IBM® MQ クライアント証明書を管理し、TLS を使用するようにチャネルを構成し、証明書失効リストまたは OCSP 認証のいずれかを使用して証明書を認証します。
本タスクについて
このタスクでは、 IBM MQ クライアントで TLS を処理するために使用するコマンドについて説明します。 詳しくは、 「 の保護」および IBM MQ MQI クライアント・セキュリティーのセットアップを参照してください。
手順
- [オプション 1] IBM MQ クライアント証明書の管理
- クライアントのキー・リポジトリーの場所を見つけます。
次のコマンドを入力して、MQSSLKEYR 環境変数を調べます。
echo %MQSSLKEYR%
- strmqikm GUI で、クライアント鍵リポジトリーに、他のキュー・マネージャーから受信した証明書を検証するために必要となる可能性があるすべての認証局 (CA) 証明書が含まれていることを確認します。
- キー・リポジトリーは MQCONNX 呼び出しに設定することができるため、ご使用のアプリケーションを検査します。
両方の値が設定されている場合、MQCONNX 呼び出しに設定されている値は MQSSLKEYR の値を指定変更します。
- [オプション 2] TLS を使用するためのチャネルの構成
- [オプション 3] 証明書取り消しリストによる証明書の認証
認証機関 (CA) は、信頼できない証明書を証明書取り消しリスト (CRL) で公開することによって、
そのような証明書を取り消すことができます。 証明書がキュー・マネージャーまたは IBM MQ MQI クライアントによって受信されると、CRL に照らして検査し、取り消されていないことを確認することができます。 CRL 検査は、TLS 対応メッセージングの実現に必須ではありませんが、ユーザー証明書の信頼性を保証するために推奨されます。
IBM MQ MQI クライアントをセットアップして、LDAP サーバー上の CRL に照らして証明書を検査することができます。
- IBM MQ サーバーの IBM MQ Explorerで、キュー・マネージャーを展開します。
- CRL LDAPタイプの新規認証情報オブジェクトを作成します。 詳しくは、 キュー・マネージャーおよびオブジェクトの作成と構成を参照してください。
- 前のステップを繰り返して、必要な数の認証情報オブジェクトを作成します。
- 名前リストを作成し、ステップ 2 と 3 で作成した認証情報オブジェクトの名前をこの名前リストに追加します。
- キュー・マネージャーを右クリックして、 「プロパティー」をクリックします。
- 「SSL」 ページの 「CRL 名前リスト」 フィールドに、ステップ 4 で作成した名前リストの名前を入力します。
- 「OK」をクリックします。
すべての LDAP CRL 情報がクライアント・チャネル定義テーブルに書き込まれます。
- クライアント・チャネル定義テーブルをクライアントで使用できるようにするか、Windows Active Directoryを使用している場合は、クライアント・チャネル定義テーブルの情報を Active Directoryに書き込みます。
代替 LDAP サーバーへの接続を最大 10 まで名前リストに追加でき、1 つまたは複数の LDAP サーバーにアクセス不能に
なったとき、サービスの継続性を保証できます。 詳しくは、 保護を参照してください。
IBM MQ MQI クライアントの概要も参照してください。
- [オプション 4] OCSP 認証による証明書の認証
IBM MQ MQI クライアントをセットアップして、OCSP レスポンダーに対して証明書を検査することができます。 一部のクライアント環境では、OCSP 取り消し検査がサポートされていませんが、すべてのサーバー・プラットフォームで、クライアント・チャネル定義テーブル・ファイルに書き込まれる OCSP 構成を定義することができます。
- IBM MQ サーバーの IBM MQ Explorerで、キュー・マネージャーを展開します。
- OCSPタイプの新規認証情報オブジェクトを作成します。
- 前のステップを繰り返して、必要な数の OCSP 認証情報オブジェクトを作成します。
- 新規の名前リストを作成し、ステップ 2 と 3 で作成した OCSP 認証情報オブジェクトの名前をこの名前リストに追加します。
- キュー・マネージャーを右クリックして、 「プロパティー」をクリックします。
- 「SSL」 ページの 「失効名前リスト」 フィールドに、ステップ 4 で作成した名前リストの名前を入力します。
- 「OK」をクリックします。
- クライアント・チャネル定義テーブルをクライアントが使用できるようにします。
ソケット・ライブラリーで一度に使用できる OCSP 応答側 URL が 1 つのみであるため、名前リストには 1 つの OCSP オブジェクトしか追加できません。 詳しくは、 保護を参照してください。
IBM MQ MQI クライアントの概要も参照してください。