1 測試環境

1.1成員清單

序號	IP	主機名	隊列管理器	操作系統
1	192.168.56.6	qm71	TEST	Linux version 2.6.31-4 (root@builder2.redflag-linux.com) (gcc version 4.2.1)

 

1.2 創建用戶和用戶組

groupadd mqadmin useradd -g mqadmin -G mqadmin -d /home/jdoe -m jdoe

1.3 隊列管理器腳本

隊列管理器創建腳本

crtmqm -lc -lf 1024 -lp 5 -ls 4 -u DEADQ  TEST strmqm TEST runmqsc TEST ALTER QMGR CCSID(1208) DEFINE LISTENER(‘LSR.TEST’) TRPTYPE(TCP) PORT(1415) CONTROL(QMGR) START LISTENER(‘LSR.TEST’) DEFINE QLOCAL(DEADQ) DEFPSIST(YES) alter qmgr cmdev(ENABLED) configev(ENABLED) authorev(ENABLED) chlev(ENABLED) sslev(ENABLED) END

 

2 配置SSL

2.1 MQ SERVER端配置

創建key database

runmqckm -keydb -create -db /var/mqm/qmgrs/TEST/ssl/key.kdb -pw ibmpw -type cms -stash

 

 

創建證書

runmqckm -cert -create -db /var/mqm/qmgrs/TEST/ssl/key.kdb -pw ibmpw -label ibmwebspheremqtest -dn CN=TEST.XYZ.COM,O=XYZ,C=US -x509version 3 -size 2048 -expire 365 -sig_alg SHA512_WITH_RSA

 

抽取為文件TEST-Cert.arm

runmqckm -cert -extract -db /var/mqm/qmgrs/TEST/ssl/key.kdb -pw ibmpw -label ibmwebspheremqtest -target /var/mqm/qmgrs/TEST/ssl/TEST-Cert.arm -format ascii

 

2.2 MQ管理客戶端配置（WINDOWS）

創建key database

runmqckm -keydb -create -db C:\IBM\MQ\SSL\key.jks -pw ibmpw -type jks

 

創建證書

runmqckm -cert -create -db C:\IBM\MQ\SSL\key.jks -pw ibmpw -label mqadmin_jdoe -dn CN=MQADMIN.jdoe.XYZ.COM,O=XYZ,C=US -x509version 3 -size 2048 -expire 365 -sig_alg SHA512_WITH_RSA

 

抽取為文件MQADMIN-jdoe-Cert.arm

runmqckm -cert -extract -db C:\IBM\MQ\SSL\key.jks -pw ibmpw -label mqadmin_jdoe -target C:\IBM\MQ\SSL\MQADMIN-jdoe-Cert.arm -format ascii

 

2.3交換證書

2.3.1 MQ SERVER端

 

先把MQ管理客戶端的C:\IBM\MQ\SSL\MQADMIN-jdoe-Cert.arm複製到MQ SERVER端的/var/mqm/qmgrs/TEST/ssl/目錄下，然後執行命令：

runmqckm -cert -add -db /var/mqm/qmgrs/TEST/ssl/key.kdb -pw ibmpw -label mqadmin_jdoe -file /var/mqm/qmgrs/TEST/ssl/MQADMIN-jdoe-Cert.arm -format ascii -trust enable

 

 

2.3.2 MQ管理客戶端

先把MQ SERVER端的/var/mqm/qmgrs/TEST/ssl/TEST-Cert.arm複製到MQ管理客戶端的C:\IBM\MQ\SSL\目錄下，然後執行命令：

runmqckm -cert -add -db C:\IBM\MQ\SSL\key.jks -pw ibmpw -label ibmwebspheremqtest -file C:\IBM\MQ\SSL\TEST-Cert.arm -format ascii -trust enable

 

 

2.4刷新SSL緩存

echo “refresh security(*) type(ssl)” | runmqsc TEST

 

2.5通道配置

隊列管理器配置腳本

runmqsc TEST DEFINE CHANNEL(MQADMIN.SVRCONN) CHLTYPE(SVRCONN) sslciph(TLS_RSA_WITH_AES_256_CBC_SHA) sslpeer(‘CN=MQADMIN.*,O=XYZ,C=US’) set chlauth(MQADMIN.SVRCONN) type(SSLPEERMAP) sslpeer(‘CN=MQADMIN.*,O=XYZ,C=US’) usersrc(CHANNEL) set chlauth(MQADMIN.SVRCONN) type(BLOCKUSER) userlist(‘nobody’) END

 

3 隊列管理器授權

setmqaut -m TEST -t qmgr -g mqadmin +connect +inq +alladm

setmqaut -m TEST -t q -n “**” -g mqadmin +alladm +crt +browse

setmqaut -m TEST -t topic -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t channel -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t process -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t namelist -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t authinfo -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t clntconn -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t listener -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t service -n “**” -g mqadmin +alladm +crt

setmqaut -m TEST -t q -n SYSTEM.MQEXPLORER.REPLY.MODEL -g mqadmin +inq +get +dsp

setmqaut -m TEST -t q -n SYSTEM.ADMIN.COMMAND.QUEUE -g mqadmin +inq +put +dsp

 

以下文章點擊率最高