Fornecendo a senha do repositório de chaves para um IBM MQ MQI client on IBM i

Como o repositório de chaves contém informações sensíveis, ele é protegido com uma senha. Para poder acessar o conteúdo do repositório de chaves para executar operações TLS, o IBM® MQ deve ser capaz de recuperar a senha do repositório de chaves.

O IBM MQ fornece quatro mecanismos para fornecer a senha do repositório de chaves para um IBM MQ MQI client:

OKeyRepoPassword campos do MQSCO
A variável de ambiente MQKEYRPWD
OSSLKeyRepositoryPassword atributo do arquivo de configuração do cliente
O arquivo stash do repositório de chave

Se você não usar um arquivo stash de repositório de chave, será possível fornecer a senha do repositório de chave como uma sequência de texto simples ou uma sequência que é criptografada usando o sistema de proteção de senha IBM MQ Para obter mais informações sobre os métodos de proteção da senha do repositório de chaves, consulte Criptografando senhas de repositórios de chaves emIBM i .

Os campos KeyRepoPassword do MQSCO

Para fornecer uma senha do repositório de chaves usando a estrutura MQSCO, deve-se usar uma combinação dos três campos de sequência de variáveis a seguir:.

KeyRepoPasswordLength: O comprimento da senha.
KeyRepoPasswordPtr: Um ponteiro para o local na memória que contém a senha
KeyRepoPasswordOffset: O local da senha na memória, representado como o número de bytes do início da estrutura MQSCO.

Nota: é possível fornecer apenas um de KeyRepoPasswordPtr ou KeyRepoPasswordOffset..

Por exemplo:

char * pwd = "passw0rd";
MQSCO  SslConnOptions = {MQSCO_DEFAULT};

SslConnOptions.KeyRepoPasswordPtr = pwd;
SslConnOptions.KeyRepoPasswordLength = (MQLONG)strlen(SslConnOptions.KeyRepoPasswordPtr);
SslConnOptions.Version = MQSCO_VERSION_6;

Atenção: Se você fornecer a senha usando esse método, criptografe a senha antes que ela seja fornecida para o aplicativo IBM MQ client ... Para obter mais informações, consulte Criptografando a senha do repositório de chaves

Para obter mais informações sobre a estrutura do MQSCO, consulte MQSCO - Opções de configuração de SSL/TLS.

OMQKEYRPWD variável de ambiente

Se uma senha do repositório de chaves não for fornecida ao cliente usando a estrutura MQSCO, será possível especificar a senha do repositório de chaves usando o comandoMQKEYRPWD variável de ambiente. Por exemplo:

export MQKEYRPWD=passw0rd

set MQKEYRPWD=passw0rd

em que passw0rd é a sua senha

Atenção: Se você fornecer a senha usando esse método, criptografe a senha antes de configurar o valor da variável de ambiente.. Para obter mais informações, consulte Criptografando a senha do repositório de chaves

O atributo SSLKeyRepositoryPassword do arquivo de configuração do cliente

Se uma senha do repositório de chaves não for fornecida para o cliente usando um dos outros métodos, será possível especificar a senha do repositório de chaves usando o atributo SSLKeyRepositoryPassword na sub-rotina SSL do arquivo de configuração do cliente Por exemplo:

SSL:
    SSLKeyRepositoryPassword=passw0rd

Atenção: se você fornecer a senha usando esse método, criptografe a senha antes de configurar o valor do atributo SSLKeyRepositoryPassword ... Para obter mais informações, consulte Criptografando a senha do repositório de chaves

Para obter mais informações sobre a sub-rotina SSL do arquivo de configuração do cliente, consulte Sub-rotina SSL do arquivo de configuração do cliente

O arquivo stash do repositório de chave

Se a senha do repositório de chave não for fornecida ao cliente usando um dos outros métodos, o IBM MQ assumirá que um arquivo stash existe no mesmo diretório que o repositório de chave. O arquivo stash tem o mesmo nome de raiz que o repositório de chaves, mas tem a extensão .sth

Um arquivo stash de repositório de chaves é criado usando a ferramenta de linha de comando amqrsslc Para criar o arquivo stash, execute o comando a seguir:

CALL PGM(QMQM/AMQRSSLC) PARM('-s' '/Path/Of/KeyDatabase/MyKey')

Este comando solicita a senha para criptografar. A senha é criptografada pelo sistema de proteção de senha do IBM MQ , com uma chave de criptografia padrão, a menos que uma seja fornecida usando o parâmetro -sf

Para mais informações, vejaIBMMQ Utilitário cliente SSL (amqrsslc) paraIBM i e Criptografando a senha do repositório de chaves .

Criptografando a senha do repositório de chaves

Se você fornecer a senha do repositório de chaves usando qualquer método diferente de um arquivo stash, criptografe a senha usando o sistema de proteção de senha IBM MQ . Para criptografar a senha, execute o comando runmqicred .. Insira a senha do repositório de chaves quando solicitado.. O comando gera a senha criptografada.. A senha criptografada pode ser fornecida para o IBM MQ MQI client em vez da senha de texto simples usando qualquer um dos métodos descritos.

Uma chave de criptografia, conhecida como a chave inicial, é usada para criptografar a senha. Quando você criptografar a senha, use uma chave inicial exclusiva para proteger com segurança a senha Para fornecer sua própria chave inicial, use o parâmetro -sf no comando runmqicred . Se você não fornecer uma chave inicial, a chave padrão será usada

Para obter mais informações, consulte runmqicred (proteger as senhas do cliente IBM MQ ).

Se você fornecer a sua própria chave inicial quando a senha do repositório de chaves for criptografada e fornecer a senha criptografada para o IBM MQ MQI client, também deverá assegurar que você forneça a mesma chave inicial para o IBM MQ MQI client Para obter mais informações sobre como fornecer a chave inicial para umIBM MQ MQI client , ver Fornecendo uma chave inicial para umIBMMQ Cliente MQI ativadoIBM i .