本主题列出了配置 MQSeries 客户端 (MQSC) 适配器以使用 SSL 对 MQSeries 服务器执行事务请求的步骤。 这些步骤描述单向(服务器)身份验证的配置。
在以下步骤中执行配置:
配置队列管理器和客户端计算机。
将 SSL 添加到配置。
配置 MQSC 适配器。
IBM WebSphere MQ 文档提供了详细信息。
配置队列管理器和客户端
以下步骤创建新的队列管理器。 这些步骤也可以应用于现有的队列管理器。
设置队列管理器和客户端
创建名为 QM1 的队列管理器。 在所需的端口上定义侦听器。
定义 SVRCONN 通道 TO.QM1。
定义 CLNTCONN 通道 TO.QM1。 请使用与之前用于 SRVCONN 通道相同的名称。
在名为 TESTQUEUE 的 MQSeries 服务器队列管理器上创建本地队列。 这用于测试 MQSC 适配器中的客户端连接。
从 MQSeries 服务器将 AMQCLCHL.TAB 文件复制到客户端计算机上。 在大多数 UNIX 安装中,此文件位于 \var\mqm\qmgrs\QueueManagerName\@IPCC中。 在大多数 Windows 安装中,此文件位于 \Program Files\Websphere MQ Server 安装文件夹\qmgrs\QueueManagerName\@IPCC中。
在客户端计算机上,设置以下环境变量:
MQCHLLIB=C:\sslclient\ssl\其中 MQCHLLIB 是客户端通道表的路径。MQCHLTAB=AMQCLCHL.TAB其中 MQCHLTAB 是客户端通道表的名称。
注释
还可以使用环境变量的默认值。 有关详细信息,请参阅 WebSphere MQ 客户端手册。
通过在客户端计算机上运行 amqsputc.exe 来测试连接: amqsputc.exe TESTQUEUE。QManagerName。
重要
此语法区分大小写。 请务必输入正确的大小写。
将 SSL 添加到配置
以下步骤将 SSL 证书添加到 MQ 配置。
将 SSL 添加到配置
将证书添加到队列管理器的存储区。 在 Windows 上,使用 Internet Explorer/MQSeries 用户界面或 amqmcert。 在 UNIX 上,使用 gsk6ikm 或 gsk6cmd。
CA 签名者证书的标签格式并不重要。 但是,WebSphere MQ 队列管理器的个人证书必须遵循以下小写格式: ibmwebspheremqqueuemanagername。
修改 SVRCONN 通道,以便设置 SSLCIPH。 例如,将其设置为NULL_MD5。 将 SSLCAUTH 设置为 OPTIONAL。
注释
双向身份验证(客户端/服务器)需要 SSLCAUTH。
修改 CLNTCONN 通道,使 SSLCIPH 设置为与 SVRCONN 通道相同。 例如,将其设置为NULL_MD5。
将新的 AMQCLCHL.TAB 文件从 MQSeries 服务器复制到客户端计算机。 此步骤允许使用 SSL 设置。
可选。 在 Windows 客户端计算机上,CA 证书可以安装在系统密钥存储中,可以在 Internet Explorer 中完成。
设置以下环境变量以指定客户端密钥存储的位置和名称: 设置 MQSSLKEYR=C:\sslclient\ssl\key。
注释
密钥存储 必须 具有 .sto 文件扩展名,环境变量 不得 指定。
设置客户端密钥存储:
如果将所需的 CA 证书添加到系统存储,请返回证书列表: amqmcert -l -k ca。 记下所需 CA 证书的编号(s)。
将证书添加到客户端存储: amqmcert -a(certificate_number),其中 (certificate_number) 是每个所需证书的数量。
使用 amqsputc 示例程序与之前创建的测试队列测试 SSL 客户端连接。
重要
不要输入通道名称、连接名称、SSL 密码规范、SSL 密钥存储库位置或 SSL 对等名称。 此信息来自 AMQCLCHL。TAB 文件。
配置 MQSC 适配器
当 MQSeries 客户端到 MQSeries 队列管理器的 SSL 请求成功时,适配器可以配置在接收位置和发送端口上,以使用 SSL 和事务。 请参阅以下链接: