Création et activation de certificats

Options de déploiement : Netezza Performance Server pour Cloud Pak for Data System

Apprenez comment créer et activer des certificats si vous êtes sur Netezza Performance Server 11.2.1.5, 11.2.2.0 et ultérieur, et si vous utilisez les algorithmes de chiffrement ECDHE-ECDSA.

ECDHE-ECDSA chiffrement :
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256

Avant de commencer

  1. Vérifiez si enable_tls_v12 est on.
    show enable_tls_v12;
    Exemple :
    show enable_tls_v12;
NOTICE:  ENABLE_TLS_V12 is on
SHOW VARIABLE
  2. Assurez-vous que les certificats " ECDHE-ECDSA sont activés dans le fichier " postgresql.conf

    Pour plus d'informations, voir Activation et désactivation des chiffrements.

Procédure

  1. Afficher tous les noms des paramètres EC qui sont mis en œuvre.
    openssl ecparam -list_curves
  2. Créez les paramètres EC et une clé privée.
    openssl ecparam -out server-key.pem -name prime256v1 -genkey
  3. Créer un certificat.
    openssl req -new -key server-key.pem -x509 -nodes -days 365 -out server-cert.pem
  4. Modifier les répertoires en '/nz/kit/share/security.
    cd /nz/kit/share/security
  5. Copiez la clé et le certificat sur /nz/kit/share/security et exécutez les commandes suivantes.
    1. mv server-cert-sp800-131a.pem.sample server-cert-sp800-131a.pem.sample.BKP
    2. mv server-key-sp800-131a.pem.sample server-key-sp800-131a.pem.sample.BKP
    3. mv <new_cert_name> server-cert-sp800-131a.pem.sample
    4. mv <new_key_name> server-key-sp800-131a.pem.sample
    Remarque :
    1. Si vous avez téléchargé et activé le certificat " ECDHE_ECDSA en suivant ces étapes, mais que les codes " ECDHE_ECDSA sont désactivés dans le fichier " postgresql.conf, le certificat ne fonctionne pas. Veillez à activer les codes de chiffrement ou à télécharger le certificat RSA.
      Les algorithmes de chiffrement suivants fonctionnent avec le certificat RSA par défaut :
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
      • TLS_AES_256_GCM_SHA384
      • TLS_AES_128_GCM_SHA256
    2. Si vous avez désactivé 'ECDHE-ECDSA-AES256-GCM-SHA384 ou 'ECDHE-ECDSA-AES128-GCM-SHA256, vous devez annuler les certificats que vous avez créés. Si vous ne rétablissez pas les certificats, les chiffrements ne peuvent pas être désactivés.
  6. Redémarrez le système.
    1. nzstop
    2. nzstart
  7. Vérifiez que les modifications ont été appliquées.
    1. Exécutez la commande nzsql.
      nzsql -u admin -pw password -securityLevel onlySecured
      Exemple :
      $  nzsql -u admin -pw password -securityLevel onlySecured
Welcome to nzsql, the IBM Netezza SQL interactive terminal.

Type:  \h for help with SQL commands
       \? for help on internal slash commands
       \g or terminate with semicolon to execute query
       \q to quit

SSL enabled connection. Cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, protocol: TLSv1.2
    2. Recherchez les entrées suivantes dans " postgres/pg.log.
      DEBUG: readHandshakeClientPacket ssl request=3
DEBUG:  Attempting SSL_accept()
DEBUG:  secure connection: protocol = TLSv1.2
DEBUG:  SSL_accept succeeded with cipher = ECDHE-RSA-AES256-GCM-SHA384