MQ窗口上的证书更新后,通道未运行

MQ窗口上的证书更新后,通道未运行

问题描述:

我们正试图将新的更新证书导入到我们生产中的MQ窗口中的密钥库中,但通道将在部署证书后重新设置状态。看起来我们的队列管理器不会从下面的错误中读取证书。这些证书的颁发者之前和现在都是一样的。正在使用的证书是rootCA5,serverCA5和个人证书。当我们放回旧证书时,渠道工作正常。我已经检查了ssl文件夹和密钥库的权限,他们很好。寻找一些有价值的建议,因为我们的旧证书即将到期。我们使用的MQ版本是MQ7.1.0.7。MQ窗口上的证书更新后,通道未运行

我们试着在qm.ini文件中添加下面的参数,我们昨天也遇到了同样的问题。

SSL: 
OCSPAuthentication=OPTIONAL 
OCSPCheckExtensions=NO 

记录在队列管理器的AMQERR01.LOG以下错误:

10/18/2017 19:29:45 - Process(3084.1) User(4055TMQU) Program(runmqchl.exe) 
         Host(abcdefgh) Installation(Installation1) 
         VRMF(7.1.0.7) QMgr(QMPDBP) 

AMQ9642: No SSL or TLS certificate for channel 'xxxxxx.yyyyyy'. 

EXPLANATION: 
The channel 'xxxxxx.yyyyyy' did not supply a certificate to use during SSL 
or TLS handshaking, but a certificate is required by the remote queue manager. 

The remote host is 'abcdefgh (10.x.x.x)(1415)'. 

The channel did not start. 
ACTION: 
Ensure that the key repository of the local queue manager or MQ client contains 
a certificate which is associated with the queue manager or client. 
Alternatively, if appropriate, change the remote channel definition so that its 
SSLCAUTH attribute is set to OPTIONAL and it has no SSLPEER value set. 
+0

你检查证书的标签字符串'ibmwebspheremqqmpdbp'匹配? – JoshMc

+0

@JoshMc,正是这个问题。我们有一个错误的标签。我编辑了标签。希望现在我们的证书将起作用。 – Rinak

+0

Rinak,我写了一个更详细的答案,如果它解决了你的问题,请接受并投票。 – JoshMc

随着IBM MQ V7.5和降低队列管理器证书的标签必须是完全匹配的字符串ibmwebspheremq串联起来队列管理器名称折叠为小写。

基于你贴我可以看到队列管理器名称是QMPDBP,使检查证书的标签的字符串匹配的错误ibmwebspheremqqmpdbp

需要注意的是与IBM MQ 8.0,以后你可以告诉队列管理器通过设置队列管理器CERTLABL属性来使用要使用的证书标签的名称,该属性默认为与v7.5及更低版本中所需值相匹配的值。

例如:

ALTER QMGR CERTLABL('DifferentLabel`) 
+0

感谢您提供有关该决议的更多细节。我刚刚部署了新的证书,并且通道运行良好。 – Rinak