これはオプションの構成です。
DM自己署名証明書を使用するDM DSAジョブのDSAデータ パスでTLS 1.2暗号化を有効にするには、dmdsa_TLSconfigディレクトリのパッケージ ディレクトリで使用可能なdsa_tlscert.pyスクリプトを実行します。
- ソースシステムとターゲットシステムの両方がTLSv1.2暗号化をサポートしている必要があります。確認するには、システムで次のコマンドを実行します。"openssl ciphers -v | grep TLS"
- スクリプトは、ファイルをコピーしてコマンドを実行するために、DM/DSCデーモン サーバからソース/ターゲット システムのポート22に接続する必要があります。ポートが有効なことを確認してください。
- セキュリティ上の理由によりポート22が開かない場合は、DSA TLS 1.2暗号化を有効にする手動設定に関してカスタマー サポートに支援を依頼してください。
HELP: dsa_tlscert.py --source <source_TDPID> --source_username <source_system_username> --source_password <source_system_password>[/ --source_identity_file <identity_file>] --target <target_TDPID> --target_username <target_system_username> --target_password <target_system_password>[/ --target_identity_file <identity_file>] ] ] --help | --help Displays Help --source | --TDPIP/name of source system Source system name --source_username | --source sytem user that has sudo permission Ex: root, ec-user, azureuser, gcpuser --source_password | --Source sudo user password or --source_identity_file | --identity file that includes the private key ** --target | --TDPIP/name of Target system Target system name --target_usrname | --Target sytem user that has sudo permission Ex: root, ec-user, azureuser, gcpuser --target_password | --Target sudo user password or --target_identity_file | --identity file that includes the private key **
Example command: python3 dsa_tlscert.py --source sdt35178 --source_username root --source_password datamover --target sdt35179 --target_username root --target_password datamover
このスクリプトは、DM DSAジョブの自己署名証明書を使用して、ソースsssとターゲットttt間のTLS 1.2暗号化を有効にします。
このスクリプトは、共有クライアントハンドラー上の既存のBAR DSA TLS 1.2証明書をサポートしません。
- ソースsssとターゲットtttの新しい自己署名証明書のペアを生成します。
- これにより、DSMAINおよびクライアントハンドラー用のTLS 1.2証明書が生成されます。
- TLSプロパティの追加によって、clienthandler.propertiesをclienthandler.properties.dm_dsaTLSにコピーします。
- TLSプロパティの追加によって、enableTLS_dsc.shスクリプトを実行し、dsc.propertiesがdsc.properties.tlsにコピーされます。
このオプションは、sssとtttの証明書がすでに存在する場合はそれを上書きします。システムのいずれかが別の第3のシステムで既にTLS 1.2暗号化されている場合は、オプション2または3を選択します。
- ソースsss用の新しい自己署名証明書を生成し、ターゲットtttからDM生成による既存の自己署名証明書を使用します。
- ソースsssからDM生成による既存の自己署名証明書を使用して、ターゲットttt用の新しい自己署名証明書を生成します。
TLS1.2暗号化を終了するには、DSMAINおよびクライアントハンドラーを再起動できる場合には、以下の手動手順を実行します。
- クライアントハンドラーがインストールされた状態で新たに暗号化されたDSAシステムでは、clienthandler.properties.dm_dsaTLSをclienthandler.propertiesにコピーし、すべてのノードでクライアントハンドラーを再起動します。
- 以前にDSCでTLSが有効化されていない場合は、dsc.properties.tlsをdsc.propertiesにコピーしし、DSCを再起動します。
- dsa_configsysまたはdsc commandlineを使用して、新たに暗号化されたDSAシステムを再構成します。
TLS 1.2暗号化を無効にするには以下を実行します。
- dsc.propertiesを編集してtls.datapath.enabled=falseを設定します。
- DSCを再起動します。
- dsa_configsysまたはdscコマンドラインを使用して、ソース システムを再構成しdsmainを再起動します。
- dsa_configsysまたはdscコマンドラインを使用して、ターゲット システムを再構成しdsmainを再起動します。