[MQ 9.3.0 Jun 2022]

Verschlüsselung von Kennphrasen für MQTT-TLS-Kanäle

Kennphrasen für MQTT-TLS-Kanäle können mit den STARTARG-Optionen -sf und -sp des MQXR-Service verschlüsselt werden.

Informationen zu dieser Task

Die Option -sf stellt eine Schlüsseldatei mit den Berechtigungsnachweisen für die Verschlüsselung von MQTT-TLS-Kanalkennphrasen bereit. Beachten Sie, dass zur Erleichterung ein Standardschlüssel bereitgestellt wird.

Dabei gibt die Option -sp den Schutzmodus an. Der Standardwert ist 2, um die sicherere Schutzmethode mit Berechtigungsnachweisen zu verwenden. Weitere Informationen zu den von Ihrem Unternehmen verwendeten Betriebssystemen finden Sie unter MQXR-Service manuell unter Linux oder MQXR-Service manuell unter Windows definieren .

Wenn ein Kanal erstellt oder geändert wird, werden die Kennphrasen mithilfe der Berechtigungsnachweisschlüsseldatei verschlüsselt, die für die Option -sf bereitgestellt wird. Verschlüsselte Kennphrasen werden in der plattformspezifischen Eigenschaftendatei mqxr_win.properties oder mqxr_unix.properties gespeichert.

Beispiel für eine verschlüsselte Kennphrase, die in der plattformspezifischen Eigenschaftendatei gespeichert ist:
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
Beispiel für die Verschlüsselung von Kennphrasen mit dem Standardschlüssel:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
Dabei bedeutet DEFAULT, dass zur Verschlüsselung von Kennphrasen der Standardschlüssel verwendet wird.
Achtung: Das Wort DEFAULT muss in eckige Klammern eingeschlossen werden, d. h. [DEFAULT].
Beispiel für die Verschlüsselung von Kennphrasen mit einem benutzerdefinierten Schlüssel in keyfile.txt:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

SYSTEM.MQXR.SERVICE unter Linux®erstellen und SYSTEM.MQXR.SERVICE unter Windowserstellen werden aktualisiert, um den Standardschlüssel anzugeben, der für die Verschlüsselung von MQTT -TLS-Kanälen verwendet werden soll.

Sie können den MQXR-Service durch die Ausführung einiger Schritte auch manuell definieren. Weitere Informationen finden Sie unter MQXR-Service manuell unter Windows definieren und MQXR-Service manuell unter Linux.

Wenn Sie die Berechtigungsnachweisschlüsseldatei ändern möchten, die für die Verschlüsselung der Kennphrasen verwendet wird, führen Sie die folgende Prozedur aus.

Verfahren

  1. Stellen Sie sicher, dass Sie die Kennphrasen für jeden MQTT -TLS-Kanal kennen.
  2. Stoppen Sie den MQXR-Service SYSTEM.MQXR.SERVICE.
  3. Ändern Sie den MQXR-Service SYSTEM.MQXR.SERVICE zum Hinzufügen der STARTARG-Option -sf und zum Bereitstellen der Schlüsseldatei für Berechtigungsnachweise, die für die Verschlüsselung verwendet wird.
    Geben Sie zum Beispiel den folgenden Befehl aus, um Kennphrasen mit dem Schlüssel DEFAULT zu verschlüsseln:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    Geben Sie analog dazu den folgenden Befehl aus, um Kennphrasen mit einem benutzerdefinierten Schlüssel in der Datei keyfile.txt zu verschlüsseln:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. Starten Sie den MQXR-Service SYSTEM.MQXR.SERVICE.
  5. Kennphrasen für den TLS-Kanal ändern

    Verwenden Sie dazu IBM MQ Explorer oder den MQSC-Befehl ALTER CHANNEL (MQTT).

    Kennphrasen werden unter Verwendung der Schlüsseldatei für Berechtigungsnachweise verschlüsselt, die von der Option -sf in Schritt 3 bereitgestellt wird

  6. Starten Sie die Kanäle, um die neue verschlüsselte Kennphrase zu verwenden.
    Hinweise:
    • Wenn Sie in den vorherigen Schritten den Kanal nach dem Neustart des Service nicht ändern, wird ein Kanal mit einer Klartextkennphrase nicht gestartet. Es wird ein Fehler protokolliert, der angibt, dass die Kennphrase aktualisiert werden muss.
    • Wenn Sie die Verschlüsselung inaktivieren möchten, führen Sie die gleiche Prozedur aus, aber starten Sie in Schritt 3 den MQXR-Service ohne Angabe der Option -sf .

    Informationen zur Migration dieses Prozesses finden Sie in Migration von Klartextkennphrasen auf verschlüsselte Kennphrasen.

    Achtung: MQXR unterstützt weiterhin die Klartextkennphrase, aber Sie sollten alle Kennphrasen des MQTT -TLS-Kanals in Ihrem Unternehmen verschlüsseln.