Este apartado trata sobre cómo migrar conexiones Secure Sockets Layer (SSL) de Windows desde WebSphere MQ Versión 5.3 a WebSphere MQ Versión
6.0.
Introducción general
WebSphere MQ Versión
6.0 proporciona el Global Security Toolkit (GSKit) en plataformas Windows para un soporte SSL (Secure Sockets Layer) mejorado para el gestor de colas y los canales de cliente MQ. Siga las instrucciones de este apartado para determinar si los gestores de colas o los clientes WebSphere MQ Versión 5.3 se han configurado para utilizar conexiones SSL y asegurarse de que los canales siguen funcionando con WebSphere MQ Versión
6.0.
El proceso de migración provoca que una copia del certificado almacenado en los almacenes de certificados de Microsoft y utilizado por WebSphere MQ Versión 5.3 o versiones anteriores se migre a una base de datos de claves de GSKit.
Puntos que se deben tener en cuenta
- Si tiene la intención de desinstalar WebSphere MQ Versión 5.3 antes de instalar WebSphere MQ Versión
6.0, deberá realizar
las acciones siguientes:
- Antes de desinstalar WebSphere MQ Versión 5.3 deberá
comprobar manualmente que las cadenas de certificados están completas. Si no lo están,
utilice el programa de utilidad AMQMCERT proporcionado con WebSphere MQ Versión 5.3 para
completar las cadenas.
- Después de instalar WebSphere MQ Versión
6.0 deberá ejecutar
el mandato AMQTCERT desde a línea de mandatos
para migrar los almacenes de certificados y necesitará especificar la vía de acceso a
los almacenes de certificados que está migrando.
Si instala WebSphere MQ Versión
6.0 después de
desinstalar WebSphere MQ Versión 5.3, el proceso de
instalación no sabe dónde se encuentran los almacenes de certificados porque la información se ha eliminado del sistema cuando ha desinstalado WebSphere MQ Versión 5.3.
El comprobador de cadenas de certificados no puede comprobar las cadenas y AMQMCERT ya no está disponible para repararlas. Esto también significa que los procesos utilizados en la instalación para migrar los almacenes no pueden encontrarlos y porqué, si utiliza esta opción, necesitará comprobar manualmente las cadenas y migrar manualmente los almacenes. Consulte la WebSphere MQ Versión
6.0 Guía de Administración del sistema
para obtener detalles sobre estos mandatos.
- El Launchpad de preinstalación se ejecuta al principio del proceso de instalación. Desde el Launchpad, se puede ejecutar el Asistente para la comprobación del almacén de certificados de WebSphere MQ. Este asistente comprueba que las cadenas de certificados de los almacenes de certificados están completas. Si decide no ejecutar el Asistente para la comprobación del almacén de certificados de WebSphere MQ, el Asistente para la preparación posterior a la instalación no mostrará ningún panel de migración y los almacenes de certificados no se planificarán para la migración.
- La utilización del Asistente para la comprobación del almacén de certificados de WebSphere MQ y el Asistente para la preparación posterior a la instalación para planificar la migración de certificados sólo funcionará si está migrando directamente de una instalación de WebSphere MQ Versión 5.3 a una instalación de WebSphere MQ Versión
6.0.
Si desinstala WebSphere MQ Versión 5.3 y, a continuación, instala WebSphere MQ Versión
6.0, el proceso de instalación no sabrá que la versión anterior era WebSphere MQ Versión 5.3, por lo que no le mostrará ningún panel de migración de SSL. En esta situación, es recomendable que ejecute el Launchpad de preinstalación y el Asistente para la comprobación del almacén de certificados de WebSphere MQ antes de desinstalar WebSphere MQ Versión 5.3. Así confirmará si las cadenas de certificados están completas y podrá importarlas utilizando AMQTCERT después de instalar WebSphere MQ Versión
6.0.
- Si está instalando WebSphere MQ Versión
6.0 de forma remota, hay opciones que se pueden pasar de forma remota al Asistente para la preparación posterior a la instalación y que planifican la migración de certificados. Si utiliza este proceso, el Asistente para la comprobación del almacén de certificados de WebSphere MQ no se ejecuta para comprobar las cadenas de certificados. Si tiene la intención de ejecutar una instalación silenciosa, debería o bien ejecutar el Launchpad de preinstalación y el Asistente para la comprobación del almacén de certificados de WebSphere MQ para comprobar que las cadenas de certificados están completas o bien comprobar los almacenes manualmente utilizando AMQCCERT antes de la instalación.
Certificados que no se migran
Algunos certificados no se migran durante este proceso. Estos son:
- Los certificados que coinciden con el conjunto suministrado por omisión de GSKit. Estos certificados no se migran porque GSKit proporciona su propio conjunto con los mismos certificados u otros más actualizados.
- Certificados huérfanos que no tienen una cadena completa de certificados de la autoridad de certificación. Un certificado sólo se puede importar a un archivo de base de datos de claves si ya hay un certificado de su emisor. Los certificados sólo se pueden añadir a la base de datos de claves que empieza con el certificado root de la autoridad de certificación, que sigue descendiendo por la cadena de certificados intermedios de la autoridad de certificación, si existe alguno y acaba con el certificado personal emitido por el miembro inferior de la cadena de la autoridad de certificación, si existe alguno.
- Certificados caducados.
Tipos de migración de certificados
Hay dos tipos de migración de certificados.
- Migración automática. Para un gestor de colas, la verdadera migración se producirá cuando el gestor de colas se inicie por primera vez. Si la migración se completa satisfactoriamente, no se volverá a realizar. El gestor de colas intentará iniciarse independientemente de que la migración se haya realizado con éxito o no. Para un cliente, la verdadera migración se producirá cuando el cliente se conecte por primera vez al gestor de colas mediante un canal SSL. Si la migración se completa satisfactoriamente, no se volverá a realizar. El inicio del cliente depende del resultado de la migración; si la migración no se realiza satisfactoriamente, el cliente tampoco se iniciará.
Donde un almacén de certificados se ha validado correctamente en la fase de preinstalación, el Asistente para la preparación posterior a la instalación utiliza el método de migración automática para cada gestor de colas y los almacenes de clientes especificados.
- Migración manual. Esta migración se produce cuando se ejecuta el nuevo mandato de control AMQTCERT (Transferir certificados). La migración manual requiere que el usuario utilice el mandato AMQTCERT para cada gestor de colas y cada cliente. Debe especificar la ubicación y la raíz del nombre de los almacenes de certificados de Microsoft y la base de datos de claves de GSKit que desea utilizar.
La migración automática tiene la ventaja de que no es necesario que especifique la ubicación y los nombres de todos los almacenes de certificados de Microsoft y las bases de datos de claves de GSKit correspondientes para todos los gestores de colas y clientes.
Atributo Friendly Name
En el almacén de certificados de Microsoft hay habitualmente un certificado asignado al gestor de colas o cliente. Durante la migración, la copia de este certificado se modifica antes de almacenarla en la base de datos GSKit. La modificación establece el atributo Friendly Name
del certificado a la serie de caracteres ibmwebspheremq seguido en minúsculas del nombre del gestor de colas
o el ID de inicio de sesión del cliente. El valor Friendly
Name anterior, si lo hubiere, se pierde. Este valor Friendly Name se convierte en la etiqueta de la base de datos de claves GSKit.