AMS 保護ポリシー

保護ポリシーは、メッセージを保護するために使用される保護の品質を定義します。 AMS は、メッセージ・コンテンツの署名および暗号化を可能にするメッセージ保護ポリシーを提供します。 AMS ポリシーは、MQ 管理者によってターゲット・キューに定義され、各キューはゼロまたは 1 つのポリシーを持つことができます。 ポリシーでは、署名操作および暗号化操作に使用されるアルゴリズムを指定できます。 メッセージ保護ポリシーには、次の 2 つのタイプがあります。

• メッセージ保全性ポリシー。このポリシーでは、メッセージにデジタル署名が適用されますが、メッセージの内容はプレーン・テキストのままとなります。
• メッセージ・プライバシー・ポリシー。このポリシーを使用する場合は、メッセージの内容も暗号化されます。 メッセージ・プライバシー・ポリシーには、メッセージの保全性も含まれます。

このポリシーでは、暗号化が指定されている場合は、許可されたすべての受信者も指定する必要があり、送信者はローカルの鍵ストアにそれらの受信者の公開鍵を保有している必要があります。

エンドツーエンド・メッセージ・セキュリティー

メッセージをエンドツーエンドで保護するためには、以下の点を考慮する必要があります。

1. 転送中のメッセージが保護されること。
2. 予期されるソースからメッセージが発信されているという保証。
3. 意図された受信者のみがメッセージを表示できること。
4. 転送中にメッセージが変更されていないという保証。

キュー・マネージャーそのものに暗号化メカニズムを組み込むと、アプリケーションを変更する労力を削減できますが、それで問題が完全に解決されるわけではありません。 キュー・マネージャーにはメッセージを暗号化して復号する機能があるため、受信者にとっては、受信したメッセージが本物であるという保証がありません。 例えば、B2B の場合、トポロジーはハブとスポークのトポロジーとなります。このトポロジーでは、クリアリングハウスがハブとして機能し、各スポークは異なるビジネス・パートナーになります。 改ざんのない本物のメッセージをあることを保証するこのようなシナリオでは、エンドツーエンドの保護が望ましい解決策になります。

アプリケーション AMS は、X.509 証明書の識別名で表される送信者 ID を暗号化してメッセージにバインドすることにより、エンドツーエンドのメッセージ・レベル・セキュリティーを提供します。 必要に応じて、X.509 証明書によっても識別されている特定の受信者用にメッセージを暗号化することもできます。 メッセージに送信者 ID と受信者 ID をバインドして改ざんを防止する機能を使用すると、メッセージを送信または受信できるユーザーに関するポリシーを簡単に作成でき、それらのポリシーの適用はメッセージごとに行われます。

このチュートリアルでは、送信側と受信側に自己署名証明書を使用します。 実動ユース・ケースでは CA 証明書を使用することを強くお勧めします。 自己署名証明書は、テストやデモの目的でのみ使用されます。

AMS を構成する前のメッセージの送受信

AMS 構成の最初のステップとして、alice と bob がメッセージを送受信できるか確認することができます。 そうすることにより、クライアントとキュー・マネージャーが通信してメッセージをやり取りできるかどうかを確認します。 このチュートリアルの以降のセクションでは、AMS のセットアップと構成について説明します。 ここでは、alice を送信側、bob を受信側として使用して、ターゲット・キューでプレーン・テキストのメッセージを送受信します。

1. 2 つのコマンド・シェルを開きます。 1 つはユーザー alice 用で、もう 1 つはユーザー bob 用です。

   1. コマンド・シェルの 1 つを alice 用に使用し、ここで alice のすべてのステップを実行します。 これ以降、このコマンド・シェルを alice のコマンド・シェルと呼ぶことにします。
   2. もう 1 つのコマンド・シェルを bob 用に使用し、ここで bob のすべてのステップを実行します。 これ以降、このコマンド・シェルを bob のコマンド・シェルと呼ぶことにします。
   3. このチュートリアルでは、alice のコマンド・シェルと bob のコマンド・シェルが必要になります。 したがって、これらは、このチュートリアルのすべてのステップを完了するまで、閉じないでください。

