Share via

Comment configurer SSL pour l’adaptateur MQSC : non transactionnel

  • Article

Cette rubrique répertorie les étapes à suivre pour configurer l’adaptateur MQSeries Client (MQSC) afin d’exécuter des requêtes non transactionnelles sur le serveur MQSeries à l’aide de SSL. Ces étapes décrivent la configuration de l’authentification unidirectionnel (serveur).

La configuration est effectuée en procédant comme suit :

  • Configurez le Gestionnaire de files d’attente et l’ordinateur client.

  • Ajoutez SSL à la configuration.

  • Configurez l’adaptateur MQSC.

    La documentation IBM WebSphere MQ fournit plus d’informations.

Configurer le gestionnaire de files d’attente et le client

Les étapes suivantes créent un gestionnaire de files d’attente. Ces étapes peuvent également être appliquées aux gestionnaires de files d’attente existants.

Pour configurer le Gestionnaire de files d’attente et le client

  1. Créez un gestionnaire de files d’attente nommé QM1. Définissez un écouteur sur le port requis.

  2. Définissez un canal SVRCONN TO. QM1.

  3. Créez une file d’attente locale sur le gestionnaire de files d’attente du serveur MQSeries nommée TESTQUEUE. Il est utilisé pour tester les connexions clientes à partir de l’adaptateur MQSC.

  4. Testez la connexion en exécutant amqsputc.exe sur votre ordinateur client : amqsputc.exe TESTQUEUE.QManagerName.

    Important

    Cette syntaxe respecte la casse. Veillez à entrer la casse correcte.

Ajouter SSL à la configuration

Les étapes suivantes ajoutent un certificat SSL à votre configuration MQ.

Pour ajouter SSL à la configuration

  1. Ajoutez le certificat au magasin du Gestionnaire de files d’attente. Sur Windows, utilisez Internet Explorer/l’interface utilisateur MQSeries ou amqmcert. Sur UNIX, utilisez gsk6ikm ou gsk6cmd.

    Le format de l’étiquette pour les certificats signataires d’autorité de certification n’est pas important. Toutefois, les certificats personnels pour le gestionnaire de files d’attente WebSphere MQ doivent respecter le format minuscule suivant : ibmwebspheremqqueuemanagername.

  2. Modifiez le canal SVRCONN pour que le PROTOCOLE SSLCIPH soit défini. Par exemple, définissez-le sur NULL_MD5. Définissez SSLCAUTH sur OPTIONAL.

    Notes

    SSLCAUTH est requis pour l’authentification bidirectionnel (client/serveur).

  3. Facultatif. Sur l’ordinateur client Windows, les certificats d’autorité de certification peuvent être installés dans le magasin de clés système, ce qui peut être effectué dans Internet Explorer.

  4. Définissez la variable d’environnement suivante pour spécifier l’emplacement et le nom du magasin de clés client : définissez MQSSLKEYR=C :\sslclient\ssl\key.

    Notes

    Le magasin de clés doit avoir l’extension de nom de fichier .sto et la variable d’environnement ne doit pas la spécifier.

  5. Configurez un magasin de clés client :

    1. Si vous avez ajouté les certificats d’autorité de certification requis au magasin système, retournez la liste des certificats : amqmcert -l -k ca. Notez le ou les numéros des certificats d’autorité de certification requis

    2. Ajoutez les certificats au magasin client : amqmcert -a (certificate_number),(certificate_number) correspond au nombre de chaque certificat requis.

  6. Testez les connexions du client SSL à l’aide de l’exemple de programme amqsputc avec la file d’attente de test que vous avez créée précédemment.

Configurer l’adaptateur MQSC

Lorsque la requête SSL du gestionnaire de files d’attente MQSeries MQSeries réussit, l’adaptateur peut être configuré à la fois sur les emplacements de réception et les ports d’envoi pour utiliser SSL sur les demandes non transactionnelles. Reportez-vous aux liens suivants :

Comment configurer un port de réception et un emplacement de réception pour l’adaptateur MQSC

Comment configurer un port d’envoi pour l’adaptateur MQSC

Les valeurs de propriété utilisées dans le test doivent également être spécifiées dans la configuration de l’adaptateur. Les propriétés de l’adaptateur sont pertinentes pour envoyer les ports et les emplacements de réception :

Propriété Description
Spécification de chiffrement SSL Définit une spécification de chiffrement unique pour une connexion SSL utilisée par le point de terminaison configuré dans l’adaptateur. Les deux extrémités d’une définition de canal SSL WebSphere MQ doivent inclure l’attribut. La valeur spécifiée doit correspondre au nom spécifié à l’extrémité du serveur du canal. La valeur est une chaîne d’une longueur maximale de 32 caractères. Par exemple, entrez NULL_MD5.
Emplacement du dépôt de clés SSL Emplacement et nom du magasin de clés client. Par exemple, entrez C :\sslclient\ssl\key.
Nom de l’homologue SSL Normalement laissé vide est utilisé pour case activée le nom unique (également appelé DN) du certificat du gestionnaire de files d’attente d’homologue ou du client à l’autre extrémité d’un canal WebSphere MQ. Si le nom unique reçu de l’homologue ne correspond pas à cette valeur, le canal ne démarre pas. Le nom de l’homologue SSL n’est requis que si l’authentification des parties qui initie les connexions est activée sur le canal serveur MQ et si l’option Accepter uniquement les certificats avec des noms uniques est activée. Vérifiez via l’explorateur MQ ou case activée avec votre administrateur MQSeries.

Voir aussi

Comment configurer SSL pour l’adaptateur MQSC : Transactionnel
Adaptateur BizTalk pour WebSphere MQ