MQIPT 路由属性

mqipt.conf 配置文件可以包含各个路由的属性。

mqipt.conf 配置文件的 [route] 部分可以包含以下属性:

活动

仅在 Active 的值设置为 true 时，路由接受入站连接。这意味着，您可以临时关闭对目标的访问，方法是将此值设置为 false，而不需要删除配置文件中的 [route] 部分。如果将此属性更改为 false，那么发出刷新命令时路由停止。路由的所有连接停止。

ClientAccess

仅在 ClientAccess 的值设置为 true 时，路由允许入站客户机通道连接。请注意，您可以将 MQIPT 配置为仅接受客户机请求，仅接受队列管理器请求或同时接受两种类型的请求。此属性与 QMgrAccess 属性一起使用。如果将此属性更改为 false，那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

Destination

此路由要连接到的队列管理器或后续 MQIPT 实例的主机名 (或点分十进制 IP 地址)。每一个 [route] 部分必须包含明确的 Destination 值，但是几个 [route] 部分可以引用相同的目标。如果此属性的更改影响路由，那么路由停止，并且发出刷新命令时重新启动。路由的所有连接停止。使用 SocksProxyHost 属性时， Destination 属性必须使用点分十进制 IPv4 地址格式。

DestinationPort

此路由要连接的目标主机上的端口。每一个 [route] 部分必须包含明确的 DestinationPort 值，但是几个路由可以引用相同组合的 Destination 和 DestinationPort 值。如果此属性的更改影响路由，那么路由停止，并且发出刷新命令时重新启动。路由的所有连接停止。

HTTP

针对负责发出出站 HTTP 隧道传送请求的路由，将 HTTP 设置为 true。如果将 HTTP 设置为 true，则路由的 Destination 属性必须为另一个 MQIPT 的主机名。对于连接到 IBM® MQ 队列管理器的路由，将 HTTP 设置为 false 。如果更改此属性，将停止路由。当 HTTP 设置为true时，还必须指定 HTTPProxy 或 HTTPServer 属性中的至少一个。此属性不能与 SocksClient 属性一起使用。

HTTPProxy

此路由的所有连接使用的 HTTP 代理的主机名（或点分十进制 IP 地址）。 HTTP发送了 CONNECT 请求，而不是在没有配置 HTTP时通常使用的 POST 请求。如果更改此属性（并且 HTTP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

HTTPProxyPort

HTTP 代理上使用的端口地址。缺省值为 8080。如果更改此属性（并且 HTTP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

HTTPServer

此路由的所有连接使用的 HTTP 服务器的主机名（或点分十进制 IP 地址）。这通常是另一个 MQIPT的主机名。

如果未指定 HTTPProxy ，则 MQIPT 连接到 HTTPServer 中指定的主机，并向路由 Destination 属性中指定的主机发出 HTTP POST 请求。如果指定了 HTTPProxy ，那么 MQIPT 将改为连接到 HTTPProxy 中指定的主机，并请求代理建立到 HTTPServer中指定的主机的隧道。

如果指定了 HTTPProxy ，那么缺省值为路径 Destination。

如果更改此属性（并且 HTTP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

HTTPS

将 HTTPS 设置为 true 以发出 HTTPS 请求。对于 SSL/TLS 操作，还必须启用 HTTP 和 SSLClient 属性，并使用 SSLClientKeyRing 或 SSLClientKeyRingUseCryptoHardware 属性配置客户机密钥环。如果更改 HTTPS 属性（并且 HTTP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

HTTPServerPort

HTTP Server 上使用的端口地址。除非指定了 HTTPProxy ，否则缺省值为 8080，在这种情况下，缺省值为路径 DestinationPort。

如果更改此属性（并且 HTTP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

IdleTimeout

空闲连接经过该时长（分钟）后关闭。请注意，队列管理器通道的队列管理器也具有 DISCINT 属性。如果设置 IdleTimeout 属性，请注意 DISCINT。如果 IdleTimeout 设置为 0，没有空闲超时。对此属性的更改仅在重新启动路由时生效。

IgnoreExpiredCRLs

将 IgnoreExpiredCRLs 设置为 true 以忽略到期的 CRL。缺省值为 false。请注意，如果将 IgnoreExpiredCRLs 设置为 true，那么可以使用已撤销的证书来建立 SSL/TLS 连接。

LDAP

将 LDAP 设置为 true 以允许在使用 SSL/TLS 连接时使用 LDAP 服务器。 MQIPT 将使用 LDAP 服务器来检索 CRL 和 ARL。要让此属性生效，还必须将 SSLClient 属性或 SSLServer 属性设置为 true。

LDAPCacheTimeout

存储从 LDAP 服务器检索到的 CRL 的临时缓存的到期时间（小时）。经过此时间之后，整个 CRL 缓存被清空。例如，指定值为 1 小时表明缓存每小时清空一次。缺省值为 24。如果指定超时值为 0，那么直到重新启动路由后缓存中的条目才到期。如果更改此属性（并且 LDAP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

