C# - SSL avec Websphere MQ version 7.0.1

Question

Lors de la connexion à un gestionnaire de files d'attente SSL à l'aide de C#, quelles valeurs dois-je définir pour que les files d'attente fonctionnent?

Je reçois actuellement cette erreur: Code Raison: 2393 MQRC_SSL_INITIALIZATION_ERROR

Dans mon code, je suis en train de la MQEnvironment.SSLKeyRepository et MQEnvironment.SSLCipherSpec

Y at-il autre chose que je dois mettre avec C# pour faire ce travail? J'ai vu quelques exemples de Java qui définissent des mots de passe de keystore et des types et des choses.

J'ai également vu des exemples de définition de variables d'environnement système, mais cela n'a pas non plus semblé faire de différence.

Answer 1

Le schéma général pour le débogage WMQ SSL est la suivante ...

1. obtenir l'application de se connecter en utilisant SSL pas. Cela élimine les problèmes de connectivité, les mauvais noms de file d'attente ou de gestionnaire de files d'attente, etc.
2. Obtenez SSL en utilisant l'authentification serveur uniquement. Cela signifie que SSLCAUTH (OPTIONAL) est défini sur le canal SVRCONN. Le QMgr présentera un certificat que l'application doit approuver, mais l'application n'a pas besoin de s'authentifier de nouveau auprès du serveur. Cela valide que l'application et QMgr peuvent accéder à leurs fichiers de clés et que le certificat ou la chaîne CA de QMgr est correctement chargé dans le magasin de clés de l'application.
3. Enfin, définissez SSLCAUTH (OBLIGATOIRE) dans le canal SVRCONN afin que l'application authentifie à nouveau le QMgr. À ce stade, les seuls problèmes possibles sont que le QMgr ne fait pas confiance au certificat ou à l'autorité de certification de l'application.

Si la tentative de connexion est refusée par le QMGR, les erreurs au client volontairement être cryptique. Les messages détaillés se trouvent dans les fichiers AMQERR ??. LOG de QMgr. Si l'échec est sur le client, ces messages seront trouvés dans les journaux d'erreurs du client ou vous pouvez activer la trace.

Activez la trace à l'aide de la commande strmqtrc et arrêtez-la avec endmqtrc. Le manuel WMQ Clients a a section décrivant où finissent les fichiers de trace client et another section dédié au traçage sur Windows en général. Cela peut être très utile pour déterminer les problèmes de configuration côté client, tels que la recherche d'une clé privée, l'absence de clé, etc.

Dans votre cas, le 2393 indique que quelque chose dans la configuration du client a échoué. Comme vous n'obtenez plus l'erreur avec le mot de passe du fichier de clés, je suppose qu'il peut être difficile de trouver une clé privée ou de ne pas approuver le certificat fourni par QMgr. Dans le premier cas, la définition de SSLCAUTH (FACULTATIF) fonctionnera car le client n'aura pas besoin de sa clé privée. Cependant si le problème fait confiance au QMgr ou à d'autres problèmes de configuration, SSLCAUTH (FACULTATIF) n'aidera pas mais le traçage devrait trier cela. Incidemment, la nécessité de suivre et de diagnostiquer du côté client explique pourquoi IBM ne prend pas en charge les installations client sur lesquelles les fichiers jar ou les bibliothèques ont été copiés plutôt que d'exécuter l'installation complète du client. Bien que vous puissiez faire fonctionner le client en copiant quelques fichiers et classes lib, cela ne fournit pas toutes les facilités pour le traçage et les diagnostics. Si vous n'avez pas effectué une installation complète du client, certaines de mes descriptions ne seront pas possibles. Si c'est le cas, téléchargez et installez le client à partir du SupportPac MQC7.