TLS auf Warteschlangenmanagern konfigurieren
Sie können den Warteschlangenmanager so konfigurieren, dass er die Gültigkeit von TLS-Zertifikaten entweder mit Hilfe von Certificate Revocation Lists oder OCSP überprüft.
Informationen zu dieser Task
Diese Task führt die Befehle ein, die Sie zum Arbeiten mit TLS auf einem IBM® MQ -Client verwenden. Weitere Informationen finden Sie unter Sichern von IBM MQ und Einrichten von IBM MQ MQI-Client-Sicherheit in IBM Documentation.
Verfahren
- [OPTION 1] Erstellen des Schlüsselrepositorys des Warteschlangenmanagers
Im Schlüsseldepot werden die vom Warteschlangenmanager verwendeten Zertifikate gespeichert. Auf AIX®, Linux®, and Windows -Plattformen wird das Schlüsselrepository als Schlüsseldatenbankdatei bezeichnet.
Die Zertifikate des Warteschlangenmanagers können erst im Schlüsselrepository gespeichert werden, wenn an dieser Adresse eine Schlüsseldatenbankdatei erstellt wurde.
- Suchen Sie die Position des Schlüsselrepositorys des Warteschlangenmanagers. Sie ist im Attribut Schlüsselrepository des Warteschlangenmanagers angegeben.
- Erstellen Sie das Warteschlangenmanager-Schlüssel-Repository, falls es noch nicht existiert. Verwenden Sie auf AIX, Linux, and Windows den Befehl runmqakm, um das Schlüssel-Repository zu erstellen.
- Stellen Sie sicher, dass der Schlüsselspeicher des Warteschlangenmanagers alle Zertifikate der Zertifizierungsstelle (CA) enthält, die für die Validierung von Zertifikaten, die von anderen Warteschlangenmanagern empfangen werden, erforderlich sein könnten.
- Suchen Sie die Position des Schlüsselrepositorys des Warteschlangenmanagers.
- [OPTION 2] Ändern der Position des Schlüsselrepositorys des Warteschlangenmanagers
Unter bestimmten Umständen kann es angebracht sein, die Position des Schlüsselrepositorys zu ändern, z. B., um eine einzelne Position zu verwenden, die von allen Warteschlangenmanagern in einem einzigen Betriebssystem gemeinsam genutzt wird.
Gehen Sie wie folgt vor, um die Adresse des Schlüsselrepositorys eines Warteschlangenmanagers zu ändern:
- Ändern Sie die Speicherposition des Schlüsselrepositorys in den Eigenschaften des Warteschlangenmanagers:
- Öffnen Sie IBM MQ Explorer und erweitern Sie den Ordner Warteschlangenmanager .
- Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
- Ändern Sie auf der Seite mit den SSL-Eigenschaften den Pfad im Feld Schlüsselrepository so, dass er auf das Verzeichnis Ihrer Wahl verweist.
- Klicken Sie im Dialog Warnung auf Ja.
- Übertragen Sie die persönlichen Zertifikate des Warteschlangenmanagers mit dem entsprechenden Befehl auf dem System, auf dem der Warteschlangenmanager läuft, an den neuen Speicherort.Weitere Informationen finden Sie unter Sicherung von IBM MQ in IBM Documentation.
- Ändern Sie die Speicherposition des Schlüsselrepositorys in den Eigenschaften des Warteschlangenmanagers:
- [OPTION 3] Authentifizieren von Zertifikaten mithilfe von Zertifikatswiderrufslisten
Zertifizierungsstellen (Certification Authorities, CAs) können Zertifikate sperren, die nicht mehr allgemein zugänglich sein sollen und diese in einer Zertifikatswiderrufsliste (Certification Revocation List, CRL) auflisten. Wenn ein Zertifikat von einem Warteschlangenmanager oder einem IBM MQ MQI-Client empfangen wird, kann es anhand der CRL überprüft werden, um sicherzustellen, dass es nicht widerrufen wurde. Die CRL-Überprüfung ist für eine TLS-gesicherte Nachrichtenübertragung nicht unbedingt erforderlich, wird jedoch empfohlen, da so die Integrität von Benutzerzertifikaten gewährleistet wird.
Gehen Sie wie folgt vor, um eine Verbindung zu einem LDAP-CRL-Server einzurichten:
- Erweitern Sie in IBM MQ Explorerden Warteschlangenmanager.
- Erstellen Sie ein Authentifizierungsdatenobjekt des Typs CRL LDAP. Weitere Informationen finden Sie unter Erstellen und Konfigurieren von Warteschlangenmanagern und Objekten.
- Wiederholen Sie den vorherigen Schritt, um beliebig viele Authentifizierungsdatenobjekte des Typs 'CRL LDAP' zu erstellen.
- Erstellen Sie eine Namensliste und fügen Sie dieser die Namen der Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben. Weitere Informationen finden Sie unter Erstellen und Konfigurieren von Warteschlangenmanagern und Objekten.
- Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
- Geben Sie auf der Seite SSL im Feld CRL-Namensliste den Namen der Namensliste ein, die Sie in Schritt 4 erstellt haben.
- Klicken Sie auf OK.
Die vom Warteschlangenmanager empfangenen Zertifikate können jetzt mit der CRL auf dem LDAP-Server authentifiziert werden.
Der Namensliste können bis zu zehn Verbindungen zu anderen LDAP-Servern hinzugefügt werden; auf diese Weise ist auch bei einer Nichtverfügbarkeit eines oder mehrerer LDAP-Server ein ordnungsgemäßer Betrieb gewährleistet.
- [OPTION 4] Authentifizieren von Zertifikaten mithilfe der OCSP-Authentifizierung
Auf AIX, Linux, and Windows, IBM MQ TLS-Unterstützung prüft mit OCSP (Online Certificate Status Protocol) oder mit CRLs und ARLs auf LDAP-Servern (Lightweight Directory Access Protocol) auf widerrufene Zertifikate. OCSP ist die bevorzugte Methode. IBM MQ classes for Java und IBM MQ classes for JMS können die OCSP-Informationen in einer Clientkanaldefinitionstabellendatei nicht verwenden. Sie können jedoch OCSP konfigurieren, wie unter Revozierte Zertifikate und OCSP in IBM Documentation beschrieben.
z/OS® unterstützt keine OCSP-Prüfung, ermöglicht aber die Erstellung von Client-Channel-Definition-Tables (CCDTs), die OCSP-Informationen enthalten.
IBM i unterstützt keine OCSP-Prüfung, ermöglicht aber die Erstellung von Client Channel Definition Tables (CCDTs), die OCSP-Informationen enthalten.
Weitere Informationen über CCDTs und OCSP finden Sie unter Client channel definition table in IBM Documentation.
Gehen Sie wie folgt vor, um eine Verbindung zu einem OCSP-Server einzurichten:
- Erweitern Sie in IBM MQ Explorerden Warteschlangenmanager.
- Erstellen Sie ein Authentifizierungsdatenobjekt des Typs OCSP. Weitere Informationen finden Sie unter Erstellen und Konfigurieren von Warteschlangenmanagern und Objekten.
- Wiederholen Sie den vorherigen Schritt, um beliebig viele OCSP-Authentifizierungsdatenobjekte zu erstellen.
- Erstellen Sie eine Namensliste und fügen Sie dieser die Namen der OCSP-Authentifizierungsdatenobjekte hinzu, die Sie in den Schritten 2 und 3 erstellt haben. Weitere Informationen hierzu finden Sie im Abschnitt Warteschlangenmanager und Objekte erstellen und konfigurieren.
- Klicken Sie mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften.
- Geben Sie auf der Seite SSL im Feld Widerrufnamensliste den Namen der Namensliste ein, die Sie in Schritt 4 erstellt haben.
- Klicken Sie auf OK.
Die vom Warteschlangenmanager empfangenen Zertifikate werden anhand des OCSP-Responders authentifiziert.
Der Warteschlangenmanager schreibt OCSP-Informationen in die Definitionstabelle für Clientkanäle.
Es kann nur ein OCSP-Objekt zur Namensliste hinzugefügt werden, da die Sockets-Bibliothek immer nur eine OCSP-Responder-URL verwenden kann.
- [OPTION 5] Konfigurieren Sie Verschlüsselungshardware
IBM MQ unterstützt Verschlüsselungshardware und der Warteschlangenmanager muss entsprechend konfiguriert werden.
- Starten Sie IBM MQ Explorer.
- Klicken Sie in der Navigatoransicht von Navigator mit der rechten Maustaste auf den Warteschlangenmanager und klicken Sie anschließend auf Eigenschaften. Der Dialog Eigenschaften wird geöffnet.
- Klicken Sie auf der Seite SSL auf Konfigurieren. Der Dialog Verschlüsselungshardwareeinstellungen wird geöffnet.
- Geben Sie im Dialog Einstellungen für Verschlüsselungshardware den Pfad zum PKCS #11 -Treiber sowie die Tokenbezeichnung, das Tokenkennwort und die symmetrische Verschlüsselungseinstellung ein.
Alle unterstützten Verschlüsselungskarten verwenden jetzt PKCS #11. Ignorieren Sie also Verweise auf die Rainbow Cryptoswift- oder nCipher nFast-Karten.
- Klicken Sie auf OK.
Der Warteschlangenmanager ist jetzt für die Verwendung der Verschlüsselungshardware konfiguriert.
Sie können Zertifikate, die in PKCS #11-Hardware gespeichert sind, mit dem Befehl runmqakm auf AIX, Linux, and Windows verwalten.
Weitere Informationen finden Sie unter Sicherung von IBM MQ in IBM Documentation.