Конфигурирование Optim High Performance Unload для сред Db2 с шифрованием
В этой главе описываются параметры, которые могут потребоваться при конфигурировании Optim High Performance Unload для сред Db2 с шифрованием.
- основанные на использовании локального файла склада ключей для хранения ключа шифрования,
- основанные на хранении ключа шифрования на централизованном складе ключей на сервере KMIP,
- сконфигурированные для хранения ключа шифрования на складе ключей PKCS#11, управляемом с помощью материала HSM.
Конфигурирование склада ключей
При выполнении Optim High Performance Unload для среды Db2 с шифрованием необходимо определить соответствующую конфигурацию склада ключей для доступа к ключам шифрования, чтобы выгрузить данные из этой среды в собственном режиме.
Если Optim High Performance Unload запускается для активной базы данных, он выясняет конфигурацию склада ключей у самого менеджера базы данных Db2 путем конфигурирования параметров KEYSTORE_TYPE и KEYSTORE_LOCATION.
Если Optim High Performance Unload выполняется для резервной копии в неавтономном режиме, конфигурация склада ключей определяется по содержимому резервной копии, где такая информация отвечает моменту резервного копирования.
Если Optim High Performance Unload выполняется для резервной копии в автономном режиме, конфигурация склада ключей определяется по файлу конфигурации db2hpu.cfg, в котором тип и положение склада ключей должны быть заданы в параметрах keystore_type и keystore_file соответственно.
Благодаря этому во всех случаях Optim High Performance Unload может воспользоваться готовой точной конфигурацией на уровне Db2, чтобы узнать о складе ключей для поддержки собственного шифрования.
Использование OpenSSL
В некоторых условиях 64-битный пакет OpenSSL должен быть установлен на компьютер, где работает Optim High Performance Unload.
Криптографический компонент OpenSSL используется по умолчанию для декодирования данных и хеширования данных. Интерес доверия к использованию этого компонента для этой возможности состоит в том, что ее достаточно недавние уровни могут распознавать и усиливать встроенное аппаратное ускорение центрального процессора, когда это возможно. В последствии это обеспечивает намного лучшую производительность и намного меньшее потребление ресурсов при запуске продукта в зашифрованной Db2 среде. Если у установленной версии OpenSSL нет этой возможности, то надо обновить его до уровня, имеющего её. Использование OpenSSL для дешифрования и хеширования данных можно отключить, для этого надо задать 'no' для параметра openssl_crypto_usage в файле конфигурации db2hpu.cfg. Если OpenSSL невозможно обновить до соответствующего уровня, рекомендуется сделать так: причина состоит в том, что у уровней OpenSSL, не поддерживающих встроенное аппаратное ускорение центрального процессора, низкая производительность при декодировании данных, по сравнению с опцией шифрования, реализованной в самом продукте Optim High Performance Unload.
Компонент OpenSSL SSL/TLS используется для соединения с сервером KMIP, запуская продукт в зашифрованной среде, в которой работает централизованный управляемый склад ключей. Чтобы получить ключ шифрования с централизованного склада ключей под управлением сервера KMIP, с ним нужно установить защищенное соединение SSL для обмена информацией по подсети. В Optim High Performance Unload протокол SSL реализуется с использованием OpenSSL. В связи с этим для гарантии успешного использования Optim High Performance Unload для шифрованной среды Db2, сконфигурированной с централизованным складом ключей, нужно предварительно установить на компьютере пакет OpenSSL.
Если для использования Optim High Performance Unload требуется OpenSSL, связанные с ним библиотеки OpenSSL должны находиться в одном из системных каталогов, чтобы, когда понадобятся, быть найденными Optim High Performance Unload.
Используются две библиотеки в составе OpenSSL: ssl и crypto. На платформах AIX эти библиотеки ищут, соответственно, по именам libssl.a и libcrypto.a. На платформах Linux и Windows у этих библиотек могут быть другие имена, в зависимости от уровня установленного OpenSSL. На этих платформах Optim High Performance Unload внутренне распознает список имен этих библиотек, и пробует их исследовать со всеми этими именами. Если библиотеки устанавливаются с помощью файлов с именами, отсутствующими в этих списках, то их исследование может все равно завершиться неудачно. В этом случае нужные для данного компьютера имена файлов можно задать в файле конфигурации db2hpu.cfg в параметрах openssl_api_ssl и openssl_api_crypto.