TLS auf IBM MQ MQI-Clients konfigurieren

Verwalten Sie die IBM® MQ -Clientzertifikate, konfigurieren Sie die Kanäle für die Verwendung von TLS und authentifizieren Sie Zertifikate mithilfe von Zertifikatswiderrufslisten oder OCSP-Authentifizierung.

Informationen zu dieser Task

Diese Task führt die Befehle ein, die Sie zum Arbeiten mit TLS auf einem IBM MQ -Client verwenden. Weitere Informationen hierzu finden Sie im Abschnitt IBM MQschützen und IBM MQ MQI-Clientsicherheit einrichten in IBM Documentation.

Verfahren

  • [OPTION 1] Verwalten der IBM MQ -Clientzertifikate
    1. Suchen Sie die Position des Clientschlüsselrepositorys.
      Geben Sie folgenden Befehl ein, um die Umgebungsvariable MQSSLKEYR zu prüfen:
      echo %MQSSLKEYR%
    2. Stellen Sie sicher, dass der Client-Schlüsselspeicher alle Zertifikate der Zertifizierungsstelle (CA) enthält, die für die Validierung von Zertifikaten, die von anderen Warteschlangenmanagern empfangen werden, erforderlich sein könnten.
    3. Überprüfen Sie Ihre Anwendung, da das Schlüsselrepository in einem MQCONNX-Aufruf festgelegt werden kann.
      Wenn beide Werte gesetzt wurden, wird der Wert der Umgebungsvariable MQSSLKEYR durch den Wert überschrieben, der im MQCONNX-Aufruf festgelegt ist.
  • [OPTION 2] Konfigurieren der Kanäle für TLS

    Richten Sie die TLS-Kanäle wie in Konfiguration von TLS-Kanälen mit IBM MQ Explorer beschrieben ein.

  • [OPTION 3] Authentifizieren von Zertifikaten mithilfe von Zertifikatswiderrufslisten

    Zertifizierungsstellen (Certification Authorities, CAs) können Zertifikate sperren, die nicht mehr allgemein zugänglich sein sollen und diese in einer Zertifikatswiderrufsliste (Certification Revocation List, CRL) auflisten. Wenn ein Zertifikat von einem Warteschlangenmanager oder einem IBM MQ MQI-Client empfangen wird, kann es anhand der CRL überprüft werden, um sicherzustellen, dass es nicht widerrufen wurde. Die CRL-Überprüfung ist für eine TLS-gesicherte Nachrichtenübertragung nicht unbedingt erforderlich, wird jedoch empfohlen, da so die Integrität von Benutzerzertifikaten gewährleistet wird.

    Sie können einen IBM MQ MQI-Client einrichten, um Zertifikate anhand von Zertifikatswiderrufslisten auf LDAP-Servern zu überprüfen.

    1. Erweitern Sie auf dem IBM MQ -Server in IBM MQ Explorerden Warteschlangenmanager.
    2. Erstellen Sie ein neues Authentifizierungsdatenobjekt des Typs CRL LDAP. Weitere Informationen finden Sie unter Erstellen und Konfigurieren von Warteschlangenmanagern und Objekten.
    3. Wiederholen Sie den vorherigen Schritt, um beliebig viele Authentifizierungsdatenobjekte zu erstellen.
    4. Erstellen Sie eine Namensliste und fügen Sie dieser die Namen der Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben.
    5. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
    6. Geben Sie auf der Seite SSL im Feld CRL-Namensliste den Namen der Namensliste ein, die Sie in Schritt 4 erstellt haben.
    7. Klicken Sie auf OK.

      Die gesamten LDAP-CRL-Informationen werden jetzt in die Definitionstabelle für Clientkanäle geschrieben.

    8. Machen Sie die Definitionstabelle für den Clientkanal für den Client verfügbar oder schreiben Sie bei Verwendung von Windows Active Directorydie Informationen aus der Definitionstabelle für den Clientkanal in das Active Directory.
      Siehe den Befehl setmqscp in IBM Documentation.

    Der Namensliste können bis zu zehn Verbindungen zu anderen LDAP-Servern hinzugefügt werden; auf diese Weise ist auch bei einer Nichtverfügbarkeit eines oder mehrerer LDAP-Server ein ordnungsgemäßer Betrieb gewährleistet. Weitere Informationen finden Sie unter Sicherung von IBM MQ in IBM Documentation.

    Siehe auch IBM MQ MQI clients in IBM Documentation.

  • [OPTION 4] Authentifizieren von Zertifikaten mithilfe der OCSP-Authentifizierung

    Sie können einen IBM MQ MQI-Client einrichten, um Zertifikate anhand eines OCSP-Responders zu überprüfen. Einige Clientumgebungen unterstützen die OCSP-Widerrufsüberprüfung nicht, alle Serverplattformen unterstützen jedoch die Funktionalität zur Definition der OCSP-Konfiguration, die in die Definitionstabellendatei für Clientkanäle geschrieben wird.

    1. Erweitern Sie auf dem IBM MQ -Server in IBM MQ Explorerden Warteschlangenmanager.
    2. Erstellen Sie ein neues Authentifizierungsdatenobjekt des Typs OCSP.
    3. Wiederholen Sie den vorherigen Schritt, um beliebig viele OCSP-Authentifizierungsdatenobjekte zu erstellen.
    4. Erstellen Sie eine neue Namensliste und fügen Sie dieser die Namen der OCSP-Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben.
    5. Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
    6. Geben Sie auf der Seite SSL im Feld Widerrufnamensliste den Namen der Namensliste ein, die Sie in Schritt 4 erstellt haben.
    7. Klicken Sie auf OK.
    8. Machen Sie die Definitionstabelle für Clientkanäle für den Client verfügbar.

    Es kann nur ein OCSP-Objekt zur Namensliste hinzugefügt werden, da die Sockets-Bibliothek immer nur eine OCSP-Responder-URL verwenden kann. Weitere Informationen finden Sie unter Sicherung von IBM MQ in IBM Documentation.

    Siehe auch IBM MQ MQI clients in IBM Documentation.