Esta seção descreve a migração das conexões Windows SSL do WebSphere MQ Versão
5.3 para o WebSphere MQ Versão
6.0.
Introdução Geral
O WebSphere MQ Versão
6.0 fornece o GSKit (Global Security Toolkit) em plataformas Windows para o suporte SSL aperfeiçoado de canais do cliente e do gerenciador de filas do MQ. Siga o guia desta seção para determinar se os gerenciadores de filas ou os clientes do WebSphere MQ Versão
5.3 foram configurados para utilizar conexões SSL e garantir que esses canais continuem a trabalhar com o WebSphere MQ Versão
6.0.
O processo de migração faz com que uma cópia dos certificados armazenados no Microsoft Certificate Stores utilizada pelo WebSphere MQ Versão
5.3 ou por versões anteriores seja migrada para um banco de dados de chaves do GSKit.
Pontos a Serem Considerados
- Se você pretende desinstalar o WebSphere MQ Versão
5.3 antes de instalar o WebSphere MQ Versão
6.0, você precisará:
- Antes de desinstalar o WebSphere MQ Versão
5.3, você precisará verificar manualmente se as cadeias de certificados estão completas. Se não estiverem, utilize o utilitário AMQMCERT fornecido com o WebSphere MQ Versão
5.3 para completar as cadeias.
- Após instalar o WebSphere MQ Versão
6.0, você precisará executar o comando AMQTCERT a partir da linha de comandos para migrar seus armazenamentos de certificados e especificar o caminho para os armazenamentos de certificados que você está migrando.
Se você instalar o WebSphere MQ Versão
6.0 depois de desinstalar o WebSphere MQ Versão
5.3, o processo de instalação não saberá onde os armazenamentos de certificados estão localizados, pois essas informações foram removidas do sistema quando você desinstalou o WebSphere MQ Versão
5.3.
O verificador da cadeia de certificados não poderá verificar as cadeias e o AMQMCERT não estará mais disponível para repará-las. Isso também significa que os processos utilizados na instalação para migrar os armazenamentos não podem encontrá-los e porque, se você utilizar esta abordagem, será necessário verificar manualmente as cadeias e migrar manualmente os armazenamentos. Consulte o WebSphere MQ Version 6.0 System Administration Guide para obter detalhes sobre esses comandos.
- A Barra de Lançamento de Pré-instalação é executada no início do processo de instalação. Ela poderá ser executada a partir deste Assistente para Verificação do Armazenamento de Certificados do WebSphere MQ. Isso verifica se as cadeias de certificados nos armazenamentos de certificados estão completas. Se você optar por não executar o Assistente para Verificação do Armazenamento de Certificados do WebSphere MQ, o Assistente para Preparação de Pós-instalação não apresentará nenhum painel de migração e seus armazenamentos de certificados não serão planejados para migração.
- A utilização do Assistente para Verificação do Armazenamento de Certificados do WebSphere MQ e do Assistente para Preparação de Pós-instalação para planejar a migração de certificados só funcionará se você estiver migrando de uma instalação direta do WebSphere MQ Versão
5.3 para uma instalação do WebSphere MQ Versão
6.0.
Se você desinstalar o WebSphere MQ Versão
5.3 e, em seguida, instalar o WebSphere MQ Versão
6.0, o processo de instalação não saberá se a versão anterior era WebSphere MQ Versão
5.3 e não apresentará nenhum dos painéis de migração do SSL. Neste caso, é preciso considerar a execução da Barra de Lançamento de Pré-instalação e do Assistente para Verificação do Armazenamento de Certificados do WebSphere MQ antes de desinstalar o WebSphere MQ Versão
5.3. Isso confirmará a integridade das cadeias de certificados e permitirá a importação delas com o AMQTCERT após a instalação do WebSphere MQ Versão
6.0.
- Se você estiver instalando o WebSphere MQ Versão
6.0 silenciosamente, haverá opções que poderão ser transmitidas silenciosamente ao Assistente para Preparação de Pós-instalação e programá-lo para a migração automática de certificados. Se esse processo for seguido, o Assistente para Verificação do Armazenamento de Certificados do WebSphere MQ não será executado para verificar as cadeias de certificados. Se você pretende executar uma instalação silenciosa, deverá executar a Barra de Lançamento de Pré-instalação e o Assistente para Verificação do Armazenamento de Certificados do WebSphere MQ para verificar a integridade das cadeias de certificados ou verificar manualmente os armazenamentos do AMQCCERT antes da instalação.
Certificados Não Migrados
Diversos certificados não são migrados durante este processo. São eles:
- Certificados que correspondem ao conjunto padrão do GSKit fornecido. Eles não são migrados, pois o GSKit fornece seu próprio conjunto, que é tão ou mais atualizado.
- Certificados órfãos que não possuem uma cadeia completa de certificados da Autoridade de Certificação. Um certificado só poderá ser importado para um arquivo de banco de dados de chaves do GSkit se um certificado de seu emissor já estiver presente. Os certificados só poderão ser incluídos no banco de dados de chaves do GSkit se começarem com o certificado da Autoridade de Certificação raiz, continuarem com a cadeia de certificados da Autoridade de Certificação intermediária abaixo, se existir, e terminarem com o certificado pessoal emitido pelo último membro da cadeia da Autoridade de Certificação, também se existir.
- Certificados que foram expirados.
Tipos de Migração de Certificados
Há dois tipos de migração de certificados.
- Migração Automática. Para um gerenciador de filas, a migração real ocorrerá quando ele for iniciado pela primeira vez. Se a migração for concluída com êxito, não haverá mais nenhuma tentativa. O gerenciador de filas tentará a inicialização, independente do êxito ou da falha da migração. Para um cliente, a migração real ocorrerá quando ele for conectado pela primeira vez ao gerenciador de filas utilizando um canal SSL. Se a migração for concluída com êxito, não haverá mais nenhuma tentativa. A inicialização do cliente depende do resultado da migração; se a migração falhar, o cliente também falhará.
O Assistente para Preparação da Pós-instalação utilizará o método de migração automático para cada um dos armazenamentos de clientes e gerenciadores de filas especificado, onde um armazenamento de certificados tiver sido validado com êxito na fase de pré-instalação.
- Migração manual. Ocorre quando o novo comando de controle AMQTCERT (Transferir Certificados) é executado. A migração manual requer a utilização de AMQTCERT para cada cliente e gerenciador de filas. É necessário especificar o local e a origem do nome do Microsoft Certificate Store e o banco de dados de chaves do GSKit a ser utilizado.
A migração automática oferece o benefício que você precisa para especificar o local e os nomes de todos os Microsoft Certificates Stores e dos bancos de dados de chaves do GSKit correspondentes para todos os gerenciadores de filas e clientes.
Atributo Nome Amigável
No Microsoft Certificate
Store, geralmente há um certificado atribuído ao gerenciador de filas ou ao cliente.
Durante a migração, a cópia desse certificado é modificada antes de ser armazenada no banco de dados do GSKit. A modificação define o atributo Nome Amigável do certificado para a cadeia ibmwebspheremq, em letra minúscula, pelo ID de logon do cliente ou do nome do gerenciador de filas. O valor anterior de Nome Amigável, se houver algum, é perdido. O valor do Nome Amigável torna-se a identificação do banco de dados de chaves do GSKit.