Comment configurer SSL pour l’adaptateur MQSC : non transactionnel

Cette rubrique répertorie les étapes de configuration de l’adaptateur client MQSeries (MQSC) pour exécuter des demandes non transactionnelles vers le serveur MQSeries à l’aide de SSL. Ces étapes décrivent la configuration de l’authentification unidirectionnelle (serveur).

La configuration est effectuée dans les étapes suivantes :

  • Configurez le gestionnaire de files d’attente et l’ordinateur client.

  • Ajoutez SSL à la configuration.

  • Configurez l’adaptateur MQSC.

    La documentation IBM WebSphere MQ fournit plus d’informations.

Configurer le gestionnaire de files d’attente et le client

Les étapes suivantes créent un nouveau gestionnaire de files d’attente. Ces étapes peuvent également être appliquées à des gestionnaires de files d’attente existants.

Pour configurer le gestionnaire de files d’attente et le client

  1. Créez un gestionnaire de files d’attente nommé QM1. Définissez un écouteur sur le port requis.

  2. Définissez un canal SVRCONN sur. QM1.

  3. Créez une file d’attente locale sur le gestionnaire de files d’attente du serveur MQSeries nommé TESTQUEUE. Il est utilisé pour tester les connexions clientes à partir de l’adaptateur MQSC.

  4. Testez la connexion en exécutant amqsputc.exe sur votre ordinateur client : amqsputc.exe TESTQUEUE. QManagerName.

    Important

    Cette syntaxe respecte la casse. Veillez à entrer la casse correcte.

Ajouter SSL à la configuration

Les étapes suivantes permettent d’ajouter un certificat SSL à votre configuration MQ.

Pour ajouter SSL à la configuration

  1. Ajoutez le certificat au magasin du gestionnaire de files d’attente. sur Windows, utilisez Internet Explorer/l’interface utilisateur MQSeries ou amqmcert. sur UNIX, utilisez gsk6ikm ou gsk6cmd.

    Le format de l’étiquette pour les certificats de signataire de l’autorité de certification n’est pas important. Toutefois, les certificats personnels du gestionnaire de file d’attente WebSphere MQ doivent respecter le format en minuscules suivant : ibmwebspheremqqueuemanagername.

  2. Modifiez le canal SVRCONN pour que SSLCIPH soit défini. Par exemple, affectez-lui la valeur NULL_MD5. Affectez à SSLCAUTH la valeur OPTIONal.

    Notes

    SSLCAUTH est requis pour l’authentification bidirectionnelle (client/serveur).

  3. Facultatif. sur l’ordinateur client Windows, les certificats de l’autorité de certification peuvent être installés dans le magasin de clés système, ce qui peut être fait dans Internet Explorer.

  4. Définissez la variable d’environnement suivante pour spécifier l’emplacement et le nom du magasin de clés client : Set MQSSLKEYR = C:\sslclient\ssl\key.

    Notes

    Le magasin de clés doit avoir l’extension de nom de fichier. arrêt et la variable d’environnement ne doit pas le spécifier.

  5. Configurer un magasin de clés client :

    1. Si vous avez ajouté les certificats d’autorité de certification requis au magasin système, retournez une liste des certificats : amqmcert-l-k ca. Notez le ou les numéros des certificats d’autorité de certification requis

    2. Ajoutez les certificats au magasin client : amqmcert-a (certificate_number), où (certificate_number) représente le numéro de chaque certificat requis.

  6. Testez les connexions client SSL à l’aide de l’exemple de programme amqsputc avec la file d’attente de test que vous avez créée précédemment.

Configuration de l’adaptateur MQSC

Lorsque la demande SSL du gestionnaire de files d’attente MQSeries client-to-MQSeries est établie, la carte peut être configurée sur les emplacements de réception et les ports d’envoi pour utiliser SSL sur les demandes non transactionnelles. Reportez-vous aux liens suivants :

Configuration d’un port de réception et d’un emplacement de réception pour l’adaptateur MQSC

Comment configurer un port d’envoi pour l’adaptateur MQSC

Les valeurs de propriété utilisées dans le test doivent également être spécifiées dans la configuration de l’adaptateur. Les propriétés de l’adaptateur sont pertinentes pour les ports d’envoi et les emplacements de réception :

Propriété Description
Spécification de chiffrement SSL Définit un CipherSpec unique pour une connexion SSL qui est utilisée par le point de terminaison configuré dans l’adaptateur. Les deux extrémités d’une définition de canal SSL WebSphere MQ doivent inclure l’attribut. La valeur spécifiée doit correspondre au nom spécifié sur l’extrémité serveur du canal. La valeur est une chaîne d’une longueur maximale de 32 caractères. Par exemple, entrez NULL_MD5.
Emplacement du référentiel de clé SSL Emplacement et nom du magasin de clés du client. Par exemple, entrez C:\sslclient\ssl\key.
Nom d’homologue SSL Normalement, le champ vide est utilisé pour vérifier le nom unique (également appelé DN) du certificat à partir du gestionnaire de files d’attente homologues ou du client à l’autre extrémité d’un canal WebSphere MQ. Si le nom unique reçu à partir de l’homologue ne correspond pas à cette valeur, le canal ne démarre pas. Le nom d’homologue SSL est requis uniquement si l' authentification des tiers qui initient des connexions est activée sur le canal du serveur MQ et si l’option accepter uniquement les certificats avec des noms uniques est activée. Vérifiez par le biais de l’Explorateur MQ ou vérifiez auprès de votre administrateur MQSeries.

Voir aussi

Configuration de SSL pour l’adaptateur MQSC : transactionnel
Adaptateur BizTalk pour WebSphere MQ