MQM セキュリティー・ポリシーの設定 (SETMQMSPL)

実行可能な場所: すべての環境 (*ALL)
スレッド・セーフ: はい

MQM セキュリティー・ポリシーの設定 (SETMQMSPL) コマンドは、メッセージの書き込み、参照、またはキューからの破壊的な削除を行う際にメッセージを保護する方法を制御するために Advanced Message Security が使用するセキュリティー・ポリシーを設定します。

ポリシー名は、メッセージのデジタル署名と暗号化による保護を、ポリシー名と一致するキューに関連付けます。

パラメーター

キーワード	説明	選択	注
ポリシー	ポリシー名	文字値	必須、キー、定位置 1
MQMNAME	メッセージ・キュー・マネージャー名	`文字値`、*DFT	必須、キー、定位置 2
SIGNALG	署名アルゴリズム	NONE、MD5、SHA1、SHA256、SHA384、SHA512	オプショナル, 定位置 3
ENCALG	暗号化アルゴリズム	NONE、RC2、DES、TRIPLEDES、AES128、AES256	オプショナル, 定位置 4
signer	許可された署名者	*NONE、`文字値`	オプショナル, 定位置 5
recip	対象の受信者	*NONE、`文字値`	オプショナル, 定位置 6
TOLERATE	無保護の許容	NO、YES	オプショナル, 定位置 7
除去 (Remove)	ポリシーの除去	NO、YES	オプショナル, 定位置 8
キー再使用	鍵の再使用	DISABLED、UNLIMITED、 `整数値`	オプショナル, 定位置 9

ポリシー名 (POLICY)

ポリシーの名前 (必須)。

ポリシー名は、保護するキューの名前と一致しなければなりません。

作成する新しい認証情報オブジェクトの名前です。

メッセージ・キュー・マネージャー名 (MQMNAME)

キュー・マネージャーの名前。

指定できる値は以下のとおりです。

*DFT: デフォルト・キュー・マネージャーを使用します。
キュー・マネージャー名: 既存のメッセージ・キュー・マネージャーの名前です。最大ストリング長は 48 文字です。

署名アルゴリズム (SIGNALG)

以下のいずれかの値からデジタル署名アルゴリズムを指定します。

*NONE 値: メッセージは署名されません。
*MD5: メッセージは MD5 メッセージ・ダイジェスト・アルゴリズムを使用して署名されます。
*SHA1: メッセージは SHA-1 セキュア・ハッシュ・アルゴリズムを使用して署名されます。
*SHA256: メッセージは SHA-256 セキュア・ハッシュ・アルゴリズムを使用して署名されます。
*SHA384: メッセージは SHA-384 セキュア・ハッシュ・アルゴリズムを使用して署名されます。
*SHA512: メッセージは SHA-512 セキュア・ハッシュ・アルゴリズムを使用して署名されます。

暗号化アルゴリズム (ENCALG)

メッセージを保護する際に使用する暗号化アルゴリズムを以下のいずれかの値から指定します。

*NONE 値: メッセージは暗号化されません。
*RC2: メッセージは RC2 Rivest Cipher アルゴリズムを使用して暗号化されます。
*DES: メッセージは DES Data Encryption Standard アルゴリズムを使用して暗号化されます。
*TRIPLEDES: メッセージは Triple DES Data Encryption Standard アルゴリズムを使用して暗号化されます。
*AES128: メッセージは AES 128 ビット・キー Advanced Encryption Standard アルゴリズムを使用して暗号化されます。
*AES256: メッセージは AES 256 ビット・キー Advanced Encryption Standard アルゴリズムを使用して暗号化されます。

許可された署名者 (SIGNER)

メッセージを参照したり、キューから破壊的に削除したりするときに検査する、許可されたメッセージ署名者を表す X500 識別名のリストを指定します。許可された署名者のリストを指定すると、メッセージの取得時に、受信側の鍵ストアでメッセージの署名者を検証できる場合であっても、このリストに指定した証明書を使用して署名されたメッセージのみが受け入れられます。

このパラメーターは、署名アルゴリズム ( SIGNALG ) の場合にのみ有効です。も指定されています。

識別名は大/小文字が区別されるため、デジタル証明書のとおりに正確に入力することが重要であることに注意してください。

指定できる値は以下のとおりです。

*NONE (*NONE): 署名者の証明書の検証以外で署名付きメッセージを処理する場合、メッセージの取得時にポリシーはメッセージ署名者の ID を制限しません。
x500-distinguished-name: 証明書の検証以外で署名付きメッセージを処理する場合、メッセージは、識別名のいずれかと一致する証明書を使用して署名されている必要があります。

対象の受信者 (RECIP)

暗号化されたメッセージをキューに書き込むときに使用する、対象の受信者を表す X500 識別名のリストを指定します。ポリシーに暗号化アルゴリズム (ENCALG) を指定する場合は、1 件以上の受信者の識別名を指定する必要があります。

このパラメーターは、暗号化アルゴリズム ( ENCALG ) がも指定されています。

識別名は大/小文字が区別されるため、デジタル証明書のとおりに正確に入力することが重要であることに注意してください。

指定できる値は以下のとおりです。

*NONE (*NONE): メッセージは暗号化されません。
x500-distinguished-name: メッセージを書き込むときに、メッセージ・データは対象の受信者の識別名を使用して暗号化されます。リストにある受信者のみがメッセージを取得し、暗号化を解除することができます。

無保護の許容 (TOLERATE)

保護されていないメッセージであっても、参照および破壊的削除を許容するかどうかを指定します。このパラメーターを使用すると、ポリシーの適用前に作成されていたメッセージの処理が可能になるため、アプリケーションにセキュリティー・ポリシーを段階的に適用できます。

指定できる値は以下のとおりです。

*NO: 現行のポリシーに適合しないメッセージはアプリケーションに戻されません。
*YES: 保護されていないメッセージをアプリケーションが取得するのを許可します。

ポリシーの除去 (REMOVE)

ポリシーを作成するか、それとも削除するかを指定します。

指定できる値は以下のとおりです。

*NO: ポリシーは作成されます。既存のポリシーがある場合は変更されます。
*YES: ポリシーは削除されます。このパラメーター値で有効なその他のパラメーターは、ポリシー名 ( POLICY ) のみです。およびキュー・マネージャー名 ( MQMNAME )。

鍵の再使用 (KEYREUSE)

暗号鍵を再使用できる回数 (1 から 9,999,999 までの範囲) あるいは特殊値の *DISABLED または *UNLIMITED を指定します。

これは鍵を再使用できる最大回数であることに注意してください。したがって、値が 1 の場合は、同じ鍵を最大 2 つのメッセージが使用できることになります。

*DISABLED: 対称鍵を再使用できないようにします。
*UNLIMITED: 対称鍵を何回でも再使用できるようにします。

重要: 鍵の再使用は、CONFIDENTIALITY ポリシーに対してのみ有効です。つまり、 SIGNALG は *NONE に設定され、 ENCALG はアルゴリズム値に設定されます。他のすべてのポリシー・タイプでは、このパラメーターを省略するか、KEYREUSE 値を *DISABLED に設定する必要があります。