Ativando o TLS 1.3 em um ambiente do Db2 no qual o TLS já está em uso

É possível ativar o suporte do TLS 1.3 em um ambiente do Db2 que já usa o TLS.

Antes de iniciar

Nota: Para ativar o TLS em um novo ambiente, veja estes tópicos:
  • Certidão-se de que o certificado escolhido para o parâmetro de configuração do gerenciador de banco de dados Db2 SSL_SVR_LABEL usa um algoritmo de assinatura SHA-256, SHA-384ou SHA-512 .
  • Se o certificado usar uma chave pública RSA, garantir que o tamanho da chave seja 2048 bits ou maior. Execute o comando gsk8capicmd_64 com a opção -cert -details para determinar os detalhes do certificado.
  • Se o certificado não atender a essas restrições, ele deve ser recriado antes de continuar.
  • Se o HADR estiver em uso e o parâmetro de configuração do banco de dados HADR_SSL_LABEL estiver configurado, o certificado referenciado por HADR_SSL_LABEL não deve usar um algoritmo de assinatura SHA-224 . Se o certificado referenciado por HADR_SSL_LABEL usar um algoritmo de assinatura SHA-224 , ele deverá ser recriado antes de continuar.
    Nota: para compatibilidade com versões anteriores, o HADR permite o uso de certificados SHA-1 e tamanhos de chave RSA menores que 2048 bits para o HADR quando o TLS 1.3 está ativado. O suporte para os tamanhos de chave SHA-1 e RSA menores que 2048 bits foi descontinuado e pode não estar disponível em uma liberação futura
  • Revise a página Primeiras etapas na ativação do TLS nos servidores e clientes do Db2 para aprender sobre as restrições e as mudanças que se aplicam ao ativar o TLS 1.3.

Procedimento

Quando tiver certeza de que sua instância do Db2 atenda a todas as condições de pré-requisito, conclua as etapas a seguir para ativar o TLS 1.3 em um servidor Db2 .

  1. Atualize o servidor Db2 para a versão 11.5.8 ou superior.
  2. Atualize a configuração do gerenciador de banco de dados SSL_VERSIONS para TLSV13:
    db2 update dbm cfg using SSL_VERSIONS TLSV13
    Em um ambiente com clientes que não suportam TLS 1.3, várias versões de TLS podem ser especificadas:
    db2 update dbm cfg using SSL_VERSIONS TLSV13,TLSV12
  3. Opcional: revise a lista de especificações cifradas suportadas com TLS 1.3 e atualize o parâmetro de configuração do gerenciador de banco de dados SSL_CIPHERSPECS .

Exemplo

No exemplo a seguir, vemos que o certificado usa um algoritmo de assinatura SHA-256 , uma chave pública RSA e o tamanho da chave é 2048:
$ db2 get dbm cfg

          Database Manager Configuration
...
 SSL server certificate label            (SSL_SVR_LABEL) = myselfsigned

$ db2 get db cfg for test

       Database Configuration for Database test
...
 HADR SSL certificate label             (HADR_SSL_LABEL) =


$ gsk8capicmd_64 -cert -details -db /home/db2inst1/ssl.p12 -stashed -label myselfsigned
Label : myselfsigned
Key Size : 2048
   ...
Public Key Type : RSA (1.2.840.113549.1.1.1)
   ...
Signature Algorithm : SHA256WithRSASignature (1.2.840.113549.1.1.11)

O que fazer em seguida

  • Atualize seus clientes não Java e baseados em Java para Db2 11.5.8 ou mais recente, pois esses clientes suportam o TLS 1.3 automaticamente.
  • Aplique o TLS 1.3 configurando o parâmetro TLSVersion no db2cli.ini, db2dsdriver.cfgou na cadeia de conexão para TLSV13
    <parameter name="TLSVersion" value="TLSV13"/>
  • Impingir a versão TLS para um banco de dados catalogado específico adicionando uma entrada no arquivo de configuração db2dsdriver.cfg , com um nome de banco de dados correspondente, host e número de porta. Veja Enforçar TLS para bancos de dados presentes nos catálogos do sistema.
  • Impingir a versão TLS para todos os bancos de dados (ambos nos catálogos do sistema e no db2dsdriver.cfg) configurando o TLSVersion na seção de parâmetros globais. Veja Enforçar TLS para bancos de dados presentes nos catálogos do sistema.