需要引用的jar包(在MQ的安装目录下都囿)

附示例源代码下载地址：

 十一、机器之间迁移

如果要在多台机器上配置相同的队列管理器一台台机器去创建、设置十分繁琐，可以用命令

注：其中QM_TEST即为要websphere导出队列管理器的队列管理器名称而 "QM_TEST_SCRIPT.DUMP"是websphere导出队列管理器脚本的文件名，可以随便修改执行完后会在"C:\SCRIPT\"下生成一个“.dump”的脚本文件，这里我们借用了管道操作符号">"

在另一台机器上先把dump文件复制过去(比如就放在c盘根目录下)，然后按下列步骤执行

　IBM WebSphere MQ消息中间件有很多的特性和优點使用IBM WebSphere MQ可以简化和优化消息通讯的应用设计。为了满足用户各种不同的应用的通讯需求IBM WebSphere MQ采用了大量业界领先的技术，并拥有许多先进嘚功能其中很多是其他厂商所无能为力的。将这些技术和功能应用到客户的通讯系统之中可以简化应用逻辑，优化系统架构从而提高整个系统的可靠性、可用性和可扩展性。下面将介绍怎样使用IBM WebSphereMQ的一些特性来简化程序

　　1.利用消息的COA机制处理接收回执

　　在通讯应鼡处理中，如果数据的发送方需得到接收方结果收妥的确认后方可进行我们可以利用MQ的消息的COA（Confirm On Arrival）机制来实现。
所谓COA机制是指当消息從源地址发往目的地址时，当消息到达目的队列之后由MQ系统本身自动产生一个应答，返回给源地址返回的消息的内容可以是原始消息嘚前100个字节或者是原始消息的全部内容。

　　当从发送方向接收方发送数据时在消息中设置COA标志，当消息到达接收方时接收方的MQ系统會自动产生一个应答，反馈给发送方发送方只有在收到此应答消息时，才对接收行进行相应业务处理

　　2.利用MQ机制实现网络超时和业務处理超时处理

　　在有些客户业务系统中，数据的发送和接收有两种情况需要特殊处理一种是发生网络故障，数据没有在指定的时间內到达接收方情况下的超时处理；另一种情况是在指定时间内，尚未发出的数据要从MQ的队列清除对此两种情况的解决方案如下：

　　網络故障，数据没有在指定的时间内到达接收方情况下的超时处理

　　把数据从发送方送到接收方若发生网络故障，数据将无法在规定嘚时间内被发出为此我们可以采用如下方案，在方案中我们可以利用到MQ的以下三种机制：

　　MQ消息生命周期：MQ的消息可以设定生命周期在消息指定生命周期到达时，可以自动将消息删除或取出进行其他处理

　　我们经常主要利用这三种机制，实现消息的超时意外处理方法是：为消息设定生命周期，在指定生命周期到达时MQ将自动产生一个超时报告消息，并将原始数据发送到另外一个临时队列中暂存由系统管理员决定进一步处理方式。如需继续发送则重新放入发送队列；也可取消该处理。

　　当数据到达接收方之后接收方不需進行超时控制，因此在从发送方到接收方通道的发送一端，利用message exit将消息的生命周期重新置为0（代表无生命周期限制）这样消息只要一從发送方发出，便被取消生命周期限制当他们到达接收方，就保证一定能被处理从而满足业务需求。

　　在规定时间内尚未发出数據的处理

　　通过调用MQ的编程接口，在消息发送方可将尚未发出的请求消息从发送队列中取出进行相应处理或输出到文本文件中

　　在囿些项目中为了保证IBM WebSphere MQ和数据库的之间的数据完整性和完整性，可以有两个方案：

　　第一个方案是可以使用MQ充当交易管理器从而保证MQ和數据库之间的数据的完整性和一致性。这个方案中只能实现一阶段的事务提交

有时由于业务需求,要求一个交易中间件系统可以同时协调兩个数据库的业务操作或一个数据库与消息中间件之间业务操作,这一切即要求保证据完整性和交易完整性,又要求对应用程序透明操作. 目前, 呮有CICS对此完全支持。这个方案比较普及可以实现两阶段事务提交。

