您可以在物件儲存體系統中使用自簽憑證來設定安全通訊。 在此狀況下,IBM Spectrum Protect 與物件儲存體系統通訊時會使用 HTTP 而非 HTTP。 下列步驟提供匯入憑證的方法。
關於這項作業
使用 Web 瀏覽器來取得物件儲存體系統所使用的憑證副本。 下列步驟是 Firefox 特有的,但其他瀏覽器提供類似功能。 請參閱您偏好瀏覽器的關於如何匯出憑證的指示。
程序
-
取得 OpenStack Swift 伺服器或 IBM® Cloud Object Storage 所使用的憑證。
-
在瀏覽器「位址列」中鍵入物件儲存體系統的 URL,然後按 Enter 鍵。 使用 OpenStack 的 Keystone 伺服器 URL,或 IBM Cloud Object Storage 的 Accesser 節點 URL。
提示:如果您使用 IBM Cloud Object Storage 作為物件儲存體系統,請登入 IBM Cloud Object Storage,然後按一下安全標籤。 在 dsNet 指紋 區段中,按一下 dsNet 憑證管理中心,並將憑證資訊複製到第 2 部分的憑證檔。
-
接受瀏覽器所顯示的任何警告。
-
按一下瀏覽器「位址列」中的鎖定圖示。
-
在蹦現視窗中選取更多資訊。
-
在頁面資訊視窗中選取檢視憑證。
-
按一下憑證檢視器頁面中的詳細資料標籤,然後選取匯出。
-
將匯出的檔案儲存至所需位置。
-
將憑證新增至 Java™ 預設金鑰儲存庫。
下列步驟假設您的用戶端節點是在 Linux® 上,而您的伺服器是在 Linux 上執行。 因為依預設每一個 IBM Cloud Object Storage 存取器都有自己的憑證,因此請將每一個存取器的憑證新增至金鑰儲存庫,並對每一個憑證使用不同的別名。
-
開啟終端機並切換至 jre/bin 目錄。
預設安裝位置是 /opt/tivoli/tsm/jre/bin。
-
執行下列指令以建立 Java cacerts 檔案的備份副本:
cp ../lib/security/cacerts ../lib/security/cacerts.original。
在 Windows 系統上,Java cacerts 金鑰儲存庫的位置是 install_dir\jre\lib\security\,而 keytool 的位置是 install_dir\jre\bin\。
-
執行下列指令,從前一個程序匯入已儲存的憑證:
./keytool -import -keystore ../lib/security/cacerts -alias somealias -file yourfile
其中 somealias 是金鑰儲存庫中此憑證的唯一別名,如果您有多個憑證,則這一點很重要,而 yourfile 是這些指示的第一步中的憑證路徑和檔名。
-
當系統要求您輸入密碼時,請鍵入 changeit。 如果您已變更您的預設密碼,請鍵入現行密碼。
-
當系統詢問您是否信任此憑證時,請鍵入 yes。
順利新增憑證後,系統會顯示下列訊息:憑證已新增至金鑰儲存庫。 預設憑證的有效期限較短。 當憑證到期時,除非您更新憑證,否則您可能會失去對物件儲存體的存取權。 您可以建立並使用自己的憑證,但本文件不討論如何在物件儲存體系統上建立並安裝這些憑證。
-
重新啟動 IBM Spectrum Protect 伺服器。