可以在两个远程 qmgr 中使用具有相同 CN 的证书吗?

Can a certificate with same CN be used in two remote qmgrs?

您可以为不同服务器中的两个 MQ Qmgr 运行 使用相同的证书吗?我知道如果你在同一台服务器上有 qmgrs,你可以使用相同的证书,但是当你有两台服务器时,证书的 CN(通用名称)是主机名,所以两者都会不同,我不确定是否他们都可以共享相同的证书。

不,客户端应该拒绝连接,因为它不受信任。 客户端连接到特定的服务器,服务器发回给客户端的证书中的 CN 必须与服务器名称相同。 您可以使用 SAN(主题备用名称)在 CN 中放置更多 FQDN 或通配符 (*)。

如果客户端连接到 MQserver1:1414,服务器证书必须在证书的 CN 或 SAN 中有 MQserver1

IBM MQ 产品仅根据通道上配置的 SSLPEER 检查对等队列管理器证书的 DN 值。 MQ 与浏览器(和其他软件,如 LDAP 库)不同,它针对远程主机的主机名对 DN(或 SAN)进行零验证。

没有技术原因不能在两台服务器上使用相同的证书,这在您具有 HA 和 DR 配置时很常见。

我认为最好的做法是为每个队列管理器设置唯一的证书,因为这些证书用于证明身份。

在两个不同的队列管理器上使用相同证书的安全隐患:

  1. 您必须以某种方式在两台机器之间复制私钥。
  2. 现在攻击者可以在两个地方获得单个证书。
  3. 您不能依赖客户端上的 SSLPEER 功能来确保您连接到一个特定的 QM,但您仍然可以确保您已连接到托管该证书的 QM。
  4. 您不能依赖连接队列管理器(例如 SDR 通道)上的 SSLPEER 功能来确保您连接到一个特定的 QM,但您仍然可以确保您已连接到托管该证书的 QM。