WebSphere MQ Java 客户机支持通过 SVRCONN 通道在应用程序和队列管理器之间进行 SSL 加密的连接。本主题说明了在
配置管理器代理(CMP)和
配置管理器之间通信时如何使用该 SSL 支持。
对于单向认证(仅使用客户机(配置管理器代理)认证服务器(配置管理器)),执行以下步骤:
- 生成或获取所有适当的密钥和证书。 其中包含服务器和相应的公用密钥的带符号的 pkcs12 证书,公用密钥为认证中心签发的带符号的 pkcs12 证书。
- 将 pkcs12 证书添加到队列管理器证书库并将其分配到队列管理器。 使用标准 WebSphere MQ 工具,例如 WebSphere MQ Explorer(用于 WebSphere MQ V6)或 WebSphere MQ Services(用于 WebSphere MQ V5)。
- 使用工具(如 Keytool)将认证中心的证书添加到配置管理器代理末端 Java 虚拟机(JVM)的 JSEE 信任库。
- 决定要使用哪种密码套件。
- 更改 SYSTEM.BKR.CONFIG 通道上的属性,以指定要使用的密码套件。 使用标准 WebSphere MQ 工具(例如:WebSphere MQ 资源管理器)。
- 将必需参数(如密码套件)添加到配置管理器代理。 如果使用的信任库不是缺省信任库,则必须通过信任库参数来传递其完整路径。
当您执行完这些步骤后,如果配置管理器代理已有由可信认证中心签署的有效密钥,则它将连接到配置管理器。
对于双向认证(也使用
配置管理器认证的
配置管理器代理),执行以下附加步骤:
- 生成或获取所有适当的密钥和证书。其中包含客户机和相应公用密钥的带符号的 pkcs12 证书,公用密钥为认证中心签发的带符号的 pkcs12 证书。
- 将认证中心的证书添加到队列管理器证书库;使用标准 WebSphere MQ 工具(例如 WebSphere MQ Explorer,用于 WebSphere MQ V6)。
- 将 SYSTEM.BKR.CONFIG 通道设置为始终需要认证。可以在 runmqsc 中或在 WebSphere MQ Explorer 中使用 SSLCAUTH(REQUIRED)。
- 使用工具(如 Keytool)将 pkcs12 证书添加到配置管理器代理末端 JVM 的 JSEE 密钥库。
- 如果不使用缺省密钥库,则必须通过密钥库参数将其完整路径传递到配置管理器代理。
执行完这些步骤后,则仅当配置管理器代理配置管理器才允许配置管理器代理进行连接。
可以使用 sslPeerName 字段进行进一步限制;例如:仅允许证书持有者连接,在其证书中拥有特定公司或部门名称。此外,可以在配置管理器代理和配置管理器之间调用用于通信的安全出口;请参阅使用安全出口。