Canal SSL entre OS/390 y cliente windows

Todo lo relacionado con MQ en ambiente OS/390 o z/OS
Responder
pichelo

Canal SSL entre OS/390 y cliente windows

Mensaje por pichelo » 10 Mar 2010, 13:18

Hola... ¿ómo estan?

Estoy teniendo un problema al configurar un canal SSL entre un Z/OS y un cliente windows. Quizá pudieran ayudarme. Les cuento:

Siguiendo el manual para la configuración de canales ssl entre un z/os y un cliente windows, nos encontramos con el error a la hora de establecer la comunicación desde el cliente windows hacia el os/390, el error lo arroja el QM:

CSQX620E +BBD CSQXRESP System SSL error,
channel ????,
function 'gsk_secure_soc_init' RC=12

se han verificado los labels y todo se encuentra segun lo recomendado, en el caso de Z/os usar label ibmWebSphereMQQMNAME y en el caso de windows ibmwebspheremqclientname.


Atentamente

Julio Espinoza

Avatar de Usuario
LuisFer
Colaborador Senior
Colaborador Senior
Mensajes: 367
Registrado: 27 May 2006, 16:06
País: España
Ciudad: Madrid
Ocupación: IT Specialist

Re: Canal SSL entre OS/390 y cliente windows

Mensaje por LuisFer » 10 Mar 2010, 17:01

Del manual de SSL sc24-5901
"12 An unexpected error has occurred. Explanation: An unexpected error is detected by the System SSL runtime. User response: Collect a System SSL trace containing the error and then contact your service representative".
Una pregunta ¿Teneis mas canales con SSL?
Que version de MQ y z/OS?
Lo digo porque el manual referencia a la funcion gsk_secure_soc_init figura como "deprecated" y en ese caso el CC 12 es
12 Key label is not found. Explanation: The requested key label is not found inthe key database, SAF key ring or z/OS PKCS #11 token. User response: Specify a label that exists in the key database, SAF key ring or z/OS PKCS #11 token.
No me sigas, puedo no guiarte, no vayas delante , puedo no seguirte, caminemos juntos y sé simplemente, mi amigo.

pichelo

Re: Canal SSL entre OS/390 y cliente windows

Mensaje por pichelo » 11 Mar 2010, 09:50

ante todo muchas gracias por vuestra respuesta.
tengo dos canales ssl definidos en el server, pero es la primera vez que estamos tratando de conectar, no es que haya funcionado anteriormente alguno de los dos. La versión del MQSeries en el z/os es la 5.3.1 y la versión del z/os es la 1.7, el cliente windows es versión 6.0.
Estamos usando como método de cifrado TRIPLE_DES_SHA_US.
Ahora una consulta, he visto en los manuales que para el caso del z/os los labels tienen que ser ibmWebSphereMQQMNAME, en el caso de agregar la llave del cliente en z/os se debe usar ibmWebSphereMQCLIENTEID o ibmwebspheremqclienteid. Y en el caso del cliente windows se debe usar el label todo el lowercase, pero cuando deseamos agregar el certificado del server como se debería hacer "ibmWebSphereMQQMNAME" o "ibmwebspheremqqmname" ?

Saludos...

Avatar de Usuario
LuisFer
Colaborador Senior
Colaborador Senior
Mensajes: 367
Registrado: 27 May 2006, 16:06
País: España
Ciudad: Madrid
Ocupación: IT Specialist

Re: Canal SSL entre OS/390 y cliente windows

Mensaje por LuisFer » 11 Mar 2010, 12:52

pichelo escribió:ante todo muchas gracias por vuestra respuesta.
... hacer "ibmWebSphereMQQMNAME" o "ibmwebspheremqqmname" ?

Saludos...
El método de cifrado (TRIPLE_DES_SHA) está soportado y la combinación cliente/server es compatible.

El label es "case sensitive" , es decir si tu QMgrName es CSQ1 no vale csq1 para este caso sería ibmWebSphereMQCSQ1.
un saludo
No me sigas, puedo no guiarte, no vayas delante , puedo no seguirte, caminemos juntos y sé simplemente, mi amigo.

pichelo

Re: Canal SSL entre OS/390 y cliente windows

Mensaje por pichelo » 11 Mar 2010, 13:53

estimado y en el caso del cliente windows los labels he visto que tienen que ser en lower case, para el caso del label del certificado al momento de agregarlo a la key db del cliente debe ser lowercase o respetando ibmWebSphereMQQMNAME?

muchas gracias

Avatar de Usuario
LuisFer
Colaborador Senior
Colaborador Senior
Mensajes: 367
Registrado: 27 May 2006, 16:06
País: España
Ciudad: Madrid
Ocupación: IT Specialist

Re: Canal SSL entre OS/390 y cliente windows

Mensaje por LuisFer » 12 Mar 2010, 04:25

pichelo escribió:estimado y en el caso del cliente windows los labels he visto que tienen que ser en lower case, para el caso del label del certificado al momento de agregarlo a la key db del cliente debe ser lowercase o respetando ibmWebSphereMQQMNAME?

muchas gracias
Note: On UNIX, i5/OS, and Windows systems, WebSphere MQ uses the ibmwebspheremq prefix, and on z/OS the ibmWebSphereMQ prefix, on a label to avoid confusion with certificates for other products. On UNIX and Windows systems,ensure that you specify the entire certificate label in lower case.


Efectivamente, en Windows debe ser en minúsculas.
No me sigas, puedo no guiarte, no vayas delante , puedo no seguirte, caminemos juntos y sé simplemente, mi amigo.

pichelo

Re: Canal SSL entre OS/390 y cliente windows

Mensaje por pichelo » 12 Mar 2010, 14:51

estimado, ante todo muchas gracias por sus respuestas, he verificado todos los labels en ambas plataformas y se encuentran segun las especificaciones, y el problema aun persiste. buscando en ibm.com sale un reporte que apunta a problemas de PTF, le encargué a los administradores de sistema que verificaran el nivel de PTF y estoy en la espera de su respuesta.
te agradecería me pudieras facilitar una guía de los pasos a seguir para la configuración, si posee alguna, pues he seguido al pie de la letra la propuesta por ibm y aun sigo teniendo el error, no sea que se me esté escapando algun paso.

muchas gracias...
saludos...

Avatar de Usuario
LuisFer
Colaborador Senior
Colaborador Senior
Mensajes: 367
Registrado: 27 May 2006, 16:06
País: España
Ciudad: Madrid
Ocupación: IT Specialist

Re: Canal SSL entre OS/390 y cliente windows

Mensaje por LuisFer » 13 Mar 2010, 03:55

No tengo una checklist ya que lo que hicimos fué lo mismo que tú, seguir el manual. Tuvimos algún problema pero fué relacionado con el consumo.
El SSL ya lo montamos hace tiempo (con z/OS 1.4 y MQ V531) y nos funcionó bien. Tampoco tuvimos que hacer nada especial cuando hemos subido de nivel el S.O. y el MQ a V6.
No me sigas, puedo no guiarte, no vayas delante , puedo no seguirte, caminemos juntos y sé simplemente, mi amigo.

Responder