In diesem Kapitel wird ausführlich erläutert, wie Sie die SSL-Zertifikatketten in Ihrem SSL-Zertifikatsspeicher auf ihre Vollständigkeit hin überprüfen können.
In WebSphere MQ Version 6.0 wird ein neuer Befehl zur Verfügung gestellt. Er prüft, ob die Zertifikatketten vollständig sind. Dieser Befehl lautet AMQCCERT (Zertifikatketten prüfen) und kann entweder unbeaufsichtigt von einer Befehlszeile bzw. einer Stapeldatei oder aber als Teil eines Assistenten ausgeführt werden. In diesem Abschnitt geht es nur um die Verwendung des Assistenten.
Der Assistent wird dazu verwendet, die WS-Manager und Clients, die zu migrierende Zertifikatsspeicher besitzen, auszuwählen (wenn der Assistent zuvor ausgeführt wurde, werden alle WS-Manager und Clients die zuvor ausgewählt wurden, nochmals angezeigt). Er führt den Befehl AMQCCERT für die angegebenen Zertifikatsspeicher aus und ermöglicht Ihnen, die Ergebnisse des Befehls zu überprüfen. Mit Hilfe des Assistenten können Sie auch angeben, dass für einen WS-Manager keine SSL-Verbindungen verwendet werden sollen und dass der Zertifikatsspeicher (falls vorhanden) nicht geprüft oder migriert werden soll.
Geben Sie die WS-Manager oder Clients an, die SSL-Kanäle verwenden. Informationen hierzu finden Sie unter "Bestimmen der Konfiguration von SSL-Verbindungen".
Wenn der Assistent zum Prüfen von WebSphere MQ-Zertifikatsspeichern anzeigt, welche Zertifikatsspeicher erfolgreich gewesen und welche fehlgeschlagen sind, ermöglicht der Assistent auch das Anzeigen der Gründe für das Fehlschlagen eines Speichers. Im Folgenden sehen Sie zwei Beispiele zu der Art der angezeigten Informationen, wenn Sie die Gründe für das Fehlschlagen eines Zertifikatsspeichers aufrufen:
Ein Zertifikat hat ein ungültiges Datum. Microsoft-Zertifikatsspeicher: 'c:\test\cert\key'. Betreffender Empfänger des Zertifikats: 'Peter Smith'. Aussteller des Zertifikats: 'DEMO CA A6'. Seriennummer des Zertifikats: '0091 579E 77F7 E3FD A791 940E 74ED 53B2 12'. Zertifikat gültig vom: '15/07/2004' bis '13/10/2004'.
Es konnte kein Zertifikat der Prüfstelle (Unterzeichner) gefunden werden. Microsoft-Zertifikatsspeicher: 'c:\test\cert\key'. Betreffender Empfänger des Zertifikats: 'MakeCertPers2045Cert'. Aussteller des Zertifikats: 'MakeCert2045CA'. Seriennummer des Zertifikats: 'A60E E88E 8006 428F 4384 9AC9 0932 4A62'. Zertifikat gültig vom: '14/09/2004' bis '08/09/2045'.
Diese Informationen werden zusammen mit anderen Informationen zum Verarbeitungsfortschritt in eine Protokolldatei geschrieben. Sie können auch im Assistenten angezeigt werden. Diese Protokolldatei befindet sich im WebSphere MQ Datenverzeichnis und heißt amqmsccw.txt.
An dieser Stelle haben Sie die Möglichkeit, veraltete Zertifikate zu ersetzen oder fehlende hinzuzufügen. Kehren Sie anschließend zum Assistenten zurück, und prüfen Sie, ob die Speicher nun die Prüfung erfolgreich durchlaufen. Der Assistent wird nur dann abgeschlossen, wenn alle ausgewählten Zertifikatsspeicher erfolgreich geprüft worden sind.