WebSphere MQ Java 客户机上启用 SSL

WebSphere MQ Java 客户机支持通过 SVRCONN 通道在应用程序和队列管理器之间进行 SSL 加密的连接。本主题说明了在配置管理器代理(CMP)配置管理器之间通信时如何使用该 SSL 支持。

对于单向认证(仅使用客户机(配置管理器代理)认证服务器(配置管理器)),执行以下步骤:

  1. 生成或获取所有适当的密钥和证书。 其中包含服务器和相应的公用密钥的带符号的 pkcs12 证书,公用密钥为认证中心签发的带符号的 pkcs12 证书。
  2. 将 pkcs12 证书添加到队列管理器证书库并将其分配到队列管理器。 使用标准 WebSphere MQ 工具,例如 WebSphere MQ Explorer(用于 WebSphere MQ V6)或 WebSphere MQ Services(用于 WebSphere MQ V5)。
  3. 使用工具(如 Keytool)将认证中心的证书添加到配置管理器代理末端 Java 虚拟机(JVM)的 JSEE 信任库。
  4. 决定要使用哪种密码套件。
  5. 更改 SYSTEM.BKR.CONFIG 通道上的属性,以指定要使用的密码套件。 使用标准 WebSphere MQ 工具(例如:WebSphere MQ 资源管理器)。
  6. 将必需参数(如密码套件)添加到配置管理器代理 如果使用的信任库不是缺省信任库,则必须通过信任库参数来传递其完整路径。
当您执行完这些步骤后,如果配置管理器代理已有由可信认证中心签署的有效密钥,则它将连接到配置管理器
对于双向认证(也使用配置管理器认证的配置管理器代理),执行以下附加步骤:
  1. 生成或获取所有适当的密钥和证书。其中包含客户机和相应公用密钥的带符号的 pkcs12 证书,公用密钥为认证中心签发的带符号的 pkcs12 证书。
  2. 将认证中心的证书添加到队列管理器证书库;使用标准 WebSphere MQ 工具(例如 WebSphere MQ Explorer,用于 WebSphere MQ V6)。
  3. 将 SYSTEM.BKR.CONFIG 通道设置为始终需要认证。可以在 runmqsc 中或在 WebSphere MQ Explorer 中使用 SSLCAUTH(REQUIRED)。
  4. 使用工具(如 Keytool)将 pkcs12 证书添加到配置管理器代理末端 JVM 的 JSEE 密钥库。
  5. 如果不使用缺省密钥库,则必须通过密钥库参数将其完整路径传递到配置管理器代理

执行完这些步骤后,则仅当配置管理器代理配置管理器才允许配置管理器代理进行连接。

可以使用 sslPeerName 字段进行进一步限制;例如:仅允许证书持有者连接,在其证书中拥有特定公司或部门名称。此外,可以在配置管理器代理配置管理器之间调用用于通信的安全出口;请参阅使用安全出口

相关概念
安全性概述
SSL 认证
认证服务
相关任务
使用安全出口
实现 SSL 认证
修改域连接属性
相关参考
管理任务的安全要求
代理属性
声明 | 商标 | 下载 | 书库 | 支持 | 反馈
Copyright IBM Corporation 1999, 2006 最后一次更新时间:2006/08/14
ap12232_