这是可选配置
要使用 DM 自签名证书在 DSA 数据路径中为 DM DSA 作业启用 TLS 1.2 加密,请运行 dsa_tlscert.py 脚本,该脚本位于 dmdsa_TLSconfig 目录下的包目录中。
- 源系统和目标系统都必须支持 TLSv1.2 加密。要验证,请在系统上运行以下命令:“openssl ciphers -v | grep TLS”
- 脚本需要从 DM/DSC 守护程序服务器连接到源/目标系统上的端口 22,以复制文件和运行命令。请确保端口已启用。
- 如果端口 22 因安全原因而未打开,请联系客户支持人员,请求通过手动配置启用 DSA TLS 1.2 加密。
HELP: dsa_tlscert.py --source <source_TDPID> --source_username <source_system_username> --source_password <source_system_password>[/ --source_identity_file <identity_file>] --target <target_TDPID> --target_username <target_system_username> --target_password <target_system_password>[/ --target_identity_file <identity_file>] ] ] --help | --help Displays Help --source | --TDPIP/name of source system Source system name --source_username | --source sytem user that has sudo permission Ex: root, ec-user, azureuser, gcpuser --source_password | --Source sudo user password or --source_identity_file | --identity file that includes the private key ** --target | --TDPIP/name of Target system Target system name --target_usrname | --Target sytem user that has sudo permission Ex: root, ec-user, azureuser, gcpuser --target_password | --Target sudo user password or --target_identity_file | --identity file that includes the private key **
Example command: python3 dsa_tlscert.py --source sdt35178 --source_username root --source_password datamover --target sdt35179 --target_username root --target_password datamover
此脚本使用自签名证书为 DM DSA 作业在源 sss 和目标 ttt 之间启用 TLS 1.2 加密。
此脚本不支持共享 clienthandler 上的现有 BAR DSA TLS 1.2 证书。
- 为源 sss 和目标 ttt 生成一对新的自签名证书。
- 这将为 DSMAIN 和 clienthandler 生成 TLS 1.2 证书
- 将 clienthandler.properties 复制到 clienthandler.properties.dm_dsaTLS(添加了 TLS 属性)
- 运行 enableTLS_dsc.sh 脚本,将 dsc.properties 复制到 dsc.properties.tls(添加了 TLS 属性)
如果 sss 和 ttt 上的证书已经存在,则此选项将覆盖该证书。如果一个系统已经与其他第三个系统进行了 TLS 1.2 加密,请选择选项 2 或 3。
- 为源 sss 生成一个新的自签名证书,并使用来自目标 ttt 的 DM 生成的现有自签名证书。
- 使用来自源 sss 的 DM 生成的现有自签名证书,并为目标 ttt 生成新的自签名证书。
要完成 TLS 1.2 加密,请在 DSMAIN 和 clienthandler 可以重新启动时手动执行以下步骤:
- 对于安装了 clienthandler 的新加密的 DSA 系统,请将 clienthandler.properties.dm_dsaTLS 复制到 clienthandler.properties,并重新启动所有节点上的 clienthandler
- 如果 DSC 先前未启用 TLS,将 dsc.properties.tls 复制到 dsc.properties 并重新启动 DSC
- 使用 dsa_configsys 或 dsc commandline 重新配置新加密的 DSA 系统
要禁用 TLS 1.2 加密:
- 编辑 dsc.properties,以设置 tls.datapath.enabled=false
- 重新启动 DSC
- 使用 dsa_configsys 或 dsc 命令行重新配置源系统并重新启动 dsmain
- 使用 dsa_configsys 或 dsc 命令行重新配置目标系统并重新启动 dsmain。