Partager via

Guide pratique pour configurer SSL pour l’adaptateur MQSC : transactionnel

Cette rubrique répertorie les étapes de configuration de l’adaptateur MQSeries Client (MQSC) pour exécuter des requêtes transactionnelles sur le serveur MQSeries à l’aide de SSL. Ces étapes décrivent la configuration de l’authentification unidirectionnelle (Serveur).

La configuration est effectuée en procédant comme suit :

  • Configurez le Gestionnaire de files d’attente et l’ordinateur client.

  • Ajoutez SSL à la configuration.

  • Configurez l’adaptateur MQSC.

    La documentation IBM WebSphere MQ fournit plus d’informations.

Configurer le gestionnaire de files d’attente et le client

Les étapes suivantes créent un gestionnaire de files d’attente. Ces étapes peuvent également être appliquées aux gestionnaires de files d’attente existants.

Pour configurer le Gestionnaire de files d’attente et le client

  1. Créez un gestionnaire de files d’attente nommé QM1. Définissez un écouteur sur le port requis.

  2. Définissez un canal SVRCONN TO. QM1.

  3. Définissez un canal CLNTCONN TO. QM1. Utilisez le même nom que celui utilisé pour le canal SRVCONN.

  4. Créez une file d’attente locale sur le Gestionnaire de file d’attente du serveur MQSeries nommé TESTQUEUE. Cela est utilisé pour tester les connexions client à partir de l’adaptateur MQSC.

  5. Copiez le fichier AMQCLCHL.TAB du serveur MQSeries sur l’ordinateur client. Sur la plupart des installations UNIX, ce fichier se trouve dans \var\mqm\qmgrs\QueueManagerName\@IPCC. Sur la plupart des installations Windows, ce fichier se trouve dans le dossier d’installation du serveur \Program Files\Websphere MQ Server\qmgrs\QueueManagerName\@IPCC.

  6. Sur l’ordinateur client, définissez les variables d’environnement suivantes :

    • MQCHLLIB=C:\sslclient\ssl\ où MQCHLLIB est le chemin d’accès de la table de canal client.

    • MQCHLTAB=AMQCLCHL.TAB où MQCHLTAB est le nom de la table de canal client.

    Remarque

    Les valeurs par défaut des variables d’environnement peuvent également être utilisées. Pour plus d’informations, reportez-vous au manuel du client WebSphere MQ.

  7. Testez la connexion en exécutant amqsputc.exe sur votre ordinateur client : amqsputc.exe TESTQUEUE.QManagerName.

    Important

    Cette syntaxe respecte la casse. Veillez à entrer le cas approprié.

Ajouter SSL à la configuration

Les étapes suivantes ajoutent un certificat SSL à votre configuration MQ.

Pour ajouter SSL à la configuration

  1. Ajoutez le certificat au magasin du Gestionnaire de files d’attente. Sur Windows, utilisez Internet Explorer/l’interface utilisateur MQSeries ou amqmcert. Sur UNIX, utilisez gsk6ikm ou gsk6cmd.

    Le format de l’étiquette pour les certificats du signataire de l’autorité de certification n’est pas important. Toutefois, les certificats personnels pour le gestionnaire de files d’attente WebSphere MQ doivent respecter le format minuscule suivant : ibmwebspheremqqueuemanagername.

  2. Modifiez le canal SVRCONN afin que SSLCIPH soit défini. Par exemple, définissez-le sur NULL_MD5. Définissez SSLCAUTH sur OPTIONAL.

    Remarque

    SSLCAUTH est requis pour l’authentification bidirectionnel (client/serveur).

  3. Modifiez le canal CLNTCONN afin que sslCIPH soit défini sur le même que le canal SVRCONN. Par exemple, définissez-le sur NULL_MD5.

  4. Copiez le nouveau fichier AMQCLCHL.TAB du serveur MQSeries vers l’ordinateur client. Cette étape permet d’utiliser les paramètres SSL.

  5. Facultatif. Sur l’ordinateur client Windows, les certificats d’autorité de certification peuvent être installés dans le magasin de clés système, ce qui peut être effectué dans Internet Explorer.

  6. Définissez la variable d’environnement suivante pour spécifier l’emplacement et le nom du magasin de clés client : définissez MQSSLKEYR=C :\sslclient\ssl\key.

    Remarque

    Le magasin de clés doit avoir l’extension de nom de fichier .sto et la variable d’environnement ne doit pas la spécifier.

  7. Configurez un magasin de clés client :

    1. Si vous avez ajouté les certificats d’autorité de certification requis au magasin système, retournez la liste des certificats : amqmcert -l -k ca. Notez le ou les nombres des certificats d’autorité de certification requis.

    2. Ajoutez les certificats au magasin client : amqmcert -a (certificate_number), où (certificate_number) est le nombre de chaque certificat requis.

  8. Testez les connexions client SSL à l’aide de l’exemple de programme amqsputc avec la file d’attente de test que vous avez créée précédemment.

    Important

    N’entrez pas le nom du canal, le nom de connexion, la spécification de chiffrement SSL, l’emplacement du dépôt de clés SSL ou le nom d’homologue SSL. Ces informations proviennent du fichier AMQCLCHL.TAB.

Configurer l’adaptateur MQSC

Lorsque la requête SSL du client MQSeries au Gestionnaire de files d'attente MQSeries réussit, l'adaptateur peut être configuré à la fois sur les emplacements de réception et les ports d'envoi pour utiliser SSL et les Transactions. Reportez-vous aux liens suivants :

Comment configurer un port de réception et un emplacement de réception pour l’adaptateur MQSC

Comment configurer un port d’envoi pour l’adaptateur MQSC

Voir aussi

Guide pratique pour configurer SSL pour l’adaptateur MQSC : non transactionnel
Adaptateur BizTalk pour WebSphere MQ