[MQ 9.3.0 Jun 2022]

Cifrado de las frases de contraseña para los canales TLS de MQTT

Puede cifrar las frases de contraseña para los canales TLS de MQTT con las opciones STARTARG del servicio MQXR, -sf y -sp.

Acerca de esta tarea

La opción -sf proporciona un archivo de claves de credenciales para el cifrado de las contraseñas de canal TLS de MQTT. Tenga en cuenta que, para mayor comodidad, se proporciona una clave predeterminada.

La opción -sp especifica la modalidad de protección. El valor predeterminado es 2 para utilizar el método de protección de credenciales más seguro. Consulte Definición manual del servicio MQXR en Linux o Definición manual del servicio MQXR en Windows para obtener más información, en función de los sistemas operativos que utilice la empresa.

Cuando se crea o modifica un canal, las frases de contraseña se cifran utilizando el archivo de claves de credenciales proporcionado para la opción -sf. Las frases de contraseña cifradas se almacenan en el archivo de propiedades específico de la plataforma, mqxr_win.properties o mqxr_unix.properties.

Ejemplo de una frase de contraseña cifrada almacenada en el archivo de propiedades específico de la plataforma:
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
Ejemplo para cifrar las frases de contraseña utilizando la clave predeterminada:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
donde DEFAULT significa que se utiliza la clave predeterminada para el cifrado de las frases de contraseña.
Atención: La palabra DEFAULT debe estar entre corchetes, es decir, [DEFAULT].
Ejemplo para cifrar las frases de contraseña con una clave definida por el usuario en keyfile.txt:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

La creación de SYSTEM.MQXR.SERVICE en Linux®y la creación de SYSTEM.MQXR.SERVICE en Windows se actualizan para especificar la clave predeterminada que se utilizará para cifrar canales TLS de MQTT .

También puede definir manualmente el servicio MQXR realizando una serie de pasos. Para obtener más información, consulte Definición manual del servicio MQXR en Windows y Definición manual del servicio MQXR en Linux.

Si desea cambiar el archivo de claves de credenciales utilizado para cifrar las frases de contraseña, lleve a cabo el procedimiento siguiente.

Procedimiento

  1. Asegúrese de que conoce las frases de contraseña para cada canal TLS de MQTT .
  2. Detenga el servicio MQXR SYSTEM.MQXR.SERVICE.
  3. Modifique el servicio MQXR SYSTEM.MQXR.SERVICE para añadir la opción STARTARG -sf y proporcione el archivo de claves de credenciales que se utilizará para el cifrado.
    Por ejemplo, para cifrar las contraseñas utilizando la clave DEFAULT, emita el mandato siguiente:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    De forma similar, para cifrar las frases de contraseña con una clave definida por el usuario en keyfile.txt, emita el mandato siguiente:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. Inicie el servicio MQXR SYSTEM.MQXR.SERVICE.
  5. Cambiar las frases de contraseña de canal TLS

    Realice esto mediante IBM MQ Explorer o utilizando el mandato MQSC ALTER CHANNEL (MQTT).

    Las frases de contraseña se cifran utilizando el archivo de claves de credenciales proporcionado por la opción -sf en el paso 3

  6. Inicie los canales para utilizar la nueva frase de contraseña cifrada.
    Notas:
    • En los pasos anteriores, si no se modifica el canal después de reiniciar el servicio, un canal con una frase de contraseña de texto sin formato no podrá iniciarse. Se registra un error para indicar que la frase de contraseña debe actualizarse.
    • Si desea desactivar el cifrado, lleve a cabo el mismo procedimiento, pero en el paso 3 inicie el servicio MQXR sin especificar la opción -sf .

    Para ver la migración de este proceso, consulte Migración de frases de contraseña sin cifrar a frases de contraseña cifradas.

    Atención: MQXR sigue dando soporte a la frase de contraseña de texto sin formato, pero debe cifrar todas las frases de contraseña de canal TLS de MQTT en la empresa.