Creación de un almacén de claves con IBM Global Security Kit (GSKit)

Un almacén de claves es una forma reconocida por el sector de almacenar de forma segura claves privadas TLS, certificados raíz y cadenas de certificados. Db2® da soporte al formato IBM propietario Certificate Management System (CMS) y al formato estándar abierto Public-Key Cryptography Standards #12 (PKCS12).

1. Utilice la herramienta GSKCapiCmd para crear el almacén de claves. El almacén de claves debe ser de un tipo CMS (extensión .kdb) o de un tipo PKCS12 (extensión .p12).
   GSKCapiCmd es una herramienta de línea de mandatos no basada en Java y no es necesario instalar Java™ en el sistema para utilizar esta herramienta.

   Inicie GSKCapiCmd ejecutando el mandato,gskcapicmd tal como se describe en la publicación GSKCapiCmd User's Guide. La vía de acceso del mandato es sqllib/gskit/bin en los sistemas operativos Linux® y UNIX, y C:\Program Files\IBM\GSK8\bin en los sistemas operativos Windows de 32 bits y 64 bits. (En plataformas de 64 bits, los archivos ejecutables y las bibliotecas de IBM Global Security Kit (GSKit) de 32 bits también están presentes; en este caso, la ruta del comando es C:\Program Files (x86)\IBM\GSK8\bin ) Asegurar PATH (en sistemas operativos Windows) incluye la ruta de biblioteca adecuada IBM Global Security Kit (GSKit), y LIBPATH, SHLIB_PATH o LD_LIBRARY_PATH (en sistemas operativos UNIX o Linux ) incluyen la ruta de biblioteca adecuada IBM Global Security Kit (GSKit), como sqllib/lib64/gskit.

   Por ejemplo, el mandato siguiente crea un almacén de claves denominado mykeystore.kdb y un archivo de ocultación denominado mykeystore.sth:

   gsk8capicmd_64 -keydb -create -db "mykeystore.kdb" -pw "myServerPassw0rdpw0" 
         -stash

   Un archivo de ocultación es un formato ofuscado (alterado para alterar su legibilidad por los humanos) de una contraseña de almacén de claves. Tener un archivo de ocultación permite a Db2 acceder a un archivo de almacén de claves sin intervención del usuario e impide que los archivos del almacén de claves se lean de forma casual.

   La opción -stash crea un archivo de ocultación en la misma vía de acceso que el almacén de claves, con una extensión de archivo de .sth. Al iniciarse la instancia, IBM Global Security Kit (GSKit) utiliza el archivo stash para obtener la contraseña del almacén de claves.

   Nota: Utilice una protección de sistema de archivos fuerte en el archivo de ocultación. Por omisión, solo el propietario de la instancia tiene acceso a este archivo (tanto acceso de lectura como de escritura).
2. Configure el soporte TLS para su entorno Db2. Véase la configuración TLS de Db2.

gsk8capicmd_64 -cert -list -db mykeystore.p12 –stashed
Certificates found
* default, - personal, ! trusted, # secret key
!  MyRootCA
-  Db2Server

gsk8capicmd_64 -cert -details -label db2Server -db mydbserver.kdb -stashed