[MQ 9.3.0 Giu 2022]

Crittografia delle passphrase per i canali TLS MQTT

È possibile crittografare le passphrase per i canali TLS MQTT con le opzioni MQXR service STARTARG, -sf e -sp.

Informazioni su questa attività

L'opzione -sf fornisce un file chiave delle credenziali per la crittografia delle passphrase di canale MQTT TLS. Si noti che, per comodità, viene fornita una chiave predefinita.

L'opzione -sp specifica la modalità di protezione. Il valore predefinito è 2 per utilizzare il metodo di protezione delle credenziali più sicuro. Consultare Definizione del servizio MQXR manualmente su Linux o Definizione del servizio MQXR manualmente su Windows per ulteriori informazioni, a seconda dei sistemi operativi che la tua azienda utilizza.

Quando un canale viene creato o modificato, le passphrase vengono crittografate utilizzando il file di chiavi di credenziali fornito per l'opzione -sf. Le passphrase crittografate sono memorizzate nel file di proprietà specifico per la piattaforma, mqxr_win.properties o mqxr_unix.properties.

Esempio di una passphrase crittografata memorizzata nel file di proprietà specifico per la piattaforma:
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
Esempio per crittografare le passphrase utilizzando la chiave predefinita:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
dove DEFAULT significa che per la crittografia delle passphrase viene utilizzata la chiave predefinita.
Attenzione: La parola DEFAULT deve essere racchiusa con parentesi quadra, cioè [DEFAULT].
Esempio per crittografare le passphrase con una chiave definita dall'utente in keyfile.txt:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

Creazione di SYSTEM.MQXR.SERVICE su Linux®, e Creazione di SYSTEM.MQXR.SERVICE su Windows vengono aggiornati per specificare il tasto di default da utilizzare per la codifica dei canali MQTT TLS.

È anche possibile definire il servizio MQXR manualmente eseguendo un elenco di passaggi. Per ulteriori informazioni, consultare Definizione del servizio MQXR manualmente su Windows e Definizione del servizio MQXR manualmente su Linux.

Se si desidera modificare il file di chiavi di credenziali per crittografare le passphrase, eseguire questa procedura.

PROCEDURE

  1. Assicurarsi di conoscere le passphrase per ogni canale MQTT TLS.
  2. Arrestare SYSTEM.MQXR.SERVICE del servizio MQXR.
  3. Alterare il servizio MQXR SISTREM.MQXR.SERVICE per aggiungere l'opzione STARTARG -sf e fornire il file chiave delle credenziali da utilizzare per la crittografia.
    Ad esempio, per crittografare le passphrase utilizzando la chiave DEFAULT, immettere il seguente comando:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    Analogamente, per crittografare le passphrase con una chiave definita dall'utente in keyfile.txt, immettere il seguente comando:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. Avviare SYSTEM.MQXR.SERVICE del servizio MQXR.
  5. Modificare le passphrase del canale TLS

    Farlo attraverso IBM MQ Explorer, oppure utilizzando il comando MQSC ALTER CHANNEL (MQTT) .

    Le passphrase sono crittografate utilizzando il file chiave delle credenziali fornito dall'opzione -sf al passo 3

  6. Avviare i canali per utilizzare la nuova passphrase crittografata.
    Note:
    • Nei passi precedenti, se non si modifica il canale dopo aver riavviato il servizio, l'avvio di un canale con una passphrase di testo semplice non riesce. Viene registrato un errore per indicare che la passphrase deve essere aggiornata.
    • Se si desidera disattivare la crittografia, effettuare la stessa procedura, ma al passo 3 avviare il servizio MQXR senza specificare l'opzione -sf .

    Per la migrazione di questo processo, vedere Migrazione di passphrase di testo normale in passphrase crittografate.

    Attenzione: MQXR supporta ancora la passphrase di testo semplice, ma è necessario crittografare tutte le passphrase di canale MQTT TLS nella tua azienda.