[MQ 9.3.0 czerwiec 2022]

Szyfrowanie haseł dla kanałów TLS MQTT

Za pomocą opcji STARTARG usługi MQXR, -sf i -sp, można zaszyfrować hasła dla kanałów TLS MQTT TLS.

Informacje o zadaniu

Opcja -sf udostępnia plik kluczy danych uwierzytelniających do szyfrowania haseł kanału MQTT TLS. Należy pamiętać, że dla ułatwienia jest udostępniony klucz domyślny.

Opcja -sp określa tryb ochrony. Wartością domyślną jest 2, co oznacza użycie bardziej zabezpieczonej metody ochrony referencji. Więcej informacji można znaleźć w sekcji Definiowanie ręcznie usługi MQXR w systemie Linux lub Definiowanie usługi MQXR ręcznie w systemie Windows , w zależności od systemów operacyjnych używanych przez przedsiębiorstwo.

Po utworzeniu lub zmodyfikowaniu kanału hasła są szyfrowane przy użyciu pliku kluczy danych uwierzytelniających udostępnionego dla opcji -sf. Zaszyfrowane hasła są zapisywane w pliku właściwości specyficznym dla platformy: mqxr_win.properties lub mqxr_unix.properties.

Przykład zaszyfrowanego hasła przechowywanego w pliku właściwości specyficznym dla platformy:
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
Przykład szyfrowania hasła za pomocą klucza domyślnego:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
gdzie DEFAULT oznacza, że do szyfrowania haseł jest używany klucz domyślny.
Uwaga: Słowo DEFAULT musi być zamknięte z kwadratowym nawiasem kwadratowym, czyli [DEFAULT].
Przykład szyfrowania haseł za pomocą klucza zdefiniowanego przez użytkownika w pliku keyfile.txt:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

Tworzenie SYSTEM.MQXR.SERVICE w systemie Linux®oraz Tworzenie SYSTEM.MQXR.SERVICE w systemie Windows są aktualizowane w celu określenia domyślnego klucza, który ma być używany do szyfrowania kanałów MQTT TLS.

Usługę MQXR można także zdefiniować ręcznie, wykonując czynności z listy. Więcej informacji na ten temat zawiera sekcja Definiowanie ręcznie usługi MQXR w systemie Windows i Ręczne definiowanie usługi MQXR w systemie Linux.

Aby zmienić plik kluczy danych uwierzytelniających używany do szyfrowania haseł, należy wykonać poniższą procedurę.

Procedura

  1. Upewnij się, że znasz frazę hasła dla każdego kanału MQTT TLS.
  2. Zatrzymaj usługę MQXR SYSTEM.MQXR.SERVICE.
  3. Zmień usługę MQXR SYSTEM.MQXR.SERVICE w celu dodania opcji STARTARG -sf i podaj plik kluczy referencji, który ma być używany do szyfrowania.
    Na przykład, aby zaszyfrować hasła przy użyciu klucza DEFAULT, należy wprowadzić następującą komendę:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    Podobnie, aby zaszyfrować hasła za pomocą klucza zdefiniowanego przez użytkownika w pliku keyfile.txt, należy wywołać następującą komendę:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. Uruchom usługę MQXR SYSTEM.MQXR.SERVICE.
  5. Zmień hasło kanału TLS

    W tym celu użyj komendy IBM MQ Explorer lub komendy MQSC ALTER CHANNEL (MQTT).

    Frazy hasła są szyfrowane przy użyciu pliku kluczy informacji autoryzacyjnych udostępnionego przez opcję -sf w kroku 3 .

  6. Uruchom kanały, aby użyć nowych zaszyfrowanych haseł.
    Uwagi:
    • W poprzednich krokach, jeśli kanał nie zostanie zmieniony po zrestartowaniu usługi, uruchomienie kanału z hasłem zapisanym w postaci zwykłego tekstu nie powiedzie się. Rejestrowany jest błąd wskazujący, że hasło wymaga aktualizacji.
    • Jeśli chcesz wyłączyć szyfrowanie, wykonaj tę samą procedurę, ale w kroku 3 uruchom usługę MQXR bez określania opcji -sf .

    Informacje na temat migracji tego procesu znajdują się w sekcji Migrowanie haseł w postaci zwykłego tekstu do haseł zaszyfrowanych.

    Uwaga: Program MQXR nadal obsługuje frazę jawnego tekstu, ale należy zaszyfrować wszystkie hasła kanału TLS w produkcie MQTT w przedsiębiorstwie.