Freigeben über

Konfigurieren von SSL für den MQSC-Adapter: Nicht transaktional

  • Artikel

In diesem Thema werden die Schritte zum Konfigurieren des MQSeries-Clientadapters (MQSC) für die Ausführung nicht transaktionaler Anforderungen an den MQSeries-Server mithilfe von SSL aufgeführt. In diesen Schritten wird die Konfiguration für die unidirektionale Authentifizierung (Serverauthentifizierung) beschrieben.

Die Konfiguration erfolgt in den folgenden Schritten:

  • Konfigurieren Sie den Warteschlangen-Manager und den Clientcomputer.

  • Fügen Sie der Konfiguration SSL hinzu.

  • Konfigurieren Sie den MQSC-Adapter.

    Weitere Informationen finden Sie in der IBM WebSphere MQ-Dokumentation.

Konfigurieren des Warteschlangen-Managers und des Clients

Mit den folgenden Schritten wird ein neuer Warteschlangen-Manager erstellt. Diese Schritte können auch auf vorhandene Warteschlangen-Manager angewendet werden.

So richten Sie den Warteschlangen-Manager und den Client ein

  1. Erstellen Sie einen Warteschlangen-Manager mit dem Namen QM1. Definieren Sie einen Listener für den erforderlichen Port.

  2. Definieren Sie einen SVRCONN-Kanal TO. QM1.

  3. Erstellen Sie eine lokale Warteschlange im Warteschlangen-Manager des MQSeries-Servers mit dem Namen TESTQUEUE. Dies wird zum Testen der Clientverbindungen vom MQSC-Adapter verwendet.

  4. Testen Sie die Verbindung, indem Sie amqsputc.exe auf Ihrem Clientcomputer ausführen: amqsputc.exe TESTQUEUE.QManagerName.

    Wichtig

    Bei dieser Syntax wird zwischen Groß- und Kleinschreibung unterschieden. Stellen Sie sicher, dass Sie die richtige Groß-/Kleinschreibung eingeben.

Hinzufügen von SSL zur Konfiguration

Mit den folgenden Schritten wird Ihrer MQ-Konfiguration ein SSL-Zertifikat hinzugefügt.

So fügen Sie der Konfiguration SSL hinzu

  1. Fügen Sie das Zertifikat dem Speicher des Warteschlangen-Managers hinzu. Verwenden Sie unter Windows internet Explorer/die MQSeries-Benutzeroberfläche oder amqmcert. Verwenden Sie unter UNIX gsk6ikm oder gsk6cmd.

    Das Format der Bezeichnung für Zertifizierungsstellen-Signaturzertifikate ist nicht wichtig. Persönliche Zertifikate für den WebSphere MQ-Warteschlangen-Manager müssen jedoch das folgende Kleinbuchstabenformat aufweisen: ibmwebspheremqqueuemanagername.

  2. Ändern Sie den SVRCONN-Kanal so, dass SSLCIPH festgelegt wird. Legen Sie sie beispielsweise auf NULL_MD5 fest. Legen Sie SSLCAUTH auf OPTIONAL fest.

    Hinweis

    SSLCAUTH ist für die bidirektionale Authentifizierung (Client/Server) erforderlich.

  3. Optional: Auf dem Windows-Clientcomputer können die Zertifizierungsstellenzertifikate im Systemschlüsselspeicher installiert werden, was im Internet Explorer erfolgen kann.

  4. Legen Sie die folgende Umgebungsvariable fest, um den Speicherort und den Namen des Clientschlüsselspeichers anzugeben: legen Sie MQSSLKEYR=C:\sslclient\ssl\key fest.

    Hinweis

    Der Schlüsselspeicher muss über die Dateinamenerweiterung .sto verfügen, und die Umgebungsvariable darf ihn nicht angeben.

  5. Richten Sie einen Clientschlüsselspeicher ein:

    1. Wenn Sie dem Systemspeicher die erforderlichen Zertifizierungsstellenzertifikate hinzugefügt haben, geben Sie eine Liste der Zertifikate zurück: amqmcert -l -k ca. Notieren Sie sich die Anzahl der erforderlichen Zertifizierungsstellenzertifikate.

    2. Fügen Sie dem Clientspeicher die Zertifikate hinzu: amqmcert -a (certificate_number), wobei (certificate_number) die Nummer jedes erforderlichen Zertifikats ist.

  6. Testen Sie die SSL-Clientverbindungen mithilfe des amqsputc-Beispielprogramms mit der zuvor erstellten Testwarteschlange.

Konfigurieren des MQSC-Adapters

Wenn die SSL-Anforderung des MQSeries-Clients – bis – MQSeries Queue Manager erfolgreich ist, kann der Adapter sowohl an Empfangsspeicherorten als auch an Sendeports konfiguriert werden, um SSL für nicht transaktionale Anforderungen zu verwenden. Weitere Informationen finden Sie unter den folgenden Links:

Konfigurieren eines Empfangsports und eines Empfangsspeicherorts für den MQSC-Adapter

Konfigurieren eines Sendeports für den MQSC-Adapter

Die Eigenschaftswerte, die im Test verwendet werden, müssen auch in der Adapterkonfiguration angegeben werden. Die Adaptereigenschaften sind für Sendeports und Empfangsspeicherorte relevant:

Eigenschaft BESCHREIBUNG
SSL-Verschlüsselungsspezifikation Definiert eine einzelne CipherSpec für eine SSL-Verbindung, die vom im Adapter konfigurierten Endpunkt verwendet wird. Beide Enden einer WebSphere MQ-SSL-Kanaldefinition müssen das -Attribut enthalten. Der angegebene Wert sollte mit dem Namen übereinstimmen, der auf dem Serverende des Kanals angegeben ist. Der Wert ist eine Zeichenfolge mit einer maximalen Länge von 32 Zeichen. Geben Sie beispielsweise NULL_MD5 ein.
Speicherort des SSL-Schlüsselrepositorys Der Speicherort und Name des Clientschlüsselspeichers. Geben Sie beispielsweise C:\sslclient\ssl\key ein.
SSL-Peername Normalerweise wird links leer verwendet, um den distinguished Name (auch als DN bezeichnet) des Zertifikats vom Peerwarteschlangen-Manager oder -Client am anderen Ende eines WebSphere MQ-Kanals zu überprüfen. Wenn der vom Peer empfangene Distinguished Name nicht mit diesem Wert übereinstimmt, wird der Kanal nicht gestartet. Der SSL-Peername ist nur erforderlich, wenn die Authentifizierung von Parteien, die Verbindungen initiieren , im MQ-Serverkanal aktiviert ist und wenn die Option Nur Zertifikate mit distinguished Names akzeptieren aktiviert ist. Überprüfen Sie dies über den MQ-Explorer, oder wenden Sie sich an Ihren MQSeries-Administrator.

Weitere Informationen

Konfigurieren von SSL für den MQSC-Adapter: Transactional
BizTalk-Adapter für WebSphere MQ