LDAPIgnoreErrors

将 LDAPIgnoreErrors 设置为 true 以在执行 LDAP 搜索时忽略任何连接或超时错误。如果 MQIPT 无法成功执行搜索，那么将不允许客户机连接完成，除非已启用此属性。成功搜索意味着已经检索 CRL，或者指定的 CA 没有可用的 CRL。如果更改此属性（并且 LDAP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

注: 如果启用此属性，那么可使用已撤销的证书来建立 SSL/TLS 连接。

LDAPServer1

主要 LDAP 服务器的主机名或 IP 地址。如果 LDAP 已经设置为 true，必须设置此属性。如果更改此属性（并且 LDAP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

LDAPServer1Port

主要 LDAP 服务器的侦听端口号。缺省值为 389。如果更改此属性（并且 LDAP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

LDAPServer1Userid

访问主要 LDAP 服务器所需的用户标识。如果需要访问主要 LDAP 服务器的权限，那么必须设置此属性。如果更改此属性（并且 LDAP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

LDAPServer1Password

访问主要 LDAP 服务器所需的密码。如果 LDAPServer1Userid 已经设置为 true，必须设置此属性。如果更改此属性（并且 LDAP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

该值可以是已使用 mqiptPW 命令加密的密码，也可以是纯文本密码。纯文本密码只能包含字母数字字符。强烈建议您对 MQIPT 配置中存储的密码进行加密。有关在 MQIPT 配置中加密密码的更多信息，请参阅加密存储的密码。

LDAPServer1Timeout

MQIPT 等待来自主 LDAP 服务器的响应的时间 (以秒计)。缺省值为 0，这意味着连接将不超时。如果更改此属性（并且 LDAP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

LDAPServer2

备份 LDAP 服务器的主机名或 IP 地址。此属性为可选属性。如果更改此属性（并且 LDAP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

LDAPServer2Port

备份 LDAP 服务器的侦听端口号。缺省值为 389。如果更改此属性（并且 LDAP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

LDAPServer2Userid

访问备份 LDAP 服务器所需的用户标识。如果需要访问备份 LDAP 服务器的权限，那么必须设置此属性。如果更改此属性（并且 LDAP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

LDAPServer2Password

访问备份 LDAP 服务器所需的密码。如果 LDAPServer2 已经设置为 true，必须设置此属性。如果更改此属性（并且 LDAP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

LDAPServer2Timeout

MQIPT 将等待来自备份 LDAP 服务器的响应的时间 (以秒计)。缺省值为 0，这意味着连接将不超时。如果更改此属性（并且 LDAP 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

ListenerAddress

如果 MQIPT 系统具有多个 IP 地址，并且您需要将路由侦听器端口绑定到特定地址，请使用此属性。这可用于将入站连接限制在特定网络接口的地址。此属性的值应该是属于正在运行 MQIPT 的系统上某个网络接口的 IP 地址。缺省情况下接受所有网络接口的连接。

ListenerPort

路由侦听入站请求的端口号。每个 [route] 部分必须包含明确的 ListenerPort 值。在每一个部分设置的 ListenerPort 值必须唯一。可以使用任何有效的端口号，包括端口 80 和 443，前提是同一主机上运行的任何其他 TCP/IP 侦听器没有使用选择的端口。

LocalAddress

此计算机上此路由的所有连接绑定到的 IP 地址。所选地址必须是与运行 MQIPT 的计算机上的某个网络接口相关联的 IP 地址。如果更改此属性，那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

MaxConnectionThreads

此路由可以处理的最大连接线程数，也可以是最大并发连接数。如果达到此限制， MaxConnectionThreads 值还指示所有线程都在使用中时排队的连接数。超过此数量之后，随后的连接请求将被拒绝。

允许的最小值是 1 和 MinConnectionThreads 值中的最大值。

如果增大该值，那么发出刷新命令时将使用新值。所有连接立即使用新值。路由不停止。

如果值减小，那么新值仅在路由重新启动时生效。

MinConnectionThreads

启动路由时，分配的用于处理路由上入站连接的连接线程数。路由处于活动状态期间，分配的线程数不低于此值。

该值必须在范围 0 到 MaxConnectionThreads的值之间。

对此属性的更改仅在重新启动路由时生效。

名称

帮助识别路由的名称。此属性为可选属性。此值在控制台消息和跟踪信息中显示。对此属性的更改仅在重新启动路由时生效。

OutgoingPort

出站连接使用的起始端口号。端口号范围与此路由的 MaxConnectionThread 值匹配。缺省值 0 使用系统定义的端口号。如果更改此属性，那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。使用 HTTP 时，每一个通道连接都需要两个出站端口。有关更多信息，请参阅端口号控制。

PasswordProtection

指定对于配置为添加或除去 TLS 加密的 MQIPT 路由， MQIPT 是否可以为 IBM MQ clients在 MQCSP 结构中发送的凭证添加或除去保护，以保持客户机与队列管理器之间的兼容性。

