Struktur der Keystore-Konfigurationsdatei (keystore.conf) für AMS

Die Keystore-Konfigurationsdatei (keystore.conf) verweist Advanced Message Security auf die Position des entsprechenden Keystores.

Wichtig: Im Keystore gespeicherte Informationen sind für den sicheren Datenfluss, der mithilfe von IBM® MQgesendet wird, von entscheidender Bedeutung. Sicherheitsadministratoren müssen besonders darauf achten, dass sie diesen Dateien Dateiberechtigungen zuordnen.

Typen von Konfigurationsdateien

Tabelle 1. Für jeden Konfigurationsdateityp erforderliches Präfix
Dateitypen Präfix Zweck Unterstützte Umgebungen
AMSCRED amscred. Parameter, die sich auf das Passwortschutzsystem beziehen Standardumgebung
CMS cms. Identifizieren von Zertifikaten im Zertifikatsmanagementsystem C-Clients und MCA-Interception auf verteilten Plattformen (mit Ausnahme von IBM i) verwenden das Präfix CMS, um den erforderlichen Speicherort KeyStore oder das Zertifikat für AMS
PKCS#11 pkcs11. Standard für kryptografische Token C-Clients und MCA-Interception auf verteilten Plattformen (mit Ausnahme von IBM i) unterstützen das Präfix PKCS#11, um den Standort KeyStore bereitzustellen, und Zertifikate für AMS Java - oder JMS -Clients können dieses Präfix auch in Umgebungen verwenden, die die Hardware oder Software PKCS#11-compliant erfordern KeyStores
[IBM i]PEM pem. Standardformat für die Speicherung von kryptografischen Schlüsseln und Zertifikaten C-Clients auf IBM i verwenden das PEM-Präfix, um den Speicherort des Schlüsselspeichers oder das Zertifikat anzugeben
JKS jks. Java KeyStore format für die Speicherung von kryptografischen Schlüsseln und Zertifikaten Ein Java - oder JMS -Client kann das JKS-Präfix verwenden, um die KeyStore für AMS
JCEKS jceks. Eine sicherere Java KeyStore, unterstützt eine stärkere Verschlüsselung Ein Java oder JMS Client kann das JCEKS-Präfix verwenden, um AMS
[IBM MQ Advanced VUE][z/OS]JCERACFKS jceracfks. Ein spezielles Keying KeyStore für das Sicherheitssystem RACF, das auf z/OS® Ein Java - oder JMS -Client auf einem z/OS -System verwendet dieses Präfix, um die RACF KeyStore für AMS

Beispielstrukturen für Keystores

CMS
cms.keystore = /dir/keystore_file
cms.certificate = certificate_label
PKCS#11
pkcs11.library = dir\cryptoki.dll
pkcs11.certificate = certificatelabel
pkcs11.token = tokenlabel
pkcs11.token_pin = tokenpin
pkcs11.secondary_keystore = dir\signers 
pkcs11.encrypted = no
[IBM i]PEM
pem.private = /dir/keystore_file_private_key
pem.public = /dir/keystore_file_public_keys
pem.password = password 
pem.encrypted = no
Java JKS
jks.keystore = dir/Keystore
jks.certificate = certificate_label
jks.encrypted = no
jks.keystore_pass = password
jks.key_pass = password
Java JCEKS
jceks.keystore = dir/Keystore
jceks.certificate = certificate_label
jceks.encrypted = no
jceks.keystore_pass = password
jceks.key_pass = password
Java JCERACFKS
jceracfks.keystore = safkeyring://user/keyring
jceracfks.certificate = certificate_label
Java PKCS#11
pkcs11.library = dir\cryptoki.dll
pkcs11.certificate = certificatelabel
pkcs11.token = tokenlabel
pkcs11.token_pin = tokenpin
pkcs11.secondary_keystore = dir\signers 
pkcs11.secondary_keystore_pass = password
pkcs11.encrypted = no

Parameter

Tabelle 2. Zusammenfassung der Parameter, die für die einzelnen Konfigurationsdatentypen erforderlich sind
Parameter Erforderlich Konfigurationsdatentyp
Java (PKCS#11, JKS, JCEKS und JCERACFks) [IBM i]PEM PKCS#11 CMS AMSCRED
keystore X X     X  
[IBM i]private X   [IBM i]X      
[IBM i]public X   [IBM i]X      
[IBM i]password X   [IBM i]X      
library X X   X    
certificate X X   X X  
token X X   X    
token_pin X X   X    
secondary_keystore X X   X    
secondary_keystore_password X X        
encrypted   X [IBM i]X X    
keystore_pass X X        
key_pass   X        
provider   X        
keyfile           X
[AIX, Linux, Windows][MQ 9.4.4 Oct 2025]fips   X   X X  
[AIX, Linux, Windows][MQ 9.4.4 Oct 2025]forceFipsOff         X  

Sie können Kommentare mit dem Symbol # hinzufügen.

Konfigurationsdateiparameter werden wie folgt definiert:
keystore
Nur CMS -und Java -Konfiguration.
Pfad zur Schlüsselspeicherdatei für die CMS-, JKS-und JCEKS-Konfiguration.

[IBM MQ Advanced VUE][z/OS]URI zum RACF Schlüsselbund für die JCERACFKS-Konfiguration.

