本节旨在使您了解什么是 SSL 证书、什么是完整的证书链以及为何 WebSphere MQ 证书库需要它们。
队列管理器和 MQ 客户机可使用个人证书(颁发给个人或公司的证书)以便在它们参与启动 SSL 连接时唯一标识它们自身。
队列管理器和 WebSphere MQ 客户机使用颁发者证书以在 SSL 握手期间验证它们接收到的任何个人证书的真实性(在其它 WebSphere MQ 文档中,颁发者证书有时称为认证中心(CA)证书或签署者证书。)
每个个人证书都有一个颁发者证书的证书链,此证书链可追溯到根认证中心。
例如:
证书 R(根认证中心) | | 代表下列证书的颁发者 V 证书 I1(中间认证中心) | | 代表下列证书的颁发者 V 证书 I2(辅助中间认证中心) | | 代表下列证书的颁发者 V 证书 I3(其它辅助中间认证中心) | | 代表下列证书的颁发者 V 证书 P(用于在 SSL 握手时识别其所有者的个人证书)
证书链用于验证此链中每个证书(包括个人证书)的真实性。使用此链中每个证书的“父”证书验证每个证书,然后依次使用此链中下一个证书来验证此“父”证书,依此类推,从个人证书直至根证书认证中心。
Global Security Toolkit(由 WebSphere MQ V6.0 提供)通过自动验证它所管理的任何个人证书的真实性提高了其管理证书的能力。因此,它需要一个存储了每个个人证书的完整的颁发者证书组(或颁发者证书链)。
Windows 上的 WebSphere MQ V5.3 允许个人证书保留在证书库中而无须完整的证书链。如果您试图将此类证书迁移至 Global Security Toolkit 密钥数据库,则此迁移将失败并且您的 SSL 通道连接将不再工作。