[MQ 9.3.0 Jun 2022]

Kennphrasen für MQTT -TLS-Kanäle verschlüsseln

Sie können Kennphrasen für MQTT -TLS-Kanäle mit den STARTARG-Optionen des MQXR-Service -sf und -spverschlüsseln.

Informationen zu dieser Task

Die Option -sf stellt eine Schlüsseldatei für Berechtigungsnachweise für die Verschlüsselung von MQTT -TLS-Kanalkennphrasen bereit. Beachten Sie, dass zur Erleichterung ein Standardschlüssel bereitgestellt wird.

Die Option -sp gibt den Schutzmodus an. Der Standardwert ist 2, um die sicherere Schutzmethode mit Berechtigungsnachweisen zu verwenden. Weitere Informationen zu den von Ihrem Unternehmen verwendeten Betriebssystemen finden Sie unter MQXR-Service manuell unter Linux oder MQXR-Service manuell unter Windows definieren .

Wenn ein Kanal erstellt oder geändert wird, werden die Kennphrasen mithilfe der Berechtigungsnachweisschlüsseldatei, die für die Option -sf bereitgestellt wird, verschlüsselt. Verschlüsselte Kennphrasen werden in der plattformspezifischen Eigenschaftendatei mqxr_win.properties oder mqxr_unix.properties gespeichert.

Beispiel für eine verschlüsselte Kennphrase, die in der plattformspezifischen Eigenschaftendatei gespeichert ist:
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
Beispiel für die Verschlüsselung von Kennphrasen mit dem Standardschlüssel:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
Dabei bedeutet DEFAULT, dass der Standardschlüssel für die Verschlüsselung von Kennphrasen verwendet wird.
Achtung: Das Wort DEFAULT muss in eckige Klammern eingeschlossen werden, d. h. [DEFAULT].
Beispiel zum Verschlüsseln von Kennphrasen mit einem benutzerdefinierten Schlüssel in der Datei keyfile.txt:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

SYSTEM.MQXR.SERVICE unter Linux® erstellenund SYSTEM.MQXR.SERVICE unter Fenster erstellen werden aktualisiert, um den Standardschlüssel für die Verschlüsselung von MQTT- -TLS-Kanälen anzugeben.

Sie können den MQXR-Service durch die Ausführung einiger Schritte auch manuell definieren. Weitere Informationen finden Sie unter MQXR-Service manuell unter Windows definieren und MQXR-Service manuell unter Linux.

Wenn Sie die Berechtigungsnachweisschlüsseldatei ändern möchten, die für die Verschlüsselung der Kennphrasen verwendet wird, führen Sie die folgende Prozedur aus.

Verfahren

  1. Stellen Sie sicher, dass Sie die Kennphrasen für jeden MQTT -TLS-Kanal kennen.
  2. Stoppen Sie den MQXR-Service SYSTEM.MQXR.SERVICE.
  3. Ändern Sie den MQXR-Service SYSTEM.MQXR.SERVICE, um die STARTARG-Option -sf hinzuzufügen, und geben Sie die Schlüsseldatei für Berechtigungsnachweise an, die für die Verschlüsselung verwendet wird.
    Geben Sie zum Beispiel den folgenden Befehl aus, um Kennphrasen mit dem Schlüssel DEFAULT zu verschlüsseln:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    Geben Sie analog dazu den folgenden Befehl aus, um Kennphrasen mit einem benutzerdefinierten Schlüssel in der Datei keyfile.txt zu verschlüsseln:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. Starten Sie den MQXR-Service SYSTEM.MQXR.SERVICE.
  5. Kennphrasen für den TLS-Kanal ändern

    Verwenden Sie dazu IBM MQ Exploreroder den MQSC-Befehl ALTER CHANNEL (MQTT) .

    Kennphrasen werden mit der Schlüsseldatei für Berechtigungsnachweise verschlüsselt, die durch die Option -sf in Schritt 3 bereitgestellt wird

  6. Starten Sie die Kanäle, um die neue verschlüsselte Kennphrase zu verwenden.
    Anmerkungen:
    • Wenn Sie in den vorherigen Schritten den Kanal nach dem Neustart des Service nicht ändern, wird ein Kanal mit einer Klartextkennphrase nicht gestartet. Es wird ein Fehler protokolliert, der angibt, dass die Kennphrase aktualisiert werden muss.
    • Wenn Sie die Verschlüsselung inaktivieren wollen, führen Sie dieselbe Prozedur aus, aber in Schritt 3 starten Sie den MQXR-Service ohne Angabe der Option -sf .

    Informationen zur Migration dieses Prozesses finden Sie in Migration von Klartextkennphrasen auf verschlüsselte Kennphrasen.

    Achtung: MQXR unterstützt weiterhin die Klartextkennphrase, Sie sollten jedoch alle MQTT -TLS-Kanalkennphrasen in Ihrem Unternehmen verschlüsseln.