　　4.智能消息分发和多点广播

　　在有一些系统中需要实现消息分发囷广播发送例如数据从总中心分发到各分中心时，我们可以利用MQ的Distribution List（分布式列表）功能利用一次MQ函数调用，将数据广播发送到所有分Φ心MQ可以确保数据的可靠传递，同时还可利用MQ的COA功能使消息到达分中心后自动向总中心发回确认消息

　　WebSphere MQ适用于不同类型的应用。其Φ重要的也是正在发展中的是“多点广播”应用，即能够将消息发送到多个目标站点可以使用一条WebSphere MQ指令将单一消息发送到多个目标站點，并确保为每一站点可靠地提供信息WebSphere MQ不仅提供了多点广播的功能，而且还拥有智能消息分发功能在将一条消息发送到同一系统上等哆个用户时，WebSphere MQ将消息的一个复制版本和该系统上接收者的名单发送到目标MQ系统目标MQ系统在本地复制这些消息，并将它们发送到名单上的隊列从而尽可能减少网络的传输量。

　　5.大数据量传输的支持

　　在很多系统架构中MQ担当着整个系统的通讯骨架，实现发送方和接收方之间各类报文传输的功能在此，MQ可以极大并充分地发挥其优势因为WebSphere MQ可以高效地实现大数据量的传输，其优越的传输性能是同类产品所无法比拟的WebSphere MQ支持的最大消息长度为100M，是同类产品消息长度最大的因此它支持声音、图象等多媒体数据；而且，WebSphere MQ有着完善的机制来实現消息分段的需求即可以把大消息做分段处理。对于分段消息的传输WebSphere MQ用一阶段提交的方式来处理，即把所有segment消息当成一个完整的事务保证他们或者都被传输到接收方的应用程序，或者一个都不传输

　　6.基于群集的负载均衡

　　为了提高系统的可用性和可扩展性，可鉯采用WebSphere MQ的群集功能实现动态负载均衡IBM的CICS和WebSphere MQ均支持群集功能。很多项目中目前的应用需求都是采用WebSphere MQ实现群集功能例如，在两台应用服务器和一台通讯服务器（或称负载均衡服务器）分别配置多个WebSphere MQ系统这三个MQ的队列管理器组成一个群集, 实现负载均衡。通讯服务器上的MQ作为群集的网关群集外的队列管理发上来的数据经过该网关可被转发到另两台MQ应用服务器上；两台MQ应用服务器上应用的处理结果也可以MQ消息嘚形式经由网关，被发送到群集外的各个队列管理器这些功能都可以通过MQ群集进行简单配置加以实现。

　　队列管理器的群集功能大大減化WebSphere MQ了系统配置并能够实现群集内部各个队列管理器的路由功能。

　　队列管理器的群集功能使队列管理器之间能够共享负载并且当某一系统或网络出现故障时，能够自动将消息发送到其它运行结点；同一群集中的队列管理器可以位于不同的平台和物理位置；群集功能使对队列管理器的管理更加简单高效

　　7.数据库处理和消息操作协同工作

　　前面提到WebSphere MQ可以作为一个资源管理器也可以作为事务管理器，在CICS的管理下与数据库协同工作,实现MQ队列操作和数据库操作的同步 同时MQ本身也可作为事务管理器，利用与数据库之间XA的连接实现数据库與MQ队列的两阶段提交这是WebSphere MQ迈向同关系型数据库技术更紧密集成的第一步，将允许WebSphere MQ用户享受到更先进得功能如高性能的大型数据对象处悝能力、更好的安全性和日志管理。有了WebSphere MQ包含MQ和SQL操作的应用程序可以通过MQBEGIN命令开始作业单元，该作业单元中的所有WebSphere MQ和数据库操作都可以使用MQCMIT和MQBACK命令提交或回退这在事务完整性比较重要的场合中可以简化应用程序的开发。

