Comment créer et configurer des clés SSL et des magasins de clés de confiance, partie 2/3

Cet article est le deuxième d'une série en plusieurs parties traitant de la configuration et de la configuration des magasins de clés et d'approbations pour IBM MQ et IBM Integration Bus. Les captures d'écran sont cliquables pour une image nette.

À ce stade, vos magasins de clés et de magasins de clés de confiance doivent être créés et vides. L'étape suivante consiste à créer une demande de certificat.

Exécutez ikeyman ( strmqikm sur Linux), ouvrez un magasin de clés (par exemple, key.kdb de MQ) et sélectionnez « Personal. Demandes de certificat ”dans la liste déroulante située au centre de l'écran. Cliquez sur " Nouveau " dans le menu de droite.

Remplissez la demande [19659005] Remplissez la demande de certificat avec les informations pertinentes. L'étiquette de clé est le nom du certificat, lisible par l'homme, que vous pouvez référencer lorsque vous travaillerez avec le magasin de clés à l'avenir. C'est également le nom que le gestionnaire de files d'attente recherchera et référencera le certificat. La tradition et l'héritage exigent que nous nommions cette étiquette ibmwebspheremq . Il s’agit d’une chaîne minuscule d’IBM WebSphere MQ et du gestionnaire de files d’attente concaténés. Par exemple, si le nom de votre gestionnaire de files d'attente est QM1 l'étiquette doit être nommée ibmwebspheremqqm1 . Les dernières versions de MQ vous permettent de changer le nom de l'étiquette, mais vous devez vous rappeler de le changer dans les paramètres SSL du gestionnaire de files d'attente.

Nom commun (CN abrégé) est le nom de l'hôte pour lequel vous souhaitez qu'un certificat soit émis. Par exemple, si votre serveur MQ réside sur mq-server01.company.com c'est le nom que vous saisiriez ici. La règle de base est un certificat par hôte. Cependant, il peut arriver que vous ayez besoin d'un certificat pour plusieurs hôtes.

Cas n ° 1 : vous utilisez des gestionnaires de files d'attente à plusieurs instances. Un gestionnaire de files d'attente MI vit sur deux hôtes à la fois. En cas de basculement d’un gestionnaire de files d’attente, il accède au même magasin de clés (c’est pourquoi il doit être placé sur le stockage partagé) et envoie le même certificat référencé par l’étiquette. Le nom d'hôte sera différent mais le certificat sera le même. Un gestionnaire de files d'attente ne peut pas être configuré pour référencer deux magasins de clés différents ou deux étiquettes différentes lorsqu'il s'exécute en tant que gestionnaire de files d'attente MI. Cela signifie que vous devez obtenir un certificat pour deux hôtes différents.

Cas n ° 2 : vous utilisez quelque chose comme F5 pour les adresses IP virtuelles qui dirigent le trafic vers MQ. Par exemple, vous avez créé un VIP sur F5 appelé qm1.company.com qui transfère toutes les demandes sur le port 1414 à votre hôte mq-server01.company.com . Les clients se connecteront au nom d’hôte virtuel sans savoir où se trouve le back-end, et ils s’attendent à ce qu’un certificat soit émis pour le nom d’hôte virtuel. Ainsi, votre gestionnaire de files d'attente doit pouvoir envoyer un certificat pour trois noms d'hôte: un pour chaque serveur dans la configuration MI et un pour VIP F5.

Heureusement, il existe un mécanisme appelé Subject Alternative Names ( SAN en abrégé) qui permet cela. SAN n'est pas pris en charge pour tous les types de certificats. En fonction de votre société d'autorité de certification, vous devrez peut-être demander un certain type de certificat. Cette autorité de certification particulière exige que vos certificats soient toujours de type Platinum, mais si SAN est utilisé, ils souhaitent que vous demandiez un type de communication unifiée.

