キュー・マネージャーでの TLS の構成
IBM® strmqikm の開始後 (iKeyman) GUI を使用して、TLS 証明書を管理できます。 証明書取り消しリストまたは OCSP 認証を使用して証明書を認証することもできます。
作業を始める前に
strmqikm GUI を開始する方法について詳しくは、 IBM strmqikm (iKeyman) GUI の呼び出しを参照してください。
本タスクについて
このタスクでは、 IBM MQ クライアントで TLS を処理するために使用するコマンドについて説明します。 詳しくは、 「 の保護」および IBM MQ MQI クライアント・セキュリティーのセットアップを参照してください。
手順
- [オプション 1] キュー・マネージャーのキー・リポジトリーの作成
キー・リポジトリーとは、キュー・マネージャーが使用する証明書を格納する場所です。 AIX®, Linux®, and Windows プラットフォームでは、鍵リポジトリーは鍵データベース・ファイルと呼ばれます。
キー・リポジトリーにキュー・マネージャーの証明書を保管する前に、この場所に鍵データベース・ファイルが 存在していることを確認する必要があります。
- キュー・マネージャーのキー・リポジトリーの場所を見つけます。 これは、キュー・マネージャーの「キー・リポジトリー」属性で指定されます。
- 鍵データベース・ファイルを作成する必要がある場合は、 strmqikm GUI を使用して作成します。 詳しくは、 IBM strmqikm (iKeyman) GUI の呼び出しを参照してください。
- strmqikm GUI で、キュー・マネージャーの鍵リポジトリーに、他のキュー・マネージャーから受信した証明書を検証するために必要となる可能性があるすべての認証局 (CA) 証明書が含まれていることを確認します。
- キュー・マネージャーのキー・リポジトリーの場所を見つけます。
- [オプション 2] キュー・マネージャーのキー・リポジトリーの場所の変更
特定の状況では、例えば 1 つのオペレーティング・システムですべてのキュー・マネージャーによって共有される 1 つの場所を使用するために、キー・リポジトリーの場所を変更することもできます。
キュー・マネージャーのキー・リポジトリーを変更するには、以下のようにします。
- キュー・マネージャーのプロパティーでキー・リポジトリーの場所を以下のように変更します。
- IBM MQ Explorer を開き、 Queue Managers フォルダーを展開する。
- キュー・マネージャーを右クリックして「プロパティー」を選択します。
- 「SSL」プロパティー・ページで、 「キー・リポジトリー」フィールドのパスを編集して、選択したディレクトリーを 指すようにします。
- 「警告」 ダイアログで、 「はい」をクリックします。
- strmqikm GUI を使用して、キュー・マネージャーの個人証明書を新しい場所に転送します。 詳しくは、 保護を参照してください。
- キュー・マネージャーのプロパティーでキー・リポジトリーの場所を以下のように変更します。
- [オプション 3] 証明書取り消しリストによる証明書の認証
認証機関 (CA) は、信頼できない証明書を証明書取り消しリスト (CRL) で公開することによって、 そのような証明書を取り消すことができます。 証明書がキュー・マネージャーまたは IBM MQ MQI クライアントによって受信されると、CRL に照らして検査し、取り消されていないことを確認することができます。 CRL 検査は、TLS 対応メッセージングの実現に必須ではありませんが、ユーザー証明書の信頼性を保証するために推奨されます。
LDAP CRL サーバーへの接続をセットアップするには、以下の手順を実行します。
- IBM MQ Explorerで、キュー・マネージャーを展開します。
- CRL LDAPタイプの認証情報オブジェクトを作成します。 詳しくは、 キュー・マネージャーおよびオブジェクトの作成と構成を参照してください。
- 前のステップを繰り返して、必要な数の CRL LDAP 認証情報オブジェクトを作成します。
- 名前リストを作成し、ステップ 2 と 3 で作成した認証情報オブジェクトの名前をこの名前リストに追加します。 詳しくは、 キュー・マネージャーおよびオブジェクトの作成と構成を参照してください。
