Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu dieser Vergleichsansicht

de:services:storage_services:backup:tsm:anleitungen:ssl-linux-7client [2018/12/10 11:45]
bnachtw angelegt
de:services:storage_services:backup:tsm:anleitungen:ssl-linux-7client [2018/12/11 11:05] (aktuell)
hsommer Fix slashes in paths and typo
Zeile 1: Zeile 1:
 +====== TLS-Konfiguration für Linux + ISP-7.1.6.5-Client ======
 +
 +Es sollte keine signifikanten Unterschiede zwischen den einzelnen Distributionen geben, das nachfolgende Beispiel wurde auf einem //Debian Jessie// mit dem ISP-Client in //Version 7.1.6.5// erstellt.
 +
 +<WRAP center round important 60%>
 +Alle Befehle müssen als ''​root''​ ausgeführt werden!
 +</​WRAP>​
 +
 +
 +===== Herunterladen des Zertifikats =====
 +Der in der Übersicht angegebene [[https://​info.gwdg.de/​docs/​lib/​exe/​fetch.php?​media=de:​services:​storage_services:​backup:​tsm:​anleitungen:​gwdg-tsm-ssl.zip|Link]] verweist auf eine ZIP-Datei, die für jeden Server ein Verzeichnis mit dem //self sigend certificate//​ enthält.
 +
 +===== Prüfen der Zertifikatsdatenbank =====
 +Bitte prüfen, ob überhaupt eine Zertifikatsdatenbank existiert. diese liegt in der Datei
 +  /​opt/​tivoli/​tsm/​client/​ba/​bin/​dsmcert.kdb
 +\\
 +Falls nicht, muss diese zunächst erzeugt werden:
 +  gsk8capicmd_64 -keydb -create -db dsmcert.kdb -pw <​PASSWORD>​ -stash -populate
 +
 +Das ''<​PASSWORD>''​ kann beliebig gewählt werden, durch die Angabe von ''​-stashed''​ wird es speichert und braucht bei späteren Eingaben nicht mehr angegeben werden.
 +
 +===== Hinzufügen des Zertifikats (self-signed) =====
 +Die Zertifikatsdatei muss über das ISP-GSKit-Tool „gsk8capicmd_64“ der lokalen Schlüssel-Datenbank hinzugefügt werden:
 +
 +  cd <path to tsm client files>
 +  gsk8capicmd_64 -cert -add -db dsmcert.kdb -stashed -label "<​Namen für das Zertifikat>"​ -file <Pfad und Namen der Zertifikatsdatei>​ -format ascii
 +\\
 +Der Servername sollte hierbei dem Namen des Servers entsprechen,​ also z.B. SM130:
 +
 +  cd "/​opt/​tivoli/​tsm/​client/​ba/​bin"​
 +  sudo gsk8capicmd_64 -cert -add -db dsmcert.kdb -stashed -label "SM130 self signed TSM Certificate"​ -file ./​sm130-sscert256.arm -format ascii
 +\\
 +===== Prüfen des Zertifikats =====
 +
 +Nach der Installation des Zertifikats kann geprüft werden, ob dieses auch erfolgreich importiert wurde:
 +
 +  /​opt/​tivoli/​tsm/​client/​ba/​bin#​ sudo gsk8capicmd_64 -cert -list -db dsmcert.kdb -stashed
 +  Certificates found
 +  * default, - personal, ​  ! trusted, # secret key
 +  !        "​Entrust.net Secure Server Certification Authority"​
 +  !        "​Entrust.net Certification Authority (2048)"​
 +  !        "​Entrust.net Client Certification Authority"​
 +  !        "​Entrust.net Global Client Certification Authority"​
 +  !        "​Entrust.net Global Secure Server Certification Authority"​
 +  !        "​Entrust.net Certification Authority (2048) 29"
 +  !        "​Entrust Root Certification Authority - EC1"
 +  !        "​Entrust Root Certification Authority - EV"
 +  !        "​Entrust Root Certification Authority - G2"
 +  !        "​VeriSign Class 1 Public Primary Certification Authority"​
 +  !        "​VeriSign Class 2 Public Primary Certification Authority"​
