在 IBM MQ Explorer中,展開佇列管理程式。
- 建立 CRL LDAP類型的鑑別資訊物件。 如需相關資訊,請參閱 建立及配置佇列管理程式和物件。
- 重複前一個步驟,以根據您需要的數量來建立 CRL LDAP 鑑別資訊物件。
- 建立名稱清單,並新增至名稱清單中您在步驟 2 和 3 中建立的鑑別資訊物件的名稱。 如需相關資訊,請參閱 建立及配置佇列管理程式和物件。
- 用滑鼠右鍵按一下佇列管理程式,然後按一下 內容。
- 在「 SSL 」頁面的 CRL 名單 欄位中,輸入您在步驟 4 中建立的名單名稱。
- 按一下 確定。
現在,可以根據 LDAP 伺服器所保留的 CRL 來鑑別佇列管理程式接收的憑證。
您可以將替代 LDAP 伺服器的最多 10 條連線新增至名稱清單中,以確保萬一有一或多個 LDAP 伺服器無法存取時,服務還是可以繼續。
- [OPTION 4] 使用 OCSP 鑑別來鑑別憑證
在 AIX, Linux, and Windows上, IBM MQ TLS 支援會使用 OCSP (線上憑證狀態通訊協定) 或使用 LDAP (輕量型目錄存取通訊協定) 伺服器上的 CRL 及 ARL ,來檢查已撤銷的憑證。 OCSP 是較好的方法。 IBM MQ classes for Java 和 IBM MQ classes for JMS 無法在用戶端通道定義表檔案中使用 OCSP 資訊。 不過,您可以依照 已撤銷的憑證和 OCSP中的說明來配置 OCSP。
IBM i 及 z/OS® 不支援 OCSP 檢查,但容許產生包含 OCSP 資訊的用戶端通道定義表 (CCDT)。
如需 CCDT 及 OCSP 的相關資訊,請參閱 用戶端通道定義表。
若要設定與 OCSP 伺服器的連線,請完成下列步驟。
- 在 IBM MQ Explorer中,展開佇列管理程式。
- 建立 OCSP類型的鑑別資訊物件。 如需相關資訊,請參閱 建立及配置佇列管理程式和物件。
- 重複前一個步驟,以根據您需要的數量來建立 OCSP 鑑別資訊物件。
- 建立名稱清單並在其中新增您在步驟 2 和 3 中建立的 OCSP 鑑別資訊物件的名稱。 如需相關資訊,請參閱 建立及配置佇列管理程式和物件。
- 用滑鼠右鍵按一下佇列管理程式,然後按一下 內容。
- 在「 SSL 」頁面上的 撤銷名單 欄位中,鍵入您在步驟 4 中建立的名單名稱。
- 按一下 確定。
根據 OCSP 回應端,鑑別佇列管理程式所收到的憑證。
佇列管理程式會將 OCSP 資訊寫入 CCDT。
只有一個 OCSP 物件可以新增至名稱清單,因為 Socket 程式庫一次只能使用一個 OCSP 回應端 URL。
- [選項 5] 配置加密硬體
IBM MQ 可以支援加密硬體,且必須相應地配置佇列管理程式。
- 啟動 IBM MQ Explorer。
- 在「 Navigator 」視圖中,用滑鼠右鍵按一下佇列管理程式,然後按一下 內容。 即會開啟內容對話框。
- 在 SSL 頁面上,按一下 配置。 即會開啟加密硬體設定對話框。
- 在「 加密硬體設定 」對話框中,輸入 PKCS #11 驅動程式的路徑,以及記號標籤、記號密碼和對稱密碼設定。
所有支援的加密卡現在都使用 PKCS #11,因此請忽略對 Rainbow Cryptoswift 或 nCipher nFast 卡的參照。
- 按一下 確定。