Продукт IBM MQ проверяет только значение DN сертификата однорангового администратора очередей на соответствие SSLPEER, настроенному на канале. MQ, в отличие от браузеров (и другого программного обеспечения, такого как библиотеки LDAP), не выполняет нулевую проверку DN (или SAN) по имени хоста удаленного хоста.
Нет никаких технических причин, по которым тот же сертификат не может быть использован на два сервера, это очень распространено, когда у вас есть конфигурации HA и DR.
Я бы счел оптимальным иметь уникальные сертификаты для каждого администратора очередей, поскольку они используются для подтверждения личности.
Безопасность последствия использования одного и того же сертификата на двух отдельных администраторах очередей:
- Вы должны каким-то образом скопировать закрытый ключ между двумя машинами.
- Теперь есть два места, где злоумышленник может получить единый сертификат.
- Вы не можете полагаться на функцию SSLPEER на клиенте, чтобы убедиться, что вы подключаетесь к одному конкретному c QM, но вы все равно можете убедиться, что вы подключились к QM, размещающему этот сертификат.
- Вы не можете полагаться на функцию SSLPEER в подключающемся диспетчере очередей (например, канал SDR), чтобы гарантировать, что вы Вы подключаетесь к одному определенному c QM, но вы все равно можете убедиться, что вы подключились к QM, хостящему этот сертификат.