Configurar TLS en los gestores de colas
Puede configurar el gestor de colas para que compruebe la validez de los certificados TLS utilizando listas de revocación de certificados u OCSP.
Acerca de esta tarea
Esta tarea introduce los mandatos que se utilizan para trabajar con TLS en un cliente IBM® MQ . Para obtener más información, consulte Asegurar IBM MQ y Configurar la seguridad del cliente IBM MQ MQI en IBM Documentation.
Procedimiento
- [OPCIÓN 1] Crear el repositorio de claves del gestor de colas
El repositorio de claves es donde se almacenan los certificados que utiliza el gestor de colas. En plataformas AIX®, Linux®, and Windows , el repositorio de claves se conoce como archivo de base de datos de claves.
Para poder almacenar los certificados del gestor de colas en el depósito de claves, debe asegurarse de que existe un archivo de base de datos de claves en esta ubicación.
- Busque la ubicación del repositorio de claves del gestor de claves. Esto se especifica en el atributo Repositorio de claves del gestor de colas.
- Crea el repositorio de claves del gestor de colas si aún no existe. En AIX, Linux, and Windows, utilice el comando runmqakm para crear el repositorio de claves.
- Asegúrese de que el repositorio de claves del gestor de colas contiene todos los certificados de autoridad de certificación (CA) que podrían ser necesarios para validar los certificados que se reciben de otros gestores de colas.
- Busque la ubicación del repositorio de claves del gestor de claves.
- [OPCIÓN 2] Cambiar la ubicación del repositorio de claves del gestor de colas
En determinadas circunstancias es aconsejable cambiar la ubicación del repositorio de claves; por ejemplo, para utilizar una ubicación compartida por todos los gestores de colas de un sistema operativo.
Para cambiar la ubicación del depósito de claves de un gestor de colas:
- Cambie la ubicación del depósito de claves en las propiedades del gestor de colas:
- Abra IBM MQ Explorer y expanda la carpeta Gestores de colas .
- Pulse el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
- En la página de propiedades SSL, edite la vía de acceso en el campo Depósito de claves para que señale al directorio seleccionado.
- En el diálogo aviso, pulse Sí.
- Transfiera los certificados personales del gestor de colas a la nueva ubicación utilizando el comando adecuado en el sistema donde se ejecuta el gestor de colas.Para obtener más información, consulte Asegurar IBM MQ en IBM Documentation.
- Cambie la ubicación del depósito de claves en las propiedades del gestor de colas:
- [OPCIÓN 3] Autenticar certificados utilizando listas de revocación de certificados
Las autoridades de certificación (CA) pueden revocar los certificados que han dejado de ser fiables; para ello, los publican en una lista de revocación de certificados (CRL). Cuando un gestor de colas o un cliente MQI de IBM MQ recibe un certificado, se puede comprobar con la CRL para asegurarse de que no se ha revocado. La comprobación con la CRL no es obligatoria para conseguir una mensajería habilitada para TLS, pero es aconsejable asegurarse de la fiabilidad de los certificados de usuario.
Para configurar una conexión con un servidor CRL LDAP, realice los pasos siguientes:
- En IBM MQ Explorer, expanda el gestor de colas.
- Cree un objeto de información de autenticación de tipo CRL LDAP. Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
- Repita el paso anterior para crear tantos objetos CRL LDAP de información de autenticación como sean necesarios.
- Cree una nueva lista de nombres y añada a la lista de nombres los nombres de los objetos de información de autenticación OCSP que ha creado en los pasos 2 y 3. Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
- Pulse con el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
- En la página SSL , en el campo Lista de nombres de CRL , escriba el nombre de la lista de nombres que ha creado en el paso 4.
- Pulse Aceptar.
Los certificados que recibe el gestor de colas se pueden autenticar contra la CRL mantenida en el servidor LDAP.
Puede añadir a la lista de nombres hasta 10 conexiones a servidores LDAP alternativos para asegurar la continuidad del servicio si uno o más de los servidores LDAP son inaccesibles.
- [OPCIÓN 4] Autenticar certificados utilizando la autenticación OCSP
En AIX, Linux, and Windows, IBM MQ TLS soporta comprobaciones de certificados revocados mediante OCSP (Online Certificate Status Protocol) o mediante CRLs y ARLs en servidores LDAP (Lightweight Directory Access Protocol). El OCSP es el método preferido. IBM MQ classes for Java y IBM MQ classes for JMS no pueden utilizar la información de OCSP en un archivo de tabla de definición de canal de cliente. Sin embargo, puede configurar OCSP como se describe en Certificados revocados y OCSP en IBM Documentation.
z/OS® no admite la comprobación OCSP, pero permite la generación de tablas de definición de canal de cliente (CCDT) que contienen información OCSP.
IBM i no admite la comprobación OCSP, pero permite la generación de tablas de definición de canal de cliente (CCDT) que contienen información OCSP.
Para obtener más información sobre las CCDT y OCSP, consulte Tabla de definición del canal del cliente en IBM Documentation.
Para configurar una conexión con un servidor OCSP, realice los pasos siguientes.
- En IBM MQ Explorer, expanda el gestor de colas.
- Cree un objeto de información de autenticación de tipo OCSP. Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
- Repita el paso anterior para crear tantos objetos OCSP de información de autenticación como sean necesarios.
- Cree una nueva lista de nombres y añada a la lista de nombres los nombres de los objetos de información de autenticación OCSP que ha creado en los pasos 2 y 3. Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
- Pulse con el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
- En la página SSL , en el campo Lista de nombres de revocación , escriba el nombre de la lista de nombres que ha creado en el paso 4.
- Pulse Aceptar.
Los certificados que recibe el gestor de colas se autentican contra el programa de respuesta de OCSP.
El gestor de colas escribe información OCSP al CCDT.
Solamente se puede añadir un objeto OCSP a la lista de nombres porque la biblioteca de sockets solamente puede utilizar un URL de programa de respuesta OCSP cada vez.
- [OPCIÓN 5] Configurar hardware criptográfico
IBM MQ puede dar soporte al hardware criptográfico y el gestor de colas debe estar configurado en consecuencia.
- Inicie IBM MQ Explorer.
- En la vista Navigator , pulse con el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades. Se abre el diálogo Propiedades.
- En la página SSL , pulse Configurar. Se abre el diálogo Valores de hardware criptográfico.
- En el diálogo Valores de hardware criptográfico , especifique la vía de acceso al controlador PKCS #11 y la etiqueta de señal, la contraseña de señal y el valor de cifrado simétrico.
Todas las tarjetas criptográficas admitidas utilizan ahora PKCS #11, por lo que debe hacer caso omiso a las referencias a tarjetas Rainbow Cryptoswift o nCipher nFast.
- Pulse Aceptar.
Ahora el gestor de colas está configurado para utilizar el hardware de cifrado.
Puede gestionar certificados almacenados en hardware PKCS #11 utilizando el comando runmqakm en AIX, Linux, and Windows.
Para obtener más información, consulte Asegurar IBM MQ en IBM Documentation.