Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende Überarbeitung | |||
de:services:storage_services:backup:tsm:anleitungen:ssl-linux-7client [2018/12/11 11:05] – Fix slashes in paths and typo hsommer | de:services:storage_services:backup:tsm:anleitungen:ssl-linux-7client [2020/07/20 11:57] (aktuell) – [Konfiguration des Clients anpassen] bnachtw | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== TLS-Konfiguration für Linux + ISP-7.1.6.5-Client ====== | ||
+ | |||
+ | Es sollte keine signifikanten Unterschiede zwischen den einzelnen Distributionen geben, das nachfolgende Beispiel wurde auf einem //Debian Jessie// mit dem ISP-Client in //Version 7.1.6.5// erstellt. | ||
+ | |||
+ | <WRAP center round important 60%> | ||
+ | Alle Befehle müssen als '' | ||
+ | </ | ||
+ | |||
+ | |||
+ | ===== Herunterladen des Zertifikats ===== | ||
+ | Der in der Übersicht angegebene [[https:// | ||
+ | |||
+ | ===== Prüfen der Zertifikatsdatenbank ===== | ||
+ | Bitte prüfen, ob überhaupt eine Zertifikatsdatenbank existiert. diese liegt in der Datei | ||
+ | / | ||
+ | \\ | ||
+ | Falls nicht, muss diese zunächst erzeugt werden: | ||
+ | gsk8capicmd_64 -keydb -create -db dsmcert.kdb -pw < | ||
+ | |||
+ | Das ''< | ||
+ | |||
+ | ===== Hinzufügen des Zertifikats (self-signed) ===== | ||
+ | Die Zertifikatsdatei muss über das ISP-GSKit-Tool „gsk8capicmd_64“ der lokalen Schlüssel-Datenbank hinzugefügt werden: | ||
+ | |||
+ | cd <path to tsm client files> | ||
+ | gsk8capicmd_64 -cert -add -db dsmcert.kdb -stashed -label "< | ||
+ | \\ | ||
+ | Der Servername sollte hierbei dem Namen des Servers entsprechen, | ||
+ | |||
+ | cd "/ | ||
+ | sudo gsk8capicmd_64 -cert -add -db dsmcert.kdb -stashed -label "SM130 self signed TSM Certificate" | ||
+ | \\ | ||
+ | ===== Prüfen des Zertifikats ===== | ||
+ | |||
+ | Nach der Installation des Zertifikats kann geprüft werden, ob dieses auch erfolgreich importiert wurde: | ||
+ | |||
+ | / | ||
+ | Certificates found | ||
+ | * default, - personal, | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! " | ||
+ | ! "SM130 Server selfsigned TSM Certificate" | ||
+ | |||
+ | \\ | ||
+ | Details über ein Zertifikat können über den Schalter '' | ||
+ | |||
+ | / | ||
+ | Label : SM130 self signed TSM Certificate | ||
+ | Key Size : 2048 | ||
+ | Version : X509 V3 | ||
+ | Serial : 4a521543c52767f3 | ||
+ | Issuer : CN=TSM Self-Signed Certificate, | ||
+ | Subject : CN=TSM Self-Signed Certificate, | ||
+ | Not Before : May 3, 2017 11:31:15 AM GMT+02:00 | ||
+ | Not After : May 2, 2027 11:31:15 AM GMT+02:00 | ||
+ | Public Key | ||
+ | 30 82 01 22 30 0D 06 09 2A 86 48 86 F7 0D 01 01 | ||
+ | 01 05 00 03 82 01 0F 00 30 82 01 0A 02 82 01 01 | ||
+ | 00 AC CD 38 2F AB E4 41 DA 2B 2A FD 64 AC D9 96 | ||
+ | 0D 05 3A 8B B4 07 55 A4 86 A1 AA EF 63 41 B0 BE | ||
+ | F7 6E B7 71 74 83 77 B0 20 D4 50 83 93 31 2E 00 | ||
