如何設定 MQSC Adapter 的 SSL:非交易式

本主題列出設定 MQSeries 用戶端 (MQSC) adapter,以使用 SSL 對 MQSeries 伺服器執行非交易式要求的步驟。 這些步驟說明單向 (伺服器) 驗證的設定。

設定會在下列步驟中執行:

  • 設定佇列管理員和用戶端電腦。

  • 將 SSL 新增至設定。

  • 設定 MQSC 介面卡。

    IBM WebSphere MQ 檔提供詳細資訊。

設定佇列管理員和用戶端

下列步驟會建立新的佇列管理員。 這些步驟也可以套用至現有的佇列管理員。

設定佇列管理員和用戶端

  1. 建立名為 QM1的佇列管理員。 在必要的埠上定義接聽程式。

  2. 定義的 SVRCONN 通道。QM1.

  3. 在 MQSeries server 佇列管理員上建立名為 TESTQUEUE 的本機佇列。 這是用來測試來自 MQSC 介面卡的用戶端連接。

  4. 在用戶端電腦上執行 amqsputc.exe 來測試連線: amqsputc.exe TESTQUEUE。QManagerName

    重要

    這個語法會區分大小寫。 請務必輸入正確的大小寫。

將 SSL 新增至設定

下列步驟會將 SSL 憑證新增至 MQ 設定。

將 SSL 新增至設定

  1. 將憑證新增至佇列管理員的存放區。 在 Windows 上,請使用 Internet Explorer/MQSeries 使用者介面或 amqmcert。 在 UNIX 上,使用 gsk6ikm 或 gsk6cmd。

    CA 簽署者憑證的標籤格式不重要。 不過,WebSphere MQ queue manager 的個人憑證必須遵守下列小寫格式: ibmwebspheremqqueuemanagername

  2. 修改 SVRCONN 通道,以便設定 SSLCIPH。 例如,將它設定為 Null_MD5。 將 SSLCAUTH 設定為選擇性。

    注意

    (用戶端/伺服器) 需要 SSLCAUTH 雙向驗證。

  3. 選擇項。 在 Windows 用戶端電腦上,CA 憑證可以安裝在系統金鑰存放區中,可在 Internet Explorer 中完成。

  4. 設定下列環境變數,以指定用戶端金鑰存放區的位置和名稱: SET MQSSLKEYR = C:\sslclient\ssl\key

    注意

    金鑰存放區的副檔名 必須 是停止,而且環境變數 能指定它。

  5. 設定用戶端金鑰存放區:

    1. 如果您已將必要的 CA 憑證新增至系統存放區,則會傳回憑證清單: amqmcert-l-k CA。 請注意 (s 的必要 CA 憑證 () 數)

    2. 將憑證新增至用戶端存放區: amqmcert-a (certificate_number) ,其中 (certificate_number) 是每個必要憑證的數目。

  6. 使用 amqsputc 範例程式搭配您先前建立的測試佇列,測試 SSL 用戶端連線。

設定 MQSC 介面卡

當 MQSeries 用戶端–對 MQSeries 佇列管理員 SSL 要求成功時,可在接收位置和傳送埠上設定介面卡,以在非交易式要求中使用 SSL。 請參考以下連結:

如何設定 MQSC 介面卡的接收埠和接收位置

如何設定 MQSC 介面卡的傳送埠

測試中所使用的屬性值也必須在介面卡設定中指定。 介面卡屬性與傳送埠 接收位置相關:

屬性 描述
SSL 密碼規格 針對在介面卡中設定的端點所使用的 SSL 連線定義單一 CipherSpec。 WebSphere MQ SSL 通道定義的兩端都必須包含屬性。 指定的值應符合在通道的伺服器端上指定的名稱。 值是最大長度為32個字元的字串。 例如,輸入 Null_MD5。
SSL 金鑰存放庫位置 用戶端金鑰存放區的位置和名稱。 例如,輸入 C:\sslclient\ssl\key。
SSL 對等名稱 通常 會保留空白,用來檢查對等佇列管理員或 WebSphere MQ 通道另一端的用戶端之憑證的分辨名稱 (也稱為 DN) 。 如果從對等接收的辨別名稱與此值不符,則通道不會啟動。 只有在 MQ server 通道上啟用 起始連線的 合作物件驗證 ,且 已啟用 [ 僅接受辨別名稱的憑證 ] 選項時,才需要 SSL 對等名稱。 請透過 MQ explorer 驗證,或向您的 MQSeries 系統管理員檢查。

另請參閱

如何設定 MQSC Adapter 的 SSL:交易式
適用於 WebSphere MQ 的 BizTalk 配接器