![[AIX, Linux, Windows]](ngalw.gif)
Configuration d'un référentiel de clés sur AIX, Linux, and Windows
Procédez comme suit pour créer un nouveau référentiel de clés.
Avant de commencer
![[Obsolète]](ngdeprecated.gif)
![[MQ 9.4.0 Juin 2024 ]](ng940.gif)
Note: DepuisIBM MQ 9.4.0 , l'utilisation deCMS référentiels de clés et fichiers cachés avecIBM MQJava les applications sont obsolètes. Migrez vers l'utilisation des référentiels de clés PKCS #12 et protégez les mots de passe des référentiels de clés à l'aide du système de protection par mot de passe IBM MQ .![[MQ 9.4.0 Juin 2024 ]](ng940cd.gif)
Important: DepuisIBM MQ 9.4.0 ,CMS les référentiels de clés et les fichiers cachés ne sont pas pris en charge avec les canaux AMQP et MQTT qui utilisent SSL/TLS. Utilisez les référentiels de clés PKCS #12 et protégez les mots de passe des référentiels de clés à l'aide du système de protection par mot de passe IBM MQ . Vous pouvez créer un référentiel de clés PKCS #12 à l'aide de la commande suivante:runmqakm -keydb -create -db filename.p12 -pw password -type pkcs12Vous définissez le mot de passe dans l'attribut KEYRPWD du gestionnaire de file d'attente. Pour plus d'informations, consultez les rubriques Fournir le mot de passe du référentiel de clés pour un gestionnaire de file d'attente sur AIX, Linux, et Windows et Chiffrer les mots de passe du référentiel de clés sur AIX, Linux, et Windows.
Pour plus d'informations sur la conversion d'un référentiel de clés, voir Conversion d'un référentiel de clés sur AIX, Linux, et Windows.
A propos de cette tâche
Une connexion TLS requiert un référentiel de clés à chaque extrémité de la connexion. Chaque gestionnaire de files d'attente IBM MQ et IBM MQ MQI client doivent avoir accès à un référentiel de clés. Pour plus d'informations, voir Le référentiel de clés SSL/TLS.
- Valeur de l'attribut de canal ou de gestionnaire de files d'attente CERTLABL , s'il est défini.
- La valeur par défaut de
ibmwebspheremq, avec le nom du gestionnaire de files d'attente ou l'ID de connexion de l'utilisateur IBM MQ MQI client ajouté, le tout en minuscules.
Sur les systèmes AIX and Linux , le chemin d'accès par défaut d'un gestionnaire de files d'attente (défini lors de la création du gestionnaire de files d'attente) est /var/mqm/qmgrs/queue_manager_name/ssl.
Sur les systèmes Windows , le chemin par défaut est MQ_DATA_PATH\qmgrs\queue_manager_name\ssl, où MQ_DATA_PATH est le chemin de données sélectionné lors de l'installation de IBM MQ. Par exemple, C:\ProgramData\IBM\MQ\qmgrs\QM1\ssl.
Le nom du fichier par défaut est key.p12 ou key.kdb. Vous pouvez également utiliser votre propre chemin et nom de fichier.
Si vous choisissez votre propre chemin ou nom de fichier, définissez les droits d'accès au fichier pour contrôler étroitement l'accès à ce dernier.
Pour un client IBM MQ , il n'existe pas de chemin ou de nom de fichier par défaut. Contrôler étroitement l'accès à ce fichier.
Ne créez pas de référentiels de clés sur un système de fichiers qui ne prend pas en charge les verrous de niveau fichier, par exemple NFS version 2 sur les systèmes Linux .
Pour plus d'informations sur l'affichage et la configuration de l'emplacement du référentiel de clés du gestionnaire de file d'attente, voir Modification de l'emplacement du référentiel de clés d'un gestionnaire de file d'attente sur AIX, Linux et Windows. Vous pouvez spécifier le nom du fichier du référentiel de clés du gestionnaire de files d'attente avant ou après la création du référentiel de clés.
Vous pouvez utiliser les commandes runmqakm ou runmqktool (keytool) pour gérer les dépôts de clés utilisés par IBM MQ. Pour plus d'informations, voir les commandes runmqakm et runmqktool sur AIX, Linux, et Windows.
L'ID utilisateur qui exécute les commandes de gestion du référentiel de clés doit disposer d'un droit d'accès en écriture sur le répertoire dans lequel le fichier de référentiel de clés est créé ou mis à jour. Pour un gestionnaire de files d'attente qui utilise le répertoire ssl par défaut, l'ID utilisateur qui exécute la commande runmqakm ou runmqktool doit être membre du groupe mqm. Pour un IBM MQ MQI client, si vous exécutez runmqakm ou runmqktool à partir d'un ID utilisateur différent de l'ID utilisateur qui exécute le client, vous devez modifier les droits d'accès aux fichiers pour permettre à IBM MQ MQI client d'accéder au référentiel de clés. Pour plus d'informations, consultez Accès et sécurisation de vos fichiers de base de données de clés sur Windows ou Accès et sécurisation de vos fichiers de base de données de clés sur les systèmes AIX et Linux.
Si vous utilisez plutôt la commande runmqktool, le référentiel de clés est créé lorsqu'une commande est émise pour créer ou importer un certificat.Procédure
- Créez le référentiel de clés en suivant les étapes décrites dans la section Création d'un référentiel de clés sur AIX, Linux et Windows.
- Définissez les autorisations d'accès aux fichiers du référentiel de clés comme décrit dans Accéder à vos fichiers de base de données de clés et les sécuriser sous Windows ou Accéder à vos fichiers de base de données de clés et les sécuriser sous les systèmes d' AIX s et d' Linux.SurWindows , par défaut, seul l'ID utilisateur qui exécute la commande pour créer le référentiel de clés a accès à la lecture du stockage (.sth ) déposer. Après la création d'un fichier de cache par lerunmqakm commande, vérifiez les autorisations de fichier et accordez l'autorisation au compte de service qui exécute le gestionnaire de files d'attente ou à un groupe tel que
mqm. - Si vous n'utilisez pas de fichier caché, fournissez le mot de passe du référentiel de clés au gestionnaire de files d'attente ou à l'application client. Pour plus d'informations, consultez les rubriques Fournir le mot de passe du référentiel de clés pour un gestionnaire de file d'attente sur AIX, Linux, et Windows et Fournir le mot de passe du référentiel de clés pour un client MQI d' IBM MQ sur AIX, Linux, et Windows.