Anywhere you go, let me go too

關於部落格
對人海闊天空,做事仔細周密
----------------------
因為改了平台後...覺得不是很好用....所以有另外......(評估中)
http://blog.xuite.net/king119wang/myskills
  • 32543

    累積人氣

  • 2

    今日人氣

    0

    訂閱人氣

(測試歷程)MQ SSL 連線

=======================================
問題描述.....
9/9  第(1)種測試,雙方通道無法順利啟動,查看Log內容,會發現出現
             被遠端中斷.....           

2009/9/10 08:34:17 - Process(1924.41) User(MUSR_MQADMIN) Program(amqrmppa.exe)
AMQ9665: 通道 '????' 的遠端結束了 SSL 連線。
說明:
在 SSL 交握期間,通道遠端結束了 SSL 連線。通道是 '????';在某些情況下,無法決定
它的名稱,因此會顯示為 '????'。通道沒有啟動。
動作:
請檢查通道之遠端系統的 SSL 相關錯誤。請更正它們,然後重新啟動通道。

 
        ==> 架wireshark ,都是加密什麼都看不到
  ==> ???? 可能是EBCDIC加密後至MS950變成看不到(IBM 應該不會這麼扯吧)
                 也可能是雙方定的CipherSpec不同,其中有一方訂的不是標準接受的
9/10 架了第二種的測試,可以順利連線,但因為wireshark似乎抓不到自己送給自己的連線資訊,
   無從得知是否有加密。
   做了第二個實驗:故意將收/送方之CipherSpecs設不同,就發生昨天無法連線的錯誤訊息
                      原因碼2195 AMQ4048,error內log訊息清楚說明不能連線原因。
2009/9/10 06:16:34 - Process(3452.7) User(MUSR_MQADMIN) Program(amqrmppa.exe)
AMQ9631: SSL 訊息交換期間所協議的 CipherSpec,不符合通道 'MGW.MQGW.TO.xxxx' 所需的 CipherSpec。
說明:
通道 'MGW.MQGW.TO.CSQ1' 本端和遠端的 CipherSpecs 不符合。不符合問題未解決之前,無法執行通道。本端通道定義的 CipherSpec 為 'TLS_RSA_WITH_DES_CBC_SHA'。 SSL 訊息交換期間所協議的 CipherSpec 名稱為 'DES_SHA_EXPORT'。如果無法判斷所協議的CipherSpec 名稱,畫面上會顯示代碼。
動作: 略~
                                          這個實驗證明了9/9第二個假設。
9/11 以第(2)種環境,透過CA Self Sign Certificate進行交換
結果通道可以正常啟動,而且雙方溝通的CipherSpec可以定義不同的,但不能一方沒定,下面訊息是收方沒有定CipherSpec
----- amqrfpta.c : 340 --------------------------------------------------------
2009/9/11 06:49:46 - Process(2824.1) User(MUSR_MQADMIN) Program(runmqchl.exe)
AMQ9999: 通道程式異常終止。

說明:
通道程式 'MGW.CSQ1.TO.MQGW' 異常終止。
動作:
請在錯誤檔案中,查看有關通道程式 'MGW.CSQ1.TO.MQGW' 的先前錯誤訊息,找出失敗的
原因。
----- amqrccca.c : 820 --------------------------------------------------------
2009/9/11 06:50:16 - Process(2724.1) User(MUSR_MQADMIN) Program(amqrcmla.exe)
AMQ9641: 通道 'MGW.CSQ1.TO.MQGW' 發生遠端 CipherSpec 錯誤。

說明:
通道 'MGW.CSQ1.TO.MQGW' 的遠端發生 CipherSpec 錯誤。沒有啟動這個通道。
動作:
請檢閱遠端系統的錯誤日誌,以找出 CipherSpec 的問題。
----- amqrfpta.c : 340 --------------------------------------------------------
所以應該是有走SSL。所以為何會出現通道出現"????",昨天在看和主機間的封包,有發現和之前測FTPS一樣,有沒確認交談就開始用加密的現 象....(這可能要架兩台Win MQ後才能確定)。
另外還有一點可以測看看...就是Win的Label必須都是小寫,所以會不會在add時我應該也寫小寫,這樣才找得到主機的憑證?
================
runmqckm -keydb -create -db "C:Program FilesIBMWebSphere MQQmgrsHOSTsslkeyhost_ca.kdb" -type cms -pw 1234 -stash
runmqckm -keydb -create -db "C:Program FilesIBMWebSphere MQQmgrsMQGWsslkeymqgw_ca.kdb" -type cms -pw 1234 -stash
runmqckm -keydb -create -db "C:Program FilesIBMWebSphere MQQmgrsMQGW_Tsslkeymqgwt_ca.kdb" -type cms -pw 1234 -stash

