SSL 连接
Db2 Warehouse on Cloud 数据库使用由第三方数字认证中心 (CA) 签发的证书进行 SSL 连接。
CA 证书是 Db2 驱动程序包的一部分。 如果应用程序与 Db2 驱动程序包中的驱动程序连接,那么无需单独下载该证书。 您可以通过 Web 控制台来下载 Db2 驱动程序包。
但是,如果应用程序有自己的驱动程序,那么您可能需要单独下载该证书。 您可以通过 Web 控制台来下载该证书。
安全套接字层 (SSL) 是一种用于确保通信隐私的安全协议。 SSL 使客户机和服务器应用程序能够以防止窃听、篡改和伪造消息的方式进行通信。 支持 SSL 的客户机应用程序使用标准的加密技术来帮助确保通信安全。
强烈建议配置应用程序以使用 SSL 连接到 Db2 Warehouse on Cloud 数据库。 如果您使用的是无法使用 SSL 连接进行连接的旧应用程序,那么应仅使用非 SSL 连接。
缺省情况下,将在所有新实例和最近部署的实例上实施到 Db2 Warehouse on Cloud 的 SSL 连接,并且将在 2020 年 4 月和 5 月开始在所有旧实例上实施这些连接。 要在 IBM Cloud 系统上启用非 SSL 端口或保持启用非 SSL 端口,请打开 支持案例 以发出该请求。
配置 Db2 客户机
-
通过选择适用于您的操作系统 (OS) 的 GSKit ,下载 IBM Global Security Kit (GSKit) 。
-
从 Db2 Warehouse on Cloud Web 控制台的 连接信息 部分下载 SSL 证书。 将 SSL 证书文件存储在可以在后续命令中引用的目录中。
-
安装 GSKit。 请参阅以下链接以获取指示信息:
有关更多详细信息,请参阅 IBM Global Security Kit 全局安装指示信息概述
-
设置环境变量路径:
-
AIX: LIBPATH
/usr/opt/ibm/gsk8/lib
-
Linux:LD_LIBRARY_PATH
/usr/local/ibm/gsk8/lib
-
UNIX:LD_LIBRARY_PATH
/opt/ibm/gsk8/lib
-
Windows:PATH
<installation_directory>\gsk8\bin
<installation_directory>\gsk8\lib
(lib64
表示 GSKit 64 位)
-
-
创建密钥库。 以下示例命令与 Windows 相关:
gsk8capicmd_64 -keydb -create -db "mykeystore.kdb" -pw "passw0rd" -stash
您必须能够写入目录,否则将发生错误。
-
将 SSL 证书添加到密钥库。 以下示例命令与 Windows 相关:
gsk8capicmd_64 -cert -add -db “mykeystore.kdb” -pw “passw0rd” -label ACIBLUDB_SSL -file c:\ssl\ACI_DigiCertGlobalRootCA.crt
-
更新 Db2 数据库管理器。 以下示例命令与 Windows 相关:
db2 update dbm cfg using SSL_CLNT_KEYDB c:\PROGRA~1\IBM\gsk8\mykeystore.kdb
在 Windows 上,
Program Files
必须使用PROGRA~1
。
与数据库连接
-
[可选] 如果使用 Data Studio,那么现在可以通过选择端口
50001
和sslConnection=true
来连接到数据库。 -
对节点和数据库进行编目。 以下示例命令与 Windows 相关:
db2 catalog tcpip node ACICLD_S remote <IP_address_of_BLUDB_database_server> server 50001 security SSL
db2 catalog db BLUDB as ACIBLU_S at node ACICLD_S
-
使用 SSL 连接连接到数据库。 以下示例命令与 Windows 相关:
db2 terminate
db2 connect to ACIBLU_S user <user_name>
有关更多信息,请参阅 在非Java Db2 客户机中配置安全套接字层 (SSL) 支持。