如何解决Websphere MQ - 如何通过 MQ 队列管理器获取当前使用的证书详细信息
众所周知,队列管理器属性提供了队列管理器当前使用的 ssl 密钥库文件的位置。 但是,有没有办法获取队列管理器当前使用的证书详细信息,例如证书序列号、到期时间等。
openssl 和 gsk 命令查询并仅提供 ssl 密钥库中的证书详细信息。然而,
我之所以这么问是因为,假设如果发生了证书续订,并且假设没有在 MQ 上进行刷新(刷新安全类型(ssl)),那么它只会包含旧的证书详细信息。
>所以我需要一个命令或脚本,我可以在其中获取队列管理器当前使用的证书详细信息的输出。请协助。
解决方法
我认为没有您所要求的功能。
您可以通过查看 QMGR CERTLABL 设置中设置的证书标签,然后在 openssl/gsk 命令中使用它来查询密钥库来确定您的队列管理器应该使用什么证书。例如:
在 MQSC:
DISPLAY QMGR CERTLABL
在命令行上:
runmqakm -cert -details -db <keystore> -stashed -label <label from above>
但是,这将显示密钥库中的证书,如果您已启动 TLS 连接,然后修改了密钥库内容,则密钥库包含的内容与 MQ 当前使用的内容之间可能存在差异。以上也没有考虑到每个频道使用的不同证书。
您可以使用 openssl 查询队列管理器侦听器,该侦听器将通过连接到队列管理器来返回它正在使用的证书。这会导致错误,因为 MQ 不会理解为什么 openssl 只是连接到它然后立即断开连接:
openssl s_client -connect <host>:<port> -showcerts
这应该会提供有关当前使用的证书的大量信息。如果您想查询特定频道正在使用的证书,则需要使用以下文档页面计算出要发送的正确 SNI:https://www.ibm.com/support/pages/ibm-websphere-mq-how-does-mq-provide-multiple-certificates-certlabl-capability
如果这些不满足您拥有 MQ 命令的需求,您可以运行以打印当前使用的证书详细信息,而无需查询磁盘上的密钥库,那么我鼓励您向 IBM MQ 团队提出功能请求:https://www.ibm.com/developerworks/rfe/execute?use_case=changeRequestLanding&PROD_ID=520
,您可以使用 openssl 查询当前返回的证书详细信息的主机和端口。
例如:
echo -n | openssl s_client -connect dnsname.domain.com:port 2>&1 | openssl x509 -noout -issuer -subject -dates
这将返回如下内容,其中 issuer 和 subject 将是完整的 DN 值。 notAfter 是证书的到期日期。
issuer= /C=....
subject= /C=....
notBefore=Nov 1 13:45:35 2020 GMT
notAfter=Nov 1 13:45:34 2021 GMT
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。