AMS での鍵ストアと証明書の使用
IBM® MQ アプリケーションに透過的な暗号保護を提供するために、 Advanced Message Security は、公開鍵証明書と秘密鍵が保管されている鍵ストア・ファイルを使用します。の上z/OS®キーストア ファイルの代わりに SAF キー リングが使用されます。
Advanced Message Securityでは、ユーザーとアプリケーションは Public Key Infrastructure (PKI) ID によって表されます。 このタイプの ID は、メッセージの署名と暗号化に使用されます。 PKI ID は、署名および暗号化されたメッセージに関連付けられている証明書内のサブジェクトの識別名 (DN) フィールドによって表されています。 ユーザーまたはアプリケーションがメッセージを暗号化するには、証明書および関連付けられている秘密鍵と公開鍵が格納されている鍵ストア・ファイルに対するアクセス権限が必要です。
![[AIX、Linux、Windows]](ngalw.gif)
AIX®, Linux®, and Windows では、キーストアの場所はキーストア・コンフィギュレーショ ン・ファイルで指定される。これはデフォルトでは である。 keystore.conf 各 Advanced Message Security ユーザーには、鍵ストア・ファイルを指す鍵ストア構成ファイルが必要です。 Advanced Message Security は、 .kdb、 .jceks、 .jksの形式の鍵ストア・ファイルを受け入れます。
![[AIX]](ngaix.gif)
![[IBM i]](ngibmi.gif)
![[Linux]](nglinux.gif)
IBM i、 : AIX and Linux $HOME/.mqs/keystore.conf![[Windows]](ngwin.gif)
Windows : %HOMEDRIVE%%HOMEPATH%\.mqs\keystore.conf
- Javaの場合:
java -DMQS_KEYSTORE_CONF=path/filename app_name - C クライアントおよびサーバーの場合:
- AIX and Linux :
export MQS_KEYSTORE_CONF=path/filename - Windows :
set MQS_KEYSTORE_CONF=path\filename注: 複数のドライブ名が使用可能な場合は、 Windows 上のパスでドライブ名を指定できますが、指定する必要があります。
keystore.conf ファイル内の機密情報の保護
鍵ストア・ファイルの機密情報 (パスワードなど) にアクセスするには、 IBM MQ Advanced Message Security (AMS) が鍵ストアにアクセスしてメッセージの署名と暗号化を行えるように、トークンを指定する必要があります。
AMSで提供されている runamscred コマンドを使用して、鍵ストア構成ファイルに含まれている機密情報を保護する必要があります。 設定ファイルを保護する方法の詳細については、設定ファイルに対するAMSパスワード保護の設定を参照してください。
パスワードを保護する場合は、カスタムの強力な暗号鍵を使用する必要があります。 実行時にパスワードにアクセスするには、この暗号鍵を AMSに提供する必要があります。
- keystore.conf ファイル内の amscred.keyfile 構成プロパティー
- MQS_AMSCRED_KEYFILE 環境変数
優先順位は MQS_AMSCRED_KEYFILEの後に amscred.keyfileが続き、その後にデフォルト・キーが続きます。