[MQ 9.3.0 2022년 6월]

MQTT TLS 채널에 대한 비밀번호 문구 암호화

MQXR 서비스 STARTARG 옵션(-sf-sp)을 사용하여 MQTT TLS 채널에 대한 비밀번호 문구를 암호화할 수 있습니다.

이 태스크 정보

-sf 옵션은 MQTT TLS 채널 비밀번호 문구의 암호화를 위한 신임 키 파일을 제공합니다. 편의를 위해 기본 키가 제공됩니다.

-sp 옵션은 보호 모드를 지정합니다. 보다 안전한 신임 정보 보호 방법을 사용하기 위해 기본값은 2입니다. 엔터프라이즈에서 사용하는 운영 체제에 따라 자세한 정보는 Linux 또는 Windows에서 MQXR 서비스를 수동으로 정의 를 참조하십시오.

채널이 작성되거나 변경될 때 -sf 옵션에 대해 제공된 신임 정보 키 파일을 사용하여 비밀번호 문구가 암호화됩니다. 암호화된 비밀번호 문구는 플랫폼 특정 특성 파일 mqxr_win.properties 또는 mqxr_unix.properties에 저장됩니다.

플랫폼 특정 특성 파일에 저장된 암호화된 비밀번호 문구의 예:
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
기본 키를 사용하여 비밀번호 문구를 암호화하는 예:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
여기서 DEFAULT는 기본 키가 비밀번호 문구의 암호화에 사용됨을 의미합니다.
주의: DEFAULT 단어는 [DEFAULT]인 대괄호로 묶어야 합니다.
keyfile.txt에 있는 사용자 정의 키를 사용하여 비밀번호 문구를 암호화하는 예:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

Linux®에서 SYSTEM.MQXR.SERVICE 작성 Windows에서 SYSTEM.MQXR.SERVICE 작성 이 업데이트되어 MQTT TLS 채널을 암호화하는 데 사용할 기본 키를 지정합니다.

단계 목록을 수행하여 MQXR 서비스를 수동으로 정의할 수도 있습니다. 자세한 정보는 Windows에서 MQXR 서비스를 수동으로 정의 Linux를 참조하십시오.

비밀번호 문구를 암호화하는 데 사용되는 신임 정보 키 파일을 변경하려면 다음 프로시저를 수행하십시오.

프로시저

  1. MQTT TLS 채널에 대한 비밀번호 문구를 알고 있는지 확인하십시오.
  2. MQXR 서비스 SYSTEM.MQXR.SERVICE를 중지하십시오.
  3. MQXR 서비스 SYSTEM.MQXR.SERVICE를 변경하여 STARTARG 옵션 -sf 을 추가하고 암호화에 사용할 신임 정보 키 파일을 제공하십시오.
    예를 들어, DEFAULT 키를 사용하여 비밀번호 문구를 암호화하려면 다음 명령을 실행하십시오.
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    마찬가지로 keyfile.txt에 있는 사용자 정의 키로 비밀번호 문구를 암호화하려면 다음 명령을 실행하십시오.
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. MQXR 서비스 SYSTEM.MQXR.SERVICE를 시작하십시오.
  5. TLS 채널 비밀번호 문구 변경하기

    IBM MQ Explorer을(를) 통해 또는 MQSC ALTER CHANNEL (MQTT) 명령을 사용하여 수행하십시오.

    비밀번호 문구는 단계 3-sf 옵션에서 제공하는 권한 정보 키 파일을 사용하여 암호화됩니다.

  6. 새 암호화된 비밀번호 문구를 사용하려면 채널을 시작하십시오.
    참고:
    • 이전 단계에서 서비스를 재시작한 후 채널을 변경하지 않으면 일반 텍스트 비밀번호가 있는 채널이 시작되지 않습니다. 비밀번호 문구를 업데이트해야 함을 표시하는 오류가 로깅됩니다.
    • 암호화를 끄려면 동일한 프로시저를 수행하지만 3 단계에서 -sf 옵션을 지정하지 않고 MQXR 서비스를 시작하십시오.

    이 프로세스를 마이그레이션하려면 일반 텍스트 비밀번호 문구를 암호화된 비밀번호 문구로 마이그레이션을 참조하십시오.

    주의: MQXR은 여전히 일반 텍스트 비밀번호 문구를 지원하지만 엔터프라이즈에서 모든 MQTT TLS 채널 비밀번호 문구를 암호화해야 합니다.