2. alice のコマンド・シェルで以下の環境変数を作成します。

   • Linux/Mac の場合:

     export MQSAMP_USER_ID=alice  
     export MQSERVER="CLOUD.ADMIN.SVRCONN/TCP/<HOSTNAME>(<PORT>)"
     

   • Windows の場合:

     set MQSAMP_USER_ID=alice  
     set MQSERVER=CLOUD.ADMIN.SVRCONN/TCP/<HOSTNAME>(<PORT>)
     

   • <HOSTNAME> - これは connection_info.txt ファイル内の「hostname」です (Appendix#1 を参照)
   • <PORT> - これは connection_info.txt ファイル内の「listenerPort」です (Appendix#1 を参照)。

3. bob のコマンド・シェルで以下の環境変数を作成します。

   • Linux/Mac の場合:

     export MQSAMP_USER_ID=bob  
     export MQSERVER="CLOUD.ADMIN.SVRCONN/TCP/<HOSTNAME>(<PORT>)"
     

   • Windows の場合:

     set MQSAMP_USER_ID=bob  
     set MQSERVER=CLOUD.ADMIN.SVRCONN/TCP/<HOSTNAME>(<PORT>)
     

   • <HOSTNAME> - これは connection_info.txt ファイル内の「hostname」です (Appendix#1 を参照)
   • <PORT> - これは connection_info.txt ファイル内の「listenerPort」です (Appendix#1 を参照)。

4. alice のコマンド・シェルから、ターゲット・キューにメッセージを送信するサンプル・プログラムを実行します。

   amqsputc DEV.QUEUE.1 <your Queue manager name>  
   

   1. パスワードの入力を求めるプロンプトが出されたら、alice のアプリケーション API キーを入力します (これは "applicationApiKeyalice.json ファイル内の「apiKey」値です)。
   2. メッセージのテキストを入力し、Enter キーを 2 回押すと、単一のメッセージのみが送信されます。

   Enter キーを 2 回押すと、サンプル・アプリケーションが終了します。

   

5. 次は、ユーザー bob がターゲット・キューからメッセージを取得できるかを確認します。

   1. bob のコマンド・シェルから、メッセージを受信するためのサンプル・プログラムを実行します。

      amqsgetc DEV.QUEUE.1 <your Queue manager name>  
      

   2. パスワードの入力を求めるプロンプトが出されたら、bob のアプリケーション API キーを入力します (これは "applicationApiKeybob.json ファイルの「apiKey」値です)。
   3. 受信したメッセージが表示されます。 message <Hello> は、ユーザー bob がターゲット・キューからメッセージを読み取ることができることを確認します。
      
   • メッセージはプレーン・テキストでターゲット・キューに保管されているので、キューの読み取り時にメッセージがプレーン・テキストで返されることに注意してください。

このテストによって、alice と bob がターゲット・キューでメッセージを送受信できることが確認されました。 次のステップは、エンドツーエンド・セキュリティーのために AMS に必要な構成の作成です。 これには、メッセージの署名と暗号化を実施するために、これらのユーザーの鍵ストアと証明書を作成することが含まれます。

alice および bob の鍵ストアのセットアップ

アプリケーション AMS は、標準の X.509 証明書に保管された鍵を使用する公開鍵/秘密鍵暗号化に基づいており、これらの証明書はプラットフォームに適した鍵ストアに保管されます。 これらの証明書は、MQ Secure Sockets Layer (SSL) および Transport Layer Security (TLS) の暗号化に使用されるものと同じタイプの証明書であり、希望する場合は実際に、アプリケーションで同じ証明書と鍵ストアをこれらの両方の暗号化のために使用することも可能です。 このチュートリアルでは、ユーザー alice および bob の新しい鍵ストアと証明書を作成します。

alice のコマンド・シェルで alice のすべてのステップを実行し、bob のコマンド・シェルで bob のすべてのステップを実行する必要があります。

1. 鍵ストアをセットアップするためのディレクトリーの作成

   For alice:
       - On Mac: mkdir -p ~/alice/.mqs
       - On Linux:  mkdir -p /home/alice/.mqs
       - On Windows: mkdir %HOMEDRIVE%\Users\alice\.mqs
   
