La présente section offre une définition des certificats SSL, d'une chaîne de certificat complète et explique pourquoi ils sont nécessaires aux magasins de certificats WebSphere MQ.
Les certificats personnels (certificats émis par une personne ou une entreprise) peuvent être utilisés par des gestionnaires de files d'attente et des clients MQ pour les identifier de façon unique lorsqu'ils interviennent dans le lancement d'une connexion SSL.
Les certificats d'émetteur sont utilisés par des gestionnaires de files d'attente et des clients WebSphere MQ pour vérifier l'authenticité des certificats personnels qu'ils reçoivent lors de l'établissement d'une liaison SSL (les certificats d'émetteur sont parfois appelés autorité de certification (CA) ou certificats du signataire dans d'autres documentations relatives à WebSphere MQ.)
Chaque certificat personnel dispose d'une chaîne de certificats d'émetteur qui remonte jusqu'à l'autorité de certification racine.
Par exemple :
Certificat R (autorité de certification racine) | | représente l'émetteur du V Certificat I1 (autorité de certification intermédiaire) | | représente l'émetteur du V Certificat I2 (autorité de certification intermédiaire d'ordre secondaire) | | représente l'émetteur du V Certificat I3 (autorité de certification intermédiaire d'ordre très secondaire) | | représente l'émetteur du V Certificat P (certificat personnel émis pour identifier son propriétaire lors de l'établissement d'une liaison SSL)
Les chaînes de certificats sont utilisées pour vérifier l'authenticité de chaque certificat appartenant à cette chaîne, y compris le certificat personnel. Chaque certificat de la chaîne est validé à l'aide de son certificat 'parent', qui, à son tour, est validé par le certificat suivant dans la chaîne, et ainsi de suite, du certificat personnel jusqu'au certificat de l'autorité de certification racine.
Les outils GSKit (Global Security Toolkit) (fournis par WebSphere MQ Version 6.0) offrent une bonne gestion interne des certificats en vérifiant automatiquement l'authenticité de tous les certificats personnels qu'ils gèrent. C'est pourquoi ils nécessitent le stockage d'un ensemble (chaîne) de certificats d'émetteur pour chaque certificat personnel.
WebSphere MQ Version 5.3 sur Windows permet de stocker des certificats personnels dans des magasins de certificats sans chaîne de certificats complète. Si vous tentez d'effectuer une migration de ces certificats vers une base de données de clés GSKit (Global Security Toolkit), celle-ci échouera et vos connexions de canal SSL ne fonctionneront plus.