IBM MQ - 用于多个队列管理器的 SSL 配置

Question

在我的 IBM MQ 中，我有多个队列管理器，我需要启用 SSL。

我一直在关注这个博客，并成功地将 SSL 配置为单个队列管理器。

如果我有超过 1 个队列管理器，我是否需要为每个队列管理器拥有一个专用的密钥库？

有没有办法拥有一个全局/通用密钥库并为使用该密钥库的所有队列管理器启用 SSL？

自从博客说以来就有这个问题，

“这里是关于证书 label 的一句话。此证书的默认名称采用以下形式：'ibmwebspheremq' + '队列管理器名称'（全部小写）在我们的例子中，这变成：'ibmwebpsheremqmyqm01'”

任何指导都会非常有帮助。

IBM MQ v 9.1

Answer 1

像许多这些问题的答案取决于它。 如果您可以将密钥库文件安全地发送到每台机器，那么您可以为所有队列管理拥有相同的文件。 如果您这样做不安全，那么人们可能会复制您的密钥库并冒充您，并查看您的所有流量。

如果您在外部 HSM 中有您的私有证书（想想 Secure USB 存储），您无法将私有密钥获取到另一台机器，因此您必须获得机器唯一证书。

您可以使用 CERTLABL(...) 指定密钥库中证书的名称。

我刚刚（今天）发布了一些关于中端 TLS 的博客文章。 请参阅https://colinpaice.blog/2021/02/13/which-cipher-spec-and-certificate-type-should-i-use-for-the-mq-server-tls-1-2

Answer 2

当队列管理器在同一台机器上时，您可以为所有队列管理器使用相同的密钥库。 您可以在队列管理器的 SSL 配置中指定相同的文件。 例如：-

ALTER QMGR SSLKEYR('/central/ssl/key')

不同的队列管理器将根据证书的 label 找到他们的个人证书。 这就是那句话的意思。 例如：-

在队列管理器 MQG1 上

DISPLAY QMGR CERTLABL

QMNAME(MQG1)       CERTLABL(ibmwebspheremqmqg1)

在队列管理器 MQG2 上

DISPLAY QMGR CERTLABL

QMNAME(MQG2)       CERTLABL(ibmwebspheremqmqg2)

这些是队列管理器默认在密钥库中查找的名称。 正如您所看到的，它们对于每个队列管理器都是不同的，因此可以愉快地共存于同一个密钥库中。 如果要为证书选择不同的标签，只需更改每个队列管理器的CERTLABL属性。