   For bob:
       - On Mac: mkdir -p ~/bob/.mqs
       - On Linux: mkdir -p /home/bob/.mqs  
       - On Windows: mkdir %HOMEDRIVE%\Users\bob\.mqs
   

2. 鍵データベースの作成

    For alice:
        - On Mac: runmqakm -keydb -create -db ~/alice/.mqs/alicekey.kdb -pw passw0rd -stash
        - On Linux: runmqakm -keydb -create -db /home/alice/.mqs/alicekey.kdb -pw passw0rd -stash  
        - On Windows: runmqakm -keydb -create -db %HOMEDRIVE%\Users\alice\.mqs\alicekey.kdb -pw passw0rd -stash
   
    For bob:
        - On Mac: runmqakm -keydb -create -db ~/bob/.mqs/bobkey.kdb -pw passw0rd -stash
        - On Linux: runmqakm -keydb -create -db /home/bob/.mqs/bobkey.kdb -pw passw0rd -stash
        - On Windows: runmqakm -keydb -create -db %HOMEDRIVE%\Users\bob\.mqs\bobkey.kdb -pw passw0rd -stash  
   

3. 鍵データベースが読み取り可能であることの確認 (Linux および Mac のみ)

   Mac:
   For alice:
       chmod +r ~/alice/.mqs/alicekey.kdb
   For bob:   
       chmod +r ~/bob/.mqs/bobkey.kdb
   
   Linux:
   For alice:     
       chmod +r /home/alice/.mqs/alicekey.kdb  
   For bob:   
       chmod +r /home/bob/.mqs/bobkey.kdb  
   

4. ユーザー alice の自己署名証明書の作成

   On Mac:
       - runmqakm -cert -create -db ~/alice/.mqs/alicekey.kdb -pw passw0rd -label Alice_Cert -dn "cn=alice,O=IBM,c=GB" -default_cert yes
   
   On Linux:
       - runmqakm -cert -create -db /home/alice/.mqs/alicekey.kdb -pw passw0rd -label Alice_Cert -dn "cn=alice,O=IBM,c=GB" -default_cert yes  
   
   On Windows:
       - runmqakm -cert -create -db %HOMEDRIVE%\Users\alice\.mqs\alicekey.kdb -pw passw0rd -label Alice_Cert -dn "cn=alice,O=IBM,c=GB" -default_cert yes  
   

5. ユーザー bob の自己署名証明書の作成

   On Mac:
       - runmqakm -cert -create -db ~/bob/.mqs/bobkey.kdb -pw passw0rd -label Bob_Cert -dn "cn=bob,O=IBM,c=GB" -default_cert yes
   
   On Linux:
       - runmqakm -cert -create -db /home/bob/.mqs/bobkey.kdb -pw passw0rd -label Bob_Cert -dn "cn=bob,O=IBM,c=GB" -default_cert yes  
   
   On Windows:
       - runmqakm -cert -create -db %HOMEDRIVE%\Users\bob\.mqs\bobkey.kdb -pw passw0rd -label Bob_Cert -dn "cn=bob,O=IBM,c=GB" -default_cert yes
   

ターゲット・キューの保護ポリシーのセットアップ

MQ Advanced Message Security は、セキュリティー・ポリシーを使用して、キューを流れるメッセージを暗号化して認証するための暗号と署名のアルゴリズムを指定します。 メッセージ・セキュリティーを有効にするには、キューに AMS ポリシーを設定する必要があります。

1. 新しいコマンド・シェルを開きます

2. MQSERVER 環境変数を作成します

   On Linux and Mac: export MQSERVER="CLOUD.ADMIN.SVRCONN/TCP/<HOSTNAME>(<PORT>)"  
   On Windows: set MQSERVER=CLOUD.ADMIN.SVRCONN/TCP/<HOSTNAME>(<PORT>)  
   

   • <HOSTNAME> - これは connection_info.txt ファイル内の「hostname」です。
   • <PORT> - これは connection_info.txt ファイル内の「listenerPort」です。

