SSL/TLS en IBM MQ MQI client

IBM® MQ da soporte a TLS en los clientes. Puede adaptar el uso de TLS de varias maneras.

IBM MQ proporciona soporte TLS para IBM MQ MQI clients en sistemas AIX®, Linux®, and Windows . Si utiliza " IBM MQ classes for Java" , consulte " Uso de " IBM MQ classes for Java y si utiliza " IBM MQ classes for JMS, consulte " Utilización de " IBM MQ classes for JMS. El resto de esta sección no se aplica a los entornos Java o JMS .

Puede especificar el repositorio de claves para un IBM MQ MQI client con el valor MQSSLKEYR en el archivo de configuración de cliente IBM MQ o cuando la aplicación realiza una llamada MQCONNX. Dispone de tres opciones para especificar que un canal utiliza TLS:
  • Utilizar una tabla de definiciones de canal
  • Utilizar la estructura de opciones de configuración de SSL, MQSCO, en una llamada MQCONNX
  • Utilizar Active Directory (en sistemas Windows)
No puede utilizar la variable de entorno MQSERVER para especificar que un canal utiliza TLS.

Puede continuar ejecutando las aplicaciones IBM MQ MQI client existentes sin TLS, siempre que no se especifique TLS en el otro extremo del canal.

Si se efectúan cambios en una máquina cliente en el contenido del repositorio de claves TLS, la ubicación del repositorio de claves TLS, la información de autenticación o los parámetros de hardware de cifrado, debe finalizar todas las conexiones TLS para reflejar estos cambios en los canales de conexión de cliente que la aplicación utiliza para conectarse al gestor de colas. Una vez que hayan finalizado todas las conexiones, reinicie los canales TLS. Se utilizarán los nuevos valores TLS. Estos valores son análogos a los actualizados por el mandato REFRESH SECURITY TYPE(SSL) en los sistemas del gestor de colas.

Cuando el IBM MQ MQI client se ejecuta en un sistema AIX, Linux, and Windows con hardware criptográfico, debe configurar dicho hardware con la variable de entorno MQSSLCRYP. Esta variable es equivalente al parámetro SSLCRYP del mandato MQSC ALTER QMGR. Consulte ALTER QMGR para obtener una descripción del parámetro SSLCRYP en el mandato ALTER QMGR MQSC. Si utiliza la versión GSK_PCS11 del parámetro SSLCRYP, la etiqueta de la señal PKCS #11 debe especificarse enteramente en minúsculas.

El restablecimiento de la clave secreta TLS y FIPS son compatibles con IBM MQ MQI clients. Para obtener más información, consulte Restablecimiento de claves secretas SSL y TLS y Normas federales de procesamiento de la información (FIPS) para AIX, Linux y Windows.

Consulte Configuración de la seguridad del cliente IBM MQ MQI para obtener más información sobre el soporte TLS para IBM MQ MQI clients.