MQ

 View Only
Expand all | Collapse all

mqcertck and pkcs12 certificate store

  • 1.  mqcertck and pkcs12 certificate store

    Posted Fri December 13, 2024 12:26 PM

    Hello,

    I am troubleshooting TLS problems between an MQ client and a Queue Manager.
    The Queue Manager is version 9.4.0.5 on Linux, and has a pkcs12 certificate store: mag_DC101.p12.
    When I use the mqcertck command, I get the following response: 

    ERROR:
    Aucun référentiel de clés n'a été trouvé pour le gestionnaire de files
    d'attente DC101

    EXPLANATION:
    Les gestionnaires de files d'attente utilisent l'attribut SSLKEYR pour
    identifier l'emplacement du référentiel de clés SSL à utiliser. Aucun fichier
    de référentiel de clés n'a été trouvé à l'emplacement spécifié dans l'attribut
    SSLKEYR du gestionnaire de files d'attente. Le référentiel de clés référencé
    est H:\DemeyConsulting\Technos\TLS_2024\mag_DC101.p12.kdb.

    ACTION:
    Modifiez l'attribut SSLKEYR du gestionnaire de files d'attente pour qu'il
    désigne le référentiel de clés correct ou créez un référentiel de clés à
    l'emplacement spécifié.

    We can see that mqcertck has suffixed the certificate store name with '.kdb', so it cannot find the mag_DC101.p12 store.

    Question: can mqcertck work with pkcs12 certificate store?

    Thank you.



    ------------------------------
    Luc-Michel Demey
    DEMEY CONSULTING
    lmd@demey-consulting.fr
    #IBMChampion
    ------------------------------


  • 2.  RE: mqcertck and pkcs12 certificate store

    Posted Fri December 13, 2024 06:06 PM

    It seems to be a more general problem with having a suffix already on the string in your SSLKEYR queue manager attribute. I have a queue manager with a KBD keystore where I have supplied the file extension as well (even though I don't need to). If I run mqcertck it complains in a very similar way to your error:-

    ERROR:
    No key repository could be found for the queue manager MQ941

    EXPLANATION:
    Queue managers use the SSLKEYR attribute to identify the location of the SSL
    key repository to use. No key repository file could be found at the location
    specified in the queue manager's SSLKEYR attribute The key repository
    referenced is E:\mqmdata\Qmgrs\MQ941\ssl\key.kdb.kdb.

    It looks like it needs an update to bring it up to latest versions of what the IBM MQ main product can do.

    PMR/Case time?

    Cheers,
    Morag



    ------------------------------
    Morag Hughson
    MQ Technical Education Specialist
    MQGem Software Limited
    Website: https://www.mqgem.com
    ------------------------------