Как подключиться к администратору очередей с ssl-включенным каналом подключения к серверу, когда требуется аутентификация

Question

Я пытаюсь написать приложение Java, подключающееся к каналу подключения к серверу с включенным SSL.

До сих пор я успешно подключился к каналу, установив аутентификацию на «опционально». Однако, когда я установил его как «обязательный», соединение не будет установлено.

Вот что я сделал:

1. Создание базы данных ключей для администратора очередей и хранилища ключей для пользователя java-клиента.
2. Создание ключей / самозаверяющих сертификатов для администратора очередей и пользователя клиента с префиксом имен ibmwebspheremq.
3. Экспорт, обмен и импорт сертификатов для администратора очередей и клиента. (Я ответил «да», когда меня спросили, доверяю ли я сертификату администратора очередей).
4. Местоположение и пароль для хранилища доверенных сертификатов и хранилища ключей установлены так, чтобы указывать на одно и то же хранилище ключей на стороне клиента, где изначально создан ключ пользователя клиента и импортированный ключ администратора очередей.

При прочих одинаковых настройках, если я вернусь к «дополнительной» аутентификации, соединение будет работать.

Я думаю, что есть что-то, что я неправильно понимаю в этой аутентификации ssl, но не могу понять, что.

Может ли кто-нибудь помочь мне?

Answer 1

Я бился головой об стену пару недель. Служба поддержки IBM L2, в конце концов, сообщила мне. Моя проблема в том, что keytool будет использовать алгоритм DSA, если вы не укажете RSA. В результате получаются ключи длиной 1022 вместо 1024, что не нравится WMQ. Исправлено было указать -sigalg RSA при генерации сертификата, и все работает.

Я попросил команду IBM WMQ и команду WMQ FTE добавить это в свою документацию Инфоцентра.