我們可以重用WebSphere MQ TLS/SSL證書嗎？

Question

我們說，我在host1中使用了一個隊列管理器QMGR1來創建一個CSR，並獲得一個標記爲ibmwebspheremqqmgr1的CA驗證的證書。我是否可以在另一個主機host2中使用加載相同證書（及其根和中介鏈）來處理名爲same的同名隊列（即QMGR1）？換句話說，當我們使用rumqakm或「否」接收證書時，certreq需要存在？我們是否可以「添加」證書（就像我們做連鎖店一樣）？如果問題不明確，請提問，我可以提供更多詳細信息。在我的情況下，host2是生產。 host1是我們測試連接性的QA環境。謝謝。從評論26DEC16

更新問題具體到MQ，我相信我會加載CSR首次在host2上，然後再次收到CER，對不對？我想知道如何在不創建CSR的情況下「加載」CSR。我看到一個選項在runmqakm中重新創建它，以前從未使用過，也不確定它是否可行。

Answer 1

TL; DR：是的。

當您使用IBM GSKit創建CSR（例如runmqakm）時，結果是一個未簽名的證書和CSR文件本身。 CSR密碼綁定到保留在密鑰庫的.rdb文件中的未簽名證書。在這一點上，簽名的CSR不能只被接收到任何密鑰庫中。

當您收到簽名的CSR時，它將與待處理的未簽名證書合併並移至密鑰庫的.kbd文件。此時，它是一個有效的個人證書，其中包含您指定的標籤名稱（本例中爲ibmwebspheremqqmgr1）和您指定的DN。

一旦完成，你有一個可用的個人證書。如果您想在另一個QMgr上使用它，您需要通過以下兩種方式之一將該證書頒發給該其他QMgr：

• 複製組成密鑰庫的文件集。
• 將個人證書導出到文件中，然後將該文件導入到其他QMgr的密鑰庫中。

如果您複製了整個密鑰庫並且其他QMgr也被命名爲QMGR1那麼您可以立即使用它們。如果另一個QMgr具有不同的名稱，則必須將該證書重命名爲ibmwebspheremqqmgr1以外的其他名稱，或者在現代QMgr中將該QMgr的CERTLABL屬性設置爲ibmwebspheremqqmgr1。通常，您希望證書標籤反映使用它的QMgr的名稱，因此建議不要使用名爲QMGR2且CERTLABL爲ibmwebspheremqqmgr1的QMgr。

如果您導入證書，則可以在導入命令期間設置標籤。

請記住，標籤和可分辨名稱是兩個完全不同和不相關的東西。可分辨的名稱是CA驗證並簽名的值，並且與證書中的密鑰密碼相關。這是遠程連接夥伴決定是否信任的事情。

該標籤是本地QMgr或客戶端如何找到自己的證書。想象一下你已經創建了兩個個人證書，QMgr需要知道要發送哪一個證書。通過將證書的標籤與期望值ibmwebspheremq[qmgr name in lower case]或QMgr的CERTLABL屬性進行匹配（如果它不爲空），可找到正確的證書。

這就是爲什麼證書標籤可以很容易地與GSKit的命令來改變，但分辨名稱是不可變的。

考慮到這一點，注意外，許多內部的CA將期望證書的證書通用名稱包含完全合格的主機名，其中證書將被使用。 HTTPS客戶端在連接時檢查證書CN是否與主機名匹配。對於MQ連接，情況並非如此。您可以將任何內容放入您的CA將簽名的CN中，並將其用於任何任意名稱的QMgr。所以，你的證書可以有CN=QMGR1和QMGR可以住在mqhost.yourcompany.com和MQ喜歡它就好了。但是，使用新的MQ REST API的客戶端不會！這是人們希望使用新的MQ REST API的一個重要區別。

最後，請注意，最好的做法是產生在那裏他們將要使用的證書，使用文件系統權限保護他們，讓他們在本地存儲，永不復制或從該位置移動。發明了公鑰/私鑰加密器來解決安全交換私鑰的非常困難的問題。如果個人證書被複制，它首先會破壞使用它們的目的。

各種商業PKI軟件包（即IBM Tivoli Key Lifecycle Manager，Venafi等）都使用FIPS認證的算法解決了這個問題，該算法不會在磁盤上存儲密鑰或加密基元，在釋放之前安全擦除存儲空間，並且通常需要特別注意不要將密鑰保留在傳輸，磁盤或內存中。如果您必須複製個人證書，請使用專爲此目的設計的真正PKI套件（如果該公司有一套）。否則，使用非常長的隨機密碼將它們導出到.p12，並避免使用電子郵件，FTP或其他非安全方式複製文件。