MQCSP 结构中的凭证可以使用 IBM MQ MQCSP 密码保护功能进行保护，也可以使用 TLS 加密进行加密。 MQCSP 密码保护对于测试和开发目的很有用，因为它比设置 TLS 加密更简单，但它没有那么安全。

有关 MQCSP 密码保护的更多信息，请参阅 MQCSP 密码保护。

当 MQIPT 路由配置为添加或移除 TLS 加密时， MQIPT 可能需要保护 MQCSP 结构中的凭证，或者移除 MQCSP 密码保护，才能成功连接。

该属性的值可以是下列其中一个值:

必需: MQIPT 确保 MQCSP 结构中的凭证通过使用 TLS 进行加密或通过 MQCSP 密码保护进行保护。; 如果客户机使用 TLS 加密来发送 MQCSP 结构中的凭证，并且 MQIPT 路由除去 TLS 加密，那么在将凭证转发到路由目标之前， MQIPT 会使用 MQCSP 密码保护来保护凭证。当使用 SSLServer=true 和 SSLClient=false配置了 MQIPT 路由，并且所选 CipherSuite 未使用空密码时，会发生此情况。; 如果 MQCSP 结构中的凭证受具有 MQCSP 密码保护的客户机保护，那么 MQIPT 不会除去该保护，即使 MQIPT 与路由目标之间的连接使用 TLS 加密也是如此。如果 MQIPT 与路由目标之间的连接使用 TLS 加密，那么连接可能会失败，原因码为 MQRC_PASSWORD_PROTECTION_ERROR (2594)。; 这是缺省值。
兼容: MQIPT 根据需要应用或除去 MQCSP 密码保护，以确保连接成功。; 如果客户机使用 TLS 加密来发送 MQCSP 结构中的凭证，并且 MQIPT 路由除去 TLS 加密，那么 MQIPT 会在将密码转发到路由目标之前使用 MQCSP 密码保护来保护凭证。当使用 SSLServer=true 和 SSLClient=false配置了 MQIPT 路由，并且所选 CipherSuite 未使用空密码时，会发生此情况。; 如果 MQCSP 结构中的凭证受具有 MQCSP 密码保护的客户机保护，并且 MQIPT 路由添加 TLS 加密，那么 MQIPT 会在将凭证转发到路由目标之前除去 MQCSP 密码保护。当使用 SSLServer=false 和 SSLClient=true配置了 MQIPT 路由，并且所选 CipherSuite 未使用空密码时，会发生此情况。; 此选项提供最佳兼容性。但是，它只能用于可信网络上的测试和开发目的，因为它不会确保在网络上保护密码。
中继: MQCSP 结构中的凭证由 MQIPT 转发到路由目标，而无需添加或除去 MQCSP 密码保护。如果 MQIPT 路由配置为添加或除去 TLS 加密，那么客户机连接可能会失败，原因码为 MQRC_PASSWORD_PROTECTION_ERROR (2594)。

QMgrAccess

将 QMgrAccess 设置为 true 以允许入站队列管理器通道连接（例如，发送方通道）。如果将此属性更改为 false，那么发出刷新命令时路由停止。此路由的所有连接停止。

RouteRestart

将 RouteRestart 设置为 false 以在更改其他路由属性并且发出刷新命令时阻止该路由重新启动。此属性的缺省值为 true。

SecurityExit

将 SecurityExit 设置为 true 以启用用户定义的安全出口。此属性的缺省值为 false。

SecurityExitName

用户定义的安全出口的类名。如果 SecurityExit 已经设置为 true，必须设置此属性。如果更改此属性（并且 SecurityExit 设置为 true），那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。

SecurityExitPath

包含用户定义的安全出口的标准路径名。如果未设置此属性，它将缺省为出口子目录。此属性还可以定义包含用户定义的安全出口的 Java 归档 (JAR) 文件的名称。如果更改此属性（并且 SecurityExit 设置为 true），那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。

SecurityExitTimeout

MQIPT 用于确定验证连接请求时等待响应的时间长度的超时值 (以秒计)。缺省值为 30。如果更改此属性（并且 SecurityExit 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SocksClient

将 SocksClient 设置为 true 以使路由充当 SOCKS 客户机并使用 SocksProxyHost 和 SocksProxyPort 属性定义通过 SOCKS 代理进行所有连接。如果更改此属性，那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。此属性不能与以下项一起使用：

HTTP
SocksServer
SSLClient
SSLProxyMode

SocksProxyHost

此路由的所有连接使用的 SOCKS 代理的主机名 (或点分十进制 IPv4 地址)。如果更改此属性（并且 SocksClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。使用 SocksProxyHost 属性时，Destination 属性必须使用点分十进制格式。

SocksProxyPort

SOCKS 代理上使用的端口号。缺省值为 1080。如果更改此属性（并且 SocksClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SocksServer

将 SocksServer 设置为 true 以使路由充当 SOCKS 代理并接受 SOCKS 客户机连接。如果更改此属性，那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。此属性不能与以下属性一起使用：

