[AIX, Linux, Windows]

Kennwort des Schlüsselrepositorys für einen WS-Manager unter AIX, Linux, and Windows bereitstellen

Da das Schlüsselrepository sensible Informationen enthält, ist es mit einem Kennwort geschützt. Um auf den Inhalt des Schlüsselrepositorys zugreifen zu können, um TLS-Operationen auszuführen, muss IBM® MQ in der Lage sein, das Kennwort des Schlüsselrepositorys abzurufen.

IBM MQ stellt zwei Mechanismen zur Bereitstellung des Kennworts für das Schlüsselrepository für einen Warteschlangenmanager bereit:

Wenn Sie keine Stashdatei für das Schlüsselrepository verwenden, wird das Kennwort für das Schlüsselrepository mit dem Kennwortschutzsystem IBM MQ verschlüsselt. Weitere Informationen zu den Methoden zum Schutz des Schlüsselrepositorykennworts finden Sie unter Verschlüsseln von Schlüsselrepositorykennwörtern unter AIX, Linuxund Windows.

[Veraltet][ MQ 9.4.0 Jun 2024]Hinweis : Von IBM MQ 9.4.0 wird die Verwendung von Stash-Dateien mit IBM MQ Java -Anwendungen nicht mehr empfohlen.
[ MQ 9.4.0 Jun 2024][ MQ 9.4.0 Jun 2024]Wichtig : Von IBM MQ 9.4.0 werden Stash-Dateien nicht von AMQP- und MQTT-Kanälen unterstützt, die TLS verwenden.

Attribut KEYRPWD

Wenn Sie ein Kennwort für das Schlüsselrepository direkt an den Warteschlangenmanager übergeben möchten, führen Sie den folgenden MQSC-Befehl aus und ersetzen Sie Kennwort durch Ihr Kennwort für das Schlüsselrepository:
ALTER QMGR KEYRPWD('password')
Achtung: Stellen Sie sicher, dass Sie das Kennwort in einfache Anführungszeichen setzen. Andernfalls konvertiert IBM MQ die Zeichen in Großbuchstaben.

Wenn mit dieser Methode ein Kennwort für das Schlüsselrepository angegeben wird, wird das Kennwort vor dem Speichern mithilfe des IBM MQ -Kennwortschutzsystems verschlüsselt.

Zum Verschlüsseln des Kennworts wird ein Verschlüsselungsschlüssel verwendet, der als Anfangsschlüssel bezeichnet wird. Legen Sie fest, dass der Warteschlangenmanager einen eindeutigen Anfangsschlüssel verwendet, um das Kennwort sicher zu schützen. Wenn Sie keinen Anfangsschlüssel angeben, wird der Standardschlüssel verwendet.

Stellen Sie sicher, dass der Warteschlangenmanager mit einem eindeutigen Anfangsschlüssel konfiguriert ist, bevor Sie das Kennwort für das Schlüsselrepository festlegen. Sie können den ursprünglichen Schlüssel ändern, indem Sie das Attribut INITKEY im ALTER QMGR befehl. For example:
ALTER QMGR INITKEY('mykey')
Warnung: Wenn Sie den Anfangsschlüssel nach dem Festlegen des Kennworts für das Schlüsselrepository ändern, wird das Kennwort für das Schlüsselrepository nicht mit dem neuen Anfangsschlüssel verschlüsselt. Wenn Sie den ursprünglichen Schlüssel ändern, ohne auch das Kennwort des Schlüsselrepositorys zurückzusetzen, kann IBM MQ das Kennwort des Schlüsselrepositorys nicht entschlüsseln und daher nicht auf das Schlüsselrepository zugreifen.

Weitere Informationen zum KEYRPWD -Attribut finden Sie unter KEYRPWD.

Die Stashdatei des Schlüsselrepositorys

Wenn dem Warteschlangenmanager über das Attribut KEYRPWD kein Kennwort für das Schlüsselrepository bereitgestellt wird, geht IBM MQ davon aus, dass sich eine Stashdatei in demselben Verzeichnis wie das Schlüsselrepository befindet. Die Stashdatei hat denselben Stammnamen wie das Schlüsselrepository, aber die Erweiterung .sth .

Eine Schlüsselrepository-Stashdatei wird gleichzeitig mit dem Schlüsselrepository oder später als separater runmqakm -Befehl erstellt.
Achtung: Das Format der Stashdatei gilt speziell für den IBM MQ Verschlüsselungsprovider IBM Global Security Kit (GSKit)und ist auf Plattformen, die einen anderen Verschlüsselungsprovider verwenden, nicht verfügbar.
Wenn Sie beim Erstellen des Schlüsselrepositorys eine Stashdatei erstellen möchten, geben Sie den Parameter -stash an. For example:
runmqakm -keydb -create -db key.kdb -pw passw0rd -stash
passw0rd steht für das Kennwort des Schlüsselrepositorys.
Führen Sie den folgenden Befehl aus, um später eine Stashdatei zu erstellen:
runmqakm -keydb -stashpw -db key.kdb -pw passw0rd
passw0rd steht für das Kennwort des Schlüsselrepositorys.