In questa sezione vengono descritte le funzioni dei certificati SSL e le catene di certificati e viene riportato il motivo per cui gli archivi di certificati WebSphere MQ ne hanno bisogno.
I certificati personali (certificati emessi da un singolo o da una società) possono essere utilizzati ai gestori code e dai client MQ per identificarsi in maniera univoca all'avvio di una connessione SSL.
I certificati dell'emittente vengono utilizzati dai gestori code e dai client di WebSphere MQ per verificare l'autenticità dei certificati personali ricevuti durante un handshake SSL; i certificati dell'emittente vengono talvolta detti certificati della CA (Certification Authority) o del firmatario nella altre pubblicazioni di WebSphere MQ.
Ogni certificato personale ha una catena di certificati dell'emittente che si estende fino alla CA root.
Ad esempio:
Certificato R (CA root) | | rappresenta l'emittente di V Certificato I1 (CA intermedia) | | rappresenta l'emittente di V Certificato I2 (CA intermedia secondaria) | | rappresenta l'emittente di V Certificato I3 (ulteriore CA intermedia secondaria) | | rappresenta l'emittente di V Certificata P (Un certificato personale utilizzato per identificare il proprietario su un handshake SSL)
Le catene di certificati sono utilizzate per verificare l'autenticità di ogni certificato della catena, compreso il certificato personale. Ogni certificato nella catena viene convalidato mediante il certificato 'principale' che a sua volta è convalidato dal certificato precedente nella catena e così via, dal certificato personale fino al certificato dell'autorità di certificazione.
Global Security Toolkit (fornito da WebSphere MQ Versione 6.0) consente la gestione dei certificati verificando automaticamente l'autenticità dei certificati personali che gestisce. Per questo motivo, esso richiede una serie completa (detta catena) di certificati dell'emittente da memorizzare con ogni certificato personale.
WebSphere MQ Versione 5.3 su Windows consente la conservazione dei certificati personali senza doiver avere una catena di certificati completa. Se si prova a eseguire la migrazione di tali certificati in un database delle chiavi di Global Security Toolkit, la migrazione non riuscirà e le connessioni dei canali SSL non funzioneranno più.