runmqckm -cert -create -db "C:Program FilesIBMWebSphere MQQmgrsHOSTsslkeyhost_ca.kdb" -pw 1234 -type cms -label "ibmwebspheremqhost" -dn "CN=FTMS_HOST,OU=INFO,O=MEGA,C=TW,L=TAIPEI" -size 1024 -x509version 3 -expire 3650
runmqckm -cert -create -db "C:Program FilesIBMWebSphere MQQmgrsMQGWsslkeymqgw_ca.kdb" -pw 1234 -type cms -label "ibmwebspheremqmqgw" -dn "CN=FTMS_MQGW,OU=INFO,O=MEGA,C=TW,L=TAIPEI" -size 1024 -x509version 3 -expire 3650
runmqckm -cert -create -db "C:Program FilesIBMWebSphere MQQmgrsMQGW_Tsslkeymqgwt_ca.kdb" -pw 1234 -type cms -label "ibmwebspheremqmqgw_t" -dn "CN=FTMS_MQGW_T,OU=INFO,O=MEGA,C=TW,L=TAIPEI" -size 1024 -x509version 3 -expire 3650

runmqckm -cert -extract -db "C:Program FilesIBMWebSphere MQQmgrsHOSTsslkeyhost_ca.kdb" -pw 1234 -type cms -label "ibmwebspheremqhost" -target "C:Program FilesIBMWebSphere MQQmgrsHOSTsslkeyibmwebspheremqhost.cer" -format binary
runmqckm -cert -extract -db "C:Program FilesIBMWebSphere MQQmgrsMQGWsslkeymqgw_ca.kdb" -pw 1234 -type cms -label "ibmwebspheremqmqgw" -target "C:Program FilesIBMWebSphere MQQmgrsMQGWsslkeyibmwebspheremqmqgw.cer" -format binary
runmqckm -cert -extract -db "C:Program FilesIBMWebSphere MQQmgrsMQGW_Tsslkeymqgwt_ca.kdb" -pw 1234 -type cms -label "ibmwebspheremqmqgw-t" -target "C:Program FilesIBMWebSphere MQQmgrsMQGW_Tsslkeyibmwebspheremqmqgw_t.cer" -format binary

runmqckm -cert -add -db "C:Program FilesIBMWebSphere MQQmgrsHOSTsslkeyhost_ca.kdb" -pw 1234 -type cms -file "C:Program FilesIBMWebSphere MQQmgrsMQGWsslkeyibmwebspheremqmqgw.cer" -label "ibmwebspheremqmqgw"
runmqckm -cert -add -db "C:Program FilesIBMWebSphere MQQmgrsMQGWsslkeymqgw_ca.kdb" -pw 1234 -type cms -file "C:Program FilesIBMWebSphere MQQmgrsHOSTsslkeyibmwebspheremqhost.cer" -label "ibmwebspheremqhost"

runmqsc HOST
ALTER QMGR SSLKEYR('C:Program FilesIBMWebSphere MQQmgrsHOSTsslkeyhost_ca')
runmqsc MQGW
ALTER QMGR SSLKEYR('C:Program FilesIBMWebSphere MQQmgrsMQGWsslkeymqgw_ca')
runmqsc MQGW_T
ALTER QMGR SSLKEYR('C:Program FilesIBMWebSphere MQQmgrsMQGW_Tsslkeymqgwt_ca')
=======
9/22 實驗兩台Windows Server架MQ Server , 語系不同
結果可以正確傳輸,利用Wireshark將傳輸過程錄製,再與主機z/OS連線的封包進行比對,發現與z/OS的傳輸似乎在handshaking就沒過了,主機會回Alert (Data訊息第1個byte Hex為15),結果他沒給我他的Certificate就斷線了.......(z/OS的log訊息上顯示找不到private key)
[有空再補圖上來]






        

相簿設定
標籤設定
相簿狀態