我尝试从在WebSphere app server上启动的简单Web服务连接到WMQ。
在WMQ上我有SSL通道。我现在使用自签名证书。
在glassfish的情况下,我只是将此证书添加到域中的密钥存储区,并且一切正常(因为我配置了我的MQQueueConnectionFactory)。
但是在WebSphere上,这个技巧不起作用:
[5/13/13 14:00:25:058 FET] 00000060 SystemOut O %% Invalidated: [Session-94, SSL_RSA_EXPORT_WITH_RC4_40_MD5]
[5/13/13 14:00:25:058 FET] 00000060 SystemOut O jmsContainer-1, SEND SSLv3 ALERT: fatal, description = certificate_unknown
[5/13/13 14:00:25:058 FET] 00000060 SystemOut O jmsContainer-1, WRITE: SSLv3 Alert, length = 2
[5/13/13 14:00:25:058 FET] 00000060 SystemOut O [Raw write]: length = 7
[5/13/13 14:00:25:058 FET] 00000060 SystemOut O 0000: 15 03 00 00 02 02 2e .......
[5/13/13 14:00:25:058 FET] 00000060 SystemOut O jmsContainer-1, called closeSocket()
[5/13/13 14:00:25:058 FET] 00000060 SystemOut O jmsContainer-1, handling exception: javax.net.ssl.SSLHandshakeException: com.ibm.jsse2.util.j: PKIX path building failed: java.security.cert.CertPathBuilderException: unable to find valid certification path to requested target
[5/13/13 14:00:25:058 FET] 00000060 DefaultMessag E org.springframework.jms.listener.DefaultMessageListenerContainer refreshConnectionUntilSuccessful Could not refresh JMS Connection for destination 'fromESB' - retrying in 5000 ms. Cause: JMSWMQ0018: Failed to connect to queue manager 'qm1' with connection mode 'Client' and host name '192.168.56.101(1414)'.; nested exception is com.ibm.mq.MQException: JMSCMQ0001: WebSphere MQ call failed with compcode '2' ('MQCC_FAILED') reason '2397' ('MQRC_JSSE_ERROR').
如何配置WebSphere应用服务器以使用ssl(如何将服务器(WMQ)证书添加到信任存储?或信任存储在哪里?)?
答案 0 :(得分:3)
确定。我自己解决这个问题。
配置WMQ:
创建密钥库
runmqckm -keydb -create -db“c:\ dev \ sslqm001 \ sslqm001.kdb”-pw serverpass -type cms -expire 365 -stash
创建证书并将其添加到密钥库
runmqckm -cert -create -db“c:\ dev \ sslqm001 \ sslqm001.kdb”-pw serverpass -label ibmwebspheremqssl_qm001 -dn“CN = SSL_QM001,OU = IT,O = SomeCompany,L =明斯克,ST =白俄罗斯,C = 按“-expire 365
将此证书从密钥库导出到文件。
runmqckm -cert -extract -db“c:\ dev \ sslqm001 \ sslqm001.kdb”-pw serverpass -label ibmwebspheremqssl_qm001 -target SSL_QM001.crt -format ascii
在队列管理器设置中,选项卡“SSL”设置密钥库的路径,不包含 .kdb ,并将FIPS设置为否:
ALTER QMGR SSLKEYR('c:\ dev \ sslqm001 \ sslqm001') ALTER QMGR SSLFIPS(NO)
创建新频道
在频道设置中,“SSL”选项卡将密码设置为某个值(对我有效:DES_SHA_EXPORT),并将auth设置为可选
DEFINE CHANNEL('SSL_CHANNEL')CHLTYPE(SVRCONN)TRPTYPE(TCP)SSLCIPH(DES_SHA_EXPORT)SSLCAUTH(可选)替换
在队列管理器中刷新SSL:
REFRESH SECURITY TYPE(SSL)
更改您的appcontex:
<bean id="mqConnectionFactory" class="com.ibm.mq.jms.MQQueueConnectionFactory">
<property name="hostName" value="${queue_hostname}"/>
<property name="port" value="${queue_port}"/>
<property name="queueManager" value="${queue_manager}"/>
<property name="transportType" value="1"/>
<property name="SSLCipherSuite" value="SSL_RSA_EXPORT_WITH_RC4_40_MD5"/>
<property name="channel" value="ssl_channel"/>
</bean>
在WAS上设置SSL
转到:
安全性→SSL证书和密钥管理→SSL配置→ NodeDefaultSSLSettings→密钥库和证书→NameOfStore→ 签名者证书
添加我们在第3步中导出的证书