為何必須檢查 SSLPEER 值的 OU 項目是否正確

本節說明一旦您是從 WebSphere MQ5.3 版 Corrective Service Delivery (CSD) 7(或更早)安裝環境移轉,則為何必須變更 SSLPEER 值的順序。

每一份 SSL 憑證皆含有一個「辨識名稱」(DN),用以唯一識別憑證簽發對象的個人或組織。 以下的屬性類型通常可在憑證的「辨識名稱」欄位中找到:

CN
共用名稱
T
書名
O
組織名稱
OU
組織單位名稱
L
所在地名稱
ST(或 SP、S)
州/省(縣/市)
C
國家或地區

憑證的「辨識名稱」可含有多個 OU 屬性(按降冪階層式順序列出)。舉例來說,憑證的「辨識名稱」可指定成如下:

CN='QM2', O='IBM', C='GB', L='Hursley', OU='Software Group', OU='Middleware', OU='MQ'

如果 WebSphere MQ SSL 通道有配置選用的 SSLPEER 值,則在 SSL 訊息交換期間,此值會和任何所收到之憑證中的「辨識名稱」相比較。如果這些值相符, 則容許連線,否則會拒絕連線。在 WebSphere MQ5.3 版 CSD 7(或更早)中, 是按升冪階層式順序來輸入內含 SSLPEER 值(具有多個 OU)的通道定義。例如:

CN='QM2', O='IBM', C='GB', L='Hursley', OU='MQ', OU='Middleware', OU='Software Group'

這些用以指定多個 OU 的不同方式, 在 CSD 8 中已經解決 - 如今多個 OU 是按降冪階層式順序指定在 SSLPEER 值中。