WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Creación de certificados SSL para WebSphere MQ Java Client

WebSphere MQ Java™ Cliente soporta conexiones cifradas SSL a través del canal de conexión con el servidor (SVRCONN) entre una aplicación y el gestor de colas. Para configurar conexiones de cifrado SSL debe crear primero los almacenes de clave y los certificados.

Antes de empezar:

Cada gestor de colas de WebSphere MQ tiene un depósito de claves para certificados. Cuando una aplicación intenta conectarse a un gestor de colas seguro, el certificado de la aplicación se debe validar con el contenido del depósito de claves del gestor de colas. Una opción para configurar SSL para el gestor de colas consiste en utilizar un certificado autofirmado.

Es preciso firmar y crear dos certificados. Uno se debe crear para el gestor de colas de servidor y el segundo se crea para el cliente, por ejemplo, WebSphere Message Broker Explorer.

Las instrucciones de este tema utilizan el mandato gsk7cmd para crear y firmar los certificados. Ejecute gsk7cmd para obtener una lista completa de los parámetros que puede utilizar en el mandato. Para ejecutar el mandato gsk7cmd:
  • En Windows, especifique el siguiente mandato en una línea de mandatos:
    C:\Archivos de programa\IBM\gsk7\bin\gsk7cmd
  • En Linux, especifique el siguiente mandato en una línea de mandatos:
    /opt/mqm/ssl/jre/bin/gsk7cmd
Consulte la documentación de seguridad de WebSphere MQ para obtener más información sobre SSL y la creación de certificados.

Creación de un certificado de servidor para el gestor de colas

Utilice las herramientas de IBM Key Management en la línea de mandatos para crear un certificado para el gestor de colas. En el siguiente ejemplo debe sustituir los parámetros siguientes con sus propios valores:
password
Una contraseña para el depósito de certificado.
qmname
El nombre del gestor de colas para el que desea crear un certificado en minúsculas.
QMNAME
El nombre del gestor de colas para el que desea crear un certificado en mayúsculas.
  1. Ejecute el mandato siguiente para crear un depósito de claves del tipo cms:
    gsk7cmd
      -keydb-create
      -dbkey.kdb
      -pwPASSWORD
      -typecms -stash
    Se crean los archivos de clave key.crl, key.kdb, key.rdb y key.sth.
  2. Ejecute el mandato siguiente para crear un certificado autofirmado, donde el distintivo -dn contiene detalles de la organización:
    gsk7cmd
      -cert-create
      -dbkey.kdb
      -pwPASSWORD
      -label"qmname"
      -dn"CN=My Queue Manager,O=My Company,C=UK"
      -expire1000
  3. Ejecute el mandato siguiente para crear una solicitud para un certificado personal:
    gsk7cmd
      -certreq-create
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
      -dn"CN=My Queue Manager,O=My Company,C=UK"
      -fileQMNAME_request.arm
  4. Firme el certificado utilizando una entidad emisora de certificados.
    • Para obtener un certificado de una entidad emisora de certificados, debe enviar el archivo que contiene una solicitud de firma de certificado a la entidad emisora de certificados que ha elegido.
    • Como alternativa, puede utilizar las herramientas de IBM Key Management en la línea de mandatos para firmar el certificado.
      gsk7cmd
        -cert-sign
        -dbkey.kdb
        -pwPASSWORD
        -label"qmname"
        -fileQMNAME_request.arm
        -targetQMNAME_signed.arm
        -expire364
  5. Ejecute el mandato siguiente para añadir el certificado firmado al depósito:
    gsk7cmd
      -cert-receive
      -dbkey.kdb
      -pwPASSWORD
      -fileQMNAME_signed.arm
  6. Ejecute el mandato siguiente para exportar el certificado de ID de usuario de cliente firmado en un formato transferible (en este caso, PKCS12), con el certificado de CA público y clave privada asociados:
    gsk7cmd
      -cert-export
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
      -targetQMNAME_personal.p12
      -target_pwPASSWORD
      -target_typepkcs12
  7. Suprima el certificado del depósito:
    gsk7cmd
      -cert-delete
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
  8. Cree un subdirectorio denominado QMNAME_CMS, y vaya a este directorio en la línea de mandatos.
  9. Ejecute el mandato siguiente para crear un depósito de certificado en el directorio QMNAME_CMS:
    gsk7cmd
      -keydb-create
      -dbkey.kdb
      -pwPASSWORD
      -typecms –stash
  10. Ejecute el siguiente mandato para importar el archivo PKCS12 en el depósito:
    gsk7cmd
      -cert-import
      -file"QMNAME_personal.p12"
      -pwPASSWORD
      -typepkcs12
      -targetkey.kdb
      -target_pwPASSWORD
      -target_typecms
  11. Vuelva al directorio original en el que ha creado el depósito de claves en el paso 1.
Siga los pasos del apartado siguiente para crear un certificado de cliente para WebSphere Message Broker Explorer.

