本主题列出了配置 MQSeries 客户端 (MQSC) 适配器以使用 SSL 对 MQSeries 服务器执行非事务性请求的步骤。 这些步骤描述单向(服务器)身份验证的配置。
在以下步骤中执行配置:
配置队列管理器和客户端计算机。
将 SSL 添加到配置。
配置 MQSC 适配器。
IBM WebSphere MQ 文档提供了详细信息。
配置队列管理器和客户端
以下步骤创建新的队列管理器。 这些步骤也可以应用于现有的队列管理器。
设置队列管理器和客户端
创建名为 QM1 的队列管理器。 在所需的端口上定义侦听器。
定义 SVRCONN 通道 TO.QM1。
在名为 TESTQUEUE 的 MQSeries 服务器队列管理器上创建本地队列。 这用于测试 MQSC 适配器中的客户端连接。
通过在客户端计算机上运行 amqsputc.exe 来测试连接: amqsputc.exe TESTQUEUE。QManagerName。
重要
此语法区分大小写。 请务必输入正确的大小写。
将 SSL 添加到配置
以下步骤将 SSL 证书添加到 MQ 配置。
将 SSL 添加到配置
将证书添加到队列管理器的存储区。 在 Windows 上,使用 Internet Explorer/MQSeries 用户界面或 amqmcert。 在 UNIX 上,使用 gsk6ikm 或 gsk6cmd。
CA 签名者证书的标签格式并不重要。 但是,WebSphere MQ 队列管理器的个人证书必须遵循以下小写格式: ibmwebspheremqqueuemanagername。
修改 SVRCONN 通道,以便设置 SSLCIPH。 例如,将其设置为NULL_MD5。 将 SSLCAUTH 设置为 OPTIONAL。
注释
双向身份验证(客户端/服务器)需要 SSLCAUTH。
可选。 在 Windows 客户端计算机上,CA 证书可以安装在系统密钥存储中,可以在 Internet Explorer 中完成。
设置以下环境变量以指定客户端密钥存储的位置和名称: 设置 MQSSLKEYR=C:\sslclient\ssl\key。
注释
密钥存储 必须 具有 .sto 文件扩展名,环境变量 不得 指定。
设置客户端密钥存储:
如果将所需的 CA 证书添加到系统存储,请返回证书列表: amqmcert -l -k ca。 记下所需 CA 证书的编号
将证书添加到客户端存储: amqmcert -a(certificate_number),其中 (certificate_number) 是每个所需证书的数量。
使用 amqsputc 示例程序与之前创建的测试队列测试 SSL 客户端连接。
配置 MQSC 适配器
当 MQSeries 客户端到 MQSeries 队列管理器的 SSL 请求成功时,可以对接收位置和发送端口的适配器进行配置,以便在非事务性请求中使用 SSL。 请参阅以下链接:
测试中使用的属性值还必须在适配器配置中指定。 适配器属性与发送端口 和 接收位置相关:
| 资产 | DESCRIPTION |
|---|---|
| SSL 密码规范 | 为适配器中配置的终结点使用的 SSL 连接定义单个 CipherSpec。 WebSphere MQ SSL 通道定义的两端必须包含该属性。 指定的值应与通道的服务器端指定的名称匹配。 该值是最大长度为 32 个字符的字符串。 例如,输入NULL_MD5。 |
| SSL 密钥存储库位置 | 客户端密钥存储的位置和名称。 例如,输入 C:\sslclient\ssl\key。 |
| SSL 对等名称 | 通常留空,用于检查证书的可分辨名称(也称为 DN),以验证其是否与 WebSphere MQ 通道另一端的对等队列管理器或客户端匹配。 如果从对等方收到的可分辨名称与此值不匹配,则通道不会启动。 仅当在 MQ 服务器通道上启用发起连接的参与方身份验证,并且启用仅接受具有区分名称选项的证书时,才需要 SSL 对等名称。 通过 MQ 资源管理器进行验证,或与 MQSeries 系统管理员确认。 |