SSL 憑證與憑證鏈

本節說明何謂 SSL 憑證與完整的憑證鏈, 以及 WebSphere MQ 憑證儲存庫為何需要它們。

個人憑證(簽發給個人或公司的憑證)可在佇列管理程式與 MQ 用戶端參與啟動 SSL 連線時, 做為其唯一識別用。

簽發者憑證是供佇列管理程式與 WebSphere MQ 用戶端在 SSL 訊息交換期間用以驗證其所收到的任何個人憑證是否真確 (在其他 WebSphere MQ 文件中, 簽發者憑證有時是指「憑證管理中心」(CA) 或簽章者憑證。)

每一份個人憑證皆有一個由簽發者憑證組成的憑證鏈(可回溯至最高憑證管理中心)。

例如:

憑證 R(最高憑證管理中心)
    |
    | 代表如下的簽發者
    V
憑證 I1(中階憑證管理中心)
    |
    | 代表如下的簽發者
    V
憑證 I2(附屬的中階憑證管理中心)
    |
    | 代表如下的簽發者
    V
憑證 I3(更深一層之附屬的中階憑證管理中心)
    |
    | 代表如下的簽發者
    V
憑證 P(在 SSL 訊息交換期間用以識別其擁有者的個人憑證)

憑證鏈用以驗證該鏈中之每一份憑證的真確性,包括個人憑證在內。鏈中的每一份憑證皆使用其母憑證來驗證, 然後該母憑證再使用其在鏈中的上一份憑證來驗證;從個人憑證往上至最高憑證管理中心憑證,以此類推。

WebSphere MQ6.0 版所提供的「廣域安全工具箱」可提升憑證的內務處理, 因為它可自動驗證其所管理之任何個人憑證的真確性。因此,它會要求隨每一份個人憑證儲存的簽發者憑證組(或鏈)必須完整。

Windows 中的 WebSphere MQ5.3 版容許存放在憑證儲存庫中的個人憑證不必有完整的憑證鏈。如果您試著將這類憑證移轉至 「廣域安全工具箱」金鑰資料庫中, 此項移轉將會失敗,且您的 SSL 通道連線將不再起作用。