Gerenciar os certificados clientes IBM® MQ , configurar os canais para usar TLS e autenticar certificados usando a autenticação Certificado Listas ou autenticação OCSP.
Sobre esta tarefa
Esta tarefa apresenta os comandos que você usa para trabalhar com TLS em um cliente IBM MQ . Para obter mais informações, consulte Securing IBM MQ e Configurando a segurança do cliente cliente IBM MQ em IBM Documentation.
Procedimento
- [OPÇÃO 1] Gerenciar os certificados clientes IBM MQ
- Encontre o local do repositório de chaves do cliente.
Digite o comando a seguir para examinar a variável de ambiente MQSSLKEYR:
echo %MQSSLKEYR%
- Verifique se o repositório de chaves do cliente contém todos os certificados de autoridade de certificação (CA) que podem ser necessários para validar certificados recebidos de outros gerenciadores de fila.
- Verifique seu aplicativo, já que o repositório de chaves pode ser configurado em uma chamada MQCONNX.
Se ambos os valores forem definidos,
o valor definido na chamada MQCONNX substitui o valor de MQSSLKEYR.
- [OPÇÃO 2] Configurar os canais para usar o TLS
- [OPÇÃO 3] Autenticar os certificados usando as Listas de revogação de certificado
As CAs (Autoridades de Certificação) podem revogar certificados que não mais são confiáveis, publicando-os em uma CRL (Lista de Revogação de Certificados). Quando um certificado é recebido por um gerenciador de filas ou um cliente cliente IBM MQ , ele pode ser conferido contra o CRL para garantir que ele não tenha sido revogado. A verificação da CRL não é obrigatória para que o sistema de mensagens ativado para TLS seja concluído com êxito, mas é recomendável para assegurar a fidelidade dos certificados de usuário.
Você pode configurar um cliente cliente IBM MQ para verificar certificados contra CRLs em servidores LDAP.
- No servidor IBM MQ , em IBM MQ Explorer, expanda o gerenciador de filas.
- Criar um novo objeto de informação de autenticação do tipo CRL LDAP. Para obter mais informações, consulte Criando e configurando gerenciadores e objetos de fila.
- Repita a etapa anterior para criar quantos objetos de informações de autenticação forem necessários.
- Crie uma lista de nomes e inclua na lista de nomes os nomes dos objetos de informações de autenticação que você criou nas etapas 2 e 3.
- Clique com o botão direito do gerenciador de filas, então clique em Propriedades.
- Na página SSL , no campo Namelista CRL , digite o nome do namelista que você criou na Etapa 4.
- Clique em OK.
Todas as informações de LDAP CRL
são gravadas agora na tabela de definições de canal do cliente.
- Disponibilize a tabela de definição de canal do cliente para o cliente ou, se estiver usando o Windows Active Directory, grave as informações da tabela de definição de canal do cliente para o Active Directory.
Consulte o comando
setmqscp em
IBM Documentation.
Você pode incluir na lista de nomes até 10 conexões com servidores LDAP alternativos para assegurar a continuidade de serviço se um ou mais servidores LDAP ficarem inacessíveis. Para obter mais informações, consulte Segurando IBM MQ em IBM Documentation.
Consulte também IBM MQ MQI clients em IBM Documentation.
- [OPÇÃO 4] Autenticar os certificados usando a autenticação OCSP
Você pode configurar um cliente cliente IBM MQ para verificar certificados contra um respondente do OCSP. Alguns ambientes do cliente não suportam a verificação de revogação do OCSP, mas todas as plataformas do servidor suportam a habilidade de definir a configuração do OCSP que será gravada no arquivo da tabela de definição de canal do cliente.
- No servidor IBM MQ , em IBM MQ Explorer, expanda o gerenciador de filas.
- Criar um novo objeto de informação de autenticação do tipo OCSP.
- Repita a etapa anterior para criar quantos objetos de informações de autenticação OCSP forem necessários.
- Crie uma nova lista de nomes e inclua nela os nomes dos objetos de informações de autenticação OCSP criados nas Etapas 2 e 3.
- Clique com o botão direito do gerenciador de filas, então clique em Propriedades.
- Na página SSL , no campo Namelista de Revocação , digite o nome do namelista que você criou na Etapa 4.
- Clique em OK.
- Faça a tabela de definição de canal do cliente disponível para o cliente.
Somente um objeto do OCSP pode ser incluído na lista de nomes porque a biblioteca de soquetes pode usar somente uma URL do respondente do OCSP de cada vez. Para obter mais informações, consulte Segurando IBM MQ em IBM Documentation.
Consulte também IBM MQ MQI clients em IBM Documentation.