Integraciones externas a IBM MQ

IBM MQ IBM® admite la integración basada en para integrar el sistema Sterling™ Order Management con cualquier sistema externo de terceros.

Acerca de esta tarea

Importante: Si utiliza el kit de herramientas de desarrollador contenerizado, este proceso está totalmente automatizado. Puede utilizar la herramienta Java™ Client para probar las colas IBM Sterling® Order Management Sistema MQ a través de SSL Para obtener más información, consulte Uso de la herramienta Java Client para probar MQ queues over SSL.

El acceso al servidor de MQ dentro del entorno de Sterling Order Management System se configura utilizando la autenticación mutua. El servidor MQ está protegido con el certificado de CA firmado Digicert y la autenticación de cliente. La autenticación de cliente es un proceso mediante el cual los usuarios o clientes pueden acceder de forma segura a cualquier servicio desde un servidor intercambiando certificados digitales.

Para conectarse al servidor MQ utilizando cualquier cliente para cualquier integración externa con MQ, debe configurar el cliente con un certificado de cliente SSL/TLS que se genera utilizando el Autoservicio junto con confiar en la raíz de Digicert.

Nota:
  • Utilice las versiones de cliente MQ 9.2.1 (CD) o 9.0.x (LTS) para evitar problemas de enlace SSL con SNI en las versiones de cliente MQ 9.1.x y 9.2.0. Debe utilizar la versión 9.2.1 o posterior del cliente MQ, o debe utilizar la versión 9.0.x.
  • La integración externa a través del protocolo AMQP no está soportada en IBM MQ.
  • OMS MQ no puede conectarse a través de API REST.

Vea un vídeo para saber cómo puede conectarse al gestor de colas del sistema Sterling Order Management.

Procedimiento

  1. Descargue los certificados DigiCert High Assurance EV Root CA y DigiCert Global Root G2 PEM de DigiCert Trusted Root Authority Certificates.
  2. Añada el certificado PEM descargado al almacén de confianza de la aplicación que se va a conectar a MQ Server.
    keytool -import -noprompt -alias ibmwebspheremq_om_qmgr -file <path to the pem certificate> 
    -keystore  <path of trustore>\truststore.jks -storepass <password of your choice>
  3. Obtenga el certificado de cliente para MQ de Autoservicio. Para más información, consulte Generación de certificados de entrada.
  4. Instale este certificado en el almacén de certificados personal para el cliente MQ . Añada p12 al almacén de claves utilizando el mandato siguiente:
    keytool -importkeystore -srckeystore cert-bundle-binary.p12 -srcstoretype pkcs12 -destkeystore 
    <path to the keystore>\keystore.jks
  5. Añada el almacén de confianza y el almacén de claves a la aplicación que intenta conectarse a MQ.

Qué hacer a continuación

Utilice la siguiente información para completar la conexión:
  • Cifrado: el servidor MQ se ejecuta con ANY_TLS1.2_OR_HIGHER. Los cifrados que se incluyen en ANY_TLS1.2_OR_HIGHER son:
    • ECDHE_RSA_AES_128_GCM_SHA256
    • ECDHE_RSA_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • ECDHE_ECDSA_AES_128_GCM_SHA256
    • ECDHE_ECDSA_AES_256_GCM_SHA384
    • TLS_AES_128_GCM_SHA256
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_AES_128_CCM_SHA256

    Puede utilizar cualquier cifrado de esta lista para conectarse a MQ. Para el cifrado elegido, busque el conjunto de cifrado equivalente para su Java en TLS CipherSpecs y CipherSuites en IBM MQ clases para JMS.

    Por ejemplo, si el software de cliente da soporte a ECDHE_RSA_AES_128_GCM_SHA256, el cifrado compatible para IBM JRE es SSL_ECDHE_RSA_WITH_AES_128_GCM_SHA256 y para Oracle JRE es TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256.

  • Nombre de gestor de colas: OM_QMGR
  • CANAL: SYSTEM.TLS.SVRCONN
  • Nombre de host: <tenant_code>-<env>-<envno>-mq.oms.supply-chain.ibm.com Por ejemplo, si el código de arrendatario es betap, el host es betap-dev-1-mq.oms.supply-chain.ibm.com
  • Puerto: 15443

    Argumentos adicionales

    Con el cliente MQ versión 9.2.1(versión CD) y posterior, utilice el siguiente argumento JVM para herramientas o clientes basados en Java:
    -Dcom.ibm.mq.cfg.SSL.outboundSNI=Hostname
    Si el cliente o herramienta de terceros es C o .NET (No gestionado), pase OutboundSNI=HOSTNAME en la stanza SSL del archivo mqclient.ini . Este atributo puede ser leído por C, .NET no gestionado, clases IBM MQ para Java, y clases IBM MQ para Java, y clases IBM MQ para clientes JMS únicamente.
    Nota: Si está utilizando el paso JDK de Oracle , utilice el siguiente argumento de JVM.
    -Dcom.ibm.mq.cfg.useIBMCipherMappings=false