Configurazione di TLS sui client MQI IBM MQ
Gestire i certificati client IBM® MQ, configurare i canali per utilizzare TLS e autenticare i certificati utilizzando i CRL (Certificate Revocation List) o l'autenticazione OCSP.
Informazioni su questa attività
Questa attività introduce i comandi che si utilizzano per lavorare con TLS su un client IBM MQ. Per ulteriori informazioni, vedere Protezione e Impostazione della sicurezza client IBM MQ MQI.
PROCEDURE
- [ OPZIONE 1] Gestire i certificati del client IBM MQ
Utilizzare la GUI di IBM strmqikm per gestire i certificati TLS. Per ulteriori informazioni, consultare Richiamo della GUI di IBM strmqikm (iKeyman).
- Trovare l'ubicazione del repository delle chiavi del client.Digitare il seguente comando per esaminare la variabile di ambiente MQSSLKEYR:
echo %MQSSLKEYR%
- Nella GUI strmqikm , verificare che il repository delle chiavi del client contenga tutti i certificati CA (Certificate Authority) che potrebbero essere necessari per convalidare i certificati ricevuti da altri gestori code.
- Controllare l'applicazione, perché il repository delle chiavi può essere impostato su una chiamata MQCONNX. Se sono impostati entrambi i valori, il valore impostato su una chiamata MQCONNX sovrascrive il valore di MQSSLKEYR.
- Trovare l'ubicazione del repository delle chiavi del client.
- [OPZIONE 2] Configurare i canali per utilizzare TLS
Configurare i canali TLS come descritto in Configurazione dei canali TLS.
- [OPZIONE 3] Autenticare i certificati utilizzando i CRL (Certificate Revocation List)
Le CA (Certification Authority) possono revocare i certificati che non sono più considerati sicuri pubblicandoli in un elenco di revoca dei certificati (CRL, Certification Revocation List). Quando viene ricevuto da un gestore code o da un client MQI IBM MQ, un certificato può essere controllato rispetto al CRL per assicurarsi che non sia stato revocato. Il controllo del CRL non è obbligatorio per la messaggistica abilitata a TLS, ma si consiglia comunque di eseguirlo per verificare l'attendibilità dei certificati utente.
È possibile impostare un client MQI IBM MQ per controllare i certificati rispetto ai CRL sui server LDAP.
- Sul server IBM MQ , in IBM MQ Explorer, espandere il gestore code.
- Creare un nuovo oggetto delle informazioni di autenticazione di tipo LDAP CRL. Per ulteriori informazioni, fare riferimento a Creazione e configurazione di gestori code e oggetti.
- Ripetere il passo precedente per creare tutti gli oggetti di informazioni di autenticazione di cui si ha bisogno.
- Creare un elenco dei nomi e aggiungere a tale elenco i nomi degli oggetti di informazioni di autenticazione creati nei passi 2 e 3. Per ulteriori informazioni, consultare Creazione e configurazione di gestori code e oggetti.
- Fare clic con il tasto destro del mouse sul gestore code, quindi selezionare Proprietà.
- Nella pagina SSL , nel campo Elenco nomi CRL , immettere il nome dell'elenco nomi creato al passo 4.
- Fare clic su OK.
Tutte le informazioni CRL su LDAP vengono scritte nella tabella di definizione di canale client.
- Rendere la tabella di definizione del canale client disponibile per il client oppure, se si utilizza Windows Active Directory, scrivere le informazioni dalla tabella di definizione del canale client in Active Directory. Consultare il comando setmqscp.
È possibile aggiungere all'elenco nomi un massimo di 10 connessioni a server LDAP alternativi in modo da garantire la continuità del servizio se non è più possibile accedere a uno o più server LDAP. Per ulteriori informazioni, vedere Protezione.
Consultare anche Panoramica dei client MQI IBM MQ.
- [OPZIONE 4] Autenticare i certificati utilizzando l'autenticazione OCSP
È possibile impostare un client MQI IBM MQ per controllare i certificati rispetto a un responder OCSP. alcuni ambienti client non supportano il controllo della revoca OCSP ma tutte le piattaforme server supportano la capacità di definire la configurazione OCSP che verrà scritta nel file contenente la tabella di definizione di canale client.
- Sul server IBM MQ , in IBM MQ Explorer, espandere il gestore code.
- Creare un nuovo oggetto delle informazioni di autenticazione di tipo OCSP. Per ulteriori informazioni, consultare Creazione e configurazione di gestori code e oggetti.
- Ripetere il passo precedente per creare tutti gli oggetti di informazioni di autenticazione OCSP di cui si ha bisogno.
- Creare un nuovo elenco dei nomi e aggiungere a tale elenco i nomi degli oggetti di informazioni di autenticazione OCSP creati nei passi 2 e 3. Per ulteriori informazioni, consultare Creazione e configurazione di gestori code e oggetti.
- Fare clic con il tasto destro del mouse sul gestore code, quindi selezionare Proprietà.
- Nella pagina SSL , nel campo Elenco nomi di revoca , immettere il nome dell'elenco nomi creato nel passo 4.
- Fare clic su OK.
- Rendere la tabella di definizioni del canale client disponibile al client
È possibile aggiungere all'elenco nomi un solo oggetto OCSP dato che la libreria di socket può utilizzare un solo URL responder OCSP alla volta. Per ulteriori informazioni, vedere Protezione.
Consultare anche Panoramica dei client MQI IBM MQ.