Configuración del soporte TLS en un servidor Db2

Cuando haya creado el almacén de claves y el certificado digital, y haya distribuido el certificado a las máquinas cliente de Db2 , estará preparado para configurar el soporte TLS en el servidor de Db2 . La configuración se realiza añadiendo valores al archivo de configuración del gestor de bases de datos que ha establecido al crear el certificado autofirmado.

Procedimiento

  1. Establezca los parámetros de configuración del gestor de bases de datos SSL_SVR_KEYDB y SSL_SVR_STASH para hacer referencia al almacén de claves y al archivo de ocultación que se han creado anteriormente. Estas deben ser vías de acceso totalmente calificadas.
    db2 update dbm cfg using SSL_SVR_KEYDB /path/to/server.p12
db2 update dbm cfg using SSL_SVR_STASH /path/to/server.sth
  2. Establezca el parámetro de configuración ssl_svr_label en la etiqueta del certificado digital creado en el paso Crear un certificado autofirmado.
    db2 update dbm cfg using SSL_SVR_LABEL myselfsigned
  3. Establezca el parámetro de configuración SSL_SVCENAME en el puerto en el que Db2 escucha las conexiones TLS.
    Si TCP/IP y TLS están ambos habilitados, la variable de registro DB2COMM se establece en TCPIP, SSL. En este caso, debe establecer el valor SSL_SVCENAME en un puerto distinto del puerto en el que se ha establecido svcename . El parámetro de configuración svcename establece el puerto en el que Db2 escucha las conexiones TCP/IP.
    Si establece SSL_SVCENAME en el mismo puerto que svcename, ni TCP/IP ni TLS están habilitados.
    db2 update dbm cfg using SSL_SVCENAME 25001
  4. Establezca el parámetro SSL_VERSIONS en TLSV12. La versión TLS por defecto en Db2 11.5 es TLS 1.1, que está obsoleta. 
    db2 update dbm cfg using SSL_VERSIONS TLSV12
  5. A partir de Db2 11.5.8, el soporte para TLS 1.3 está disponible. Para habilitar el soporte de TLS 1.3 y TLS 1.2 , establezca SSL_VERSIONS en TLSV12,TLSV13.
    db2 update dbm cfg using SSL_VERSIONS TLSV12,TLSV13
    Nota: Se aplican restricciones a los tipos de certificado permitidos y a los tamaños de clave cuando TLS 1.3 está habilitado. Para obtener más información, consulte Primeros pasos para habilitar TLS en servidores y clientes Db2.
  6. Opcional: Establezca el parámetro SSL_CIPHERSPECS para indicar qué suites de cifrado se van a utilizar. Si deja ssl_cipherspecs como nulo (no establecido), IBM Global Security Kit (GSKit) puede elegir la suite de cifrado más sólida disponible que esté soportada por el cliente y el servidor. Consulte Suites de cifrado soportadas para obtener información sobre qué suites de cifrado están disponibles.
  7. Añada el valor TLS a la variable de registro DB2COMM . 
    db2set -i db2inst1 DB2COMM=SSL
    donde db2inst1 es el nombre de instancia de Db2 .
    El gestor de bases de datos puede utilizar varios protocolos al mismo tiempo.
    Por ejemplo, para habilitar los protocolos de comunicación TCP/IP y TLS, ejecute el mandato siguiente:
    db2set -i db2inst1 DB2COMM=SSL,TCPIP
  8. Reinicie la instancia de Db2 : 
    db2stop db2start

Qué hacer a continuación

El servidor de Db2 está ahora configurado para la comunicación segura con clientes Db2 soportados, utilizando TLS.