In diesem Abschnitt wird die Migration von Windows-SSL-Verbindungen (Secure Sockets Layer) von WebSphere MQ Version
5.3 auf WebSphere MQ Version
6.0 erläutert.
Allgemeine Einführung
WebSphere MQ Version
6.0 stellt auf Windows-Plattformen das Global Security Toolkit (GSKit) für eine verbesserte Unterstützung von SSL
für Warteschlangenmanager und MQ Client-Kanäle bereit. Folgen Sie der Anleitung in diesem Kapitel, um zu bestimmen, ob Warteschlangenmanager oder Clients von WebSphere MQ Version
5.3 zur Verwendung von SSL-Verbindungen eingerichtet wurden, und um sicherzustellen, dass diese Kanäle weiterhin mit WebSphere MQ Version
6.0 arbeiten.
Bei der Migration wird eine Kopie der Zertifikate, die in den von WebSphere MQ Version
5.3 oder älteren Versionen verwendeten Microsoft-Zertifikatsspeichern gespeichert sind, auf eine GSKit-Schlüsseldatenbank migriert.
Wichtige Überlegungen
- Wenn Sie WebSphere MQ Version
5.3 deinstallieren möchten, bevor Sie
WebSphere MQ Version
6.0 installieren, müssen Sie folgendermaßen vorgehen:
- Bevor Sie WebSphere MQ Version
5.3 deinstallieren, müssen Sie manuell prüfen, ob die Zertifikatketten vollständig sind.
Falls diese nicht vollständig sind, verwenden Sie das Dienstprogramm AMQMCERT, das im Lieferumfang von WebSphere MQ Version
5.3 enthalten ist, um die Ketten zu vervollständigen.
- Nach der Installation von WebSphere MQ Version
6.0 müssen Sie den Befehl
AMQTCERT von der Befehlszeile ausführen, um Ihre Zertifikatsspeicher zu migrieren. Sie müssen
auch den Pfad zu den Zertifikatsspeichern, die Sie migrieren, angeben.
Wenn Sie nach der Deinstallation von WebSphere MQ Version
5.3
WebSphere MQ Version
6.0 installieren, ist beim Installationsprozess nicht bekannt, wo
sich die Zertifikatsspeicher befinden. Das liegt darin begründet, dass die Informationen vom System bei der Deinstallation von WebSphere MQ Version
5.3 entfernt wurden.
Das Prüfprogramm für die Zertifikatkette kann die Ketten somit nicht prüfen, und AMQMCERT
ist nicht mehr verfügbar, um sie zu korrigieren. Dies bedeutet auch, dass die zur Migration
der Speicher verwendeten Prozesse, die Ketten nicht finden können, und es erklärt, warum Sie bei Verwendung dieser Methode,
die Ketten manuell überprüfen und die Speicher manuell migrieren müssen.
Weitere Informationen zu diesen Befehlen finden Sie im Handbuch WebSphere MQ Version
6.0System Administration Guide.
- Zu Beginn der Installation wird das Launchpad zur Installationsvorbereitung ausgeführt. Dort starten Sie den Assistenten zum Prüfen von WebSphere MQ Zertifikatsspeichern. Er überprüft die Zertifikatsketten in den Zertifikatsspeichern auf ihre Vollständigkeit. Wenn Sie den Assistenten zum Prüfen von WebSphere MQ-Zertifikatsspeichern nicht ausführen, zeigt der Assistent zur Vorbereitung des Installationsabschlusses keine Migrationsanzeigen an, und die Migration der Zertifikatsspeicher wird nicht geplant.
- Sie können den Assistenten zum Prüfen von WebSphere MQ-Zertifikatsspeichern und den Assistenten zur Vorbereitung des Installationsabschlusses nur dann zum Planen der Zertifikatsmigration verwenden, wenn Sie von einer WebSphere MQ Version
5.3 Installation direkt auf eine Installation von WebSphere MQ Version
6.0 migrieren.
Wenn Sie WebSphere MQ Version
5.3 deinstallieren und anschließend WebSphere MQ Version
6.0 installieren, ist bei der Installation nicht bekannt, dass zuvor WebSphere MQ Version
5.3 installiert war. Daher werden auch keine SSL-Migrationsanzeigen eingeblendet. Führen Sie in diesem Fall erst das Launchpad zur Installationsvorbereitung und den Assistenten zum Prüfen von WebSphere MQ-Zertifikatsspeichern aus, bevor Sie WebSphere MQ Version
5.3 deinstallieren. Auf diese Weise wird die Vollständigkeit der Zertifikatketten geprüft, und Sie können sie nach der Installation von WebSphere MQ Version
6.0 mit dem Befehl AMQTCERT importieren.
