当需要身份验证时，如何使用启用了 ssl 的服务器连接通道连接到队列管理器

Question

我正在尝试编写一个连接到启用 SSL 的服务器连接通道的 java 应用程序。

到目前为止，我已通过将身份验证设置为“可选”来成功连接到该频道。但是，当我将其设置为“必需”时，连接失败。

这就是我所做的：

1. 为队列管理器创建密钥数据库，并为 java 客户端用户创建密钥库。
2. 为队列管理器和客户端用户创建密钥/自签名证书，名称前缀为 ibmwebspheremq。
3. 为队列管理器和客户端导出、交换和导入证书。 （当被问及我是否信任队列管理器证书时，我确实回答了“是”）。
4. 信任库和密钥库的位置和密码设置为指向客户端的同一密钥库，即原始创建的客户端用户密钥和导入的队列管理器密钥所在的位置。

在其他设置相同的情况下，如果我切换回“可选”身份验证，连接就可以工作。

我认为我对这个 ssl 身份验证的理解有误，但无法弄清楚是什么。

有人可以帮助我吗？

Answer 1

我用头撞那堵墙好几个星期了。 IBM L2 支持最终向我提供了线索。我的问题是 keytool 将使用 DSA 算法，除非您指定 RSA。这会导致密钥长度为 1022 而不是 1024，这是 WMQ 不喜欢的。修复方法是在生成证书时指定 -sigalg RSA，一切正常。

我已要求 IBM WMQ 团队和 WMQ FTE 团队将其添加到他们的信息中心文档中。