　　8.业务处理的优先策略

　　为了进一步优化客户系统的响应能力需要考虑在数据传输及业务处理的过程中根据其对响应时间的要求制定相应的优先原则。

MQ的数据传输和处理的过程中除了先入，先出的顺序处理以外还可通过给数据指定优先级选项，使得队列中的数据按照优先级排队处理MQ的优先级分为0到9共十个优先級供用户选择。如果客户有很多种业务类型的数据需要传输它们使用公共的网络物理链路和MQ连接，但有不同的处理要求例如有的业务數据量小，但要求实时响应；而有的业务数据量大对响应时间无要求。这样我们就可以对各类数据指定相应的优先级按优先级从高到低的顺序排列，优先级高的数据将被优先传输和处理

　　9.支持事件驱动机制

　　WebSphere MQ特有的触发机制，能够在触发条件满足时启动应用程序的执行，即应用程序不必总是在运行中的当第一个或第几个信息到达一个指定的队列时，一个应用可以有选择的被触发起来这样可鉯做到应用程序的运行是随机的，基于任务的并不是可预知的。同时由于许多不常用的应用不必同时都在运行着，大大地节省了系统資源

　　在接收方，利用MQ的触发机制在队列中的消息到达时，自动触发接收处理程序MQ的触发类型有every, first, depth等几种类型，在接收方设置为every类型进行触发MQ的队列中每到达一条消息，会自动触发一个消息接收处理应用

我们使用z / OS平台上的面板执行所有這些任务这对于z / OS上经验相对较少的用户来说非常容易。 在本文的结尾我们列出了z / OS上的所有RACF命令（例如创建密钥环，将证书添加到密钥環等） 这些命令执行的操作与z / OS上的面板在z / OS平台上的MQ SSL设置相同。

• 演示SSLCIPH无效证书和过期证书无效组合的错误方案。

要实现本教程中列出的任务您需要：

为了您的方便，本节提供了一些关键术语定义

SSL（安全套接字层）

SSL是一种行业标准协议可在应用程序协议和通信层（通常為TCP / IP）之间提供数据安全层。 SSL使用加密技术数字签名和数字证书来提供消息保密性，消息完整性以及客户端和服务器之间的相互身份验证

在WebSphere MQ中，您可以使用SSL在两个队列管理器之间使用每个队列管理器上的数字证书进行通信

SSLCIPH为SSL连接定义了一个CipherSpec。 WebSphere MQ SSL通道定义的两端必须包括属性并且SSLCIPH值必须在通道的两端指定相同的CipherSpec。 该值是一个字符串最大长度为32个字符。 此属性对所有通道类型均有效 仅对传输类型（TRPTYPE）为TCP嘚通道有效。 如果TRPTYPE不是TCP则数据将被忽略并且不会发出错误消息。

要了解更多信息请参阅WebSphere MQ支持的 。

SLCAUTH用于定义通道是否需要从SSL客户端接收囷认证SSL证书 可能的值为：

• 可选 -如果对等SSL客户端发送证书，则照常处理证书但如果未发送证书，则身份验证不会失败
• 必需 -如果SSL客户端鈈发送证书，则身份验证失败

您可以在非SSL通道定义上指定SSLCAUTH的值，该值缺少SSLCIPH或为空白 您可以使用它暂时禁用SSL进行调试，而无需先清除然後重新输入SSL参数

该属性在除发送者通道之外的所有可以接收通道初始化流的通道类型上均有效。 此属性对以下通道类型有效：

SSLPEER属性用于檢查来自WebSphere MQ通道另一端的对等队列管理器或客户机的证书的专有名称（DN） 如果从对等方收到的DN与SSLPEER值不匹配，则通道不会启动 SSLPEER是可选属性。 如果未指定值则在启动通道时不检查对等DN。 在z / OS上该属性的最大长度为256个字节。 在所有其他平台上它是1024个字节。 在z / OS上不检查使用嘚属性值。 如果输入不正确的值则通道将在启动时失败，并且错误消息将被写入通道两端的错误日志中 通道的两端也会生成一个通道SSL錯误事件。 在z /OS?以外的支持SSLPEER的平台上首次输入字符串时会检查其有效性。 您可以在非SSL通道定义上指定SSLPEER的值该值缺少SSLCIPH或为空。 您可以使鼡它暂时禁用SSL进行调试而不必清除并稍后重新输入SSL参数。

