Configurazione di TLS sui gestori code
Dopo l'avvio di IBM® strmqikm (iKeyman) GUI, è possibile utilizzarlo per gestire certificati TLS. È anche possibile autenticare i certificati utilizzando i CRL (Certificate Revocation List) oppure l'autenticazione OCSP.
Prima di iniziare
Per ulteriori informazioni su come avviare la GUI strmqikm , consultare Richiamo della GUI IBM strmqikm (iKeyman).
Informazioni su questa attività
Questa attività introduce i comandi che si utilizzano per lavorare con TLS su un client IBM MQ. Per ulteriori informazioni, consultare Securing IBM MQ e Setting up IBM MQ MQI client security in IBM Documentation.
Procedura
- [OPZIONE 1] Creare il repository delle chiavi del gestore code
Il repository delle chiavi è il sito in cui vengono memorizzati i certificati utilizzati dal gestore code. Sulle piattaforme AIX®, Linux®, and Windows, il repository delle chiavi è noto come file di database delle chiavi.
Prima di poter memorizzare i certificati del gestore code nel repository delle chiavi, è necessario assicurarsi che, in questa stessa ubicazione, esista un file del database delle chiavi.
- Trovare la posizione del repository delle chiavi del gestore code. Questo valore è specificato nell'attributo Repository delle chiavi del gestore code.
- Se è necessario creare il file di database delle chiavi, eseguire questa operazione utilizzando la GUI strmqikm . Per ulteriori informazioni, consultare Richiamo della GUI di IBM strmqikm (iKeyman).
- Nella GUI di strmqikm , assicurarsi che il repository delle chiavi del gestore code contenga tutti i certificati CA (Certificate Authority) che potrebbero essere richiesti per convalidare i certificati ricevuti da altri gestori code.
- Trovare la posizione del repository delle chiavi del gestore code.
- [OPZIONE 2] Modificare la posizione del repository delle chiavi del gestore code
In determinate circostanze, si potrebbe voler modificare la posizione del repository delle chiavi, ad esempio per utilizzare una singola posizione condivisa da tutti i gestori code su un unico sistema operativo.
Per modificare l'ubicazione del repository delle chiavi del gestore code:
- Modificare l'ubicazione del repository delle chiavi nelle
proprietà del gestore code:
- Aprire IBM MQ Explorer ed espandere la cartella Gestori code.
- Fare clic con il tastino destro del mouse sul gestore code, quindi selezionare Proprietà.
- Nella pagina delle proprietà SSL, modificare il percorso riportato nel campo Repository delle chiavi, in modo da fare riferimento alla directory scelta.
- Nella finestra di dialogo di avvertenza, fare clic su Sì.
- Trasferire i certificati personali del gestore code nella nuova posizione utilizzando strmqikm GUI. Per ulteriori informazioni, consultare Protezione di IBM MQ in IBM Documentation.
- Modificare l'ubicazione del repository delle chiavi nelle
proprietà del gestore code:
- [OPZIONE 3] Autenticare i certificati utilizzando i CRL (Certificate Revocation List)
Le CA (Certification Authority) possono revocare i certificati che non sono più considerati sicuri pubblicandoli in un elenco di revoca dei certificati (CRL, Certification Revocation List). Quando viene ricevuto da un gestore code o da un client MQI IBM MQ, un certificato può essere controllato rispetto al CRL per assicurarsi che non sia stato revocato. Il controllo del CRL non è obbligatorio per la messaggistica abilitata a TLS, ma si consiglia comunque di eseguirlo per verificare l'attendibilità dei certificati utente.
Per impostare una connessione ad un server CRL LDAP, completare la seguente procedura:
- In IBM MQ Explorer, espandere il gestore code.
- Creare un oggetto delle informazioni di autenticazione di tipo LDAP CRL. Per ulteriori informazioni, fare riferimento a Creazione e configurazione di gestori code e oggetti.
- Ripetere il passo precedente per creare tutti gli oggetti di informazioni di autenticazione LDAP CRL di cui si ha bisogno.
