Comment configurer SSL pour l’adaptateur MQSC : Transactionnel

  • Article

Cette rubrique répertorie les étapes à suivre pour configurer l’adaptateur MQSeries Client (MQSC) afin d’exécuter des requêtes transactionnelles sur le serveur MQSeries à l’aide de SSL. Ces étapes décrivent la configuration de l’authentification unidirectionnel (serveur).

La configuration est effectuée en procédant comme suit :

  • Configurez le Gestionnaire de files d’attente et l’ordinateur client.

  • Ajoutez SSL à la configuration.

  • Configurez l’adaptateur MQSC.

    La documentation IBM WebSphere MQ fournit plus d’informations.

Configurer le gestionnaire de files d’attente et le client

Les étapes suivantes créent un gestionnaire de files d’attente. Ces étapes peuvent également être appliquées aux gestionnaires de files d’attente existants.

Pour configurer le Gestionnaire de files d’attente et le client

  1. Créez un gestionnaire de files d’attente nommé QM1. Définissez un écouteur sur le port requis.

  2. Définissez un canal SVRCONN TO. QM1.

  3. Définissez un canal CLNTCONN TO. QM1. Utilisez le même nom que celui utilisé pour le canal SRVCONN.

  4. Créez une file d’attente locale sur le gestionnaire de files d’attente du serveur MQSeries nommée TESTQUEUE. Il est utilisé pour tester les connexions clientes à partir de l’adaptateur MQSC.

  5. Copiez AMQCLCHL. Fichier TAB du serveur MQSeries sur l’ordinateur client. Sur la plupart des installations UNIX, ce fichier se trouve dans \var\mqm\qmgrs\QueueManagerName\@IPCC. Sur la plupart des installations Windows, ce fichier se trouve dans \Program Files\Websphere MQ Server installation folder\qmgrs\QueueManagerName\@IPCC.

  6. Sur l’ordinateur client, définissez les variables d’environnement suivantes :

    • MQCHLLIB=C:\sslclient\ssl\ où MQCHLLIB est le chemin d’accès de la table de canal client.

    • MQCHLTAB=AMQCLCHL.TAB où MQCHLTAB est le nom de la table de canal client.

    Notes

    Les valeurs par défaut des variables d’environnement peuvent également être utilisées. Pour plus d’informations, reportez-vous au manuel du client WebSphere MQ.

  7. Testez la connexion en exécutant amqsputc.exe sur votre ordinateur client : amqsputc.exe TESTQUEUE.QManagerName.

    Important

    Cette syntaxe respecte la casse. Veillez à entrer la casse correcte.

Ajouter SSL à la configuration

Les étapes suivantes ajoutent un certificat SSL à votre configuration MQ.

Pour ajouter SSL à la configuration

  1. Ajoutez le certificat au magasin du Gestionnaire de files d’attente. Sur Windows, utilisez Internet Explorer/l’interface utilisateur MQSeries ou amqmcert. Sur UNIX, utilisez gsk6ikm ou gsk6cmd.

    Le format de l’étiquette pour les certificats signataires d’autorité de certification n’est pas important. Toutefois, les certificats personnels pour le gestionnaire de files d’attente WebSphere MQ doivent respecter le format minuscule suivant : ibmwebspheremqqueuemanagername.

  2. Modifiez le canal SVRCONN pour que le PROTOCOLE SSLCIPH soit défini. Par exemple, définissez-le sur NULL_MD5. Définissez SSLCAUTH sur OPTIONAL.

    Notes

    SSLCAUTH est requis pour l’authentification bidirectionnel (client/serveur).

  3. Modifiez le canal CLNTCONN pour que le protocole SSLCIPH soit défini sur le même que le canal SVRCONN. Par exemple, définissez-le sur NULL_MD5.

  4. Copiez le nouveau AMQCLCHL. Fichier TAB du serveur MQSeries vers l’ordinateur client. Cette étape permet d’utiliser les paramètres SSL.

  5. Facultatif. Sur l’ordinateur client Windows, les certificats d’autorité de certification peuvent être installés dans le magasin de clés système, ce qui peut être effectué dans Internet Explorer.

  6. Définissez la variable d’environnement suivante pour spécifier l’emplacement et le nom du magasin de clés client : définissez MQSSLKEYR=C :\sslclient\ssl\key.

    Notes

    Le magasin de clés doit avoir l’extension de nom de fichier .sto et la variable d’environnement ne doit pas la spécifier.

  7. Configurez un magasin de clés client :

    1. Si vous avez ajouté les certificats d’autorité de certification requis au magasin système, retournez la liste des certificats : amqmcert -l -k ca. Notez le ou les numéros des certificats d’autorité de certification requis.

    2. Ajoutez les certificats au magasin client : amqmcert -a (certificate_number),(certificate_number) correspond au nombre de chaque certificat requis.

  8. Testez les connexions du client SSL à l’aide de l’exemple de programme amqsputc avec la file d’attente de test que vous avez créée précédemment.

    Important

    N’entrez pas le nom du canal, le nom de la connexion, la spécification de chiffrement SSL, l’emplacement du dépôt de clé SSL ou le nom de l’homologue SSL. Ces informations proviennent de l’AMQCLCHL. Fichier TAB.

Configurer l’adaptateur MQSC

Lorsque la requête SSL du client MQSeries - à - MQSeries Queue Manager réussit, l’adaptateur peut être configuré à la fois sur les emplacements de réception et les ports d’envoi pour utiliser SSL et Transactions. Reportez-vous aux liens suivants :

Comment configurer un port de réception et un emplacement de réception pour l’adaptateur MQSC

Comment configurer un port d’envoi pour l’adaptateur MQSC

Voir aussi

Comment configurer SSL pour l’adaptateur MQSC : non transactionnel
Adaptateur BizTalk pour WebSphere MQ