La présente section traite de la migration des connexions
SSL (Secure Sockets Layer) Windows depuis WebSphere MQ Version
5.3 vers WebSphere MQ Version
6.0.
Introduction générale
WebSphere MQ Version
6.0 fournit
les outils GSKit (Global Security Toolkit) sur des plateformes Windows
pour améliorer la prise en charge du protocole SSL
(Secure Sockets Layer) pour les canaux des gestionnaires de files
d'attente et des clients MQ. Suivez les instructions
de cette section pour déterminer si des gestionnaires de files
d'attente ou des clients WebSphere MQ Version
5.3 ont été configurés pour utiliser des
connexions SSL et pour vous assurer que ces canaux
continuent à fonctionner avec WebSphere MQ Version
6.0.
Lors du processus de migration, une copie des certificats stockés
dans les magasins de certificats Microsoft, qui sont
utilisés par WebSphere MQ Version
5.3 ou
antérieures, va migrer vers une base de données de clés GSKit.
Points à prendre en considération
- Si vous souhaitez désinstaller WebSphere MQ Version
5.3
avant d'installer WebSphere MQ Version
6.0,
vous devez exécuter les opérations suivantes :
- Avant de désinstaller WebSphere MQ Version
5.3, il convient de
vérifier manuellement que les chaînes de certificats
sont complètes. Si tel n'est pas
le cas, exécutez l'utilitaire AMQMCERT fourni avec
WebSphere MQ Version
5.3 pour compléter
les chaînes.
- Après avoir installé WebSphere MQ Version
6.0,
vous devrez exécuter la commande AMQTCERT à partir
de la ligne de commande
pour procéder à la migration des magasins de certificats et indiquer le
chemin
d'accès des magasins de certificats que vous faites migrer.
Si vous installez WebSphere MQ Version
6.0
après avoir désinstallé WebSphere MQ Version
5.3,
le processus d'installation
ne peut pas identifier l'emplacement des magasins de certificats
étant donné que cette information
a été supprimée du système lors de la désinstallation de WebSphere MQ Version
5.3.
Par conséquent, le vérificateur de chaînes de certificats
ne parvient pas à contrôler les chaînes et AMQMCERT
n'est plus disponible pour les corriger. Cela signifie également que
les processus utilisés lors de l'installation pour la migration des
magasins ne peuvent pas les trouver et explique pourquoi, si vous
utilisez cette approche, vous devez vérifier les chaînes
et faire migrer les magasins manuellement. Pour plus de détails sur
ces commandes, reportez-vous au manuel WebSphere MQ Version
6.0 System Administration
Guide.
- Le Centre de lancement de préinstallation est exécuté au début
du processus d'installation. A partir de ce centre, vous pouvez
exécuter l'assistant de vérification des magasins
de certificats WebSphere MQ. Cet assistant contrôle que
les chaînes de certificats figurant dans les magasins de certificats
sont complètes. Si vous choisissez de ne pas exécuter
l'assistant de vérification des magasins de certificats
WebSphere MQ, l'assistant de
préparation de la post-installation n'affiche
aucun panneau de migration et la migration de vos magasins de certificats
ne sera pas planifiée.
- L'utilisation de l'assistant de vérification des
magasins de certificats WebSphere MQ et de
l'assistant de préparation de la post-installation pour la planification de la migration des certificats
n'est possible que si vous migrez depuis une installation
WebSphere MQ Version
5.3
directement vers une installation WebSphere MQ Version
6.0.
Si vous désinstallez WebSphere MQ Version
5.3
et installez ensuite WebSphere MQ Version
6.0,
le processus d'installation
ne peut pas déterminer que la version précédente était WebSphere MQ Version
5.3 et
n'affiche aucun panneau de migration SSL. Dans ce cas,
vous pouvez exécuter le Centre de lancement de préinstallation
et l'assistant de vérification des magasins de certificats
WebSphere MQ avant de désinstaller WebSphere MQ Version
5.3. Vous pourrez ainsi
vous assurer que les chaînes de certificats sont
complètes et les importer avec AMQTCERT après
l'installation de WebSphere MQ Version
6.0.
