Ibm mq 具有相同CN的证书能否在两个远程QMGR中使用？_Ibm Mq

Ibm mq 具有相同CN的证书能否在两个远程QMGR中使用？

ibm-mq

Ibm mq 具有相同CN的证书能否在两个远程QMGR中使用？,ibm-mq,Ibm Mq,您可以为运行在不同服务器上的两个MQ QMGR使用相同的证书吗？我知道如果你在同一台服务器上有qmgrs，你可以使用同一个证书，但是当你有两台服务器时，证书的CN（通用名）就是主机名，所以两者都会不同，我不确定它们是否可以共享同一个证书。否，客户端应该拒绝连接，因为不可信。客户端连接到特定服务器，服务器发送回客户端的证书中的CN必须与is服务器名称相同。您可以使用SAN（主题替代名称）在CN中添加更多FQDN或通配符（*）如果客户端连接到MQserver1:1414，服务器证书必须在证书的

您可以为运行在不同服务器上的两个MQ QMGR使用相同的证书吗？我知道如果你在同一台服务器上有qmgrs，你可以使用同一个证书，但是当你有两台服务器时，证书的CN（通用名）就是主机名，所以两者都会不同，我不确定它们是否可以共享同一个证书。

否，客户端应该拒绝连接，因为不可信。客户端连接到特定服务器，服务器发送回客户端的证书中的CN必须与is服务器名称相同。您可以使用SAN（主题替代名称）在CN中添加更多FQDN或通配符（*）

如果客户端连接到MQserver1:1414，服务器证书必须在证书的CN或SAN中具有MQserver1，IBM MQ产品仅根据通道上配置的

SSLPEER

检查对等队列管理器证书的DN值。与浏览器（以及LDAP库等其他软件）不同，MQ针对远程主机的主机名对DN（或SAN）进行零验证

没有任何技术原因可以在两台服务器上使用相同的证书，这在您具有HA和DR配置时非常常见

我认为最好的做法是对每个队列管理器都有唯一证书，因为它们用来证明身份。在两个单独的队列管理器上使用相同证书的安全含义：

您必须以某种方式在两台机器之间复制私钥

现在，攻击者可以在两个地方获得单个证书

您不能依赖客户端上的SSLPEER功能来确保连接到一个特定的QM，但您仍然可以确保已连接到承载该证书的QM

您不能依靠连接队列管理器（例如SDR通道）上的SSLPEER功能来确保连接到一个特定的QM，但您仍然可以确保已连接到承载该证书的QM

IBM MQ或其他东西。如果IBM MQ，什么版本？@JoshMc它是MQ 9.1.4版本对于IBM MQ产品，这是100%错误，它不会根据主机名自动验证CN或SAN。甚至没有办法将其配置为自动执行此操作。唯一可以配置的检查是通过通道上配置的

SSLPEER

和/或

CHLAUTH

规则。正如JoshMc在这里所说，没有技术原因不能在两个单独的队列管理器中使用相同的证书，但这样做会带来安全隐患。1.你必须以某种方式从机器上复制私钥。2.现在，攻击者可以在两个地方获得单个证书。3.您不能依赖客户端上的SSLPEER功能来确保您获得了一个特定的QM，但您仍然可以确保您获得了托管该证书的QM。4。同上，但您的QM作为客户。很可能还有其他的担忧，但这是其中一些担忧的快速列表。@Robbarker提供了一个非常详细的列表，说明了这些担忧不好的原因。如果你允许的话，我会把这个添加到我的答案中。