1. Accueil
  2. Question et réponse
  3. Les canaux ne sont pas exécutés après le renouvellement du certificat sur les fenêtres MQ

Les canaux ne sont pas exécutés après le renouvellement du certificat sur les fenêtres MQ

2017-10-19 9 views
1

Nous essayons d'importer les nouveaux certs renouvelés dans keystore dans les fenêtres MQ de notre production, mais les canaux vont conserver leur statut après le déploiement des certificats. On dirait que notre gestionnaire de files d'attente ne lit pas les certificats de l'erreur ci-dessous. L'émetteur des certificats est le même avant et maintenant. Les certs utilisés sont rootCA5, serverCA5 et Cert personnel. Les canaux fonctionnent bien lorsque nous remettons les anciens certificats. J'ai vérifié les permissions sur le dossier ssl et le keystore, ils vont bien. Nous cherchons des suggestions utiles car nos anciens certificats expireront demain. La version MQ que nous utilisons est MQ7.1.0.7.Les canaux ne sont pas exécutés après le renouvellement du certificat sur les fenêtres MQ

Nous avons essayé d'ajouter les paramètres ci-dessous dans le fichier qm.ini et nous avons été confrontés à la même question hier.

SSL: 
OCSPAuthentication=OPTIONAL 
OCSPCheckExtensions=NO

L'erreur suivante est enregistrée dans le AMQERR01.LOG gestionnaire de file d'attente:

10/18/2017 19:29:45 - Process(3084.1) User(4055TMQU) Program(runmqchl.exe) 
         Host(abcdefgh) Installation(Installation1) 
         VRMF(7.1.0.7) QMgr(QMPDBP) 

AMQ9642: No SSL or TLS certificate for channel 'xxxxxx.yyyyyy'. 

EXPLANATION: 
The channel 'xxxxxx.yyyyyy' did not supply a certificate to use during SSL 
or TLS handshaking, but a certificate is required by the remote queue manager. 

The remote host is 'abcdefgh (10.x.x.x)(1415)'. 

The channel did not start. 
ACTION: 
Ensure that the key repository of the local queue manager or MQ client contains 
a certificate which is associated with the queue manager or client. 
Alternatively, if appropriate, change the remote channel definition so that its 
SSLCAUTH attribute is set to OPTIONAL and it has no SSLPEER value set.

Source

2017-10-19 Rinak

+0

Avez-vous vérifié que l'étiquette du cert correspond à la chaîne 'ibmwebspheremqqmpdbp'? – JoshMc

+0

@JoshMc, Exactement c'était notre problème. Nous avons eu une mauvaise étiquette. J'ai édité l'étiquette. J'espère que nos certificats vont fonctionner. – Rinak

+0

Rinak, j'ai écrit une réponse avec plus de détails, s'il vous plaît accepter et voter s'il résout votre problème. – JoshMc

Répondre

2

Avec IBM MQ v7.5 et abaisser l'étiquette du certificat de gestionnaire de file d'attente doit être la chaîne exacte ibmwebspheremq concaténé avec le nom du gestionnaire de files d'attente est plié en minuscules.

Sur la base de l'erreur que vous avez posté, je peux voir le nom du gestionnaire de file d'attente est QMPDBP, afin de vérifier que l'étiquette du certificat correspond à la chaîne ibmwebspheremqqmpdbp

Notez que avec IBM MQ v8.0 et plus tard, vous pouvez dire gestionnaire de files d'attente le nom de l'étiquette de certificat à utiliser en définissant l'attribut CERTLABL du gestionnaire de files d'attente, par défaut, la valeur qui correspond à ce qui était requis dans v7.5 et inférieur.

Par exemple:

ALTER QMGR CERTLABL('DifferentLabel`)

Source

2017-10-19 17:14:30 JoshMc

+0

Merci d'avoir plus de détails sur la résolution. J'ai déployé les nouveaux certificats juste maintenant et les canaux fonctionnent bien. – Rinak

 Questions connexes

  • Aucun problème connexe^_^