AMS -Kennwortschutz für Konfigurationsdateien einrichten

Das Speichern von Schlüsselspeicherkennwörtern und Kennwörtern für private Schlüssel als Klartext stellt ein Sicherheitsrisiko dar, sodass Advanced Message Security ein Tool bereitstellt, das diese Kennwörter mithilfe eines Benutzerschlüssels verwürfeln kann.

Vorbereitungen

Der keystore.conf-Dateieigner muss sicherstellen, dass nur der Dateieigner berechtigt ist, die Datei zu lesen und in die Datei zu schreiben. Der in diesem Thema beschriebene Schutz von Kennwörtern ist nur ein zusätzliches Maß an Schutz. Darüber hinaus sollten Sie dieses Verfahren in einem sicheren System ausführen.
Stellen Sie sicher, dass Sie die richtige runamscred -Variante für den Typ des AMS -Clients verwenden, der die Konfigurationsdatei lesen wird. Wenn der AMS -Client ein:
  • Java, sollten Sie den Befehl ' Java ' runamscred verwenden, der sich in ' <IBM® MQ installation root>/java/bin befindet
  • MQI-Client, Sie sollten den MQI- runmqascred -Befehl verwenden, der sich im Verzeichnis <IBM MQ installation root>/bin befindet

Verfahren

  1. Bearbeiten Sie die keystore.conf -Dateien, um alle erforderlichen Informationen, einschließlich der Kennwörter, die geschützt werden müssen, einzuschließen. 
    jceks.keystore = c:/Documents and Settings/Alice/AliceKeystore
jceks.certificate = AliceCert
jceks.encrypted = no
jceks.keystore_pass = passw0rd
jceks.key_pass = passw0rd
jceks.provider = IBMJCE
  2. Legen Sie den Verschlüsselungsschlüssel zum Verschlüsseln der Kennwörter in einer Datei ab, auf die der Benutzer zugreifen kann, der die Datei keystore.conf schützt.
    Dieser Schlüssel muss derselbe Schlüssel sein, der später vom AMS -Client verwendet wird:
    ThisIsAnExampleEncryptionKey
  3. Führen Sie den Befehl runamscred aus, um die Datei keystore.conf mit der Verschlüsselungsschlüsseldatei zu schützen.
    runamscred -f <location of keystore.conf> -sf <location of encryption keyfile>
  4. Überprüfen Sie, ob die Datei keystore.conf geschützt wurde und verschlüsselte Kennwörter enthält.

Beispiel

Das folgende Beispiel zeigt, wie eine geschützte keystore.conf-Datei aussieht:
jceks.keystore = c:/Documents and Settings/Alice/AliceKeystore
jceks.certificate = AliceCert
jceks.encrypted = yes
jceks.keystore_pass = 
<AMS>1!62K/a4RinT+bks4RjFWx4A==!Vhi/RjIN2FH5qStUJ/0hsgKyn2IdMuhanemRRDrJq
HM=
jceks.key_pass = 
<AMS>1!qmnxY++rsOUtZfDSgwcR1g==!VmWVREdVkNp1xYJstvuW64ph5vxxf7SPoqtsXxYh2
Tk=
jceks.provider = IBMJCE