Freigeben über

Konfigurieren von SSL für den MQSC-Adapter: Transaktional

  • Artikel

In diesem Thema werden die Schritte zum Konfigurieren des MQSeries-Clientadapters (MQSC) zum Ausführen von Transaktionsanforderungen an den MQSeries-Server mithilfe von SSL aufgeführt. In diesen Schritten wird die Konfiguration für die unidirektionale Authentifizierung (Serverauthentifizierung) beschrieben.

Die Konfiguration erfolgt in den folgenden Schritten:

  • Konfigurieren Sie den Warteschlangen-Manager und den Clientcomputer.

  • Fügen Sie der Konfiguration SSL hinzu.

  • Konfigurieren Sie den MQSC-Adapter.

    Weitere Informationen finden Sie in der IBM WebSphere MQ-Dokumentation.

Konfigurieren des Warteschlangen-Managers und des Clients

Mit den folgenden Schritten wird ein neuer Warteschlangen-Manager erstellt. Diese Schritte können auch auf vorhandene Warteschlangen-Manager angewendet werden.

So richten Sie den Warteschlangen-Manager und den Client ein

  1. Erstellen Sie einen Warteschlangen-Manager mit dem Namen QM1. Definieren Sie einen Listener für den erforderlichen Port.

  2. Definieren Sie einen SVRCONN-Kanal TO. QM1.

  3. Definieren Sie einen CLNTCONN-Kanal TO. QM1. Verwenden Sie denselben Namen, der für den SRVCONN-Kanal verwendet wird.

  4. Erstellen Sie auf dem WARTESCHLANGEN-Manager des MQSeries-Servers eine lokale Warteschlange mit dem Namen TESTQUEUE. Dies wird zum Testen der Clientverbindungen über den MQSC-Adapter verwendet.

  5. Kopieren Sie die AMQCLCHL. TAB-Datei vom MQSeries-Server auf dem Clientcomputer. Bei den meisten UNIX-Installationen befindet sich diese Datei in \var\mqm\qmgrs\QueueManagerName\@IPCC. Bei den meisten Windows-Installationen befindet sich diese Datei im Installationsordner \Programme\Websphere MQ Server\qmgrs\QueueManagerName\@IPCC.

  6. Legen Sie auf dem Clientcomputer die folgenden Umgebungsvariablen fest:

    • MQCHLLIB=C:\sslclient\ssl\ wobei MQCHLLIB der Pfad der Clientkanaltabelle ist.

    • MQCHLTAB=AMQCLCHL.TAB wobei MQCHLTAB der Name der Clientkanaltabelle ist.

    Hinweis

    Die Standardwerte der Umgebungsvariablen können ebenfalls verwendet werden. Weitere Informationen finden Sie im WebSphere MQ-Clienthandbuch.

  7. Testen Sie die Verbindung, indem Sie amqsputc.exe auf Ihrem Clientcomputer ausführen: amqsputc.exe TESTQUEUE.QManagerName.

    Wichtig

    Bei dieser Syntax wird zwischen Groß- und Kleinschreibung unterschieden. Geben Sie unbedingt die richtige Groß- und Kleinschreibung ein.

Hinzufügen von SSL zur Konfiguration

Die folgenden Schritte fügen Ihrer MQ-Konfiguration ein SSL-Zertifikat hinzu.

So fügen Sie der Konfiguration SSL hinzu

  1. Fügen Sie das Zertifikat dem Speicher des Warteschlangen-Managers hinzu. Verwenden Sie unter Windows internet Explorer/mqSeries-Benutzeroberfläche oder amqmcert. Verwenden Sie unter UNIX gsk6ikm oder gsk6cmd.

    Das Format der Bezeichnung für Ca Signer-Zertifikate ist nicht wichtig. Persönliche Zertifikate für den WebSphere MQ-Warteschlangen-Manager müssen jedoch das folgende Kleinbuchstabenformat aufweisen: ibmwebspheremqqueuemanagername.

  2. Ändern Sie den SVRCONN-Kanal, damit SSLCIPH festgelegt wird. Legen Sie sie beispielsweise auf NULL_MD5 fest. Legen Sie SSLCAUTH auf OPTIONAL fest.

    Hinweis

    SSLCAUTH ist für die bidirektionale Authentifizierung (Client/Server) erforderlich.

  3. Ändern Sie den CLNTCONN-Kanal, damit SSLCIPH auf den SVRCONN-Kanal festgelegt wird. Legen Sie sie beispielsweise auf NULL_MD5 fest.

  4. Kopieren Sie die neue AMQCLCHL. TAB-Datei vom MQSeries-Server auf den Clientcomputer. In diesem Schritt können die SSL-Einstellungen verwendet werden.

  5. Optional: Auf dem Windows-Clientcomputer können die Zertifizierungsstellenzertifikate im Systemschlüsselspeicher installiert werden, was im Internet Explorer erfolgen kann.

  6. Legen Sie die folgende Umgebungsvariable fest, um den Speicherort und den Namen des Clientschlüsselspeichers anzugeben: legen Sie MQSSLKEYR=C:\sslclient\ssl\key fest.

    Hinweis

    Der Schlüsselspeicher muss über die Dateinamenerweiterung .sto verfügen, und die Umgebungsvariable darf sie nicht angeben.

  7. Richten Sie einen Clientschlüsselspeicher ein:

    1. Wenn Sie dem Systemspeicher die erforderlichen Zertifizierungsstellenzertifikate hinzugefügt haben, geben Sie eine Liste der Zertifikate zurück: amqmcert -l -k ca. Notieren Sie sich die Anzahl der erforderlichen Zertifizierungsstellenzertifikate.

    2. Fügen Sie dem Clientspeicher die Zertifikate hinzu: amqmcert -a (certificate_number), wobei (certificate_number) die Nummer jedes erforderlichen Zertifikats ist.

  8. Testen Sie die SSL-Clientverbindungen mithilfe des Amqsputc-Beispielprogramms mit der zuvor erstellten Testwarteschlange.

    Wichtig

    Geben Sie nicht den Kanalnamen, den Verbindungsnamen, die SSL-Verschlüsselungsspezifikation, den Speicherort des SSL-Schlüsselrepositorys oder den SSL-Peernamen ein. Diese Informationen stammen aus dem AMQCLCHL. TAB-Datei.

Konfigurieren des MQSC-Adapters

Wenn die SSL-Anforderung des MQSeries-Clients - bis - MQSeries-Warteschlangen-Manager erfolgreich ist, kann der Adapter sowohl an Empfangsspeicherorten als auch an Sendeports für die Verwendung von SSL und Transaktionen konfiguriert werden. Weitere Informationen finden Sie unter den folgenden Links:

Konfigurieren eines Empfangsports und eines Empfangsspeicherorts für den MQSC-Adapter

Konfigurieren eines Sendeports für den MQSC-Adapter

Weitere Informationen

Konfigurieren von SSL für den MQSC-Adapter: Nicht transaktional
BizTalk-Adapter für WebSphere MQ