Tout en bas du formulaire. , donnez à votre demande un nom explicite et un chemin dans lequel enregistrer. Après avoir cliqué sur «OK», ikeyman devrait vous donner un message de réussite.

Soumission de la demande

Ensuite, suivez le processus en cours dans votre société pour avoir soumis cette demande. Les exemples ci-dessous illustrent un de ces processus.

Dans le premier formulaire, nous entrons un code d'accès et une adresse électronique. Ils servent à valider que vous disposez des autorisations pour demander un certificat pour un serveur que vous référencez dans CN. Le courrier électronique sera également utilisé pour l'envoi du certificat.

Dans le second formulaire, nous entrons les détails de notre demande.

J'ai déjà mentionné Type de certificat plus tôt dans le post. Différents types sont utilisés à des fins différentes. Vérifiez auprès de votre autorité de certification ce que vous devez sélectionner ici. Les instructions de cette autorité de certification particulière indiquent que nous devons choisir le type de communication unifiée si nous utilisons un réseau SAN, ce qui dicte notre choix ici. La durée du certificat est la durée de validité de votre certificat. Le logiciel serveur indique ce que vous allez exécuter sur cet hôte.

CSR signifie Demande de signature de certificat et constitue une zone de texte permettant de saisir votre demande sous forme codée. Vous pouvez ouvrir le fichier .arm créé par ikeyman avec un éditeur de texte (vi, le bloc-notes), copier et coller tout le contenu dans la zone de texte ou télécharger le fichier .arm à l'aide du bouton « Upload CSR ». .

Le nom commun doit être automatiquement rempli pour vous à partir du CSR. La case à cocher Renouveler sert de rappel pour renouveler le certificat avant son expiration afin d'éviter toute interruption du cryptage TLS.

Le champ SAN doit également être rempli pour vous à partir de CSR. Si CN ou SAN ne sont pas renseignés, continuez et copiez-les à la main à partir de votre formulaire de demande de certificat. La phrase secrète est un mot de passe que vous utiliserez si vous souhaitez parler à l'autorité de certification de ce certificat particulier. Le champ Commentaires vous permet de saisir une chaîne qui permettra de distinguer ce certificat des autres. Si vous demandez des dizaines de certificats à la fois, ces commentaires vous aideront à les distinguer.

La case à cocher suivante consiste à accepter l'accord et enfin, le bouton « Enroll » enverra la demande à l'autorité de certification.

Après avoir cliqué sur «Inscription», vous devriez recevoir un message de succès.

Réception d'un certificat

La prochaine étape de traitement dépend du contrat de niveau de service de votre contrat avec l'autorité de certification. et la rapidité avec laquelle votre organisation interne fonctionne. Parfois, obtenir un certificat prend quelques minutes, parfois, plusieurs jours.

Après vous être inscrit au certificat, un message vous parviendra à l'adresse électronique que vous avez indiquée, contenant le certificat sous diverses formes . Le premier lien: X.509, Base64 codé est généralement celui que vous souhaitez. Il contiendra le certificat dans le format le plus populaire et sa chaîne de confiance. Cliquez sur le lien et téléchargez le certificat dans un emplacement facile à mémoriser. Rappelez-vous que ce certificat contient la clé privée à l'intérieur. Protégez-le donc avec des autorisations de système de fichiers (400 ou ACL sous Linux, dossier protégé sous Windows) afin d'éviter sa copie par des tiers.

Ouvrez ikeyman, sélectionnez "Certificats personnels" dans le menu déroulant et cliquez sur " Recevoir ”. Spécifiez le chemin où vous avez enregistré le certificat et le nom du fichier .cer. Cliquez sur “Ok” et ikeyman chargera le certificat. Il existe plusieurs contrôles en place pour vérifier que vous:

1. Chargement du certificat émis en réponse à la demande de certificat stockée dans ce magasin.
2. La demande de certificat n'a pas été modifiée.
3. Le certificat n'a pas été modifié. modifié.
4. La demande de certificat a été créée dans ce magasin.

