本文向您展示如何配置从Java™/ JMS客户端到IBM®WebSphere®MQ队列管理器的安全套接字层(SSL)连接。 它涵盖测试证书的创建,但不涵盖任何MQ配置信息。 它纯粹是Java / JMS客户指南,并且需要IBM SDK。
需要以下步骤1、3和4来配置SSL连接。 仅当您希望配置客户端身份验证时,才执行步骤2。 为了降低复杂性并简化任何潜在问题的调试,建议您最初不要使用客户端身份验证。 建立基本的SSL连接后,可以升级到客户端身份验证。
如果遇到配置问题,则可能有助于指定调试标志: -Djavax.net.debug=true
。
1.创建trustStore
顾名思义,trustStore拥有您信任的队列管理器的签名CA的证书。 对于Java / JMS客户端,这意味着与队列管理器建立连接时,它将作为初始SSL握手的一部分将其证书发送给我们。 处理所有SSL通信的JSSE将在trustStore中查找以验证刚刚发送的证书。 如果无法验证证书,则连接将终止。
要创建trustStore并导入证书,可以使用IBM Key Management工具,该工具是Websphere MQ V6的一部分:
- 在开始栏中,选择程序=> IBM Websphere MQ => IBM密钥管理 。
- IBM Key Management启动时,单击“ 新建”并设置以下值:
-
密钥数据库类型
- JKS 文档名称
- trustStore 位置
- 您选择的位置
- 单击确定继续。
图1
- 现在将提示您输入您选择的密码。 仅当您希望向trustStore添加证书时才需要密码。 如果JSSE仅用作trustStore,则不需要密码。 对于此示例,请输入密码。
- 单击确定继续。 现在,您应该拥有一个trustStore,可以在其中导入受信任CA的证书。
- 选中标签密钥数据库内容下的下拉框。
- 选择签署者证书 。
图2