[V9.0.2 2017 年 5 月]

REST API および IBM MQ Console の TLS を z/OS で設定します。

z/OS®上の IBM® MQ Console および REST API 用に TLS を構成する方式。

始める前に

入門で説明されているように、 IBM MQ ConsoleREST API が機能していることを確認します。

本タスクについて

TLS インターフェースの使用を構成するには、XML ファイルでステートメントを指定する必要があります。

それらを mqwebuser.xml ファイルに追加することも、別のファイル (例えば、 ssl.xml ) を作成して、 mqwebuser.xml ファイルの下部にステートメント <include location="ssl.xml"/> を追加することもできます。

手順

  1. mqwebuser.xmlで、以下の既存の定義をコメント化します。
    • mqDefaultSSLConfig
    • defaultKeyStore
  2. mqwebuser.xmlで、以下のコード・ステートメントを追加します。
    <?xml version="1.0" encoding="UTF-8"?>

<server>
    <featureManager>
       <feature>ssl-1.0</feature>
   </featureManager>    
   <sslDefault sslRef="mqDefaultSSLConfig"/>
   <ssl id="mqDefaultSSLConfig" keyStoreRef="defaultKeyStore"
      sslProtocol="TLSv1.2"
      serverKeyAlias="def2"
      clientAuthentication="true"
    />

   <keyStore id="defaultKeyStore"
        filebased="false"
        location="safkeyring://userid/keyring"
        password="password"
        readOnly="true"
        type="JCERACFKS"
/>
</server>
    注:
    1. TLS インターフェースを定義するには、太字のテキストが必要です。
    2. sslDefault 内の sslRef="mqDefaultSSLConfig" の値は、 < ssl id = ...... 値のいずれかと一致する必要があります。
    3. <ssl <ssl keyStoreRef="defaultKeyStore" の値は、 <keystore id = value と一致している必要があります。
    4. location="safkeyring://userid/keyring" ステートメントで使用するために、ユーザー ID と、このユーザー ID の鍵リングを指定します。
    5. serverKeyAlias の値 (例えば、 serverKeyAlias="def2") は、 IBM MQ Console によって使用される鍵リング内の証明書の名前です。
    6. keystore password の値は無視されます。

    RACF 鍵リング情報については、 Liberty: 鍵ストア を参照してください。

    RACF 定義

    以下の値を指定します。
    1. location="safkeyring://SCENSTC/MYKEYRING"
    2. serverKeyAlias="def2"
    RACF コマンド RACDCERT LISTRING(MYKEYRING) ID(SCENSTC) の出力は以下のとおりです。
    
Digital ring information for user SCENSTC:                

  Ring:   
       >MYKEYRING<  
  Certificate Label Name             Cert Owner     USAGE      DEFAULT
  --------------------------------   ------------   --------   ------- 
  SCENCA                             CERTAUTH       CERTAUTH     NO
  def2                               ID(SCENSTC)    PERSONAL     NO
    注: 自己署名証明書を使用する場合は、鍵リングに接続する必要があります。
  3. mqweb サーバーを再始動します。
    //STDERR にはメッセージがないはずです。

    // STDOUT には、 IBM MQ コンソールの概要にリストされているようなメッセージがあります。

    注:
    1. IBM MQ Consoleへの認証に証明書のみを使用している場合、ブラウザーに、選択できる証明書のリストが表示されることがあります。
    2. 別の証明書を使用する場合は、ブラウザーを閉じて再始動する必要があります。
    3. RACF データベースにない証明書を使用している場合、RACF 証明書名のフィルタリングを使用して、証明書の属性をユーザー ID にマップすることができます。以下に例を示します。
      RACDCERT ID(DEPT3USR) MAP SDNFILTER(OU=DEPT1.C=US)
      OU=DEPT1 および C=US を使用して証明書をユーザー ID DEPT3USR にマップします。

結果

IBM MQ Console および REST APIの TLS インターフェースがセットアップされました。