큐 관리자에서 TLS 구성

대기열 관리자가 인증서 해지 목록 또는 OCSP를 사용하여 TLS 인증서의 유효성을 확인하도록 구성할 수 있습니다.

이 태스크 정보

이 태스크에서는 IBM® MQ 클라이언트에서 TLS에 대해 작업하는 데 사용하는 명령을 소개합니다. 자세한 내용은 IBM Documentation보안 설정 IBM MQIBM MQ MQI 클라이언트 보안 설정하기을 참조하세요.

프로시저

  • [옵션 1] 큐 관리자 키 저장소 작성

    키 저장소는 대기열 관리자가 사용하는 인증서가 저장되는 곳입니다. AIX®, Linux®, and Windows 플랫폼에서 키 저장소는 키 데이터베이스 파일로 알려져 있습니다.

    키 저장소에 큐 관리자 인증서를 저장하려면 이 위치에 키 데이터베이스 파일이 있는지 확인해야 합니다.

    1. 큐 관리자 키 저장소의 위치를 찾으십시오.
      이는 큐 관리자의 키 저장소 속성에 지정되어 있습니다.
    2. 대기열 관리자 키 리포지토리가 아직 없는 경우 이를 만듭니다. AIX, Linux, and Windows에서 runmqakm 명령을 사용하여 키 리포지토리를 만듭니다.
    3. 대기열 관리자 키 저장소에 다른 대기열 관리자로부터 받은 인증서의 유효성을 검사하는 데 필요할 수 있는 모든 CA(인증 기관) 인증서가 포함되어 있는지 확인합니다.
  • [옵션 2] 큐 관리자 키 저장소 위치 변경

    특정 환경에서 키 저장소를 변경하려 할 수 있습니다. 예를 들어, 한 운영 체제에서 모든 큐 관리자가 공유하는 단일 위치를 사용하려 할 수 있습니다.

    큐 관리자 키 저장소 위치를 변경하려면 다음을 수행하십시오.

    1. 다음과 같이 큐 관리자 특성에서 키 저장소 위치를 변경하십시오.
      1. IBM MQ Explorer 를 열고 큐 관리자 폴더를 펼치십시오.
      2. 큐 관리자를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누르십시오.
      3. SSL 특성 페이지에서 키 저장소 필드에 있는 경로를 편집하여 선택된 디렉토리를 지시하십시오.
      4. 경고 대화 상자에서 를 클릭하십시오.
    2. 대기열 관리자가 실행되는 시스템에서 적절한 명령을 사용하여 대기열 관리자 개인 인증서를 새 위치로 전송합니다.
      자세한 내용은 IBM Documentation보안 설정 IBM MQ을 참조하세요.
  • [옵션 3] CRL(인증서 폐기 목록)을 사용하여 인증서 인증

    인증 기관(CA)에서는 인증서 폐기 목록(CRL)에 발행하여 더 이상 신뢰하지 않는 인증을 철회할 수 있습니다. 큐 관리자 또는 IBM MQ MQI 클라이언트가 인증서를 수신하면 CRL에 대해 검사하여 취소되지 않았는지 확인할 수 있습니다. CRL 검사가 TLS 사용 가능 메시징을 수행하는 데 있어서 필수는 아니지만 사용자 인증서의 신뢰성을 보장하기 위해 사용하는 것이 좋습니다.

    LDAP CRL 서버에 연결을 설정하려면 다음 단계를 완료하십시오.

    1. IBM MQ Explorer에서 큐 관리자를 펼치십시오.
    2. CRL LDAP유형의 인증 정보 오브젝트를 작성하십시오. 자세한 내용은 대기열 관리자 및 개체 만들기 및 구성하기을 참조하세요.
    3. 이전 단계를 반복하여 필요한 만큼의 CRL LDAP 인증 정보 오브젝트를 작성하십시오.
    4. 이름 목록을 작성하고 2 및 3단계에서 작성한 인증 정보 오브젝트의 이름을 이름 목록에 추가하십시오.
      자세한 내용은 대기열 관리자 및 개체 만들기 및 구성하기를 참조하세요.
    5. 큐 관리자를 마우스 오른쪽 단추로 누른 후 등록 정보를 누르십시오.
    6. SSL 페이지의 CRL 이름 목록 필드에 4단계에서작성한 이름 목록의 이름을 입력하십시오.
    7. 확인을 클릭하십시오.

