TLS auf Warteschlangenmanagern konfigurieren
Nach dem Start von IBM® strmqikm (iKeyman) GUI können Sie zum Verwalten von TLS-Zertifikaten verwenden. Sie können Zertifikate auch mithilfe von Zertifikatswiderrufslisten oder der OCSP-Authentifizierung authentifizieren.
Bevor Sie beginnen
Weitere Informationen zum Starten der grafischen Benutzerschnittstelle von strmqikm finden Sie unter IBM -strmqikm-GUI (iKeyman) aufrufen.
Informationen zu dieser Task
Diese Task führt die Befehle ein, die Sie zum Arbeiten mit TLS auf einem IBM MQ -Client verwenden. Weitere Informationen hierzu finden Sie unter Sicherheit und IBM MQ MQI-Clientsicherheit einrichten.
Verfahren
- [OPTION 1] Erstellen des Schlüsselrepositorys des Warteschlangenmanagers
Vom Warteschlangenmanager verwendete Zertifikate werden im Schlüsselrepository gespeichert. Auf AIX®, Linux®, and Windows -Plattformen wird das Schlüsselrepository als Schlüsseldatenbankdatei bezeichnet.
Die Zertifikate des Warteschlangenmanagers können erst im Schlüsselrepository gespeichert werden, wenn an dieser Adresse eine Schlüsseldatenbankdatei erstellt wurde.
- Suchen Sie die Position des Schlüsselrepositorys des Warteschlangenmanagers. Sie ist im Attribut Schlüsselrepository des Warteschlangenmanagers angegeben.
- Wenn Sie die Schlüsseldatenbankdatei erstellen müssen, verwenden Sie dazu die strmqikm -GUI. Weitere Informationen finden Sie unter IBM strmqikm-GUI (iKeyman) aufrufen.
- Stellen Sie in der strmqikm -GUI sicher, dass das Schlüsselrepository des Warteschlangenmanagers alle Zertifikate der Zertifizierungsstelle enthält, die möglicherweise erforderlich sind, um Zertifikate zu validieren, die von anderen Warteschlangenmanagern empfangen werden.
- Suchen Sie die Position des Schlüsselrepositorys des Warteschlangenmanagers.
- [OPTION 2] Ändern der Position des Schlüsselrepositorys des Warteschlangenmanagers
Unter bestimmten Umständen kann es angebracht sein, die Position des Schlüsselrepositorys zu ändern, z. B., um eine einzelne Position zu verwenden, die von allen Warteschlangenmanagern in einem einzigen Betriebssystem gemeinsam genutzt wird.
Gehen Sie wie folgt vor, um die Adresse des Schlüsselrepositorys eines Warteschlangenmanagers zu ändern:
- Ändern Sie die Speicherposition des Schlüsselrepositorys in den Eigenschaften des Warteschlangenmanagers:
- Öffnen Sie IBM MQ Explorer und erweitern Sie den Ordner Warteschlangenmanager .
- Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
- Ändern Sie auf der Seite mit den SSL-Eigenschaften den Pfad im Feld Schlüsselrepository so, dass er auf das Verzeichnis Ihrer Wahl verweist.
- Klicken Sie im Warnungsdialog auf Ja.
- Übertragen Sie die persönlichen Zertifikate des Warteschlangenmanagers über die strmqikm -GUI an die neue Position. Weitere Informationen finden Sie unter Sicherheit.
- Ändern Sie die Speicherposition des Schlüsselrepositorys in den Eigenschaften des Warteschlangenmanagers:
- [OPTION 3] Authentifizieren von Zertifikaten mithilfe von Zertifikatswiderrufslisten
Zertifizierungsstellen (Certification Authorities, CAs) können Zertifikate sperren, die nicht mehr allgemein zugänglich sein sollen und diese in einer Zertifikatswiderrufsliste (Certification Revocation List, CRL) auflisten. Wenn ein Zertifikat von einem Warteschlangenmanager oder einem IBM MQ MQI-Client empfangen wird, kann es anhand der CRL überprüft werden, um sicherzustellen, dass es nicht widerrufen wurde. Die CRL-Überprüfung ist für eine TLS-gesicherte Nachrichtenübertragung nicht unbedingt erforderlich, wird jedoch empfohlen, da so die Integrität von Benutzerzertifikaten gewährleistet wird.
Gehen Sie wie folgt vor, um eine Verbindung zu einem LDAP-CRL-Server einzurichten:
- Erweitern Sie in IBM MQ Explorerden Warteschlangenmanager.
- Erstellen Sie ein Authentifizierungsdatenobjekt des Typs CRL LDAP. Weitere Informationen finden Sie im Artikel Warteschlangenmanager und Objekte erstellen und konfigurieren.