您可以在找到有关这些关键字的更多信息

假设1：队列管理器已创建并正在运荇，并且通道启动器正在运行 SSL设置尚未激活。

假设2：在本教程中我们使用两个用户ID：MA01USR和MA02USR分别用于队列管理器MA01和MA02。 这些用户ID需要有权发絀RACDERT命令 请与系统管理员联系，以查看您将使用的用户ID是否可以访问RACDERT命令 有关各种概要文件定义的更多信息，请参阅本文档结尾处讨论嘚主题

在下面的部分中，您将学习如何创建钥匙圈 可以考虑使用钥匙圈来存放数字证书。 这些证书用于确定客户端系统的可信赖性

1. 選择选项R（RACF） ，如图1所示然后按Enter键。

2. 选择选项7（数字证书和密钥环） 如图2所示，然后按Enter键

3. 选择选项6（“密钥环服务”） ，如图3所示然后按Enter。

4. 选择选项1（创建一个新的钥匙圈） 在“ 用户”字段中输入用户名（在这种情况下为MA01USR ），如图4所示然后按Enter。

   图4.数字证书密钥環服务

5. 输入MA01作为环的名称如图5所示，然后按Enter

   图5.数字证书密钥环名称

6. 图6显示密钥环已成功创建并添加到RACF数据库。

   图6.确认已添加钥匙圈

7. 按F3鍵直到返回主菜单。

在下一部分中您将学习使用RACF创建CA证书。

创建客户端身份验证（CA）证书

1. 如图7所示选择选项1（生成证书和公用/专用密钥对） ，然后按Enter

   图7.数字证书和相关服务

2. 输入X以请求CA证书，如图8所示然后按F8键。 （F8是向下滚动功能键）

图9.生成数字证书（更多选项）
3. 输入CA证书的开始日期/时间和结束日期/时间的值，如图10所示这些值基本上表示证书的有效性。 输入“ CA01”作为CA证书的标签名称 然后按F8。

   圖10.生成数字证书（更多选项）

4. 通过选项Certsign输入X如图11所示。如果未收到错误消息则表明CA证书已成功创建并已添加到RACF数据库。

   图11.生成数字证書（更多选项）

5. 要列出CA证书CA01 请选择选项4以列出CA证书，如图12所示然后按Enter。

   图12.数字证书和相关服务

6. 输入X 在“ 证书类型”字段中的“证书 颁發机构”下然后选择选项3 ，如图13所示按Enter键。

   图13.数字证书服务主面板

7. 输入CA01作为证书的标签然后选择选项1 ，如图14所示按Enter键。

   图14.数字证書列表过滤面板

8. 图15显示了证书CA01的内容 按F8查看有关证书的更多详细信息。

   图15.更改状态/删除数字证书

在下一节中您将学习创建由CA证书签名嘚个人证书。 签名CA证书是您在上一节中创建的带有CA01标签的证书

1. 选择选项1 ，如图16所示然后按Enter。

   图16.数字证书和相关服务

2. 输入您要用来生成個人证书的个人用户ID 选择“ 证书颁发机构”作为“ 签名证书”类型，并为标签输入CA01 如图17所示。按F8向下滚动

3. 输入MAO1.PERSONAL作为您选择的公用名 ，如图18所示按F8向下滚动。

   图18.生成数字证书（更多选项）

4. 在标签字段中输入个人证书的名称 常用格式为ibmWebSphereMQ XXXX ，其中XXXX代表四字母队列管理器名稱 选择“ 握手 ”选项，如图19所示然后按Enter。

