SSL を使用する TCPIP ノードを構成するには、以下の手順を実行します。
mqsichangeproperties コマンドを使用して、既存の TCPIPServer 構成可能サービスを変更します。
mqsicreateconfigurableservice コマンドを使用して、TCPIPServer 構成可能サービスを作成します。
鍵エイリアスは、ブローカーまたは実行グループの鍵ストアに複数の鍵がある場合に SSL 接続に使用する鍵を識別します。 SSLKeyAlias プロパティーとともに、mqsichangeproperties または mqsicreateconfigurableservice を必要に応じて使用します。 デフォルト値は「""」または「none」で、これは SSL 鍵の別名が使用されないことを示します。 それ以外のストリングの場合はエイリアスを識別します。
以下のコマンドを実行すると、ポート 1455 で接続を行う TCPIPServer 構成可能サービスが作成されます。 このサービスは SSL プロトコル SSLv3 で暗号スイート SSL_RSA_WITH_RC4_128_MD5 と SSL_RSA_WITH_3DES_EDE_CBC_SHA を使用します。 そのためには、クライアントがクライアント自身を認証し、使用する鍵の識別に鍵エイリアス MyKey を使用する必要があります。
mqsicreateconfigurableservice MYBROKER
-c TCPIPServer
-o myTCPIPServerService
-n Port,SSLProtocol,SSLCiphers,SSLClientAuth,SSLKeyAlias
-v 1455,SSLv3,SSL_RSA_WITH_RC4_128_MD5;SSL_RSA_WITH_3DES_EDE_CBC_SHA
,require,MyKey
以下のコマンドを実行すると、SSL プロトコル SSLv3 で鍵ストアから取得した最初の鍵を使用するように TCPIPServer 構成可能サービスが変更されます。 SSLClientAuth は使用不可になります。
mqsichangeproperties MYBROKER
-c TCPIPClient
-o myTCPIPServerService
-n SSLProtocol
-v SSLv3
構成をテストするには、別のプログラムや Web ブラウザーなどの SSL 対応クライアントをサーバー・ポートに接続します。 ハンドシェークの失敗やトラステッド鍵ではないといった接続エラー・メッセージが表示される場合は、構成を変更する必要があります。