SSL/TLS 样本程序
AMQSSLC 是一个样本 C 程序,用于演示如何使用 MQCNO 和 MQSCO 结构在 MQCONNX 调用上提供 SSL/TLS 客户机连接信息。 这允许客户机 MQI 应用程序在运行时提供其客户机连接通道的定义和 SSL/TLS 设置,而无需客户机通道定义表 (CCDT)。
如果提供连接名称,那么该程序将采用 MQCD 结构构造客户机连接通道定义。
如果提供密钥存储库文件的主干名称,那么该程序将构造 MQSCO 结构;如果还提供了 OCSP 响应程序 URL,那么该程序将构造认证信息记录 MQAIR 结构。
然后,该程序使用 MQCONNX 连接到队列管理器。 它查询并打印其连接到的队列管理器的名称。
该程序旨在作为 MQI 客户机应用程序进行链接。 但它可以作为常规 MQI 应用程序进行链接。 然后,可简单连接到本地队列管理器,并忽略客户机连接信息
AMQSSLC 接受以下参数,所有这些参数都是可选的:
- -m QmgrName
- 要连接到的队列管理器的名称
- -c ChannelName
- 要使用的通道的名称
- -x ConnName
- 服务器连接名称
SSL/TLS 参数:
- -k KeyReposStem
- 密钥存储库文件的主干名称。 这是到该文件的完整路径,不含 .kdb 后缀。 例如:
/home/user/client C:\User\client - -s CipherSpec
- 与队列管理器上 SVRCONN 通道定义中的 SSLCIPH 对应的 SSL/TLS 通道 CipherSpec 字符串。
- -f
- 指定必须仅使用 FIPS 140-2 认证的算法。
- -b VALUE1[,VALUE2...]
- 指定必须仅使用符合 Suite B 要求的算法。 此参数是以下一个或多个值的逗号分隔列表:NONE,128_BIT,192_BIT。 这些值具有与 MQSUITEB 环境变量以及客户机配置文件 SSL 节中等效 EncryptionPolicySuiteB 设置相同的含义。
- -p Policy
- 指定要使用的证书验证策略。 这可以为以下值之一:
- ANY
- 应用安全套接字库支持的所有证书验证策略并接受证书链(如果有任何策略认为该证书链有效)。 可使用此设置来确保与不符合最新证书标准的旧数字证书的最大向后兼容性。
- RFC5280
- 仅应用符合 RFC 5280 的证书验证策略。 此设置提供比 ANY 设置更严格的验证,但是会拒绝一些较旧的数字证书。
OCSP 证书撤销参数:
- -o URL
- OCSP 响应程序 URL