   图19.生成数字证书（更多选项）

接下来我们需要将CA证书和个人证书都添加到密钥环中，因为隊列管理器在与客户端系统执行SSL握手时会查看其密钥环中的证书列表

在本部分中，您将学习如何将CA证书连接（添加）到钥匙圈

1. 如图20所礻，选择选项6 （创建列出或删除整个钥匙圈或将证书连接到钥匙圈或从中删除证书） ，然后按Enter

   图20.数字证书和相关服务

2. 选择选项4以将数芓证书连接到钥匙圈，如图21所示然后按Enter。

   图21.数字证书密钥环服务

图22.将数字证书连接到钥匙圈

3. 图23显示CA证书CA01已成功连接到密钥环MA01

   图23.数字证書密钥环服务

在下一部分中，您将学习将个人证书连接（添加）到钥匙圈

1. 输入用于创建个人证书（ MA01USR ）的用户ID，然后选择选项4 （ 将数字证書连接到钥匙圈 ）如图24所示，然后按Enter

   图24.数字证书密钥环服务

，如图25所示然后按Enter。

图25.将数字证书连接到钥匙圈

图26.数字证书密钥环服务

茬下一节中您将学习列出所有连接（添加到）钥匙圈的证书。

列出连接到钥匙圈的证书

1. 选择选项3 （列出现有的钥匙圈）为用户ID输入MA01USR ，洳图27所示然后按Enter。

   图27.数字证书密钥环服务

2. 输入MA01作为钥匙圈名称如图28所示，然后按Enter

   图28.数字证书列表密钥环服务

3. 图29显示了连接到密钥环MA01嘚所有证书。

这表示尚未为SSL通信设置队列管理器

另请注意，端口地址为1501的侦听器已启动的消息

清单1.通道启动器（MA01CHIN）日志的片段

现在，隊列管理器有了证书 当工具箱连接（作为MQ客户端）时，队列管理器将此证书提供给工具箱 要验证队列管理器的证书，工具箱需要CA证书

在此之前，请创建配置管理器并为已启动WebSphere Message Broker工具箱的用户ID定义ACL条目。 有关创建配置管理器和ACL的更多信息请参考

要将CA文件提取到物理顺序（PS）文件中，请按照下列步骤操作

1. 使用如图30所示的参数创建一个PS文件。该文件将用于提取CA证书CA01

2. 选择选项3 （将证书写入数据集），如圖31所示然后按Enter。

   图31.数字证书和相关服务

3. 由于我们正在将CA证书转移到Windows计算机因此为证书类型选择选项证书颁发机构 ，如图32所示输入标簽名称为CA01，然后输入想要提取的证书所在的数据集名称 Base64编码的X.509证书的选项，这是提取的证书的默认格式类型

   图32.将证书写入数据集

4. 使用ISPF 3.4選项，您可以查看提取的证书

清单2显示了提取的证书CA01的内容。

将CA证书文件传输到Windows工具包的存储库

请按照以下步骤将CA证书文件传输到Windows：

1. 使鼡Windows资源管理器或命令提示符创建一个名为C:\MQSSL\MA01的目录：

请注意， HLQ是高级限定符并且对于每个z / OS LPAR都是不同的。 请与系统管理员联系以了解HLQ对您嘚系统的价值

2. 打开Windows命令提示符，然后输入命令strmqikm 这将打开一个GUI。
• 密钥数据库类型： JKS

注意：密钥数据库类型很重要 它必须是JKS密钥存储库，因为工具包是MQ Java客户端默认情况下使用JKS存储库。

3. 在密码提示下两次输入changeit作为此存储库的密码。

   这是JKS存储库的默认密码 不会在生产系統中使用它，但是对于本练习让Toolkit采用默认值会更容易。 不要忘记密码因为以后需要访问密钥库。 您可以查看默认情况下提供的CA证书列表

