17.11 - 在 Data Mover 服务器上为 DSC 启用 TLS 1.2 数据路径加密 - Teradata Data Mover

Teradata® Data Mover 安装、配置和升级指南(适用于客户)

Product
Teradata Data Mover
Release Number
17.11
Published
2021 年 10 月
Content Type
安装
管理
配置
Publication ID
B035-4102-091K-CHS
Language
中文 (简体)
Last Update
2021-11-08
这是可选配置

要使用 DM 自签名证书在 DSA 数据路径中为 DM DSA 作业启用 TLS 1.2 加密,请运行 dsa_tlscert.py 脚本,该脚本位于 dmdsa_TLSconfig 目录下的包目录中。

  • 源系统和目标系统都必须支持 TLSv1.2 加密。要验证,请在系统上运行以下命令:“openssl ciphers -v | grep TLS
  • 脚本需要从 DM/DSC 守护程序服务器连接到源/目标系统上的端口 22,以复制文件和运行命令。请确保端口已启用。
  • 如果端口 22 因安全原因而未打开,请联系客户支持人员,请求通过手动配置启用 DSA TLS 1.2 加密。
HELP: dsa_tlscert.py  --source <source_TDPID> --source_username <source_system_username>  --source_password <source_system_password>[/ --source_identity_file <identity_file>] --target <target_TDPID> --target_username <target_system_username>  --target_password <target_system_password>[/ --target_identity_file <identity_file>] ] ]
--help                   | --help                                                Displays Help
--source                 | --TDPIP/name of source system                         Source system name
--source_username        | --source sytem user that has sudo permission          Ex: root, ec-user, azureuser, gcpuser
--source_password        | --Source sudo user password  or
--source_identity_file   | --identity file that includes the private key **
--target                 | --TDPIP/name of Target system                         Target system name
--target_usrname         | --Target sytem user that has sudo permission          Ex: root, ec-user, azureuser, gcpuser
--target_password        | --Target sudo user password  or
--target_identity_file   | --identity file that includes the private key **
Example command: python3 dsa_tlscert.py --source sdt35178 --source_username root --source_password datamover --target sdt35179 --target_username root --target_password datamover
此脚本使用自签名证书为 DM DSA 作业在源 sss 和目标 ttt 之间启用 TLS 1.2 加密。
此脚本不支持共享 clienthandler 上的现有 BAR DSA TLS 1.2 证书。
  1. 为源 sss 和目标 ttt 生成一对新的自签名证书。
    • 这将为 DSMAIN 和 clienthandler 生成 TLS 1.2 证书
    • clienthandler.properties 复制到 clienthandler.properties.dm_dsaTLS(添加了 TLS 属性)
    • 运行 enableTLS_dsc.sh 脚本,将 dsc.properties 复制到 dsc.properties.tls(添加了 TLS 属性)
    如果 sss 和 ttt 上的证书已经存在,则此选项将覆盖该证书。

    如果一个系统已经与其他第三个系统进行了 TLS 1.2 加密,请选择选项 2 或 3。

  2. 为源 sss 生成一个新的自签名证书,并使用来自目标 ttt 的 DM 生成的现有自签名证书。
  3. 使用来自源 sss 的 DM 生成的现有自签名证书,并为目标 ttt 生成新的自签名证书。
要完成 TLS 1.2 加密,请在 DSMAIN 和 clienthandler 可以重新启动时手动执行以下步骤:
  • 对于安装了 clienthandler 的新加密的 DSA 系统,请将 clienthandler.properties.dm_dsaTLS 复制到 clienthandler.properties,并重新启动所有节点上的 clienthandler
  • 如果 DSC 先前未启用 TLS,将 dsc.properties.tls 复制到 dsc.properties 并重新启动 DSC
  • 使用 dsa_configsysdsc commandline 重新配置新加密的 DSA 系统
要禁用 TLS 1.2 加密:
  1. 编辑 dsc.properties,以设置 tls.datapath.enabled=false
  2. 重新启动 DSC
  3. 使用 dsa_configsys 或 dsc 命令行重新配置源系统并重新启动 dsmain
  4. 使用 dsa_configsys 或 dsc 命令行重新配置目标系统并重新启动 dsmain。