在 Connect:Direct 网桥代理与 Connect:Direct 节点之间配置 SSL 或 TLS

通过创建密钥库和信任库以及在 Connect:Direct 网桥代理属性文件中设置属性，配置 Connect:Direct® 网桥代理和 Connect:Direct 节点以通过 SSL 协议相互连接。

对于 Connect:Direct 节点，请完成以下步骤:

1. 为 Connect:Direct 节点生成密钥和签名证书。
   您可以使用 IBM MQ随附的 IBM 密钥管理工具来执行此操作。 有关更多信息，请参阅 使用 SSL/TLS。
2. 向认证中心发送请求以获取签名密钥。 您将收到证书。
3. 创建包含认证中心公用密钥的文本文件; 例如， /test/ssl/certs/CAcert。
4. 在 Connect:Direct 节点上安装 Secure + Option。
   如果该节点已存在，那么可以通过再次运行安装程序、指定现有安装的位置以及选择只安装 Secure+ Option 来安装 Secure+ Option。
5. 创建新的文本文件; 例如， /test/ssl/cd/keyCertFile/node_name.txt。
6. 将您从认证中心收到的证书以及位于 /test/ssl/cd/privateKeys/node_name.key中的专用密钥复制到文本文件中。
   /test/ssl/cd/keyCertFile/node_name.txt 的内容必须是以下格式：

   -----BEGIN CERTIFICATE-----
   MIICnzCCAgigAwIBAgIBGjANBgkqhkiG9w0BAQUFADBeMQswCQYDVQQGEwJHQjES
   MBAGA1UECBMJSGFtcHNoaXJlMRAwDgYDVQQHEwdIdXJzbGV5MQwwCgYDVQQKEwNJ
   Qk0xDjAMBgNVBAsTBU1RSVBUMQswCQYDVQQDEwJDQTAeFw0xMTAzMDExNjIwNDZa
   Fw0yMTAyMjYxNjIwNDZaMFAxCzAJBgNVBAYTAkdCMRIwEAYDVQQIEwlIYW1wc2hp
   cmUxDDAKBgNVBAoTA0lCTTEOMAwGA1UECxMFTVFGVEUxDzANBgNVBAMTBmJpbmJh
   ZzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAvgP1QIklU9ypSKD1XoODo1yk
   EyMFXBOUpZRrDVxjoSEC0vtWNcJ199e+Vc4UpNybDyBu+NkDlMNofX4QxeQcLAFj
   WnhakqCiQ+JIAD5AurhnrwChe0MV3kjA84GKH/rOSVqtl984mu/lDyS819XcfSSn
   cOOMsK1KbneVSCIV2XECAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0E
   HxYdT3BlblNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFNXMIpSc
   csBXUniW4A3UrZnCRsv3MB8GA1UdIwQYMBaAFDXY8rmj4lVz5+FVAoQb++cns+B4
   MA0GCSqGSIb3DQEBBQUAA4GBAFc7klXa4pGKYgwchxKpE3ZF6FNwy4vBXS216/ja
   8h/vl8+iv01OCL8t0ZOKSU95fyZLzOPKnCH7v+ItFSE3CIiEk9Dlz2U6WO9lICwn
   l7PL72TdfaL3kabwHYVf17IVcuL+VZsZ3HjLggP2qHO9ZuJPspeT9+AxFVMLiaAb
   8eHw
   -----END CERTIFICATE-----
   -----BEGIN RSA PRIVATE KEY-----
   Proc-Type: 4,ENCRYPTED
   DEK-Info: DES-EDE3-CBC,64A02DA15B6B6EF9
   
