Gestione los certificados de cliente de IBM® MQ , configure los canales para utilizar TLS y autentique los certificados utilizando las listas de revocación de certificados o la autenticación OCSP.
Acerca de esta tarea
Esta tarea introduce los mandatos que se utilizan para trabajar con TLS en un cliente IBM MQ . Para obtener más información, consulte Protección de IBM MQ y Configuración de la seguridad de cliente MQI de IBM MQ en IBM Documentation.
Procedimiento
- [OPCIÓN 1] Gestionar los certificados de cliente de IBM MQ
- Busque la ubicación del repositorio de claves del cliente.
Escriba el mandato siguiente para examinar la variable de entorno MQSSLKEYR:
echo %MQSSLKEYR%
- Asegúrese de que el repositorio de claves del cliente contiene todos los certificados de autoridad de certificación (CA) que podrían ser necesarios para validar los certificados que se reciben de otros gestores de colas.
- Compruebe su aplicación, ya que el depósito de claves se puede establecer en una llamada MQCONNX.
Si se establecen ambos valores, el valor establecido en la llamada MQCONNX altera temporalmente el valor de MQSSLKEYR.
- [OPCIÓN 2] Configurar los canales para utilizar TLS
- [OPCIÓN 3] Autenticar certificados utilizando listas de revocación de certificados
Las autoridades de certificación (CA) pueden revocar los certificados que han dejado de ser fiables; para ello, los publican en una lista de revocación de certificados (CRL). Cuando un gestor de colas o un cliente MQI de IBM MQ recibe un certificado, se puede comprobar con la CRL para asegurarse de que no se ha revocado. La comprobación con la CRL no es obligatoria para conseguir una mensajería habilitada para TLS, pero es aconsejable asegurarse de la fiabilidad de los certificados de usuario.
Puede configurar un cliente MQI de IBM MQ para comprobar los certificados con respecto a las CRL en los servidores LDAP.
- En el servidor IBM MQ , en IBM MQ Explorer, expanda el gestor de colas.
- Cree un nuevo objeto de información de autenticación de tipo CRL LDAP. Para obtener más información, consulte Creación y configuración de gestores de colas y objetos.
- Repita el paso anterior para crear tantos objetos de información de autenticación como sean necesarios.
- Cree una nueva lista de nombres y añada a la lista de nombres los nombres de los objetos de información de autenticación OCSP que ha creado en los pasos 2 y 3.
- Pulse con el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
- En la página SSL , en el campo Lista de nombres de CRL , escriba el nombre de la lista de nombres que ha creado en el paso 4.
- Pulse Aceptar.
Toda la información CRL LDAP se escribe en la tabla de definiciones de canal del cliente.
- Haga que la tabla de definiciones de canal de cliente esté disponible para el cliente o, si utiliza Windows Active Directory, escriba la información de la tabla de definiciones de canal de cliente en Active Directory.
Véase el comando
setmqscp en
IBM Documentation.
Puede añadir a la lista de nombres hasta 10 conexiones a servidores LDAP alternativos para asegurar la continuidad del servicio si uno o más de los servidores LDAP son inaccesibles. Para obtener más información, consulte Asegurar IBM MQen IBM Documentation.
Véase también IBM MQ MQI clients en IBM Documentation.
- [OPCIÓN 4] Autenticar certificados utilizando la autenticación OCSP
Puede configurar un cliente MQI de IBM MQ para comprobar los certificados en un programa de respuesta OCSP. Algunos entornos de cliente no dan soporte a la comprobación de revocaciones OCSP pero todas las plataformas del servidor dan soporte a la posibilidad de definir la configuración OCSP que se grabará en el archivo de la tabla de definiciones de canal de cliente.
- En el servidor IBM MQ , en IBM MQ Explorer, expanda el gestor de colas.
- Cree un nuevo objeto de información de autenticación de tipo OCSP.
- Repita el paso anterior para crear tantos objetos OCSP de información de autenticación como sean necesarios.
- Cree una lista de nombres y añada a la lista de nombres los nombres de los objetos de información de autenticación OCSP que ha creado en los pasos 2 y 3.
- Pulse con el botón derecho del ratón en el gestor de colas y, a continuación, pulse Propiedades.
- En la página SSL , en el campo Lista de nombres de revocación , escriba el nombre de la lista de nombres que ha creado en el paso 4.
- Pulse Aceptar.
- Haga que la tabla de definiciones de canal de cliente esté disponible para el cliente.
Solamente se puede añadir un objeto OCSP a la lista de nombres porque la biblioteca de sockets solamente puede utilizar un URL de programa de respuesta OCSP cada vez. Para obtener más información, consulte Asegurar IBM MQen IBM Documentation.
Véase también IBM MQ MQI clients en IBM Documentation.