- Wiederholen Sie den vorherigen Schritt, um beliebig viele Authentifizierungsdatenobjekte des Typs 'CRL LDAP' zu erstellen.
- Erstellen Sie eine Namensliste und fügen Sie dieser die Namen der Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben. Weitere Informationen finden Sie unter Warteschlangenmanager und Objekte erstellen und konfigurieren.
- Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und anschließend auf Eigenschaften.
- Geben Sie auf der SSL -Seite im Feld CRL-Namensliste den Namen der Namensliste ein, die Sie in Schritt 4 erstellt haben.
- Klicken Sie auf OK.
Die vom Warteschlangenmanager empfangenen Zertifikate können jetzt mit der CRL auf dem LDAP-Server authentifiziert werden.
Der Namensliste können bis zu zehn Verbindungen zu anderen LDAP-Servern hinzugefügt werden; auf diese Weise ist auch bei einer Nichtverfügbarkeit eines oder mehrerer LDAP-Server ein ordnungsgemäßer Betrieb gewährleistet.
- [OPTION 4] Authentifizieren von Zertifikaten mithilfe der OCSP-Authentifizierung
Unter AIX, Linux, and Windowsprüft die IBM MQ -TLS-Unterstützung mithilfe von OCSP (Online Certificate Status Protocol) oder mithilfe von CRLs und ARLs auf LDAP-Servern (Lightweight Directory Access Protocol) auf widerrufene Zertifikate. OCSP ist die bevorzugte Methode. IBM MQ classes for Java und IBM MQ classes for JMS können die OCSP-Informationen in einer Clientkanaldefinitionstabellendatei nicht verwenden. Sie können OCSP jedoch wie in Widerrufene Zertifikate und OCSPbeschrieben konfigurieren.
IBM i und z/OS® unterstützen keine OCSP-Prüfung, ermöglichen jedoch die Generierung von Definitionstabellen für Clientkanäle (CCDTs) mit OCSP-Informationen.
Weitere Informationen zu CCDTs und OCSP finden Sie unter Definitionstabelle für Clientkanäle.
Gehen Sie wie folgt vor, um eine Verbindung zu einem OCSP-Server einzurichten:
- Erweitern Sie in IBM MQ Explorerden Warteschlangenmanager.
- Erstellen Sie ein Authentifizierungsdatenobjekt des Typs OCSP. Weitere Informationen finden Sie unter Warteschlangenmanager und Objekte erstellen und konfigurieren.
- Wiederholen Sie den vorherigen Schritt, um beliebig viele OCSP-Authentifizierungsdatenobjekte zu erstellen.
- Erstellen Sie eine Namensliste und fügen Sie dieser die Namen der OCSP-Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben. Weitere Informationen finden Sie unter Warteschlangenmanager und Objekte erstellen und konfigurieren.
- Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und anschließend auf Eigenschaften.
- Geben Sie auf der Seite SSL im Feld Widerrufnamensliste den Namen der Namensliste ein, die Sie in Schritt 4 erstellt haben.
- Klicken Sie auf OK.
Die vom Warteschlangenmanager empfangenen Zertifikate werden anhand des OCSP-Responders authentifiziert.
Der Warteschlangenmanager schreibt OCSP-Informationen in die Definitionstabelle für Clientkanäle.
Es kann nur ein OCSP-Objekt zur Namensliste hinzugefügt werden, da die Sockets-Bibliothek immer nur eine OCSP-Responder-URL verwenden kann.
- [OPTION 5] Konfigurieren Sie Verschlüsselungshardware
IBM MQ unterstützt Verschlüsselungshardware und der Warteschlangenmanager muss entsprechend konfiguriert werden.
- Starten Sie IBM MQ Explorer.
- Klicken Sie in der Navigator mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften. Der Dialog Eigenschaften wird geöffnet.
- Klicken Sie auf der Seite SSL auf Konfigurieren. Der Dialog Verschlüsselungshardwareeinstellungen wird geöffnet.
- Geben Sie im Dialog Einstellungen für Verschlüsselungshardware den Pfad zum PKCS #11 -Treiber und die Tokenbezeichnung, das Tokenkennwort und die symmetrische Verschlüsselungseinstellung ein.
Alle unterstützten Verschlüsselungskarten verwenden jetzt PKCS #11. Ignorieren Sie also Verweise auf die Rainbow Cryptoswift- oder nCipher nFast-Karten.
- Klicken Sie auf OK.
Der Warteschlangenmanager ist jetzt für die Verwendung der Verschlüsselungshardware konfiguriert.
Sie können mithilfe von iKeyman auch mit Zertifikaten arbeiten, die mit der PKCS #11-Hardware gespeichert werden.
Weitere Informationen finden Sie unter Sicherheit.