z/OS®上の IBM® MQ Console および REST API 用に TLS を構成する方式。
始める前に
入門で説明されているように、 IBM MQ Console と REST API が機能していることを確認します。
本タスクについて
TLS インターフェースの使用を構成するには、XML ファイルでステートメントを指定する必要があります。
それらを mqwebuser.xml
ファイルに追加することも、別のファイル (例えば、 ssl.xml
) を作成して、 mqwebuser.xml
ファイルの下部にステートメント <include
location="ssl.xml"/>
を追加することもできます。
手順
-
mqwebuser.xml
で、以下の既存の定義をコメント化します。
- mqDefaultSSLConfig
- defaultKeyStore
-
mqwebuser.xml
で、以下のコード・ステートメントを追加します。
<?xml version="1.0" encoding="UTF-8"?>
<server>
<featureManager>
<feature>ssl-1.0</feature>
</featureManager>
<sslDefault sslRef="mqDefaultSSLConfig"/>
<ssl id="mqDefaultSSLConfig" keyStoreRef="defaultKeyStore"
sslProtocol="TLSv1.2"
serverKeyAlias="def2"
clientAuthentication="true"
/>
<keyStore id="defaultKeyStore"
filebased="false"
location="safkeyring://userid/keyring"
password="password"
readOnly="true"
type="JCERACFKS"
/>
</server>
注:
- TLS インターフェースを定義するには、太字のテキストが必要です。
- sslDefault 内の
sslRef="mqDefaultSSLConfig"
の値は、 < ssl id = ...... 値のいずれかと一致する必要があります。
- <ssl の
<ssl keyStoreRef="defaultKeyStore"
の値は、 <keystoreの id = value と一致している必要があります。
location="safkeyring://userid/keyring"
ステートメントで使用するために、ユーザー ID と、このユーザー ID の鍵リングを指定します。
- serverKeyAlias の値 (例えば、
serverKeyAlias="def2"
) は、 IBM MQ Console によって使用される鍵リング内の証明書の名前です。
- keystore password の値は無視されます。
RACF 鍵リング情報については、 Liberty: 鍵ストア を参照してください。
RACF 定義
以下の値を指定します。
location="safkeyring://SCENSTC/MYKEYRING"
serverKeyAlias="def2"
RACF コマンド
RACDCERT LISTRING(MYKEYRING) ID(SCENSTC
) の出力は以下のとおりです。
Digital ring information for user SCENSTC:
Ring:
>MYKEYRING<
Certificate Label Name Cert Owner USAGE DEFAULT
-------------------------------- ------------ -------- -------
SCENCA CERTAUTH CERTAUTH NO
def2 ID(SCENSTC) PERSONAL NO
注: 自己署名証明書を使用する場合は、鍵リングに接続する必要があります。
- mqweb サーバーを再始動します。
//STDERR にはメッセージがないはずです。
// STDOUT には、 IBM MQ コンソールの概要にリストされているようなメッセージがあります。
注:
- IBM MQ Consoleへの認証に証明書のみを使用している場合、ブラウザーに、選択できる証明書のリストが表示されることがあります。
- 別の証明書を使用する場合は、ブラウザーを閉じて再始動する必要があります。
- RACF データベースにない証明書を使用している場合、RACF 証明書名のフィルタリングを使用して、証明書の属性をユーザー ID にマップすることができます。以下に例を示します。
RACDCERT ID(DEPT3USR) MAP SDNFILTER(OU=DEPT1.C=US)
OU=DEPT1
および C=US
を使用して証明書をユーザー ID DEPT3USR
にマップします。
結果
IBM MQ Console および REST APIの TLS インターフェースがセットアップされました。