[AIX, Linux, Windows][ MQ 9.4.4 Oct 2025]

FIPS 모드 AMS

Advanced Message Security (AMS)는 암호화 기능을 사용하여 데이터 서명 및 암호화 시 메시지 데이터를 보호합니다. AIX®, Linux®, and Windows 시스템에서 Advanced Message Security 은 IBM Crypto for C(ICC)라는 암호화 패키지를 사용하여 이러한 작업을 수행합니다. AIX, Linux, and Windows 플랫폼에서 ICC 소프트웨어는 미국 국립표준기술연구소의 연방 정보 처리 표준(FIPS) 암호화 모듈 검증 프로그램을 레벨 140-2로 통과했습니다.

조직에서 모든 암호화 기능을 FIPS 인증 암호화 라이브러리를 사용하고 FIPS 준수 알고리즘을 사용하여 수행해야 하는 경우 FIPS 모드에서 Advanced Message Security 을 구성해야 합니다:
  • 클라이언트 애플리케이션 및 로컬 애플리케이션의 경우, 키스토어 구성 파일에서 fips 옵션을 사용하여 Advanced Message Security 을 FIPS 모드로 구성할 수 있습니다.
  • MCA 차단을 위해 대기열 관리자 SSLFIPS 설정을 구성하여 FIPS 모드에서 Advanced Message Security 을 구성할 수 있습니다.

FIPS 활성화의 영향 Advanced Message Security

FIPS 모드에서는 다음과 같은 동작이 관찰됩니다:
  • Advanced Message Security 정책은 FIPS 승인 알고리즘을 사용하도록 정의하거나 변경할 수만 있습니다.
  • Advanced Message Security 는 FIPS 승인 알고리즘을 사용하여 메시지 데이터만 암호화할 수 있습니다.
  • Advanced Message Security 는 FIPS 승인 알고리즘을 사용하여 메시지 데이터에만 서명할 수 있습니다.
  • Advanced Message Security 는 FIPS 요구 사항을 충족하는 인증서만 사용할 수 있습니다.
서명 알고리즘
다음 서명 알고리즘은 FIPS 모드로 구성된 상태에서 Advanced Message Security 에서 사용할 수 있습니다:
  • SHA-256
  • SHA-384
  • SHA-512
암호화 알고리즘
다음 암호화 알고리즘은 FIPS 모드로 구성된 상태에서 Advanced Message Security 에서 사용할 수 있습니다:
  • AES-128
  • AES-256

Advanced Message Security 이 FIPS 모드로 구성되어 있고 사용할 수 없는 알고리즘을 사용하도록 지시하는 정책을 만나면 메시지 데이터에 적용되기 전에 지원되는 알고리즘을 사용하도록 정책이 업그레이드됩니다. 메시지를 생성하는 애플리케이션의 경우 이는 정책에 지정된 것보다 더 강력한 알고리즘을 사용하여 데이터를 암호화하거나 서명한다는 의미입니다. 선택한 알고리즘은 각 서명 알고리즘암호화 알고리즘 목록에 표시된 첫 번째 알고리즘입니다. 메시지를 소비하는 애플리케이션의 경우 검색된 메시지가 FIPS 모드에서 사용할 수 없는 알고리즘을 사용하여 보호된 경우 검색할 수 없고 대신 Advanced Message Security 오류 대기열로 이동되므로 오류가 발생할 수 있습니다.

FIPS 사용 대기열 관리자의 동작 수정하기

대기열 관리자가 SSLFIPS 설정을 통해 FIPS를 사용하도록 설정된 경우 Advanced Message Security 함수의 동작도 수정됩니다. 이 구성은 Advanced Message Security MCA 차단 정책 및 기능 설정에 영향을 줍니다. 대기열 관리자가 FIPS 모드로 구성되었지만 FIPS 설정이 TLS와 관련된 것만 원하는 경우 Advanced Message Security 을 비 FIPS 동작으로 되돌리는 데 사용할 수 있는 두 가지 설정이 있습니다.
  • 알고리즘을 지정하는 Advanced Message Security 정책을 정의할 수 있도록 하려면 qm.ini 파일의 보안 구절에 DisablePolicyFIPSCheck 속성을 설정할 수 있습니다. 자세한 내용은 qm.ini 파일의 보안 구절을 참조하세요.
  • Advanced Message Security MCA 인터셉터에서 FIPS 모드를 비활성화하려면 키스토어 구성 파일에 forceFipsOff 설정을 제공할 수 있습니다. 자세한 내용은 AMS용 키스토어 구성 파일의 구조( keystore.conf )를 참조하세요.