Crittografia delle passphrase per i canali MQTT TLS

È possibile codificare le passphrase per i MQTT canali TLS con l'opzione STARTARG del servizio MQXR -sf.

Informazioni su questa attività

Quando un canale viene creato o modificato, la passphrase viene crittografata utilizzando un file di chiavi delle credenziali. Questo file di chiavi viene specificato utilizzando l'opzione -sf nel parametro STARTARG quando si definisce il servizio MQXR. Le passphrase codificate vengono memorizzate nel file delle proprietà specifico della piattaforma, mqxr_win.properties o mqxr_unix.properties.

Questa attività presuppone che un servizio MQXR sia definito sul proprio sistema. È possibile configurare il servizio MXQR, inclusi i passi per specificare un file di chiavi delle credenziali, utilizzando i seguenti argomenti:

Procedura

  1. Assicurati di conoscere le passphrase per ogni MQTT canale TLS.
  2. Arrestare il servizio MQXR SYSTEM.MQXR.SERVICE:
    1. Nella vista Navigator , selezionare la cartella Servizi .
    2. Fare clic con il tasto destro del mouse su SYSTEM.MQXR.SERVICE , quindi fare clic su Arresta.
  3. Modificare il servizio MQXR SYSTEM.MQXR.SERVICE per aggiungere l'opzione STARTARG -sf e fornire il file di chiavi credenziali da utilizzare per la codifica:
    1. Fare clic con il tasto destro del mouse su SYSTEM.MQXR.SERVICE e fare clic su Proprietà.
    2. Nel campo Argomenti iniziali , modificare il testo per aggiungere l'opzione -sf .
      Ad esempio, su Windows, per crittografare le passphrase con una chiave definita dall'utente memorizzata in c:\keyfile.txt, modificare il testo nel testo seguente:
      STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
      -sf "c:\keyfile.txt"')
      Ad esempio, per codificare le passphrase utilizzando la chiave DEFAULT, modificare il testo nel seguente testo:
      STARTARG('-m +QMNAME+ -d "+MQ_Q_MGR_DATA_PATH+" -g "+MQ_DATA_PATH+" 
      -sf "[DEFAULT]"')
      Notare che la parola DEFAULT deve essere racchiusa tra parentesi quadre, ovvero [DEFAULT].
      ATTENZIONE:
      La chiave iniziale predefinita è la stessa per tutte le installazioni IBM MQ . Per proteggere le password in modo sicuro, fornire una chiave iniziale univoca per l'installazione quando si codificano le password.
  4. Avviare il servizio MQXR SYSTEM.MQXR.SERVICE:
    1. Nella vista Navigator , selezionare la cartella Servizi .
    2. Fare clic con il tasto destro del mouse su SYSTEM.MQXR.SERVICE e fare clic su Avvia.
  5. Modificare le passphrase del canale TLS

    Farlo tramite IBM MQ Explorer oppure utilizzando il comando MQSC ALTER CHANNEL (MQTT).

    Le passphrase vengono codificate utilizzando il file di chiavi delle credenziali fornito dall'opzione -sf nel passo 3

  6. Avviare i canali per utilizzare la nuova passphrase crittografata.
    Note:
    • Nei passi precedenti, se non si modifica il canale dopo aver riavviato il servizio, l'avvio di un canale con una passphrase di testo semplice non riesce. Viene registrato un errore per indicare che la passphrase deve essere aggiornata.
    • Se si desidera disattivare la crittografia, eseguire la stessa procedura, ma nel passo 3 avviare il servizio MQXR senza specificare l'opzione -sf .