Vereinfachen Sie die Keystore-Konfiguration mit dem System-Keystore.
Sie können den Zugriff auf Zertifikate auf Db2 -Servern und -Clients vereinfachen, indem Sie den Microsoft Certificate Store (MSCS) unter Windows verwenden. Darüber hinaus können Db2 -Clients, die auf Linux -und AIX -Plattformen ausgeführt werden, die Zertifikatskonfiguration vereinfachen, indem sie mit dem Systemzertifikatspaket interagieren.
Auf Windows-Plattformen auf MSCS zugreifen
Das MSCS kann zum Speichern sowohl von Rootzertifikaten als auch von Endpunktzertifikaten verwendet werden. Wenn Windows-Server in Ihrem Netzwerk Db2 bereits MSCS verwenden, können Sie sich die Zeit und den Aufwand für die Erstellung eigener Keystores sparen.
Der Zugriff auf den MSCS erfolgt über das Dialogfeld für Internetoptionen (z. B. über Systemsteuerung > Internetoptionen). Durch Klicken auf die Registerkarte Inhalt und dann auf Zertifikate können Sie auf alle Zertifikate zugreifen, die im MSCS enthalten sind.
- Persönliche Zertifikate, die an das aktuelle Benutzerkonto ausgegeben werden.
- Zertifikate, die anderen Benutzern auf dem aktuellen Server zugewiesen sind.
- Temporäre und Stammzertifizierungsstellen (CAs).
- Vertrauenswürdige und nicht vertrauenswürdige Publisher von Zertifikaten.
- Auf Smartcards vorhandene Zertifikate.Hinweis: Unterstützung für Zertifikate auf Smartcards ist in Db2 11.5.4 und höher verfügbar.
Label -Werten, die in einer Zertifikatsdatei oder einem Keystore gefunden werden. Achten Sie auf doppelte Werte für Ausführlicher Name, da nur das erste Vorkommen von MSCS verwendet wird.Sie können Zertifikate und Zertifikatsketten über das Dialogfeld Internetoptionen oder die Befehlszeilentools von IBM Global Security Kit (GSKit) importieren oder exportieren. Um die Befehlszeilentools von IBM Global Security Kit (GSKit) für den Zugriff auf MSCS zu verwenden, geben Sie -db GSK_MS_CERTIFICATE_STORE als Zieldatenbank ein.
Db2 in MSCS integrieren
- Melden Sie sich bei Ihrem Db2 -Server als Eigner der Db2 -Instanz an und legen Sie die folgenden Konfigurationsparameter für DBM CFG fest:
SSL_SVR_KEYDB GSK_MS_CERTIFICATE_STORE SSL_SVR_STASH NULL - Setzen Sie auf einem Db2 -Client den Clientschlüsselspeicherwert auf
GSK_MS_CERTIFICATE_STORE.- Legen Sie weder das Client-Keystore-Kennwort noch die Stashdatei fest, wenn Sie MSCS verwenden.
- Wenn Sie in Db2 -Installationen mit KI DT172470auf Zertifikate auf einer Smartcard zugreifen möchten, setzen Sie den Wert des Client-Keystores auf MSCNG.
- Wenn der -Client mit den DBM CFG-Parametern konfiguriert wird, legen Sie die folgenden DBM CFG-Parameter fest.
SSL_CLNT_KEYDB GSK_MS_CERTIFICATE_STORE SSL_SVR_STASH NULL - Wenn der Client über die db2cli.ini oder eine Verbindungszeichenfolge konfiguriert wird, legen Sie das Schlüsselwort
SSLClientKeystoredbfest und entfernen Sie die SchlüsselwörterSSLClientKeystoreDBPasswordundSSLClientKeystash:SSLClientKeystoredb=GSK_MS_CERTIFICATE_STORE - Wenn der Client mithilfe der Datei db2dsdriver.cfg konfiguriert wird, legen Sie das Schlüsselwort
SSLClientKeystoredbfest und löschen Sie die SchlüsselwörterSSLClientKeystoreDBPasswordundSSLClientKeystash:<parameter name="SSLClientKeystoredb" value="GSK_MS_CERTIFICATE_STORE"/>
Systemzertifikatsspeicher unter Linux und AIX mit IBM Global Security Kit (GSKit) integrieren
SSLServerCertificate je nach Plattform auf einen der folgenden Werte gesetzt werden.- Für Red Hat Enterprise Linux (RHEL)-Plattformen
/etc/pki/tls/certs/ca-bundle.crt- Für SUSE Linux Enterprise Server (SLES) -Plattformen
/etc/ssl/ca-bundle.pem- Für Ubuntu -Plattformen
/etc/ssl/certs/ca-certificates.crt- Für AIX -Plattformen
/var/ssl/certs/tls-ca-bundle.pem