Configuration de la sécurité TLS sur les gestionnaires de files d'attente

Vous pouvez configurer le gestionnaire de files d'attente pour qu'il vérifie la validité des certificats TLS à l'aide des listes de révocation de certificats ou de l'OCSP.

A propos de cette tâche

Cette tâche présente les commandes que vous utilisez pour utiliser TLS sur un client IBM® MQ . Pour plus d'informations, voir Sécurisation IBM MQ et Setting up IBM MQ MQI client security dans IBM Documentation.

Procédure

  • [OPTION 1] Créer le référentiel de clés du gestionnaire de files d'attente

    Le référentiel de clés est l'endroit où sont stockés les certificats utilisés par le gestionnaire de file d'attente. Sur les plateformes AIX®, Linux®, and Windows , le référentiel de clés est appelé fichier de base de données de clés.

    Pour pouvoir stocker les certificats du gestionnaire de files d'attente dans le référentiel de clés, vous devez vous assurer qu'un fichier de clés existe à cet emplacement.

    1. Recherchez l'emplacement du référentiel de clés du gestionnaire de files d'attente.
      Il est spécifié dans l'attribut Référentiel de clés du gestionnaire de files d'attente.
    2. Créer le référentiel de clés du gestionnaire de file d'attente s'il n'existe pas déjà. Sur AIX, Linux, and Windows, utilisez la commande runmqakm pour créer le dépôt de clés.
    3. Assurez-vous que le référentiel de clés du gestionnaire de files d'attente contient tous les certificats d'autorité de certification (CA) qui pourraient être nécessaires pour valider les certificats reçus d'autres gestionnaires de files d'attente.
  • [OPTION 2] Changer l'emplacement du référentiel de clés du gestionnaire de files d'attente

    Dans certains cas, il peut s'avérer utile de changer l'emplacement du référentiel de clés, par exemple pour utiliser un emplacement unique partagé par tous les gestionnaires de files d'attente d'un système d'exploitation.

    Pour modifier l'emplacement du référentiel de clés d'un gestionnaire de files d'attente, procédez comme suit :

    1. Modifiez l'emplacement du référentiel de clés dans les propriétés du gestionnaire de files d'attente :
      1. Ouvrez IBM MQ Explorer et développez le dossier Gestionnaires de files d'attente .
      2. Cliquez sur le gestionnaire de files d'attente avec le bouton droit de la souris, puis sélectionnez Propriétés.
      3. Dans la page de propriétés SSL, dans la zoneRéférentiel de clés indiquez un chemin pointant sur le répertoire choisi.
      4. Dans la boîte de dialogue Avertissement, cliquez sur Oui.
    2. Transférer les certificats personnels du gestionnaire de file d'attente vers le nouvel emplacement à l'aide de la commande appropriée sur le système où le gestionnaire de file d'attente s'exécute.
      Pour plus d'informations, voir Sécurisation de IBM MQ dans IBM Documentation.
  • [OPTION 3] Authentifier les certificats à l'aide de listes de révocation de certificat

    Les autorités de certification peuvent révoquer des certificats qui ne sont plus fiables en les mentionnant dans une liste de révocation de certificat. Lorsqu'un certificat est reçu par un gestionnaire de files d'attente ou un client IBM MQ MQI, il peut être vérifié par rapport à la liste de révocation de certificat pour s'assurer qu'il n'a pas été révoqué. Cette vérification n'est pas obligatoire, mais il est recommandé de s'assurer de la validité des certificats utilisateur.

    Pour configurer une connexion à un serveur de liste de révocation de certificat LDAP, procédez comme suit :

    1. Dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
    2. Créez un objet d'informations d'authentification de type CRL LDAP. Pour plus d'informations, voir Création et configuration des gestionnaires de file d'attente et des objets.
    3. Effectuez à nouveau l'étape précédente pour créer le nombre d'objets d'information d'authentification LDAP de liste de révocation de certificat dont vous avez besoin.
    4. Créez une liste de noms et ajoutez à cette liste les noms des objets d'information d'authentification que vous avez créés au cours des étapes 2 et 3.
    5. Cliquez avec le bouton droit de la souris sur le gestionnaire de files d'attente, puis cliquez sur Propriétés.
    6. Sur la page SSL , dans la zone Liste de noms CRL , entrez le nom de la liste de noms que vous avez créée à l'étape 4.
    7. Cliquez sur OK.