SocksClient
SSLProxyMode
SSLServer

SSLClient

将 SSLClient 设置为 true 以使路由充当 SSL/TLS 客户机并建立传出 SSL/TLS 连接。将 SSLClient 设置为 true 意味着目标地址是另一个作为 SSL/TLS 服务器的 MQIPT ，或者是一个 HTTP 代理/服务器。

如果将 SSLClient 设置为 true，那么必须使用 SSLClientKeyRing 或 SSLClientCAKeyRing 属性指定 SSL/TLS 客户机密钥环，或者通过设置 SSLClientKeyRingUseCryptoHardware 或 SSLClientCAKeyRingUseCryptoHardware 属性将 MQIPT 配置为使用加密硬件。

如果更改 SSLClient，那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。

此属性不能与以下属性一起使用：

SSLProxyMode

SSLClientCAKeyRing

包含 CA 证书的密钥环文件的标准文件名，用于认证来自 SSL/TLS 服务器的证书。在 Windows 平台上，必须使用双反斜杠 (\\) 作为文件分隔符。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientCAKeyRingPW

用于打开使用 SSLClientCAKeyRing 属性指定的 SSL/TLS 客户机 CA 密钥环文件的密码，或者用于在 SSLClientCAKeyRingUseCryptoHardware 属性设置为 true时连接到加密硬件密钥库的密码。

该值可以是已使用 mqiptPW 命令加密的密码，也可以是包含加密密码的文件的标准文件名。如果在 Windows 平台上指定文件名，那么必须使用双反斜杠 (\\) 作为文件分隔符。建议您迁移当前存储在文件中的任何密钥环密码，以使用最新且最安全的保护方法，方法是使用 mqiptPW 实用程序对密码进行重新加密。有关在 MQIPT 配置中加密密码的更多信息，请参阅加密存储的密码。

如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientCAKeyRingUseCryptoHardware

指定当 MQIPT 充当 SSL/TLS 客户机时，是否将支持 PKCS #11 接口的加密硬件用作用于从 SSL/TLS 服务器认证服务器证书的 CA 证书的密钥库。如果此属性设置为 true，那么不能在同一路径上设置 SSLClientCAKeyRing 。

如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

将加密硬件与 MQIPT 配合使用是 IBM MQ Advanced 功能。要使用此功能，还需要使用 MQIPT 路由连接的本地队列管理器具有 IBM MQ Advanced， IBM MQ Appliance， IBM MQ Advanced for z/OS®，或 IBM MQ Advanced for z/OS VUE 权利。当此属性设置为 true 时，路由将不会启动，除非 EnableAdvancedCapabilities 全局属性设置为确认可以使用 IBM MQ Advanced 功能。

SSLClientCipherSuites

要在 SSL/TLS 客户端上使用的 SSL/TLS CipherSuite 的名称。可以是所支持的一个或多个 CipherSuite。如果将此属性留空，那么将使用与密钥环中的客户机证书兼容的已启用协议的任何 CipherSuite 。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。

SSLClientConnectTimeout

SSL/TLS 客户机等待接受 SSL/TLS 连接的时间 (以秒计)。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientCustomOutboundSNI

指定当 MQIPT 启动到路由目标的 TLS 连接时服务器名称指示 (SNI) 的值 (如果将路由配置为 SSLClientOutboundSNI 设置为 custom)。使用此属性将 SNI 设置为 MQIPT无法自动设置的特定值。例如，如果要将 SNI 设置为主机名，但使用 IP 地址配置了路由目标。

该值必须是符合 RFC 3490 规范的有效国际化域名 (IDN) ，并且不能以结尾点结尾。如果指定了无效值，那么路由不会启动。

如果更改此属性的值，并且 SSLClientOutboundSNI 设置为 custom，那么发出刷新命令时将停止并重新启动路由。

注意: 将连接转发到在通道 CERTLABL 字段中配置了证书标签的 IBM MQ 通道时，不得使用此设置。如果以这种方式转发客户机，那么将拒绝该客户机，并在远程队列管理器错误日志中显示 MQRC_SSL_INITIALIZATION_ERROR 返回码和 AMQ9673 错误。

SSLClientDN_C

使用此属性可接受从 SSL/TLS 服务器收到的与此国家或地区名称匹配的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，将接受所有国家或地区名称。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientDN_CN

使用此属性可接受从 SSL/TLS 服务器接收的与此公共名称匹配的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，将接受所有通用名称。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientDN_DC

使用此属性可接受从与此域组件匹配的 SSL/TLS 服务器接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。您可以指定多个 DC，并使用逗号分隔。每个 DC 表示域名中的一个元素，例如，使用逗号分隔多个值时域名 example.ibm.com 表示为 example,ibm,com。如果您不指定此属性，将接受所有域组件。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientDN_DNQ

使用此属性可接受从 SSL/TLS 服务器收到的与此域限定符匹配的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，将接受所有域限定符。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientDN_L

使用此属性可接受从 SSL/TLS 服务器收到的与此位置匹配的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，则暗示“所有位置”。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientDN_O

