Konfigurace zabezpečení TLS v klientech IBM MQ MQI
Spravujte certifikáty klienta IBM® MQ , nakonfigurujte kanály pro použití TLS a autentizovat certifikáty buď pomocí seznamů odvolaných certifikátů, nebo ověření OCSP.
Informace o této úloze
Tato úloha představuje příkazy, které používáte pro práci s TLS na klientovi IBM MQ . Další informace naleznete v tématu Zabezpečení a Nastavení zabezpečení klienta IBM MQ MQI.
Postup
- [ OPTION 1] Správa certifikátů klienta IBM MQ
Použijte grafické rozhraní produktu IBM strmqikm ke správě certifikátů TLS. Další informace naleznete v tématu Vyvolání grafického uživatelského rozhraní IBM strmqikm (iKeyman).
- Vyhledejte umístění úložiště klíčů klienta.Chcete-li prozkoumat proměnnou prostředí MQSSLKEYR, zadejte následující příkaz:
echo %MQSSLKEYR%
- V grafickém rozhraní produktu strmqikm se ujistěte, že úložiště klíčů klienta obsahuje všechny certifikáty certifikační autority (CA), které mohou být vyžadovány k ověření certifikátů přijatých od jiných správců front.
- Zkontrolujte svou aplikaci, protože úložiště klíčů lze nastavit na volání MQCONNX. Jsou-li zadány obě hodnoty, volání MQCONNX přepíše hodnotu proměnné MQSSLKEYR.
- Vyhledejte umístění úložiště klíčů klienta.
- [VOLBA 2] Konfigurace kanálů pro použití TLS
Nastavte kanály TLS podle popisu v části Konfigurace kanálů TLS.
- [VOLBA 3] Ověřování certifikátů pomocí seznamů odvolaných certifikátů
Certifikační autority mohou odvolávat certifikáty, které ztratily důvěryhodnost. Toto zrušení je provedeno jejich publikováním na seznamu zrušených certifikátů (CRL - Certification Revocation List). Je-li certifikát přijat správcem front nebo klientem IBM MQ MQI, lze jej zkontrolovat v seznamu odvolaných certifikátů a ujistit se, že nebyl odvolán. Ověření oproti seznamu CRL není v systému zpráv s povoleným zabezpečením TLS povinné, avšak doporučuje se pomocí něj ověřovat důvěryhodnost certifikátů uživatele.
Klienta IBM MQ MQI lze nastavit tak, aby kontrolujete certifikáty proti seznamu odvolaných certifikátů na serverech LDAP.
- Na serveru IBM MQ v produktu IBM MQ Explorerrozbalte položku správce front.
- Vytvořte nový objekt ověřovacích informací typu CRL LDAP. Další informace naleznete v tématu Vytvoření a konfigurace správců front a objektů.
- Zopakováním předchozího kroku můžete vytvořit další objekty s ověřovacími informacemi.
- Vytvořte seznam názvů a přidejte do něj názvy objektů s ověřovacími informacemi, které byly vytvořeny v krocích 2 a 3. Další informace naleznete v tématu Vytvoření a konfigurace správců front a objektů.
- Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
- Na stránce SSL v poli Seznam názvů CRL zadejte název seznamu názvů, který jste vytvořili v kroku 4.
- Klepněte na tlačítko OK.
Všechny informace seznamu LDAP CRL nyní budou zapsány do tabulky definic kanálů klienta.
- Zpřístupněte tabulku definic kanálů klienta pro klienta, nebo pokud používáte systém Windows Active Directory, poznamenejte si informace z tabulky definic kanálů klienta do adresáře Active Directory. Viz příkaz setmqscp .
Do seznamu názvů lze přidat až 10 připojení k alternativním serverům LDAP s cílem zajistit pokračování činnosti služby i při nedostupnosti jednoho či více serverů LDAP. Další informace najdete v tématu Zabezpečení.
Viz také téma Přehled klientů MQI IBM MQ.
- [VOLBA 4] Ověřování certifikátů pomocí ověření OCSP
Klienta IBM MQ MQI lze nastavit tak, aby kontroloval certifikáty proti odpovídacímu modulu OCSP. V některých klientských prostředích není kontrola odvolání pomocí protokolu OCSP podporována, všechny serverové platformy však podporují možnost definovat konfiguraci OCSP, která bude zapsána do souboru definiční tabulky kanálu klienta.
- Na serveru IBM MQ v produktu IBM MQ Explorerrozbalte položku správce front.
- Vytvořte nový objekt ověřovacích informací typu OCSP. Další informace naleznete v tématu Vytvoření a konfigurace správců front a objektů.
- Zopakováním předchozího kroku můžete vytvořit další objekty s ověřovacími informacemi OCSP.
- Vytvořte nový seznam názvů a přidejte do něj názvy objektů s ověřovacími informacemi OCSP, které byly vytvořeny v krocích 2 a 3. Další informace naleznete v tématu Vytvoření a konfigurace správců front a objektů.
- Klepněte pravým tlačítkem myši na správce front a poté klepněte na volbu Vlastnosti.
- Na stránce SSL zadejte do pole Seznam názvů zrušení název seznamu názvů, který jste vytvořili v kroku 4.
- Klepněte na tlačítko OK.
- Zpřístupněte tabulku definic kanálů klienta pro klienta.
Do seznamu názvů lze přidat jen jeden objekt OCSP, protože knihovna soketů nemůže využívat více než jednu adresu URL odpovídacího modulu OCSP současně. Další informace najdete v tématu Zabezpečení.
Viz také téma Přehled klientů MQI IBM MQ.