[MQ 9.3.0, červen 2022]

Šifrování hesel TLS pro kanály MQTT TLS

Hesla pro kanály MQTT TLS můžete šifrovat pomocí voleb MQXR service STARTTARG, -sf a -sp.

Informace o této úloze

Volba -sf poskytuje soubor s klíči pověření pro šifrování hesel TLS ( MQTT TLS). Všimněte si, že je poskytnut výchozí klíč k usnadnění použití.

Volba -sp uvádí režim ochrany. Výchozí hodnota je 2, aby se použila bezpečnější metoda ochrany pověření. Další informace naleznete v tématu Ruční definování služby MQXR v systému Linux nebo Ruční definování služby MQXR v systému Windows , v závislosti na operačních systémech, které váš podnik používá.

Je-li vytvořen nebo pozměněn kanál, jsou přístupové fráze zašifrovány pomocí souboru s klíči pověření, který je poskytnut pro volbu -sf. Zašifrované přístupové fráze jsou ukládány do souboru vlastností, který je specifický pro danou platformu: mqxr_win.properties, nebo mqxr_unix.properties.

Příklad zašifrované přístupové fráze uložené v souboru vlastností, který je specifický pro platformu:
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
Příklad zašifrování přístupových frází pomocí výchozího klíče:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
kde DEFAULT znamená, že se k zašifrování přístupových frází používá výchozí klíč.
Upozornění: Slovo produktu DEFAULT musí být uzavřeno hranatými závorkami, tj. [DEFAULT].
Příklad zašifrování přístupových frází pomocí klíče, který uživatel nadefinoval v souboru keyfile.txt:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

Vytvoření SYSTEM.MQXR.SERVICE v systému Linux®a Vytvoření SYSTEM.MQXR.SERVICE v systému Okna jsou aktualizovány, aby určovaly výchozí klíč, který se má použít pro šifrování MQTT kanálů TLS.

Dále můžete službu MQXR definovat ručně provedením seznamu kroků. Další informace naleznete v tématu Ruční definování služby MQXR v systému Windows a Definování služby MQXR ručně v systému Linux.

Chcete-li změnit soubor s klíči pověření používaný k šifrování přístupových frází, postupujte takto.

Postup

  1. Ujistěte se, že znáte hesla pro každý kanál MQTT TLS.
  2. Zastavte službu MQXR SYSTEM.MQXR.SERVICE.
  3. Upravte službu MQXR SYSTEM.MQXR.SERVICE a přidejte volbu STARTARG -sf a zadejte soubor s klíči pověření, který má být použit pro šifrování.
    Chcete-li například šifrovat přístupové fráze pomocí klíče DEFAULT, zadejte tento příkaz:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    Chcete-li podobně šifrovat hesla s pomocí klíče, který uživatel nadefinoval v souboru keyfile.txt, zadejte tento příkaz:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. Spusťte službu MQXR SYSTEM.MQXR.SERVICE.
  5. Změňte přístupové fráze kanálů TLS.

    Tuto akci lze provést prostřednictvím produktu IBM MQ Explorernebo pomocí příkazu MQSC ALTER CHANNEL (MQTT) .

    Hesla se šifrují pomocí souboru s klíči pověření poskytovaného volbou -sf v kroku 3

  6. Spusťte kanály, aby se použila nová zašifrovaná přístupová fráze.
    Poznámky:
    • Pokud v předchozích krocích nepozměníte kanál po restartování služby, selže spuštění kanálu s přístupovou frází v prostém textu. Je zaprotokolována chyba, která označuje, že musí být aktualizována přístupová fráze.
    • Chcete-li vypnout šifrování, proveďte stejný postup, ale v kroku 3 spusťte službu MQXR bez zadání volby -sf .

    Chcete-li získat informace o migraci tohoto procesu, prohlédněte si téma Migrace přístupových frází ve formátu prostého textu na zašifrované přístupové fráze.

    Upozornění: MQXR stále podporuje heslo v prostém textu, ale ve vašem podniku byste měli zašifrovat všechny hesla protokolu TLS MQTT TLS.