使用此属性可接受从与此组织匹配的 SSL/TLS 服务器接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，将接受所有组织的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientDN_OU

使用此属性可接受从与此组织单元 (OU) 匹配的 SSL/TLS 服务器接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。您可以指定多个 OU，并使用逗号分隔。（在文字逗号前加反斜杠 (\) 字符来匹配文字逗号）。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何 OU 名称的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。

SSLClientDN_PC

使用此属性可接受从 SSL/TLS 服务器收到的与此邮政编码匹配的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，将接受所有邮政编码。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientDN_ST

使用此属性可接受从 SSL/TLS 服务器收到的与此状态匹配的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，所有州/省的服务器都会接受证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientDN_Street

使用此属性可接受从 SSL/TLS 服务器接收的与此街道名称匹配的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，将接受所有街道名称。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientDN_T

使用此属性可接受从 SSL/TLS 服务器收到的与此标题匹配的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，将接受所有标题。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientDN_UID

使用此属性可接受从 SSL/TLS 服务器收到的与此用户标识匹配的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，将接受所有用户标识。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientExit

使用此属性可在路由充当 SSL/TLS 客户机时启用或禁用出口。这允许您在配置文件中定义出口详细信息，而不必真正使用它们。

SSLClientKeyRing

包含客户机证书的密钥环文件的标准文件名。在 Windows 平台上，必须使用双反斜杠 (\\) 作为文件分隔符。如果更改 SSLClientKeyRing （并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientKeyRingPW

用于打开通过 SSLClientKeyRing 属性指定的 SSL/TLS 客户机密钥环文件或连接到加密硬件密钥库 (如果 SSLClientKeyRingUseCryptoHardware 属性设置为 true) 的密码。

如果更改 SSLClientKeyRingPW （并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientKeyRingUseCryptoHardware

指定当 MQIPT 充当 SSL/TLS 客户机时，是否将支持 PKCS #11 接口的加密硬件用作包含客户机证书的密钥库。如果此属性设置为 true，那么不能在同一路径上设置 SSLClientKeyRing 。

如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

将加密硬件与 MQIPT 配合使用是 IBM MQ Advanced 功能。要使用此功能，还需要使用 MQIPT 路由连接的本地队列管理器具有 IBM MQ Advanced， IBM MQ Appliance， IBM MQ Advanced for z/OS，或 IBM MQ Advanced for z/OS VUE 权利。当此属性设置为 true 时，路由将不会启动，除非 EnableAdvancedCapabilities 全局属性设置为确认可以使用 IBM MQ Advanced 功能。

SSLClientOutboundSNI

当 MQIPT 启动到路由目标的 TLS 连接时，指定服务器名称指示 (SNI) 扩展的值。 IBM MQ 队列管理器使用 SNI 在 TLS 握手期间提供正确的证书，或者根据配置将连接路由到目标。

此属性仅适用于使用 SSLClient=true定义的路由，不能对使用 HTTP=true定义的路由指定此属性。如果更改此属性的值，并且 SSLClient 设置为 true，那么发出刷新命令时将停止并重新启动路由。

注意: 如果目标通道在通道对象 CERTLABL 字段上配置了证书标签，那么必须将 CERTLABL 设置设置为通道值。如果在没有通道 SNI 设置的情况下转发客户机，那么将拒绝该客户机，并在远程队列管理器错误日志中显示 MQRC_SSL_INITIALIZATION_ERROR 返回码和 AMQ9673 消息。

该属性的值可以是下列其中一个值:

主机名

SNI 设置为路由目标的主机名。如果路由连接到使用 SNI 路由请求的负载均衡器或路由器，请使用此选项。例如， Red Hat® OpenShift® Container Platform Router 使用 SNI 将请求路由到 IBM MQ 队列管理器。

如果路由目标是队列管理器，那么连接请求将在 TLS 握手期间接收远程队列管理器的缺省证书，因此无法使用每个通道的证书。

如果使用 IP 地址指定路由目标，并且无法执行反向 DNS 查找，那么 SNI 为空白。

这是缺省值。

通道

SNI 设置为 IBM MQ 通道名称。使用此选项以允许目标队列管理器使用每个通道的证书，如果路由接收到的连接由于下列其中一个原因未包含 SNI 中的通道名称:

该路由配置为接受使用 SSLServer=false 或 SSLPlainConnections=true的 TLS 未保护的连接。
连接到路由的应用程序无法设置 SNI ，或者配置为将 SNI 设置为 IBM MQ 通道名称以外的值。

中继

如果使用 SSLServer=true定义了路由，那么出站连接上的 SNI 将设置为该路由的入站连接上接收到的 SNI 的值。如果路由未配置为接受 TLS 连接，那么 SNI 将设置为目标主机名。

