Fehler beim herstellen einer Verbindung mit Websphere MQ SSL-Kanal über JNDI

Meine JMS-client eine Verbindung zu ein Fehler in WMQ durch JNDI. Die initial context factory ist com.ibm.mq.jms.context.WMQInitialContextFactory.

Derzeit, bei der ein Fehler in WMQ Seite gibt es eine queue-manager namens TestMgr. Unter diesem queue-manager erstellte ich zwei Kanäle. Man ist PLAIN.CHL die nicht geben Sie eine SSL-Cipher-Spec, der andere ist SSL.CHL die konfigurierte SSL-Cipher-Spec mit RC4_MD5_US - und SSL-Authentifizierung mit Optional.

Habe ich einen key-store für den queue-manager mit dem IBM Key Management tool. Der Pfad der Schlüssel-db ist [wmq_home]\qmgrs\TestMgr\ssl\key.

Kanal PLAIN.CHL ich definierte eine queue connection factory wie:

DEF QCF(PlainQCF) QMANAGER(TestMgr) CHANNEL(PLAIN.CHL) HOST(192.168.66.23) PORT(1414)   TRANSPORT(client)

Sowie unter den SSL-Kanal SSL.CHL ich definierte eine queue connection factory wie:

DEF QCF(SSLQCF) QMANAGER(TestMgr) CHANNEL(SSL.CHL) HOST(192.168.66.23) PORT(1414) TRANSPORT(client) SSLCIPHERSUITE(SSL_RSA_WITH_RC4_128_MD5)

Nun ich kann nur Verbindung erstellen mit der PlainQCF. Aber nicht schauen, bis das SSL-queue connection factory aus. Mein code sieht wie folgt aus:

 Hashtable environment = new Hashtable();
    environment.put(Context.INITIAL_CONTEXT_FACTORY, "com.ibm.mq.jms.context.WMQInitialContextFactory");
    environment.put(Context.PROVIDER_URL, "192.168.66.23:1414/SSL.CHL");
    Context ctx = new InitialContext( environment );
    QueueConnectionFactory qcf = (QueueConnectionFactory) ctx.lookup("SSLQCF");
    qcf.createConnection();
    ....

Fehlen mir einige Kontext-Eigenschaften, wenn man sich die SSL-Fabrik? Und dann fand ich den code auf der Leitung hängen new InitialContext( environment ) für eine lange Zeit, fast 5 Minuten und ich bekam CC=2;RC=2009;AMQ9208... Fehler.

Jeder Vorschlag würde geschätzt werden. Ist es wahr, dass der SSL-Kanal kann nicht angeschlossen werden, JNDI?

@T. Rob, vielen Dank für Ihre Antwort sehr. Aber wir wollen noch verwenden WMQInitialContextFactory, also ich fürchte ich muss noch eine Lösung finden für das.

Ich nur die Verbindung definiert Fabrik zu einer Zeit. Die angezeigte info für die SSL-queue connection factory wie:

InitCtx> DISPLAY QCF(SSLQCF)
ASYNCEXCEPTION(ALL)
CCSID(819)
CHANNEL(SSL.CHL)
CLIENTRECONNECTOPTIONS(ASDEF)
CLIENTRECONNECTTIMEOUT(1800)
COMPHDR(NONE )
COMPMSG(NONE )
CONNECTIONNAMELIST(192.168.66.23(1414))
CONNOPT(STANDARD)
FAILIFQUIESCE(YES)
HOSTNAME(192.168.66.23)
LOCALADDRESS()
MAPNAMESTYLE(STANDARD)
MSGBATCHSZ(10)
MSGRETENTION(YES)
POLLINGINT(5000)
PORT(1414)
PROVIDERVERSION(UNSPECIFIED)
QMANAGER(TestMgr)
RESCANINT(5000)
SENDCHECKCOUNT(0)
SHARECONVALLOWED(YES)
SSLCIPHERSUITE(SSL_RSA_WITH_RC4_128_MD5)
SSLFIPSREQUIRED(NO)
SSLRESETCOUNT(0)
SYNCPOINTALLGETS(NO)
TARGCLIENTMATCHING(YES)
TEMPMODEL(SYSTEM.DEFAULT.MODEL.QUEUE)
TEMPQPREFIX()
TRANSPORT(CLIENT)
USECONNPOOLING(YES)
VERSION(7)
WILDCARDFORMAT(TOPIC_ONLY)

