如何为 MQSC 适配器配置 SSL:非事务性
本主题列出了将 MQSeries 客户端 (MQSC) 适配器配置为使用 SSL 对 MQSeries 服务器执行非事务性请求的步骤。 这些步骤介绍了单向 (Server) 身份验证的配置。
在以下步骤中执行配置:
配置队列管理器和客户端计算机。
将 SSL 添加到配置。
配置 MQSC 适配器。
IBM WebSphere MQ 文档提供了详细信息。
配置队列管理器和客户端
以下步骤创建新的队列管理器。 这些步骤也可以应用于现有的队列管理器。
设置队列管理器和客户端
创建名为 QM1 的队列管理器。 在所需的端口上定义侦听器。
定义 SVRCONN 通道 TO。QM1。
在 MQSeries 服务器队列管理器上创建名为 TESTQUEUE 的本地队列。 这用于测试来自 MQSC 适配器的客户端连接。
通过在客户端计算机上运行 amqsputc.exe 来测试连接: amqsputc.exe TESTQUEUE。QManagerName。
重要
该语法区分大小写。 请务必输入正确的大小写。
将 SSL 添加到配置
以下步骤将 SSL 证书添加到 MQ 配置。
将 SSL 添加到配置
将证书添加到队列管理器的存储区。 在 Windows 上,使用 Internet Explorer/MQSeries 用户界面或 amqmcert。 在 UNIX 上,使用 gsk6ikm 或 gsk6cmd。
CA 签名者证书的标签格式并不重要。 但是,WebSphere MQ 队列管理器的个人证书必须遵循以下小写格式: ibmwebspheremqqueuemanagername。
修改 SVRCONN 通道,以便设置 SSLCIPH。 例如,将其设置为 NULL_MD5。 将 SSLCAUTH 设置为 OPTIONAL。
注意
(客户端/服务器) 进行双向身份验证需要 SSLCAUTH。
可选。 在 Windows 客户端计算机上,CA 证书可以安装在系统密钥存储中,这可以在 Internet Explorer 中完成。
设置以下环境变量以指定客户端密钥存储的位置和名称: 设置 MQSSLKEYR=C:\sslclient\ssl\key。
注意
密钥存储 必须 具有 .sto 文件扩展名,并且环境变量 不得 指定它。
设置客户端密钥存储:
如果将所需的 CA 证书添加到系统存储,请返回证书列表: amqmcert -l -k ca。 记下所需 CA 证书 () () 数
将证书添加到客户端存储: amqmcert -a (certificate_number) ,其中 (certificate_number) 是每个所需证书的编号。
使用 amqsputc 示例程序与前面创建的测试队列测试 SSL 客户端连接。
配置 MQSC 适配器
当 MQSeries 客户端 – to – MQSeries 队列管理器 SSL 请求成功时,可以在接收位置和发送端口上配置适配器,以便通过非事务请求使用 SSL。 请参考以下链接:
测试中使用的属性值也必须在适配器配置中指定。 适配器属性与发送端口 和 接收位置相关:
| 属性 | 说明 |
|---|---|
| SSL 密码规范 | 为适配器中配置的终结点使用的 SSL 连接定义单个 CipherSpec。 WebSphere MQ SSL 通道定义的两端都必须包含 属性。 指定的值应与通道服务器端指定的名称匹配。 该值是最大长度为 32 个字符的字符串。 例如,输入 NULL_MD5。 |
| SSL 密钥存储库位置 | 客户端密钥存储的位置和名称。 例如,输入 C:\sslclient\ssl\key。 |
| SSL 对等名称 | 通常留空用于从 WebSphere MQ 通道的另一端的对等队列管理器或客户端检查证书的可分辨名称 (也称为 DN) 。 如果从对等方接收的可分辨名称与此值不匹配,则通道不会启动。 仅当 MQ 服务器通道上启用了 发起连接的参与方的身份验证 , 并且 启用了“ 仅接受具有可分辨名称的证书 ”选项时,才需要 SSL 对等名称。 通过 MQ 资源管理器或与 MQSeries 管理员检查进行验证。 |