Ibm mq 是一个;刷新安全类型(ssl)";将证书部署到密钥库后需要的命令
在我们将更新的证书部署到密钥库后,是否需要Ibm mq 是一个;刷新安全类型(ssl)";将证书部署到密钥库后需要的命令,ibm-mq,Ibm Mq,在我们将更新的证书部署到密钥库后,是否需要刷新安全类型(ssl)命令。我通常在证书更新后执行此命令,但我看到此命令未执行,通道仍拾取新证书的情况。放入密钥库的证书是否立即生效,或者我们需要执行ssl刷新。要确保队列管理器内外的所有连接都使用密钥存储中的当前信息,在进行任何更新后,您应该始终运行刷新安全类型(ssl)(例如,添加到私钥,甚至添加新的可信CA证书) 当任何MQ进程第一次需要访问密钥存储时,该进程将读取密钥存储并将其缓存在内存中。在默认配置中,到队列管理器的连接由保持运行的进程处理,
刷新安全类型(ssl)
命令。我通常在证书更新后执行此命令,但我看到此命令未执行,通道仍拾取新证书的情况。放入密钥库的证书是否立即生效,或者我们需要执行ssl刷新。要确保队列管理器内外的所有连接都使用密钥存储中的当前信息,在进行任何更新后,您应该始终运行刷新安全类型(ssl)
(例如,添加到私钥,甚至添加新的可信CA证书)
当任何MQ进程第一次需要访问密钥存储时,该进程将读取密钥存储并将其缓存在内存中。在默认配置中,到队列管理器的连接由保持运行的进程处理,以便它们在与队列管理器的第一次入站连接(这需要密钥存储。在默认配置中,出站通道连接使用单独的runmqchl进程,这些进程在通道启动时启动,因此每次都会读取当前密钥存储 这意味着在某些情况下,如果不使用
刷新安全类型(SSL)
,事情可能会正常进行,例如:
MCATYPE(PROCESS)
的SDR通道启动,则会启动一个新的runmqchl进程,该进程将读取密钥存储并获取任何更改Morag Hughson在Capitalware的MQ技术会议v2.0.1.4上做了一个演讲,题目是“.”。PDF第10页的注释部分很好地总结了
刷新安全类型(SSL)
的功能
刷新WebSphere MQ上的SSL-注意事项
- 此功能是在WebSphereMQV6中引入的
- 设置为在通道进程中运行SSL通道的SSL环境在初始化时具有密钥存储库的缓存视图。 如果您对密钥存储库进行了更改,即添加、删除或更新 证书,例如,因为您正在替换证书 即将过期,需要在中刷新此缓存视图 命令SSL通道开始使用新证书
- 为了在不中断任何非SSL通道的情况下刷新SSL环境的缓存视图,请使用刷新安全类型(SSL) 命令。这将停止队列管理器上的所有SSL通道,新建 将创建密钥存储库的缓存视图,并发送所有 类型频道将再次启动。接收类型频道将 在伙伴端重试连接时重新启动
- 非SSL通道将不受此命令的影响,并将继续运行
- 还可以使用此命令获取其他更改,例如新的密钥存储库位置或新的LDAP CRL/ARL位置
IBM在IBM MQ知识中心中对此进行了说明,下面是两页,其中包含有关此主题的信息: IBM MQ v7.5 KC页“” 关于此任务 使用安全套接字层(SSL)或TLS保护通道时 数字证书及其相关私钥存储在 密钥存储库。密钥存储库的副本保存在内存中 当频道正在运行时。如果您更改密钥 在存储库中,您可以刷新所创建的密钥存储库的副本 保留在内存中而不重新启动通道 刷新密钥存储库的缓存副本时,所有SSL或TLS 将更新当前正在运行的频道:
- 允许使用SSL或TLS的发送方、服务器和群集发送方通道完成当前批消息。然后 使用刷新的密钥视图再次运行SSL握手 存储库
- 将停止使用SSL或TLS的所有其他通道类型。如果已停止通道的伙伴端定义了重试值,则 通道重试并再次运行SSL握手 握手使用密钥内容的刷新视图 存储库,用于存储的LDAP服务器的位置 证书吊销列表以及密钥存储库的位置。 在服务器连接通道的情况下,客户端应用程序将丢失 它与队列管理器的连接,必须重新连接才能继续
- 调用refresh命令时,队列管理器有多个SSL通道同时运行
- 这些频道正在处理大量的消息