定制

SNI 设置为 SSLClientCustomOutboundSNI 属性中指定的值。如果未指定 SSLClientCustomOutboundSNI 属性，那么将设置 SNI ，就像使用 SSLClientOutboundSNI=hostname配置路由一样。

none

未设置 SNI。

SSLClientProtocols

用于限制启用的安全套接字协议集，当 SSLClient 设置为 true 时，该安全套接字协议用于向路由目标进行出站连接。

您可以指定多个值，并使用逗号分隔。在 IBM MQ 9.2.5之前的版本中，如果未指定此属性，那么缺省情况下启用的唯一协议是 TLS 1.2。从 IBM MQ 9.2.5开始，如果未指定此属性，那么缺省情况下将启用 TLS 1.2 和 TLS 1.3 。要启用 TLS 1.2 或 TLS 1.3以外的协议，必须指定要在此属性中启用的协议，还必须遵循启用不推荐的协议和 CipherSuites中的过程在 Java runtime environment 中添加对协议的支持。您可以指定以下一个或多个值。

表 1. SSL/TLS 协议的允许值
值	协议
SSLv3	SSL 3.0
TLSv1	TLS 1.0
TLSv1.1	TLS 1.1
TLSv1.2	TLS 1.2
TLSv1.3	TLS 1.3

在路由属性中使用值列中列出的条目。协议列中的相应条目仅供参考。

SSLClientSiteDN_C

使用此属性来指定国家或地区名称，以选择要发送到 SSL/TLS 服务器的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何国家或地区名称的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientSiteDN_CN

使用此属性来指定公共名称，以选择要发送到 SSL/TLS 服务器的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何通用名称的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientSiteDN_DC

使用此属性来指定域组件名称，以选择要发送到 SSL/TLS 服务器的证书。证书匹配不区分大小写。您可以指定多个 DC，并使用逗号分隔。每个 DC 表示域名中的一个元素，例如，使用逗号分隔多个值时域名 example.ibm.com 表示为 example,ibm,com。如果您不指定此属性，那么将接受具有任何域组件名称的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientSiteDN_DNQ

使用此属性来指定域限定符，以选择要发送到 SSL/TLS 服务器的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何域限定符的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientSiteDN_L

使用此属性来指定位置名，以选择要发送到 SSL/TLS 服务器的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何位置名称的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientSiteDN_O

使用此属性来指定组织名称，以选择要发送到 SSL/TLS 服务器的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何组织名称的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientSiteDN_OU

使用此属性来指定组织单元 (OU) 名称，以选择要发送到 SSL/TLS 服务器的证书。您可以指定多个 OU，并使用逗号分隔。（在文字逗号前加反斜杠 (\) 字符来匹配文字逗号）。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何 OU 名称的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。

SSLClientSiteDN_PC

使用此属性来指定邮政编码，以选择要发送到 SSL/TLS 服务器的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何邮政编码的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientSiteDN_ST

使用此属性来指定状态名称，以选择要发送到 SSL/TLS 服务器的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何州/省名称的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientSiteDN_Street

使用此属性来指定街道名称，以选择要发送到 SSL/TLS 服务器的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何街道名称的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientSiteDN_T

使用此属性来指定标题，以选择要发送到 SSL/TLS 服务器的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何标题的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientSiteDN_UID

使用此属性来指定用户标识，以选择要发送到 SSL/TLS 服务器的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何用户标识的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLClientSiteLabel

使用此属性来指定标签名称，以选择要发送到 SSL/TLS 服务器的证书。如果您不指定此属性，那么将接受具有任何标签名称的证书。如果更改此属性（并且 SSLClient 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLExitData

使用此属性来提供要传递给出口的用户定义的字符串。

SSLExitName

使用此属性来定义当路由充当 SSL/TLS 客户机或 SSL/TLS 服务器时将调用的出口的类名。名称必须包含任何程序包名，例如 com.ibm.mq.ipt.exit.TestExit。

SSLExitPath

使用此属性定义出口的位置，用于装入出口的副本。名称必须是用于找到类文件的标准名称，或者包含类文件的 .jar 文件的名称；例如， C:\mqipt\exits 或 C:\mqipt\exits\exits.jar。

SSLExitTimeout

使用此属性来定义 MQIPT 在终止连接请求之前等待出口完成的时间长度。值 0 表示 MQIPT 无限期等待。

SSLPlainConnections

使用此属性来指定到配置为接受入站 SSL/TLS 连接的路由的 MQIPT 侦听器端口的连接是否必需 SSL/TLS。此属性适用于将 SSLServer 或 SSLProxyMode 属性设置为 true 的路由。如果启用此属性，那么此属性允许未加密的连接连接到路由侦听器端口，这意味着 MQIPT 可以将所有 IBM MQ 连接转发到队列管理器的侦听器端口，而不考虑连接是否已加密。如果未设置此参数，或者将其设置为 false，那么仅允许入站 SSL/TLS 连接。如果更改此属性，那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLProxyMode

将此属性设置为 true 以使路由仅接受 SSL/TLS 客户机连接请求，并将请求直接隧道到目标。如果更改此属性，那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。此属性不能与以下属性一起使用：

