Konfigurowanie protokołu TLS w klientach MQI produktu IBM MQ

Zarządzanie certyfikatami klienta IBM® MQ , konfigurowanie kanałów do korzystania z protokołu TLS oraz uwierzytelnianie certyfikatów przy użyciu list odwołań certyfikatów lub uwierzytelniania OCSP.

Informacje o zadaniu

To zadanie wprowadza komendy, których używa się do pracy z protokołem TLS na kliencie IBM MQ . Więcej informacji na ten temat zawiera sekcja Zabezpieczanie IBM MQ i Konfigurowanie zabezpieczeń klienta MQI produktu IBM MQ w podręczniku IBM Documentation.

Procedura

  • [ OPCJA 1] Zarządzanie certyfikatami klienta IBM MQ

    Użyj interfejsu GUI programu IBM strmqikm do zarządzania certyfikatami TLS. Więcej informacji na ten temat zawiera sekcja Wywoływanie interfejsu GUI produktu IBM strmqikm (iKeyman).

    1. Znajdź lokalizację repozytorium kluczy klienta.
      Wpisz następującą komendę, aby sprawdzić zmienną środowiskową MQSSLKEYR:
      echo %MQSSLKEYR%
    2. W interfejsie GUI programu strmqikm upewnij się, że repozytorium kluczy klienta zawiera wszystkie certyfikaty ośrodka certyfikacji (CA), które mogą być wymagane do sprawdzania poprawności certyfikatów odbieranych od innych menedżerów kolejek.
    3. Sprawdź używaną aplikację, ponieważ repozytorium kluczy może zostać ustawione na wywołanie MQCONNX.
      Jeśli obie wartości są ustawione, wartość wywołania MQCONNX nadpisuje wartość MQSSLKEYR.
  • [OPCJA 2] Skonfiguruj kanały w celu użycia szyfrowania TLS

    Skonfiguruj kanały TLS zgodnie z opisem w sekcji Konfigurowanie kanałów TLS.

  • [OPCJA 3] Uwierzytelniaj certyfikaty za pomocą list CRL (Certificate Revocation Lists)

    Ośrodki certyfikacji (CA) mogą unieważnić certyfikaty, które nie są już certyfikatami zaufanymi, publikując je na liście CRL (Certification Revocation List). Po odebraniu certyfikatu przez menedżera kolejek lub klienta MQI produktu IBM MQ można go sprawdzić na liście CRL, aby upewnić się, że nie został on unieważniony. Sprawdzanie listy CRL nie jest obowiązkowe w celu aktywowania przesyłania komunikatów z włączonym TLS, ale jest zalecane w celu zagwarantowania wiarygodności certyfikatów użytkownika.

    Klient MQI produktu IBM MQ można skonfigurować w taki sposób, aby sprawdzał certyfikaty dla list CRL na serwerach LDAP.

    1. Na serwerze IBM MQ w produkcie IBM MQ Explorerrozwiń menedżer kolejek.
    2. Utwórz nowy obiekt informacji uwierzytelniającej typu CRL LDAP. Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
    3. Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej.
    4. Utwórz listę nazw i dodaj do niej nazwy obiektów informacji uwierzytelniającej utworzonych w punktach 2 i 3.
      Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
    5. Kliknij prawym przyciskiem myszy menedżer kolejek, a następnie kliknij opcję Właściwości.
    6. Na stronie SSL , w polu Lista nazw CRL , wpisz nazwę listy nazw utworzonej w kroku 4.
    7. Kliknij przycisk OK.

      Wszystkie informacje typu CRL LDAP są teraz zapisywane w tabeli definicji kanału klienta.

    8. Udostępnij klientowi tabelę definicji kanału klienta lub, jeśli używasz Windows Active Directory, zapisuj informacje z tabeli definicji kanału klienta do Active Directory.
      Więcej informacji na ten temat zawiera opis komendy setmqscp w produkcie IBM Documentation.

    Do listy nazw można dodać maksymalnie 10 połączeń z alternatywnymi serwerami LDAP, aby zagwarantować ciągłość usługi w przypadku, gdy jeden lub więcej serwerów LDAP jest niedostępnych. Więcej informacji na ten temat zawiera sekcja Zabezpieczanie produktu IBM MQ w podręczniku IBM Documentation.

    Patrz także Przegląd klientów MQI produktu IBM MQ w podręczniku IBM Documentation.

  • [OPCJA 4] Uwierzytelniaj certyfikaty za pomocą uwierzytelniania OCSP

    Klient MQI produktu IBM MQ można skonfigurować w taki sposób, aby sprawdzał certyfikaty na podstawie modułu odpowiadającego OCSP. Niektóre środowiska klienckie nie obsługują sprawdzania odwołań OCSP, jednak wszystkie platformy serwerów obsługują definiowanie konfiguracji OCSP zapisywanej w pliku tabeli definicji kanału klienta.

    1. Na serwerze IBM MQ w produkcie IBM MQ Explorerrozwiń menedżer kolejek.
    2. Utwórz nowy obiekt informacji uwierzytelniającej typu OCSP.
      Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
    3. Powtórz poprzedni krok, aby utworzyć wymaganą liczbę obiektów informacji uwierzytelniającej OCSP.
    4. Utwórz nową listę nazw i dodaj do niej nazwy obiektów informacji uwierzytelniającej OCSP utworzonych w punktach 2 i 3.
      Więcej informacji na ten temat zawiera sekcja Tworzenie i konfigurowanie menedżerów kolejek i obiektów.
    5. Kliknij prawym przyciskiem myszy menedżer kolejek, a następnie kliknij opcję Właściwości.
    6. Na stronie SSL , w polu Lista nazw odwołań , wpisz nazwę listy nazw utworzonej w kroku 4.
    7. Kliknij przycisk OK.
    8. Dokonaj dostępu do tabeli definicji kanału klienta dla klienta.

    Do listy nazw można dodać tylko jeden obiekt OCSP, ponieważ biblioteka gniazd może używać jednocześnie tylko jednego adresu URL modułu odpowiadającego OCSP. Więcej informacji na ten temat zawiera sekcja Zabezpieczanie produktu IBM MQ w podręczniku IBM Documentation.

    Patrz także Przegląd klientów MQI produktu IBM MQ w podręczniku IBM Documentation.