WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Criando Certificados SSL para o WebSphere MQ Java Client

O Cliente Java™ WebSphere MQ suporta conexões criptografadas por SSL pelo canal de conexão do servidor (SVRCONN) entre um aplicativo e o gerenciador de filas. Para configurar conexões criptografadas por SSL, é necessário primeiro criar armazenamentos de chave e certificados.

Antes de começar:

Cada gerenciador de filas do WebSphere MQ possui um repositório de chaves para certificados. Quando um aplicativo tenta conectar-se a um gerenciador de filas seguro, o certificado do aplicativo deve ser validado com relação ao conteúdo do repositório de chaves do gerenciador de filas. Uma opção para configurar SSL para o gerenciador de filas é usar um certificado autoassinado.

Dois certificados devem ser assinados e criados. Um deve ser criado para o gerenciador de filas do servidor e um segundo criado para o cliente, por exemplo o WebSphere Message Broker Explorer.

As instruções neste tópico usam o comando gsk7cmd para criar e assinar os certificados. Execute o gsk7cmd para obter uma lista completa dos parâmetros que você pode usar no comando. Para executar o comando gsk7cmd:
  • No Windows, insira o seguinte comando em uma linha de comandos:
    C:\Arquivos de Programas\IBM\gsk7\bin\gsk7cmd
  • No Linux, insira o seguinte comando em uma linha de comandos:
    /opt/mqm/ssl/jre/bin/gsk7cmd
Consulte a documentação de segurança do WebSphere MQ para obter informações adicionais sobre SSL e a criação de certificados.

Criando um Certificado do Servidor para o Gerenciador de Filas

Use as ferramentas IBM Key Management na linha de comandos para criar um certificado para o gerenciador de filas. No exemplo a seguir você deve substituir os seguintes parâmetros por seus próprios valores:
senha
Uma senha para o repositório de certificado.
qmname
O nome do gerenciador de filas para o qual você deseja criar um certificado em letra minúscula.
QMNAME
O nome do gerenciador de filas para o qual deseja criar um certificado em letra maiúscula.
  1. Execute o comando a seguir para criar um repositório de chaves do tipo cms:
    gsk7cmd
      -keydb-create
      -dbkey.kdb
      -pwPASSWORD
      -typecms -stash
    Os arquivos-chave key.crl, key.kdb, key.rdb e key.sth são criados.
  2. Execute o seguinte comando para criar um certificado autoassinado, em que o sinalizador -dn contém detalhes de sua organização:
    gsk7cmd
      -cert-create
      -dbkey.kdb
      -pwPASSWORD
      -label"qmname"
      -dn"CN=My Queue Manager,O=My Company,C=UK"
      -expire1000
  3. Execute o seguinte comando para criar um pedido para um certificado pessoal:
    gsk7cmd
      -certreq-create
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
      -dn"CN=My Queue Manager,O=My Company,C=UK"
      -fileQMNAME_request.arm
  4. Assine o certificado usando uma autoridade de certificação.
    • Para obter um certificado de uma autoridade de certificação, é necessário enviar o arquivo contendo um pedido de assinatura de certificado para sua autoridade de certificação escolhida.
    • Alternativamente é possível usar as ferramentas IBM Key Management na linha de comandos para assinar o certificado.
      gsk7cmd
        -cert-sign
        -dbkey.kdb
        -pwPASSWORD
        -label"qmname"
        -fileQMNAME_request.arm
        -targetQMNAME_signed.arm
        -expire364
  5. Execute o seguinte comando para incluir o certificado assinado no repositório:
    gsk7cmd
      -cert-receive
      -dbkey.kdb
      -pwPASSWORD
      -fileQMNAME_signed.arm
  6. Execute o seguinte comando para exportar o certificado de ID do usuário do cliente assinado em um formato transferível (neste caso PKCS12), com a chave privada e o certificado de CA público associados:
    gsk7cmd
      -cert-export
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
      -targetQMNAME_personal.p12
      -target_pwPASSWORD
      -target_typepkcs12
  7. Exclua o certificado do repositório:
    gsk7cmd
      -cert-delete
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
  8. Crie um subdiretório chamado QMNAME_CMS e navegue até este diretório na linha de comandos.
  9. Execute o seguinte comando para criar um repositório de certificado no diretório QMNAME_CMS:
    gsk7cmd
      -keydb-create
      -dbkey.kdb
      -pwPASSWORD
      -typecms –stash
  10. Execute o comando a seguir para importar o arquivo PKCS12 no repositório:
    gsk7cmd
      -cert-import
      -file"QMNAME_personal.p12"
      -pwPASSWORD
      -typepkcs12
      -targetkey.kdb
      -target_pwPASSWORD
      -target_typecms
  11. Retorne ao diretório original no qual você criou o repositório de chaves na etapa 1.
Siga as etapas na próxima seção para criar um certificado de cliente para o WebSphere Message Broker Explorer.

