本文不仅向您展示了如何配置从 Java™/JMS 客户端到 IBM® WebSphere® MQ Queue Manager 的安全套接字层连接，而且还介绍了测试证书的创建（但没有介绍任何 MQ 配置信息）。本文是一篇纯粹的 Java/JMS 客户端指南文章，文中还需要使用到 IBM SDK。

文中的第 1 步、第 3 步和第 4 步需要配置 SSL 连接。如果希望配置客户端身份验证，执行第 2 步即可。为了降低复杂性并简化任何潜在问题的调试，我不推荐在一开始就使用客户端身份验证。在拥有了基本的 SSL 连接后，就可以配置客户端身份验证了。

如果在操作过程中遇到配置问题，这可能有助于指定调试标志：。

顾名思义，trustStore 持有您所信任的 Queue Manager 签名 CA 所颁发的证书。这意味着当 Java/JMS 客户端连接到 Queue Manager 时，它需要将其证书发送给我们作为初始 SSL 握手的一部分。负责处理所有 SSL 通信的 Java Secure Socket Extension (JSSE) 将通过查找 trustStore 来验证刚刚发送的证书。如果无法验证该证书，则连接将被终止。

要创建 trustStore 并导入证书，您可以使用 IBM Key Management 工具，该工具是 Websphere MQ V6 的一部分：

连接到 Queue Manager 后，如果您希望创建客户端身份验证，请完成这一部分的操作。如果还未在该通道上指定客户端身份验证，则不需要完成这一部分所描述的操作。

keyStore 在本质上与 trustStore 相同，但它还持有客户端的个人证书，并且 JSSE 需要使用密码访问。实际上，您可以把个人证书添加到刚才创建的 trustStore 中，它既可以用于 trustStore 也可以用于 keyStore，但以前不需要设置的密码现在需要传递给 JSSE，以使它能够访问您的个人证书。

要创建 keyStore，请按照第 1 部分的步骤（使用 替换 ）一直执行到添加 CA 证书，然后继续完成以下步骤：

设置 keyStore 的最后工作是将您的证书或 CA 证书添加到 Queue Manager 密钥储存库中，这样当客户端发送其证书时，Queue Manager 就能够验证该证书。下面介绍了如何从 keyStore 提取您的个人证书，这样您就可以将其添加到 Queue Managers 密钥储存库中：

一旦完成该任务后，您所需做的就是将该证书添加到 Queue Managers 密钥储存库中。

您可以使用在应用程序内部设置的系统属性，或在命令行中设置的 标志将 trustStore 和 keyStore 的位置传递给 JSSE。要在应用程序内部设置它们的位置，请使用下面的代码。 和 的位置可以指向一个相同的文件：

要使用 标志，可以使用以下命令：

您希望连接的通道应该具有定义的 。在 Java/JMS 应用程序内部，需要指定与 相匹配的 。下面的表格将帮您完成这一任务：

您可以在许多位置指定 。

如果您使用的是 MQ Java 客户端 (MQ Java Client)，您可以在 位置中指定密码组类型（以字符串形式）：

您也可以使用 键将哈希表内的密码组类型（以字符串形式）传递给 QueueManager 的构造函数或哈希表 ：

或者：

如果您使用的是 MQ JMS 客户端，则可以使用连接工厂的 方法设置 ：