MQTT TLS チャネルのパスフレーズの暗号化

MQTT MQXR サービスの STARTARG オプション -sfを使用して、TLS チャネルのパスフレーズを暗号化できます。

本タスクについて

チャネルが作成または変更されると、パスフレーズは資格情報鍵ファイルを使用して暗号化されます。 この鍵ファイルは、MQXR サービスを定義するときに、STARTARG パラメーターの -sf オプションを使用して指定します。 暗号化されたパスフレーズは、プラットフォーム固有のプロパティー・ファイル ( mqxr_win.properties または mqxr_unix.properties) に保管されます。

このタスクは、ご使用のシステムで MQXR サービスが定義されていることを前提としています。 以下のトピックを使用して、資格情報鍵ファイルを指定する手順を含め、MXQR サービスを構成できます。

手順

  1. MQTT TLS チャネルのパスフレーズを把握しておく必要があります。
  2. MQXR サービスを停止します SYSTEM.MQXR.SERVICE:
    1. Navigator ビューで、 「サービス」 フォルダーをクリックします。
    2. SYSTEM.MQXR.SERVICE を右クリックして、 停止をクリックします。
  3. MQXR サービス SYSTEM.MQXR.SERVICE を変更して STARTARG オプション -sf を追加し、暗号化に使用する資格情報鍵ファイルを指定します。
    1. SYSTEM.MQXR.SERVICE を右クリックして、 プロパティをクリックします。
    2. 「開始引数」 フィールドで、テキストを編集して -sf オプションを追加します。
      例えば、 Windowsで、 c:\keyfile.txtに保管されているユーザー定義の鍵を使用してパスフレーズを暗号化するには、テキストを以下のテキストに編集します。
      STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
      -sf "c:\keyfile.txt"')
      例えば、DEFAULT 鍵を使用してパスフレーズを暗号化するには、テキストを以下のテキストに編集します。
      STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
      -sf "[DEFAULT]"')
      DEFAULT ワードは大括弧 ( [DEFAULT]) で囲む必要があることに注意してください。
      注意:
      デフォルトの初期鍵は、すべての IBM MQ インストール済み環境で同じです。 パスワードを安全に保護するには、パスワードを暗号化するときに、インストール済み環境に固有の初期鍵を指定します。
  4. MQXR サービス SYSTEM.MQXR.SERVICE:
    1. Navigator ビューで、 「サービス」 フォルダーをクリックします。
    2. SYSTEM.MQXR.SERVICE を右クリックして、 開始をクリックします。
  5. TLS チャネル・パスフレーズの変更

    これを行うには、 IBM MQ Explorer を使用するか、または MQSC ALTER CHANNEL (MQTT) コマンドを使用します。

    パスフレーズは、ステップ 3-sf オプションによって提供された資格情報鍵ファイルを使用して暗号化されます。

  6. チャネルを開始して、新しい暗号化パスフレーズを使用します。
    注:
    • 上記のステップでは、サービスの再始動後にチャネルを変更しないと、プレーン・テキスト・パスフレーズを使用したチャネルが開始に失敗します。 パスフレーズを更新する必要であることを示すエラーが記録されます。
    • 暗号化をオフにする場合は、同じ手順を実行します。ただし、ステップ 3 では、 -sf オプションを指定せずに MQXR サービスを開始します。