In questa sezione viene trattata la migrazione delle connessioni SSL (Secure Sockets Layer) di Windows da WebSphere MQ Versione
5.3 a WebSphere MQ Versione
6.0.
Introduzione generale
WebSphere MQ Versione
6.0 fornisce il Global Security Toolkit (GSKit) su piattaforme Windows per il supporto SSL
(Secure Sockets Layer) per i gestori code e i canali client MQ. Seguire le istruzioni riportate in questa sezione per determinare se i gestori code o i client WebSphere MQ Versione
5.3 sono stati impostati per utilizzare le connessioni SSL e per verificare che i canali continuino a funzionare con WebSphere MQ Versione
6.0.
Il processo di migrazione crea una copia dei certificati memorizzati negli archivi di certificati Microsoft
utilizzati da WebSphere MQ Versione
5.3 o dalle versioni precedenti da migrare a un database delle chiavi GSKit.
Punti da tenere in considerazione
- Se si desidera disinstallare WebSphere MQ Versione
5.3 prima di installare WebSphere MQ Versione
6.0, è necessario effettuare le seguenti operazioni:
- Prima di disinstallare WebSphere MQ Versione
5.3, è necessario verificare manualmente che le catene di certificati siano complete. Se non lo sono, utilizzare il programma di utilità AMQMCERT fornito con WebSphere MQ Versione
5.3 per completare le catene.
- Dopo aver installato WebSphere MQ Versione
6.0, sarà necessario eseguire il comando AMQTCERT dalla riga comandi per migrare gli archivi di certificati e sarà necessario specificare il percorso degli archivi che si stanno migrando.
Se si installa WebSphere MQ Versione
6.0 dopo aver disinstallato WebSphere MQ Versione
5.3, il processo di installazione non conosce il percorso in cui sono memorizzati gli archivi di certificati in quanto le informazioni sono state rimosse dal sistema durante la disinstallazione di WebSphere MQ Versione
5.3.
Il programma di controlo delle catene di certificati non può quindi controllare le catene e il comando AMQMCERT non è più disponibile per la riparazione delle catene stesse. Ciò significa anche che i processi utilizzati nell'installazione per migrare gli archivi non riescono a trovare le catene e questo è il motivo per cui, se si utilizza questo approccio, è necessario controllare manualmente le catene ed eseguire la migrazione manuale degli archivi. Fare riferimento al manuale WebSphere MQ Versione
6.0 - Guida alla gestione del sistema per maggiori dettagli su questi comandi.
- Il Launchpad pre-installazione viene eseguito all'inizio del processo di installazione. Dal Launchpad, è possibile avviare la procedura guidata Controlla archivio certificati di WebSphere MQ. Questa procedura guidata controlla che le catene di certificati negli archivi di certificati siano complete. Se non si desidera eseguire la procedura guidata Controlla archivio certificati WebSphere MQ, la procedura Preparazione post-installazione non restituirà i pannelli di migrazione e gli archivi di certificati non verranno pianificati per la migrazione.
- Le procedure guidate Controlla archivio certificati di WebSphere MQ e Preparazione post-installazione per la pianificazione della migrazione dei certificati funzionano soltanto se si sta eseguendo la migrazione da un'installazione di WebSphere MQ Versione
5.3 direttamente a un'installazione di WebSphere MQ Versione
6.0.
Se si disinstalla WebSphere MQ Versione
5.3 e poi si installa WebSphere MQ Versione
6.0, il processo di installazione non riconosce che la versione precedente era WebSphere MQ Versione
5.3 e non verrà visualizzato alcun pannello della migrazione SSL. In questo caso, è preferibile eseguire il Launchpad pre-installazione e la procedura guidata Controlla archivio certificati di WebSphere MQ prima di disinstallare WebSphere MQ Versione
5.3. Questa operazione confermerà la completezza della catena di certificati e consentirà l'importazione dei certificati mediante il comando AMQTCERT dopo aver installato WebSphere MQ Versione
6.0.
- Se si sta installando WebSphere MQ Versione
6.0 in maniera non presidiata, sono disponibili delle opzioni che possono essere inviate alla procedura Preparazione post-installazione in maniera silent e che pianificano automaticamente la migrazione dei certificati. Se si segue questo processo, la procedura Controlla archivio certificati di WebSphere MQ non viene eseguita per controllare le catene di certificati. Se si desidera eseguire un'installazione silent, è necessario eseguire la procedura guidata Preparazione post-installazione e la procedura Controlla archivio certificati di WebSphere MQ per verificare la completezza della catena di certificati o per controllare manualmente gli archivi mediante il comando AMQCCERT prima dell'installazione.
Certificati che non vengono migrati
Un certo numero di certificati non vengono migrati durante questo processo. Essi sono:
- I certificati che corrispondono alla serie predefinita fornita da GSKit. Questi certificati non vengono migrati in quanto GSKit fornisce la propria serie, uguale o più aggiornata.
- I certificati isolati che non hanno una catena di certificati CA completa. Un certificato può essere importato in un file del database delle chiavi GSkit soltanto se è già presente un certificato dello stesso emittente. I certificati possono soltanto essere aggiunti al database delle chiavi GSkit a cominciare dal certificato della CA root e scendendo nella catena di certificati delle CA intermedie (se presenti) fino ad arrivare al certificato personale emesso dal membro più in basso nella catena.
- Certificati che sono scaduti
Tipi di migrazione dei certificati
Esistono due tipi di migrazione dei certificati.
- Migrazione automatica. La migrazione automatica per un gestore code avviene quando il gestore code viene avviato la prima volta. Se il processo di migrazione viene completato correttamente, allora non verrà eseguito alcun altro tentativo. Il gestore code verrà avviato indipendentemente dalla riuscita o meno del processo di migrazione. Per un client, la migrazione si verifica la prima volta che il client si connette a un gestore code mediante un canale SSL. Se il processo di migrazione viene completato correttamente, allora non verrà eseguito alcun altro tentativo. L'avvio del client dipende dal risultato del processo di migrazione; se la migrazione non riesce, il client non verrà avviato.
Quando un archivio di certificati viene correttamente convalidato nella fase pre-installazione, la procedura guidata Preparazione post-installazione utilizza il metodo di migrazione automatico per ogni archivio dei gestori code e dei client specificato.
- Migrazione manuale. Questa migrazione si verifica quando viene eseguito il comando di controllo per il trasferimento dei certificati (AMQTCERT). La migrazione manuale richiede l'utilizzo del comando AMQTCERT
per ogni gestore code o client. È necessario specificare il nome e il percorso dell'archivio Microsoft Certificate Store e del database delle chiavi GSKit da utilizzare.
La migrazione automatica ha il vantaggio che non è necessario specificare il nome e il percorso per tutti gli archivi Microsoft Certificates Stores e i corrispondenti database delle chiavi GSKit per tutti i gestori code e i client.
Attributo nome comune
Nell'archivio Microsoft Certificate
Store di solito è presente un certificato assegnato al gestore code o al client.
Durante la migrazione, la copia di questo certificato viene modificata prima che venga memorizzata nel database GSKit. La modifica imposta l'attributo del nome comune del certificato sulla stringa ibmwebspheremq seguito dall'ID di collegamento del gestore code o del client in minuscolo. Il valore del nome comune precedente, se esistente, viene perso. Il valore di questo nome comune viene inserito nell'etichetta del database delle chiavi GSKit.