IBM MQ: установка SSL-соединения

Question

Мы пытаемся заставить IBM MQ работать по SSL.

Нам предоставили цепочку сертификатов для удаленного хоста и установили в хранилище сертификатов Windows (локальный компьютер).Все они выглядят корректными.

Мы используем следующие свойства подключения:

        connectionProperties.Add(MQC.SSL_PEER_NAME_PROPERTY, "other-server.com");            
        connectionProperties.Add(MQC.SSL_CIPHER_SUITE_PROPERTY, "TLS_RSA_WITH_AES_256_CBC_SHA256");            connectionProperties.Add(MQC.SSL_CIPHER_SPEC_PROPERTY, "TLS_RSA_WITH_AES_256_CBC_SHA256"); 
        connectionProperties.Add(MQC.SSL_CERT_STORE_PROPERTY, "*SYSTEM"); 
        connectionProperties.Add("CertificateLabel", "ibmwebspheremqmywindowsusernamewithoutdomain"); 
        MQEnvironment.SSLCertRevocationCheck = true; 

Мы установили, что "CertificateLabel" является "Дружественным именем" на языке Windows.

Мы доказали незашифрованную связь и настройку сетевого уровня.

Мы используем клиент 8.0.0.7.

Вот проблемы, с которыми мы столкнулись:

• Все безопасные коммуникации завершаются с ошибкой 2538.(MQRC_HOST_NOT_AVAILABLE, https://www.ibm.com/support/knowledgecenter/en/SSFKSJ_7.5.0/com.ibm.mq.tro.doc/q045380_.htm)
• Не удалось установить дружественное имя на ibmwebspheremq и ibmwebspheremqmywindowsusername@domain и ibmwebspheremqmywindowsusernamewithoutdomain

Общие вопросы:

• Правильны ли мы, полагая, что мы можем установить сгенерированные сертификаты исключительно в хранилище сертификатов Windows?
• Связана ли ошибка 2538 даже с обменом SSL?является ли это последним пунктом в указанной документации по ошибкам.
• Есть ли где-нибудь, где мы можем найти более информативную информацию об ошибках? Например, относящуюся к цепочке доверия SSL, чтобы увидеть, есть ли там проблема?*

Answer 1

Проблема заключалась в следующей строке:

connectionProperties.Add(MQC.SSL_PEER_NAME_PROPERTY, "otherserver.com");

Оказывается, что:

1. Это нужно в каноническом формате, поэтому DN= и т. Д.
2. Вам даже не нужна эта строка

---

Хотя мы кое-что узнали на этом пути:

• Строка:

  connectionProperties.Add("CertificateLabel", "ibmwebspheremqmyusername");

  Это строка ibmwebspheremq плюс ваше Windows имя пользователя (без вашего домена) и метка должна быть установлена ​​на Дружественное имя исходящего сертификата вашего клиентского компьютера, НЕ включая имя пользователя.

• Различные папки в вашем хранилище сертификатов Windows имеют большое значение.Промежуточные ЦС должны быть правильно заполнены.