Connexion à Websphere MQ en Java avec SSL / Keystore

Je tiens à vous connecter à un Websphere 6.0 MQ via Java. J'ai déjà le code de travail pour un "normal" de la file d'attente, mais maintenant, j'ai besoin d'accéder à une nouvelle file d'attente qui est crypté SSL (keystore). J'ai été envoyé un fichier appelé quelque chose.jks, ce qui je suppose est un certificat-je besoin de stocker quelque part. J'ai été chercher sur le net, mais je ne peux pas trouver la bonne information.

C'est le code que j'utilise pour le "normal" de la file d'attente. Je suppose que j'ai besoin de certains biens, mais ne savez pas lequel.

MQQueueConnectionFactory connectionFactory = new MQQueueConnectionFactory();
connectionFactory.setChannel(channel_);
connectionFactory.setHostName(hostname_);
connectionFactory.setPort(port_);
connectionFactory.setQueueManager(queueManager_);
connectionFactory.setTransportType(1);
connectionFactory.setSSsetSSLCertStores(arg0)

Connection connection = connectionFactory.createConnection();
connection.setExceptionListener(this);
session_ = connection.createSession(DEFAULT_TRANSACTED, DEFAULT_ACKMODE);
connection.start();

javax.jms.Queue fQueue = session_.createQueue(queue_);
consumer = session_.createConsumer(fQueue);

source d'informationauteur javaExpert

  1. 10

    Alex Fehners tutoriel en developerWorks est un peu vieux (2005), mais a des exemples de code qui devrait fonctionner pour vous.

    SSL configuration de Websphere MQ Java/client JMS

    Votre application Java s'authentifie l'QMgr basé sur son certificat. Cela signifie que le fichier jks vous a été fourni doit avoir soit le QMgr du certificat auto-signé ou il aura le certificat racine de l'Autorité de certification qui a signé le QMgr du certificat. Dans les deux cas, vous pointez vers le fichier à l'aide de la -Djavax.net.ssl.trustStore=<location of trustStore> comme indiqué dans l'article lié ci-dessus. Si le jks a un mot de passe, vous devrez le spécifier -Djavax.net.ssl.trustStorePassword=<password>. L'authentification de l'QMgr avec un truststore est toujours nécessaire. La partie suivante peut ou peut ne pas être nécessaire.

    L'autre pièce du puzzle est que le QMgr peuvent exiger de votre application de présenter un certificat. En d'autres termes, la QMgr cert est toujours authentifié, si l'application est requise pour l'authentification est facultatif. Si elle est, alors vous avez ce qui est connu comme "l'authentification mutuelle". Si la chaîne que vous vous connectez à a été configuré avec SSLCAUTH(REQUIRED) ensuite mutuelle auth a été activée et le QMgr devez avoir l'application de l'auto-signé cert ou d'une autorité de certification racine cert qui a signé de votre application cert dans son fichier de clés. Espérons que quiconque configurer votre fichier jks l'avez déjà.

    En supposant mutuelle d'authentification est requis, votre jks aura, en plus de la QMgr de confiance du cert, un organisme privé cert représentant votre application. Pour obtenir l'application pour récupérer le cert et le présenter à la QMgr, vous utilisez le -Djavax.net.ssl.keyStore=<location of keyStore> et -Djavax.net.ssl.keyStorePassword=<password> paramètres. Remarque ces dire clé magasin alors que la précédente parms dit confiance magasin.

    Ma recommandation est de travailler avec les WMQ administrateur pour configurer et tester la connexion SSL. La première phase devrait être de tester le canal avec SSLCAUTH(OPTIONAL). Il vérifie que l'application peut résoudre et d'authentifier le QMgr du certificat. Seulement lorsque vous obtenez ce travail serait la WMQ admin puis de changer le canal de SSLCAUTH(REQUIRED) les tests d'authentification dans le sens inverse.

