[MQ 9.3.0 Junho de 2022]

Criptografando passphrases para canais TLS MQTT

É possível criptografar passphrases para canais TLS MQTT com as opções do STARTARG de serviço MQXR, -sf e -sp.

Sobre esta tarefa

A opção -sf fornece um arquivo de chave de credenciais para criptografia de passphrases de canais TLS MQTT. Observe que, por conveniência, uma chave padrão é fornecida.

A opção -sp especifica o modo de proteção. O valor padrão é 2 para usar o método de proteção de credenciais mais seguro. Veja Definindo o serviço MQXR manualmente no Linux ou Definindo o serviço MQXR manualmente no Windows para obter mais informações, dependendo dos sistemas operacionais que sua empresa utiliza.

Ao criaro ou modificar um canal, as passphrases são criptografadas usando-se o arquivo de chaves de credenciais fornecido para a opção -sf. As passphrases criptografadas são armazenadas no arquivo de propriedades específicas da plataforma, mqxr_win.properties ou mqxr_unix.properties.

Exemplo de uma passphrase criptografada armazenada no arquivo de propriedades específicas da plataforma:
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
Exemplo para criptografar passphrases usando a chave padrão:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
em que DEFAULT significa que a chave padrão é usada para criptografia de passphrases.
Atenção: A palavra DEFAULT tem que ser enfechada com colchete quadrado, ou seja, [DEFAULT].
Exemplo para criptografar passphrases com uma chave definida pelo usuário em keyfile.txt:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

Criando o SYSTEM.MQXR.SERVICE no Linux®, e Criando o SYSTEM.MQXR.SERVICE no Windows são atualizados para especificar a chave padrão para usar para criptografar os canais TLS MQTT .

Você também pode definir o serviço MQXR manualmente executando uma lista de etapas. Para obter mais informações, consulte Definindo o serviço MQXR manualmente no Windows e Definindo o serviço MQXR manualmente no Linux.

Se você deseja mudar o arquivo de chave de credenciais usado para criptografar as passphrases, realize o procedimento a seguir.

Procedimento

  1. Certifique-se de que você conheça as frases passadas para cada canal TLS MQTT .
  2. Pare o serviço MQXR SYSTEM.MQXR.SERVICE.
  3. Alterar o serviço MQXR SYSTEM.MQXR.SERVICE para incluir a opção STARTARG -sf e fornecer o arquivo-chave de credenciais a ser usado para criptografia.
    Por exemplo, para criptografar passphrases usando a chave DEFAULT, emita o comando a seguir:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    De maneira similar, para criptografar passphrases com uma chave definida pelo usuário no keyfile.txt, emita o comando a seguir:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. Inicie o serviço MQXR SYSTEM.MQXR.SERVICE.
  5. Modifique as passphrases do canal TLS

    Faça isso através de IBM MQ Explorer, ou usando o comando MQSC ALTER CHANNEL (MQTT).

    Passfrases são criptografadas usando o arquivo de chaves de credenciais fornecido pela opção -sf na etapa 3

  6. Inicie os canais para usar a nova passphrase criptografada.
    Notas:
    • Nas etapas anteriores, se você não alterar o canal depois de reiniciar o serviço, o início de um canal com uma passphrase de texto sem formatação falhará. Um erro é registrado para indicar que a passphrase precisa ser atualizada.
    • Se você deseja desligar a criptografia, realize o mesmo procedimento, mas na etapa 3 inicie o serviço MQXR sem especificar a opção -sf .

    Para a migração deste processo, consulte Migrando passphrases de texto simples para passphrases criptografadas.

    Atenção: MQXR ainda suporta passphrase de texto simples, mas você deve criptografar todas as passfrases do canal TLS MQTT em sua empresa.