Come configurare SSL per l'adapter MQSC: non transazionale

In questo argomento vengono elencati i passaggi per configurare l'adapter MQSeries Client (MQSC) per eseguire richieste non transazionali al server MQSeries tramite SSL. Questi passaggi descrivono la configurazione per l'autenticazione unidirevi (server).

La configurazione viene eseguita nei passaggi seguenti:

  • Configurare Gestione code e il computer client.

  • Aggiungere SSL alla configurazione.

  • Configurare l'adapter MQSC.

    La documentazione di IBM WebSphere MQ fornisce altre informazioni.

Configurare Gestione code e il client

La procedura seguente crea un nuovo gestore code. Questi passaggi possono essere applicati anche ai gestori code esistenti.

Per configurare Gestione code e il client

  1. Creare un gestore code denominato QM1. Definire un listener sulla porta richiesta.

  2. Definire un canale SVRCONN TO. QM1.

  3. Creare una coda locale nel server MQSeries Queue Manager denominata TESTQUEUE. Viene usato per testare le connessioni client dall'adapter MQSC.

  4. Testare la connessione eseguendo amqsputc.exe nel computer client: amqsputc.exe TESTQUEUE. QManagerName.

    Importante

    Questa sintassi fa distinzione tra maiuscole e minuscole. Assicurarsi di immettere la distinzione tra maiuscole e minuscole corretta.

Aggiungere SSL alla configurazione

La procedura seguente aggiunge un certificato SSL alla configurazione MQ.

Per aggiungere SSL alla configurazione

  1. Aggiungere il certificato all'archivio di Gestione code. In Windows usare Internet Explorer/l'interfaccia utente di MQSeries o amqmcert. In UNIX usare gsk6ikm o gsk6cmd.

    Il formato dell'etichetta per i certificati del firmatario ca non è importante. Tuttavia, i certificati personali per websphere MQ queue manager devono rispettare il formato minuscolo seguente: ibmwebspheremqqueuemanagername.

  2. Modificare il canale SVRCONN in modo che SSLCIPH sia impostato. Ad esempio, impostarlo su NULL_MD5. Impostare SSLCAUTH su FACOLTATIVO.

    Nota

    SSLCAUTH è necessario per l'autenticazione bidirede (client/server).

  3. Facoltativo. Nel computer client Windows, i certificati CA possono essere installati nell'archivio chiavi di sistema, che può essere eseguito in Internet Explorer.

  4. Impostare la variabile di ambiente seguente per specificare il percorso e il nome dell'archivio chiavi client: impostare MQSSLKEYR=C:\sslclient\ssl\key.

    Nota

    L'archivio chiavi deve avere l'estensione sto e la variabile di ambiente non deve specificarla.

  5. Configurare un archivio chiavi client:

    1. Se sono stati aggiunti i certificati CA necessari all'archivio di sistema, restituire un elenco dei certificati: amqmcert -l -k ca. Prendere nota dei numeri dei certificati CA necessari

    2. Aggiungere i certificati all'archivio client: amqmcert -a (certificate_number),dove (certificate_number) è il numero di ogni certificato richiesto.

  6. Testare le connessioni client SSL usando il programma di esempio amqsputc con la coda di test creata in precedenza.

Configurare l'adapter MQSC

Quando la richiesta SSL del client MQSeries da a - MQSeries Queue Manager ha esito positivo, l'adapter può essere configurato sia negli indirizzi di ricezione che nelle porte di trasmissione per l'uso di SSL su richieste non transazionali. Fare riferimento ai collegamenti seguenti:

Come configurare una porta di ricezione e un indirizzo di ricezione per l'adapter MQSC

Come configurare una porta di trasmissione per l'adapter MQSC

I valori delle proprietà usati nel test devono essere specificati anche nella configurazione dell'adapter. Le proprietà dell'adapter sono rilevanti per le porte di trasmissione e gli indirizzi di ricezione:

Proprietà Descrizione
Specifica della crittografia SSL Definisce un singolo CipherSpec per una connessione SSL usata dall'endpoint configurato nell'adapter. Entrambe le estremità di una definizione del canale SSL WebSphere MQ devono includere l'attributo . Il valore specificato deve corrispondere al nome specificato nell'estremità server del canale. Il valore è una stringa con una lunghezza massima di 32 caratteri. Ad esempio, immettere NULL_MD5.
Percorso del repository delle chiavi SSL Percorso e nome dell'archivio chiavi client. Ad esempio, immettere C:\sslclient\ssl\key.
Nome peer SSL In genere viene lasciato vuoto per controllare il nome distinto (noto anche come DN) del certificato dal gestore code peer o dal client all'altra estremità di un canale WebSphere MQ. Se il nome distinto ricevuto dal peer non corrisponde a questo valore, il canale non viene avviato. Il nome peer SSL è obbligatorio solo se l'autenticazione delle parti che avviano le connessioni è abilitata nel canale del server MQ e se l'opzione Accetta solo certificati con nomi distinti è abilitata. Verificare tramite MQ Explorer o rivolgersi all'amministratore di MQSeries.

Vedere anche

Come configurare SSL per l'adapter MQSC: transazionale
Adattatore BizTalk per WebSphere MQ