Come configurare SSL per l'adapter MQSC: non transazionale

  • Articolo

In questo argomento vengono elencati i passaggi per configurare l'adapter MQSeries Client (MQSC) per eseguire richieste non transazionali al server MQSeries usando SSL. Questi passaggi descrivono la configurazione per l'autenticazione unidirezionale (Server).

La configurazione viene eseguita nei passaggi seguenti:

  • Configurare Gestione code e il computer client.

  • Aggiungere SSL alla configurazione.

  • Configurare l'adapter MQSC.

    La documentazione di IBM WebSphere MQ fornisce altre informazioni.

Configurare Gestione code e client

La procedura seguente consente di creare un nuovo gestore code. Questi passaggi possono essere applicati anche ai gestori code esistenti.

Per configurare Gestione code e il client

  1. Creare un gestore code denominato QM1. Definire un listener sulla porta richiesta.

  2. Definire un canale SVRCONN TO. QM1.

  3. Creare una coda locale nel server MQSeries Queue Manager denominata TESTQUEUE. Questa operazione viene usata per testare le connessioni client dall'adattatore MQSC.

  4. Testare la connessione eseguendo amqsputc.exe nel computer client: amqsputc.exe TESTQUEUE.QManagerName.

    Importante

    Questa sintassi è distinzione tra maiuscole e minuscole. Assicurarsi di immettere il caso corretto.

Aggiungere SSL alla configurazione

I passaggi seguenti aggiungono un certificato SSL alla configurazione MQ.

Per aggiungere SSL alla configurazione

  1. Aggiungere il certificato all'archivio di Queue Manager. In Windows usare Internet Explorer/l'interfaccia utente MQSeries o amqmcert. In UNIX usare gsk6ikm o gsk6cmd.

    Il formato dell'etichetta per i certificati ca Signer non è importante. Tuttavia, i certificati personali per Il gestore code MQ di WebSphere devono rispettare il formato minuscolo seguente: ibmwebspheremqqueuemanagername.

  2. Modificare il canale SVRCONN in modo che sia impostato SSLCIPH. Ad esempio, impostarlo su NULL_MD5. Impostare SSLCAUTH su FACOLTATIVO.

    Nota

    SSLCAUTH è necessario per l'autenticazione bidirezionale (client/server).

  3. Facoltativo. Nel computer client Windows è possibile installare i certificati ca nell'archivio delle chiavi di sistema, che può essere eseguita in Internet Explorer.

  4. Impostare la variabile di ambiente seguente per specificare il percorso e il nome dell'archivio chiavi client: impostare MQSSSLKEYR=C:\sslclient\ssl\key.

    Nota

    L'archivio chiavi deve avere l'estensione del nome file con estensione sto e la variabile di ambiente non deve specificarla.

  5. Configurare un archivio chiavi client:

    1. Se sono stati aggiunti i certificati CA necessari all'archivio di sistema, restituire un elenco dei certificati: amqmcert -l -k ca. Si notino i numeri del certificato CA richiesto

    2. Aggiungere i certificati all'archivio client: amqmcert -a (certificate_number), dove (certificate_number) è il numero di ogni certificato richiesto.

  6. Testare le connessioni client SSL usando il programma di esempio amqsputc con la coda di test creata in precedenza.

Configurare l'adapter MQSC

Quando la richiesta SSL di MQSeries Queue Manager ha esito positivo, la scheda può essere configurata in posizioni di ricezione e porte di invio per l'uso di SSL su richieste non transazionali. Fare riferimento ai collegamenti seguenti:

Come configurare una porta di ricezione e un percorso di ricezione per l'adapter MQSC

Come configurare una porta di trasmissione per l'adapter MQSC

I valori delle proprietà usati nel test devono essere specificati anche nella configurazione dell'adattatore. Le proprietà della scheda sono rilevanti per inviare porte e posizioni di ricezione:

Proprietà Descrizione
Specifica della crittografia SSL Definisce un singolo oggetto CipherSpec per una connessione SSL usata dall'endpoint configurato nell'adapter. Entrambe le estremità di una definizione del canale SSL WEBSphere MQ devono includere l'attributo. Il valore specificato deve corrispondere al nome specificato nella fine del server del canale. Il valore è una stringa con lunghezza massima di 32 caratteri. Ad esempio, immettere NULL_MD5.
Percorso del repository di chiavi SSL Posizione e nome dell'archivio chiavi client. Ad esempio, immettere C:\sslclient\ssl\key.
Nome peer SSL In genere viene usato per controllare il nome distinto (noto anche come DN) del certificato dalla gestione coda peer o dal client all'altra estremità di un canale WebSphere MQ. Se il nome distinto ricevuto dal peer non corrisponde a questo valore, il canale non viene avviato. Il nome peer SSL è obbligatorio solo se l'autenticazione delle parti che avvia le connessioni è abilitata nel canale server MQ e se l'opzione Accetta solo certificati con nomi distinti è abilitata. Verificare tramite esplora MQ o verificare con l'amministratore MQSeries.

Vedere anche

Come configurare SSL per l'adapter MQSC: transazionale
Adattatore BizTalk per WebSphere MQ