 +  !        "​VeriSign Class 3 Public Primary Certification Authority"​
 +  !        "​VeriSign Class 1 Public Primary Certification Authority - G2"
 +  !        "​VeriSign Class 2 Public Primary Certification Authority - G2"
 +  !        "​VeriSign Class 3 Public Primary Certification Authority - G2"
 +  !        "​VeriSign Class 4 Public Primary Certification Authority - G2"
 +  !        "​VeriSign Class 1 Public Primary Certification Authority - G3"
 +  !        "​VeriSign Class 2 Public Primary Certification Authority - G3"
 +  !        "​VeriSign Class 3 Public Primary Certification Authority - G3"
 +  !        "​VeriSign Class 3 Public Primary Certification Authority - G5"
 +  !        "​VeriSign Class 4 Public Primary Certification Authority - G3"
 +  !        "​Thawte Primary Root CA"
 +  !        "​Thawte Primary Root CA - G2 ECC"
 +  !        "​Thawte Server CA"
 +  !        "​Thawte Premium Server CA"
 +  !        "​Thawte Personal Basic CA"
 +  !        "​Thawte Personal Freemail CA"
 +  !        "​Thawte Personal Premium CA"
 +  !        "SM130 Server selfsigned TSM Certificate"​
 +
 +\\
 +Details über ein Zertifikat können über den Schalter ''​-details''​ angezeigt werden, vorzugsweise zusammen mit ''​-label <​Zertifikatsname>''​ um nicht die Details zu allen Zertifikaten anzuzeigen:
 +
 +  /​opt/​tivoli/​tsm/​client/​ba/​bin#​ sudo gsk8capicmd_64 -cert -details -db dsmcert.kdb -stashed -label "SM130 self signed TSM Certificate"​
 +  Label : SM130 self signed TSM Certificate
 +  Key Size : 2048
 +  Version : X509 V3
 +  Serial : 4a521543c52767f3
 +  Issuer : CN=TSM Self-Signed Certificate,​OU=TSM Network,​O=TSM,​C=US
 +  Subject : CN=TSM Self-Signed Certificate,​OU=TSM Network,​O=TSM,​C=US
 +  Not Before : May 3, 2017 11:31:15 AM GMT+02:00
 +  Not After : May 2, 2027 11:31:15 AM GMT+02:00
 +  Public Key
 +      30 82 01 22 30 0D 06 09 2A 86 48 86 F7 0D 01 01
 +      01 05 00 03 82 01 0F 00 30 82 01 0A 02 82 01 01
 +      00 AC CD 38 2F AB E4 41 DA 2B 2A FD 64 AC D9 96
 +      0D 05 3A 8B B4 07 55 A4 86 A1 AA EF 63 41 B0 BE
 +      F7 6E B7 71 74 83 77 B0 20 D4 50 83 93 31 2E 00
 +      72 B9 9B 08 28 91 85 4B 33 2B 77 3A 9F 34 9A 2F
 +      17 12 B4 6C 9C BD 2A 06 52 95 07 3C A7 16 B0 F2
 +      CE 97 13 6D 07 7D BD 5B B5 F1 79 70 21 B7 3D C1
 +      8A 64 B7 58 F3 96 6B 11 7B EB 97 B2 7A 34 D6 A9
 +      41 93 6D 66 D0 0E F6 89 87 CF 35 31 C9 CD 04 42
 +      BC 4D 53 72 D9 96 9F C7 98 0E CF 39 7A 75 18 15
 +      AC 6E 7A DC 62 1D 49 0F 3D 3F 56 FF A8 5F CD CC
 +      ED 5E FC 30 FC 62 B0 C7 CE 02 63 0A 0F 85 0D E2
 +      41 90 48 10 B8 FE 29 4B A0 8E EE 25 49 9F 13 DC
 +      45 67 17 7E 69 4B C8 A4 3D DB ED CA 05 6B A1 BF
 +      1F 9C B8 10 7E 04 3A B4 45 7F B3 FD 05 70 4C 50
 +      60 5A D3 9B 89 BF D9 7A 7F 89 54 8B 5C 71 A2 E3
 +      73 D0 91 55 E6 8B D5 F2 34 A3 C5 06 33 93 47 40
 +      9B 02 03 01 00 01
 +  Public Key Type : RSA (1.2.840.113549.1.1.1)
 +  Fingerprint : SHA1 : 
 +      56 1E 40 A8 7C A1 22 10 B0 15 57 32 64 CE 8E 3D
 +      26 46 B3 0C
 +  Fingerprint : MD5 : 
 +      36 F5 0E FD D5 53 E2 52 39 B8 1F 96 9B 10 63 40
 +  Fingerprint : SHA256 : 
 +      EF DA F6 88 AE FC 73 83 D7 FE 3F 82 9F 24 0D E7
 +      CA A6 7E 28 D4 67 EE 7C F9 2B 2A E5 50 01 F6 82
 +  Extensions