- Si vous procédez à une installation automatique de WebSphere MQ Version
6.0,
certaines options peuvent être transmises automatiquement à
l'assistant de préparation de la post-installation de façon à ce qu'il planifie pour vous la migration des
certificats. Selon ce processus, l'assistant de
vérification des magasins de certificats WebSphere MQ
n'est pas exécuté pour vérifier les chaînes de
certificats. Si vous souhaitez effectuer une
installation automatique, vous devez exécuter le Centre de
lancement de préinstallation
et l'assistant de vérification des magasins de certificats
WebSphere MQ pour vérifier que les chaînes de
certificats sont complètes, ou contrôler manuellement les magasins
avec AMQCCERT avant l'installation.
Certificats non migrés
Un
certain nombre de certificats ne sont pas migrés
lors de ce processus. Il s'agit :
- Des certificats correspondant à l'ensemble fourni par
défaut avec les outils GSKit. Ils ne sont pas migrés
étant donné que le GSKit comporte son propre ensemble de certificats,
qui sont identiques ou plus à jour.
- Des certificats orphelins, non associés à une chaîne de
certificats complète d'autorité de certification. Un certificat ne
peut être importé dans un fichier de base de données de clés
GSkit que si un certificat de son auteur est déjà présent. Pour ajouter des
certificats à la base de données de clés GSkit, il convient de
commencer par le certificat racine de l'autorité de certification,
puis, le cas échéant, de descendre la chaîne des
certificats intermédiaires
de cette autorité et de terminer par le certificat personnel
généré par le membre le plus bas de la chaîne.
- Des certificats ayant expiré.
Types de migrations de certificats
Il
existe deux types
de migrations de certificats.
- Migration automatique. Pour un gestionnaire de files d'attente, la
migration a réellement lieu la première fois qu'il est lancé. Si
le processus de migration aboutit, il n'est pas renouvelé. Le gestionnaire de files d'attente
tentera de démarrer que la migration réussisse ou échoue. Pour un
client, la migration a réellement lieu
lors de sa première connexion au gestionnaire de files
d'attente au moyen d'un canal SSL. Si le processus de migration
aboutit, il n'est pas renouvelé. Le démarrage du client dépend
du résultat de la migration ; si elle échoue, le client ne démarre
pas.
Dans le cas où un magasin de certificats a été validé lors de la phase
de préinstallation, l'assistant de préparation
de la post-installation utilise la méthode de migration
automatique pour chacun des gestionnaires de files d'attente et des
magasins de clients indiqués.
- Migration manuelle. Ce processus se déroule lorsque la
nouvelle commande de contrôle Transfert de certificats
(AMQTCERT) est exécutée. La migration manuelle requiert l'utilisation
d'AMQTCERT pour chaque gestionnaire de files d'attente et chaque client. Vous
devez indiquer l'emplacement et la racine du nom
du magasin de certificats Microsoft ainsi que la base de données de
clés GSKit à utiliser.
La migration automatique présente un avantage dans la mesure
où vous n'avez pas besoin d'indiquer l'emplacement
et les noms de tous les magasins de certificats Microsoft ni de
préciser les bases de données de clés GSKit
correspondantes pour tous les gestionnaires de files d'attente et
clients.
Attribut Nom convivial
Dans le magasin
de certificats Microsoft, un certificat est généralement affecté au
gestionnaire de files d'attente ou au client.
Lors de la migration, la copie de ce certificat est modifiée avant
d'être stockée dans la base de données GSKit. Cette modification
permet de définir l'attribut Nom convivial du certificat sur la
chaîne ibmwebspheremq, suivie
du nom du gestionnaire de files d'attente ou de l'ID de connexion du
client en minuscules. Le cas échéant, la valeur Nom convivial
précédente est perdue. Cette valeur Nom convivial
devient le libellé de la base de données de clés GSKit.