我们正在从 Java 客户端连接到 IBM MQ,当 sslauth 设置为可选 SSLCAUTH(OPTIONAL) 时,我们已经成功建立了连接。但是当我们将其更改为 required SSLCAUTH(REQUIRED) 我们得到
AMQ9637E: 在握手期间,远程伙伴未发送证书
我检查了下面的链接
Connecting to a Websphere MQ in Java with SSL/Keystore
T.Rob 的回答提到“QMgr 必须具有您的应用程序的自签名证书或在其 keystore 中签署您的应用程序证书的 CA 根证书”
和下面的链接
.Net and IBM MQ Managed connection SSL using pfx ca cert
它准确地引用了我们在服务器/队列管理器结束时遇到的异常/错误。(在握手期间,远程伙伴没有发送任何证书。)
正如丹尼尔在一篇评论中引用的那样,上面的答案“MQ 服务器需要您的证书的所有 CA 证书”。我觉得这对我来说也可能是问题。
我的问题是
在 IBM 文档中 AMQ9637E 的响应部分
https://www.ibm.com/docs/en/ibm-mq/9.0?topic=multiplatforms-amq9xxx-remote
提到“查看此 channel 远程端的 key 存储库,并确保存在适当的证书,并带有正确的标签。”。
在这里,我不太确定标签指的是什么,是指我们赋予证书的别名吗?
最佳答案
根据标签,您有一个基于 Java 的应用程序。 Java 在选择要呈现的证书时不使用证书标签,它根据队列管理器信任的签名者选择证书。队列管理器必须在其 keystore 中具有完整的签名者链,以便 java 客户端提供证书。如果您的证书由中间人签名,然后由根签名,则队列管理器 keystore 中需要两者。
关于java - "keytool -import"中提到的别名是否与证书标签相同?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67727369/