[MQ 9.3.0 Jun 2022]

MQTT TLS チャネルのパスフレーズの暗号化

MQTT TLS チャネルのパスフレーズは、MQXR サービス STARTARG オプションである -sf-sp を使用して暗号化できます。

本タスクについて

-sf オプションは、MQTT TLS チャネル・パスフレーズの暗号化用に資格情報鍵ファイルを提供します。 なお、便宜上、デフォルトのキーが用意されています。

-sp オプションは保護モードを指定します。 デフォルト値は 2 で、よりセキュアな資格情報保護方式を使用します。 企業で使用しているオペレーティング・システムに応じて、詳細については、 Linux または Windows での MQXR サービスの手動定義 を参照してください。

チャネルが作成または変更されると、-sf オプション用に提供されている資格情報鍵ファイルを使用してパスフレーズが暗号化されます。 暗号化されたパスフレーズはプラットフォーム固有のプロパティー・ファイル mqxr_win.properties または mqxr_unix.properties に保管されます。

プラットフォーム固有のプロパティー・ファイルに格納されている暗号化されたパスフレーズの例を以下に示します。
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
デフォルト・キーを使用してパスフレーズを暗号化する例を以下に示します。
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
DEFAULT は、パスフレーズの暗号化にデフォルトの鍵が使用されることを意味します。
重要: DEFAULT ワードは、大括弧 ( [DEFAULT]) で囲む必要があります。
keyfile.txt でユーザー定義の鍵を使用してパスフレーズを暗号化する例:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

Linux® での SYSTEM.MQXR.SERVICE の作成および Windows での SYSTEM.MQXR.SERVICE の作成 が更新され、 MQTT TLS チャネルの暗号化に使用するデフォルト鍵が指定されるようになりました。

ステップのリストを実行することによって、手動で MQXR サービスを定義することもできます。 詳しくは、 Windows での MQXR サービスの手動定義 および Linuxを参照してください。

パスフレーズの暗号化に使用する資格情報鍵ファイルを変更する場合は、以下の手順で行います。

手順

  1. MQTT TLS チャネルのパスフレーズを把握しておく必要があります。
  2. MQXR サービス SYSTEM.MQXR.SERVICE を停止します。
  3. MQXR サービスの変更 SYSTEM.MQXR.SERVICE STARTARG オプションを追加し、 -sf 暗号化に使用する資格情報鍵ファイルを指定します。
    例えば、デフォルト・キーを使用してパスフレーズを暗号化するには、以下のコマンドを発行します。
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    同様に、keyfile.txt でユーザー定義キーを使用してパスフレーズを暗号化するには、以下のコマンドを発行します。
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. MQXR サービス SYSTEM.MQXR.SERVICE を開始します。
  5. TLS チャネル・パスフレーズの変更

    これを行うには、 IBM MQ Explorer を使用するか、または MQSC ALTER CHANNEL (MQTT) コマンドを使用します。

    パスフレーズは、ステップ 3-sf オプションによって提供された資格情報鍵ファイルを使用して暗号化されます。

  6. チャネルを開始して、新しい暗号化パスフレーズを使用します。
    注:
    • 上記のステップでは、サービスの再始動後にチャネルを変更しないと、プレーン・テキスト・パスフレーズを使用したチャネルが開始に失敗します。 パスフレーズを更新する必要であることを示すエラーが記録されます。
    • 暗号化をオフにする場合は、同じ手順を実行します。ただし、ステップ 3 では、 -sf オプションを指定せずに MQXR サービスを開始します。

    このプロセスのマイグレーションについては、暗号化されたパスフレーズへのプレーン・テキスト・パスフレーズのマイグレーションを参照してください。

    重要: MQXR は引き続きプレーン・テキストのパスフレーズをサポートしますが、企業内のすべての MQTT TLS チャネル・パスフレーズを暗号化する必要があります。