    Je très vous recommandons d'utiliser le WMQ v7 client pour une nouvelle application. C'est pour deux raisons: 1) v6 est en fin de vie à compter de Septembre 2011; 2) la v7 code a beaucoup plus de capacité de diagnostic intégré. La v7 code du client est totalement compatible avec un v6 QMgr et fonctionne comme le v6 client. Vous venez de ne pas obtenir la v7 fonctionnalité. Télécharger le WMQ client code gratuit ici:

    IBM - MQC7: WebSphere MQ V7.0 Clients

    Je suis l'exécution du WMQ les Mains Sur la Sécurité en Laboratoire à l'IMPACT de cette année et sera poster les scripts et guide de laboratoire au cours du week-end à http://t-rob.net alors revenez pour que.

  2. 6

    À l'aide de SSL à partir de l'Oracle de la JVM (JSSE)

    Voir aussi "Ce TLS cipherspecs/ciphersuites sont pris en charge lors de la connexion à partir d'Oracle Java (non-IBM JRE) pour MQ gestionnaire de file d'attente?"

    En MQ version du Client 8.0.0.2 il existe un patch est inclus pour utiliser le protocole TLS avec l'Oracle de la JVM, cela fonctionne avec voies réponse ci-dessus

    L'obtenir que cela fonctionne, vous aurez besoin de la dernière MQ Client qui contient
    IV66840: WMQ V7 JAVA/JMS: AJOUT du SUPPORT POUR SÉLECTIONNÉ TLS CIPHERSPECS QUAND
    L'EXÉCUTION DE NON-IBM JAVA RUNTIME ENVIRONNEMENT

    http://www-01.ibm.com/support/docview.wss?uid=swg1IV66840

    (télécharger)

    En fonction de votre emplacement vous pouvez aussi besoin d'installer le
    Java Cryptography Extension (JCE) Force Illimitée de la Compétence de la Politique de Fichiers 8 (télécharger)

    Pour utiliser ce que vous avez configuré à l'aide de l'argument JVM:

      -Dcom.ibm.mq.cfg.useIBMCipherMappings=false

    Noter que le défaut de sécurité de mise en œuvre de comportement diffère entre Oracle et IBM Jvm :

    La Oracle JSSE guide de Référence dit:

    Si le KeyManager[] paramètre est null, alors un vide KeyManager va
    être définies pour ce contexte.

    La IBM JSSE guide de Référence dit:

    Si le KeyManager[] paramater est null, la sécurité installé
    les fournisseurs seront recherchés pour la plus haute priorité à la mise en œuvre de
    le KeyManagerFactory, à partir d'une KeyManager sera
    obtenu.

    Ce qui signifie que vous avez à l'installation votre propre ssl contexte 

    SSLContext  sslcontext = SSLContext.getInstance("TLS");
String  keyStore = System.getProperty("javax.net.ssl.keyStore");
String  keyStoreType = System.getProperty("javax.net.ssl.keyStoreType", KeyStore.getDefaultType());
String  keyStorePassword = System.getProperty("javax.net.ssl.keyStorePassword","");
KeyManager[]    kms = null;
if (keyStore != null)
{
    KeyManagerFactory   kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
    KeyStore    ks = KeyStore.getInstance(keyStoreType);
    if (keyStore != null && !keyStore.equals("NONE")) {
        fs = new FileInputStream(keyStore);
    ks.load(fs, keyStorePassword.toCharArray());
    if (fs != null)
        fs.close();
    char[]  password = null;
    if (keyStorePassword.length() > 0)
        password = keyStorePassword.toCharArray();
    kmf.init(ks,password);
    kms = kmf.getKeyManagers();
}
sslcontext.init(kms,null,null);

    Et de l'offre que de la MQ client JMS: 

        JmsConnectionFactory cf = ...                                                                     

    MQConnectionFactory mqcf = (MQConnectionFactory) cf;              
    mqcf.setSSLSocketFactory(sslcontext.getSocketFactory());

    Si vous utilisez un serveur d'application, cela pourrait être géré par votre serveur d'applications.

