[z/OS]

迁移 Advanced Message Security z/OS

Advanced Message Security for z/OS® (AMS) 是一个单独授权的使能产品,可扩展 IBM® MQ ,利用公钥加密模型为流经 IBM MQ 网络的敏感数据提供高级保护。

IBM MQ 8.0 之前的 IBM MQ for z/OS 版本中,AMS 是作为一个单独的产品提供的。 本主题介绍了将 z/OS 上的 AMS 配置从 IBM WebSphere® MQ 7.0 和更早版本中使用的配置迁移到 IBM MQ 8.0 中使用的配置所需的任务。 这些步骤是对迁移未配置 AMS 的单个 IBM MQ for z/OS 队列管理器所需步骤的补充。 AMS 必须与队列管理器同时迁移,不支持将 Advanced Message Security 7.0.1IBM MQ for z/OS 8.0 一起使用。

要在新创建的 IBM MQ for z/OS 队列管理器或已迁移到 IBM MQ 8.0 的队列管理器上启用 AMS,请参阅 z/OS 上的安装 Advanced Message Security

有关 Advanced Message Security for z/OS 的许可信息,请参阅 IBM MQ 许可信息IBM MQ for z/OS 产品标识符

准备在 z/OS

要准备迁移 z/OS 上使用 Advanced Message Security 7.0.1 或更早版本的 IBM MQ 队列管理器,除了要执行准备迁移单个 IBM MQ for z/OS 队列管理器中列出的步骤外,还必须执行本节中的步骤。

  1. 安装 Advanced Message Security for z/OS 启用产品,并向运行将使用 AMS 的队列管理器的所有 MVS 系统提供目标库。 您必须为每个 MVS 系统执行以下程序:
    1. 将 AMS 目标库复制到系统中。
    2. APF 授权 thlqual.SDRQAUTH 目标库,并使用外部安全系统授予对该数据集的访问权限,请参阅任务 2:APF 授权 IBM MQ 加载库
    3. 确保 LPA 包含 AMS 模块 CSQ0DRTM ,请参阅任务 3:更新 z/OS 链接列表和 LPA
    4. 确保程序属性表 (PPT) 包含 CSQ0DSRV 的条目,请参阅任务 4:更新 z/OS 程序属性表
  2. 为每个队列管理器设置 AMS 地址空间的启动任务用户。 Advanced Message Security 7.0.1 中使用了两个地址空间,一个用于主任务,另一个用于数据服务任务。 在 IBM MQ 8.0 中,这些空间被合并为一个地址空间,称为 qmgrAMSM。 或者为 IBM MQ 8.0 AMS 地址空间设置一个新用户,或者为现有 AMS 已启动任务用户之一授予额外权限。 有关如何设置启动任务用户的信息,请参阅任务 25:设置启动任务用户高级消息安全。 如果不使用现有的数据服务地址空间用户,则需要为与 地址空间相关联的用户 ID 复制密钥环。 drq.ams.keyringIBM MQ 8.0 qmgrAMSM 地址空间相关联的用户 ID 的密钥环。 有关如何设置 AMS 密钥环的信息,请参阅 z/OS 上的 "使用证书 "。

迁移高级信息安全 z/OS

要迁移 IBM MQ 队列管理器 z/OS 使用 Advanced Message Security 7.0.1 或更早版本,在重新启动队列管理器之前,除了将单个 IBM MQ z/OS 队列管理器迁移到下一版本的产品中列出的步骤之外,还必须执行本节中的步骤。
  1. Advanced Message Security 7.0.1 复制一份 qmgrAMSM 任务,以防需要恢复到以前的系统。

    更多信息,请参阅 z/OS 上的 "高级报文安全 "向后迁移

  2. 使用 CSQ6SYSP 更新系统参数模块设置 SPLCAP(YES),配置队列管理器使用 AMS,请参阅任务 17:定制系统参数模块使用 CSQ6SYSP
  3. qmgrAMSM 地址空间创建或更新已启动的任务程序,请参阅任务 24:为高级信息安全创建程序

发布高级信息安全的迁移任务 z/OS

迁移 z/OS 上使用 AMS 的 IBM MQ 队列管理器后,必须执行以下任务。
  1. IBM MQ 8.0 及更高版本中,AMS 地址空间由队列管理器自动启动和停止。 如果在 Advanced Message Security 7.0.1 或更早版本中使用自动化管理主任务和数据服务任务,则应删除此功能。 您还必须查看 AMS 的任何自动控制台命令,因为自 IBM MQ 8.0 以来,有些命令已经更改。
  2. 如果 Advanced Message Security 7.0.1 数据服务任务和 70 版主要任务未调用 qmgrAMSM ,则删除已启动的任务程序。

高级信息安全的后向迁移 z/OS

如果您是 AMS 用户,并将队列管理器从 IBM MQ 8.0 向后迁移到第 7 版,则需要执行其他操作才能将 AMS 恢复到第 7 版。

迁移时的注意事项

您应确保之前的设置已就位,并已执行更新 z/OS LPA更新系统 DIAG 成员的任务。

确保与第 7 版数据服务地址空间关联的用户 ID 可以访问 drq.ams.keyring ,并确保 drq.ams.keyringIBM MQ 8.0 qmgrAMSM 用户 ID 拥有相同的连接证书。

执行迁移

完成前面的任务后,就可以按照正常方式向后迁移队列管理器了。

手动启动 AMS 主地址空间和数据服务地址空间,或重新引入自动启动功能。

更多信息,请参阅启动 Advanced Message Security