在队列管理器上配置 TLS

可以配置队列管理器使用证书吊销列表或 OCSP 检查 TLS 证书的有效性。

关于本任务

此任务引入了用于在 IBM® MQ 客户机上使用 TLS 的命令。 有关更多信息,请参阅 保护 IBM MQ设置 IBM MQ MQI 客户端安全性中的 IBM Documentation.

过程

  • [选项 1] 创建队列管理器密钥存储库

    队列管理器使用的证书就存放在密钥库中。 在 AIX®, Linux®, and Windows 平台上,密钥存储库称为密钥数据库文件。

    您必须确保此位置上存在密钥数据库文件,然后才能在密钥存储库中存储队列管理器证书。

    1. 查找队列管理器密钥存储库的位置。
      这是在队列管理器的密钥存储库属性中指定的。
    2. 如果队列管理器密钥存储库不存在,则创建该存储库。 在 AIX, Linux, and Windows 上,使用 runmqakm 命令创建密钥存储库。
    3. 确保队列管理器密钥库包含验证从其他队列管理器接收的证书所需的所有证书颁发机构 (CA) 证书。
  • [选项 2] 更改队列管理器密钥存储库位置

    在某些情况下,您可能想要更改密钥存储库位置,例如,要使用一个操作系统上所有队列管理器共享的一个位置。

    要更改队列管理器密钥存储库位置:

    1. 在队列管理器属性中更改密钥存储库位置:
      1. 打开 IBM MQ Explorer 并展开 队列管理器 文件夹。
      2. 右键单击队列管理器,然后单击属性
      3. SSL 属性页面上,编辑密钥存储库字段中的路径以指向您选择的目录。
      4. 在“警告”对话框中,单击
    2. 在运行队列管理器的系统上使用相应命令将队列管理器个人证书转移到新位置。
      有关详细信息,请参阅 IBM Documentation 中的 保护 IBM MQ
  • [选项 3] 使用证书撤销列表来认证证书

    认证中心(CA)可通过在证书撤销列表(CRL)中发布不再可信的证书来撤销它们。 当队列管理器或 IBM MQ MQI 客户机接收到证书时,可以根据 CRL 对其进行检查,以确保该证书未被撤销。 CRL 检查对于完成支持 TLS 的消息传递来说不是强制的,但是建议使用它以确保用户证书的可信性。

    要建立与 LDAP CRL 服务器的连接,请完成以下步骤:

    1. IBM MQ Explorer中,展开队列管理器。
    2. 创建类型为 CRL LDAP的认证信息对象。 有关更多信息,请参阅 创建和配置队列管理器和对象.
    3. 重复之前的步骤以创建所需数量的 CRL LDAP 认证信息对象。
    4. 创建名称列表,并将您在步骤 2 和步骤 3 中创建的认证信息对象的名称添加到此名称列表中。
      有关详细信息,请参阅 创建和配置队列管理器和对象
    5. 右键单击队列管理器,然后单击 属性
    6. SSL 页面上的 CRL 名称列表 字段中,输入在步骤 4 中创建的名称列表的名称。
    7. 单击确定

    现在可根据 LDAP 服务器上保留的 CRL 来认证队列管理器接收的证书。

    您可将最多 10 个备用 LDAP 服务器的连接添加至名称列表,以确保在一个或多个 LDAP 服务器不可用的情况下继续服务。

  • [认证 4] 使用 OCSP 认证来认证证书

    [AIX、Linux 和 Windows]AIX, Linux, and WindowsIBM MQ TLS 支持使用 OCSP(在线证书状态协议)或 LDAP(轻量级目录访问协议)服务器上的 CRL 和 ARL 检查已撤销的证书。 OCSP 是首选方法。 IBM MQ classes for JavaIBM MQ classes for JMS 无法在客户机通道定义表文件中使用 OCSP 信息。 不过,您可以按照 IBM Documentation废止证书和 OCSP 的说明配置 OCSP。

    [z/OS]z/OS® 不支持 OCSP 检查,但允许生成包含 OCSP 信息的客户通道定义表 (CCDT)。

    [IBM i]IBM i 不支持 OCSP 检查,但允许生成包含 OCSP 信息的客户通道定义表 (CCDT)。

    有关 CCDT 和 OCSP 的更多信息,请参阅 IBM Documentation 中的 客户通道定义表

    要建立与 OCSP 服务器的连接,请完成以下步骤。

    1. IBM MQ Explorer中,展开队列管理器。
    2. 创建类型为 OCSP的认证信息对象。
      有关详细信息,请参阅 创建和配置队列管理器和对象
    3. 重复之前的步骤以创建所需数量的 OCSP 认证信息对象。
    4. 创建名称列表,并将您在步骤 2 和步骤 3 中创建的 OCSP 认证信息对象的名称添加到此名称列表中。
      有关更多信息,请参阅 创建和配置队列管理器和对象
    5. 右键单击队列管理器,然后单击 属性
    6. SSL 页面上的 撤销名称列表 字段中,输入在步骤 4 中创建的名称列表的名称。
    7. 单击确定

    将根据 OCSP 响应程序来认证队列管理器接收的证书。

    该队列管理器将 OCSP 信息写入 CCDT。

    由于套接字库每次只能使用一个 OCSP 响应程序 URL,所以只能将一个 OCSP 对象添加至该名称列表。

  • [选项 5] 配置加密硬件

    IBM MQ 可以支持加密硬件,并且必须相应地配置队列管理器。

    1. 启动 IBM MQ Explorer
    2. 在 " Navigator " 视图中,右键单击队列管理器,然后单击 属性
      这样会打开“属性”对话框。
    3. 在 " SSL " 页面上,单击 配置
      这样会打开“加密硬件设置”对话框。
    4. 在 " 加密硬件设置 " 对话框中,输入 PKCS #11 驱动程序的路径,令牌标签,令牌密码和对称密码设置。

      所有受支持的加密卡现在均使用 PKCS #11,因此将忽略对 Rainbow Cryptoswift 或 nCipher nFast 卡的引用。

    5. 单击确定

    现在配置了此队列管理器,使它可使用加密硬件。

    您可以使用 AIX, Linux, and Windows 上的 runmqakm 命令来管理存储在 PKCS #11 硬件中的证书。

    有关详细信息,请参阅 IBM Documentation 中的 保护 IBM MQ