SocksClient
SocksServer
SSLClient
SSLServer

SSLServer

将此属性设置为 true 以使路由充当 SSL/TLS 服务器并接受入局 SSL/TLS 连接。将 SSLServer 设置为 true 意味着调用者是另一个充当 SSL/TLS 客户机的 MQIPT ，或者是启用了 SSL/TLS 的 IBM MQ 客户机或队列管理器。

如果将 SSLServer 设置为 true，那么必须使用 SSLServerKeyRing 属性指定 SSL/TLS 服务器密钥环，或者通过设置 SSLServerKeyRingUseCryptoHardware 属性将 MQIPT 配置为使用加密硬件。

如果更改此属性，那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

此属性不能与以下属性一起使用：

SocksServer
SSLProxyMode

SSLServerCAKeyRing

包含 CA 证书的密钥环文件的标准文件名，用于认证来自 SSL/TLS 客户机的证书。在 Windows 平台上，必须使用双反斜杠 (\\) 作为文件分隔符。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。

SSLServerCAKeyRingPW

用于打开通过 SSLServerCAKeyRing 属性指定的 SSL/TLS 服务器 CA 密钥环文件或连接到加密硬件密钥库 (如果 SSLServerCAKeyRingUseCryptoHardware 属性设置为 true) 的密码。

如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerCAKeyRingUseCryptoHardware

指定是否将支持 PKCS #11 接口的加密硬件用作用于认证来自 SSL/TLS 客户机的证书的 CA 证书的密钥库。如果此属性设置为 true，那么不能在同一路径上设置 SSLServerCAKeyRing 。

如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerAskClientAuth

使用此属性可请求 SSL/TLS 服务器进行 SSL/TLS 客户机认证。 SSL/TLS 客户机必须具有自己的证书才能发送到 SSL/TLS 服务器。将从密钥环文件中检索证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。

SSLServerCipherSuites

要在 SSL/TLS 服务器端使用的 SSL/TLS CipherSuite 的名称。可以是所支持的一个或多个 CipherSuite。如果将此选项留空，那么将使用与密钥环中的服务器证书兼容的已启用协议的任何 CipherSuite 。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。

SSLServerDN_C

使用此属性可接受从此国家或地区名称的 SSL/TLS 客户机接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何公司名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerDN_CN

使用此属性可接受从此公共名称的 SSL/TLS 客户机接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何通用名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerDN_DC

使用此属性可接受从此域组件名称的 SSL/TLS 客户机接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。您可以指定多个 DC，并使用逗号分隔。每个 DC 表示域名中的一个元素，例如，使用逗号分隔多个值时域名 example.ibm.com 表示为 example,ibm,com。如果您不指定此属性，那么将接受具有任何域组件名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerDN_DNQ

使用此属性可接受从此域限定符的 SSL/TLS 客户机接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何域限定符的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerDN_L

使用此属性可接受从此位置的 SSL/TLS 客户机接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何位置的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerDN_O

使用此属性可接受从此组织的 SSL/TLS 客户机接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何组织的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerDN_OU

使用此属性可接受从此组织单元 (OU) 的 SSL/TLS 客户机接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。您可以指定多个 OU，并使用逗号分隔。（在文字逗号前加反斜杠 (\) 字符来匹配文字逗号）。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何 OU 名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。

SSLServerDN_PC

使用此属性可接受从此邮政编码的 SSL/TLS 客户机接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何邮政编码的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerDN_ST

使用此属性可接受从此状态的 SSL/TLS 客户机接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何/省的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerDN_Street

使用此属性可接受从此街道名称的 SSL/TLS 客户机接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何街道名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerDN_T

使用此属性可接受从此标题的 SSL/TLS 客户机接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何标题的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerDN_UID

使用此属性可接受从此用户标识的 SSL/TLS 客户机接收的证书。可以使用星号 (*) 作为名称的前缀或后缀来扩展范围。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何用户标识的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerExit

使用此属性可在路由充当 SSL/TLS 服务器时启用或禁用出口。这允许您在配置文件中定义出口详细信息，而不必真正使用它们。

SSLServerKeyRing

包含服务器证书的密钥环文件的标准文件名。在 Windows 平台上，必须使用双反斜杠 (\\) 作为文件分隔符。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerKeyRingPW

用于打开通过 SSLServerKeyRing 属性指定的 SSL/TLS 服务器密钥环文件或连接到加密硬件密钥库 (如果 SSLServerKeyRingUseCryptoHardware 属性设置为 true) 的密码。

如果将 SSLServer 设置为 true，那么必须指定 SSLServerKeyRingPW 。

如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerKeyRingUseCryptoHardware

指定当 MQIPT 充当 SSL/TLS 服务器时，是否将支持 PKCS #11 接口的加密硬件用作服务器证书的密钥库。如果此属性设置为 true，那么不能在同一路径上设置 SSLServerKeyRing 。

如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerProtocols

用于限制启用的安全套接字协议集，当 SSLServer 设置为 true 时，该安全套接字协议用于接受路由的路由侦听器端口入站连接。

表 2. SSL/TLS 协议的允许值
值	协议
SSLv3	SSL 3.0
TLSv1	TLS 1.0
TLSv1.1	TLS 1.1
TLSv1.2	TLS 1.2
TLSv1.3	TLS 1.3