Den JNDI-Anbieter sollte in Ordnung sein, weil ich kann schauen der Ebene connection factory erfolgreich. Auch für meine client-app, die ich extrahiert das Zertifikat von der-Taste speichern, die für MQ-server und importiert es auf den trust store(cacerts) von meinem JRE mit alias-Namen ibmwebspheremqtestmgr.

Sind Sie richtig, mit 2009 Fehler gibt es einige log-Einträge:

=================================================================

4/20/2012 20:24:27 - Process(13768.3) User(MUSR_MQADMIN) Program(amqzmur0.exe)
                      Host(xxxx_host of my MQ) Installation(mqenv)
                      VRMF(7.1.0.0) QMgr(TestMgr)                
AMQ6287: WebSphere MQ V7.1.0.0 (p000-L111019).
EXPLANATION:
WebSphere MQ system information: 
Host Info         :- Windows Server 2003, Build 3790: SP2 (MQ Windows 32-bit) 
Installation      :- C:\IBM\WebSphereMQ (mqenv) 
Version           :- 7.1.0.0 (p000-L111019)
ACTION:
None. 

-------------------------------------------------------------------------------
4/20/2012 20:24:27 - Process(7348.116) User(MUSR_MQADMIN) Program(amqrmppa.exe)
                      Host(xxxx_host of my MQ) Installation(mqenv)
                      VRMF(7.1.0.0) QMgr(TestMgr)
AMQ9639: Remote channel 'SSL.CHL' did not specify a CipherSpec.

EXPLANATION:
Remote channel 'SSL.CHL' did not specify a CipherSpec when the local channel
expected one to be specified. 

The remote host is 'xxx_host of my app (192.168.66.25)'. 
The channel did not start.

ACTION:
Change the remote channel 'SSL.CHL' on host 'xxx_host of my app (192.168.66.25)' to
specify a CipherSpec so that both ends of the channel have matching
CipherSpecs.

----- amqcccxa.c : 3817 -------------------------------------------------------
4/20/2012 20:24:27 - Process(7348.116) User(MUSR_MQADMIN) Program(amqrmppa.exe)
                      Host(my app host) Installation(mqenv)
                    VRMF(7.1.0.0) QMgr(TestMgr)                    
AMQ9999: Channel 'SSL.CHL' to host 'xxx_host of my app (192.168.66.25)' ended
abnormally.

====================================================================

Habe ich auch einige Verwirrung mit dem error-log. Meine app inszeniert an einer Maschine, die sich von meinem MQ. Aber der log sagt das Change the remote channel 'SSL.CHL' on host 'xxx_host of my app (192.168.66.25)' to
specify a CipherSpec so that both ends of the channel have matching
CipherSpecs. Wie kann ich den Kanal wechseln-cipher-spec auf meiner app hosten?

updates auf MQEnvironment...

reply die Kommentare.

Den Wert MQEnvironment.sslCipherSuite null ist, so wirft es aus NullPointerExcetpion, wenn ich es die die hashtable env. Aber ich habe versucht, ein anderes environment.put(MQC.SSL_CIPHER_SUITE_PROPERTY, "SSL_RSA_WITH_RC4_128_MD5") und die, die es noch nicht mit 2009 Fehler.

