如何設定 MQSC 配接器的 SSL:交易式
本主題列出設定 MQSeries 用戶端 (MQSC) 配接器的步驟,以使用 SSL 對 MQSeries 伺服器執行交易式要求。 這些步驟描述單向 (伺服器) 驗證的設定。
設定會在下列步驟中執行:
設定佇列管理員和用戶端電腦。
將 SSL 新增至組態。
設定 MQSC 配接器。
IBM WebSphere MQ 檔提供詳細資訊。
設定佇列管理員和用戶端
下列步驟會建立新的佇列管理員。 這些步驟也可以套用至現有的佇列管理員。
設定佇列管理員和用戶端
建立名為 QM1的佇列管理員。 在必要的埠上定義接聽程式。
定義 SVRCONN 通道 TO。QM1.
定義 CLNTCONN 通道 TO。QM1. 使用用於 SRVCONN 通道的相同名稱。
在名為 TESTQUEUE 的 MQSeries 伺服器佇列管理員上建立本機佇列。 這會用於測試來自 MQSC 配接器的用戶端連線。
複製 AMQCLCHL。從 MQSeries 伺服器到用戶端電腦的 TAB 檔案。 在大部分的 UNIX 安裝中,此檔案位於 \var\mqm\qmgrs\QueueManagerName\@IPCC。 在大部分的 Windows 安裝中,此檔案位於 \Program Files\Websphere MQ Server 安裝資料夾\qmgrs\QueueManagerName\@IPCC中。
在用戶端電腦上,設定下列環境變數:
MQCHLLIB=C:\sslclient\ssl\其中 MQCHLLIB 是用戶端通道資料表的路徑。MQCHLTAB=AMQCLCHL.TAB其中 MQCHLTAB 是用戶端通道資料表的名稱。
注意
您也可以使用環境變數的預設值。 如需詳細資訊,請參閱 WebSphere MQ 用戶端手冊。
在用戶端電腦上執行 amqsputc.exe 來測試連線: amqsputc.exe TESTQUEUE。QManagerName。
重要
此語法區分大小寫。 請務必輸入正確的大小寫。
將 SSL 新增至設定
下列步驟會將 SSL 憑證新增至 MQ 組態。
將 SSL 新增至組態
將憑證新增至佇列管理員的存放區。 在 Windows 上,使用 Internet Explorer/MQSeries 使用者介面或 amqmcert。 在 UNIX 上,使用 gsk6ikm 或 gsk6cmd。
CA 簽署者憑證的標籤格式並不重要。 不過,WebSphere MQ 佇列管理員的個人憑證必須遵守下列小寫格式: ibmwebspheremqqueuemanagername。
修改 SVRCONN 通道,以便設定 SSLCIPH。 例如,將它設定為 Null_MD5。 將 SSLCAUTH 設定為 OPTIONAL。
注意
雙向驗證需要 SSLCAUTH (用戶端/伺服器) 。
修改 CLNTCONN 通道,讓 SSLCIPH 設定為與 SVRCONN 通道相同的 。 例如,將它設定為 Null_MD5。
複製新的 AMQCLCHL。從 MQSeries 伺服器到用戶端電腦的 TAB 檔案。 此步驟允許使用 SSL 設定。
選擇項。 在 Windows 用戶端電腦上,CA 憑證可以安裝在系統金鑰存放區中,這可以在 Internet Explorer 中完成。
設定下列環境變數以指定用戶端金鑰存放區的位置和名稱: 設定 MQSSLKEYR=C:\sslclient\ssl\key。
注意
金鑰存放區 必須 具有 .sto 副檔名,而且環境變數 不得 指定。
設定用戶端金鑰存放區:
如果您已將必要的 CA 憑證新增至系統存放區,請傳回憑證清單: amqmcert -l -k ca。 請注意必要 CA 憑證 () () 。
將憑證新增至用戶端存放區: amqmcert -a (certificate_number) ,其中 (certificate_number) 是每個必要憑證的數目。
使用 amqsputc 範例程式搭配您先前建立的測試佇列來測試 SSL 用戶端連線。
重要
請勿輸入通道名稱、連線名稱、SSL 加密規格、SSL 金鑰存放庫位置或 SSL 對等名稱。 此資訊來自 AMQCLCHL。TAB 檔案。
設定 MQSC 配接器
當 MQSeries 用戶端 - 至 - MQSeries 佇列管理員 SSL 要求成功時,可以在接收位置和傳送埠上設定介面卡,以使用 SSL 和交易。 請參考以下連結: