在我的 IBM MQ 中,我有多个队列管理器需要启用 SSL。
我一直在关注这个blog 并成功地将 SSL 配置为单个队列管理器。
如果我有超过 1 个队列管理器,我是否需要为每个队列管理器拥有一个专用的密钥库?
有没有办法拥有一个全局/公共密钥库并为使用该密钥库的所有队列管理器启用 SSL?
既然博客说有这个问题,
"这里说一下证书标签。这个证书的默认名称的形式是:‘ibmwebspheremq’+‘队列管理器名称’(全小写) 在我们的例子中,这变成:‘ibmwebpsheremqmyqm01’”
任何指导都会非常有帮助。
IBM MQ v 9.1
【问题讨论】:
与许多这些问题一样,答案取决于情况。 如果您可以将密钥库文件发送到每台机器 - 安全,那么您可以为所有队列管理拥有相同的文件。如果您这样做不安全,那么人们可能会复制您的密钥库并冒充您,并查看您的所有流量。
如果您在外部 HSM 中拥有私有证书(想想安全 USB 存储),则无法将私有密钥获取到另一台机器,因此您必须获取机器唯一证书。
您可以使用 CERLABL(...) 指定密钥库中证书的名称。
我刚刚(今天)发表了一些关于中端 TLS 的博客文章。见https://colinpaice.blog/2021/02/13/which-cipher-spec-and-certificate-type-should-i-use-for-the-mq-server-tls-1-2
【讨论】:
当队列管理器位于同一台计算机上时,您可以为所有队列管理器使用相同的密钥库。您可以在队列管理器的 SSL 配置中指定相同的文件。例如:-
ALTER QMGR SSLKEYR('/central/ssl/key')
不同的队列管理器将根据证书的标签找到他们的个人证书。这就是那句话的意思。例如:-
在队列管理器 MQG1 上
DISPLAY QMGR CERTLABL
QMNAME(MQG1) CERTLABL(ibmwebspheremqmqg1)
关于队列管理器 MQG2
DISPLAY QMGR CERTLABL
QMNAME(MQG2) CERTLABL(ibmwebspheremqmqg2)
默认情况下,队列管理器将在密钥库中查找这些名称。正如您所看到的,它们对于每个队列管理器都是不同的,因此可以愉快地共存于同一个密钥库中。如果要为证书选择不同的标签,只需更改每个队列管理器的CERTLABL 属性即可。
【讨论】: