[MQ 9.3.0 2022년 6월]

MQTT TLS 채널에 대한 비밀번호 문구 암호화

MQXR 서비스 STARTARG 옵션(-sf-sp)을 사용하여 MQTT TLS 채널에 대한 비밀번호 문구를 암호화할 수 있습니다.

이 태스크 정보

-sf 옵션은 MQTT TLS 채널 비밀번호 문구의 암호화를 위한 신임 키 파일을 제공합니다. 편의를 위해 기본 키가 제공됩니다.

-sp 옵션은 보호 모드를 지정합니다. 보다 안전한 신임 정보 보호 방법을 사용하기 위해 기본값은 2입니다. 엔터프라이즈에서 사용하는 운영 체제에 따라 자세한 정보는 Linux에서 수동으로 MQXR 서비스 정의 또는 Windows에서 수동으로 MQXR 서비스 정의 를 참조하십시오.

채널이 작성되거나 변경될 때 비밀번호 문구는 -sf 옵션에 제공된 신임 정보 키 파일을 사용하여 암호화됩니다. 암호화된 비밀번호 문구는 플랫폼 특정 특성 파일 mqxr_win.properties 또는 mqxr_unix.properties에 저장됩니다.

플랫폼 특정 특성 파일에 저장된 암호화된 비밀번호 문구의 예:
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
기본 키를 사용하여 비밀번호 문구를 암호화하는 예:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
여기서 DEFAULT은(는) 비밀번호 문구의 암호화에 사용되는 기본 키를 의미합니다.
주의: DEFAULT 단어는 대괄호 (즉, [DEFAULT]) 로 묶어야 합니다.
keyfile.txt에서 사용자 정의 키를 사용하여 비밀번호 문구를 암호화하는 예제:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

Linux® 에서 SYSTEM.MQXR.SERVICE 작성Windows 에서 SYSTEM.MQXR.SERVICE 작성MQTT TLS 채널을 암호화하는 데 사용할 기본 키를 지정하도록 업데이트됩니다.

단계 목록을 수행하여 MQXR 서비스를 수동으로 정의할 수도 있습니다. 자세한 정보는 Windows에서 수동으로 MQXR 서비스 정의 Linux를 참조하십시오.

비밀번호 문구를 암호화하는 데 사용되는 신임 정보 키 파일을 변경하려면 다음 프로시저를 수행하십시오.

프로시저

  1. MQTT TLS 채널에 대한 비밀번호 문구를 알고 있는지 확인하십시오.
  2. MQXR 서비스 SYSTEM.MQXR.SERVICE를 중지하십시오.
  3. MQXR 서비스 SYSTEM.MQXR.SERVICE -STARTARG 옵션을 추가하고 -sf 암호화에 사용할 신임 정보 키 파일을 제공합니다.
    예를 들어, DEFAULT 키를 사용하여 비밀번호 문구를 암호화하려면 다음 명령을 실행하십시오.
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    마찬가지로 keyfile.txt에 있는 사용자 정의 키로 비밀번호 문구를 암호화하려면 다음 명령을 실행하십시오.
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. MQXR 서비스 SYSTEM.MQXR.SERVICE를 시작하십시오.
  5. TLS 채널 비밀번호 문구 변경하기

    IBM MQ Explorer을(를) 통해 또는 MQSC ALTER CHANNEL (MQTT) 명령을 사용하여 수행하십시오.

    비밀번호 문구는 3 단계의 -sf 옵션에서 제공하는 신임 정보 키 파일을 사용하여 암호화됩니다.

  6. 새 암호화된 비밀번호 문구를 사용하려면 채널을 시작하십시오.
    참고:
    • 이전 단계에서 서비스를 재시작한 후 채널을 변경하지 않으면 일반 텍스트 비밀번호가 있는 채널이 시작되지 않습니다. 비밀번호 문구를 업데이트해야 함을 표시하는 오류가 로깅됩니다.
    • 암호화를 끄려면 동일한 프로시저를 수행하지만 3 단계에서 -sf 옵션을 지정하지 않고 MQXR 서비스를 시작하십시오.

    이 프로세스를 마이그레이션하려면 일반 텍스트 비밀번호 문구를 암호화된 비밀번호 문구로 마이그레이션을 참조하십시오.

    주의: MQXR은 여전히 일반 텍스트 비밀번호 문구를 지원하지만 엔터프라이즈의 모든 MQTT TLS 채널 비밀번호 문구를 암호화해야 합니다.