Criptografando passphrases para canais TLS MQTT

É possível criptografar passphrases para MQTT canais TLS com a opção MQXR Service STARTARG -sf.

Sobre esta tarefa

Quando um canal é criado ou alterado, a passphrase é criptografada usando um arquivo-chave de credenciais.. Esse arquivo-chave é especificado usando a opção -sf no parâmetro STARTARG quando você define o serviço MQXR As passphrases criptografadas são armazenadas no arquivo de propriedades específico da plataforma mqxr_win.properties ou mqxr_unix.properties.

Esta tarefa assume que um serviço MQXR está definido em seu sistema É possível configurar o serviço MXQR, incluindo as etapas para especificar um arquivo de chave de credenciais, usando os tópicos a seguir:

Procedimento

  1. Certifique-se de que você conheça as frases passadas para cada canal TLS MQTT .
  2. Pare o serviço MQXR SYSTEM.MQXR.SERVICE:
    1. Na visualização do Navigator , clique na pasta Serviços .
    2. Clique com o botão direito SYSTEM.MQXR.SERVICE e, em seguida, clique em Parar.
  3. Alterar o serviço MQXR SYSTEM.MQXR.SERVICE para incluir a opção STARTARG -sf e fornecer o arquivo-chave de credenciais a ser usado para criptografia:
    1. Clique com o botão direito SYSTEM.MQXR.SERVICE e, em seguida, clique em Propriedades.
    2. No campo Iniciar argumentos , edite o texto para incluir a opção -sf .
      Por exemplo, no Windows, para criptografar passphrases com uma chave definida pelo usuário que está armazenada no c:\keyfile.txt, edite o texto para o texto a seguir:
      STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
      -sf "c:\keyfile.txt"')
      Por exemplo, para criptografar passphrases usando a chave DEFAULT, edite o texto para o seguinte texto:
      STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
      -sf "[DEFAULT]"')
      Observe que a palavra DEFAULT deve ser colocada entre colchetes, ou seja [DEFAULT].
      CUIDADO:
      A chave inicial padrão é a mesma para todas as instalações do IBM MQ Para proteger senhas com segurança, forneça uma chave inicial que seja exclusiva para sua instalação ao criptografar senhas.
  4. Inicie o serviço MQXR SYSTEM.MQXR.SERVICE:
    1. Na visualização do Navigator , clique na pasta Serviços .
    2. Clique com o botão direito SYSTEM.MQXR.SERVICE e, em seguida, clique em Iniciar.
  5. Modifique as passphrases do canal TLS

    Faça isso através de IBM MQ Explorer, ou usando o comando MQSC ALTER CHANNEL (MQTT).

    Passfrases são criptografadas usando o arquivo de chaves de credenciais fornecido pela opção -sf na etapa 3

  6. Inicie os canais para usar a nova passphrase criptografada.
    Notas:
    • Nas etapas anteriores, se você não alterar o canal depois de reiniciar o serviço, o início de um canal com uma passphrase de texto sem formatação falhará. Um erro é registrado para indicar que a passphrase precisa ser atualizada.
    • Se você deseja desligar a criptografia, realize o mesmo procedimento, mas na etapa 3 inicie o serviço MQXR sem especificar a opção -sf .