3. runmqsc を実行して、リモート・キュー・マネージャーに接続します

   runmqsc -c -u <ADMIN_MQ_USER> <QUEUE_MANAGER_NAME>  
   

   • <ADMIN_MQ_USER> - これは platformApiKey.json ファイル内の「mqUsername」です (このチュートリアルの最後にある付録 2 を参照)。
   • <QUEUE_MANAGER_NAME> - これは connection_info.txt ファイル内の「queueManagerName」です。
   • "-c" は、MQSERVER 変数を使用してリモート・キュー・マネージャーに接続するように runmqsc に指示します

4. 端末からパスワードを入力するよう求められます。
   これは platformApiKey.json ファイル内の「apiKey」値です (このチュートリアルの最後にある付録 2 を参照)。

5. 端末は入力待ちになります。

6. ターゲット・キューに対して新しい AMS ポリシーを作成します

   SET POLICY(DEV.QUEUE.1) SIGNALG(SHA1) ENCALG(AES256) SIGNER('CN=alice,O=IBM,C=GB') RECIP('CN=bob,O=IBM,C=GB') ACTION(ADD)
   

   • DEV.QUEUE.1 はポリシー名であり、保護するキューの名前と一致しなければなりません。
   • SIGNALG(value) は、メッセージの署名のためのデジタル署名アルゴリズムを指定します。
   • ENCALG(value) は、メッセージの暗号化のためのデジタル暗号化アルゴリズムを指定します。
   • SIGNER(value) は、このチュートリアルの送信者 (つまり alice) の -dn の値です。
   • RECIP (value) は、このチュートリアルの受信者 (つまり bob) の -dn の値です。
   • SET POLICY コマンドについて詳しくは、こちらを参照してください。

   

7. 先ほど定義した AMS ポリシーを検証します。セットアップに応じた署名および暗号化を使用してポリシーが正しく定義および構成されていることを確認するには、以下のコマンドを使用します。

   DISPLAY POLICY(DEV.QUEUE.1)
   

   

alice と bob の間での公開鍵の共有

暗号化を使用して保護ポリシーを設定する場合は、メッセージのすべての許可された受信者もポリシーで指定する必要があります。 また、そのメッセージの送信者は、ローカル鍵ストア内にそれらの受信者の公開鍵を保有している必要があります。 ポリシーでは、許可された送信者を指定することもできます。この指定は、署名または暗号化されたメッセージに適用されます。この指定が適用される場合、受信者はメッセージの ID を検証するために送信者の公開鍵を持っている必要があります。 つまり、alice は、その鍵ストア内に bob の公開鍵を保有している必要があり、bob は、その鍵ストア内に alice の公開鍵を保有している必要があります。

このセクションでは、bob の公開鍵を抽出して、それを alice の鍵ストアに追加し、alice の公開鍵を抽出して、それを bob の鍵ストアに追加するための詳しいステップを説明します。

1. bob の公開鍵を抽出して、それを alice の鍵ストアに追加します。

   On Mac:
       - runmqakm -cert -extract -db ~/bob/.mqs/bobkey.kdb -pw passw0rd -label Bob_Cert -target bob_public.arm  
       - runmqakm -cert -add -db ~/alice/.mqs/alicekey.kdb -pw passw0rd -label Bob_Cert -file bob_public.arm  
   
   On Linux:  
       - runmqakm -cert -extract -db /home/bob/.mqs/bobkey.kdb -pw passw0rd -label Bob_Cert -target bob_public.arm  
       - runmqakm -cert -add -db /home/alice/.mqs/alicekey.kdb -pw passw0rd -label Bob_Cert -file bob_public.arm  
   
   On Windows:  
       - runmqakm -cert -extract -db %HOMEDRIVE%\Users\bob\.mqs\bobkey.kdb -pw passw0rd -label Bob_Cert -target bob_public.arm  
       - runmqakm -cert -add -db %HOMEDRIVE%\Users\alice\.mqs\alicekey.kdb -pw passw0rd -label Bob_Cert -file bob_public.arm
   

