MQ SSL 错误、协议被禁用或密码套件不合适答案

【问题标题】：MQ SSL error, protocol is disabled or cipher suites are inappropriateMQ SSL 错误、协议被禁用或密码套件不合适
【发布时间】：2015-09-24 09:23:28
【问题描述】：

我有一个使用 SSL 通道运行良好的 MQ spring jms 应用程序。然而，在应用了最近的 java 安全补丁后，应用程序停止工作并出现以下错误。

Caused by: com.ibm.mq.MQException: JMSCMQ0001: WebSphere MQ call failed with compcode '2' ('MQCC_FAILED') reason '2397' ('MQRC_JSSE_ERROR').
    at com.ibm.msg.client.wmq.common.internal.Reason.createException(Reason.java:209) ~[com.ibm.mqjms-7.5.0.0.jar:7.5.0.0 - p000-L120604]
    ... 45 common frames omitted
Caused by: javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
        at sun.security.ssl.Handshaker.activate(Handshaker.java:438) ~[na:1.6.0_34]
        at sun.security.ssl.SSLSocketImpl.kickstartHandshake(SSLSocketImpl.java:1414) ~[na:1.6.0_34]

我注意到新的 java 安全文件添加了这一行，导致 SSL 连接到 MQ 失败。

jdk.tls.disabledAlgorithms=SSLv3

我无法删除此行，因为这是共享环境，我有哪些选项可以使此工作正常进行。我正在使用 MQQueueConnectionFactory 配置并注入到我的 spring JMS 组件中。

谢谢

【问题讨论】：

标签： spring ssl ibm-mq spring-jms jsse

【解决方案1】：

你不能用这个吗- java.security.Security.setProperty("jdk.tls.disabledAlgorithms","")

JDK8 中引入了此更改。

【讨论】：

【解决方案2】：

为了响应式支持目的，您必须（尽快）使其正常工作，请在该安全文件中注释/禁用该策略。这将允许 Spring 应用程序像以前一样继续。

但是您需要通过使用相同密码的 TLS 版本或迁移到新的 TLS 密码来实现永久修复。

【讨论】：

好的，谢谢。您能否解释一下相同密码的 TLS 版本或迁移到新的 TLS 密码是什么意思。这是否意味着我需要一个特定于 TLS 的不同 SSL 证书。我在某处读到这种情况，因为服务器（MQ Qmgr）只理解在客户端 jvm 上禁用的 SSLv3，那么服务器是否有（MQ Qmgr）要升级以谈 TLS？这个 TLS/SSLv3 决定究竟是如何发生的。
您必须告诉我们队列管理器的版本，这样我们才能评论它是否需要升级才能使用 TLS。然而。如果它确实需要升级，它也不受支持，无论如何都可以进行上述升级！

【解决方案3】：

您需要在队列管理器和客户端的服务器连接通道上设置适合 TLS 的匹配 SipherSpec。

这应该对客户端有所帮助：

http://www-01.ibm.com/support/knowledgecenter/SSFKSJ_8.0.0/com.ibm.mq.dev.doc/q113220_.htm

虽然使用 MQ Explorer 进行 QM 端是最简单的，但只需查看连接工厂中指定的服务器连接通道的 SSL 属性。

【讨论】：