+ | 72 B9 9B 08 28 91 85 4B 33 2B 77 3A 9F 34 9A 2F | ||
+ | 17 12 B4 6C 9C BD 2A 06 52 95 07 3C A7 16 B0 F2 | ||
+ | CE 97 13 6D 07 7D BD 5B B5 F1 79 70 21 B7 3D C1 | ||
+ | 8A 64 B7 58 F3 96 6B 11 7B EB 97 B2 7A 34 D6 A9 | ||
+ | 41 93 6D 66 D0 0E F6 89 87 CF 35 31 C9 CD 04 42 | ||
+ | BC 4D 53 72 D9 96 9F C7 98 0E CF 39 7A 75 18 15 | ||
+ | AC 6E 7A DC 62 1D 49 0F 3D 3F 56 FF A8 5F CD CC | ||
+ | ED 5E FC 30 FC 62 B0 C7 CE 02 63 0A 0F 85 0D E2 | ||
+ | 41 90 48 10 B8 FE 29 4B A0 8E EE 25 49 9F 13 DC | ||
+ | 45 67 17 7E 69 4B C8 A4 3D DB ED CA 05 6B A1 BF | ||
+ | 1F 9C B8 10 7E 04 3A B4 45 7F B3 FD 05 70 4C 50 | ||
+ | 60 5A D3 9B 89 BF D9 7A 7F 89 54 8B 5C 71 A2 E3 | ||
+ | 73 D0 91 55 E6 8B D5 F2 34 A3 C5 06 33 93 47 40 | ||
+ | 9B 02 03 01 00 01 | ||
+ | Public Key Type : RSA (1.2.840.113549.1.1.1) | ||
+ | Fingerprint : SHA1 : | ||
+ | 56 1E 40 A8 7C A1 22 10 B0 15 57 32 64 CE 8E 3D | ||
+ | 26 46 B3 0C | ||
+ | Fingerprint : MD5 : | ||
+ | 36 F5 0E FD D5 53 E2 52 39 B8 1F 96 9B 10 63 40 | ||
+ | Fingerprint : SHA256 : | ||
+ | EF DA F6 88 AE FC 73 83 D7 FE 3F 82 9F 24 0D E7 | ||
+ | CA A6 7E 28 D4 67 EE 7C F9 2B 2A E5 50 01 F6 82 | ||
+ | Extensions | ||
+ | SubjectKeyIdentifier | ||
+ | keyIdentifier: | ||
+ | 7E CE 55 8E C4 45 83 25 92 60 03 7D B2 E6 B9 42 | ||
+ | 44 73 9D 3B | ||
+ | AuthorityKeyIdentifier | ||
+ | keyIdentifier: | ||
+ | 7E CE 55 8E C4 45 83 25 92 60 03 7D B2 E6 B9 42 | ||
+ | 44 73 9D 3B | ||
+ | authorityIdentifier: | ||
+ | authorityCertSerialNumber: | ||
+ | Signature Algorithm : SHA256WithRSASignature (1.2.840.113549.1.1.11) | ||
+ | Value | ||
+ | A1 0D 06 D8 A6 71 53 CC EE 0D 81 D6 C2 C6 1C 58 | ||
+ | 91 E2 1C 47 B9 1A 0C 93 E2 DE FD D6 08 A2 C3 10 | ||
+ | EE 73 18 0C 33 BC 0E E5 09 15 36 87 B9 4C BB 00 | ||
+ | 6B 48 E8 99 49 6E 1E 01 FF DE 48 ED 48 B4 28 5D | ||
+ | 58 85 0A B9 87 7D 9E 07 7A 81 48 B1 04 3B 32 85 | ||
+ | 23 03 DD 6B 69 7B 74 54 08 CD 09 39 F2 67 77 05 | ||
+ | 72 FC 9C 38 73 62 B2 17 98 14 1E BE 75 8E 38 4E | ||
+ | 7A 7F 59 57 BA 8F 81 D8 6B 0A E2 72 9D A4 87 8A | ||
+ | F5 B0 30 43 C8 01 E5 9A F2 91 CB 63 CC 33 41 D9 | ||
+ | 09 EA 51 C5 29 10 6A 9B 29 66 2F CC 93 3C F1 04 | ||
+ | 29 ED 29 A3 1F C1 12 42 A1 26 9F E0 D9 65 40 D1 | ||
+ | 3E 59 FF 64 B6 20 C3 47 9B 35 B6 B7 D4 09 A2 44 | ||
+ | 3C 36 C2 E0 E6 B3 B2 3F 10 E6 23 BC 8E B5 BA 59 | ||
+ | 67 FF 1B B3 A0 4A 55 28 D2 28 94 93 3E 6B B8 55 | ||
+ | 5A 3E 31 C8 FF 21 72 9F C1 18 FC 63 4E 2F CF 49 | ||
+ | C0 3A 34 46 3A 47 86 2E 5A BF F1 69 E6 3A AA 93 | ||
+ | Trust Status : Enabled | ||
+ | | ||
+ | ===== Hinzufügen des Zertifikats (DFN) ===== | ||
+ | FIXME folgt :-) | ||
+ | |||
+ | ===== Konfiguration des Clients anpassen ===== | ||
+ | Mit SP8 und " | ||
+ | |||
+ | Nur der Vollständigkeit halber für Clients und SP7-Server: | ||
+ | In der Konfigurationsdatei '' | ||
+ | < | ||
+ | SSL Yes | ||
+ | SSLFIPSMODE Yes | ||
+ | SSLREQuired Yes | ||
