为何您需要检查 SSLPEER 值是否具有正确排序的 OU 条目

本节详细描述从 WebSphere MQ V5.3 Corrective Service Delivery (CSD) 7 或更早的安装进行迁移时您必须更改 SSLPEER 值的顺序的原因。

每个 SSL 证书包含一个专有名称(DN),它用于唯一标识被颁发证书的个人或组织。在“证书的专有名称”字段中通常可找到下列属性类型:

CN
公共名
T
职位
O
组织名
OU
组织单位名
L
市/县/区名
ST(或 SP 或 S)
省/自治区/直辖市名
C
国家或地区

证书专有名称可包含多个以递减的层次结构顺序列出的 OU 属性。例如,证书专有名称可指定为:

CN='QM2', O='IBM', C='GB', L='Hursley', OU='Software Group', OU='Middleware', OU='MQ'

如果已使用可选 SSLPEER 值配置了 WebSphere MQ SSL 通道,则在 SSL 握手期间,此值会与接收到的任何证书中的“专有名称”比较。如果这些值匹配,则允许连接,否则拒绝连接。在 WebSphere MQ V5.3 CSD 7 或更早版本中,以递增的层次结构顺序输入通道定义,通道定义包含具有多个 OU 的 SSLPEER 值。例如:

CN='QM2', O='IBM', C='GB', L='Hursley', OU='MQ', OU='Middleware', OU='Software Group'

这些指定多个 OU 的不同方法在 CSD 8 中已解决 - 现在多个 OU 以递减的层次结构顺序在 SSLPEER 值中指定。