Wichtig:
  • Der Pfad zu der Keystore-Datei darf die Dateierweiterung nicht enthalten.
  • [IBM MQ Advanced VUE][z/OS] Der URI zum RACF Schlüsselbund muss die Form haben:
    safkeyring://user/keyring
    Dabei gilt:
    • user die Benutzer-ID ist, zu der der Schlüsselring gehört
    • keyring der Schlüsselringname ist.
[IBM i]private
Nur PEM-Konfiguration.
Dateiname einer Datei, die den privaten Schlüssel und das Zertifikat im PEM-Format enthält.
[IBM i]public
Nur PEM-Konfiguration.
Dateiname einer Datei, die anerkannte öffentliche Zertifikate im PEM-Format enthält.
[IBM i]password
Nur PEM-Konfiguration.
Kennwort, das zum Entschlüsseln eines verschlüsselten privaten Schlüssels verwendet wird.
Sie sollten dieses Feld mit dem nativen AMS -Kennwortschutztool schützen (siehe Kennwörter schützen ).
library
Nur PKCS#11.
Pfadname der PKCS#11-Bibliothek.
certificate
Nur CMS-, PKCS#11 -und Java -Konfiguration.
Zertifikatsbezeichnung.
token
Nur PKCS#11.
Tokenkennsatz.
token_pin
Nur PKCS#11.
PIN zum Entsperren des Tokens.
Nur für Java -Operationen: Sie sollten dieses Feld mit dem Java AMS -Kennwortschutztool schützen (siehe Kennwörter schützen).
Nur für native Operationen: Sie sollten dieses Feld mit dem nativen AMS -Kennwortschutztool schützen (siehe Kennwörter schützen).
secondary_keystore
Nur PKCS#11.
Der Pfadname des CMS-Keystores, der ohne die Erweiterung ".kdb" bereitgestellt wird und Ankerzertifikate (Stammzertifikate) enthält, die für Zertifikate erforderlich sind, die im PKCS- #11-Token gespeichert sind. Der sekundäre Schlüsselspeicher kann auch Zertifikate enthalten, die in der Trust-Kette enthalten sind, sowie Zertifikate, die in der Datenschutzrichtlinie definiert sind. Dieser CMS-Schlüsselspeicher muss von einer Stashdatei begleitet werden, die sich in demselben Verzeichnis befinden muss wie der sekundäre Schlüsselspeicher.
Für Java -Umgebungen ist ein JKS-Schlüsselspeicher erforderlich und Sie müssen einen secondary_keystore_passwordbereitstellen.
secondary_keystore_password
Java Nur PKCS#11.
Kennwort für den JKS-Keystore, der über die Eigenschaft secondary_keystore bereitgestellt wird. Sie sollten dieses Feld mit dem Kennwortschutztool von Java AMS schützen (siehe Kennwörter schützen).
encrypted
Java und von IBM MQ 9.3.0, PKCS#11 und [IBM i]PEM nur.
Status des Kennworts.
keystore_pass
Nur Java -Konfiguration.
Kennwort für die Schlüsselspeicherdatei.
Nur für Java -Operationen. Sie sollten dieses Feld mit dem Kennwortschutztool von Java AMS schützen (siehe Kennwörter schützen).
key_pass
Nur Java -Konfiguration.
Kennwort für den privaten Schlüssel des Benutzers.
Nur für Java -Operationen: Sie sollten dieses Feld mit dem Java AMS -Kennwortschutztool schützen (siehe Kennwörter schützen).
keyfile
Gibt die Position des Anfangsschlüssels an, der beim Schützen oder Entschlüsseln von Kennwörtern verwendet werden soll, die in dieser Konfigurationsdatei enthalten sind (siehe Kennwörter schützen ).
provider
Nur Java -Konfiguration.
Der Java -Sicherheitsprovider, der Verschlüsselungsalgorithmen implementiert, die für das Keystore-Zertifikat erforderlich sind
[AIX, Linux, Windows][ MQ 9.4.4 Oct 2025]fips
Nur CMS-, PKCS#11 -und Java -Konfiguration.
Ermöglicht und erzwingt die FIPS-Anforderungen für kryptografische Operationen. Weitere Informationen finden Sie unter FIPS-Modus in AMS.
[AIX, Linux, Windows][ MQ 9.4.4 Oct 2025]forceFipsOff
CMS nur die Konfiguration.
Nur im MCA-Abhörmodus.
Verhindert, dass im Modus fips die Richtlinien automatisch aktualisiert werden, um die FIPS-Anforderungen zu erfüllen. Weitere Informationen finden Sie unter FIPS-Modus in AMS.
Wichtig: Im Keystore gespeicherte Informationen sind für den sicheren Datenfluss, der mithilfe von IBM MQgesendet wird, von entscheidender Bedeutung. Sicherheitsadministratoren müssen besonders darauf achten, dass sie diesen Dateien Dateiberechtigungen zuordnen.

Kennwörter schützen

Sie sollten die Kennwörter und andere sensible Informationen, die in der keystore.conf-Datei enthalten sind, schützen. Weitere Informationen finden Sie unter runamscred.

Beispiel für die keystore.conf-Datei:
# Native AMS application configuration
cms.keystore = c:\Documents and Settings\Alice\AliceKeystore
cms.certificate = AliceCert

# Java AMS application configuration
jceks.keystore = c:/Documents and Settings/Alice/AliceKeystore
jceks.certificate = AliceCert
jceks.encrypted = no
jceks.keystore_pass = passw0rd
jceks.key_pass = passw0rd