[MQ 9.3.0 Giu 2022]

Crittografia delle passphrase per i canali MQTT TLS

È possibile crittografare le passphrase per i canali MQTT TLS con le opzioni MQXR service STARTARG, -sf e -sp.

Informazioni su questa attività

L'opzione -sf fornisce un file chiave delle credenziali per la crittografia delle passphrase di canale MQTT TLS. Si noti che, per comodità, viene fornita una chiave predefinita.

L'opzione -sp specifica la modalità di protezione. Il valore predefinito è 2 per utilizzare il metodo di protezione delle credenziali più sicuro. Consultare Definizione manuale del servizio MQXR su Linux o Definizione manuale del servizio MQXR su Windows per ulteriori informazioni, in base ai sistemi operativi utilizzati dall'azienda.

Quando un canale viene creato o modificato, le passphrase vengono crittografate utilizzando il file di chiavi di credenziali fornito per l'opzione -sf. Le passphrase crittografate sono memorizzate nel file di proprietà specifico per la piattaforma, mqxr_win.properties o mqxr_unix.properties.

Esempio di una passphrase crittografata memorizzata nel file di proprietà specifico per la piattaforma:
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
Esempio per crittografare le passphrase utilizzando la chiave predefinita:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
dove DEFAULT significa che per la crittografia delle passphrase viene utilizzata la chiave predefinita.
Attenzione: la parola DEFAULT deve essere racchiusa tra parentesi quadre, ovvero [DEFAULT].
Esempio per crittografare le passphrase con una chiave definita dall'utente in keyfile.txt:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

Creazione di SYSTEM.MQXR.SERVICE su Linux®e Creazione di SYSTEM.MQXR.SERVICE su Windows vengono aggiornati per specificare la chiave predefinita da utilizzare per codificare i canali TLS MQTT .

È anche possibile definire il servizio MQXR manualmente eseguendo un elenco di passaggi. Per ulteriori informazioni, consultare Definizione manuale del servizio MQXR su Windows e Definizione manuale del servizio MQXR su Linux.

Se si desidera modificare il file di chiavi di credenziali per crittografare le passphrase, eseguire questa procedura.

PROCEDURE

  1. Assicurati di conoscere le passphrase per ogni MQTT canale TLS.
  2. Arrestare SYSTEM.MQXR.SERVICE del servizio MQXR.
  3. Modificare il servizio MQXR SYSTEM.MQXR.SERVICE per aggiungere l'opzione STARTARG -sf e fornire il file di chiavi delle credenziali da utilizzare per la codifica.
    Ad esempio, per crittografare le passphrase utilizzando la chiave DEFAULT, immettere il seguente comando:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    Analogamente, per crittografare le passphrase con una chiave definita dall'utente in keyfile.txt, immettere il seguente comando:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. Avviare SYSTEM.MQXR.SERVICE del servizio MQXR.
  5. Modificare le passphrase del canale TLS

    Farlo tramite IBM MQ Explorer oppure utilizzando il comando MQSC ALTER CHANNEL (MQTT).

    Le passphrase vengono codificate utilizzando il file di chiavi delle credenziali fornito dall'opzione -sf nel passo 3

  6. Avviare i canali per utilizzare la nuova passphrase crittografata.
    Note:
    • Nei passi precedenti, se non si modifica il canale dopo aver riavviato il servizio, l'avvio di un canale con una passphrase di testo semplice non riesce. Viene registrato un errore per indicare che la passphrase deve essere aggiornata.
    • Se si desidera disattivare la crittografia, eseguire la stessa procedura, ma nel passo 3 avviare il servizio MQXR senza specificare l'opzione -sf .

    Per la migrazione di questo processo, vedere Migrazione di passphrase di testo normale in passphrase crittografate.

    Attenzione: MQXR supporta ancora la passphrase di testo semplice, ma devi crittografare tutte le passphrase del canale TLS MQTT nella tua azienda.