J'ai reçu un fichier .p12 de notre équipe serveur. J'ai besoin de connecter le serveur MQ en utilisant ceci. Ce dont j'ai besoin pour travailler. Y at-il des entrées de configuration que je dois effectuer avant de l'utiliser.SSL Cert .p12 in .net
Réponse courte: Pas assez d'information pour répondre à votre question. Ce sujet est assez complexe et dépend beaucoup du fait que votre application soit C ou Java et que le canal WMQ soit configuré pour l'authentification mutuelle ou non.
Réponse longue: Voici ce que vous devez savoir et pourquoi ...
programmes de WMQ utilisent soit un format .kdb magasin de clés ou ils utilisent un fichier de clés .jks. Le format .jks est pour les programmes Java/JMS et le format .kdb est généralement pour les programmes C. Comme amqsputc n'est certainement pas ce que vous utiliserez dans Production, la première chose à faire est de déterminer ce que vous utiliserez dans Production pour obtenir le bon type de magasin de clés. Il n'y a aucun sens à faire fonctionner amqsputc en utilisant un kdb si votre application réelle a besoin d'un keystore .jks. Une fois que vous savez si vous avez besoin d'un kdb ou d'un jks, vous pouvez procéder en conséquence. Le .p12 qui vous a été donné devra être chargé dans le fichier .kdb ou .jks avant qu'un programme WMQ puisse l'utiliser. L'important ici est de comprendre si le fichier .p12 contient votre clé privée ou la clé publique du QMgr. Selon que le canal est configuré pour nécessiter une authentification mutuelle, l'un ou l'autre de ces scénarios est valide. Un programme comme amqsputc qui accède à un fichier kdb à la recherche de votre clé privée va chercher une étiquette spécifique pour trouver le bon certificat. Donc, s'il s'agit d'une clé privée, vous devez le savoir et vous devez connaître l'ID utilisateur qui y accédera, car cela fait partie de l'étiquette lorsque vous installez le certificat.
Si vous utilisez un fichier kdb, vous devez utiliser l'outil IBM pour le gérer. Si vous utilisez un jks, vous pouvez utiliser les outils d'IBM, l'outil keytool de Sun ou tout autre outil compatible. IBM fournit une interface graphique et un outil de ligne de commande. Je recommande l'outil de ligne de commande gskcapicmd pour lequel vous pouvez trouver le manuel d'utilisation here.
Pour faire un peu de travail en créant et en gérant des certificats WMQ, n'hésitez pas à saisir le WMQ Security Lab downloads de mon site Web. Le fichier zip contient des scripts qui génèrent des fichiers et des certificats kdb. Ils ne font pas exactement ce dont vous avez besoin, mais vous aurez une bonne idée de la façon dont la commande exécute les tâches les plus élémentaires.
Jetez un oeil à la WMQ SupportPac MO04 SSL Wizard. Vous lui dites quel type d'application vous avez et quelle plate-forme et crache les commandes pour générer des fichiers de clés et des certificats. Cela vous mènera à mi-chemin. Cela vous mènerait jusqu'au bout si vous n'aviez pas ce mystère .p12 à traiter.
Le WMQ product manuals are your friend. Vous vous familiariserez avec les manuels WMQ Security et WMQ Client avant d'avoir terminé. Si votre application est Java ou JMS, vous pouvez également consulter le manuel Using Java. Enfin, il existe de nombreux liens vers différentes ressources de sécurité WMQ on my web site. Certains d'entre eux peuvent être utiles.
La réponse simple est non nous ne pouvons pas le faire. Parce que les certificats MQ dépendent de chaque client. Pour .net, c etc, nous avons besoin d'un fichier def Channel. Pour Java, nous devons utiliser javak (Quelque chose comme ça)
Vous êtes l'un des personne étonnante dans la zone MQ. J'adore toujours vos réponses. merci pour l'information très utile. Je pense que ce prety résout beaucoup mon problème. – user171523
Que dois-je faire côté serveur pour accepter le type de certificat .p12 du client. – user171523
Désolé pour la réponse tardive. Je suis à IMPACT cette semaine et, en raison des contraintes de temps, j'ai un accès limité à Internet. QMgr ne peut pas utiliser directement un fichier .p12. Vous devez utiliser iKeyman ou l'un des outils GSKit de ligne de commande pour obtenir le certificat dans le magasin de clés kdb du fichier QMgr. Rappelez-vous que le certificat privé d'un QMgr * doit * être nommé ibmwebspheremq tout un mot, le tout en minuscules. Un certificat pour une entité approuvée (racine CA ou clé publique auto-signée) peut avoir n'importe quel nom d'étiquette. Merci pour les mots gentils! –