是否可以将同一证书用于在不同服务器中运行的两个MQ Qmgr?我知道如果你在同一台服务器上有qmgrs,你可以使用同一个证书,但当你有两台服务器时,证书的CN(通用名称(就是主机名,所以两者都不一样,我不确定它们是否都可以共享同一个证书。
IBM MQ产品仅根据通道上配置的SSLPEER检查对等队列管理器证书的DN值。MQ不同于浏览器(以及LDAP库等其他软件(,它对远程主机的主机名进行DN(或SAN(零验证。
没有技术原因可以在两台服务器上使用相同的证书,当您有HA和DR配置时,这是非常常见的。
我认为最好的做法是为每个队列管理器提供唯一的证书,因为这些证书用于证明身份。
在两个独立的队列管理器上使用同一证书的安全性影响:
- 你必须以某种方式在两台机器之间复制私钥
- 现在,攻击者可以在两个地方获得单个证书
- 你不能依赖客户端上的SSLPEER功能来确保你连接到一个特定的QM,但你仍然可以确保你已经连接到托管该证书的QM
- 您不能依靠连接队列管理器(例如SDR通道(上的SSLPEER功能来确保连接到一个特定的QM,但您仍然可以确保连接到托管该证书的QM
否,客户端应以不可信为由拒绝连接。客户端连接到特定的服务器,并且服务器发送回客户端的证书中的CN必须与服务器名称相同。您可以使用SAN(使用者替代名称(在CN中添加更多FQDN或通配符(*(。
如果客户端连接到MQserver1:1414,则服务器证书必须在证书的CN或SAN中具有MQserver1