Configuración de los servidores LDAP

Configure la estructura de Árbol de información de directorios de LDAP para que refleje la jerarquía de Nombres distinguidos de las CA. Para ello, utilice archivos de Formato de intercambio de datos LDAP (LDIF).

Configure la estructura de Árbol de información de directorios (DIT) de LDAP, de modo que utilice la jerarquía correspondiente a los nombres distinguidos de las CA que emiten los certificados y las CRL. Puede configurar la estructura DIT con un archivo que utilice el Formato de intercambio de datos LDAP (LDIF). También puede utilizar archivos LDIF para actualizar un directorio.

Los archivos LDIF son archivos de texto ASCII que contienen la información necesaria para definir objetos en un directorio LDAP. Los archivos LDIF contienen una o varias entradas, cada una de las cuales consta de un Nombre distinguido, como mínimo una definición de clase de objeto y, opcionalmente, varias definiciones de atributo.

El atributo certificateRevocationList;binary contiene una lista, con formato binario, de los certificados de usuario revocados. El atributo authorityRevocationList;binary contiene una lista con formato binario de certificados de CA revocados. Para su uso con IBM® MQ TLS, los datos binarios de estos atributos deben ajustarse al formato DER (reglas de codificación definidas). Para obtener más información acerca de los archivos LDIF, consulte la documentación que se proporciona con el servidor LDAP.

La Figura 1 muestra un archivo LDIF de ejemplo que puede crear como entrada en el servidor LDAP para cargar las CRL y las ARL emitidas por CA1, que es una entidad emisora de certificados imaginaria con el nombre distinguido CN=CA1, OU=Test, O=IBM, C=GB, configurado por la organización de prueba en IBM.

Figura 1. Archivo LDIF de ejemplo para una Entidad emisora de certificados. Puede variar de implementación en implementación.

dn: o=IBM, c=GB
o: IBM
objectclass: top
objectclass: organization

dn: ou=Test, o=IBM, c=GB
ou: Test
objectclass: organizationalUnit

dn: cn=CA1, ou=Test, o=IBM, c=GB
cn: CA1
objectclass: cRLDistributionPoint
objectclass: certificateAuthority
authorityRevocationList;binary:: (DER format data)
certificateRevocationList;binary:: (DER format data)
caCertificate;binary:: (DER format data)

La Figura 2 muestra la estructura DIT que el servidor LDAP crea al cargar el archivo LDIF de ejemplo que se muestra en la Figura 1 junto con un archivo similar para CA2, una entidad emisora de certificados imaginaria configurada por la organización PKI, también en IBM.

Este diagrama muestra la estructura DIT que se crea a partir del archivo LDIF de ejemplo. — Figura 2. Ejemplo de una estructura de árbol de la información de directorios LDAP

IBM MQ comprueba las CRL y las ARL.

Nota: Asegúrese de que la lista de control de accesos del servidor LDAP permite a los usuarios autorizados leer, buscar y comparar las entradas que contienen las CRL y las ARL. IBM MQ accede al servidor LDAP utilizando las propiedades LDAPUSER y LDAPPWD del objeto AUTHINFO.