Настройка SSL между Websphere App Server и Websphere MQ

Я пытаюсь подключиться к WMQ из простой веб-службы, запущенной на сервере приложений WebSphere.

На WMQ у меня есть канал с SSL. Я пока использую самоподписанные сертификаты.

В случае стеклянной рыбы я просто добавляю этот сертификат в хранилище ключей в домене, и все работает хорошо (потому что я настраиваю свой MQQueueConnectionFactory).

Но в WebSphere этот трюк не работает:

[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O %% Invalidated:  [Session-94, SSL_RSA_EXPORT_WITH_RC4_40_MD5]
[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O jmsContainer-1, SEND SSLv3 ALERT:  fatal, description = certificate_unknown
[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O jmsContainer-1, WRITE: SSLv3 Alert, length = 2
[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O [Raw write]: length = 7
[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O 0000: 15 03 00 00 02 02 2e                               .......

[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O jmsContainer-1, called closeSocket()
[5/13/13 14:00:25:058 FET] 00000060 SystemOut     O jmsContainer-1, handling exception: javax.net.ssl.SSLHandshakeException: com.ibm.jsse2.util.j: PKIX path building failed: java.security.cert.CertPathBuilderException: unable to find valid certification path to requested target
[5/13/13 14:00:25:058 FET] 00000060 DefaultMessag E org.springframework.jms.listener.DefaultMessageListenerContainer refreshConnectionUntilSuccessful Could not refresh JMS Connection for destination 'fromESB' - retrying in 5000 ms. Cause: JMSWMQ0018: Failed to connect to queue manager 'qm1' with connection mode 'Client' and host name '192.168.56.101(1414)'.; nested exception is com.ibm.mq.MQException: JMSCMQ0001: WebSphere MQ call failed with compcode '2' ('MQCC_FAILED') reason '2397' ('MQRC_JSSE_ERROR').

Как настроить сервер приложений WebSphere для использования ssl (как добавить сертификат сервера (WMQ) в хранилище доверенных сертификатов? Или где находится хранилище доверенных сертификатов?)?


java ssl spring websphere ibm-mq
person Ruslan    schedule 13.05.2013    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Ok. Я решаю это сам.

Настроить WMQ:

  1. Создать хранилище ключей

    runmqckm -keydb -create -db "c: \ dev \ sslqm001 \ sslqm001.kdb" -pw serverpass -type cms -expire 365 -stash

  2. Создайте сертификат и добавьте его в хранилище ключей

    runmqckm -cert -create -db "c: \ dev \ sslqm001 \ sslqm001.kdb" -pw serverpass -label ibmwebspheremqssl_qm001 -dn "CN = SSL_QM001, OU = IT, O = SomeCompany, L = Minsk, ST = Беларусь, C = BY "-expire 365

  3. Экспортируйте этот сертификат из хранилища ключей в файл.

    runmqckm -cert -extract -db "c: \ dev \ sslqm001 \ sslqm001.kdb" -pw serverpass -label ibmwebspheremqssl_qm001 -target SSL_QM001.crt -format ascii

  4. В настройках администратора очередей на вкладке «SSL» укажите путь к хранилищу ключей без .kdb и для FIPS значение Нет:

    ALTER QMGR SSLKEYR ('c: \ dev \ sslqm001 \ sslqm001') ALTER QMGR SSLFIPS (NO)

  5. Создать новый канал

  6. В настройках канала на вкладке «SSL» установите шифр на какое-то значение (у меня работает: DES_SHA_EXPORT), а авторизацию на необязательный.

    ОПРЕДЕЛЕНИЕ КАНАЛА ('SSL_CHANNEL') CHLTYPE (SVRCONN) TRPTYPE (TCP) SSLCIPH (DES_SHA_EXPORT) SSLCAUTH (ДОПОЛНИТЕЛЬНО) ЗАМЕНИТЬ

  7. В диспетчере очередей обновите SSL:

    ОБНОВИТЬ ТИП БЕЗОПАСНОСТИ (SSL)

Измените контекст приложения:

<bean id="mqConnectionFactory" class="com.ibm.mq.jms.MQQueueConnectionFactory">
    <property name="hostName" value="${queue_hostname}"/>
    <property name="port" value="${queue_port}"/>
    <property name="queueManager" value="${queue_manager}"/>
    <property name="transportType" value="1"/>
    <property name="SSLCipherSuite" value="SSL_RSA_EXPORT_WITH_RC4_40_MD5"/>
    <property name="channel" value="ssl_channel"/>
</bean>

Настроить SSL на WAS

  1. Go To:

    Безопасность → SSL-сертификат и управление ключами → Конфигурации SSL → NodeDefaultSSLSettings → Хранилища ключей и сертификаты → NameOfStore → Подписывающие сертификаты

  2. Добавьте свой сертификат, который мы экспортируем на шаге 3

person Ruslan    schedule 30.05.2013