级别: 中级 Prashant R. Muragod, 软件工程师, IBM
Ribu Rajan, 软件工程师, IBM
2009 年 10 月 28 日 本教程介绍如何使用面板在 Microsoft Windows® 和 z/OS® 之间建立 WebSphere® MQ Secure Sockets Layer (SSL),并检查 SSL Cipher Specification (SSLCIPH) 的各种组合、SSL Client Authentication (SSLCAUTH)、失效和过期证书。
开始之前
本教程展示如何在 z/OS 上使用 MQ SSL 和 Microsoft Windows 在 WebSphere MQ
和 WebSphere Message Broker 产品之间建立基于 SSL 的通信。本教程还将展示如何检查 SSL Cipher Specification (SSLCIPH) 的各种组合,以及诸如无效证书和过期证书之类的错误场景。
我们使用 z/OS 平台上的面板执行这些任务,这些面板使那些不熟悉 z/OS 的用户能够轻松完成这些任务。在本文末尾,我们列示了 z/OS 上的所有 RACF 命令(如创建一个密匙环,将证书添加到密匙环等)。对于在 z/OS 平台上建立 MQ SSL,这些命令可以执行与 z/OS 上的面板相同的操作。
目标
-
在 z/OS 队列管理器上建立 MQ SSL
-
在 z/OS 队列管理器和 WebSphere Message Broker 工具包之间建立单向 SSL 通信
-
在 z/OS 队列管理器和 WebSphere Message Broker 工具包之间建立双向 SSL 通信
-
展示各种 SSLCIP 组合的 SSL 通信
-
展示无效 SSLCIPH 组合、无效证书和过期证书的错误场景
先决条件
您应该熟悉:
-
z/OS 基础知识
-
z/OS 上的各种面板(ISPF、RACF 等)的用途
-
IBM WebSphere MQ
-
IBM WebSphere Message Broker(运行时和工具包)概念
-
比较熟悉 Microsoft Windows 上的 SSL
系统要求
要执行本教程中的任务,您需要:
-
一台 Microsoft Windows 机器
-
IBM WebSphere MQ V6 或更高版本
-
IBM WebSphere Message Broker V6 或 V6.1
-
IBM WebSphere Message Broker Toolkit V6 或 V6.1
-
安装了 RACF 的 z/OS LPAR
时间
关键字和定义
为方便起见,本小节提供来自 MQ 信息中心 的一些关键术语定义。
SSL(Secure Sockets Layer,安全套接字层)
SSL 是一个工业标准协议,它在应用程序协议和通信层之间提供一个数据安全层,通常是 TCP/IP。SSL 使用加密技术、数字签名和数字证书,在客户端和服务器之间提供消息隐私、消息完整性和相互验证。
MQ SSL
在 WebSphere MQ 中,您可以对两个队列管理器之间的通信使用 SSL,每个队列管理器都将使用一个数字证书。
SSLCIPH(SSL Cipher Specification,SSL 密码规范)
SSLCIPH 为一个 SSL 连接定义单个 CipherSpec。一个 WebSphere MQ SSL 通道的两端都必须包括这个属性,SSLCIPH 值必须在通道的两端指定相同的 CipherSpec。该值是一个字符串,最大长度为 32 个字符。这个属性并不是对所有通道类型都有效。它只对传输类型(TRPTYPE)为 TCP 的通道有效。如果 TRPTYPE 不是 TCP,将忽略数据且不发送错误信息。SSLCIPH 是一个可选属性。
要了解更多信息,请参阅由 WebSphere MQ 支持的 SSL。
SSLCAUTH(SSL Client Authentication,SSL 客户端验证)
SLCAUTH 用于定义通道是否需要接收和验证来自一个 SSL 客户端的 SSL 证书。可能的值包括:
- OPTIONAL —— 如果对等 SSL 客户端发送一个证书,则该证书被正常处理;如果该客户端不发送任何证书,验证并不失败。
- REQUIRED —— 如果 SSL 客户端不发送证书,验证失败。
默认值是 REQUIRED。
您可以在一个非 SSL 通道定义上指定一个 SSLCAUTH 值,非 SSL 通道上没有或缺失 SSLCIPH。您可以使用这种方法临时禁用 SSL 以便调试,无需先清除 SSL 参数然后再重新输入这些参数。
这个属性对可以接收一个通道初始化流的所有通道有效,发送器通道除外。这个属性对以下通道类型有效:
- * Server
- * Receiver
- * Requester
- * Server connection
- * Cluster receiver
SSLPEER(SSL Peer,SSL 对等)
SSLPEER 属性用于检查来自对等队列管理器或客户端(位于 WebSphere MQ 通道的另一端)的证书的 Distinguished Name (DN)。如果从对等 SSL 接收的 DN 与 SSLPEER 值不匹配,通道将不会启动。SSLPEER 是一个可选属性。如果不指定属性值,通道启动时将不检查对等 DN。在 z/OS 上,该属性的最大长度是 256 字节,其他平台上是 1024 字节。在 z/OS 上,将不会对这个属性值进行检查。如果您输入错误的值,通道在启动时失败,错误消息写入通道两端的错误日志。通道两端还将生成一个 Channel SSL Error 事件。在支持 SSLPEER 的平台(除 z/OS® 外),字符串的有效性在首次输入时检查。您可以在一个非 SSL 通道定义上指定一个 SSLCAUTH 值,非 SSL 通道上没有或缺失 SSLCIPH。您可以使用这种方法临时禁用 SSL 以便调试,无需先清除 SSL 参数然后再重新输入这些参数。
您可以在 WebSphere MQ 信息中心 上找到关于这些关键字的更多信息。
假设
以下小节提供在 WebSphere Message Broker Toolkit (Windows) 和 z/OS 上的 WebSphere MQ 队列管理器之间建立一个 MQ SSL 连接的步骤和屏幕截图。
假设 1:队列管理器已建立并正在运行,通道初始化程序正在运行。SSL 设置还没有激活。
假设 2:在本教程中,我们对队列管理器 MA01 和 MA02 分别使用两个用户 ID:MA01USR 和 MA02USR。这些用户 ID 需要访问 RACDERT 命令。咨询您的系统管理员,您要使用的用户 ID 是否能够访问 RACDERT 命令。要了解关于各种配置文件定义的更多信息,请参阅本文档最后讨论的主题 RACDCERT 命令。
在下面的小节中,您将学习如何创建一个密匙环。密匙环可以视为存储数字证书的存储库。这些证书用于确定客户端系统是否可以信任。
| 
