[MQ 9.3.0 Jun 2022]

MQTT TLS チャネルのパスフレーズの暗号化

MQTT TLS チャネルのパスフレーズは、MQXR サービス STARTARG オプションである -sf-sp を使用して暗号化できます。

本タスクについて

-sf オプションは、MQTT TLS チャネル・パスフレーズの暗号化用に資格情報鍵ファイルを提供します。 なお、便宜上、デフォルトのキーが用意されています。

-sp オプションは保護モードを指定します。 デフォルト値は 2 で、よりセキュアな資格情報保護方式を使用します。 企業で使用しているオペレーティング・システムに応じて、詳細については、 Linux または Windows での MQXR サービスの手動定義 を参照してください。

チャネルの作成や変更の際には、-sf オプションで指定した資格情報鍵ファイルを使ってパスフレーズを暗号化します。 暗号化されたパスフレーズは、プラットフォーム固有のプロパティー・ファイル ( mqxr_win.properties または mqxr_unix.properties) に格納されます。

プラットフォーム固有のプロパティー・ファイルに格納されている暗号化されたパスフレーズの例を以下に示します。
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
デフォルト・キーを使用してパスフレーズを暗号化する例を以下に示します。
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
ここで、DEFAULT は、パスフレーズの暗号化にデフォルト・キーが使用されることを意味します。
重要: DEFAULT ワードは、大括弧 ( [DEFAULT]) で囲む必要があります。
keyfile.txt内のユーザー定義のキーを使用してパスフレーズを暗号化する例を以下に示します。
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

Linux® での SYSTEM.MQXR.SERVICE の作成および Windows での SYSTEM.MQXR.SERVICE の作成 が更新され、 MQTT TLS チャネルの暗号化に使用するデフォルト鍵が指定されるようになりました。

ステップのリストを実行することによって、手動で MQXR サービスを定義することもできます。 詳しくは、 Windows での MQXR サービスの手動定義 および Linuxを参照してください。

パスフレーズの暗号化に使用する資格情報鍵ファイルを変更する場合は、以下の手順で行います。

手順

  1. MQTT TLS チャネルのパスフレーズを把握しておく必要があります。
  2. MQXR サービス SYSTEM.MQXR.SERVICE を停止します。
  3. MQXR サービス SYSTEM.MQXR.SERVICE を変更して STARTARG オプションを追加し -sf 、暗号化に使用する資格情報鍵ファイルを指定します。
    例えば、デフォルト・キーを使用してパスフレーズを暗号化するには、以下のコマンドを発行します。
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    同様に、keyfile.txt でユーザー定義キーを使用してパスフレーズを暗号化するには、以下のコマンドを発行します。
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. MQXR サービス SYSTEM.MQXR.SERVICE を開始します。
  5. TLS チャネル・パスフレーズの変更

    これを行うには、 IBM MQ Explorer を使用するか、または MQSC ALTER CHANNEL (MQTT) コマンドを使用します。

    パスフレーズは、ステップ 3-sf オプションによって提供された資格情報鍵ファイルを使用して暗号化されます。

  6. チャネルを開始して、新しい暗号化パスフレーズを使用します。
    注:
    • 上記のステップでは、サービスの再始動後にチャネルを変更しないと、プレーン・テキスト・パスフレーズを使用したチャネルが開始に失敗します。 パスフレーズを更新する必要であることを示すエラーが記録されます。
    • 暗号化をオフにする場合は、同じ手順を実行します。ただし、ステップ 3 では、 -sf オプションを指定せずに MQXR サービスを開始します。

    このプロセスのマイグレーションについては、暗号化されたパスフレーズへのプレーン・テキスト・パスフレーズのマイグレーションを参照してください。

    重要: MQXR は引き続きプレーン・テキストのパスフレーズをサポートしますが、企業内のすべての MQTT TLS チャネル・パスフレーズを暗号化する必要があります。