    Les certificats reçus par le gestionnaire de files d'attente peuvent maintenant être authentifiés auprès de la liste de retrait de certificats du serveur LDAP.

    Vous pouvez ajouter à la liste de noms jusqu'à 10 connexions vers des serveurs LDAP de secours afin de garantir une continuité de service si un ou plusieurs de ces serveurs sont inaccessibles.

  • [OPTION 4] Authentifier les certificats à l'aide de l'authentification OCSP

    [AIX, Linux, Windows] Sur AIX, Linux, and Windows, IBM MQ le support TLS vérifie les certificats révoqués en utilisant OCSP (Online Certificate Status Protocol) ou en utilisant CRLs et ARLs sur les serveurs LDAP (Lightweight Directory Access Protocol). OCSP est la méthode préférée. IBM MQ classes for Java et IBM MQ classes for JMS ne peuvent pas utiliser les informations OCSP dans un fichier de table de définition de canal du client. Toutefois, vous pouvez configurer OCSP comme décrit dans Certificats révoqués et OCSP dans IBM Documentation.

    [z/OS]z/OS® ne prend pas en charge la vérification OCSP, mais permet de générer des tables de définition des canaux clients (CCDT) contenant des informations OCSP.

    [IBM i]IBM i ne prend pas en charge la vérification OCSP, mais permet de générer des tables de définition des canaux clients (CCDT) contenant des informations OCSP.

    Pour plus d'informations sur les CCDT et l'OCSP, voir Tableau de définition du canal client dans IBM Documentation.

    Pour configurer une connexion à un serveur OCSP, procédez comme suit :

    1. Dans IBM MQ Explorer, développez le gestionnaire de files d'attente.
    2. Créez un objet d'informations d'authentification de type OCSP.
    3. Effectuez à nouveau l'étape précédente pour créer le nombre d'objets d'information d'authentification OCSP dont vous avez besoin.
    4. Créez une liste de noms et ajoutez à cette liste les noms des objets d'information d'authentification OCSP que vous avez créés au cours des étapes 2 et 3.
    5. Cliquez avec le bouton droit de la souris sur le gestionnaire de files d'attente, puis cliquez sur Propriétés.
    6. Sur la page SSL , dans la zone Liste de noms de révocation , entrez le nom de la liste de noms que vous avez créée à l'étape 4.
    7. Cliquez sur OK.

    Les certificats reçus par le gestionnaire de files d'attente sont authentifiés auprès du canal répondeur OCSP.

    Le gestionnaire de files d'attente écrit des informations OCSP dans la table de définition de canal du client.

    UN seul objet OCSP peut être ajouté à la liste de noms car la bibliothèque de sockets ne peut utiliser qu'une seule adresse URL de canal répondeur OCSP à la fois.

  • [OPTION 5] Configurer le matériel de cryptographie

    IBM MQ peut prendre en charge le matériel de cryptographie et le gestionnaire de files d'attente doit être configuré en conséquence.

    1. Démarrez IBM MQ Explorer.
    2. Dans la vue Navigator , cliquez avec le bouton droit de la souris sur le gestionnaire de files d'attente, puis cliquez sur Propriétés.
      La boîte de dialogue Propriétés s'ouvre.
    3. Sur la page SSL , cliquez sur Configurer.
      La boîte de dialogue Paramètres du matériel de cryptographie s'ouvre.
    4. Dans la boîte de dialogue Paramètres du matériel de cryptographie , entrez le chemin d'accès au pilote PKCS #11 , le libellé du jeton, le mot de passe du jeton et le paramètre de chiffrement symétrique.

      Désormais, toutes les cartes de cryptographie prises en charge utilisent PKCS #11. Ignorez donc toutes les références aux cartes Rainbow Cryptoswift ou nCipher nFast.

    5. Cliquez sur OK.

    Le gestionnaire de files d'attente est maintenant configuré pour utiliser le matériel de cryptographie.

    Vous pouvez gérer les certificats stockés dans le matériel PKCS #11 en utilisant la commande runmqakm sur AIX, Linux, and Windows.

    Pour plus d'informations, voir Sécurisation de IBM MQ dans IBM Documentation.