MQTT TLS 通道的口令进行加密

您可以使用 MQXR 服务 STARTARG 选项 -sfMQTT TLS 通道的口令进行加密。

关于本任务

创建或变更通道时,将使用凭证密钥文件对口令进行加密。 此密钥文件是在定义 MQXR 服务时使用 STARTARG 参数中的 -sf 选项指定的。 加密口令存储在特定于平台的属性文件 mqxr_win.propertiesmqxr_unix.properties中。

此任务假定在系统上定义了 MQXR 服务。 您可以使用以下主题来配置 MXQR 服务,包括指定凭证密钥文件的步骤:

过程

  1. 确保您知道每个 MQTT TLS 通道的口令。
  2. 停止 MQXR 服务 SYSTEM.MQXR.SERVICE:
    1. 在 " Navigator " 视图中,单击 服务 文件夹。
    2. 右键单击 SYSTEM.MQXR.SERVICE ,然后单击 停止
  3. 改变 MQXR 服务 SYSTEM.MQXR.SERVICE ,用于添加 STARTARG 选项 -sf 并提供要用于加密的凭证密钥文件:
    1. 右键单击 SYSTEM.MQXR.SERVICE ,然后单击 属性
    2. 启动自变量 字段中,编辑文本以添加 -sf 选项。
      例如,在 Windows上,要使用存储在 c:\keyfile.txt中的用户定义的密钥加密口令,请将文本编辑为以下文本:
      STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
      -sf "c:\keyfile.txt"')
      例如,要使用 DEFAULT 密钥对口令进行加密,请将文本编辑为以下文本:
      STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
      -sf "[DEFAULT]"')
      请注意, DEFAULT 字必须用方括号括起来,即 [DEFAULT]
      警告:
      所有 IBM MQ 安装的缺省初始密钥都相同。 要安全地保护密码,请在加密密码时提供对安装唯一的初始密钥。
  4. 启动 MQXR 服务 SYSTEM.MQXR.SERVICE:
    1. 在 " Navigator " 视图中,单击 服务 文件夹。
    2. 右键单击 SYSTEM.MQXR.SERVICE ,然后单击 启动
  5. 更改 TLS 通道口令

    通过 IBM MQ Explorer 或者使用 MQSC ALTER CHANNEL (MQTT) 命令来执行此操作。

    使用步骤 3 中的 -sf 选项提供的凭证密钥文件对口令进行加密

  6. 启动通道以使用新的加密口令。
    备注信息:
    • 在上述步骤中,如果在重新启动服务后不改变通道,那么使用纯文本口令的通道将无法启动。 记录错误以指示需要更新口令。
    • 如果要关闭加密,请执行相同的过程,但在步骤 3 中,请启动 MQXR 服务而不指定 -sf 选项。