2. alice の公開鍵を抽出し、それを bob の鍵ストアに追加します。

   On Mac:
       - runmqakm -cert -extract -db ~/alice/.mqs/alicekey.kdb -pw passw0rd -label Alice_Cert -target alice_public.arm  
       - runmqakm -cert -add -db ~/bob/.mqs/bobkey.kdb -pw passw0rd -label Alice_Cert -file alice_public.arm  
   
   On Linux:  
       - runmqakm -cert -extract -db /home/alice/.mqs/alicekey.kdb -pw passw0rd -label Alice_Cert -target alice_public.arm  
       - runmqakm -cert -add -db /home/bob/.mqs/bobkey.kdb -pw passw0rd -label Alice_Cert -file alice_public.arm  
   
   On Windows:  
       - runmqakm -cert -extract -db %HOMEDRIVE%\Users\alice\.mqs\alicekey.kdb -pw passw0rd -label Alice_Cert -target alice_public.arm  
       - runmqakm -cert -add -db %HOMEDRIVE%\Users\bob\.mqs\bobkey.kdb -pw passw0rd -label Alice_Cert -file alice_public.arm
   

3. alice がその鍵ストア内に bob の証明書 (の公開部分) を保有しており、bob がその鍵ストア内に alice の証明書 (の公開部分) を保有していることを確認します。 これを行うには、証明書の詳細を出力する以下のコマンドを実行します。

   For alice:
       - On Mac: runmqakm -cert -details -db ~/alice/.mqs/alicekey.kdb -pw passw0rd -label Bob_Cert
       - On Linux: runmqakm -cert -details -db /home/alice/.mqs/alicekey.kdb -pw passw0rd -label Bob_Cert  
       - On Windows: runmqakm -cert -details -db %HOMEDRIVE%\Users\alice\.mqs\alicekey.kdb -pw passw0rd -label Bob_Cert  
   
   For bob:
       - On Mac: runmqakm -cert -details -db ~/bob/.mqs/bobkey.kdb -pw passw0rd -label Alice_Cert
       - On Linux: runmqakm -cert -details -db /home/bob/.mqs/bobkey.kdb -pw passw0rd -label Alice_Cert  
       - On Windows: runmqakm -cert -details -db %HOMEDRIVE%\Users\bob\.mqs\bobkey.kdb -pw passw0rd -label Alice_Cert  
   

alice および bob の keystore.conf ファイルの作成

AMS インターセプターは、鍵ストアの場所と使用する証明書のラベルの詳細が含まれている、ユーザー (このチュートリアルでは、alice および bob) の構成ファイルを予期します。 AMS は、メッセージの署名と暗号化、およびエンドツーエンド保護の ID 検査のためにそれらを必要とします。 AMS は、構成ファイルの名前が " keystore.conf" であり、プレーン・テキスト形式の詳細が含まれていることを予期します。 それぞれのユーザーに、別個の keystore.conf ファイルが必要です。

このセクションでは、alice および bob の keystore.conf ファイルを作成する方法を説明します。

1. ユーザー alice の .mqs ディレクトリーに新規ファイル keystore.conf を作成し、このファイルに以下の内容をコピーします。

   Mac の場合:

   cms.keystore=~/alice/.mqs/alicekey  
   cms.certificate=Alice_Cert  
   

   Linux の場合:

   cms.keystore=/home/alice/.mqs/alicekey  
   cms.certificate=Alice_Cert  
   

   Windows の場合:

   cms.keystore=%HOMEDRIVE%\Users\alice\.mqs\alicekey  
   cms.certificate=Alice_Cert  
   

