시스템 키 저장소를 사용하여 키 저장소 설정 단순화

Windows에서 MSCS (Microsoft Certificate Store) 를 사용하여 Db2 서버 및 클라이언트의 인증서에 대한 액세스를 단순화할 수 있습니다. 또한 Linux 및 AIX 플랫폼에서 실행 중인 Db2 클라이언트는 시스템 인증서 번들과 인터페이스하여 인증서 설정을 단순화할 수 있습니다.

Windows 플랫폼에서 MSCS 액세스

MSCS를 사용하여 루트 인증서 및 엔드 포인트 인증서 모두를 저장할 수 있습니다. 네트워크의 Windows 서버가 이미 Db2 네트워크의 Windows 서버가 이미 MSCS를 사용하고 있는 경우, 자체 키 저장소를 만드는 데 드는 시간과 노력을 절약할 수 있습니다.

인터넷 옵션 대화 상자를 통해 MSCS에 액세스합니다(예: 제어판 > 인터넷 옵션). 컨텐츠 탭 및 인증서를 차례로 클릭하면 MSCS에 포함된 모든 인증서에 액세스할 수 있습니다.

다음 인증서는 MSCS에 포함되어 있습니다.
  • 현재 사용자 계정에 발행된 개인용 인증서.
  • 현재 서버의 다른 사용자에게 지정된 인증서.
  • 중간 및 루트 인증 기관 (CA).
  • 인증서의 신뢰할 수 있는 발행자 및 신뢰할 수 없는 발행자.
  • 스마트카드에 있는 인증서입니다.
    참고: 스마트카드에 있는 인증서에 대한 지원은 Db2 11.5.4 이상에서 사용 가능합니다.
중요: 친숙한 이름 컬럼의 항목은 인증서 파일 또는 키 저장소에 있는 Label 값과 동일합니다. MSCS에서는 첫 번째 어커런스만 사용하므로 중복된 친숙한 이름 값을 감시하십시오.

인터넷 옵션 대화 상자 또는 IBM Global Security Kit (GSKit) 명령행 도구를 사용하여 인증서 및 인증서 체인을 가져오거나 내보낼 수 있습니다. IBM Global Security Kit (GSKit) 명령행 도구를 사용하여 MSCS에 액세스하려면 대상 데이터베이스로 -db GSK_MS_CERTIFICATE_STORE 를 입력하십시오.

Db2 를 MSCS와 통합

IBM Global Security Kit (GSKit) 이 MSCS를 키 데이터베이스로 인식하도록 하려면 다음을 수행하십시오.
  1. Db2 서버에 Db2 인스턴스 소유자로 로그인하고 다음 DBM CFG 구성 매개변수를 설정하십시오.
    SSL_SVR_KEYDB  GSK_MS_CERTIFICATE_STORE
SSL_SVR_STASH  NULL
  2. Db2 클라이언트에서 클라이언트 키 저장소 값을 GSK_MS_CERTIFICATE_STORE로 설정하십시오.
    • MSCS를 사용할 때 클라이언트 키 저장소 비밀번호 또는 스태쉬 파일을 설정하지 마십시오.
    • KI DT172470을 사용하는 Db2 설치에서 스마트카드의 인증서에 액세스하려면 클라이언트 키 저장소 값을 MSCNG로 설정하십시오.
    • 클라이언트가 DBM CFG 매개변수를 사용하여 구성된 경우 다음 DBM CFG 매개변수를 설정하십시오.
      SSL_CLNT_KEYDB GSK_MS_CERTIFICATE_STORE SSL_SVR_STASH NULL
    • 클라이언트가 db2cli.ini 또는 연결 문자열을 사용하여 구성된 경우 SSLClientKeystoredb 키워드를 설정하고 SSLClientKeystoreDBPasswordSSLClientKeystash 키워드를 제거하십시오.
      SSLClientKeystoredb=GSK_MS_CERTIFICATE_STORE
    • 클라이언트가 db2dsdriver.cfg 파일을 사용하여 구성된 경우 SSLClientKeystoredb 키워드를 설정하고 SSLClientKeystoreDBPasswordSSLClientKeystash 키워드를 제거하십시오.
      <parameter name="SSLClientKeystoredb" value="GSK_MS_CERTIFICATE_STORE"/>
주: GSKit은 컴퓨터 계정이 아닌 현재 사용자 계정과 연관된 인증서에 대해 작업합니다.

Linux 및 AIX 의 시스템 인증서 저장소를 IBM Global Security Kit (GSKit) 과 통합

KI DT244530가 포함된 Db2 릴리스에서 Db2 간소화된 SSL 기능은 인증서 번들을 지원합니다. 단순화된 SSL을 시스템 인증서 번들과 통합하려면 플랫폼에 따라 SSLServerCertificate 매개변수를 다음 값 중 하나로 설정해야 합니다.
Red Hat Enterprise Linux (RHEL) 플랫폼의 경우
/etc/pki/tls/certs/ca-bundle.crt
SUSE Linux Enterprise Server (SLES) 플랫폼의 경우
/etc/ssl/ca-bundle.pem
Ubuntu 플랫폼의 경우
/etc/ssl/certs/ca-certificates.crt
AIX 플랫폼의 경우
/var/ssl/certs/tls-ca-bundle.pem
자세한 정보는 SSLServerCertificate IBM Data Server Driver 구성 키워드를 참조하십시오.