Ibm mq Pymqi-使用SSL连接到IBM mq_Ibm Mq_Pymqi

Ibm mq Pymqi-使用SSL连接到IBM mq

ibm-mq

Ibm mq Pymqi-使用SSL连接到IBM mq,ibm-mq,pymqi,Ibm Mq,Pymqi,我能够使用Linux机器上安装的mq客户机v9通过Pymqi连接到IBM mq。有通过SSL连接的要求。我应该如何为双向TLS（MTL）创建密钥存储库？我已经使用（9.1.5.0）支持的PyMQI在python应用程序和（9.2.0.0）上运行的队列管理器之间配置了双向TLS 我使用了自签名证书，以便更容易地演示使用MQ的TLS配置的端到端示例。这通常不会在生产环境中使用；MQ管理员通常会提供您可能需要使用的任何证书，这些证书通常由证书颁发机构颁发。在这种情况下，您可以跳过下面的证书创建步骤以

我能够使用Linux机器上安装的mq客户机v9通过Pymqi连接到IBM mq。有通过SSL连接的要求。我应该如何为双向TLS（MTL）创建密钥存储库？

我已经使用（9.1.5.0）支持的PyMQI在python应用程序和（9.2.0.0）上运行的队列管理器之间配置了双向TLS

我使用了自签名证书，以便更容易地演示使用MQ的TLS配置的端到端示例。这通常不会在生产环境中使用；MQ管理员通常会提供您可能需要使用的任何证书，这些证书通常由证书颁发机构颁发。在这种情况下，您可以跳过下面的证书创建步骤

以下是我采取的步骤：

初始服务器和Python代码设置

设置一个IBM MQ服务器，该服务器提供默认的开发人员配置
从中提取python示例代码，并在未配置TLS的情况下将消息放入
```
DEV.QUEUE.1
```

常规配置

在我的Mac客户端上创建了一些工作目录。
```
mkdir tlsTest
cd tlsTest
mkdir client
mkdir server
```

队列管理器配置

创建服务器密钥库

cd server

查看

key.crl key.kdb key.rdb key.sth

检查商店是否空着

runmqakm -cert -list -db key.kdb -stashed

runmqakm -cert -list -db key.kdb -stashed

runmqakm -cert -list -db key.kdb -stashed

创建服务器证书并将其放入新密钥库

key.kdb

runmqakm -cert -create -db key.kdb -stashed -dn "cn=qm,o=ibm,c=uk" -label ibmwebspheremq<QMName_lowerCase> -type cms

“-”表示此密钥库中客户端的私钥和个人证书

cd server

提取队列管理器的公钥

runmqakm -cert -extract -label ibmwebspheremq<QMName_lowerCase> -db key.kdb -stashed -file QM.cert

runmqakm -cert -extract -label ibmwebspheremq<userName_lowercase> -db client.kdb -stashed -file Client.cert

runmqakm -cert -add -label ibmwebspheremq<QMName_lowerCase> -db client.kdb -stashed -file ../server/QM.cert

检查证书

runmqakm -cert -details -file QM.cert -stashed

runmqakm -cert -list -db client.kdb -stashed

客户端配置

更改到客户端目录。
```
cd ../client
```

创建客户机密钥库。

runmqakm -keydb -create -db client.kdb -pw <password> -stash

提取客户端的公钥。

runmqakm -cert -extract -label ibmwebspheremq<userName_lowercase> -db client.kdb -stashed -file Client.cert

检查证书

runmqakm -cert -details -file QM.cert -stashed

runmqakm -cert -list -db client.kdb -stashed

“！”显示队列管理器的公钥是可信的

使用客户机的公钥填充队列管理器的密钥库

runmqakm -cert -extract -label ibmwebspheremq<QMName_lowerCase> -db key.kdb -stashed -file QM.cert

runmqakm -cert -extract -label ibmwebspheremq<userName_lowercase> -db client.kdb -stashed -file Client.cert

runmqakm -cert -add -label ibmwebspheremq<QMName_lowerCase> -db client.kdb -stashed -file ../server/QM.cert

更改到服务器目录

cd ../server

在队列管理器上配置TLS

将
```
key.kdb
```
和
```
key.sth
```
文件从
```
tlsTest/server
```
目录移动到队列管理器文件系统上的
```
/var/mqm/qmgrs/ssl/QM1
```
目录
修改
```
DEV.APP.SVRCONN
```
通道以接受TLS 1.2密码套件
```
runmqsc QM1
```
刷新队列管理器的安全子系统
```
REFRESH SECURITY(*) TYPE(SSL)
```

TLS启用了MQ PyMQI应用程序

在Python应用程序中添加密码规范和标签，并包括sco选项

cd.SSLCipherSpec=b'ANY_TLS12'
sco=pymqi.sco（）
#包括文件名，但不包括文件扩展名
sco.KeyRepository=b'tlsTest/client/client'
sco.CertificateLabel=b'ibmwebspheremqapp'

更改

qmgr.connect

行以添加

sco

选项

qmgr.connect_与_选项（队列管理器，用户=b'app'，密码=b''，cd=cd，sco=sco）

测试Python应用程序

使用环境变量引用标签和密钥库的替代配置

更改python应用程序以删除标签和密钥库

cd server

#sco=pymqi.sco（）
#sco.KeyRepository=b'tlsTest/client/client'
#sco.CertificateLabel=b'ibmwebspheremqapp'
#qmgr.connect_with_选项（队列_管理器，用户=b'app，密码=b''，cd=cd，sco=sco）
qmgr.connect_with_选项（队列管理器，用户=b'app，密码=b''，cd=cd）

设置环境变量

export MQSSLKEYR=tlsTest/client/client
export MQCERTLABL=ibmwebspheremqapp

测试Python应用程序

runmqakm

/opt/mqm/bin/runmqakm

/bin

setmqenv

runmqckm

runmqakm

runmqckm

jks

runmqakm

jks

ALTER CHANNEL(DEV.APP.SVRCONN) CHLTYPE(SVRCONN) SSLCIPH(ANY_TLS12)

REFRESH SECURITY(*) TYPE(SSL)

export MQSSLKEYR=tlsTest/client/client
export MQCERTLABL=ibmwebspheremqapp