[MQ 9.3.0 Jun 2022]

Cifrado de frases de contraseña para canales TLS MQTT

Puede cifrar las frases de contraseña para canales TLS MQTT con las opciones STARTARG del servicio MQXR, -sf y -sp.

Acerca de esta tarea

La opción -sf proporciona un archivo de claves de credenciales para el cifrado de las frases de contraseña de canal TLS MQTT . Tenga en cuenta que, para mayor comodidad, se proporciona una clave predeterminada.

La opción -sp especifica la modalidad de protección. El valor predeterminado es 2 para utilizar el método de protección de credenciales más seguro. Consulte Definición manual del servicio MQXR en Linux o Definición manual del servicio MQXR en Windows para obtener más información, en función de los sistemas operativos que utilice la empresa.

Cuando se crea o modifica un canal, las frases de contraseña se cifran utilizando el archivo de claves de credenciales proporcionado para la opción -sf. Las frases de contraseña cifradas se almacenan en el archivo de propiedades específico de la plataforma, mqxr_win.properties o mqxr_unix.properties.

Ejemplo de una frase de contraseña cifrada almacenada en el archivo de propiedades específico de la plataforma:
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
Ejemplo para cifrar las frases de contraseña utilizando la clave predeterminada:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
donde DEFAULT significa que se utiliza la clave predeterminada para el cifrado de las frases de contraseña.
Atención: La palabra DEFAULT debe estar entre corchetes, es decir, [DEFAULT].
Ejemplo para cifrar las frases de contraseña con una clave definida por el usuario en keyfile.txt:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

Creación del SYSTEM.MQXR.SERVICE en Linux®y Creación del SYSTEM.MQXR.SERVICE en Ventanas se actualizan para especificar la clave predeterminada que se debe utilizar para cifrar canales TLS de MQTT .

También puede definir manualmente el servicio MQXR realizando una serie de pasos. Para obtener más información, consulte Definición manual del servicio MQXR en Windows y Definición manual del servicio MQXR en Linux.

Si desea cambiar el archivo de claves de credenciales utilizado para cifrar las frases de contraseña, lleve a cabo el procedimiento siguiente.

Procedimiento

  1. Asegúrese de que conoce las frases de contraseña para cada canal TLS MQTT .
  2. Detenga el servicio MQXR SYSTEM.MQXR.SERVICE.
  3. Modifique el servicio MQXR SYSTEM.MQXR.SERVICE para añadir la opción -sf de STARTARG y proporcione el archivo de claves de credenciales que se utilizará para el cifrado.
    Por ejemplo, para cifrar las contraseñas utilizando la clave DEFAULT, emita el mandato siguiente:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    De forma similar, para cifrar las frases de contraseña con una clave definida por el usuario en keyfile.txt, emita el mandato siguiente:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. Inicie el servicio MQXR SYSTEM.MQXR.SERVICE.
  5. Cambiar las frases de contraseña de canal TLS

    Hágalo a través de IBM MQ Explorero utilizando el mandato MQSC ALTER CHANNEL (MQTT) .

    Las frases de contraseña se cifran utilizando el archivo de claves de credenciales proporcionado por la opción -sf en el paso 3

  6. Inicie los canales para utilizar la nueva frase de contraseña cifrada.
    Notas:
    • En los pasos anteriores, si no se modifica el canal después de reiniciar el servicio, un canal con una frase de contraseña de texto sin formato no podrá iniciarse. Se registra un error para indicar que la frase de contraseña debe actualizarse.
    • Si desea desactivar el cifrado, lleve a cabo el mismo procedimiento, pero en el paso 3 inicie el servicio MQXR sin especificar la opción -sf .

    Para ver la migración de este proceso, consulte Migración de frases de contraseña sin cifrar a frases de contraseña cifradas.

    Atención: MQXR sigue dando soporte a la frase de contraseña de texto sin formato, pero debe cifrar todas las frases de contraseña de canal TLS MQTT de la empresa.