WebSphere MQ Java 客户机上启用 SSL

WebSphere MQ Java 客户机支持通过 SVRCONN 通道在应用程序和队列管理器之间进行 SSL 加密的连接。本主题说明了在配置管理器代理(CMP)配置管理器之间通信时如何使用该 SSL 支持。

对于单向认证(仅使用客户机(配置管理器代理)认证服务器(配置管理器)),执行以下步骤:

  1. 生成或获取所有适当的密钥和证书。 其中包含服务器和相应的公用密钥的带符号的 pkcs12 证书,公用密钥为认证中心签发的带符号的 pkcs12 证书。
  2. 将 pkcs12 证书添加到队列管理器证书库并将其分配到队列管理器。 使用标准 WebSphere MQ 工具(例如:WebSphere MQ 资源管理器)。
  3. 使用工具(如 Keytool)将认证中心的证书添加到配置管理器代理末端 Java 虚拟机(JVM)的 JSEE 信任库。
  4. 决定要使用哪种密码套件。
  5. 使用 WebSphere MQ 资源管理器更改 SYSTEM.BKR.CONFIG 通道上的属性,以指定要使用的密码套件。
  6. 将必需参数(如密码套件)添加到配置管理器代理 如果使用的信任库不是缺省信任库,则必须通过信任库参数来传递其完整路径。
当您执行完这些步骤后,如果配置管理器代理已有由可信认证中心签署的有效密钥,则它将连接到配置管理器
对于双向认证(也使用配置管理器认证的配置管理器代理),执行以下附加步骤:
  1. 生成或获取所有适当的密钥和证书。其中包含客户机和相应公用密钥的带符号的 pkcs12 证书,公用密钥为认证中心签发的带符号的 pkcs12 证书。
  2. 使用标准 WebSphere MQ 工具(如 WebSphere MQ 资源管理器)将认证中心的证书添加到队列管理器证书库。
  3. 将 SYSTEM.BKR.CONFIG 通道设置为始终需要认证。可以使用 WebSphere MQ 资源管理器进行该设置或在 runmqsc 中设置 SSLCAUTH(REQUIRED)。
  4. 使用工具(如 Keytool)将 pkcs12 证书添加到配置管理器代理末端 JVM 的 JSEE 密钥库。
  5. 如果不使用缺省密钥库,则必须通过密钥库参数将其完整路径传递到配置管理器代理

执行完这些步骤后,则仅当配置管理器代理配置管理器才允许配置管理器代理进行连接。

可以使用 sslPeerName 字段进行进一步限制;例如:仅允许证书持有者连接,在其证书中拥有特定公司或部门名称。此外,可以在配置管理器代理配置管理器之间调用用于通信的安全出口;请参阅使用安全出口

相关概念
安全性概述
SSL 认证
认证服务
相关任务
使用安全出口
实现 SSL 认证
修改域连接属性
相关参考
管理任务的安全需求
代理属性
声明 | 商标 | 下载 | | 支持 | 反馈
Copyright IBM Corporation 1999, 2006 最后更新:2006/05/19
ap12232_