4

我尝试从 WebSphere 应用服务器上启动的简单 Web 服务连接到 WMQ。

在 WMQ 上,我有带 SSL 的通道。我现在使用自签名证书。

在 glassfish 的情况下,我只需将此证书添加到域中的密钥库中,并且一切正常(因为我配置了我的 MQQueueConnectionFactory)。

但是在 WebSphere 上这个技巧不起作用:

[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O %% Invalidated:  [Session-94, SSL_RSA_EXPORT_WITH_RC4_40_MD5]
[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O jmsContainer-1, SEND SSLv3 ALERT:  fatal, description = certificate_unknown
[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O jmsContainer-1, WRITE: SSLv3 Alert, length = 2
[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O [Raw write]: length = 7
[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O 0000: 15 03 00 00 02 02 2e                               .......

[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O jmsContainer-1, called closeSocket()
[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O jmsContainer-1, handling exception: javax.net.ssl.SSLHandshakeException: com.ibm.jsse2.util.j: PKIX path building failed: java.security.cert.CertPathBuilderException: unable to find valid certification path to requested target
[5/13/13 14:00:25:058 FET] 00000060 DefaultMessag E org.springframework.jms.listener.DefaultMessageListenerContainer refreshConnectionUntilSuccessful Could not refresh JMS Connection for destination 'fromESB' - retrying in 5000 ms. Cause: JMSWMQ0018: Failed to connect to queue manager 'qm1' with connection mode 'Client' and host name '192.168.56.101(1414)'.; nested exception is com.ibm.mq.MQException: JMSCMQ0001: WebSphere MQ call failed with compcode '2' ('MQCC_FAILED') reason '2397' ('MQRC_JSSE_ERROR').

如何将 WebSphere 应用程序服务器配置为使用 ssl(如何将服务器(WMQ)证书添加到信任库?或者信任库在哪里?)?

4

1 回答 1

3

好的。我自己解决这个问题。

配置 WMQ:

  1. 创建密钥库

    runmqckm -keydb -create -db "c:\dev\sslqm001\sslqm001.kdb" -pw serverpass -type cms -expire 365 -stash

  2. 创建证书并将其添加到密钥库

    runmqckm -cert -create -db "c:\dev\sslqm001\sslqm001.kdb" -pw serverpass -label ibmwebspheremqssl_qm001 -dn "CN=SSL_QM001,OU=IT,O=SomeCompany,L=Minsk,ST=白俄罗斯,C= BY"-过期 365

  3. 将此证书从密钥库导出到文件。

    runmqckm -cert -extract -db "c:\dev\sslqm001\sslqm001.kdb" -pw serverpass -label ibmwebspheremqssl_qm001 -target SSL_QM001.crt -format ascii

  4. 在队列管理器设置中,选项卡“SSL”将不带.kdb和 FIPS 的密钥库的路径设置为否:

    ALTER QMGR SSLKEYR('c:\dev\sslqm001\sslqm001') ALTER QMGR SSLFIPS(NO)

  5. 创建新频道

  6. 在通道设置中,选项卡“SSL”将密码设置为某个值(对我有用:DES_SHA_EXPORT),并将身份验证设置为可选

    DEFINE CHANNEL('SSL_CHANNEL') CHLTYPE(SVRCONN) TRPTYPE(TCP) SSLCIPH(DES_SHA_EXPORT) SSLCAUTH(OPTIONAL) REPLACE

  7. 在队列管理器中刷新 SSL:

    刷新安全类型(SSL)

更改您的应用上下文:

<bean id="mqConnectionFactory" class="com.ibm.mq.jms.MQQueueConnectionFactory">
    <property name="hostName" value="${queue_hostname}"/>
    <property name="port" value="${queue_port}"/>
    <property name="queueManager" value="${queue_manager}"/>
    <property name="transportType" value="1"/>
    <property name="SSLCipherSuite" value="SSL_RSA_EXPORT_WITH_RC4_40_MD5"/>
    <property name="channel" value="ssl_channel"/>
</bean>

在 WAS 上设置 SSL

  1. 去:

    安全 → SSL 证书和密钥管理 → SSL 配置 → NodeDefaultSSLSettings → 密钥库和证书 → NameOfStore → 签名者证书

  2. 添加您的证书,我们在步骤 3中导出

于 2013-05-30T09:28:18.607 回答