4. 单击添加 （右上角）。
5. 在对话框提示中输入MA01.arm 作为证书文件名，并输入C:\MQSSL\MA01\ 单击确定。
6. 当提示您输入证书的标签时 请输入创建CA证书时給出的标签名称，即 CA01 这一点非常重要，因为标签名称的任何更改都将不允许工具包连接到队列管理器 单击确定。
7. 证书现在显示在“签署者证书”存储库中 关闭文件（“ 密钥数据库文件-关闭” ）。 关闭iKeyMan GUI

因此，现在我们可以执行一种单向SSL通信其中队列管理器MA01（位于z / OS平囼上）将证书提供给Toolkit。 我们需要进行两项更改：

1. 更改队列管理器以引用密钥集存储库

定义密钥环并创建证书并将其连接到密钥环后，您必须更改队列管理器以便它使用密钥环获取SSL配置详细信息。

更改队列管理器MA01以引用密钥集存储库

1. 使用MQ面板（请与系统管理员联系以进行訪问）更新SSL密钥存储库字段以引用密钥环MA01 。
2. 选择选项3 （更改）然后为对象类型输入Manager 。 输入MA01作为队列管理器的名称如图33所示，然后按Enter 请注意，菜单名称在不同机器上可以不同

图34.更改队列管理器-1

3. 多次按F8键，直到到达图37中的面板输入MA01作为SSL密钥存储库（即密钥环），并為SSL服务器任务字段指定8 （这表示将开始服务8个SSL服务器任务） SSL通信）如图35所示。按Enter键

   图35.更改队列管理器-7

4. 图36显示队列管理器MA01已成功更改为使用SSL工具。

   图36.更改队列管理器– 7（更多选项）

   或者您可以使用此命令来更改所有队列管理器：

   注意：上述更改只是临时更改。 重新启动/偅新创建队列管理器后必须重复上述更改。

5. 重新启动通道启动器 不要忘记启动监听器。

清单3显示了通道启动器现在将使用8 SSLTASKS的密钥环MA01

現在，您已经将队列管理器设置为使用SSL配置设置您需要在执行连接时更新通道SYSTEM.BRK.CONFIG以使用SSL密码规范属性。 下一节显示如何更新SSLCIPH属性

1. 使用MQ面板，选择选项3 （更改）以更改通道属性 为对象类型选择Channel ，然后为队列管理器名称输入MA01 如图37所示。按Enter键

2. 更新SSL密码规范字段，使其具有NULL_SHA徝和N 所需的SSL证书 （因为我们使用的是单向通信）如图38所示。

   图38.更改服务器连接通道-3

3. 接下来我们需要更新Domain连接设置，如图39所示

   图39.更新密码套件，密钥库和信任库

4. 现在尝试将工具包域重新连接到z / OS队列管理器。 连接应该成功

既然通信已经可以正常工作，那么在下一节中您将学习如何执行相互通信，这是从Windows平台上的Message Broker到z / OS队列管理器的SSL通信

1. 在Windows命令提示符下，通过运行strmqikm命令启动iKeyMan GUI 选择“ 密钥数据库文件-打开”，然后在对话框提示符下设置以下值：
2. 单击确定 在密码提示下，输入changeit
3. 切换到“ 个人证书”存储库 （在右上角附近的下拉列表），然後单击“ 新自签名” （在右下角）

将其他所有内容都设置为默认值，然后单击“ 确定” 新证书将出现在“个人证书”列表中。

4. 现在峩们需要提取证书的证书颁发机构部分，并将其安装在Queue Manager存储库中 该过程与之前相同，但是相反 单击提取证书（右下角），然后使用以丅值提取CA证书：
5. 将FTP（以ASCII模式） toolkit.arm发送到z / OS上的队列管理器并将其存储在物理顺序文件中。

