本節說明如何將 Windows Secure Sockets Layer
(SSL) 連線從 WebSphere MQ5.3 版移轉至 WebSphere MQ6.0 版。
一般簡介
WebSphere MQ6.0 版可在 Windows 平台上提供
「廣域安全工具箱」(GSKit),以提升佇列管理程式與 MQ 用戶端通道的 SSL
(Secure Sockets Layer) 支援。請遵循本節中的指引,
來判斷 WebSphere MQ5.3 版佇列管理程式或用戶端是否已設定成使用 SSL 連線,
並確定這些通道能繼續使用 WebSphere MQ6.0 版。移轉程序會將
WebSphere MQ5.3 版(或更早的版本)所用並儲存在「Microsoft 憑證儲存庫」中的憑證複本,
移轉至 GSKit 金鑰資料庫中。
考量點
- 如果您想先解除安裝 WebSphere MQ5.3 版再安裝 WebSphere MQ6.0 版,
您必須執行下列動作:
- 在解除安裝 WebSphere MQ5.3 版之前,
您得先手動檢查憑證鏈是否完整。若非如此,
請使用 WebSphere MQ5.3 版所提供的 AMQMCERT 公用程式,
讓此鏈維持完整。
- 在安裝 WebSphere MQ6.0 版後,
您必須從指令行執行 AMQTCERT 指令,移轉您的憑證儲存庫,
並指定您要移轉之憑證儲存庫的路徑。
如果您在解除安裝 WebSphere MQ5.3 版之後要安裝
WebSphere MQ6.0 版,安裝程序將不知道憑證儲存庫的位置,
這是因為在您解除安裝 WebSphere MQ5.3 版時會將該資訊從系統中移除。如此一來,
憑證鏈檢查程式將無法檢查憑證鏈,
且已無法使用 AMQMCERT 來修復它們。這也意味著安裝作業中用以移轉儲存庫的程序無法找到它們,
而您如果要使用此方法,則必須手動檢查憑證鏈並手動移轉儲存庫。有關這些指令的詳細說明,
請參閱 WebSphere MQ6.0 版系統管理手冊。
- 「安裝之前的啟動程式」會在安裝程序開始時執行。透過此程式,
您可以執行「檢查 WebSphere MQ 憑證儲存庫」精靈。它會檢查憑證儲存庫中的憑證鏈是否完整。
如果您選擇不執行「檢查 WebSphere MQ 憑證儲存庫」精靈,
則「後置安裝的準備」精靈不會呈現任何移轉畫面,
因而不會安排執行憑證儲存庫的移轉。
- 只有在您是從 WebSphere MQ5.3 版安裝環境直接移轉至 WebSphere MQ6.0 版安裝環境時,
才有辦法使用「檢查 WebSphere MQ 憑證儲存庫」精靈與「後置安裝的準備」精靈,
來安排執行憑證的移轉。如果您解除安裝 WebSphere MQ5.3 版,
然後再安裝 WebSphere MQ6.0 版,則安裝程序並不知道
舊版是 WebSphere MQ5.3 版,
因而不會呈現任何 SSL 移轉畫面。在此情況下,
您可考慮在解除安裝 WebSphere MQ5.3 版之前先執行「安裝之前的啟動程式」與「檢查 WebSphere MQ 憑證儲存庫」精靈。如此一來,
將會確認憑證鏈是否完整,並讓您可在安裝 WebSphere MQ6.0 版之後使用 AMQTCERT 來匯入它們。
- 如果您採用無聲自動安裝 WebSphere MQ6.0 版,
則有些選項可自動傳給「後置安裝的準備」精靈,
並讓該精靈為您安排執行憑證的移轉。如果您遵循本程序進行,
並不會執行「檢查 WebSphere MQ 憑證儲存庫」精靈以檢查憑證鏈。如果您有意執行無聲安裝,
您應執行「安裝之前的啟動程式」與「檢查 WebSphere MQ 憑證儲存庫」精靈,
以檢查憑證鏈是否完整,或者在安裝之前手動執行 AMQCCERT 以檢查儲存庫。
不會移轉的憑證
在本程序期間有些憑證不會移轉。這些包括:
- 和 GSKit 預設提供之憑證集相符的憑證。由於 GSKit 會提供本身的憑證集(相同或更新),而不會移轉這些憑證。
- 沒有完整憑證管理中心憑證鏈的孤立憑證。只有在出自其簽發者的憑證已存在時,
才能將該憑證匯入到 GSKit 金鑰資料庫檔案中。憑證只能依下列順序新增到 GSKit 金鑰資料庫中:
最先是最高憑證管理中心的憑證,再來是中階憑證管理中心的憑證鏈(若有的話),
最後才是憑證管理中心鏈中之最低成員所發的個人憑證(若有的話)。
- 過期的憑證。
憑證移轉類型
憑證有下列兩種移轉類型。
- 自動移轉。在佇列管理程式方面,在您第一次啟動佇列管理程式時即會發生實際的移轉。如果移轉順利完成,
則不會再試著移轉。不論移轉成功或失敗,
佇列管理程式都會試著啟動。在用戶端方面,
在用戶端第一次使用 SSL 通道連接佇列管理程式時即會發生實際的移轉。如果移轉順利完成,
則不會再試著移轉。用戶端的啟動取決於移轉結果而定;如果移轉失敗,用戶端亦將失敗。其中,在安裝之前的階段中憑證儲存庫已順利通過驗證,
「後置安裝的準備」精靈會對儲存庫中指定的每一個佇列管理程式與用戶端採用自動移轉方法。
- 手動移轉。當您執行新「轉送憑證」(AMQTCERT) 控制指令時,
便會進行此程序。手動移轉會要求您對每一個佇列管理程式與用戶端使用 AMQTCERT。您必須指定所要使用之「Microsoft 憑證儲存庫」與 GSKit 金鑰資料庫的位置與名稱字幹。
自動移轉的好處是您不必為所有佇列管理程式與用戶端,
指定所有「Microsoft 憑證儲存庫」與其相對應之 GSKit 金鑰資料庫的位置與名稱。
「一般名稱」屬性
在「Microsoft 憑證儲存庫」中,
通常會指派一個憑證給佇列管理程式或用戶端。在移轉期間,此憑證的複本會經過修改,
再儲存到 GSKit 資料庫中。在這項修改中,會將憑證的「一般名稱」屬性設為
ibmwebspheremq 字串,其後並跟著小寫的佇列管理程式名稱或用戶端登入 ID。舊有的「一般名稱」值(若有的話)
將會遺失。這個「一般名稱」值會在 GSKit 金鑰資料庫中成為標籤。