如何設定 MQSC 配接器的 SSL:非交易式
本主題列出使用 SSL 設定 MQSeries 用戶端 (MQSC) 配接器的步驟,以執行 MQSeries 伺服器的非交易式要求。 這些步驟描述單向 (伺服器) 驗證的組態。
組態會在下列步驟中執行:
設定佇列管理員和用戶端電腦。
將 SSL 新增至組態。
設定 MQSC 配接器。
IBM WebSphere MQ 檔提供詳細資訊。
設定佇列管理員和用戶端
下列步驟會建立新的佇列管理員。 這些步驟也可以套用至現有的佇列管理員。
設定佇列管理員和用戶端
建立名為 QM1 的佇列管理員。 在必要的埠上定義接聽程式。
定義 SVRCONN 通道 TO。QM1.
在名為 TESTQUEUE 的 MQSeries 伺服器佇列管理員上建立本機佇列。 這用於從 MQSC 配接器測試用戶端連線。
在用戶端電腦上執行 amqsputc.exe 來測試連線: amqsputc.exe TESTQUEUE。QManagerName。
重要
此語法區分大小寫。 請務必輸入正確的大小寫。
將 SSL 新增至組態
下列步驟會將 SSL 憑證新增至您的 MQ 組態。
將 SSL 新增至組態
將憑證新增至佇列管理員的存放區。 在 Windows 上,使用 Internet Explorer/MQSeries 使用者介面或 amqmcert。 在 UNIX 上,使用 gsk6ikm 或 gsk6cmd。
CA 簽署者憑證的標籤格式並不重要。 不過,WebSphere MQ 佇列管理員的個人憑證必須遵循下列小寫格式: ibmwebspheremqqueuemanagername。
修改 SVRCONN 通道,以便設定 SSLCIPH。 例如,將它設定為 Null_MD5。 將 SSLCAUTH 設定為選擇性。
注意
雙向驗證需要 SSLCAUTH (用戶端/伺服器) 。
選擇項。 在 Windows 用戶端電腦上,CA 憑證可以安裝在系統金鑰存放區中,這可以在 Internet Explorer 中完成。
設定下列環境變數以指定用戶端金鑰存放區的位置和名稱: 設定 MQSSLKEYR=C:\sslclient\ssl\key。
注意
金鑰存放區 必須 具有 .sto 副檔名,而且環境變數 不得 指定。
設定用戶端金鑰存放區:
如果您將必要的 CA 憑證新增至系統存放區,請傳回憑證清單: amqmcert -l -k ca。 請注意所需 CA 憑證 () () 數目
將憑證新增至用戶端存放區: amqmcert -a (certificate_number) ,其中 (certificate_number) 是每個必要憑證的數目。
使用 amqsputc 範例程式搭配您先前建立的測試佇列來測試 SSL 用戶端連線。
設定 MQSC 配接器
當 MQSeries 用戶端 – 到 – MQSeries 佇列管理員 SSL 要求成功時,可以在接收位置和傳送埠上設定介面卡,以透過非交易式要求使用 SSL。 請參考以下連結:
測試中使用的屬性值也必須在配接器組態中指定。 配接器屬性與傳送埠 和 接收位置相關:
| 屬性 | Description |
|---|---|
| SSL 加密規格 | 為介面卡中設定的端點所使用的 SSL 連線定義單一 CipherSpec。 WebSphere MQ SSL 通道定義的兩端都必須包含 屬性。 指定的值應該符合通道的伺服器端所指定的名稱。 此值是長度上限為 32 個字元的字串。 例如,輸入 Null_MD5。 |
| SSL 金鑰存放庫位置 | 用戶端金鑰存放區的位置和名稱。 例如,輸入 C:\sslclient\ssl\key。 |
| SSL 對等名稱 | 通常保留空白 ,用來檢查來自 WebSphere MQ 通道另一端之對等佇列管理員或用戶端之憑證的辨別名稱 (也稱為 DN) 。 如果從對等收到的辨別名稱不符合此值,通道就不會啟動。 只有在 MQ 伺服器通道上啟用起始連線的驗證,以及已啟用[只接受具有辨別名稱的憑證] 選項時,才需要 SSL 對等名稱。 請透過 MQ 總管進行驗證,或洽詢您的 MQSeries 系統管理員。 |