Configurazione di TLS sui gestori code

È possibile configurare il gestore di code per verificare la validità dei certificati TLS utilizzando le liste di revoca dei certificati o OCSP.

Informazioni su questa attività

Questa attività introduce i comandi che si utilizzano per lavorare con TLS su un client IBM® MQ. Per ulteriori informazioni, vedere Messa in sicurezza IBM MQ e Impostazione della sicurezza del client IBM MQ MQI in IBM Documentation.

Procedura

  • [OPZIONE 1] Creare il repository delle chiavi del gestore code

    Il repository delle chiavi è il luogo in cui vengono memorizzati i certificati utilizzati dal gestore delle code. Sulle piattaforme AIX®, Linux®, and Windows, il repository delle chiavi è noto come file di database delle chiavi.

    Prima di poter memorizzare i certificati del gestore code nel repository delle chiavi, è necessario assicurarsi che, in questa stessa ubicazione, esista un file del database delle chiavi.

    1. Trovare la posizione del repository delle chiavi del gestore code.
      Questo valore è specificato nell'attributo Repository delle chiavi del gestore code.
    2. Creare il repository delle chiavi del gestore delle code, se non esiste già. Su AIX, Linux, and Windows, utilizzare il comando runmqakm per creare il repository delle chiavi.
    3. Assicurarsi che il repository delle chiavi del gestore delle code contenga tutti i certificati dell'Autorità di Certificazione (CA) che potrebbero essere necessari per convalidare i certificati ricevuti da altri gestori delle code.
  • [OPZIONE 2] Modificare la posizione del repository delle chiavi del gestore code

    In determinate circostanze, si potrebbe voler modificare la posizione del repository delle chiavi, ad esempio per utilizzare una singola posizione condivisa da tutti i gestori code su un unico sistema operativo.

    Per modificare l'ubicazione del repository delle chiavi del gestore code:

    1. Modificare l'ubicazione del repository delle chiavi nelle proprietà del gestore code:
      1. Aprire IBM MQ Explorer ed espandere la cartella Gestori code.
      2. Fare clic con il tastino destro del mouse sul gestore code, quindi selezionare Proprietà.
      3. Nella pagina delle proprietà SSL, modificare il percorso riportato nel campo Repository delle chiavi, in modo da fare riferimento alla directory scelta.
      4. Nella finestra di dialogo di avvertenza, fare clic su .
    2. Trasferite i certificati personali di queue manager nella nuova posizione utilizzando il comando appropriato sul sistema in cui gira queue manager.
      Per ulteriori informazioni, vedere Protezione di IBM MQ in IBM Documentation.
  • [OPZIONE 3] Autenticare i certificati utilizzando i CRL (Certificate Revocation List)

    Le CA (Certification Authority) possono revocare i certificati che non sono più considerati sicuri pubblicandoli in un elenco di revoca dei certificati (CRL, Certification Revocation List). Quando viene ricevuto da un gestore code o da un client MQI IBM MQ, un certificato può essere controllato rispetto al CRL per assicurarsi che non sia stato revocato. Il controllo del CRL non è obbligatorio per la messaggistica abilitata a TLS, ma si consiglia comunque di eseguirlo per verificare l'attendibilità dei certificati utente.

    Per impostare una connessione ad un server CRL LDAP, completare la seguente procedura:

    1. In IBM MQ Explorer, espandere il gestore code.
    2. Creare un oggetto delle informazioni di autenticazione di tipo LDAP CRL. Per ulteriori informazioni, vedere Creazione e configurazione di gestori di code e oggetti.
    3. Ripetere il passo precedente per creare tutti gli oggetti di informazioni di autenticazione LDAP CRL di cui si ha bisogno.
    4. Creare un elenco dei nomi e aggiungere a tale elenco i nomi degli oggetti di informazioni di autenticazione creati nei passi 2 e 3.
    5. Fare clic con il tasto destro del mouse sul gestore code, quindi selezionare Proprietà.
    6. Nella pagina SSL , nel campo Elenco nomi CRL , immettere il nome dell'elenco nomi creato al passo 4.
    7. Fare clic su OK.

    I certificati ricevuti dal gestore code possono ora essere autenticati rispetto ai CRL del server LDAP.

    È possibile aggiungere all'elenco nomi un massimo di 10 connessioni a server LDAP alternativi in modo da garantire la continuità del servizio se non è più possibile accedere a uno o più server LDAP.

  • [OPZIONE 4] Autenticare i certificati utilizzando l'autenticazione OCSP

    [AIX, Linux, Windows]Su AIX, Linux, and Windows, IBM MQ il supporto TLS controlla i certificati revocati utilizzando OCSP (Online Certificate Status Protocol) o utilizzando CRL e ARL sui server LDAP (Lightweight Directory Access Protocol). OCSP è il metodo preferito. IBM MQ classes for Java e IBM MQ classes for JMS non possono utilizzare le informazioni OCSP in un file tabella di definizione del canale client. Tuttavia, è possibile configurare OCSP come descritto in Certificati revocati e OCSP in IBM Documentation.

    [z/OS]z/OS® non supporta il controllo OCSP, ma consente la generazione di tabelle di definizione dei canali client (CCDT) contenenti informazioni OCSP.

    [IBM i]IBM i non supporta il controllo OCSP, ma consente la generazione di tabelle di definizione dei canali client (CCDT) contenenti informazioni OCSP.

    Per ulteriori informazioni su CCDT e OCSP, vedere Tabella di definizione del canale client in IBM Documentation.

    Per impostare una connessione a un server OCSP, completare la seguente procedura.

    1. In IBM MQ Explorer, espandere il gestore code.
    2. Creare un oggetto delle informazioni di autenticazione di tipo OCSP.
    3. Ripetere il passo precedente per creare tutti gli oggetti di informazioni di autenticazione OCSP di cui si ha bisogno.
    4. Creare un elenco dei nomi e aggiungere a tale elenco i nomi degli oggetti di informazioni di autenticazione OCSP creati nei passi 2 e 3.
      Per ulteriori informazioni, consultare Creazione e configurazione di gestori code e oggetti.
    5. Fare clic con il tasto destro del mouse sul gestore code, quindi selezionare Proprietà.
    6. Nella pagina SSL , nel campo Elenco nomi di revoca , immettere il nome dell'elenco nomi creato nel passo 4.
    7. Fare clic su OK.

    I certificati ricevuti dal gestore code vengono autenticati rispetto al responder OCSP.

    Il gestore code scrive le informazioni OCSP nel CCDT.

    È possibile aggiungere all'elenco nomi un solo oggetto OCSP dato che la libreria di socket può utilizzare un solo URL responder OCSP alla volta.

  • [OPZIONE 5] Configurare l'hardware crittografico

    IBM MQ può supportare l'hardware crittografico e il gestore code deve essere configurato di conseguenza.

    1. Avvia IBM MQ Explorer.
    2. Nella vista Navigator , fare clic con il tasto destro sul gestore code, quindi fare clic su Proprietà.
      Viene aperta la finestra di dialogo Proprietà.
    3. Nella pagina SSL , fare clic su Configura.
      Viene aperta la finestra di dialogo Impostazioni hardware crittografico.
    4. Nella finestra di dialogo Impostazioni hardware di crittografia , immettere il percorso del driver PKCS #11 e l'etichetta token, la parola d'ordine del token e l'impostazione della codifica simmetrica.

      Tutte le schede crittografiche supportate ora utilizzano PKCS #11; ignorare, quindi, i riferimenti alle schede Rainbow Cryptoswift o nCipher nFast.

    5. Fare clic su OK.

    Il gestore code è adesso configurato per utilizzare l'hardware di crittografia.

    È possibile gestire i certificati memorizzati nell'hardware PKCS #11 utilizzando il comando runmqakm su AIX, Linux, and Windows.

    Per ulteriori informazioni, vedere Protezione di IBM MQ in IBM Documentation.