[MQ 9.3.0 Jun 2022]

Chiffrement des passphrases pour les canaux MQTT TLS

Vous pouvez chiffrer les passphrases pour les canaux TLS MQTT avec les options de service MQXR STARTARG, -sf et -sp.

A propos de cette tâche

L'option -sf fournit un fichier de clés de données d'identification pour le chiffrement des passphrases de canal TLS MQTT. Notez que, pour des raisons de commodité, une clé par défaut est fournie.

L'option -sp indique le mode de protection. La valeur par défaut est 2 pour utiliser la méthode de protection des données d'identification plus sécurisée. Voir Définition manuelle du service MQXR sous Linux ou Définition manuelle du service MQXR sous Windows pour plus d'informations, en fonction des systèmes d'exploitation utilisés par votre entreprise.

Lorsqu'un canal est créé ou modifié, les phrases de passe sont chiffrées à l'aide du fichier de clés de données d'identification fourni pour l'option -sf. Les phrases de passe chiffrées sont conservées dans le fichier de propriétés spécifique à la plateforme, mqxr_win.properties ou mqxr_unix.properties.

Exemple de phrase de passe chiffrée conservée dans le fichier de propriétés spécifique à la plateforme :
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
Exemple de chiffrement de phrases de passe à l'aide de la clé par défaut :
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
DEFAULT signifie que la clé par défaut est utilisée pour le chiffrement des phrases de passe.
Attention: le mot DEFAULT doit être placé entre crochets, c'est-à-dire [DEFAULT].
Exemple de chiffrement de phrases de passe avec une clé définie par l'utilisateur dans keyfile.txt :
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

La création du SYSTEM.MQXR.SERVICE sur Linux®et la création du SYSTEM.MQXR.SERVICE sur Windows sont mises à jour pour spécifier la clé par défaut à utiliser pour le chiffrement des canaux TLS MQTT .

Vous pouvez également définir le service MQXR manuellement en exécutant une liste d'étapes. Pour plus d'informations, voir Définition manuelle du service MQXR sous Windows et Définition manuelle du service MQXR sous Linux.

Si vous souhaitez modifier le fichier de clés de données d'identification utilisé pour le chiffrement des phrases de passe, procédez comme de la manière suivante.

Procédure

  1. Vérifiez que vous connaissez les phrases passe de chaque canal TLS MQTT .
  2. Arrêtez le service MQXR SYSTEM.MQXR.SERVICE.
  3. Modifier le service MQXR SYSTEM.MQXR.SERVICE pour ajouter l'option STARTARG -sf et fournir le fichier de clés de données d'identification à utiliser pour le chiffrement.
    Par exemple, pour chiffrer des phrases de passe à l'aide de la touche DEFAULT, envoyez la commande suivante :
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    De même, pour chiffrer les phrases de passe avec une clé définie par l'utilisateur dans keyfile.txt, envoyez la commande suivante :
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. Démarrez le service MQXR SYSTEM.MQXR.SERVICE.
  5. Modifiez les passphrases de canal TLS

    Exécutez cette commande via IBM MQ Explorerou à l'aide de la commande MQSC MODIFICATION DU CANAL (MQTT).

    Les phrases passe sont chiffrées à l'aide du fichier de clés de données d'identification fourni par l'option -sf à l'étape 3

  6. Démarrez les canaux pour utiliser la nouvelle phrase de passe chiffrée.
    Remarques:
    • Dans les étapes précédentes, si vous ne modifiez pas le canal après le redémarrage du service, un canal avec une phrases de passe en texte en clair ne permettra pas son lancement. Une erreur sera ajoutée au journal pour indiquer que la phrase de passe doit être mise à jour.
    • Si vous souhaitez désactiver le chiffrement, exécutez la même procédure, mais à l'étape 3 , démarrez le service MQXR sans spécifier l'option -sf .

    Pour la migration de ce processus, voir Migration de passphrases de texte brut vers des passphrases chiffrées.

    Attention: MQXR prend toujours en charge la phrase passe en texte en clair, mais vous devez chiffrer toutes les phrases passe de canal TLS MQTT dans votre entreprise.