我可以使用与我的应用已经使用的AMS相同的密钥库和证书吗?
答案 0 :(得分:2)
您可以,但如果需要,还可以选择使用单独的证书和/或密钥库。 keystore.conf文件包含密钥库的详细信息以及AMS用于加密和签名邮件的证书的标签。这可以指向与应用程序用于连接WebSphere MQ的相同证书,应用程序服务器用于SSL连接的相同证书或专用于AMS的完全独立的密钥库。
密钥(借口是双关语)是根据所需的安全模型管理密钥库。应用服务器的密钥库可能在其信任库中具有许多面向外部的证书。例如,它可能信任几个商业证书颁发机构。 AMS密钥库必须包含将对您的应用将使用的消息进行签名或加密或从您的应用接收加密消息的任何人的证书。由于这些通常是面向内部的,因此对于AMS使用单独的密钥库而不是用于面向外部的实体可能是值得的。否则,两种不同的安全模型(面向内部和面向外部)最终会相互信任参与者。
这只是一个示例,一般来说,这个想法是根据所需的特定安全模型和使用最小信任原则构建密钥库。您必须平衡维护单独密钥库的成本与维护单个密钥库的额外安全性。