在路由属性中使用值列中列出的条目。协议列中的相应条目仅供参考。

SSLServerSiteDN_C

使用此属性来指定国家或地区名称，以选择要发送到 SSL/TLS 客户机的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何国家或地区名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerSiteDN_CN

使用此属性来指定公共名称，以选择要发送到 SSL/TLS 客户机的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何通用名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerSiteDN_DC

使用此属性来指定域组件名称，以选择要发送到 SSL/TLS 客户机的证书。证书匹配不区分大小写。您可以指定多个 DC，并使用逗号分隔。每个 DC 表示域名中的一个元素，例如，使用逗号分隔多个值时域名 example.ibm.com 表示为 example,ibm,com。如果您不指定此属性，那么将接受具有任何域组件名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerSiteDN_DNQ

使用此属性来指定域限定符，以选择要发送到 SSL/TLS 客户机的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何域限定符的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerSiteDN_L

使用此属性来指定位置名，以选择要发送到 SSL/TLS 客户机的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何位置名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerSiteDN_O

使用此属性来指定组织名称，以选择要发送到 SSL/TLS 客户机的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何组织名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerSiteDN_OU

使用此属性来指定组织单元 (OU) 名称，以选择要发送到 SSL/TLS 客户机的证书。您可以指定多个 OU，并使用逗号分隔。（在文字逗号前加反斜杠 (\) 字符来匹配文字逗号）。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何 OU 名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。此路由的所有连接停止。

SSLServerSiteDN_PC

使用此属性来指定邮政编码，以选择要发送到 SSL/TLS 客户机的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何邮政编码的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerSiteDN_ST

使用此属性来指定状态名称，以选择要发送到 SSL/TLS 客户机的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何州/省名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerSiteDN_Street

使用此属性来指定街道名称，以选择要发送到 SSL/TLS 客户机的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何街道名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerSiteDN_T

使用此属性来指定标题，以选择要发送到 SSL/TLS 客户机的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何标题的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerSiteDN_UID

使用此属性来指定用户标识，以选择要发送到 SSL/TLS 客户机的证书。证书匹配不区分大小写。如果您不指定此属性，那么将接受具有任何用户标识的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

SSLServerSiteLabel

使用此属性来指定标签名称，以选择要发送到 SSL/TLS 客户机的证书。如果您不指定此属性，那么将接受具有任何标签名称的证书。如果更改此属性（并且 SSLServer 设置为 true），那么路由停止并在发出刷新命令时重新启动。路由的所有连接停止。

StoredCredentialsFormat

使用此属性来指示密码属性的值是否使用 MQIPT 从 IBM MQ 9.1.5中支持的加密密码格式。 MQIPT 几乎始终可以检测是否以加密密码格式指定了密码。仅需要在 MQIPT 无法自动区分加密密码和纯文本密码或文件名的不太可能的场景中设置此属性。

该值可以是下列任一值：

已加密: 密码属性包含格式为 MQIPT 中支持的来自 IBM MQ 9.1.5的加密密码。
COMPAT: 密码属性包含纯文本密码，或者对于密钥环密码，包含加密密码的文件的名称。

TCPKeepAlive

将此属性设置为 true 以启用 TCP/IP 保持活动包的定期发送，防止此路由上的连接变得空闲。这将降低 MQIPT 连接被防火墙或路由器断开的机会。 TCP/IP 保持活动包的发送由操作系统的调整参数控制；有关如何调整保持活动的更多详细信息，请查看操作系统文档。如果不设置此参数，或将其设置为 false，将不发送保持活动包。

跟踪

此路由所需要的跟踪级别。启用一个路由的跟踪不会启用任何其他路由的跟踪。如果您需要跟踪多个路由，您必须将 Trace 属性添加到要跟踪的每个路由的 [route] 部分。

此属性的值可以是下列其中一项:

0: 未启用跟踪
任何正整数: 已启用跟踪

缺省值为 0。

如果 [route] 部分不包含 Trace 属性，那么将使用 [global] 部分中的 Trace 属性。有关未与路由关联的跟踪线程的信息，请参阅 [global] 部分中的 Trace。如果此属性的更改影响路由，那么发出刷新命令时使用新值。所有连接立即使用新值。路由不停止。

TraceUserData

在对此路由启用跟踪时，此路由所跟踪的网络传输中接收和发送的用户数据量。该值可以是下列任一值：

0: 未跟踪任何用户数据。
全部: 跟踪所有用户数据。
numberOfBytes: 跟踪指定的数据字节数，包括传输段头 (TSH)。指定的值必须大于 15。

UriName

使用 HTTP 代理时，可以使用此属性更改资源的统一资源标识的名称，尽管大多数配置中使用缺省值就足够了。

HTTP://destination:destination_port/mqipt

如果更改此属性（并且 HTTP 设置为 true），那么路由停止并在发出刷新命令时重新启动。