WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

SSL-Zertifikate für den WebSphere MQ -Java-Client erstellen

Der WebSphere MQ Java™-Client unterstützt SSL-verschlüsselte Verbindungen über den Serververbindungskanal (SVRCONN) zwischen Anwendung und Warteschlangenmanager. Damit SSL-verschlüsselte Verbindungen konfiguriert werden können, müssen Sie zunächst Keystores und Zertifikate erstellen.

Bevor Sie beginnen:

Jeder WebSphere MQ-WS-Manager verfügt über ein Schlüsselrepository für Zertifikate. Versucht eine Anwendung, eine Verbindung zu einem gesicherten WS-Manager herzustellen, muss das Zertifikat der Anwendung mit dem Inhalt des Schlüsselrepositorys für den WS-Manager verglichen werden. Eine Möglichkeit für die Konfiguration von SSL für den WS-Manager ist die Verwendung eines selbst signierten Zertifikats.

Es müssen zwei Zertifikate signiert und erstellt werden. Ein Zertifikat muss für den Server-WS-Manager, ein zweites für den Client (beispielsweise WebSphere Message Broker Explorer) erstellt werden.

In den Anweisungen in diesem Abschnitt werden die Zertifikate mit dem Befehl gsk7cmd erstellt und signiert. Führen Sie den Befehl gsk7cmd aus, um eine vollständige Liste der Parameter zu erhalten, die zusammen mit diesem Befehl angegeben werden können. So führen Sie den Befehl gsk7cmd aus:
  • Geben Sie unter Windows folgenden Befehl in einer Befehlszeile ein:
    C:\Programme\IBM\gsk7\bin\gsk7cmd
  • Geben Sie unter Linux folgenden Befehl in einer Befehlszeile ein:
    /opt/mqm/ssl/jre/bin/gsk7cmd
Weitere Informationen zu SSL und zur Erstellung von Zertifikaten finden Sie in der WebSphere MQ-Dokumentation zur Sicherheit.

