Configurando o TLS em gerenciadores de filas
Você pode configurar o gerenciador de filas para verificar a validade dos certificados TLS usando Listas de revogação de certificados ou OCSP.
Sobre esta tarefa
Esta tarefa apresenta os comandos que você usa para trabalhar com TLS em um cliente IBM® MQ . Para obter mais informações, consulte Segurança do IBM MQ e Configuração da IBM MQ segurança do cliente MQI em IBM Documentation.
Procedimento
- [OPÇÃO 1] Criar o repositório de chaves do gerenciador de filas
O repositório de chaves é onde são armazenados os certificados usados pelo gerenciador de filas. Nas plataformas AIX®, Linux®, and Windows , o repositório de chaves é conhecido como o arquivo de banco de dados chave.
Antes de poder armazenar os certificados do gerenciador de filas no repositório de chaves, você deve se certificar de que exista nesse local um arquivo do banco de dados de chaves.
- Encontre o local do repositório de chaves do gerenciador de filas. Isso é especificado no atributo Repositório de chaves do gerenciador de filas.
- Crie o repositório de chaves do gerenciador de filas se ele ainda não existir. Em AIX, Linux, and Windows, use o comando runmqakm para criar o repositório de chaves.
- Verifique se o repositório de chaves do gerenciador de filas contém todos os certificados de autoridade de certificação (CA) que podem ser necessários para validar certificados recebidos de outros gerenciadores de filas.
- Encontre o local do repositório de chaves do gerenciador de filas.
- [OPÇÃO 2] Mudar o local do repositório de chaves do gerenciador de filas
Em determinadas circunstâncias, é possível que você queira mudar o local do repositório de chaves, por exemplo, para usar um único local que é compartilhado por todos os gerenciadores de filas em um sistema operacional.
Para alterar o local do repositório de chaves de um gerenciador de filas:
- Altere o local do repositório de chaves nas propriedades do gerenciador de filas:
- Abra IBM MQ Explorer e expanda a pasta Gerenciadores de Filas .
- Clique com o botão direito do mouse no gerenciador de filas e, em seguida, clique em Propriedades.
- Na página de propriedades SSL, edite o caminho no campo Repositório de Chaves para apontar para o diretório escolhido.
- No diálogo Aviso, clique em Sim.
- Transfira os certificados pessoais do gerenciador de filas para o novo local usando o comando apropriado no sistema em que o gerenciador de filas é executado.Para obter mais informações, consulte Segurando IBM MQ em IBM Documentation.
- Altere o local do repositório de chaves nas propriedades do gerenciador de filas:
- [OPÇÃO 3] Autenticar os certificados usando as Listas de revogação de certificado
As CAs (Autoridades de Certificação) podem revogar certificados que não mais são confiáveis, publicando-os em uma CRL (Lista de Revogação de Certificados). Quando um certificado é recebido por um gerenciador de filas ou um cliente cliente IBM MQ , ele pode ser conferido contra o CRL para garantir que ele não tenha sido revogado. A verificação da CRL não é obrigatória para que o sistema de mensagens ativado para TLS seja concluído com êxito, mas é recomendável para assegurar a fidelidade dos certificados de usuário.
Para configurar uma conexão com um servidor CRL LDAP, conclua as etapas a seguir:
- Em IBM MQ Explorer, expanda o gerenciador de filas.
- Criar um objeto de informação de autenticação do tipo CRL LDAP. Para obter mais informações, consulte Criando e configurando gerenciadores e objetos de fila.
- Repita a etapa anterior para criar quantos objetos de informações de autenticação LDAP CRL forem necessários.
- Crie uma lista de nomes e inclua na lista de nomes os nomes dos objetos de informações de autenticação que você criou nas etapas 2 e 3. Para obter mais informações, consulte Criando e configurando gerenciadores e objetos de fila.
- Clique com o botão direito do gerenciador de filas, então clique em Propriedades.
- Na página SSL , no campo Namelista CRL , digite o nome do namelista que você criou na Etapa 4.
- Clique em OK.
Os certificados que o gerenciador de filas recebe agora podem ser autenticados junto à CRL mantida no servidor LDAP.
Você pode incluir na lista de nomes até 10 conexões com servidores LDAP alternativos para assegurar a continuidade de serviço se um ou mais servidores LDAP ficarem inacessíveis.
- [OPÇÃO 4] Autenticar os certificados usando a autenticação OCSP
Em AIX, Linux, and Windows, IBM MQ o TLS suporta verificações de certificados revogados usando OCSP (Online Certificate Status Protocol) ou usando CRLs e ARLs em servidores LDAP (Lightweight Directory Access Protocol). OCSP é o método preferido. IBM MQ classes for Java e IBM MQ classes for JMS não pode usar as informações do OCSP em um arquivo de tabela de definição de canal do cliente. No entanto, você pode configurar o OCSP conforme descrito em Certificados revogados e OCSP em IBM Documentation.
z/OS® não oferece suporte à verificação de OCSP, mas permite a geração de tabelas de definição de canal do cliente (CCDTs) contendo informações de OCSP.
IBM i não oferece suporte à verificação de OCSP, mas permite a geração de tabelas de definição de canal do cliente (CCDTs) contendo informações de OCSP.
Para obter mais informações sobre CCDTs e OCSP, consulte Tabela de definição de canal do cliente em IBM Documentation.
Para configurar uma conexão com um servidor OCSP, conclua as etapas a seguir.
- Em IBM MQ Explorer, expanda o gerenciador de filas.
- Criar um objeto de informação de autenticação do tipo OCSP. Para obter mais informações, consulte Criando e configurando gerenciadores e objetos de fila.
- Repita a etapa anterior para criar quantos objetos de informações de autenticação OCSP forem necessários.
- Crie uma lista de nomes e inclua na lista de nomes os nomes dos objetos de informações de autenticação OCSP que você criou nas etapas 2 e 3. Para obter mais informações, consulte Criando e configurando gerenciadores de filas e objetos.
- Clique com o botão direito do gerenciador de filas, então clique em Propriedades.
- Na página SSL , no campo Namelista de Revocação , digite o nome do namelista que você criou na Etapa 4.
- Clique em OK.
Os certificados que o gerenciador de filas recebe são autenticados com relação ao respondente do OCSP.
O gerenciador de filas grava as informações do OCSP na CCDT.
Somente um objeto do OCSP pode ser incluído na lista de nomes porque a biblioteca de soquetes pode usar somente uma URL do respondente do OCSP de cada vez.
- [OPÇÃO 5] Configurar hardware criptográfico
IBM MQ pode suportar hardware criptográfico, e o gerenciador de filas deve ser configurado adequadamente.
- Início IBM MQ Explorer.
- Na visualização do Navigator , clique com o botão direito do mouse no gerenciador de filas, em seguida, clique em Propriedades. O diálogo Propriedades é aberto.
- Na página SSL , clique em Configurar. O diálogo Configurações de hardware criptográfico é aberto.
- No diálogo Configurações de Hardware Criptográfico , digite o caminho para o driver PKCS #11 , e a etiqueta do token, a senha do token e a configuração de cifração simétrica.
Como todos os cartões criptográficos suportados agora usam o PKCS #11, ignore as referências aos cartões Rainbow Cryptoswift ou nCipher nFast.
- Clique em OK.
Agora o gerenciador de filas está configurado para utilizar o hardware criptográfico.
Você pode gerenciar certificados armazenados em hardware PKCS #11 usando o comando runmqakm em AIX, Linux, and Windows.
Para obter mais informações, consulte Segurando IBM MQ em IBM Documentation.