이 절에서는 SSL 인증서 및 완전한 인증서 체인의 개념과 WebSphere MQ 인증서 저장소에 완전한 인증서 체인이 필요한 이유를 설명합니다.
개인 인증서(개인 또는 회사에 발행된 인증서)는 큐 관리자 또는 MQ 클라이언트가 SSL 연결을 시작할 때 자신을 고유하게 식별하는 데 사용할 수 있습니다.
발행인 인증서는 큐 관리자 및 WebSphere MQ 클라이언트가 SSL 데이터 교환 중에 수신하는 개인 인증서의 원본 여부를 확인하는 데 사용됩니다(발행인 인증서는 종종 다른 WebSphere MQ 문서에서 인증 기관(CA) 또는 서명자 인증서로 언급됩니다).
각 개인 인증서에는 루트 인증 기관으로 확장되는 발행인 인증서의 인증서 체인이 있습니다.
예:
인증서 R(루트 인증 기관) | | 다음의 발행인을 나타냅니다. V 인증서 I1(중간 인증 기관) | | 다음의 발행인을 나타냅니다. V 인증서 I2(종속 중간 인증 기관) | | 다음의 발행인을 나타냅니다. V 인증서 I3(추가 종속 중간 인증 기관) | | 다음의 발행인을 나타냅니다. V 인증서 P(SSL 데이터 교환에서 소유자를 식별하는 데 사용되는 개인 인증서)
인증서 체인은 개인 인증서를 포함하여 해당 체인에서 각 인증서의 원본 여부를 확인하는 데 사용됩니다. 체인의 각 인증서는 해당 '상위' 인증서를 사용하여 유효성이 확인됩니다. 개인 인증서에서 루트 인증 기관 인증서에 이르기까지 차례로 체인의 다음 상위 인증서를 사용하여 유효성이 확인됩니다.
Global Security Toolkit(WebSphere MQ 버전 6.0에서 제공)은 관리하는 개인 인증서의 원본 여부를 자동으로 확인함으로써 철저한 인증서 관리를 장려합니다. 이러한 이유로 각 개인 인증서와 함께 완전한 발행인 인증서 세트(또는 체인)를 저장해야 합니다.
Windows에서 WebSphere MQ 버전 5.3은 개인 인증서를 완전한 인증서 체인 없이도 인증서 저장소에 보유할 수 있습니다. 이러한 인증서를 Global Security Toolkit 키 데이터베이스로 이주하려는 경우 이주가 실패하며 SSL 채널 연결이 더 이상 작동하지 않게 됩니다.