1
Puis-je utiliser le même keystore et cert pour AMS que mon application utilise déjà?WMQ AMS keystore
A
Répondre
2
Vous pouvez, mais vous avez également la possibilité d'utiliser des certificats séparés et/ou des magasins de clés si vous le souhaitez. Le fichier keystore.conf contient les détails du fichier de clés et l'étiquette du certificat qu'AMS utilisera pour crypter et signer les messages. Cela peut pointer vers le même certificat que celui utilisé par l'application pour établir des connexions à WebSphere MQ, le même certificat utilisé par le serveur d'applications pour les connexions SSL ou un magasin de clés entièrement distinct dédié à AMS.
La clé (excusez le jeu de mots) est de gérer les keystores en fonction du modèle de sécurité requis. Le magasin de clés du serveur d'applications dispose probablement d'un certain nombre de certificats externes dans son magasin de confiance. Par exemple, il peut faire confiance à plusieurs autorités de certification commerciales. Le fichier de clés AMS doit contenir les certificats de toute personne qui signera ou cryptera les messages que votre application utilisera ou qui recevra des messages cryptés de votre application. Étant donné que ceux-ci sont généralement orientés vers l'intérieur, il peut être utile d'utiliser un magasin de clés distinct pour AMS par rapport aux entités externes. Sinon, les deux modèles de sécurité différents (interne et externe) finissent par faire confiance aux autres participants. Ceci n'est qu'un exemple et, en général, l'idée est de construire les keystores en fonction du modèle de sécurité spécifique requis et en utilisant un principe de moindre confiance. Vous devez équilibrer le coût du maintien de magasins de clés distincts par rapport à la sécurité supplémentaire du maintien des magasins individuels.