- Wenn Sie WebSphere MQ Version
6.0 unbeaufsichtigt installieren, können bestimmte Optionen im Hintergrund an den Assistenten zur Vorbereitung des Installationsabschlusses übermittelt werden, damit dieser die Zertifikatsmigration plant. Wenn Sie diesem Prozess folgen, wird der Assistent zum Prüfen von WebSphere MQ-Zertifikatsspeichern nicht zur Überprüfung der Zertifikatketten ausgeführt. Wenn Sie eine unbeaufsichtigte Installation ausführen möchten, sollten Sie das Launchpad zur Installationsvorbereitung und den Assistenten zum Prüfen von WebSphere MQ-Zertifikatsspeichern ausführen, um die Vollständigkeit der Zertifikatketten zu überprüfen. Sie können die Speicher auch manuell prüfen, wenn Sie vor der Installation den Befehl AMQCCERT ausführen.
Nicht migrierte Zertifikate
Eine Reihe von Zertifikaten wird bei diesem Vorgang nicht migriert, und zwar folgende:
- Zertifikate, die mit dem GSKit-Standardset übereinstimmen. Sie werden nicht migriert, da das GSKit eigene Zertifikate bereitstellt, die entweder identisch oder aktueller sind.
- "Verwaiste" Zertifikate ohne vollständige Zertifikatkette einer Prüfstelle. Ein Zertifikat kann nur in eine GSkit-Schlüsseldatenbankdatei importiert werden, wenn bereits ein Zertifikat seines Ausstellers vorhanden ist. Zertifikate können nur der GSkit-Schlüsseldatenbank hinzugefügt werden, indem Sie mit dem Stammzertifikat der Prüfstelle beginnen und die Kette der temporären Zertifikate der Prüfstelle bis - falls vorhanden - zum letzten persönlichen Zertifikat verfolgen, das vom niedrigsten Mitglied der Prüfstellenkette (falls vorhanden) ausgegeben wurde.
- Abgelaufene Zertifikate
Arten der Zertifikatsmigration
Es gibt zwei Arten der Zertifikatsmigration.
- Automatische Migration. Ein Warteschlangenmanager wird tatsächlich migriert, wenn der zum ersten Mal gestartet wird. Verläuft die Migration erfolgreich, wird sie nicht wieder ausgeführt. Der Warteschlangenmanager versucht unabhängig von Erfolg oder Misserfolg der Migration zu starten. Ein Client wird tatsächlich migriert, wenn er zum ersten Mal unter Verwendung eines SSL-Kanals eine Verbindung zum Warteschlangenmanager herstellt. Verläuft die Migration erfolgreich, wird sie nicht wieder ausgeführt. Der Start des Clients hängt vom Ergebnis der Migration ab: schlägt die Migration fehl, schlägt auch der Client fehl. Wenn ein Zertifikatsspeicher in der Vorinstallationsphase erfolgreich geprüft wurde, verwendet der Assistent zur Vorbereitung des Installationsabschlusses für jeden der angegebenen WS-Manager und
Clientspeicher die automatische Migrationsmethode.
- Manuelle Migration. Sie wird über den neuen Befehl zur Zertifikatsübertragung AMQTCERT ausgeführt. Bei der manuellen Migration müssen Sie den Befehl AMQTCERT für jeden Warteschlangenmanager und Client ausführen. Sie müssen Position und Namensstamm des Microsoft Zertifikatsspeichers und der zu verwendenden GSKit-Schlüsseldatenbank angeben.
Der Vorteil der automatischen Migration liegt darin, dass Sie nicht für jeden Warteschlangenmanager und Client die Position und den Namen der Microsoft-Zertifikatsspeicher und ihrer jeweiligen GSKit-Schlüsseldatenbanken angeben müssen.
Attribut für ausführlichen Namen (Friendly Name-Attribut)
Im Microsoft-Zertifikatsspeicher
wird dem WS-Manager oder dem Client in der Regel ein Zertifikat zugeordnet.
Während der Migration wird die Kopie dieses Zertifikats geändert, bevor sie in der GSKit-Datenbank gespeichert wird.
Bei der Änderung wird für das Friendly Name-Attribut des Zertifikats die Zeichenfolge
ibmwebspheremq festgelegt. Es folgt in Kleinbuchstaben der Name des WS-Managers oder die Clientanmelde-ID.
Falls vorhanden, geht der vorherige Wert für das Attribut verloren. Der Wert des Friendly Name-Attributs wird als Name in der GSKit-Schlüsseldatenbank aufgeführt.