Serverzertifikat für den WS-Manager erstellen

Erstellen Sie mithilfe der Tools von IBM Key Management über die Befehlszeile ein Zertifikat für den WS-Manager. Im folgenden Beispiel müssen Sie die folgenden Parameter durch eigene Werte ersetzen:
Kennwort
Ein Kennwort für das Zertifikatsrepository.
name_des_ws-managers
Der Name des WS-Managers (in Kleinbuchstaben), für den ein Zertifikat erstellt werden soll.
NAME_DES_WS-MANAGERS
Der Name des WS-Managers (in Großbuchstaben), für den ein Zertifikat erstellt werden soll.
  1. Erstellen Sie ein Schlüsselrepository vom Typ cms, indem Sie den folgenden Befehl ausführen:
    gsk7cmd
      -keydb-create
      -dbkey.kdb
      -pwKENNWORT
      -typecms -stash
    Die Schlüsseldateien key.crl, key.kdb, key.rdb und key.sth werden erstellt.
  2. Erstellen Sie ein selbst signiertes Zertifikat, indem Sie den folgenden Befehl ausführen (das Attribut -dn enthält Angaben zu Ihrem Unternehmen):
    gsk7cmd
      -cert-create
      -dbkey.kdb
      -pwKENNWORT
      -label"name_des_ws-managers"
      -dn"CN=My Queue Manager,O=My Company,C=UK"
      -expire1000
  3. Erstellen Sie eine Anforderung für ein persönliches Zertifikat, indem Sie den folgenden Befehl ausführen:
    gsk7cmd
      -certreq-create
      -dbkey.kdb
      -pwKENNWORT
      -label"ibmwebspheremqname_des_ws-managers"
      -dn"CN=My Queue Manager,O=My Company,C=UK"
      -fileNAME_DES_WS-MANAGERS_request.arm
  4. Signieren Sie das Zertifikat mithilfe einer Zertifizierungsstelle.
    • Um ein Zertifikat von einer Zertifizierungsstelle zu erhalten, müssen Sie die Datei mit der Anforderung für eine Zertifikatssignatur an die Zertifizierungsstelle senden, für die Sie sich entschieden haben.
    • Ebenso können Sie das Zertifikat auch mithilfe der Tools von IBM Key Management über die Befehlszeile signieren.
      gsk7cmd
        -cert-sign
        -dbkey.kdb
        -pwKENNWORT
        -label"qmname"
        -fileNAME_DES_WS-MANAGERS_request.arm
        -targetNAME_DES_WS-MANAGERS_signed.arm
        -expire364
  5. Fügen Sie das signierte Zertifikat dem Repository hinzu, indem Sie den folgenden Befehl ausführen:
    gsk7cmd
      -cert-receive
      -dbkey.kdb
      -pwKENNWORT
      -fileNAME_DES_WS-MANAGERS_signed.arm
  6. Exportieren Sie das signierte Zertifikat der Clientbenutzer-ID in einem übertragbaren Format (in diesem Fall PKCS12) zusammen mit dem privaten Schlüssel und dem öffentlichen Zertifikat der Zertifizierungsstelle, indem Sie den folgenden Befehl ausführen:
    gsk7cmd
      -cert-export
      -dbkey.kdb
      -pwKENNWORT
      -label"ibmwebspheremqname_des_ws-managers"
      -targetNAME_DES_WS-MANAGERS_personal.p12
      -target_pwKENNWORT
      -target_typepkcs12
  7. Löschen Sie das Zertifikat aus dem Repository:
    gsk7cmd
      -cert-delete
      -dbkey.kdb
      -pwKENNWORT
      -label"ibmwebspheremqname_des_ws-managers"
  8. Erstellen Sie ein Unterverzeichnis mit dem Namen NAME_DES_WS-MANAGERS_CMS und wechseln Sie in der Befehlszeile in dieses Verzeichnis.
  9. Erstellen Sie ein Zertifikatsrepository im Verzeichnis NAME_DES_WS-MANAGERS_CMS, indem Sie den folgenden Befehl ausführen:
    gsk7cmd
      -keydb-create
      -dbkey.kdb
      -pwKENNWORT
      -typecms –stash
  10. Importieren Sie die PKCS12-Datei in das Repository, indem Sie den folgenden Befehl ausführen:
    gsk7cmd
      -cert-import
      -file"NAME_DES_WS-MANAGERS_personal.p12"
      -pwKENNWORT
      -typepkcs12
      -targetkey.kdb
      -target_pwKENNWORT
      -target_typecms
  11. Kehren Sie in das Verzeichnis zurück, in dem Sie das Schlüsselrepository in Schritt 1 ursprünglich erstellt haben.
Führen Sie die im nächsten Abschnitt aufgeführten Schritte aus, um ein Clientzertifikat für WebSphere Message Broker Explorer zu erstellen.