   57kqxLOJ/gRUOIQ6hVK2YN13B4E1jAi1gSme0I5ZpEIG8CHXISKB7/0cke2FTqsV
   lvI99QyCxsDWoMNt5fj51v7aPmVeS60bOm+UlGre8B/Ze18JVj2O4K2Uh72rDCXE
   5e6eFxSdUM207sQDy20euBVELJtM2kOkL1ROdoQQSlU3XQNgJw/t3ZIx5hPXWEQT
   rjRQO64BEhb+PzzxPF8uwzZ9IrUK9BJ/UUnqC6OdBR87IeA4pnJD1Jvb2ML7EN9Z
   5Y+50hTKI8OGvBvWXO4fHyvIX5aslwhBoArXIS1AtNTrptPvoaP1zyIAeZ6OCVo/
   SFo+A2UhmtEJeOJaZG2XZ3H495fAw/EHmjehzIACwukQ9nSIETgu4A1+CV64RJED
   aYBCM8UjaAkbZDH5gn7+eBov0ssXAXWDyJBVhUOjXjvAj/e1h+kcSF1hax5D//AI
   66nRMZzboSxNqkjcVd8wfDwP+bEjDzUaaarJTS7lIFeLLw7eJ8MNAkMGicDkycL0
   EPBU9X5QnHKLKOfYHN/1WgUk8qt3UytFXXfzTXGF3EbsWbBupkT5e5+lYcX8OVZ6
   sHFPNlHluCNy/riUcBy9iviVeodX8IomOchSyO5DKl8bwZNjYtUP+CtYHNFU5BaD
   I+1uUOAeJ+wjQYKT1WaeIGZ3VxuNITJul8y5qDTXXfX7vxM5OoWXa6U5+AYuGUMg
   /itPZmUmNrHjTk7ghT6i1IQOaBowXXKJBlMmq/6BQXN2IhkD9ys2qrvM1hdi5nAf
   egmdiG50loLnBRqWbfR+DykpAhK4SaDi2F52Uxovw3Lhiw8dQP7lzQ==
   -----END RSA PRIVATE KEY-----

7. 启动 Secure+ Admin Tool。
   • 在 Linux 或 UNIX 系统上，运行命令 spadmin.sh。
   • 在 Windows 系统上，单击 启动 > 程序 > Sterling Commerce Connect:Direct > CD 安全 + 管理工具

   CD Secure+ Admin Tool 将启动。
8. 在 CD Secure + Admin Tool 中，双击 。本地 行，用于编辑主 SSL 或 TLS 设置。
   1. 根据您使用的协议，选择 启用 SSL 协议 或 启用 TLS 协议。
   2. 选择 禁用覆盖。
   3. 至少选择一个密码套件。
   4. 如果要双向认证，请将 启用客户机认证 的值更改为 Yes。
   5. 在 可信根证书 字段中，输入认证中心的公用证书文件 /test/ssl/certs/CAcert的路径。
   6. 在 密钥证书文件 字段中，输入您创建的文件 /test/ssl/cd/keyCertFile/node_name.txt的路径。
9. 双击 。客户机 行以编辑主 SSL 或 TLS 设置。
   1. 根据您使用的协议，选择 启用 SSL 协议 或 启用 TLS 协议。
   2. 选择 禁用覆盖。

对于 Connect:Direct 网桥代理，请执行以下步骤:

10. 创建信任库。 您可以通过创建虚密钥然后删除该虚密钥的方法来创建。
    可以使用以下命令：

    keytool -genkey -alias dummy -keystore /test/ssl/fte/stores/truststore.jks

    keytool -delete -alias dummy -keystore /test/ssl/fte/stores/truststore.jks

11. 将认证中心的公用证书导入该信任库。
    可以使用以下命令：

    keytool -import -trustcacerts -alias myCA 
            -file /test/ssl/certs/CAcert 
            -keystore /test/ssl/fte/stores/truststore.jks

12. 编辑 Connect:Direct 网桥代理属性文件。
    在该文件的任何位置中包含以下行：

    cdNodeProtocol=protocol
    cdNodeTruststore=/test/ssl/fte/stores/truststore.jks
    cdNodeTruststorePassword=password

    在此步骤的示例中，protocol 是您所使用的协议（即 SSL 或 TLS），password 是创建信任密钥库时指定的密码。
13. 如果需要双向认证，请为 Connect:Direct 网桥代理创建密钥和证书。
    1. 创建密钥库和密钥。
       可以使用以下命令：

       keytool -genkey -keyalg RSA -alias agent_name 
               -keystore /test/ssl/fte/stores/keystore.jks 
               -storepass password -validity 365

    2. 生成签名请求。
       可以使用以下命令：

       keytool -certreq -v -alias agent_name 
               -keystore /test/ssl/fte/stores/keystore.jks -storepass password 
               -file /test/ssl/fte/requests/agent_name.request

    3. 将上述步骤中收到的证书导入密钥库。 该证书必须为 x.509 格式。
       可以使用以下命令：

       keytool -import -keystore /test/ssl/fte/stores/keystore.jks 
               -storepass password -file certificate_file_path

    4. 编辑 Connect:Direct 网桥代理属性文件。
       在该文件的任何位置中包含以下行：

       cdNodeKeystore=/test/ssl/fte/stores/keystore.jks
       cdNodeKeystorePassword=password

       在此步骤的示例中，password 是创建密钥库时指定的密码。