本节描述将 Windows 安全套接字层(SSL)连接从 WebSphere MQ V5.3 迁移至 WebSphere MQ V6.0。
一般介绍
WebSphere MQ V6.0 提供了 Windows 平台上的 Global Security Toolkit(GSKit),用于为队列管理器和 MQ 客户机通道提供增强的 SSL(安全套接字层)支持。按照此部分中的指导信息来确定是否已设置 WebSphere MQ V5.3 队列管理器或客户机以使用 SSL 连接,并确保这些通道继续使用 WebSphere MQ V6.0。迁移过程使存储在 Microsoft 证书库中由 WebSphere MQ V5.3 或更早版本使用的证书的副本被迁移至 GSKit 密钥数据库。
要考虑的问题
- 如果您要在安装 WebSphere MQ V6.0 之前卸载 WebSphere MQ V5.3,则您将需要执行下列操作:
- 在卸载 WebSphere MQ V5.3 之前,您将需要手工检查证书链是否完整。如果它们不完整,则使用随 WebSphere MQ V5.3 一起提供的 AMQMCERT 实用程序来完成这些证书链。
- 在安装 WebSphere MQ V6.0 之后,您将需要从命令行运行 AMQTCERT 命令以迁移您的证书库,并且需要指定至您正在迁移的证书库的路径。
如果您在卸载 WebSphere MQ V5.3 之后安装 WebSphere MQ V6.0,则安装过程不会知道证书库所在的位置,这是因为在您卸载 WebSphere MQ V5.3 时从系统中除去了此信息。因此,证书链检查程序不能检查这些链,并且 AMQMCERT 也不再能够修复它们。这也意味着安装中用来迁移证书库的进程找不到它们,并且,这也是当您使用此方法时,您将需要手工检查证书链和手工迁移证书库的原因。请参阅《WebSphere MQ V6.0 系统管理指南》以获取有关这些命令的详细信息。
- 在安装过程开始时运行预安装启动板。从此启动板可运行检查 WebSphere MQ 证书库向导。这会检查证书库中的证书链是否完整。如果您选择不运行检查 WebSphere MQ 证书库向导,则安装后准备向导将不显示任何迁移面板,并且将不会安排您的证书库进行迁移。
- 仅当您从 WebSphere MQ V5.3 安装直接迁移至 WebSphere MQ V6.0 安装时,使用检查 WebSphere MQ 证书库向导和安装后准备向导来安排证书迁移才会有效。如果您卸载 WebSphere MQ V5.3,然后安装
WebSphere MQ V6.0,则安装过程不会了解以前的版本是 WebSphere MQ V5.3 并且将不会对您显示任何 SSL 迁移面板。在此情况下,您可考虑在卸载 WebSphere MQ V5.3 之前运行预安装启动板和检查 WebSphere MQ 证书库向导。这将确认证书链的完整性并将允许您在安装 WebSphere MQ V6.0 之后使用
AMQTCERT 导入这些证书链。
- 如果您正在进行 WebSphere MQ V6.0 的静默安装,则有几个选项可静默传递至安装后准备向导并使此向导为您安排证书迁移。如果您遵循此过程,则不运行检查 WebSphere MQ 证书库向导来检查证书链。如果您准备运行静默安装,则应该运行预安装启动板和检查 WebSphere MQ 证书库向导来检查证书链的完整性,或者在安装之前通过 AMQCCERT 手工检查证书库。
未迁移的证书
在此过程中,有大量证书未被迁移。它们是:
- 与 GSKit 的缺省提供集合匹配的证书。由于 GSKit 提供了自己的集合,集合中的证书是相同的或更新的,所以没有迁移这些证书。
- 没有完整认证中心证书链的孤证书。如果已显示来自其颁发者的证书,则证书仅可能导入至 GSkit 密钥数据库文件。仅可将证书添加至 GSkit 密钥数据库,添加顺序是:从根认证中心证书开始,沿着中间认证中心证书链(如果存在的话)继续向下进行,最后以认证中心链的最低级成员颁发的个人证书(如果存在的话)结束。
- 已到期的证书。
证书迁移的类型
证书迁移有两种类型。
- 自动迁移。对于队列管理器来说,第一次启动队列管理器时将发生实际的迁移。如果此迁移成功完成,则将不再尝试它。队列管理器将尝试启动而不管此迁移成功与否。对于客户机来说,客户机第一次使用 SSL 通道连接至队列管理器时将发生实际的迁移。如果此迁移成功完成,则将不再尝试它。客户机的启动取决于迁移的结果,如果迁移失败,则客户机启动也将失败。如果在预安装阶段中已成功验证证书库,则安装后准备向导会将自动迁移方法用于指定的每个队列管理器和客户机证书库。
- 手工迁移。当运行新的传送证书(AMQTCERT)控制命令时将发生手工迁移。手工迁移需要您对每个队列管理器和客户机使用 AMQTCERT。您必须指定 Microsoft 证书库的位置和名称词干以及要使用的 GSKit 密钥数据库。
自动迁移有一个优点,那就是您不需要为所有队列管理器和客户机指定所有 Microsoft 证书库及其相应的 GSKit 密钥数据库的位置和名称。
友好的名称属性
在 Microsoft 证书库中,通常为队列管理器或客户机分配一个证书。在迁移期间,在将此证书存储在 GSKit 数据库中之前,修改此证书的副本。此修改将证书的友好名称属性设置为字符串 ibmwebspheremq,后跟小写的队列管理器名称或客户机登录标识。这会丢失以前的友好名称值(如果有的话)。此友好名称值就成为 GSKit 密钥数据库中的标签。