Configuration de la sécurité TLS sur les gestionnaires de files d'attente
Après le démarrage de IBM® strmqikm (iKeyman) Interface graphique, vous pouvez l'utiliser pour gérer les certificats TLS. Vous pouvez aussi authentifier les certificats à l'aide de listes de révocation de certificat ou de l'authentification OCSP.
Avant de commencer
Pour plus d'informations sur le démarrage de l'interface graphique d' strmqikm , voir Appel de l'interface graphique d' IBM strmqikm (iKeyman).
A propos de cette tâche
Cette tâche présente les commandes que vous utilisez pour utiliser TLS sur un client IBM MQ . Pour plus d'informations, voir Sécurisation de IBM MQ et Configuration de la sécurité du client IBM MQ MQI dans IBM Documentation.
- Création du référentiel de clés du gestionnaire de files d'attente
- Modification de l'emplacement du référentiel de clés du gestionnaire de files d'attente
- Authentification des certificats à l'aide de listes de révocation de certificat
- Authentification des certificats à l'aide de l'authentification OCSP
- Configuration du matériel de cryptographie
Procédure
- [OPTION 1] Créer le référentiel de clés du gestionnaire de files d'attente
Le référentiel de clés est l'emplacement dans lequel le gestionnaire de files d'attente conserve ses certificats. Sur les plateformes AIX®, Linux®, and Windows , le référentiel de clés est appelé fichier de base de données de clés.
Pour pouvoir stocker les certificats du gestionnaire de files d'attente dans le référentiel de clés, vous devez vous assurer qu'un fichier de clés existe à cet emplacement.
- Recherchez l'emplacement du référentiel de clés du gestionnaire de files d'attente. Il est spécifié dans l'attribut Référentiel de clés du gestionnaire de files d'attente.
- Si vous devez créer le fichier de la base de données de clés, utilisez l'interface graphique strmqikm . Pour plus d'informations, voir Appel de l'interface graphique IBM strmqikm (iKeyman).
- Dans l'interface graphique d' strmqikm , vérifiez que le référentiel de clés du gestionnaire de files d'attente contient tous les certificats de l'autorité de certification qui peuvent être requis pour valider les certificats reçus d'autres gestionnaires de files d'attente.
- Recherchez l'emplacement du référentiel de clés du gestionnaire de files d'attente.
- [OPTION 2] Changer l'emplacement du référentiel de clés du gestionnaire de files d'attente
Dans certains cas, il peut s'avérer utile de changer l'emplacement du référentiel de clés, par exemple pour utiliser un emplacement unique partagé par tous les gestionnaires de files d'attente d'un système d'exploitation.
Pour modifier l'emplacement du référentiel de clés d'un gestionnaire de files d'attente, procédez comme suit :
- Modifiez l'emplacement du référentiel de clés dans les propriétés du gestionnaire de files d'attente :
- Ouvrez IBM MQ Explorer et développez le dossier Gestionnaires de files d'attente .
- Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
- Dans la page de propriétés SSL, dans la zoneRéférentiel de clés indiquez un chemin pointant sur le répertoire choisi.
- Dans la boîte de dialogue Avertissement, cliquez sur Oui.
- Transférez les certificats personnels du gestionnaire de files d'attente vers le nouvel emplacement à l'aide de l'interface graphique d' strmqikm . Pour plus d'informations, voir Sécurisation de IBM MQ dans IBM Documentation.
- Modifiez l'emplacement du référentiel de clés dans les propriétés du gestionnaire de files d'attente :
- [OPTION 3] Authentifier les certificats à l'aide de listes de révocation de certificat
Les autorités de certification peuvent révoquer des certificats qui ne sont plus fiables en les mentionnant dans une liste de révocation de certificat. Lorsqu'un certificat est reçu par un gestionnaire de files d'attente ou un client IBM MQ MQI, il peut être vérifié par rapport à la liste de révocation de certificat pour s'assurer qu'il n'a pas été révoqué. Cette vérification n'est pas obligatoire, mais il est recommandé de s'assurer de la validité des certificats utilisateur.
Pour configurer une connexion à un serveur de liste de révocation de certificat LDAP, procédez comme suit :
- Dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
- Créez un objet d'informations d'authentification de type CRL LDAP. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
- Effectuez à nouveau l'étape précédente pour créer le nombre d'objets d'information d'authentification LDAP de liste de révocation de certificat dont vous avez besoin.