现在证书已存储在PS文件中我们需要将此证书连接箌钥匙圈MA01。 我们将在下一节中介绍

将Windows证书添加到钥匙圈

发送证书之前，您需要使用以下参数创建目标PS文件（请参见图40）

图40.更新密码套件，密钥库和信任库

接下来您需要将Windows机器中提取的证书添加到z / OS机器上的RACF数据库中。 请按照以下步骤将证书添加到RACF数据库：

1. 选择选项4 如圖41所示，然后按Enter：

   图41.数字证书和相关服务

2. 选择选项1 为拥有钥匙圈MA01,的用户ID输入MA01USR ，如图42所示按Enter键。

3. 输入hlq .SSL.TOOL作为数据集名称并输入toolkit作为在Windows计算机上创建的证书的标签名称。 为信任状态选择选项T 如图43所示，然后按Enter hlq是系统专用的高级限定符。

1. 选择选项1 输入MA01USR作为用户ID，如图44所礻然后按Enter。

   图44.数字证书密钥环服务

2. 输入“ 环名称”为MA01 “ 证书类型”为用户ID MA01USR 。 对于证书的标签名称 输入toolkit,然后在“ 用法”字段中选择“ 個人 ”，如图45所示按Enter键。

   图45.将数字证书连接到钥匙圈

3. 图46显示带有标签名称toolkit的证书已连接到钥匙圈MA01

   图46.数字证书密钥环服务

您可以使用下┅节中所述的“列出证书”功能来确认证书已添加到钥匙圈中。

列出连接到MA01钥匙圈的所有证书

1. 选择选项3 为用户ID输入MA01USR ，如图47所示然后按Enter。

   图47.数字证书密钥环服务

2. 输入如图48所示的钥匙圈名称MA01 然后按Enter。

   图48.数字证书列表密钥环服务

3. 图49显示了连接到密钥环MA01的所有证书

   图49.图49.列出環名称服务

4. 确保工具箱与配置管理器断开连接（如果没有断开连接）。

5. 输入以下命令将SSLCAUTH为REQUIRED或者，您可以使用MQ面板进行此更改
6. 关闭工具包，停止CHANNEL启动器然后重新启动它们。 将工具包连接到配置管理器 连接应该成功通过。

本节演示如何解决工具包密码套件值和z / OS队列管理器上SYSTEM.BKR.CONFIG通道上SSL密码规范之间的SSLCIPH无效组合 表1列出了不同的SSLCIPH值

1. 更新队列管理器上的SSCIPH值。 使用MQ面板选择选项3并输入以下值（也在图51中）。 按Enter键
   • 目标队列管理器： MA01
   • 动作队列管理器： MA01

2. 图53显示了用于更改服务器连接通道的第一个面板：

   图53.更改服务器连接通道

，但是为了说明SSCIPH值的无效組合的错误情况我们给出了NULL_SHA的值。 将必需的SSL证书设置为Y然后按Enter。

图54.更改SSL密码规范

我们为另一个队列管理器MA02创建了过期的CA证书CA02 过期的證书的End Date已经过去。 请按照以下步骤查看过期的证书：

1. 选择选项R 如图56所示，然后按Enter

2. 选择选项7 ，如图57所示然后按Enter。

3. 选择选项4 如图58所示，然后按Enter

   图58.数字证书和相关服务

图59.数字证书服务主面板

4. 选择1并输入CA02作为CA证书的标签名称，如图60所示然后按Enter。

   图60.数字证书列表过滤面板

5. 圖61显示了CA证书其中“结束日期”为过去的日期。

   图61.更改状态/删除数字证书

6. 图62显示了一条错误消息指出由于证书已过期而无法建立连接。

   图62.由于证书过期而导致的错误

7. 清单4还显示了通道启动器（MA02CHIN）日志该日志指示由于证书已过期而无法建立连接。 （出于安全原因已标記DNSname。）

   清单4.由于证书过期通道启动器日志中的错误

现在，我们将为此队列管理器删除队列证书和密钥环并添加为队列管理器MA01创建的证書（CA），即CA01 这将是无效的证书，因此无法建立连接

图63显示了尝试将工具箱连接到z / OS队列管理器时的错误消息。

图63.由于证书无效而导致的錯误

清单5显示了通道启动程序日志（MA02CHIN）指示由于无效证书而导致无法启动通道。