Configurando TLS em IBM MQ clientes de clientes
Gerenciar os certificados clientes IBM® MQ , configurar os canais para usar TLS e autenticar certificados usando a autenticação Certificado Listas ou autenticação OCSP.
Sobre esta tarefa
Esta tarefa apresenta os comandos que você usa para trabalhar com TLS em um cliente IBM MQ . Para obter mais informações, consulte Securing e Configurando o IBM MQ segurança do cliente.
Procedimento
- [OPÇÃO 1] Gerenciar os certificados clientes IBM MQ
Use a GUI do IBM strmqikm para gerenciar seus certificados TLS. Para obter mais informações, consulte Invoking the IBM strmqikm (iKeyman) GUI.
- Encontre o local do repositório de chaves do cliente.Digite o comando a seguir para examinar a variável de ambiente MQSSLKEYR:
echo %MQSSLKEYR%
- Na GUI strmqikm , certifique-se de que o repositório de chaves do cliente contém todos os certificados de CA (Autoridade de Certificação) que podem ser necessários para validar certificados que são recebidos de outros gerenciadores de filas.
- Verifique seu aplicativo, já que o repositório de chaves pode ser configurado em uma chamada MQCONNX. Se ambos os valores forem definidos, o valor definido na chamada MQCONNX substitui o valor de MQSSLKEYR.
- Encontre o local do repositório de chaves do cliente.
- [OPÇÃO 2] Configurar os canais para usar o TLS
Configure os canais TLS conforme descrito em Configurando canais TLS.
- [OPÇÃO 3] Autenticar os certificados usando as Listas de revogação de certificado
As CAs (Autoridades de Certificação) podem revogar certificados que não mais são confiáveis, publicando-os em uma CRL (Lista de Revogação de Certificados). Quando um certificado é recebido por um gerenciador de filas ou um cliente cliente IBM MQ , ele pode ser conferido contra o CRL para garantir que ele não tenha sido revogado. A verificação da CRL não é obrigatória para que o sistema de mensagens ativado para TLS seja concluído com êxito, mas é recomendável para assegurar a fidelidade dos certificados de usuário.
Você pode configurar um cliente cliente IBM MQ para verificar certificados contra CRLs em servidores LDAP.
- No servidor IBM MQ , em IBM MQ Explorer, expanda o gerenciador de filas.
- Criar um novo objeto de informação de autenticação do tipo CRL LDAP. Para obter mais informações, consulte Criando e configurando gerenciadores de filas e objetos.
- Repita a etapa anterior para criar quantos objetos de informações de autenticação forem necessários.
- Crie uma lista de nomes e inclua na lista de nomes os nomes dos objetos de informações de autenticação que você criou nas etapas 2 e 3. Para obter mais informações, consulte Criando e configurando gerenciadores de filas e objetos.
- Clique com o botão direito do gerenciador de filas, então clique em Propriedades.
- Na página SSL , no campo Namelista CRL , digite o nome do namelista que você criou na Etapa 4.
- Clique em OK.
Todas as informações de LDAP CRL são gravadas agora na tabela de definições de canal do cliente.
- Faça a tabela de definição do canal do cliente disponível para o cliente ou, se você estiver usando o Windows Active Directory, escreva as informações da tabela de definição do canal do cliente para o Active Directory. Veja o comando setmqscp .
Você pode incluir na lista de nomes até 10 conexões com servidores LDAP alternativos para assegurar a continuidade de serviço se um ou mais servidores LDAP ficarem inacessíveis. Para obter mais informações, consulte Securing.
Veja também Visão geral de IBM MQ clientes do MQI.
- [OPÇÃO 4] Autenticar os certificados usando a autenticação OCSP
Você pode configurar um cliente cliente IBM MQ para verificar certificados contra um respondente do OCSP. Alguns ambientes do cliente não suportam a verificação de revogação do OCSP, mas todas as plataformas do servidor suportam a habilidade de definir a configuração do OCSP que será gravada no arquivo da tabela de definição de canal do cliente.
- No servidor IBM MQ , em IBM MQ Explorer, expanda o gerenciador de filas.
- Criar um novo objeto de informação de autenticação do tipo OCSP. Para obter mais informações, consulte Criando e configurando gerenciadores de filas e objetos.
- Repita a etapa anterior para criar quantos objetos de informações de autenticação OCSP forem necessários.
- Crie uma nova lista de nomes e inclua nela os nomes dos objetos de informações de autenticação OCSP criados nas Etapas 2 e 3. Para obter mais informações, consulte Criando e configurando gerenciadores de filas e objetos.
- Clique com o botão direito do gerenciador de filas, então clique em Propriedades.
- Na página SSL , no campo Namelista de Revocação , digite o nome do namelista que você criou na Etapa 4.
- Clique em OK.
- Faça a tabela de definição de canal do cliente disponível para o cliente.
Somente um objeto do OCSP pode ser incluído na lista de nomes porque a biblioteca de soquetes pode usar somente uma URL do respondente do OCSP de cada vez. Para obter mais informações, consulte Securing.
Veja também Visão geral de IBM MQ clientes do MQI.