+ | SSLDISABLELEGACYtls Yes | ||
+ | </ | ||
+ | Darüber hinaus muss die Option '' | ||
+ | FIXME nur SP7-Server haben einen SSL-Port auf 3000ff FIXME | ||
+ | |||
+ | ===== Verbindung prüfen ===== | ||
+ | Am einfachsten lässt sich die Verbindung über die ISP-CLI prüfen: | ||
+ | < | ||
+ | # dsmc q se -se=test130S | ||
+ | IBM Tivoli Storage Manager | ||
+ | Command Line Backup-Archive Client Interface | ||
+ | Client Version 7, Release 1, Level 6.5 | ||
+ | Client date/time: 11/01/2018 14:37:45 | ||
+ | (c) Copyright by IBM Corporation and other(s) 1990, 2017. All Rights Reserved. | ||
+ | |||
+ | Node Name: TEST | ||
+ | Session established with server SM130: Linux/ | ||
+ | Server Version 7, Release 1, Level 7.400 | ||
+ | Server date/time: 11/01/2018 14: | ||
+ | |||
+ | TSM Server Connection Information | ||
+ | |||
+ | Home Server Name........: | ||
+ | Server Type.............: | ||
+ | Archive Retain Protect..: " | ||
+ | Server Version..........: | ||
+ | Last Access Date........: | ||
+ | Delete Backup Files.....: " | ||
+ | Delete Archive Files....: " | ||
+ | Deduplication...........: | ||
+ | |||
+ | Node Name...............: | ||
+ | User Name...............: | ||
+ | |||
+ | SSL Information.........: | ||
+ | |||
+ | Secondary Server Information | ||
+ | Not configured for failover | ||
+ | </ | ||
+ | |||
+ | Die Zeile '' | ||
+ | |||
+ | Zum Vergleich die Ausgabe ohne SSL. hier fehlt die Zeile zu SSL vollständig: | ||
+ | < | ||
+ | # dsmc q se -se=test130 | ||
+ | IBM Tivoli Storage Manager | ||
+ | Command Line Backup-Archive Client Interface | ||
+ | Client Version 7, Release 1, Level 6.5 | ||
+ | Client date/time: 11/01/2018 14:43:35 | ||
+ | (c) Copyright by IBM Corporation and other(s) 1990, 2017. All Rights Reserved. | ||
+ | |||
+ | Node Name: TEST | ||
+ | Session established with server SM130: Linux/ | ||
+ | Server Version 7, Release 1, Level 7.400 | ||
+ | Server date/time: 11/01/2018 14: | ||
+ | |||
+ | TSM Server Connection Information | ||
+ | |||
+ | Home Server Name........: | ||
+ | Server Type.............: | ||
+ | Archive Retain Protect..: " | ||
+ | Server Version..........: | ||
+ | Last Access Date........: | ||
+ | Delete Backup Files.....: " | ||
+ | Delete Archive Files....: " | ||
+ | Deduplication...........: | ||
+ | |||
+ | Node Name...............: | ||
+ | User Name...............: | ||
+ | |||
+ | Secondary Server Information | ||
+ | Not configured for failover | ||
+ | |||
+ | </ | ||
+ | |||
+ | ====== Shell-Kommandos ====== | ||
+ | ===== Herunterladen ===== | ||
+ | |||
+ | | ||
+ | sudo unzip GWDG-TSM-SSL.zip | ||
+ | </ | ||
+ | ===== Einspielen der Zertifikate ===== | ||
+ | |||
+ | * Installation des SM130-Zertifikates< | ||
+ | * Installation des SM231-Zertifikates< | ||
+ | * Installation des SM234-Zertifikates< | ||
+ | * Installation des SM283-Zertifikates< | ||
+ | * Installation des SM285-Zertifikates< | ||