在 IBM MQ MQI 用戶端上配置 TLS
管理 IBM® MQ 用戶端憑證,配置通道以使用 TLS,並使用「憑證撤銷清冊」或 OCSP 鑑別來鑑別憑證。
關於此作業
此作業介紹您用來在 IBM MQ 用戶端上使用 TLS 的指令。 如需相關資訊,請參閱 保護 及 設定 IBM MQ MQI 用戶端安全。
程序
- [OPTION 1] 管理 IBM MQ 用戶端憑證
使用 IBM strmqikm GUI 來管理 TLS 憑證。 如需相關資訊,請參閱 呼叫 IBM strmqikm (iKeyman) GUI。
- 尋找用戶端金鑰儲存庫的位置。鍵入下列指令,以檢查 MQSSLKEYR 環境變數:
echo %MQSSLKEYR%
- 在 strmqikm GUI 中,確保用戶端金鑰儲存庫包含所有憑證管理中心 (CA) 憑證,這些憑證可能需要用來驗證從其他佇列管理程式收到的憑證。
- 請檢查您的應用程式,因為金鑰儲存庫可以設定在 MQCONNX 呼叫上。 如果同時設定兩個值,則設定在 MQCONNX 呼叫中的值會置換 MQSSLKEYR 的值。
- 尋找用戶端金鑰儲存庫的位置。
- [OPTION 2] 配置通道以使用 TLS
依照 配置 TLS 通道中的說明來設定 TLS 通道。
- [OPTION 3] 使用「憑證撤銷清冊」來鑑別憑證
憑證管理中心 (CA) 可以在憑證撤銷清冊 (CRL) 中公佈不再信任的憑證,來撤銷那些憑證。 當佇列管理程式或 IBM MQ MQI 用戶端收到憑證時,可以根據 CRL 來檢查它,以確定它尚未撤銷。 要達到啟用 TLS 的傳訊,不一定要強制進行 CRL 檢查,但建議您這麼做,以確保使用者憑證的可信度。
您可以設定 IBM MQ MQI 用戶端,以針對 LDAP 伺服器上的 CRL 檢查憑證。
- 在 IBM MQ 伺服器上,在 IBM MQ Explorer中,展開佇列管理程式。
- 建立 CRL LDAP類型的新鑑別資訊物件。 如需相關資訊,請參閱 建立及配置佇列管理程式和物件。
- 重複前一個步驟,以建立許多鑑別資訊物件作為您需要的物件。
- 建立名稱清單,並新增至名稱清單中您在步驟 2 和 3 中建立的鑑別資訊物件的名稱。 如需相關資訊,請參閱 建立及配置佇列管理程式和物件。
- 用滑鼠右鍵按一下佇列管理程式,然後按一下 內容。
- 在「 SSL 」頁面的 CRL 名單 欄位中,輸入您在步驟 4 中建立的名單名稱。
- 按一下 確定。
現在,所有 LDAP CRL 資訊都會寫入至用戶端通道定義表中。
- 讓用戶端通道定義表可供用戶端使用,或者如果您是使用 Windows Active Directory,請將資訊從用戶端通道定義表寫入 Active Directory。 請參閱 setmqscp 指令。
您可以將替代 LDAP 伺服器的最多 10 條連線新增至名稱清單中,以確保萬一有一或多個 LDAP 伺服器無法存取時,服務還是可以繼續。 如需相關資訊,請參閱 保護。
另請參閱 IBM MQ MQI 用戶端概觀。
- [OPTION 4] 使用 OCSP 鑑別來鑑別憑證
您可以設定 IBM MQ MQI 用戶端,以針對 OCSP 回應者檢查憑證。 某些用戶端環境不支援 OCSP 撤銷檢查,但所有伺服器平台都支援定義 OCSP 配置的功能(該配置會寫入用戶端通道定義表檔案中)。
- 在 IBM MQ 伺服器上,在 IBM MQ Explorer中,展開佇列管理程式。
- 建立類型為 OCSP的新鑑別資訊物件。 如需相關資訊,請參閱 建立及配置佇列管理程式和物件。
- 重複前一個步驟,以根據您需要的數量來建立 OCSP 鑑別資訊物件。
- 建立新的名稱清單,並在名稱清單中新增您在步驟 2 和 3 中建立的 OCSP 鑑別資訊物件的名稱。 如需相關資訊,請參閱 建立及配置佇列管理程式和物件。
- 用滑鼠右鍵按一下佇列管理程式,然後按一下 內容。
- 在「 SSL 」頁面上的 撤銷名單 欄位中,鍵入您在步驟 4 中建立的名單名稱。
- 按一下 確定。
- 使用戶端通道定義表可供用戶端使用。
只有一個 OCSP 物件可以新增至名稱清單,因為 Socket 程式庫一次只能使用一個 OCSP 回應端 URL。 如需相關資訊,請參閱 保護。
另請參閱 IBM MQ MQI 用戶端概觀。