Configurar TLS en los gestores de colas

Después de iniciar IBM® strmqikm (iKeyman) GUI, puede utilizarlo para gestionar certificados TLS. También puede autenticar certificados utilizando las listas de revocación de certificados o la autenticación OCSP.

Antes de comenzar

Para obtener más información sobre cómo iniciar la GUI de strmqikm , consulte Invocación de la GUI de IBM strmqikm (iKeyman).

Acerca de esta tarea

Esta tarea introduce los mandatos que se utilizan para trabajar con TLS en un cliente IBM MQ . Para obtener más información, consulte Protección y Configuración de la seguridad del cliente MQI de IBM MQ.

Procedimiento

  • [OPCIÓN 1] Crear el repositorio de claves del gestor de colas

    El depósito de claves es el lugar donde se almacenan los certificados utilizados por el gestor de colas. En plataformas AIX®, Linux®, and Windows , el repositorio de claves se conoce como archivo de base de datos de claves.

    Para poder almacenar los certificados del gestor de colas en el depósito de claves, debe asegurarse de que existe un archivo de base de datos de claves en esta ubicación.

    1. Busque la ubicación del repositorio de claves del gestor de claves.
      Esto se especifica en el atributo Repositorio de claves del gestor de colas.
    2. Si necesita crear el archivo de base de datos de claves, hágalo utilizando la GUI de strmqikm .
      Para obtener más información, consulte Invocación de la GUI de IBM strmqikm (iKeyman).
    3. En la GUI de strmqikm , asegúrese de que el repositorio de claves del gestor de colas contiene todos los certificados de entidad emisora de certificados (CA) que pueden ser necesarios para validar los certificados recibidos de otros gestores de colas.
  • [OPCIÓN 2] Cambiar la ubicación del repositorio de claves del gestor de colas

    En determinadas circunstancias es aconsejable cambiar la ubicación del repositorio de claves; por ejemplo, para utilizar una ubicación compartida por todos los gestores de colas de un sistema operativo.

    Para cambiar la ubicación del depósito de claves de un gestor de colas:

    1. Cambie la ubicación del depósito de claves en las propiedades del gestor de colas:
      1. Abra IBM MQ Explorer y expanda la carpeta Gestores de colas .
      2. Pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
      3. En la página de propiedades SSL, edite la vía de acceso en el campo Depósito de claves para que señale al directorio seleccionado.
      4. En el diálogo aviso, pulse .
    2. Transfiera los certificados personales del gestor de colas a la nueva ubicación utilizando la GUI de strmqikm .
      Para obtener más información, consulte Protección.
  • [OPCIÓN 3] Autenticar certificados utilizando listas de revocación de certificados

    Las autoridades de certificación (CA) pueden revocar los certificados que han dejado de ser fiables; para ello, los publican en una lista de revocación de certificados (CRL). Cuando un gestor de colas o un cliente MQI de IBM MQ recibe un certificado, se puede comprobar con la CRL para asegurarse de que no se ha revocado. La comprobación con la CRL no es obligatoria para conseguir una mensajería habilitada para TLS, pero es aconsejable asegurarse de la fiabilidad de los certificados de usuario.

    Para configurar una conexión con un servidor CRL LDAP, realice los pasos siguientes:

    1. En IBM MQ Explorer, expanda el gestor de colas.
    2. Cree un objeto de información de autenticación de tipo CRL LDAP. Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
    3. Repita el paso anterior para crear tantos objetos CRL LDAP de información de autenticación como sean necesarios.
    4. Cree una nueva lista de nombres y añada a la lista de nombres los nombres de los objetos de información de autenticación OCSP que ha creado en los pasos 2 y 3.
      Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
    5. Pulse con el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
    6. En la página SSL , en el campo Lista de nombres de CRL , escriba el nombre de la lista de nombres que ha creado en el paso 4.
    7. Pulse Aceptar.

    Los certificados que recibe el gestor de colas se pueden autenticar contra la CRL mantenida en el servidor LDAP.

    Puede añadir a la lista de nombres hasta 10 conexiones a servidores LDAP alternativos para asegurar la continuidad del servicio si uno o más de los servidores LDAP son inaccesibles.

  • [OPCIÓN 4] Autenticar certificados utilizando la autenticación OCSP

    [AIX, Linux, Windows]En AIX, Linux, and Windows, el soporte de IBM MQ TLS comprueba si hay certificados revocados utilizando OCSP (Online Certificate Status Protocol) o utilizando CRL y ARL en servidores LDAP (Lightweight Directory Access Protocol). El OCSP es el método preferido. IBM MQ classes for Java y IBM MQ classes for JMS no pueden utilizar la información de OCSP en un archivo de tabla de definición de canal de cliente. Sin embargo, puede configurar OCSP tal como se describe en Certificados revocados y OCSP.

    [z/OS][IBM i]IBM i y z/OS® no dan soporte a la comprobación OCSP, pero sí permiten la generación de tablas de definición de canal de cliente (CCDT) que contienen información OCSP.

    Para obtener más información sobre las CCDT y OCSP, consulte Tabla de definiciones de canal de cliente.

    Para configurar una conexión con un servidor OCSP, realice los pasos siguientes.

    1. En IBM MQ Explorer, expanda el gestor de colas.
    2. Cree un objeto de información de autenticación de tipo OCSP.
      Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
    3. Repita el paso anterior para crear tantos objetos OCSP de información de autenticación como sean necesarios.
    4. Cree una nueva lista de nombres y añada a la lista de nombres los nombres de los objetos de información de autenticación OCSP que ha creado en los pasos 2 y 3.
      Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
    5. Pulse con el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
    6. En la página SSL , en el campo Lista de nombres de revocación , escriba el nombre de la lista de nombres que ha creado en el paso 4.
    7. Pulse Aceptar.

    Los certificados que recibe el gestor de colas se autentican contra el programa de respuesta de OCSP.

    El gestor de colas escribe información OCSP al CCDT.

    Solamente se puede añadir un objeto OCSP a la lista de nombres porque la biblioteca de sockets solamente puede utilizar un URL de programa de respuesta OCSP cada vez.

  • [OPCIÓN 5] Configurar hardware criptográfico

    IBM MQ puede dar soporte al hardware criptográfico y el gestor de colas debe estar configurado en consecuencia.

    1. Inicie IBM MQ Explorer.
    2. En la vista Navigator , pulse con el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
      Se abre el diálogo Propiedades.
    3. En la página SSL , pulse Configurar.
      Se abre el diálogo Valores de hardware criptográfico.
    4. En el diálogo Valores de hardware criptográfico , especifique la vía de acceso al controlador PKCS #11 y la etiqueta de señal, la contraseña de señal y el valor de cifrado simétrico.

      Todas las tarjetas criptográficas admitidas utilizan ahora PKCS #11, por lo que debe hacer caso omiso a las referencias a tarjetas Rainbow Cryptoswift o nCipher nFast.

    5. Pulse Aceptar.

    Ahora el gestor de colas está configurado para utilizar el hardware de cifrado.

    También puede trabajar con certificados que se almacenan en el hardware PKCS #11 utilizando iKeyman.

    Para obtener más información, consulte Protección.