Für JMSAdmin tool, ich hatte mich geändert, die config zu verwenden WMQInitialContextFactory. Die Konfiguration wie(JMSAdmin.config):

INITIAL_CONTEXT_FACTORY=com.ibm.mq.jms.context.WMQInitialContextFactory
PROVIDER_URL=192.168.66.23:1414/SYSTEM.DEF.SVRCONN

Den rest der Konfiguration Blätter als Standard.

Bitte beachten Sie, hier verwende ich die Standard-Kanal - SYSTEM.DEF.SVRCONN also kann ich die Anmeldung an der admin-Konsole. Wenn ich den Kanal wechseln, um die SSL eineSSL.CHL, ich kann auch nicht die Anmeldung an der admin-Konsole. Die Fehler, die hier geschehen ist, nur wie die in meinem client-app.

Weiteren Klärung, in meinem client benutze ich folgende code eine Verbindung herstellen können, schließen Sie qmgr(TestMgr) erfolgreich durch den Kanal SSL.CHL.

   MQConnectionFactory factory = new MQConnectionFactory();
    factory.setTransportType(JMSC.MQJMS_TP_CLIENT_MQ_TCPIP);
    factory.setQueueManager("TestMgr");
    factory.setSSLCipherSuite("SSL_RSA_WITH_RC4_128_MD5");
    factory.setPort(1414);
    factory.setHostName("192.168.66.23");
    factory.setChannel("SSL.CHL");

    MQConnection connection = (MQConnection) factory.createConnection();

Und das problem ist jetzt nur, wie du schon gesagt hast, das ist der ursprüngliche Zusammenhang fehlgeschlagen Verbindung zum qmgr durch SSL-Kanal. Die option(use plain channel for initial context and ssl channel for connection factory) Sie funktioniert auch. Aber ich will immer noch wissen wie man die Initiale Kontext mit ssl-Kanal arbeiten. Vielen Dank für Ihre Geduld sehr viel. Die updates werden geschätzt.

Dank

Hallo, siehe bitte meine Antwort weiter unten.
Das einzige, was fehlt, von deinem update ist die Konfiguration, für die ein Fehler in WMQ Ursprünglichen Kontext. Ihre QCF wird deutlich, welche eine cipherspec also, wenn es verwendet wurde und nicht mit der QMgr die Einstellung, die Sie sehen würden, einen anderen Fehler. Die Fehler, die Sie sehen, führt mich zu glauben, dass das ein Fehler in WMQ Erste Kontakt ist auch der Versuch zu hit SSL.CHL. Können Sie nach dieser Konfigurationseinstellungen?
Oh, ich dachte, dass das ein Fehler in WMQ Ersten Rahmen ist gebaut in der ein Fehler in WMQ und natürlich muss der Benutzer nicht konfigurieren, diese Ausgangssituation zusätzlich. Es scheint, dass ich falsch war. Ich werde versuchen, es zu konfigurieren. Wenn möglich, können Sie zeigen Sie mir, wie zu konfigurieren ist ein Fehler in WMQ Ursprünglichen Kontext?
Aktualisierte Antwort unten. Kurz gesagt, die WMQInitialContextFactory so konfiguriert wird, dass SSL-Kanal, aber nicht über die SSL-Konfiguration. Sie müssen verwenden Sie die standard-env-vars setzen die ciphersuite und den Speicherort der keystore. Details finden Sie unten.
Vielen Dank für Ihre update. Ich verstehe sehr für Ihre Antwort. Bitte siehe mein update "updates auf MQEnvironment" folgte auf meine Frage.

InformationsquelleAutor zgcharley | 2012-04-20

  1. 1

    Ich habe nie wirklich mochte com.ibm.mq.jms.context.WMQInitialContextFactory sehr viel. Es speichert die verwalteten Objekte in einer Warteschlange. Also, um auf die lookup -connectionFactory, was sagt JMS-Verbindung zu dem QMgr, ist es zunächst notwendig zu verbinden, um die QMgr, um den JNDI-Aufruf. Daher, bevor Sie Debuggen können die SSL-Verbindung, müssen Sie wissen, ob die zugrunde liegenden JNDI-provider funktioniert.