- Créez une liste de noms et ajoutez à cette liste les noms des objets d'information d'authentification que vous avez créés au cours des étapes 2 et 3. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
- Cliquez avec le bouton droit de la souris sur le gestionnaire de files d'attente, puis cliquez sur Propriétés.
- Sur la page SSL , dans la zone Liste de noms CRL , entrez le nom de la liste de noms que vous avez créée à l'étape 4.
- Cliquez sur OK.
Les certificats reçus par le gestionnaire de files d'attente peuvent maintenant être authentifiés auprès de la liste de retrait de certificats du serveur LDAP.
Vous pouvez ajouter à la liste de noms jusqu'à 10 connexions vers des serveurs LDAP de secours afin de garantir une continuité de service si un ou plusieurs de ces serveurs sont inaccessibles.
- [OPTION 4] Authentifier les certificats à l'aide de l'authentification OCSP
Sur AIX, Linux, and Windows, IBM MQ le support TLS recherche les certificats révoqués à l'aide du protocole OCSP (Online Certificate Status Protocol) ou des listes CRL et ARL sur les serveurs LDAP (Lightweight Directory Access Protocol). OCSP est la méthode préférée. IBM MQ classes for Java et IBM MQ classes for JMS ne peuvent pas utiliser les informations OCSP dans un fichier de table de définition de canal du client. Toutefois, vous pouvez configurer OCSP comme décrit dans Certificats révoqués et OCSP dans IBM Documentation.
IBM i et z/OS® ne prennent pas en charge la vérification OCSP, mais ils permettent la génération de tables de définition de canal du client (CCDT) contenant des informations OCSP.
Pour plus d'informations sur les tables de définition de canal du client et OCSP, voir Table de définition de canal du client dans IBM Documentation.
Pour configurer une connexion à un serveur OCSP, procédez comme suit :
- Dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
- Créez un objet d'informations d'authentification de type OCSP. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
- Effectuez à nouveau l'étape précédente pour créer le nombre d'objets d'information d'authentification OCSP dont vous avez besoin.
- Créez une liste de noms et ajoutez à cette liste les noms des objets d'information d'authentification OCSP que vous avez créés au cours des étapes 2 et 3. Pour plus d'informations, voir Création et configuration de gestionnaires de files d'attente et d'objets.
- Cliquez avec le bouton droit de la souris sur le gestionnaire de files d'attente, puis cliquez sur Propriétés.
- Sur la page SSL , dans la zone Liste de noms de révocation , entrez le nom de la liste de noms que vous avez créée à l'étape 4.
- Cliquez sur OK.
Les certificats reçus par le gestionnaire de files d'attente sont authentifiés auprès du canal répondeur OCSP.
Le gestionnaire de files d'attente écrit des informations OCSP dans la table de définition de canal du client.
UN seul objet OCSP peut être ajouté à la liste de noms car la bibliothèque de sockets ne peut utiliser qu'une seule adresse URL de canal répondeur OCSP à la fois.
- [OPTION 5] Configurer le matériel de cryptographie
IBM MQ peut prendre en charge le matériel de cryptographie et le gestionnaire de files d'attente doit être configuré en conséquence.
- Démarrez IBM MQ Explorer.
- Dans la vue Navigator , cliquez avec le bouton droit de la souris sur le gestionnaire de files d'attente, puis cliquez sur Propriétés. La boîte de dialogue Propriétés s'ouvre.
- Sur la page SSL , cliquez sur Configurer. La boîte de dialogue Paramètres du matériel de cryptographie s'ouvre.
- Dans la boîte de dialogue Paramètres du matériel de cryptographie , entrez le chemin d'accès au pilote PKCS #11 , le libellé du jeton, le mot de passe du jeton et le paramètre de chiffrement symétrique.
Désormais, toutes les cartes de cryptographie prises en charge utilisent PKCS #11. Ignorez donc toutes les références aux cartes Rainbow Cryptoswift ou nCipher nFast.
- Cliquez sur OK.
Le gestionnaire de files d'attente est maintenant configuré pour utiliser le matériel de cryptographie.
Vous pouvez également travailler avec des certificats stockés sur le matériel PKCS #11 à l'aide d'iKeyman.
Pour plus d'informations, voir Sécurisation de IBM MQ dans IBM Documentation.