   • %HOMEDRIVE% を、使用しているコンピューターでの値 (例: C:) に置き換えます。

2. ユーザー bob の .mqs ディレクトリーに新規ファイル keystore.conf を作成し、そのファイルに以下の内容をコピーします。
   Mac の場合:

   cms.keystore=~/bob/.mqs/bobkey  
   cms.certificate=Bob_Cert
   

   Linux の場合:

   cms.keystore=/home/bob/.mqs/bobkey  
   cms.certificate=Bob_Cert  
   

   Windows の場合:

   cms.keystore=%HOMEDRIVE%\Users\bob\.mqs\bobkey  
   cms.certificate=Bob_Cert  
   

   • %HOMEDRIVE% を、使用しているコンピューターでの値 (例: C:) に置き換えます。

エンドツーエンドのメッセージ保護のテスト

MQ Advanced Message Security は、以下を提供します。

• メッセージ保全性: メッセージごとのインバウンド・トラフィックの認証を可能にするとともに、メッセージの送信先にできるキューとメッセージを受け取ることができる受信者についての厳密な制限を可能にします。
• メッセージ・プライバシー: AMS は、ターゲット・キューに設定された保護ポリシーに基づいて、メッセージがキューに入れられる前からメッセージを暗号化して、その内容が公開されないようにします。

エンドツーエンド・メッセージ・セキュリティーを実証するには、メッセージの保全性とメッセージのプライバシーを実証する必要があります。 ここでは、まずメッセージの保全性の実証から始めることにします。メッセージの保全性がある状態とは、無許可ユーザーに、保護キューへのアクセスが許可されていない状態です。 その後、許可ユーザー (この例では alice と bob) が保護キューでメッセージを送受信できるかどうかを確認します。 最後に、保護キューに保存中のメッセージが暗号化されていて読み取り不可能であることを実証します。

付録 1: connection_info.txt

キュー・マネージャー接続の詳細を含む connection_info.txt ファイルを取得するには、次のようにします。

1. 表に示されている関連サービスをクリックして、IBM クラウド・サービス・インスタンスにログインします
   
2. これにより、「キュー・マネージャー」ビューが開きます。 接続情報の取得元となるキュー・マネージャーを選択します
   
3. 「接続情報」 をクリックします。
4. このファイルを「JSON テキスト形式」でダウンロードします。

付録 2: platformApiKey.json

管理者 API キーを作成またはリセットするには、以下のようにします。

1. 表に示されている関連サービスをクリックして、IBM クラウド・サービス・インスタンスにログインします
   

2. これにより、「キュー・マネージャー」ビューが開きます。 接続情報の取得元となるキュー・マネージャーを選択します
   

3. 次に、 「管理」 タブを選択します。
   

4. 次に、 **「リセット」 IBM Cloud API キー」**をクリックします。
   この MQ ユーザー名の以前の管理 API キーは、 無効になります。

   

   ボタンに **「IBM Cloud API キーの作成」**と表示されている場合は、以前にこの方法で API キーが作成されていません。 **「IBM Cloud API キーの作成」**ボタンをクリックします。

5. 「ダウンロード」 をクリックして、管理者ユーザー名と API キーを含む platformApiKey.json をダウンロードします。
   

付録 3: IBM MQ C クライアント

IBM MQ Client コマンド・ライン・ツールおよびサンプル (runmqsc、amqsputc、amqsgetc) がない場合は、ここからダウンロードできます。

1. 次に示す最新のパッケージを選択します。執筆時点での最新バージョンは 9.1.0 です
   

2. 次に示すように、パッケージの左側にあるボックスにチェック・マークを付けて、「IBM MQC redistributable client for <Your Operating System>」を選択します。 ファイル名には Redist が含まれているはずです。 このチュートリアルは、Linux Ubuntu オペレーティング・システムを使用して作成されました。

3. HTTPS 経由でダウンロードすることを選択します。これにより、次のように、ブラウザーで直接クライアントをダウンロードできます。
   

   このオプションが表示されていない場合は、別のブラウザーで試してください。

4. 「続行」をクリックすると、 次に示す画面にリダイレクトされます。 赤い円で示したシンボルをクリックして、ダウンロードを開始します。
   

5. ダウンロードしたら、任意のディレクトリー <PATH_TO_MQCLIENT_DIR> にファイルを解凍します。

   • tar -xvzf <IBM-MQC-Redist>.tar.gz <PATH_TO_MQCLIENT_DIR>

6. パスにコマンドを追加します。

   • export PATH=$PATH:<PATH_TO_MQCLIENT_DIR>/bin:<PATH_TO_MQCLIENT_DIR>/samp/bin