Configuration de TLS sur les clients IBM MQ MQI

Gérez les certificats client IBM® MQ , configurez les canaux pour utiliser TLS et authentifiez les certificats à l'aide des listes de révocation de certificat ou de l'authentification OCSP.

A propos de cette tâche

Cette tâche présente les commandes que vous utilisez pour utiliser TLS sur un client IBM MQ . Pour plus d'informations, voir Sécurisation de IBM MQ et Configuration de la sécurité du client IBM MQ MQI dans IBM Documentation.

Procédure

  • [ OPTION 1 ] Gérer les certificats client IBM MQ
    1. Recherchez l'emplacement du référentiel de clés du client.
      Entrez la commande suivante pour examiner la variable d'environnement MQSSLKEYR :
      echo %MQSSLKEYR%
    2. Veiller à ce que le référentiel de clés du client contienne tous les certificats de l'autorité de certification (AC) qui pourraient être nécessaires pour valider les certificats reçus d'autres gestionnaires de files d'attente.
    3. Vérifiez votre application car il se peut que le référentiel de clés soit défini sur un appel MQCONNX.
      Si les deux valeurs sont définies, la valeur définie sur l'appel MQCONNX remplace celle de MQSSLKEYR.
  • [OPTION 2] Configurer les canaux pour l'utilisation de TLS

    Configurez les canaux TLS comme décrit dans Configuration des canaux TLS avec IBM MQ Explorer.

  • [OPTION 3] Authentifier les certificats à l'aide de listes de révocation de certificat

    Les autorités de certification peuvent révoquer des certificats qui ne sont plus fiables en les mentionnant dans une liste de révocation de certificat. Lorsqu'un certificat est reçu par un gestionnaire de files d'attente ou un client IBM MQ MQI, il peut être vérifié par rapport à la liste de révocation de certificat pour s'assurer qu'il n'a pas été révoqué. Cette vérification n'est pas obligatoire, mais il est recommandé de s'assurer de la validité des certificats utilisateur.

    Vous pouvez configurer un client IBM MQ MQI pour vérifier les certificats par rapport aux CRL sur les serveurs LDAP.

    1. Sur le serveur IBM MQ , dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
    2. Créez un objet d'informations d'authentification de type CRL LDAP. Pour plus d'informations, voir Création et configuration des gestionnaires de file d'attente et des objets.
    3. Effectuez à nouveau l'étape précédente pour créer le nombre d'objets d'information d'authentification dont vous avez besoin.
    4. Créez une liste de noms et ajoutez à cette liste les noms des objets d'information d'authentification que vous avez créés au cours des étapes 2 et 3.
    5. Cliquez avec le bouton droit de la souris sur le gestionnaire de files d'attente, puis cliquez sur Propriétés.
    6. Sur la page SSL , dans la zone Liste de noms CRL , entrez le nom de la liste de noms que vous avez créée à l'étape 4.
    7. Cliquez sur OK.

      Toutes les informations CRL LDAP sont maintenant enregistrées dans une table de définition de canaux client.

    8. Mettez la table de définition de canal du client à la disposition du client ou, si vous utilisez Windows Active Directory, écrivez les informations de la table de définition de canal du client dans Active Directory.
      Voir la commande setmqscp dans IBM Documentation.

    Vous pouvez ajouter à la liste de noms jusqu'à 10 connexions vers des serveurs LDAP de secours afin de garantir une continuité de service si un ou plusieurs de ces serveurs sont inaccessibles. Pour plus d'informations, voir Sécurisation IBM MQ dans IBM Documentation.

    Voir aussi IBM MQ MQI clients dans IBM Documentation.

  • [OPTION 4] Authentifier les certificats à l'aide de l'authentification OCSP

    Vous pouvez configurer un client IBM MQ MQI pour vérifier les certificats par rapport à un répondeur OCSP. Certains environnements client ne prennent pas en charge le contrôle de révocation OCSP, mais toutes les plateformes de serveur prennent en charge la capacité de définir la configuration OCSP qui sera écrite dans le fichier de la table de définitions de canaux de client.

    1. Sur le serveur IBM MQ , dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
    2. Créez un objet d'informations d'authentification de type OCSP.
    3. Effectuez à nouveau l'étape précédente pour créer le nombre d'objets d'information d'authentification OCSP dont vous avez besoin.
    4. Créez une liste de noms et ajoutez-y les noms des objets d'information d'authentification OCSP créés au cours des étapes 2 et 3.
    5. Cliquez avec le bouton droit de la souris sur le gestionnaire de files d'attente, puis cliquez sur Propriétés.
    6. Sur la page SSL , dans la zone Liste de noms de révocation , entrez le nom de la liste de noms que vous avez créée à l'étape 4.
    7. Cliquez sur OK.
    8. Mettez la table de définition de canal du client à la disposition du client.

    UN seul objet OCSP peut être ajouté à la liste de noms car la bibliothèque de sockets ne peut utiliser qu'une seule adresse URL de canal répondeur OCSP à la fois. Pour plus d'informations, voir Sécurisation IBM MQ dans IBM Documentation.

    Voir aussi IBM MQ MQI clients dans IBM Documentation.