Konfigurowanie protokołu TLS w menedżerach kolejek
Po uruchomieniu IBM® strmqikm (iKeyman) Interfejs GUI może używać go do zarządzania certyfikatami TLS. Do uwierzytelniania certyfikatów można również użyć list CRL (Certificate Revocation Lists) lub uwierzytelniania OCSP.
Zanim zaczniesz
Więcej informacji na temat sposobu uruchamiania interfejsu GUI produktu strmqikm zawiera sekcja Wywoływanie interfejsu GUI IBM strmqikm (iKeyman).
Informacje o zadaniu
To zadanie wprowadza komendy, których używa się do pracy z protokołem TLS na kliencie IBM MQ . Więcej informacji na ten temat zawiera sekcja Zabezpieczanie i Konfigurowanie zabezpieczeń klienta MQI produktu IBM MQ.
Procedura
- [OPCJA 1] Utwórz repozytorium kluczy menedżera kolejek
Repozytorium kluczy to miejsce, w którym przechowywane są certyfikaty użyte przez menedżer kolejek. W przypadku platform AIX®, Linux®, and Windows repozytorium kluczy jest znane jako plik bazy danych kluczy.
Przed umieszczeniem certyfikatów menedżera kolejek w repozytorium kluczy należy sprawdzić, czy plik bazy danych kluczy istnieje w danym miejscu.
- Znajdź miejsce repozytorium kluczy menedżera kolejek. Miejsce jest określone w atrybucie menedżera kolejek Repozytorium kluczy.
- Jeśli konieczne jest utworzenie pliku bazy danych kluczy, należy to zrobić za pomocą interfejsu GUI programu strmqikm . Więcej informacji na ten temat zawiera sekcja Wywoływanie interfejsu GUI produktu IBM strmqikm (iKeyman).
- W interfejsie GUI programu strmqikm upewnij się, że repozytorium kluczy menedżera kolejek zawiera wszystkie certyfikaty ośrodka certyfikacji (CA), które mogą być wymagane do sprawdzania poprawności certyfikatów odbieranych od innych menedżerów kolejek.
- Znajdź miejsce repozytorium kluczy menedżera kolejek.
- [OPCJA 2] Zmień miejsce repozytorium kluczy menedżera kolejek
W niektórych przypadkach może wystąpić potrzeba zmiany miejsca repozytorium kluczy; na przykład aby użyć jednego miejsca współużytkowanego przez wszystkie menedżery kolejek w jednym systemie operacyjnym.
Aby zmienić położenie repozytorium kluczy menedżera kolejek:
- Zmień położenie repozytorium kluczy we właściwościach menedżera kolejek:
- Otwórz folder IBM MQ Explorer i rozwiń folder Menedżery kolejek .
- Kliknij prawym przyciskiem myszy menedżera kolejek, a następnie kliknij opcję Właściwości.
- Na stronie właściwości SSL zmodyfikuj ścieżkę w polu Repozytorium kluczy, aby wskazać wybrany katalog.
- W oknie dialogowym ostrzeżenia kliknij przycisk Tak.
- Prześlij certyfikaty osobiste menedżera kolejek do nowego miejsca za pomocą interfejsu GUI programu strmqikm . Więcej informacji na ten temat zawiera sekcja Zabezpieczanie.
- Zmień położenie repozytorium kluczy we właściwościach menedżera kolejek:
- [OPCJA 3] Uwierzytelniaj certyfikaty za pomocą list CRL (Certificate Revocation
Lists)
Ośrodki certyfikacji (CA) mogą unieważnić certyfikaty, które nie są już certyfikatami zaufanymi, publikując je na liście CRL (Certification Revocation List). Po odebraniu certyfikatu przez menedżera kolejek lub klienta MQI produktu IBM MQ można go sprawdzić na liście CRL, aby upewnić się, że nie został on unieważniony. Sprawdzanie listy CRL nie jest obowiązkowe w celu aktywowania przesyłania komunikatów z włączonym TLS, ale jest zalecane w celu zagwarantowania wiarygodności certyfikatów użytkownika.
Aby skonfigurować połączenie z serwerem CRL LDAP, wykonaj poniższe kroki:
- W produkcie IBM MQ Explorerrozwiń menedżer kolejek.
