![[MQ 9.3.0 Jun 2022]](ng930.gif)
MQTT TLS チャネルのパスフレーズの暗号化
MQTT TLS チャネルのパスフレーズは、MQXR サービス STARTARG オプションである -sf と -sp を使用して暗号化できます。
本タスクについて
-sf オプションは、MQTT TLS チャネル・パスフレーズの暗号化用に資格情報鍵ファイルを提供します。 なお、便宜上、デフォルトのキーが用意されています。
-sp オプションは保護モードを指定します。 デフォルト値は 2 で、よりセキュアな資格情報保護方式を使用します。 企業で使用しているオペレーティング・システムに応じて、詳細については、 Linux または Windows での MQXR サービスの手動定義 を参照してください。
チャネルの作成や変更の際には、-sf オプションで指定した資格情報鍵ファイルを使ってパスフレーズを暗号化します。 暗号化されたパスフレーズは、プラットフォーム固有のプロパティー・ファイル ( mqxr_win.properties または mqxr_unix.properties) に格納されます。
プラットフォーム固有のプロパティー・ファイルに格納されている暗号化されたパスフレーズの例を以下に示します。
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
デフォルト・キーを使用してパスフレーズを暗号化する例を以下に示します。
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+"
-sf "[DEFAULT]"')
ここで、DEFAULT
は、パスフレーズの暗号化にデフォルト・キーが使用されることを意味します。重要:
DEFAULT
ワードは、大括弧 ( [DEFAULT]
) で囲む必要があります。keyfile.txt内のユーザー定義のキーを使用してパスフレーズを暗号化する例を以下に示します。
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+"
-sf "c:\pathOfKeyfile\keyfile.txt"')
Linux® での SYSTEM.MQXR.SERVICE
の作成および Windows での SYSTEM.MQXR.SERVICE
の作成 が更新され、 MQTT TLS チャネルの暗号化に使用するデフォルト鍵が指定されるようになりました。
ステップのリストを実行することによって、手動で MQXR サービスを定義することもできます。 詳しくは、 Windows での MQXR サービスの手動定義 および Linuxを参照してください。
パスフレーズの暗号化に使用する資格情報鍵ファイルを変更する場合は、以下の手順で行います。