Clientzertifikat für WebSphere Message Broker Explorer erstellen

Erstellen Sie mithilfe der Tools von IBM Key Management über die Befehlszeile ein Zertifikat für WebSphere Message Broker Explorer. Im folgenden Beispiel müssen Sie die folgenden Parameter durch eigene Werte ersetzen:
Kennwort
Ein Kennwort für das Zertifikatsrepository.
name_des_ws-managers
Der Name des WS-Managers (in Kleinbuchstaben), für den ein Zertifikat erstellt werden soll. Hier wird derselbe Name wie in den Schritten angegeben, mit denen ein Clientzertifikat für den WS-Manager erstellt wurde.
BENUTZER-ID
Die Benutzer-ID, für die ein Zertifikat erstellt werden soll.
  1. Erstellen Sie eine Anforderung (privater Schlüssel sowie Zertifikatsdetails) für die Signierung eines Zertifikats für den Server-WS-Manager, indem Sie in dem Verzeichnis, in dem Sie oben unter Schritt 1 ein Schlüsselrepository für den Server-WS-Manager erstellt haben, den folgenden Befehl ausführen:
    gsk7cmd
      -certreq-create
      -dbkey.kdb
      -pwKENNWORT
      -label"ibmwebspheremqname_des_ws-managers"
      -dn"CN=userid@mycompany.com,O=My Company,C=UK"
      -fileBENUTZER-ID_request.arm
  2. Führen Sie folgenden Befehl aus, um das Zertifikat zu signieren:
    gsk7cmd
      -cert-sign
      -dbkey.kdb
      -pwKENNWORT
      -label"name_des_ws-managers"
      -fileBENUTZER-ID_request.arm
      -targetBENUTZER-ID_signed.arm
      -expire364
  3. Fügen Sie das signierte Zertifikat dem Repository hinzu, indem Sie den folgenden Befehl ausführen:
    gsk7cmd
      -cert-receive
      -dbkey.kdb
      -pwKENNWORT
      -fileBENUTZER-ID_signed.arm
  4. Exportieren Sie das signierte Zertifikat für die Clientbenutzer-ID in einem übertragbaren Format (in diesem Fall PKCS12) zusammen mit dem privaten Schlüssel und dem öffentlichen Zertifikat der Zertifizierungsstelle, indem Sie den folgenden Befehl ausführen:
    gsk7cmd
      -cert-export
      -dbkey.kdb
      -pwKENNWORT
      -label"ibmwebspheremqname_des_ws-managers"
      -targetBENUTZER-ID_personal.p12
      -target_pwKENNWORT
      -target_typepkcs12
  5. Löschen Sie das Zertifikat aus dem Repository:
    gsk7cmd
      -cert-delete
      -dbkey.kdb
      -pwKENNWORT
      -label"ibmwebspheremqname_des_ws-managers"
  6. Erstellen Sie ein Unterverzeichnis mit dem Namen BENUTZER-ID_JKS und wechseln Sie in der Befehlszeile in dieses Verzeichnis.
  7. Erstellen Sie im Verzeichnis BENUTZER-ID_JKS ein Zertifikatsrepository, indem Sie den folgenden Befehl ausführen:
    gsk7cmd
      -keydb-create
      -dbkeyStore.jks
      -pwKENNWORT
      -typejks
  8. Importieren Sie die PKCS12-Datei in das Repository, indem Sie den folgenden Befehl ausführen:
    gsk7cmd
      -cert-import
      -file"BENUTZER-ID_personal.p12"
      -pwKENNWORT
      -typepkcs12
      -targetkeyStore.jks
      -target_pwKENNWORT
      -target_typejks"
  9. Kehren Sie in das Verzeichnis zurück, in dem Sie das Schlüsselrepository in Schritt 1 ursprünglich erstellt haben.

Sie müssen jetzt die Dateien aus dem Verzeichnis Label_CMS in das Verzeichnis SSL des WS-Managers kopieren (beispielsweise /var/mqm/qmgrs/QM1/ssl oder C:\Programme\IBM\WebSphere MQ\Qmgrs\QM1\ssl. Die Datei keystore.jks im Verzeichnis LABEL_JKS muss sich auf demselben System wie WebSphere Message Broker Explorer befinden. Darüber hinaus müssen Sie unter Umständen auch die Datei AMQCLCHL.TAB auf dasselbe System wie WebSphere Message Broker Explorer kopieren. Diese Datei befindet sich im Verzeichnis @ipcc des WS-Managers (beispielsweise /var/mqm/qmgrs/QM1/@ipcc oder C:\Programme\IBM\WebSphere MQ\qmgrs\QM1\@ipcc).

Wenn Sie die SSL-Einstellungen in WebSphere Message Broker Explorer konfigurieren, müssen Sie den vollständigen Pfad der Datei keystore.jks angeben.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:23:16


TaskthemaTaskthema | Version 8.0.0.5 | bp10610_