使用Java客户端连接到MQ通道：CertLabl错误

注下面的信息在MQV8.0.0、V9.0.0和V9.1.0知识中心中都有相同的记录。

IBM在IBM MQ8.0.0知识中心页面中记录了IBM MQ>安全性>安全性概述>IBM MQ安全机制>IBM MQ中的安全协议>SSL或TLS密钥存储库>数字证书标签，了解以下需求：

IBM MQ Version8.0支持在同一个队列管理器上使用多个证书，使用每个通道的证书标签属性。队列管理器的入站通道（例如，服务器连接或接收器）依赖于使用TLS服务器名称指示(SNI)检测通道名称，以便从队列管理器提供正确的证书。

• 当前所有Java和JMS客户端。
• IBM MQ 8.0之前的版本。

IBM还在IBM MQ 8.0.0 Knowledge center页面中记录了类似的信息IBM MQ>引用>配置引用>通道属性>通道属性按字母顺序>证书标签(CERTLABL)：

入站通道（包括RCVR、CLUSRCVR、unqualified SERVER和SVRCONN通道）仅在远程对等体的IBM®MQ版本完全支持证书标签配置并且通道使用TLS CipherSpec的情况下发送配置的证书。如果不是这种情况，则队列管理器CERTLABL属性确定发送的证书。这种限制是因为入站信道的证书标签选择机制依赖于TLS协议扩展，而该扩展并不是在所有情况下都支持的。特别是，Java™客户机、JMS客户机和8.0版之前的所有IBM MQ版本都不支持所需的协议扩展，并且只会接收队列管理器CERTLABL属性配置的证书，而不考虑特定于通道的标签设置。

我能想到的一个可能的解决方案是,您可以找出MQ调用哪个基础函数来创建TLS会话,然后重写该函数,将SNI属性设置为MQ可以在队列管理器上识别的值,代码如下：

SSLParameters params = sslSocket.getSSLParameters();
params.setServerNames(serverNames);
sslSocket.setSSLParameters(params);

IBM在Technote“IBM WebSphere MQ：How does MQ provide multiple certificates(CERTLABL)Capability”中记录了在SNI中传递通道名称的格式：

MQ使用的SNI地址基于所请求的通道名称，后跟“.chl.MQ.ibm.com”的后缀。

• 大写字母A-Z折叠成小写
• 数字0到9保持不变
• 包括小写字母a-z在内的所有其他字符都将转换为其2位十六进制ASCII字符代码，后跟一个连字符。
• 小写字母a到z分别映射为“61-”到“7a-”
• 百分比（%）映射到“25-”
• 连字符（-）映射到“2D-”
• 点（.）映射到“2E-”
• 正斜杠（/）映射到“2f-”
• 下划线(_)映射到“5f-”

在EBCDIC平台上，在应用此映射之前，通道名称被转换为ASCII。例如，通道名“to.qmgr1”映射到SNI地址“to2e-qmgr1.chl.mq.ibm.com”。

相反，小写通道名称“to.qmgr1”映射到SNI地址“74-6F-2E-71-6D-67-72-1.chl.mq.ibm.com”。