IBM MQ SSL 配置与测试(一)

1 测试环境

1.1成员清单

序号 IP 主机名 队列管理器 操作系统
1 192.168.56.6 qm71 TEST Linux version 2.6.31-4 (root@builder2.redflag-linux.com) (gcc version 4.2.1)

 

1.2 创建用户和用户组

groupadd mqadmin

useradd -g mqadmin -G mqadmin -d /home/jdoe -m jdoe

1.3 队列管理器脚本

队列管理器创建脚本

crtmqm -lc -lf 1024 -lp 5 -ls 4 -u DEADQ  TEST

strmqm TEST

runmqsc TEST

ALTER QMGR CCSID(1208)

DEFINE LISTENER(‘LSR.TEST’) TRPTYPE(TCP) PORT(1415) CONTROL(QMGR)

START LISTENER(‘LSR.TEST’)

DEFINE QLOCAL(DEADQ) DEFPSIST(YES)

alter qmgr cmdev(ENABLED) configev(ENABLED) authorev(ENABLED) chlev(ENABLED) sslev(ENABLED)

END

 

 

2 配置SSL

2.1 MQ SERVER端配置

创建key database

runmqckm -keydb -create -db /var/mqm/qmgrs/TEST/ssl/key.kdb -pw ibmpw -type cms -stash

 

 

创建证书

runmqckm -cert -create -db /var/mqm/qmgrs/TEST/ssl/key.kdb -pw ibmpw -label ibmwebspheremqtest -dn CN=TEST.XYZ.COM,O=XYZ,C=US -x509version 3 -size 2048 -expire 365 -sig_alg SHA512_WITH_RSA

 

抽取为文件TEST-Cert.arm

runmqckm -cert -extract -db /var/mqm/qmgrs/TEST/ssl/key.kdb -pw ibmpw -label ibmwebspheremqtest -target /var/mqm/qmgrs/TEST/ssl/TEST-Cert.arm -format ascii

 

2.2 MQ管理客户端配置(WINDOWS)

创建key database

runmqckm -keydb -create -db C:\IBM\MQ\SSL\key.jks -pw ibmpw -type jks

 

创建证书

runmqckm -cert -create -db C:\IBM\MQ\SSL\key.jks -pw ibmpw -label mqadmin_jdoe -dn CN=MQADMIN.jdoe.XYZ.COM,O=XYZ,C=US -x509version 3 -size 2048 -expire 365 -sig_alg SHA512_WITH_RSA

 

抽取为文件MQADMIN-jdoe-Cert.arm

runmqckm -cert -extract -db C:\IBM\MQ\SSL\key.jks -pw ibmpw -label mqadmin_jdoe -target C:\IBM\MQ\SSL\MQADMIN-jdoe-Cert.arm -format ascii

 

2.3交换证书

2.3.1 MQ SERVER端

 

先把MQ管理客户端的C:\IBM\MQ\SSL\MQADMIN-jdoe-Cert.arm复制到MQ SERVER端的/var/mqm/qmgrs/TEST/ssl/目录下,然后执行命令:

runmqckm -cert -add -db /var/mqm/qmgrs/TEST/ssl/key.kdb -pw ibmpw -label mqadmin_jdoe -file /var/mqm/qmgrs/TEST/ssl/MQADMIN-jdoe-Cert.arm -format ascii -trust enable

 

 

2.3.2 MQ管理客户端

先把MQ SERVER端的/var/mqm/qmgrs/TEST/ssl/TEST-Cert.arm复制到MQ管理客户端的C:\IBM\MQ\SSL\目录下,然后执行命令:

runmqckm -cert -add -db C:\IBM\MQ\SSL\key.jks -pw ibmpw -label ibmwebspheremqtest -file C:\IBM\MQ\SSL\TEST-Cert.arm -format ascii -trust enable

 

 

2.4刷新SSL缓存

echo “refresh security(*) type(ssl)” | runmqsc TEST

 

2.5通道配置

队列管理器配置脚本

runmqsc TEST

DEFINE CHANNEL(MQADMIN.SVRCONN) CHLTYPE(SVRCONN) sslciph(TLS_RSA_WITH_AES_256_CBC_SHA) sslpeer(‘CN=MQADMIN.*,O=XYZ,C=US’)

set chlauth(MQADMIN.SVRCONN) type(SSLPEERMAP) sslpeer(‘CN=MQADMIN.*,O=XYZ,C=US’) usersrc(CHANNEL)

set chlauth(MQADMIN.SVRCONN) type(BLOCKUSER) userlist(‘nobody’)

END

 

3 队列管理器授权

setmqaut -m TEST -t qmgr -g mqadmin +connect +inq +alladm

setmqaut -m TEST -t q -n “**” -g mqadmin +alladm +crt +browse

setmqaut -m TEST -t topic -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t channel -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t process -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t namelist -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t authinfo -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t clntconn -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t listener -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t service -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t q -n SYSTEM.MQEXPLORER.REPLY.MODEL -g mqadmin +inq +get +dsp

setmqaut -m TEST -t q -n SYSTEM.ADMIN.COMMAND.QUEUE -g mqadmin +inq +put +dsp

 

以下文章点击率最高

Loading…

发表评论