    Wenn Sie möchten, überspringen Sie die MQ-basierten JNDI-provider und nur mit dem Dateisystem finden Sie in der aktualisierten version von Bobby Woolf Artikel hier. Wenn Sie möchten weiterhin mit com.ibm.mq.jms.context.WMQInitialContextFactory gelesen, aber bereit sein, mehr Konfiguration info.

    Beim ausführen der JMSAdmin-tool, haben Sie die Anzeige der Objekte nach dem erstellen? Zum Beispiel, hier ist einer meiner JMSAdmin.bat scripts:

    # Connection Factory for Client mode
# Delete the Connection Factory if it exists
DELETE  CF(JMSDEMOCF)

# Define the Connection Factory
DEFINE  CF(JMSDEMOCF) +
        SYNCPOINTALLGETS(YES) +
        SSLCIPHERSUITE(NULL_SHA) +
        TRAN(client) +
        HOST(127.0.0.1) CHAN(SSL.SVRCONN) PORT(1414) +
        QMGR( )

# Display the resulting definition
DISPLAY CF(JMSDEMOCF)

    Löscht das Objekt (weil JMSAdmin nicht definieren mit der option replace), dann definiert das Objekt, dann zeigt es. Tun Sie in der Tat sehen die beiden Objekte definiert? Können Sie eine Verbindung herstellen und die interaktive Anzeige, die Sie sowohl? Können Sie aktualisieren Sie Ihre Frage mit dem Inhalt angezeigt werden?

    Wenn ja, was ergibt dann die JNDI-provider-Konfiguration Aussehen mit jedem Beispielprogramm? Das Jahr 2009 zeigt, dass es mindestens eine Verbindung der QMgr gemacht, so ist es wichtig zu bestimmen, ob das Ding, das Leid, das die Verbindung abbricht, ist die app oder auf den JNDI-Anbieter. Zu diagnostizieren, erfordert die config-info, die Sie für den JNDI-Anbieter ist und ob es das gleiche in der Arbeit und nicht, Fällen. Wenn nicht, wie unterscheiden Sie sich?

    Sobald Sie wissen, ob es die app oder die JNDI-provider, der das problem verursacht (oder wechseln Sie zu einem anderen JNDI-providers nicht erforderlich ist, ist ein MQ-Verbindung wie der Dateisystem-initial-Kontext), dann wird es möglich sein, bestimmen die nächsten Schritte.

    Den verlinkten Artikel oben hat Proben von code und managed-object-scripts, die ein Dateisystem verwenden, welches JNDI-provider. Sie können feststellen, meine scripts eingefügt in der genannten verwenden die gleichen QMgr Namen. Das ist, weil ich schrieb, dass ein Teil der Artikel. Wenn ich wechseln wollen SSL verwenden die gleichen Proben, die ich nur aktualisieren, die connectionFactory zu-Punkt-SSL-Kanal und es funktioniert.

    Hier sind die anderen bits von der Probe, die ich geändert habe:

    java -Djavax.net.debug=ssl  ^
     -Djavax.net.ssl.trustStore=key2.jks  ^
     -Djavax.net.ssl.keyStore=key2.jks ^
     -Djavax.net.ssl.keyStorePassword=????????  ^
     -Djavax.net.ssl.trustStorePassword=???????? ^
     -cp "%CLASSPATH%"  ^
      com.ibm.examples.JMSDemo -pub -topic JMSDEMOPubTopic %*

    Hinweis: Die ^ ist die Windows-version von Zeile fortgesetzt.

