Administration d' MQIPT à l'aide du port de commande TLS

MQIPT peut être configuré pour utiliser un port de commande TLS afin d'écouter les commandes d'administration émises par la commande mqiptAdmin . L'utilisation du port de commande TLS protège les données sensibles telles que le mot de passe d'accès MQIPT sur le réseau entre mqiptAdmin et MQIPT. Utilisez cette procédure pour configurer le port de commande TLS et administrer MQIPT à l'aide du port de commande TLS.

A propos de cette tâche

Le port de commande TLS doit être configuré avec un certificat serveur stocké dans un magasin de clés PKCS #12 ou dans du matériel cryptographique prenant en charge l'interface de jeton cryptographique PKCS #11 . Le certificat du serveur de port de commande est envoyé à la commande mqiptAdmin lors de l'établissement de liaison TLS. Cette tâche suppose que vous demandez un nouveau certificat serveur à une autorité de certification (CA) de confiance et que le certificat vous est renvoyé dans un fichier. La commande mqiptAdmin valide le certificat de port de commande à l'aide du certificat de l'autorité de certification qui a signé le certificat du serveur. Le certificat de l'autorité de certification doit être stocké dans un magasin de clés PKCS #12 accessible à l'aide de la commande mqiptAdmin .

L'authentification par certificat client n'est pas prise en charge par le port de commande TLS. Pour activer l'authentification des commandes administratives émises sur un port de commande, voir Authentification du port de commande.

Cette procédure explique comment gérer les magasins de clés et les certificats numériques requis pour utiliser le port de commande TLS à l'aide de la commande [MQ 9.4.0 Jun 2024][MQ 9.4.0 Jun 2024]mqiptKeytool . Pour plus d'informations sur la gestion des magasins de clés utilisés par MQIPT , voir Gestion des magasins de clés MQIPT.

