在 MQ 窗口上更新证书后通道未运行答案

【问题标题】：Channels are not running after the certificate renewal on MQ windows在 MQ 窗口上更新证书后通道未运行
【发布时间】：2018-03-31 03:52:18
【问题描述】：

我们正在尝试将新更新的证书导入生产中 MQ 窗口中的密钥库，但在部署证书后通道将进入重新绑定状态。看起来我们的队列管理器没有从下面的错误中读取证书。证书的颁发者以前和现在是相同的。使用的证书是 rootCA5、serverCA5 和个人证书。当我们放回旧证书时，渠道工作正常。我已经检查了 ssl 文件夹和密钥库的权限，它们很好。由于我们的旧证书明天就要到期了。我们正在使用的MQ版本是MQ7.1.0.7。

我们尝试在 qm.ini 文件中添加以下参数，但昨天遇到了同样的问题。

SSL:
OCSPAuthentication=OPTIONAL
OCSPCheckExtensions=NO

在队列管理器的 AMQERR01.LOG 中记录了以下错误：

10/18/2017 19:29:45 - Process(3084.1) User(4055TMQU) Program(runmqchl.exe)
                      Host(abcdefgh) Installation(Installation1)
                      VRMF(7.1.0.7) QMgr(QMPDBP)

AMQ9642: No SSL or TLS certificate for channel 'xxxxxx.yyyyyy'.

EXPLANATION:
The channel 'xxxxxx.yyyyyy' did not supply a certificate to use during SSL
or TLS handshaking, but a certificate is required by the remote queue manager. 

The remote host is 'abcdefgh (10.x.x.x)(1415)'. 

The channel did not start.
ACTION:
Ensure that the key repository of the local queue manager or MQ client contains
a certificate which is associated with the queue manager or client.
Alternatively, if appropriate, change the remote channel definition so that its
SSLCAUTH attribute is set to OPTIONAL and it has no SSLPEER value set.

【问题讨论】：

您是否检查过证书的标签是否与字符串ibmwebspheremqqmpdbp 匹配？
@JoshMc，这正是我们的问题。我们有一个错误的标签。我编辑了标签。希望现在我们的证书可以正常工作。
Rinak，我写了一个包含更多细节的答案，如果它解决了你的问题，请接受并投票。

标签： ssl ibm-mq

【解决方案1】：

对于 IBM MQ v7.5 及更低版本，队列管理器证书的标签必须是与折叠为小写的队列管理器名称连接的确切字符串 ibmwebspheremq。

根据您发布的错误，我可以看到队列管理器名称是 QMPDBP，因此请检查证书的标签是否与字符串 ibmwebspheremqqmpdbp 匹配

请注意，对于 IBM MQ v8.0 及更高版本，您可以通过设置队列管理器 CERTLABL 属性来告诉队列管理器要使用的证书标签的名称，这默认为与 v7 中所需的值相匹配的值。 5 及以下。

例如：

ALTER QMGR CERTLABL('DifferentLabel`)

【讨论】：

感谢您提供有关该决议的更多详细信息。我刚刚部署了新的证书，通道运行良好。