Criando um Certificado de Cliente para o WebSphere Message Broker Explorer

Use as ferramentas IBM Key Management na linha de comandos para criar um certificado para o WebSphere Message Broker Explorer. No exemplo a seguir você deve substituir os seguintes parâmetros por seus próprios valores:
senha
Uma senha para o repositório de certificado.
qmname
O nome do gerenciador de filas para o qual você deseja criar um certificado em letra minúscula. Este é o mesmo valor usado nas etapas para criar um certificado de cliente para o gerenciador de filas.
USERID
O ID do usuário para o qual você deseja criar um certificado.
  1. No diretório no qual você criou um repositório de chaves para o gerenciador de filas do servidor na etapa 1 acima, execute o seguinte comando para criar um pedido (chave privada mais detalhes do certificado) para um certificado a ser assinado para o gerenciador de filas do servidor:
    gsk7cmd
      -certreq-create
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
      -dn"CN=userid@mycompany.com,O=My Company,C=UK"
      -fileUSERID_request.arm
  2. Execute o seguinte comando para assinar o certificado:
    gsk7cmd
      -cert-sign
      -dbkey.kdb
      -pwPASSWORD
      -label"qmname"
      -fileUSERID_request.arm
      -targetUSERID_signed.arm
      -expire364
  3. Execute o seguinte comando para incluir o certificado assinado no repositório:
    gsk7cmd
      -cert-receive
      -dbkey.kdb
      -pwPASSWORD
      -fileUSERID_signed.arm
  4. Execute o seguinte comando para exportar o certificado de ID do usuário do cliente assinado em um formato transferível (neste caso pkcs12), com a chave privada e o certificado de CA público associados:
    gsk7cmd
      -cert-export
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
      -targetUSERID_personal.p12
      -target_pwPASSWORD
      -target_typepkcs12
  5. Exclua o certificado do repositório:
    gsk7cmd
      -cert-delete
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
  6. Crie um subdiretório chamado USERID_JKS e navegue até este diretório na linha de comandos.
  7. Execute o seguinte comando para criar um repositório de certificado no diretório USERID_JKS:
    gsk7cmd
      -keydb-create
      -dbkeyStore.jks
      -pwPASSWORD
      -typejks
  8. Execute o comando a seguir para importar o arquivo pkcs12 no repositório:
    gsk7cmd
      -cert-import
      -file"USERID_personal.p12"
      -pwPASSWORD
      -typepkcs12
      -targetkeyStore.jks
      -target_pwPASSWORD
      -target_typejks"
  9. Retorne ao diretório original no qual você criou o repositório de chaves na etapa 1.

Agora é necessário copiar os arquivos do diretório Label_CMS no diretório SSL de seu gerenciador de filas. Por exemplo, /var/mqm/qmgrs/QM1/ssl ou C:\Arquivos de Programa\IBM\WebSphere MQ\Qmgrs\QM1\ssl. O arquivo keystore.jks no diretório LABEL_JKS deve estar na mesma máquina que o WebSphere Message Broker Explorer. Talvez você também precise que o arquivo AMQCLCHL.TAB seja copiado no mesmo sistema que o WebSphere Message Broker Explorer. O arquivo pode ser localizado no diretório @ipcc do gerenciador de filas, por exemplo, /var/mqm/qmgrs/QM1/@ipcc ou C:\Arquivos de Programas\IBM\WebSphere MQ\qmgrs\QM1\@ipcc.

Quando você configurar as configurações de SSL no WebSphere Message Broker Explorer, deverá especificar o caminho completo para o arquivo keystore.jks.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:31:41


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | bp10610_