Creación y habilitación de certificados

Opciones de despliegue: Netezza Performance Server para Cloud Pak for Data System

Aprenda a crear y habilitar certificados si se encuentra en Netezza Performance Server 11.2.1.5, 11.2.2.0 y posteriores, y utiliza cifrados ' ECDHE-ECDSA '.

ECDHE-ECDSA ' cifrado:
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256

Antes de empezar

  1. Compruebe si enable_tls_v12 es ' on.
    show enable_tls_v12;
    Ejemplo:
    show enable_tls_v12;
NOTICE:  ENABLE_TLS_V12 is on
SHOW VARIABLE
  2. Asegúrese de que los certificados " ECDHE-ECDSA " están habilitados en el archivo " postgresql.conf ".

    Para más información, consulte Activar y desactivar cifrados.

Procedimiento

  1. Muestra todos los nombres de los parámetros ' EC ' que están implementados.
    openssl ecparam -list_curves
  2. Crear parámetros ' EC ' y una clave privada.
    openssl ecparam -out server-key.pem -name prime256v1 -genkey
  3. Crear un certificado.
    openssl req -new -key server-key.pem -x509 -nodes -days 365 -out server-cert.pem
  4. Cambia los directorios a ' /nz/kit/share/security.
    cd /nz/kit/share/security
  5. Copia la clave y el certificado en ' /nz/kit/share/security ' y ejecuta los siguientes comandos.
    1. mv server-cert-sp800-131a.pem.sample server-cert-sp800-131a.pem.sample.BKP
    2. mv server-key-sp800-131a.pem.sample server-key-sp800-131a.pem.sample.BKP
    3. mv <new_cert_name> server-cert-sp800-131a.pem.sample
    4. mv <new_key_name> server-key-sp800-131a.pem.sample
    Nota:
    1. Si ha descargado y habilitado el certificado " ECDHE_ECDSA " con estos pasos pero los cifrados " ECDHE_ECDSA " están deshabilitados en el archivo " postgresql.conf ", el certificado no funciona. Asegúrese de que ' activar los cifrados ' o ' descargar el certificado " RSA .
      Los siguientes cifrados funcionan con el certificado RSA predeterminado:
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
      • TLS_AES_256_GCM_SHA384
      • TLS_AES_128_GCM_SHA256
    2. Si deshabilitó ' ECDHE-ECDSA-AES256-GCM-SHA384 o ' ECDHE-ECDSA-AES128-GCM-SHA256, debe revertir los certificados que creó. Si no se revierten los certificados, no se pueden desactivar los cifrados.
  6. Reinicie el sistema.
    1. nzstop
    2. nzstart
  7. Compruebe que se han aplicado los cambios.
    1. Ejecute el mandato nzsql.
      nzsql -u admin -pw password -securityLevel onlySecured
      Ejemplo:
      $  nzsql -u admin -pw password -securityLevel onlySecured
Welcome to nzsql, the IBM Netezza SQL interactive terminal.

Type:  \h for help with SQL commands
       \? for help on internal slash commands
       \g or terminate with semicolon to execute query
       \q to quit

SSL enabled connection. Cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, protocol: TLSv1.2
    2. Busque las siguientes entradas en ' postgres/pg.log.
      DEBUG: readHandshakeClientPacket ssl request=3
DEBUG:  Attempting SSL_accept()
DEBUG:  secure connection: protocol = TLSv1.2
DEBUG:  SSL_accept succeeded with cipher = ECDHE-RSA-AES256-GCM-SHA384