キュー・マネージャーでの TLS の構成
証明書失効リストまたは OCSP のいずれかを使用して、TLS 証明書の有効性をチェックするようにキューマネージャを構成できます。
本タスクについて
このタスクでは、 IBM® MQ クライアントで TLS を処理するために使用するコマンドについて説明します。 詳細はIBM DocumentationのIBM MQの確保とIBM MQ MQIクライアントのセキュリティ設定を参照。
手順
- [オプション 1] キュー・マネージャーのキー・リポジトリーの作成
鍵リポジトリには、キュー・マネージャが使用する証明書が格納される。 AIX®, Linux®, and Windows プラットフォームでは、鍵リポジトリーは鍵データベース・ファイルと呼ばれます。
キー・リポジトリーにキュー・マネージャーの証明書を保管する前に、この場所に鍵データベース・ファイルが 存在していることを確認する必要があります。
- キュー・マネージャーのキー・リポジトリーの場所を見つけます。 これは、キュー・マネージャーの「キー・リポジトリー」属性で指定されます。
- キューマネージャキーリポジトリが存在しない場合は作成します。 AIX, Linux, and Windows上で、runmqakmコマンドを使って鍵リポジトリを作成する。
- キューマネージャの鍵リポジトリに、他のキューマネージャから受信した証明書を検証するために必要となるすべての認証局(CA)証明書が含まれていることを確認します
- キュー・マネージャーのキー・リポジトリーの場所を見つけます。
- [オプション 2] キュー・マネージャーのキー・リポジトリーの場所の変更
特定の状況では、例えば 1 つのオペレーティング・システムですべてのキュー・マネージャーによって共有される 1 つの場所を使用するために、キー・リポジトリーの場所を変更することもできます。
キュー・マネージャーのキー・リポジトリーを変更するには、以下のようにします。
- キュー・マネージャーのプロパティーでキー・リポジトリーの場所を以下のように変更します。
- IBM MQ Explorer を開き、 Queue Managers フォルダーを展開する。
- キュー・マネージャーを右クリックして「プロパティー」を選択します。
- 「SSL」プロパティー・ページで、 「キー・リポジトリー」フィールドのパスを編集して、選択したディレクトリーを 指すようにします。
- 「警告」 ダイアログで、 「はい」をクリックします。
- キューマネージャが稼働しているシステムの適切なコマンドを使用して、キューマネージャの個人証明書を新しい場所に転送します。詳細はIBM DocumentationのIBM MQの確保を参照。
- キュー・マネージャーのプロパティーでキー・リポジトリーの場所を以下のように変更します。
- [オプション 3] 証明書取り消しリストによる証明書の認証
認証機関 (CA) は、信頼できない証明書を証明書取り消しリスト (CRL) で公開することによって、 そのような証明書を取り消すことができます。 証明書がキュー・マネージャーまたは IBM MQ MQI クライアントによって受信されると、CRL に照らして検査し、取り消されていないことを確認することができます。 CRL 検査は、TLS 対応メッセージングの実現に必須ではありませんが、ユーザー証明書の信頼性を保証するために推奨されます。
LDAP CRL サーバーへの接続をセットアップするには、以下の手順を実行します。
- IBM MQ Explorerで、キュー・マネージャーを展開します。
- CRL LDAPタイプの認証情報オブジェクトを作成します。 詳細はキュー・マネージャーとオブジェクトの作成と設定を参照。
- 前のステップを繰り返して、必要な数の CRL LDAP 認証情報オブジェクトを作成します。
- 名前リストを作成し、ステップ 2 と 3 で作成した認証情報オブジェクトの名前をこの名前リストに追加します。 詳細については、キューマネージャとオブジェクトの作成と設定を参照してください。
- キュー・マネージャーを右クリックし、 「プロパティー」をクリックします。
- 「SSL」 ページの 「CRL 名前リスト」 フィールドに、ステップ 4 で作成した名前リストの名前を入力します。
- 「OK」をクリックします。
これで、キュー・マネージャーが受け取る証明書は、LDAP サーバーで保持されている CRL に対して認証されます。
代替 LDAP サーバーへの接続を最大 10 まで名前リストに追加でき、1 つまたは複数の LDAP サーバーにアクセス不能に なったとき、サービスの継続性を保証できます。
- [オプション 4] OCSP 認証による証明書の認証
On AIX, Linux, and Windows, IBM MQ TLS サポートでは、OCSP (Online Certificate Status Protocol) を使って、あるいは LDAP (Lightweight Directory Access Protocol) サーバー上の CRL や ARL を使って、失効した証明書をチェックします。 OCSP が推奨される方法です。 IBM MQ classes for Java および IBM MQ classes for JMS は、クライアント・チャネル定義テーブル・ファイル内の OCSP 情報を使用できません。 しかし、IBM Documentationの失効した証明書と OCSPで説明されているようにOCSPを設定することができる。
z/OS® はOCSPチェックをサポートしていませんが、OCSP情報を含むクライアントチャネル定義テーブル(CCDT)の生成を許可しています。
IBM i はOCSPチェックをサポートしていませんが、OCSP情報を含むクライアントチャネル定義テーブル(CCDT)の生成を許可しています。
CCDTとOCSPの詳細については、IBM Documentationのクライアントチャネル定義テーブルを参照してください。
OCSP サーバーへの接続をセットアップするには、以下の手順を実行します。
- IBM MQ Explorerで、キュー・マネージャーを展開します。
- OCSPタイプの認証情報オブジェクトを作成します。 詳細については、キューマネージャとオブジェクトの作成と設定を参照してください。
- 前のステップを繰り返して、必要な数の OCSP 認証情報オブジェクトを作成します。
- 名前リストを作成し、ステップ 2 と 3 で作成した OCSP 認証情報オブジェクトの名前をこの名前リストに追加します。 詳しくは、 キュー・マネージャーおよびオブジェクトの作成と構成を参照してください。
- キュー・マネージャーを右クリックし、 「プロパティー」をクリックします。
- 「SSL」 ページの 「失効名前リスト」 フィールドに、ステップ 4 で作成した名前リストの名前を入力します。
- 「OK」をクリックします。
キュー・マネージャーが受け取る証明書が、OCSP 応答側に照らして認証されます。
キュー・マネージャーが OCSP 情報を CCDT に書き込みます。
ソケット・ライブラリーで一度に使用できる OCSP 応答側 URL が 1 つのみであるため、名前リストには 1 つの OCSP オブジェクトしか追加できません。
- [オプション 5] 暗号化ハードウェアの構成
IBM MQ は暗号ハードウェアをサポートすることができ、それに応じてキュー・マネージャーを構成する必要があります。
- IBM MQ Explorerを開始します。
- Navigator ビューで、キュー・マネージャーを右クリックして、 「プロパティー」をクリックします。 「プロパティー」 ダイアログが開きます。
- 「SSL」 ページで、 「構成」をクリックします。 「暗号ハードウェア設定」ダイアログが開きます。
- 「 暗号ハードウェア設定 」ダイアログで、PKCS #11 ドライバーへのパス、トークン・ラベル、トークン・パスワード、および対称暗号設定を入力します。
サポートされているすべての暗号カードに PKCS #11 が使用されていて、Rainbow Cryptoswift カードまたは nCipher nFast カードへの参照は無視されます。
- 「OK」をクリックします。
こうして、キュー・マネージャーは暗号ハードウェアを使用するように構成されました。
PKCS #11ハードウェアに格納されている証明書は、AIX, Linux, and Windowsのrunmqakmコマンドで管理できます。
詳細はIBM DocumentationのIBM MQの確保を参照。