如何为 MQSC 适配器配置 SSL:事务性
本主题列出了将 MQSeries 客户端 (MQSC) 适配器配置为使用 SSL 对 MQSeries 服务器执行事务请求的步骤。 这些步骤介绍了单向 (Server) 身份验证的配置。
在以下步骤中执行配置:
配置队列管理器和客户端计算机。
将 SSL 添加到配置。
配置 MQSC 适配器。
IBM WebSphere MQ 文档提供了详细信息。
配置队列管理器和客户端
以下步骤创建新的队列管理器。 这些步骤也可以应用于现有的队列管理器。
设置队列管理器和客户端
创建名为 QM1 的队列管理器。 在所需的端口上定义侦听器。
定义 SVRCONN 通道 TO。QM1。
定义 CLNTCONN 通道 TO。QM1。 使用用于 SRVCONN 通道的相同名称。
在 MQSeries 服务器队列管理器上创建名为 TESTQUEUE 的本地队列。 这用于测试来自 MQSC 适配器的客户端连接。
复制 AMQCLCHL。从 MQSeries 服务器到客户端计算机上的 TAB 文件。 在大多数 UNIX 安装中,此文件位于 \var\mqm\qmgrs\QueueManagerName\@IPCC 中。 在大多数 Windows 安装中,此文件位于 \Program Files\Websphere MQ Server installation folder\qmgrs\QueueManagerName\@IPCC 中。
在客户端计算机上,设置以下环境变量:
MQCHLLIB=C:\sslclient\ssl\其中,MQCHLLIB 是客户端通道表的路径。MQCHLTAB=AMQCLCHL.TAB其中,MQCHLTAB 是客户端通道表的名称。
注意
也可以使用环境变量的默认值。 有关详细信息,请参阅 WebSphere MQ 客户端手册。
通过在客户端计算机上运行 amqsputc.exe 来测试连接: amqsputc.exe TESTQUEUE。QManagerName。
重要
该语法区分大小写。 请务必输入正确的大小写。
将 SSL 添加到配置
以下步骤将 SSL 证书添加到 MQ 配置。
将 SSL 添加到配置
将证书添加到队列管理器的存储区。 在 Windows 上,使用 Internet Explorer/MQSeries 用户界面或 amqmcert。 在 UNIX 上,使用 gsk6ikm 或 gsk6cmd。
CA 签名者证书的标签格式并不重要。 但是,WebSphere MQ 队列管理器的个人证书必须遵循以下小写格式: ibmwebspheremqqueuemanagername。
修改 SVRCONN 通道,以便设置 SSLCIPH。 例如,将其设置为 NULL_MD5。 将 SSLCAUTH 设置为 OPTIONAL。
注意
(客户端/服务器) 进行双向身份验证需要 SSLCAUTH。
修改 CLNTCONN 通道,使 SSLCIPH 设置为与 SVRCONN 通道相同。 例如,将其设置为 NULL_MD5。
复制新的 AMQCLCHL。从 MQSeries 服务器到客户端计算机的 TAB 文件。 此步骤允许使用 SSL 设置。
可选。 在 Windows 客户端计算机上,CA 证书可以安装在系统密钥存储中,这可以在 Internet Explorer 中完成。
设置以下环境变量以指定客户端密钥存储的位置和名称: 设置 MQSSLKEYR=C:\sslclient\ssl\key。
注意
密钥存储 必须 具有 .sto 文件扩展名,并且环境变量 不得 指定它。
设置客户端密钥存储:
如果将所需的 CA 证书添加到系统存储,请返回证书列表: amqmcert -l -k ca。 请注意所需 CA 证书 () () 数。
将证书添加到客户端存储: amqmcert -a (certificate_number) ,其中 (certificate_number) 是每个所需证书的编号。
使用 amqsputc 示例程序与前面创建的测试队列测试 SSL 客户端连接。
重要
请勿输入通道名称、连接名称、SSL 密码规范、SSL 密钥存储库位置或 SSL 对等名称。 此信息来自 AMQCLCHL。TAB 文件。
配置 MQSC 适配器
当 MQSeries 客户端 - to - MQSeries 队列管理器 SSL 请求成功时,可以在接收位置和发送端口上配置适配器以使用 SSL 和事务。 请参考以下链接: