[MQ 9.3.0 Jun 2022]

加密 MQTT TLS 通道的通行詞組

您可以使用 MQXR 服務 STARTARG 選項 -sf-sp 來加密 MQTT TLS 通道的通行詞組。

關於此作業

-sf 選項提供用於加密 MQTT TLS 通道通行詞組的認證金鑰檔。 請注意,為了方便,提供了預設金鑰。

-sp 選項指定保護模式。 預設值為 2 以使用更安全的認證保護方法。 如需相關資訊,請參閱 在 Linux在 Windows 上手動定義 MQXR 服務 ,視您企業使用的作業系統而定。

當建立或變更通道時,會使用提供給 -sf 選項的認證金鑰檔來加密通行詞組。 加密通行詞組儲存在平台專用內容檔 mqxr_win.propertiesmqxr_unix.properties 中。

儲存在平台專用內容檔中的加密通行詞組範例:
com.ibm.mq.MQXR.channel.SSL.PassPhrase=<MQXR>2!kvAzYv/1aCMfSQ5igkFVmQ==
!f4rX5KL7aFKHJl7Ln0X+OQ==
使用預設金鑰加密通行詞組的範例:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "[DEFAULT]"')
其中 DEFAULT 表示用於加密通行詞組的預設金鑰。
注意: DEFAULT 單字必須以方括弧括住,即 [DEFAULT]
keyfile.txt 中加密具有使用者定義金鑰的通行詞組的範例:
STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
-sf "c:\pathOfKeyfile\keyfile.txt"')

已更新 Linux®上建立 SYSTEM.MQXR.SERVICEWindows上建立 SYSTEM.MQXR.SERVICE ,以指定用於加密 MQTT TLS 通道的預設金鑰。

也可以透過執行一系列步驟,來手動定義 MQXR 服務。 如需相關資訊,請參閱 在 Windows 上手動定義 MQXR 服務在 Linux

如果您要變更用於加密通行詞組的認證金鑰檔,請執行下列程序。

程序

  1. 確定您知道每一個 MQTT TLS 通道的通行詞組。
  2. 停止 MQXR 服務 SYSTEM.MQXR.SERVICE。
  3. 變更 MQXR 服務 SYSTEM.MQXR.SERVICE 以新增 STARTARG 選項 -sf ,並提供要用於加密的認證金鑰檔。
    例如,若要使用 DEFAULT 金鑰來加密通行詞組,請發出下列指令:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "[DEFAULT]"')
    同樣地,若要使用 keyfile.txt 中使用者定義的金鑰來加密通行詞組,請發出下列指令:
    STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
    -sf "c:\pathToKeyfile\keyfile.txt"')
  4. 啟動 MQXR 服務 SYSTEM.MQXR.SERVICE。
  5. 變更 TLS 通道通行詞組

    透過 IBM MQ Explorer 或使用 MQSC ALTER CHANNEL (MQTT) 指令來執行此動作。

    使用步驟 3-sf 選項所提供的認證金鑰檔來加密通行詞組

  6. 啟動通道以使用新的加密通行詞組。
    附註:
    • 在前述步驟中,如果您在重新啟動服務之後不變更通道,則具有純文字通行詞組的通道無法啟動。 會記載錯誤,指出需要更新通行詞組。
    • 如果您要關閉加密,請執行相同的程序,但在步驟 3 中啟動 MQXR 服務,而不指定 -sf 選項。

    如需此處理程序的移轉,請參閱將純文字通行詞組移轉至加密的通行詞組

    注意: MQXR 仍支援純文字通行詞組,但您應該加密企業中的所有 MQTT TLS 通道通行詞組。