Cómo configurar SSL para el adaptador MQSC: no transaccional

  • Artículo

En este tema se enumeran los pasos para configurar el adaptador del cliente MQSeries (MQSC) para ejecutar solicitudes no transaccionales en el servidor MQSeries mediante SSL. En estos pasos se describe la configuración de la autenticación unidireccional (servidor).

La configuración se realiza en los pasos siguientes:

  • Configure el Administrador de colas y el equipo cliente.

  • Agregue SSL a la configuración.

  • Configure el adaptador MQSC.

    La documentación de WEBSphere MQ de IBM proporciona más información.

Configurar el Administrador de colas y el cliente

En los pasos siguientes se crea un nuevo Administrador de colas. Estos pasos también se pueden aplicar a los administradores de cola existentes.

Para configurar el Administrador de colas y el cliente

  1. Cree un Administrador de colas denominado QM1. Defina un agente de escucha en el puerto necesario.

  2. Defina un canal SVRCONN TO. QM1.

  3. Cree una cola local en el administrador de colas del servidor MQSeries denominado TESTQUEUE. Se usa para probar las conexiones de cliente desde el adaptador MQSC.

  4. Pruebe la conexión mediante la ejecución de amqsputc.exe en el equipo cliente: amqsputc.exe TESTQUEUE.QManagerName.

    Importante

    Esta sintaxis distingue mayúsculas de minúsculas. Asegúrese de escribir el caso correcto.

Adición de SSL a la configuración

En los pasos siguientes se agrega un certificado SSL a la configuración de MQ.

Para agregar SSL a la configuración

  1. Agregue el certificado al almacén del Administrador de colas. En Windows, use Internet Explorer/la interfaz de usuario mqSeries o amqmcert. En UNIX, use gsk6ikm o gsk6cmd.

    El formato de la etiqueta para los certificados de firmante de ENTIDAD de certificación no es importante. Sin embargo, los certificados personales para el administrador de colas de WebSphere MQ deben cumplir el siguiente formato en minúscula: ibmwebspheremqqueuemanagername.

  2. Modifique el canal SVRCONN para que se establezca SSLCIPH. Por ejemplo, establézcalo en NULL_MD5. Establezca SSLCAUTH en OPCIONAL.

    Nota

    SSLCAUTH es necesario para la autenticación bidireccional (cliente/servidor).

  3. Opcional. En el equipo cliente de Windows, los certificados de CA se pueden instalar en el almacén de claves del sistema, que se puede realizar en Internet Explorer.

  4. Establezca la siguiente variable de entorno para especificar la ubicación y el nombre del almacén de claves de cliente: establezca MQSSLKEYR=C:\sslclient\ssl\key.

    Nota

    El almacén de claves debe tener la extensión de nombre de archivo .sto y la variable de entorno no debe especificarla.

  5. Configure un almacén de claves de cliente:

    1. Si agregó los certificados de CA necesarios al almacén del sistema, devuelva una lista de los certificados: amqmcert -l -k ca. Anote los números de los certificados de ENTIDAD de certificación necesarios.

    2. Agregue los certificados al almacén de cliente: amqmcert -a (certificate_number), donde (certificate_number) es el número de cada certificado necesario.

  6. Pruebe las conexiones de cliente SSL mediante el programa de ejemplo amqsputc con la cola de prueba que creó anteriormente.

Configuración del adaptador de MQSC

Cuando el cliente MQSeries, a , la solicitud SSL de MQSeries Queue Manager se realiza correctamente, el adaptador se puede configurar en ambas ubicaciones de recepción y en puertos de envío para usar SSL a través de solicitudes no transaccionales. Consulte los vínculos siguientes:

Cómo configurar un puerto de recepción y una ubicación de recepción para el adaptador de MQSC

Cómo configurar un puerto de envío para el adaptador de MQSC

Los valores de propiedad que se usan en la prueba también deben especificarse en la configuración del adaptador. Las propiedades del adaptador son relevantes para los puertos de envío y las ubicaciones de recepción:

Propiedad Descripción
Especificación de cifrado SSL Define un único CipherSpec para una conexión SSL que usa el punto de conexión configurado en el adaptador. Ambos extremos de una definición de canal SSL de WebSphere MQ deben incluir el atributo . El valor especificado debe coincidir con el nombre especificado en el servidor del canal. El valor es una cadena con una longitud máxima de 32 caracteres. Por ejemplo, escriba NULL_MD5.
Ubicación del repositorio de claves SSL Ubicación y nombre del almacén de claves de cliente. Por ejemplo, escriba C:\sslclient\ssl\key.
Nombre del mismo nivel SSL Normalmente, se deja en blanco para comprobar el nombre distintivo (también conocido como DN) del certificado del administrador de colas del mismo nivel o cliente en el otro extremo de un canal de WebSphere MQ. Si el nombre distintivo recibido del elemento del mismo nivel no coincide con este valor, el canal no se inicia. El nombre del mismo nivel SSL solo es necesario si la autenticación de partes que inician conexiones está habilitada en el canal del servidor MQ y si la opción Aceptar solo certificados con nombres distintivos está habilitada. Compruebe a través del explorador de MQ o compruebe con el administrador de MQSeries.

Consulte también

Cómo configurar SSL para el adaptador mqsc: transaccional
Adaptador de BizTalk para WebSphere MQ