Come configurare SSL per l'adapter MQSC: non transazionale
In questo argomento vengono elencati i passaggi per configurare l'adapter MQSeries Client (MQSC) per eseguire richieste non transazionali al server MQSeries usando SSL. Questi passaggi descrivono la configurazione per l'autenticazione unidirezionale (Server).
La configurazione viene eseguita nei passaggi seguenti:
Configurare Gestione code e il computer client.
Aggiungere SSL alla configurazione.
Configurare l'adapter MQSC.
La documentazione di IBM WebSphere MQ fornisce altre informazioni.
Configurare Gestione code e client
La procedura seguente consente di creare un nuovo gestore code. Questi passaggi possono essere applicati anche ai gestori code esistenti.
Per configurare Gestione code e il client
Creare un gestore code denominato QM1. Definire un listener sulla porta richiesta.
Definire un canale SVRCONN TO. QM1.
Creare una coda locale nel server MQSeries Queue Manager denominata TESTQUEUE. Questa operazione viene usata per testare le connessioni client dall'adattatore MQSC.
Testare la connessione eseguendo amqsputc.exe nel computer client: amqsputc.exe TESTQUEUE.QManagerName.
Importante
Questa sintassi è distinzione tra maiuscole e minuscole. Assicurarsi di immettere il caso corretto.
Aggiungere SSL alla configurazione
I passaggi seguenti aggiungono un certificato SSL alla configurazione MQ.
Per aggiungere SSL alla configurazione
Aggiungere il certificato all'archivio di Queue Manager. In Windows usare Internet Explorer/l'interfaccia utente MQSeries o amqmcert. In UNIX usare gsk6ikm o gsk6cmd.
Il formato dell'etichetta per i certificati ca Signer non è importante. Tuttavia, i certificati personali per Il gestore code MQ di WebSphere devono rispettare il formato minuscolo seguente: ibmwebspheremqqueuemanagername.
Modificare il canale SVRCONN in modo che sia impostato SSLCIPH. Ad esempio, impostarlo su NULL_MD5. Impostare SSLCAUTH su FACOLTATIVO.
Nota
SSLCAUTH è necessario per l'autenticazione bidirezionale (client/server).
Facoltativo. Nel computer client Windows è possibile installare i certificati ca nell'archivio delle chiavi di sistema, che può essere eseguita in Internet Explorer.
Impostare la variabile di ambiente seguente per specificare il percorso e il nome dell'archivio chiavi client: impostare MQSSSLKEYR=C:\sslclient\ssl\key.
Nota
L'archivio chiavi deve avere l'estensione del nome file con estensione sto e la variabile di ambiente non deve specificarla.
Configurare un archivio chiavi client:
Se sono stati aggiunti i certificati CA necessari all'archivio di sistema, restituire un elenco dei certificati: amqmcert -l -k ca. Si notino i numeri del certificato CA richiesto
Aggiungere i certificati all'archivio client: amqmcert -a (certificate_number), dove (certificate_number) è il numero di ogni certificato richiesto.
Testare le connessioni client SSL usando il programma di esempio amqsputc con la coda di test creata in precedenza.
Configurare l'adapter MQSC
Quando la richiesta SSL di MQSeries Queue Manager ha esito positivo, la scheda può essere configurata in posizioni di ricezione e porte di invio per l'uso di SSL su richieste non transazionali. Fare riferimento ai collegamenti seguenti:
Come configurare una porta di ricezione e un percorso di ricezione per l'adapter MQSC
Come configurare una porta di trasmissione per l'adapter MQSC
I valori delle proprietà usati nel test devono essere specificati anche nella configurazione dell'adattatore. Le proprietà della scheda sono rilevanti per inviare porte e posizioni di ricezione:
Proprietà | Descrizione |
---|---|
Specifica della crittografia SSL | Definisce un singolo oggetto CipherSpec per una connessione SSL usata dall'endpoint configurato nell'adapter. Entrambe le estremità di una definizione del canale SSL WEBSphere MQ devono includere l'attributo. Il valore specificato deve corrispondere al nome specificato nella fine del server del canale. Il valore è una stringa con lunghezza massima di 32 caratteri. Ad esempio, immettere NULL_MD5. |
Percorso del repository di chiavi SSL | Posizione e nome dell'archivio chiavi client. Ad esempio, immettere C:\sslclient\ssl\key. |
Nome peer SSL | In genere viene usato per controllare il nome distinto (noto anche come DN) del certificato dalla gestione coda peer o dal client all'altra estremità di un canale WebSphere MQ. Se il nome distinto ricevuto dal peer non corrisponde a questo valore, il canale non viene avviato. Il nome peer SSL è obbligatorio solo se l'autenticazione delle parti che avvia le connessioni è abilitata nel canale server MQ e se l'opzione Accetta solo certificati con nomi distinti è abilitata. Verificare tramite esplora MQ o verificare con l'amministratore MQSeries. |
Vedere anche
Come configurare SSL per l'adapter MQSC: transazionale
Adattatore BizTalk per WebSphere MQ