    Dann, wenn es Probleme gibt, Folge ich den debugging-Szenario, das ich beschrieben diese SO beantworten. Beachten Sie, dass die app erfordert einen truststore, auch wenn Sie SSLCAUTH(OPTIONAL) auf Ihrem Kanal. Dies ist, weil die app muss immer überprüfen Sie die QMgr-Zertifikat, auch wenn die app nicht vorhanden ist, ein eigenes Zertifikat. In meinem Fall war ich mit SSLCAUTH(REQUIRED) also meine app benötigt eine keystore-und truststore. Ihre Frage erwähnt, dass der QMgr hat einen keystore aber nicht sagen, was Sie getan haben für die Anwendung.

    Schließlich 2009 generieren in der Regel einen Eintrag in der QMgr-Fehler werden protokolliert. Wenn weiterhin das problem, bitte aktualisieren Sie Ihre Frage mit diesen log-Einträge.

    UPDATE:

    Reaktion auf die Kommentare, die JMSAdmin-tool ist Teil der ein Fehler in WMQ-Paket. Allerdings, ein Fehler in WMQ es kommt mit Gläsern für filesystem-Kontext-und LDAP-Kontext. Die WMQInitialContextFactory ist optional und wird geliefert, wie SupportPac ME01. Bei der Verwendung von WMQInitialContextFactory mit JMSAdmin-tool (oder die JMSAdmin GUI oder ein Fehler in WMQ Explorer) ist es erforderlich, konfigurieren Sie die PROVIDER_URL mit dem host, port und channel. Zum Beispiel:

    PROVIDER_URL: <Hostname>:<port>/<SVRCONN Channel Name>
192.168.66.23:1414/SSL.SVRCONN

    Also nach Durchsicht Ihrer post nochmal, erkannte ich, dass Sie hat bieten die config-info für WMQInitialContextFactory. Ich war auf der Suche nach einem JMSADmin.config-Datei, aber Sie haben es in der Umgebung hash-Tabelle. Und das ist, wo das problem ist. Sie versuchen, verwenden Sie die SSL-Kanal, sowohl für die WMQInitialContextFactory und der connection factory aus. Dies ist, was die Ursache der lookup fehl. Die WMQInitialContextFactory zunächst eine Java-Verbindung zum QMgre, um sich in der Warteschlange zu erhalten, die verwalteten Objekte wie QCF. Um das zu tun, muss er wissen, die ciphersuite, dass der Kanal eingerichtet ist, um zu verhandeln, der Handschlag. Jetzt die *einzige * Stelle, die ciphersuite ist aufgezeichnet in der QCF-definition.

    Versuchen Sie die folgende Zeile hinzufügen:

    environment.put(MQEnvironment.sslCipherSuite, "SSL_RSA_WITH_RC4_128_MD5");

    Als pro dieses Infocenter Seite, das sollten Sie sagen, der Kontext-factory-Klassen, was ciphersuite zu verwenden. Natürlich, Sie müssen auch wissen, wo Sie den trust store ist (und möglicherweise im Schlüsselspeicher, wenn der Kanal hat SSLCAUTH(RQUIRED) set), so dass Sie noch brauchen, um diese Werte in der Umgebung. Sie können verwenden Sie die Kommandozeilen-Variablen, oder laden Sie Sie in die Umwelt mithilfe von code. Benötigen Sie beide -Djavax.net.ssl.trustStore=key2.jks und -Djavax.net.ssl.trustStorePassword=????????.

    Die andere Möglichkeit ist, weiter zu verwenden, um den Klartext Kanal für die WMQInitialContextFactory und den SSL-Kanal für die Anwendung. Wenn die Klartext-Kanal hat einen MCAUSER für einen nicht-privilegierten Benutzer-ID, es kann eingeschränkt werden, um nur eine Verbindung mit dem QMgr und den Zugriff auf die Warteschlange mit der verwalteten Objekte. Mit diesen Einschränkungen, jeder kann Lesen Sie die verwalteten Objekte mit diesem Kanal aber nicht die Anwendung von Warteschlangen-oder Verwaltungs-Warteschlangen.

    InformationsquelleAutor T.Rob

Schreibe einen Kommentar