Procédure

  1. Suivez ces étapes pour configurer le port de commande TLS pour l'instance d' MQIPT.
    1. Créez une paire de clés publique et privée et un certificat de serveur de port de commande TLS associé dans un magasin de clés PKCS #12 .
      [MQ 9.4.0 Juin 2024 ][MQ 9.4.0 Juin 2024 ]Pour créer le magasin de clés contenant le certificat du serveur de port de commande TLS, entrez la commande suivante:
      mqiptKeytool -genkeypair -keystore filename -storetype pkcs12 -storepass password
             -dname distinguished_name -alias label
             -keyalg key_algorithm -keysize key_size -sigalg sig_algorithm
      où :
      -keystore nom_fichier
      Indique le nom du magasin de clés.
      -storepass mot_de_passe
      Indique le mot de passe du magasin de clés.
      -alias libellé
      Indique le libellé du certificat.
      -keyalg algorithme_clé
      Indique l'algorithme utilisé pour créer la paire de clés.
      -keysize taille_clé
      Indique la taille de la clé.
      -sigalg algorithme
      Indique l'algorithme utilisé pour signer le certificat.
      -dname nom_distinctif
      Indique le nom distinctif X.500 entre guillemets.
    2. Créez une demande de certificat pour le certificat de serveur de port de commande TLS signé par l'autorité de certification.
      [MQ 9.4.0 Juin 2024 ][MQ 9.4.0 Juin 2024 ]Pour créer une demande de certificat, entrez la commande suivante:
      mqiptKeytool -certreq -keystore filename -storetype pkcs12 -storepass password
            -alias label -file certreq_filename
      où :
      -keystore nom_fichier
      Indique le nom du magasin de clés.
      -storepass mot_de_passe
      Indique le mot de passe du magasin de clés.
      -alias libellé
      Indique le libellé du certificat.
      -file nom_fichier_certreq
      Indique le nom de fichier de la demande de certificat.
    3. Envoyez le fichier de demande de certificat créé à l'étape 1.b à votre autorité de certification pour signature.
    4. Une fois que l'autorité de certification vous a envoyé le certificat signé, recevez le certificat signé dans le magasin de clés.
      [MQ 9.4.0 Juin 2024 ][MQ 9.4.0 Juin 2024 ]Pour recevoir le certificat signé dans le magasin de clés, entrez la commande suivante:
      mqiptKeytool -importcert -keystore cert_filename -storetype pkcs12 -storepass password
            -file cert_filename
      cert_filename est le nom du fichier qui contient le certificat, filename est le nom du magasin de clés et password est le mot de passe du magasin de clés.
    5. Chiffrer le mot de passe du magasin de clés à l'aide de la commande mqiptPW .
      Entrez la commande suivante :
      mqiptPW -sf encryption_key_file
      encryption_key_file est le nom d'un fichier qui contient la clé de chiffrement de mot de passe pour votre installation MQIPT . Vous n'avez pas besoin de spécifier le paramètre -sf si votre installation MQIPT utilise la clé de chiffrement de mot de passe par défaut. Entrez le mot de passe du magasin de clés à chiffrer lorsque vous y êtes invité.
      Pour plus d'informations sur la commande mqiptPW , voir Chiffrement d'un mot de passe de fichier de clés.
    6. Editez le fichier de configuration mqipt.conf et spécifiez les propriétés suivantes pour configurer le port de commande TLS:
      1. Définissez la valeur de la propriété SSLCommandPort sur le numéro de port de la commande TLS.
      2. Définissez la valeur de la propriété SSLCommandPortKeyRing sur le nom de fichier du magasin de clés créé à l'étape 1.a.
      3. Définissez la valeur de SSLCommandPortKeyRingPW sur la sortie de chaîne par la commande mqiptPW à l'étape 1.e.
      4. Définissez la valeur de la propriété SSLCommandPortSiteLabel sur le nom de libellé du certificat de port de commande TLS, spécifié lors de la création de la demande de certificat à l'étape 1.b.
      5. Si vous souhaitez restreindre les connexions entrantes au port de commande TLS à celles provenant d'une interface réseau particulière, définissez la valeur de la propriété SSLCommandPortListenerAddress sur une adresse réseau appartenant à l'une des interfaces réseau du système sur lequel MQIPT s'exécute. Par exemple, pour limiter les connexions entrantes au port de commande TLS à celles provenant uniquement de la machine locale, définissez la valeur de la propriété SSLCommandPortListenerAddress sur localhost.
    7. Démarrez ou actualisez MQIPT pour activer le port de commande TLS.
      MQIPT émet des messages de console tels que les suivants pour afficher la configuration de port de commande TLS en cours:
      MQCPI155 Listening for control commands on port 1882 on local address * using TLS
MQCPI139 ......secure socket protocols <NULL>
MQCPI031 ......cipher suites <NULL>
MQCPI032 ......key ring file c:\\iptHome\\ssl\\commandport.p12
MQCPI072 ......and certificate label mqiptadmin
  2. Sur le système où la commande mqiptAdmin est utilisée pour administrer MQIPT, procédez comme suit pour permettre à mqiptAdmin de se connecter au port de commande TLS.
    1. Importez le certificat de l'autorité de certification de l'autorité de certification qui a signé le certificat de port de commande TLS dans un magasin de clés PKCS #12 à utiliser comme magasin de clés de confiance par la commande mqiptAdmin .
      [MQ 9.4.0 Juin 2024 ][MQ 9.4.0 Juin 2024 ]Pour importer le certificat de l'autorité de certification, entrez la commande suivante:
      mqiptKeytool -importcert -keystore filename -storetype pkcs12 -storepass password
             -file cert_filename -alias certlabel
      où :
      nom de fichier
      Indique le nom du magasin de clés à créer
      Mot de passe
      Indique le mot de passe du magasin de clés
      certlabel
      Indique le libellé à attribuer au certificat de l'autorité de certification
      nom_fichier_cert
      Indique le nom du fichier contenant le certificat de l'autorité de certification
    2. Chiffrer le mot de passe du magasin de clés à l'aide de la commande mqiptPW .
      Entrez la commande suivante :
      mqiptPW -sf encryption_key_file
      encryption_key_file est le nom du fichier qui contient la clé de chiffrement de mot de passe. Le fichier de clés de chiffrement de mot de passe peut être différent de celui utilisé pour chiffrer les mots de passe dans la configuration MQIPT . La clé de chiffrement de mot de passe par défaut est utilisée si vous ne spécifiez pas de fichier de clé de chiffrement avec le paramètre -sf . Entrez le mot de passe du magasin de clés à chiffrer lorsque vous y êtes invité.
      Pour plus d'informations sur la commande mqiptPW , voir Chiffrement d'un mot de passe de fichier de clés.
    3. Créez un fichier de propriétés à utiliser par la commande mqiptAdmin et spécifiez les propriétés suivantes:
      SSLClientCAKeyRing=key_ring_file_name
SSLClientCAKeyRingPW=key_ring_password
PasswordProtectionKeyFile=encryption_key_file
      où :
      nom_fichier_key_ring_nom_fichier
      est le nom du magasin de clés créé à l'étape 2.a.
      mot_de_passe_fichier_clés
      est le mot de passe chiffré généré par la commande mqiptPW à l'étape 2.b.
      ENCRYPTION_KEY_FILE
      est le nom du fichier qui contient la clé de chiffrement de mot de passe. Vous devez spécifier la propriété PasswordProtectionKeyFile uniquement si un fichier de clé de chiffrement a été utilisé pour chiffrer le mot de passe du magasin de clés à l'étape 2.b.
    4. Exécutez la commande mqiptAdmin pour administrer MQIPTen spécifiant le paramètre -s pour indiquer qu'une connexion TLS est requise et le paramètre -p pour spécifier le nom du fichier de propriétés créé à l'étape 2.c.
      Par exemple, entrez la commande suivante pour actualiser une instance de MQIPT en envoyant une commande d'actualisation au port de commande TLS:
      mqiptAdmin -refresh -r hostname:port -s -p properties_file
      La commande mqiptAdmin émet un message du type suivant pour confirmer que la connexion à MQIPT est protégée par TLS:
      MQCAI109 The connection to MQIPT is secured with TLSv1.2.

Etapes suivantes

Pour activer l'authentification des commandes reçues par le port de commande TLS, suivez les étapes décrites dans la section Authentification du port de commande.