    큐 관리자에서 수신하는 인증서가 이제 LDAP 서버에 보관된 CRL을 사용하여 인증될 수 있습니다.

    하나 이상의 LDAP 서버에 액세스할 수 없는 경우 서비스가 연속적으로 제공되도록 대체 LDAP 서버에 대한 최대 10개의 연결을 이름 목록에 추가할 수 있습니다.

  • [옵션 4] OCSP 인증을 사용하여 인증서 인증

    [AIX, Linux, Windows]에서 AIX, Linux, and Windows, IBM MQ TLS는 OCSP(온라인 인증서 상태 프로토콜)를 사용하거나 LDAP(경량 디렉터리 액세스 프로토콜) 서버에서 CRL 및 ARL을 사용하여 해지된 인증서를 확인합니다. OCSP가 기본 메소드입니다. IBM MQ classes for JavaIBM MQ classes for JMS 는 클라이언트 채널 정의 테이블 파일에서 OCSP 정보를 사용할 수 없습니다. 그러나 IBM Documentation해지된 인증서 및 OCSP에 설명된 대로 OCSP를 구성할 수 있습니다.

    [z/OS]z/OS®는 OCSP 확인을 지원하지 않지만 OCSP 정보가 포함된 클라이언트 채널 정의 테이블(CCDT)을 생성할 수 있습니다.

    [IBM i]IBM i는 OCSP 확인을 지원하지 않지만 OCSP 정보가 포함된 클라이언트 채널 정의 테이블(CCDT)을 생성할 수 있습니다.

    CCDT 및 OCSP에 대한 자세한 내용은 IBM Documentation클라이언트 채널 정의 표를 참조하세요.

    OCSP 서버에 연결을 설정하려면 다음 단계를 완료하십시오.

    1. IBM MQ Explorer에서 큐 관리자를 펼치십시오.
    2. OCSP유형의 인증 정보 오브젝트를 작성하십시오.
      자세한 내용은 대기열 관리자 및 개체 만들기 및 구성하기를 참조하세요.
    3. 이전 단계를 반복하여 필요한 만큼의 OCSP 인증 정보 오브젝트를 작성하십시오.
    4. 이름 목록을 작성하고 2 및 3단계에서 작성한 OCSP 인증 정보 오브젝트의 이름을 이름 목록에 추가하십시오.
      자세한 정보는 큐 관리자 및 오브젝트 작성 및 구성을 참조하십시오.
    5. 큐 관리자를 마우스 오른쪽 단추로 누른 후 등록 정보를 누르십시오.
    6. SSL 페이지의 취소 이름 목록 필드에 4단계에서작성한 이름 목록의 이름을 입력하십시오.
    7. 확인을 클릭하십시오.

    큐 관리자에서 수신하는 인증서가 OCSP 응답자를 사용하여 인증될 수 있습니다.

    큐 관리자는 OCSP 정보를 CCDT에 기록합니다.

    소켓 라이브러리는 한 번에 하나의 OCSP 응답자 URL만 사용할 수 있으므로 하나의 OCSP 오브젝트만 이름 목록에 추가할 수 있습니다.

  • [옵션 5] 암호화 하드웨어 구성

    IBM MQ 는 암호화 하드웨어를 지원할 수 있으며 큐 관리자가 이에 따라 구성되어야 합니다.

    1. IBM MQ Explorer를 시작하십시오.
    2. Navigator 보기에서 큐 관리자를 마우스 오른쪽 단추로 누른 후 등록 정보를 누르십시오.
      특성 대화 상자가 열립니다.
    3. SSL 페이지에서 구성을 클릭하십시오.
      암호화 하드웨어 설정 대화 상자가 열립니다.
    4. 암호화 하드웨어 설정 대화 상자에서 PKCS #11 드라이버에 대한 경로, 토큰 레이블, 토큰 비밀번호 및 대칭 비밀번호 설정을 입력하십시오.

      지원되는 모든 암호화 카드는 이제 PKCS #11을 사용하므로 Rainbow Cryptoswift 또는 nCipher nFast 카드에 대한 참조를 무시합니다.

    5. 확인을 클릭하십시오.

    이제 암호화 하드웨어를 사용하도록 큐 관리자가 구성됩니다.

    runmqakm에서 AIX, Linux, and Windows 명령을 사용하여 PKCS #11 하드웨어에 저장된 인증서를 관리할 수 있습니다.

    자세한 내용은 IBM Documentation보안 설정 IBM MQ을 참조하세요.