- Utwórz obiekt informacji uwierzytelniającej typu CRL LDAP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej CRL LDAP.
- Utwórz listę nazw i dodaj do niej nazwy obiektów informacji
uwierzytelniającej utworzonych w punktach 2 i 3. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Kliknij prawym przyciskiem myszy menedżer kolejek, a następnie kliknij opcję Właściwości.
- Na stronie SSL , w polu Lista nazw CRL , wpisz nazwę listy nazw utworzonej w kroku 4.
- Kliknij przycisk OK.
Certyfikaty otrzymywane przez menedżer kolejek mogą teraz zostać uwierzytelnione za pomocą listy CRL znajdującej się na serwerze LDAP.
Do listy nazw można dodać maksymalnie 10 połączeń z alternatywnymi serwerami LDAP, aby zagwarantować ciągłość usługi w przypadku, gdy jeden lub więcej serwerów LDAP jest niedostępnych.
- [OPCJA 4] Uwierzytelniaj certyfikaty za pomocą uwierzytelniania OCSP
On AIX, Linux, and Windows, IBM MQ TLS support checks for revoked certificates using OCSP (Online Certificate Status Protocol) or using CRLs and ARLs on LDAP (Lightweight Directory Access Protocol) servers. Preferowaną metodą jest użycie protokołu OCSP. Produkty IBM MQ classes for Java i IBM MQ classes for JMS nie mogą korzystać z informacji OCSP w pliku tabeli definicji kanału klienta. Można jednak skonfigurować protokół OCSP w sposób opisany w sekcji Revoked certificates and OCSP(Odwołane certyfikaty i OCSP).
IBM i and z/OS® do not support OCSP checking, but they do allow the generation of client channel definition tables (CCDTs) containing OCSP information.
Więcej informacji na temat CCDTs i OCSP zawiera sekcja Tabela definicji kanału klienta.
Aby skonfigurować połączenie z serwerem OCSP, wykonaj poniższe kroki.
- W produkcie IBM MQ Explorerrozwiń menedżer kolejek.
- Utwórz obiekt informacji uwierzytelniającej typu OCSP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej OCSP.
- Utwórz listę nazw i dodaj do niej nazwy obiektów informacji
uwierzytelniającej OCSP utworzonych w punktach 2 i 3. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
- Kliknij prawym przyciskiem myszy menedżer kolejek, a następnie kliknij opcję Właściwości.
- Na stronie SSL , w polu Lista nazw odwołań , wpisz nazwę listy nazw utworzonej w kroku 4.
- Kliknij przycisk OK.
Certyfikaty odbierane przez menedżer kolejek są uwierzytelniane za pomocą programu odpowiadającego OCSP.
Menedżer kolejek zapisuje informacje OCSP w tabeli CCDT.
Do listy nazw można dodać tylko jeden obiekt OCSP, ponieważ biblioteka gniazd może używać jednocześnie tylko jednego adresu URL modułu odpowiadającego OCSP.
- [OPCJA 5] Skonfiguruj sprzęt szyfrujący
Produkt IBM MQ może obsługiwać sprzęt szyfrujący, a menedżer kolejek musi być odpowiednio skonfigurowany.
- Uruchom IBM MQ Explorer.
- W widoku Navigator kliknij prawym przyciskiem myszy menedżer kolejek, a następnie kliknij opcję Właściwości. Zostanie otwarte okno dialogowe Właściwości.
- Na stronie SSL kliknij opcję Konfiguruj. Zostanie otwarte okno dialogowe Ustawienia sprzętu szyfrującego.
- W oknie dialogowym Cryptographic Hardware Settings (Ustawienia sprzętu szyfrującego) wprowadź ścieżkę do sterownika PKCS #11 oraz etykietę tokenu, hasło tokenu oraz symetryczne ustawienie szyfru.
Wszystkie obsługiwane obecnie karty szyfrujące są w standardzie PKCS #11, dlatego należy zignorować odwołania do kart Rainbow Cryptoswift czy nCipher nFast.
- Kliknij przycisk OK.
Menedżer kolejek został skonfigurowany w celu użycia sprzętu szyfrującego.
Można również pracować z certyfikatami przechowywanymi na sprzęcie PKCS #11 za pomocą programu iKeyman.
Więcej informacji na ten temat zawiera sekcja Zabezpieczanie.