IBM MQ - 多队列管理器的 SSL 配置

IBM MQ - SSL Config for Multiple Queue Managers

在我的 IBM MQ 中,我有多个需要启用 SSL 的队列管理器。

我一直在关注这个 blog 并成功地将 SSL 配置到单个队列管理器。

如果我有 1 个以上的队列管理器,我是否需要为每个队列管理器配备一个专用的密钥库?

有没有办法拥有一个 global/common 密钥库并为使用该密钥库的所有队列管理器启用 SSL?

自从博客说了这个问题,

"A word about the certificate label here. Default name for this certificate is in the form of: ‘ibmwebspheremq’ + ‘queue manager name’ (all lower case) In our case this becomes: ‘ibmwebpsheremqmyqm01’"

任何指导都会非常有帮助。

IBM MQ 版本 9.1

当队列管理器在同一台机器上时,您可以为所有队列管理器使用相同的密钥库。您可以在队列管理器的 SSL 配置中指定相同的文件。例如:-

ALTER QMGR SSLKEYR('/central/ssl/key')

不同的队列管理器将根据证书的标签找到他们的个人证书。这就是那句话的意思。例如:-

在队列管理器 MQG1 上

DISPLAY QMGR CERTLABL

QMNAME(MQG1)       CERTLABL(ibmwebspheremqmqg1)

在队列管理器 MQG2 上

DISPLAY QMGR CERTLABL

QMNAME(MQG2)       CERTLABL(ibmwebspheremqmqg2)

默认情况下,这些是队列管理器将在密钥库中查找的名称。如您所见,它们对于每个队列管理器都是不同的,因此可以愉快地共存于同一个密钥库中。如果您想为证书选择不同的标签,只需更改每个队列管理器的 CERTLABL 属性即可。

像其中许多问题一样,答案视情况而定。 如果您可以将密钥库文件发送到每台机器 - 安全地 那么您可以为所有队列管理拥有相同的文件。如果你这样做不安全,那么人们可能会复制你的密钥库并冒充你,并查看你的所有流量。

如果您的私人证书在外部 HSM(想想安全 USB 存储)中,则您无法将私人密钥获取到另一台机器,因此您必须获得机器唯一证书。

您可以使用 CERTLABL(...) 指定密钥库中证书的名称。

我刚刚(今天)发表了一些关于中端 TLS 的博文。参见 https://colinpaice.blog/2021/02/13/which-cipher-spec-and-certificate-type-should-i-use-for-the-mq-server-tls-1-2