Creación de un certificado de cliente para WebSphere Message Broker Explorer

Utilice las herramientas de IBM Key Management en la línea de mandatos para crear un certificado para WebSphere Message Broker Explorer. En el siguiente ejemplo debe sustituir los parámetros siguientes con sus propios valores:
password
Una contraseña para el depósito de certificado.
qmname
El nombre del gestor de colas para el que desea crear un certificado en minúsculas. Es el mismo valor que se utilizó en los pasos para crear un certificado de cliente para el gestor de colas.
USERID
El ID de usuario para el que desea crear un certificado.
  1. En el directorio donde se ha creado un depósito de claves para el gestor de colas de servidor en el paso 1 anterior, ejecute el siguiente mandato para crear una solicitud (clave privada más detalles de certificado) para que se firme un certificado para el gestor de colas de servidor:
    gsk7cmd
      -certreq-create
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
      -dn"CN=userid@mycompany.com,O=My Company,C=UK"
      -fileUSERID_request.arm
  2. Ejecute el siguiente mandato para firmar el certificado:
    gsk7cmd
      -cert-sign
      -dbkey.kdb
      -pwPASSWORD
      -label"qmname"
      -fileUSERID_request.arm
      -targetUSERID_signed.arm
      -expire364
  3. Ejecute el mandato siguiente para añadir el certificado firmado al depósito:
    gsk7cmd
      -cert-receive
      -dbkey.kdb
      -pwPASSWORD
      -fileUSERID_signed.arm
  4. Ejecute el mandato siguiente para exportar el certificado de ID de usuario de cliente firmado en un formato transferible (en este caso, pkcs12), con el certificado de CA público y clave privada asociados:
    gsk7cmd
      -cert-export
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
      -targetUSERID_personal.p12
      -target_pwPASSWORD
      -target_typepkcs12
  5. Suprima el certificado del depósito:
    gsk7cmd
      -cert-delete
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
  6. Cree un subdirectorio denominado USERID_JKS, y vaya a este directorio en la línea de mandatos.
  7. Ejecute el mandato siguiente para crear un depósito de certificado en el directorio USERID_JKS:
    gsk7cmd
      -keydb-create
      -dbkeyStore.jks
      -pwPASSWORD
      -typejks
  8. Ejecute el siguiente mandato para importar el archivo pkcs12 en el depósito:
    gsk7cmd
      -cert-import
      -file"USERID_personal.p12"
      -pwPASSWORD
      -typepkcs12
      -targetkeyStore.jks
      -target_pwPASSWORD
      -target_typejks"
  9. Vuelva al directorio original en el que ha creado el depósito de claves en el paso 1.

Ahora debe copiar los archivos del directorio Label_CMS en el directorio SSL del gestor de colas. Por ejemplo, /var/mqm/qmgrs/QM1/ssl o C:\Archivos de programa\IBM\WebSphere MQ\Qmgrs\QM1\ssl. El archivo keystore.jks en el directorio LABEL_JKS debe estar en la misma máquina que WebSphere Message Broker Explorer. También puede ser necesario que el archivo AMQCLCHL.TAB se copie en el mismo sistema que WebSphere Message Broker Explorer. Este archivo se puede encontrar en el directorio @ipcc del gestor de colas, por ejemplo, /var/mqm/qmgrs/QM1/@ipcc o C:\Archivos de programa\IBM\WebSphere MQ\qmgrs\QM1\@ipcc.

Cuando se configuran los valores de SSL en WebSphere Message Broker Explorer, debe especificar la vía de acceso completa al archivo keystore.jks.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:01:37


Tema de tareaTema de tarea | Versión 8.0.0.5 | bp10610_