  3. 4

    Essayer ce code avec T. Prive les explications sur le certificat:

    import com.ibm.mq.jms.*;

import java.io.FileInputStream;
import java.io.Console;
import java.security.*;

import javax.jms.JMSException;
import javax.jms.QueueConnection;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManagerFactory;

import com.ibm.mq.jms.MQQueueConnectionFactory;

public class SSLTest {

   public static void main(String[] args) {
      System.out.println(System.getProperty("java.home"));

      String HOSTNAME = "myhost";
      String QMGRNAME = "MyQMGR";
      String CHANNEL = "MY.SVRCONN";
      String SSLCIPHERSUITE = "TLS_RSA_WITH_AES_256_CBC_SHA";

      try {
         Class.forName("com.sun.net.ssl.internal.ssl.Provider");

         System.out.println("JSSE is installed correctly!");

         Console console = System.console();
         char[] KSPW = console.readPassword("Enter keystore password: ");

         //instantiate a KeyStore with type JKS
         KeyStore ks = KeyStore.getInstance("JKS");
         //load the contents of the KeyStore
         ks.load(new FileInputStream("/home/hudo/hugo.jks"), KSPW);
         System.out.println("Number of keys on JKS: "
               + Integer.toString(ks.size()));

         //Create a keystore object for the truststore
         KeyStore trustStore = KeyStore.getInstance("JKS");
         //Open our file and read the truststore (no password)
         trustStore.load(new FileInputStream("/home/xwgztu2/xwgztu2.jks"), null);

         //Create a default trust and key manager
         TrustManagerFactory trustManagerFactory =
           TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
         KeyManagerFactory keyManagerFactory =
           KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());

         //Initialise the managers
         trustManagerFactory.init(trustStore);
         keyManagerFactory.init(ks,KSPW);

         //Get an SSL context.
         //Note: not all providers support all CipherSuites. But the
         //"SSL_RSA_WITH_3DES_EDE_CBC_SHA" CipherSuite is supported on both SunJSSE
         //and IBMJSSE2 providers

         //Accessing available algorithm/protocol in the SunJSSE provider
         //see http://java.sun.com/javase/6/docs/technotes/guides/security/SunProviders.html
         SSLContext sslContext = SSLContext.getInstance("SSLv3");

         //Acessing available algorithm/protocol in the IBMJSSE2 provider
         //see http://www.ibm.com/developerworks/java/jdk/security/142/secguides/jsse2docs/JSSE2RefGuide.html
         //SSLContext sslContext = SSLContext.getInstance("SSL_TLS");
          System.out.println("SSLContext provider: " +
                            sslContext.getProvider().toString());

         //Initialise our SSL context from the key/trust managers
         sslContext.init(keyManagerFactory.getKeyManagers(),
                         trustManagerFactory.getTrustManagers(), null);

         //Get an SSLSocketFactory to pass to WMQ
         SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();

         //Create default MQ connection factory
         MQQueueConnectionFactory factory = new MQQueueConnectionFactory();

         //Customize the factory
         factory.setSSLSocketFactory(sslSocketFactory);
         //Use javac SSLTest.java -Xlint:deprecation
         factory.setTransportType(JMSC.MQJMS_TP_CLIENT_MQ_TCPIP);
         factory.setQueueManager(QMGRNAME);
         factory.setHostName(HOSTNAME);
         factory.setChannel(CHANNEL);
         factory.setPort(1414);
         factory.setSSLFipsRequired(false);
         factory.setSSLCipherSuite(SSLCIPHERSUITE);

         QueueConnection connection = null;
         connection = factory.createQueueConnection("",""); //empty user, pass to avoid MQJMS2013 messages
         connection.start();
         System.out.println("JMS SSL client connection started!");
         connection.close();

      } catch (JMSException ex) {
         ex.printStackTrace();
      } catch (Exception ex){
         ex.printStackTrace();
      }
   }
}
  4. 3

    Être au courant de ce qui JRE que vous utilisez. Nous avons eu de gros problèmes dans l'utilisation de Sun JDK, en raison d'un certain cryptation (TLS_RSA_WITH_AES_128_CBC_SHA) sur le canal SSL pour IBM MQ. Nous avons utilisé un X509 certeficate. Afin d'obtenir ce travail, nous utilisons IBM JRE parce qu'il a beaucoup plus de soutien pour certaines suites de chiffrement!