- Creare un elenco dei nomi e aggiungere a tale elenco i nomi degli oggetti di informazioni di autenticazione creati nei passi 2 e 3. Per ulteriori informazioni, consultare Creazione e configurazione di gestori code e oggetti.
- Fare clic con il tasto destro del mouse sul gestore code, quindi selezionare Proprietà.
- Nella pagina SSL , nel campo Elenco nomi CRL , immettere il nome dell'elenco nomi creato al passo 4.
- Fare clic su OK.
I certificati ricevuti dal gestore code possono ora essere autenticati rispetto ai CRL del server LDAP.
È possibile aggiungere all'elenco nomi un massimo di 10 connessioni a server LDAP alternativi in modo da garantire la continuità del servizio se non è più possibile accedere a uno o più server LDAP.
- [OPZIONE 4] Autenticare i certificati utilizzando l'autenticazione OCSP
Su AIX, Linux, and Windows, IBM MQ il supporto TLS verifica la presenza di certificati revocati utilizzando OCSP (Online Certificate Status Protocol) o CRL e ARL su server LDAP (Lightweight Directory Access Protocol). OCSP è il metodo preferito. IBM MQ classes for Java e IBM MQ classes for JMS non possono utilizzare le informazioni OCSP in un file tabella di definizione del canale client. Tuttavia, è possibile configurare OCSP come descritto in Certificati revocati e OCSP in IBM Documentation.
IBM i e z/OS® non supportano il controllo OCSP, ma consentono la generazione di CCDT (client channel definition table) contenenti informazioni OCSP.
Per ulteriori informazioni su CCDT e OCSP, consultare Tabella di definizione del canale client in IBM Documentation.
Per impostare una connessione a un server OCSP, completare la seguente procedura.
- In IBM MQ Explorer, espandere il gestore code.
- Creare un oggetto delle informazioni di autenticazione di tipo OCSP. Per ulteriori informazioni, consultare Creazione e configurazione di gestori code e oggetti.
- Ripetere il passo precedente per creare tutti gli oggetti di informazioni di autenticazione OCSP di cui si ha bisogno.
- Creare un elenco dei nomi e aggiungere a tale elenco i nomi degli oggetti di informazioni di autenticazione OCSP creati nei passi 2 e 3. Per ulteriori informazioni, consultare Creazione e configurazione di gestori code e oggetti.
- Fare clic con il tasto destro del mouse sul gestore code, quindi selezionare Proprietà.
- Nella pagina SSL , nel campo Elenco nomi di revoca , immettere il nome dell'elenco nomi creato nel passo 4.
- Fare clic su OK.
I certificati ricevuti dal gestore code vengono autenticati rispetto al responder OCSP.
Il gestore code scrive le informazioni OCSP nel CCDT.
È possibile aggiungere all'elenco nomi un solo oggetto OCSP dato che la libreria di socket può utilizzare un solo URL responder OCSP alla volta.
- [OPZIONE 5] Configurare l'hardware crittografico
IBM MQ può supportare l'hardware crittografico e il gestore code deve essere configurato di conseguenza.
- Avvia IBM MQ Explorer.
- Nella vista Navigator , fare clic con il tasto destro sul gestore code, quindi fare clic su Proprietà. Viene aperta la finestra di dialogo Proprietà.
- Nella pagina SSL , fare clic su Configura. Viene aperta la finestra di dialogo Impostazioni hardware crittografico.
- Nella finestra di dialogo Impostazioni hardware di crittografia , immettere il percorso del driver PKCS #11 e l'etichetta token, la parola d'ordine del token e l'impostazione della codifica simmetrica.
Tutte le schede crittografiche supportate ora utilizzano PKCS #11; ignorare, quindi, i riferimenti alle schede Rainbow Cryptoswift o nCipher nFast.
- Fare clic su OK.
Il gestore code è adesso configurato per utilizzare l'hardware di crittografia.
È inoltre possibile lavorare con i certificati memorizzati sull'hardware PKCS #11 mediante iKeyman.
Per ulteriori informazioni, consultare Protezione di IBM MQ in IBM Documentation.