[AIX、Linux、Windows]

Suite B 用 IBM MQ の構成

IBM® MQ は、 AIX®, Linux®, and Windows プラットフォーム上で NSA Suite B 標準に準拠して動作するように構成することができます。

Suite B は、確実なセキュリティーのレベルを提供するために、使用可能な暗号アルゴリズムのセットを制限します。 IBM MQ は、Suite B に準拠して動作するように構成して、拡張レベルのセキュリティーを提供することができます。 スイートBの詳細については、米国家安全保障局(NSA)スイートB暗号を参照のこと。 スイートBの設定とTLSチャネルへの影響についての詳細は、IBM MQのNSAスイートB暗号方式を参照のこと。

キュー・マネージャー

キュー・マネージャーについては、コマンド ALTER QMGR にパラメーター SUITEB を指定して使用し、必要なセキュリティー・レベルに適した値を設定してください。 詳しくは、 ALTER QMGRを参照してください。

PCF コマンド MQCMD_CHANGE_Q_MGR にパラメーター MQIA_SUITE_B_STRENGTH を指定することによっても、Suite B 準拠操作用にキュー・マネージャーを構成できます。

注: キュー・マネージャーのスイート B 設定を変更した場合、それらの設定を有効にするには、MQXR サービスを再始動する必要があります。

MQI クライアント

デフォルトでは、MQI クライアントは Suite B 準拠を適用しません。 以下のいずれかのオプションを実行することにより、MQI クライアントの Suite B 準拠を有効にできます。
  1. MQCONNX 呼び出しで MQSCO 構造体の EncryptionPolicySuiteB フィールドを以下の値の1つ以上に設定する:
    • MQ_SUITE_B_NONE
    • MQ_SUITE_B_128_BIT
    • MQ_SUITE_B_192_BIT

    その他の値を指定して MQ_SUITE_B_NONE を使用することは無効です。

    MQSCO 構造体について詳しくは、 MQSCO-SSL 構成オプションを参照してください。

  2. MQSUITEB 環境変数を以下の 1 つ以上の値に設定します。
    • NONE
    • 128_BIT
    • 192_BIT

    コンマ区切りリストを使用して、複数の値を指定することができます。 値 NONE を他の値と一緒に使用することは無効です。

  3. クライアント構成ファイルの SSL スタンザEncryptionPolicySuiteB 属性を以下の 1 つ以上の値に設定します。
    • NONE
    • 128_BIT
    • 192_BIT

    コンマ区切りリストを使用して、複数の値を指定することができます。 その他の値を指定して NONE を使用することは無効です。

注: MQI クライアント設定は、優先順位の順にリストされています。 MQCONNX 呼び出しの MSCO 構造体は、 MQSUITEB 環境変数の設定をオーバーライドします。これにより、SSL スタンザの属性がオーバーライドされます。

.NET

.NET 非管理対象クライアントの場合、プロパティー MQC.ENCRYPTION_POLICY_SUITE_B は、必要な Suite B セキュリティーのタイプを示します。

IBM MQ classes for .NETでの Suite B の使用については、 MQEnvironment .NET クラスを参照してください。

AMQP

キュー・マネージャーの Suite B 属性設定は、そのキュー・マネージャー上の AMQP チャネルに適用されます。 キュー・マネージャーの Suite B 設定を変更した場合に、変更内容を有効にするには、AMQP サービスを再始動しなければなりません。