Si tous les contrôles aboutissent, vous recevrez un message "validation réussie" . Dans la liste déroulante « Personal Certificates », vous verrez l'étiquette de la clé de votre nouveau certificat. Un astérisque à côté du libellé de la clé indique qu'il s'agit du certificat par défaut, ce qui signifie que si vous en avez plusieurs dans le magasin et que l'un d'entre eux n'est pas spécifiquement référencé par le libellé, celui-ci sera envoyé. Vous pouvez également cliquer sur le bouton « Afficher / Modifier » et cocher la case « Définir le certificat comme valeur par défaut » pour définir un certificat par défaut.

Si vous sélectionnez " Signer Certificates " dans le menu déroulant, vous verrez la chaîne de confiance.

Vous peut fermer le magasin maintenant. N'oubliez pas de protéger les fichiers de clés et de stockage de confiance, les fichiers de dissimulation, les fichiers de certificats et les demandes sur le système de fichiers en définissant les autorisations appropriées. Le fichier de stockage de clés MQ doit être lisible par l'utilisateur sous lequel le gestionnaire de files d'attente sera exécuté. Par exemple, je lance le gestionnaire de files d'attente QM1 en tant qu'utilisateur «i.solomatin», c'est-à-dire l'utilisateur qui a besoin d'autorisations de lecture sur le fichier de stockage de clés.

dans l'onglet SSL du gestionnaire de files d'attente dans MQ Explorer. L'option “ Référentiel de clés SSL ” vous permet de spécifier le chemin d'accès au magasin de clés. Remarquez comment l'extension est manquante? MQ ajoute par défaut le fichier .kdb et recherche ce fichier.

L'option suivante à laquelle vous devez faire attention est le nom de l'étiquette. La chaîne renseignée par le gestionnaire de files d'attente est la valeur par défaut. Mais si vous avez modifié le libellé de la clé dans la demande, vous devez le saisir ici. MQ ne pourra pas trouver le certificat dans le magasin s'il n'a pas son étiquette (oui, même si ce certificat est le seul dans le magasin).

Cette capture d'écran montre le chemin d'accès au magasin de clés sur disque partagé pour les gestionnaires de files d'attente MI avec le nom d'étiquette par défaut.

Cette capture d'écran montre le chemin d'accès à un gestionnaire de files d'attente autonome avec un nom d'étiquette modifié.

Une fois les modifications apportées à la configuration SSL, n'oubliez pas d'actualiser la sécurité de type SSL.

actualisez le type de sécurité (SSL)

Félicitations! Maintenant, MQ est configuré pour la communication TLS.

Chargement de chaînes de confiance dans un magasin de confiance

IIB et de nombreuses autres applications, en particulier dans le monde Java, requièrent un magasin de confiance aux côtés du magasin de clés pour fonctionner correctement (MQ Explorer exemple). Un trust store ne contient que les chaînes de confiance des certificats en lesquels vous avez confiance. Vous pouvez faire confiance à autant que vous voulez. Vérifiez votre navigateur, il regorge de chaînes de confiance issues de nombreuses autorités de certification.

Pour charger une chaîne de confiance, ouvrez votre magasin de confiance dans ikeyman, sélectionnez « Signer Certificates ”dans le menu déroulant et cliquez sur“ Ajouter ”. Ensuite, choisissez le certificat que vous avez téléchargé, puis cliquez sur «Ok». Cette action extraira simplement la chaîne de confiance du certificat et la stockera dans le magasin de confiance. Vous pouvez télécharger d'autres chaînes de confiance sur les sites Web des autorités de certification pour les ajouter à vos magasins de clés de confiance.

Dans la troisième et dernière partie de ce blog en plusieurs parties, je parlerai des magasins de clés et des magasins de confiance sous Windows et de la façon de travailler avec eux.