IBM Cloud Docs
SSL 接続

SSL 接続

Db2 on Cloud データベースは、サード・パーティーのデジタル認証局 (CA) によって発行された証明書を SSL 接続に使用します。

CA 証明書は、Db2 ドライバー・パッケージの一部です。 アプリケーションが Db2 ドライバー・パッケージ内のドライバーを使用して接続する場合には、証明書を別途ダウンロードする必要はありません。 Db2 ドライバー・パッケージは、Web コンソールからダウンロードできます。

ただし、アプリケーションに独自のドライバーがある場合は、証明書を別途ダウンロードする必要が生じることがあります。 証明書は、Web コンソールからダウンロードできます。

Secure Sockets Layer (SSL) は、通信のプライバシーを提供するセキュリティー・プロトコルの 1 つです。 SSL により、クライアント・アプリケーションとサーバー・アプリケーションは、盗聴、改ざん、メッセージ偽造を防ぐために設計された方法で通信を行うことができます。 SSL を使用可能にしたクライアント・アプリケーションは、標準的な暗号化の手法を使用するので、確実にセキュア通信を行うのに役立ちます。

Db2 クライアントの構成

IBM Global Security Kit (GSkit) は、Db2 リリース 9.5 以降に付属しています。。 ただし、GSKit はダウンロードして構成する必要があります。GSKit の構成を参照してください。

  1. Web コンソールから新規ディレクトリーに SSL 証明書をダウンロードします。

    db2inst1@macing1:/home/db2inst1> mkdir SSL
db2inst1@macing1:/home/db2inst1> cd SSL
db2inst1@macing1:/home/db2inst1/SSL>

  2. SSL ディレクトリー内に鍵ストアを作成します。 以下のコマンド例は Linux の場合です。

    gsk8capicmd_64 -keydb -create -db "mykeystore.kdb" -pw "passw0rd" -stash

    このディレクトリーに対する書き込み権限が必要です。権限がない場合、エラーが表示されます。

  3. 鍵ストアに SSL 証明書を追加します。 以下のコマンド例は Linux の場合です。

    gsk8capicmd_64 -cert -add -db "mykeystore.kdb" -pw "passw0rd" -label ACIBLUDB_SSL -file /home/db2inst1/SSL/DigiCertGlobalRootCA.crt

  4. Db2 データベース・マネージャーを更新します。 以下のコマンド例は Linux の場合です。

    db2 update dbm cfg using SSL_CLNT_KEYDB /home/db2inst1/SSL/mykeystore.kdb
db2 update dbm cfg using SSL_CLNT_STASH /home/db2inst1/SSL/mykeystore.sth

データベースへの接続

<BLUDB_database_server> のホスト名、ポート、ユーザー名、およびパスワードは、IBM Cloud コンソール内の、サービス用のサービス資格情報に記載されています。

  1. ノードとデータベースをカタログします。 以下のコマンド例は Linux の場合です。
    db2 catalog tcpip node ACICLD_S remote <hostname_of_BLUDB_database_server> server <port_of_BLUDB_database_server> security SSL

    db2 catalog db BLUDB as ACIBLU_S at node ACICLD_S
  2. SSL 接続でデータベースに接続します。 以下のコマンド例は Linux の場合です。
    db2 terminate

    db2 connect to ACIBLU_S user <user_name> using <password>

詳しくは、非 Java Db2 クライアントの Secure Sockets Layer (SSL) サポートの構成を参照してください。

GSKit の構成

  1. ご使用のオペレーティング・システム (OS) に適した GSKit を選択して、IBM Global Security Kit (GSKit) をダウンロードします。

  2. Db2 on Cloud Web コンソールの**「接続情報 (Connection Information)」**セクションから、SSL 証明書をダウンロードします。 SSL 証明書ファイルを、後続のコマンドで参照できるディレクトリーに保管します。

  3. GSKit をインストールします。 以下のリンクで手順をご確認ください。

    詳しくは、IBM Global Security Kit のグローバル・インストールの説明の概要を参照してください。

  4. 環境変数のパスを設定します。

    • AIX: LIBPATH /usr/opt/ibm/gsk8/lib

    • Linux: LD_LIBRARY_PATH /usr/local/ibm/gsk8/lib

    • UNIX: LD_LIBRARY_PATH /opt/ibm/gsk8/lib

    • Windows: PATH <installation_directory>\gsk8\bin``<installation_directory>\gsk8\lib (GSKit 64-bit の場合、lib64)