SSLPEER 値の OU 項目が正しい順序になっていることを確認する必要がある理由

この節では、WebSphere MQバージョン 5.3 Corrective Service Delivery (CSD) 7 以前のシステムから移行した場合に、ご使用の SSLPEER 値の順序を変更しなければならない理由について説明します。

各 SSL 証明書には識別名 (DN) が含まれており、その証明書の発行対象である人および組織を一意的に識別するために使用されています。以下の属性タイプが、通常、証明書の識別名フィールド内にあります。

CN
一般名
T
タイトル
O
組織名
OU
組織単位名
L
市町村名
ST (または SP または S)
都道府県
C
国名

証明書の識別名は複数の OU 属性を持つことができ、階層型の降順でリストされます。例えば、証明書の識別名を次のように指定することができます。

CN='QM2', O='IBM', C='GB', L='Hursley', OU='Software Group', OU='Middleware', OU='MQ'

WebSphere MQ SSL チャネルがオプションの SSLPEER 値を使用して構成されている場合は、SSL ハンドシェーク中にこの値は、受信するどの証明書においてもその識別名と比較されます。これらの値が合致していれば接続は許可され、そうでなければ接続は拒否されます。 WebSphere MQバージョン 5.3 CSD 7 以前では、複数の OU を持つ SSLPEER 値を含むチャネル定義は、階層型の昇順で入力されました。例:

CN='QM2', O='IBM', C='GB', L='Hursley', OU='MQ', OU='Middleware', OU='Software Group'

複数の OU を指定するためのこのような異なるアプローチは CSD 8 で解決され、現在では複数の OU は、SSLPEER 値内で階層型の降順で指定されます。