Configurando suporte a TLS em um servidor Db2

Quando você criou o seu armazenamento de chaves e certificado digital, e distribuiu o certificado para suas máquinas clientes Db2 , você está pronto para configurar o suporte TLS em seu servidor Db2 . A configuração é feita adicionando valores ao arquivo de configuração do Banco de Dados configurado quando você criou o seu certificado auto-assinado.

Procedimento

  1. Configure os parâmetros de configuração do gerenciador de banco de dados SSL_SVR_KEYDB e SSL_SVR_STASH para referencia a loja de chaves e arquivo stash que foram criados anteriormente. Estes devem ser caminhos totalmente qualificados.
    db2 update dbm cfg using SSL_SVR_KEYDB /path/to/server.p12
db2 update dbm cfg using SSL_SVR_STASH /path/to/server.sth
  2. Configure o parâmetro de configuração ssl_svr_label para o rótulo do certificado digital criado na etapa Criar um certificado auto-assinado.
    db2 update dbm cfg using SSL_SVR_LABEL myselfsigned
  3. Configure o parâmetro de configuração SSL_SVCENAME para a porta na qual Db2 atende conexões TLS.
    Se o TCP/IP e o TLS estiverem ambos ativados, então a variável de registro DB2COMM será definida como TCPIP, SSL. Neste caso, deve-se configurar o valor SSL_SVCENAME para uma porta diferente da porta para a qual svcename está configurado. O parâmetro de configuração svcename configura a porta na qual Db2 atende conexões TCP/IP.
    Se você configurar SSL_SVCENAME para a mesma porta como svcename, nem TCP/IP nem TLS estão ativados.
    db2 update dbm cfg using SSL_SVCENAME 25001
  4. Defina o parâmetro SSL_VERSIONS como TLSV12. A versão padrão do TLS no Db2 11.5 é o TLS 1.1, que está obsoleto. 
    db2 update dbm cfg using SSL_VERSIONS TLSV12
  5. A partir do Db2 11.5.8, o suporte para TLS 1.3 está disponível. Para ativar o suporte TLS 1.3 e TLS 1.2 , configure SSL_VERSIONS como TLSV12,TLSV13.
    db2 update dbm cfg using SSL_VERSIONS TLSV12,TLSV13
    Nota: restrições para os tipos de certificado e tamanhos de chave permitidos se aplicam quando o TLS 1.3 está ativado. Para obter mais informações, consulte Primeiras etapas para ativar o TLS em servidores e clientes Db2.
  6. Opcional: Configure o parâmetro SSL_CIPHERSPECS para indicar quais são as suites cifradas a serem usadas. Se você deixar ssl_cipherspecs como nulo (desconfigurado), o IBM Global Security Kit (GSKit) poderá selecionar o conjunto de cifras mais forte disponível suportado pelo cliente e pelo servidor. Veja Suites cifradas de cifras para obter informações sobre quais suites cifradas estão disponíveis.
  7. Adicionar o valor TLS à variável de registro DB2COMM . 
    db2set -i db2inst1 DB2COMM=SSL
    onde db2inst1 é o nome da instância Db2 .
    O gerenciador de banco de dados pode suportar protocolos múltiplos ao mesmo tempo.
    Por exemplo, para ativar os protocolos de comunicação TCP/IP e TLS, execute o seguinte comando:
    db2set -i db2inst1 DB2COMM=SSL,TCPIP
  8. Reiniciar a instância Db2 : 
    db2stop db2start

O que fazer em seguida

O seu servidor Db2 agora está configurado para comunicação segura com clientes Db2 suportados, usando TLS.