管理 IBM® MQ 客户机证书,配置通道以使用 TLS ,并使用证书撤销列表或 OCSP 认证来认证证书。
关于本任务
此任务引入了用于在 IBM MQ 客户机上使用 TLS 的命令。 有关更多信息,请参阅 保护 和 设置 IBM MQ MQI 客户机安全性。
过程
- [OPTION 1] 管理 IBM MQ 客户机证书
- 查找客户机密钥存储库的位置。
输入以下命令以检查 MQSSLKEYR 环境变量:
echo %MQSSLKEYR%
- 在 strmqikm GUI 中,确保客户机密钥存储库包含验证从其他队列管理器接收的证书时可能需要的所有认证中心 (CA) 证书。
- 检查您的应用程序,因为可以在 MQCONNX 调用中设置密钥存储库。
如果设置两个值,那么在此 MQCONNX 调用中设置的值会覆盖 MQSSLKEYR 的值。
- [选项 2] 配置通道以使用 TLS
- [选项 3] 使用证书撤销列表来认证证书
认证中心(CA)可通过在证书撤销列表(CRL)中发布不再可信的证书来撤销它们。 当队列管理器或 IBM MQ MQI 客户机接收到证书时,可以根据 CRL 对其进行检查,以确保该证书未被撤销。 CRL 检查对于完成支持 TLS 的消息传递来说不是强制的,但是建议使用它以确保用户证书的可信性。
您可以设置 IBM MQ MQI 客户机以针对 LDAP 服务器上的 CRL 检查证书。
- 在 IBM MQ 服务器上的 IBM MQ Explorer中,展开队列管理器。
- 创建类型为 CRL LDAP的新认证信息对象。 有关更多信息,请参阅 创建和配置队列管理器和对象。
- 重复之前的步骤以创建所需数量的认证信息对象。
- 创建名称列表,并将您在步骤 2 和步骤 3 中创建的认证信息对象的名称添加到此名称列表中。
- 右键单击队列管理器,然后单击 属性。
- 在 SSL 页面上的 CRL 名称列表 字段中,输入在步骤 4 中创建的名称列表的名称。
- 单击 确定。
现在,所有 LDAP CRL 信息都写入客户机通道定义表。
- 使客户机通道定义表可供客户机使用,或者,如果您使用的是 Windows Active Directory,请将客户机通道定义表中的信息写出到 Active Directory。
您可将最多 10 个备用 LDAP 服务器的连接添加至名称列表,以确保在一个或多个 LDAP 服务器不可用的情况下继续服务。 有关更多信息,请参阅 保护。
另请参阅 IBM MQ MQI 客户机概述。
- [认证 4] 使用 OCSP 认证来认证证书
您可以设置 IBM MQ MQI 客户机以针对 OCSP 响应程序检查证书。 某些客户机环境不支持 OCSP 撤销检查,但所有服务器平台均支持定义 OCSP 配置的功能,该配置将被写入客户机通道定义表文件。
- 在 IBM MQ 服务器上的 IBM MQ Explorer中,展开队列管理器。
- 创建类型为 OCSP的新认证信息对象。
- 重复之前的步骤以创建所需数量的 OCSP 认证信息对象。
- 创建新的名称列表,并将您在步骤 2 和步骤 3 中创建的 OCSP 认证信息对象的名称添加到此名称列表中。
- 右键单击队列管理器,然后单击 属性。
- 在 " SSL " 页面上的 撤销名称列表 字段中,输入您在步骤 4 中创建的名称列表的名称。
- 单击 确定。
- 使客户机通道定义表可供客户机使用。
由于套接字库每次只能使用一个 OCSP 响应程序 URL,所以只能将一个 OCSP 对象添加至该名称列表。 有关更多信息,请参阅 保护。
另请参阅 IBM MQ MQI 客户机概述。