Sin certificado SSL o TLS para el canal MQ (se ejecuta desde el terminal - Windows 10)

Estoy tratando de conectarme a un MQ remoto en la empresa en la que trabajo, usando el siguiente comando, que viene después de instalar MQ Client ( IBM MQ version 9.04.0) en mi máquina,

Entrada:

P:\>amqssslc -s TLS_RSA_WITH_AES_256CBC_SHA256 -k "t:\Desktop\certificates\key" -x "server.com(1414)" -c "0000%XXXX%QMGR" -m QMGR

Salida:

Sample AMQSSSLC start Connecting to queue manager
Using the server connection channel 0000%XXXX%QMGR
on connection name server.com(1414).
Using SSL CipherSpec TLS_RSA_WITH_AES_256CBC_SHA256
Using SSL key repository stem t:\Desktop\certificates\key
No OCSP configuration specified
MQCONNX ended ith reason code 2393

Donde -kindica la ruta key. *, Que es un grupo de archivos (kdb, rdb, sht). Estos archivos se crearon a partir IKeyMan - IBM Key Managerde un cer.jksarchivo que los desarrolladores actuales utilizan para conectarse a una aplicación web.

El archivo de registro de errores muestra el siguiente error:

06/11/202020 19:29:45 - Process(25780.1) User(username) Program(amqssslc.exe)
                      Host(myhost) Installation(Installation1)
                      VRMF(9.1.3.0)
                      Time(2020-06-11T09:24:53.270Z)
                      RemoteHost(xx.xx.xxx.56)
                      CommenInsert1(0000%XXXX%QMGR)
                      CommenInsert2(server.com(1414))

AMQ9642: No SSL or TLS certificate for channel '0000%XXXX%QMGR'.

EXPLANATION:
The channel '0000%XXXX%QMGR' did not supply a certificate to use during SSL
or TLS handshaking, but a certificate is required by the remote queue manager. 

The remote host is 'server.com(1414)'. 

The channel did not start.
ACTION:
Ensure that the key repository of the local queue manager or MQ client contains
a certificate which is associated with the queue manager or client.
Alternatively, if appropriate, change the remote channel definition so that its
SSLCAUTH attribute is set to OPTIONAL and it has no SSLPEER value set. 

Donde me lleva a creer que el error está relacionado con el apretón de manos en el lado del canal. El certificado Jks funciona para los otros desarrolladores que realizan la conexión a la cola en el servidor.

Mi archivo mqclient.ini tiene la siguiente configuración agregada:

TCP:
    KeepAlive = Yes

CLientExithPath: 
    ExitsDefaultPath=C:\ProgramData\IBM\MQ\exits
    ExitsDefaultPath64=C:\ProgramData\IBM\MQ\exits64

SSL: 
    OCSPAuthentication=NO
    OCSPCheckExtension=NO
    CDPCheckExtension=NO

¿Cual podría ser el problema? También intenté cambiar la etiqueta de mi certificado para indicar un certificado personal que hay en el archivo key.kdb, sin embargo, arroja un error diferente, lo que me dijeron los chicos de TI de la empresa en la que trabajo, es que este certificado etiqueta no es necesaria.

Al final, el OP (@EdgarHernandez) notó que el error era un error tipográfico en el CipherSpec, en TLS_RSA_WITH_AES_256CBC_SHA256lugar del nombre correcto TLS_RSA_WITH_AES_256_CBC_SHA256estaba causando / contribuyendo al 2393

Poner mis notas de solución de problemas de los comentarios en esta respuesta para que se puedan buscar para futuros usuarios de SO que busquen errores similares.

Existe una diferencia en cómo Java / JMS selecciona un certificado para enviar al gestor de colas y cómo un cliente que utiliza las bibliotecas C selecciona el certificado para enviar al gestor de colas.

Java / JMS:

Java no usa una etiqueta de certificado, proporciona un certificado que cree que es una coincidencia para presentar al administrador de colas en función de los emisores de confianza del administrador de colas, por lo que es suficientemente bueno tener un certificado personal emitido por una CA que el gestor de colas confía.

Cliente de biblioteca C:

Los clientes de la biblioteca C (que amqssslces) basan la selección de certificados en la etiqueta del certificado. De forma predeterminada, buscará una etiqueta ibmwebspheremq<lowercase username>, por lo que si ejecuta como usuario, edgarel certificado que buscará el cliente MQ esibmwebspheremqedgar

• En MQ v8.0 y posteriores, puede especificar una etiqueta alternativa al valor predeterminado. amqssslchace esto con la -lopción de etiqueta. Entonces, si su certificado fue etiquetado solo edgar, debería poder agregar -l edgarpara recoger el certificado.

Use el siguiente comando para verificar que tiene un certificado personal en la lista, debe tener el prefijo a -en la primera columna, si solo tiene el prefijo a, !entonces es solo la parte pública de la clave, no la privada.

runmqakm -cert -list -db t:\Desktop\certificates\key.kdb -stashed