- キュー・マネージャーを右クリックして、 「プロパティー」をクリックします。
- 「SSL」 ページの 「CRL 名前リスト」 フィールドに、ステップ 4 で作成した名前リストの名前を入力します。
- 「OK」をクリックします。
これで、キュー・マネージャーが受け取る証明書は、LDAP サーバーで保持されている CRL に対して認証されます。
代替 LDAP サーバーへの接続を最大 10 まで名前リストに追加でき、1 つまたは複数の LDAP サーバーにアクセス不能に なったとき、サービスの継続性を保証できます。
- [オプション 4] OCSP 認証による証明書の認証
AIX, Linux, and Windowsでは、 IBM MQ TLS サポートにより、OCSP (Online Certificate Status Protocol) または LDAP (Lightweight Directory Access Protocol) サーバー上の CRL と ARL を使用して、取り消された証明書がないか検査されます。 OCSP が推奨される方法です。 IBM MQ classes for Java および IBM MQ classes for JMS は、クライアント・チャネル定義テーブル・ファイル内の OCSP 情報を使用できません。 ただし、 失効した証明書および OCSPの説明に従って OCSP を構成することができます。
IBM i および z/OS® は OCSP 検査をサポートしませんが、OCSP 情報を含むクライアント・チャネル定義テーブル (CCDT) の生成を許可します。
CCDT および OCSP について詳しくは、 クライアント・チャネル定義テーブルを参照してください。
OCSP サーバーへの接続をセットアップするには、以下の手順を実行します。
- IBM MQ Explorerで、キュー・マネージャーを展開します。
- OCSPタイプの認証情報オブジェクトを作成します。 詳しくは、 キュー・マネージャーおよびオブジェクトの作成と構成を参照してください。
- 前のステップを繰り返して、必要な数の OCSP 認証情報オブジェクトを作成します。
- 名前リストを作成し、ステップ 2 と 3 で作成した OCSP 認証情報オブジェクトの名前をこの名前リストに追加します。 詳しくは、 キュー・マネージャーおよびオブジェクトの作成と構成を参照してください。
- キュー・マネージャーを右クリックして、 「プロパティー」をクリックします。
- 「SSL」 ページの 「失効名前リスト」 フィールドに、ステップ 4 で作成した名前リストの名前を入力します。
- 「OK」をクリックします。
キュー・マネージャーが受け取る証明書が、OCSP 応答側に照らして認証されます。
キュー・マネージャーが OCSP 情報を CCDT に書き込みます。
ソケット・ライブラリーで一度に使用できる OCSP 応答側 URL が 1 つのみであるため、名前リストには 1 つの OCSP オブジェクトしか追加できません。
- [オプション 5] 暗号化ハードウェアの構成
IBM MQ は暗号ハードウェアをサポートすることができ、それに応じてキュー・マネージャーを構成する必要があります。
- IBM MQ Explorerを開始します。
- Navigator ビューで、キュー・マネージャーを右クリックして、 「プロパティー」をクリックします。 「プロパティー」 ダイアログが開きます。
- 「SSL」 ページで、 「構成」をクリックします。 「 暗号ハードウェア設定 」ダイアログが開きます。
- 「 暗号ハードウェア設定 」ダイアログで、PKCS #11 ドライバーへのパス、トークン・ラベル、トークン・パスワード、および対称暗号設定を入力します。
サポートされているすべての暗号カードに PKCS #11 が使用されていて、Rainbow Cryptoswift カードまたは nCipher nFast カードへの参照は無視されます。
- 「OK」をクリックします。
こうして、キュー・マネージャーは暗号ハードウェアを使用するように構成されました。
IKEYMAN を使用して、PKCS #11 ハードウェアに保管されている証明書を処理することもできます。
詳しくは、 保護を参照してください。