 +      SubjectKeyIdentifier
 +        keyIdentifier:​
 +      7E CE 55 8E C4 45 83 25 92 60 03 7D B2 E6 B9 42
 +      44 73 9D 3B
 +      AuthorityKeyIdentifier
 +        keyIdentifier:​
 +      7E CE 55 8E C4 45 83 25 92 60 03 7D B2 E6 B9 42
 +      44 73 9D 3B
 +        authorityIdentifier:​
 +        authorityCertSerialNumber:​
 +  Signature Algorithm : SHA256WithRSASignature (1.2.840.113549.1.1.11)
 +  Value
 +      A1 0D 06 D8 A6 71 53 CC EE 0D 81 D6 C2 C6 1C 58
 +      91 E2 1C 47 B9 1A 0C 93 E2 DE FD D6 08 A2 C3 10
 +      EE 73 18 0C 33 BC 0E E5 09 15 36 87 B9 4C BB 00
 +      6B 48 E8 99 49 6E 1E 01 FF DE 48 ED 48 B4 28 5D
 +      58 85 0A B9 87 7D 9E 07 7A 81 48 B1 04 3B 32 85
 +      23 03 DD 6B 69 7B 74 54 08 CD 09 39 F2 67 77 05
 +      72 FC 9C 38 73 62 B2 17 98 14 1E BE 75 8E 38 4E
 +      7A 7F 59 57 BA 8F 81 D8 6B 0A E2 72 9D A4 87 8A
 +      F5 B0 30 43 C8 01 E5 9A F2 91 CB 63 CC 33 41 D9
 +      09 EA 51 C5 29 10 6A 9B 29 66 2F CC 93 3C F1 04
 +      29 ED 29 A3 1F C1 12 42 A1 26 9F E0 D9 65 40 D1
 +      3E 59 FF 64 B6 20 C3 47 9B 35 B6 B7 D4 09 A2 44
 +      3C 36 C2 E0 E6 B3 B2 3F 10 E6 23 BC 8E B5 BA 59
 +      67 FF 1B B3 A0 4A 55 28 D2 28 94 93 3E 6B B8 55
 +      5A 3E 31 C8 FF 21 72 9F C1 18 FC 63 4E 2F CF 49
 +      C0 3A 34 46 3A 47 86 2E 5A BF F1 69 E6 3A AA 93
 +  Trust Status : Enabled
 +  ​
 +===== Hinzufügen des Zertifikats (DFN) =====
 +FIXME folgt :-)
 +
 +===== Konfiguration des Clients anpassen =====
 +In der Konfigurationsdatei ''​dsm.sys''​ müssen die folgenden Zeilen ergänzt werden:
 +<​code>​
 + SSL Yes
 + SSLFIPSMODE Yes
 + SSLREQuired Yes
 + SSLDISABLELEGACYtls Yes
 +</​code>​
 +Darüber hinaus muss die Option ''​TCPPort''​ auf den SSL-Port geändert werden, also ''​3000''​ + //Nummer der Instanz//,​\\ z.B. für //​SM''​130''//:​ ''​TCPPort 2130''​ => ''​TCPPort 3130''​
 +
 +===== Verbindung prüfen =====
 +Am einfachsten lässt sich die Verbindung über die ISP-CLI prüfen:
 +<​code>​
 +# dsmc q se  -se=test130S
 +IBM Tivoli Storage Manager
 +Command Line Backup-Archive Client Interface
 +  Client Version 7, Release 1, Level 6.5 
 +  Client date/time: 11/01/2018 14:37:45
 +(c) Copyright by IBM Corporation and other(s) 1990, 2017. All Rights Reserved. ​
 +
 +Node Name: TEST
 +Session established with server SM130: Linux/​x86_64
 +  Server Version 7, Release 1, Level 7.400
 +  Server date/time: 11/01/2018 14:​37:​47 ​ Last access: 11/01/2018 14:37:18
 +
 +TSM Server Connection Information
 +
 +Home Server Name........:​ TEST130
 +Server Type.............:​ Linux/​x86_64
 +Archive Retain Protect..: "​No"​
 +Server Version..........:​ Ver. 7, Rel. 1, Lev. 7.400
 +Last Access Date........:​ 11/01/2018 14:37:18
 +Delete Backup Files.....: "​No"​
 +Delete Archive Files....: "​Yes"​
 +Deduplication...........:​ "​Server Only"
 +
 +Node Name...............:​ TEST
 +User Name...............:​ root
 +
 +SSL Information.........:​ TLSv1.2 (FIPS) AES-256-GCM
 +
 +Secondary Server Information
 +Not configured for failover
 +</​code>​
 +
 +Die Zeile ''​SSL Information''​ liefert Angaben zur SSL-Versschlüsselung,​ hier ''​TLSv1.2 (FIPS) AES-256-GCM''​.
 +
 +Zum Vergleich die Ausgabe ohne SSL. hier fehlt die Zeile zu SSL vollständig:​
 +<​code>​
 +# dsmc q se  -se=test130
 +IBM Tivoli Storage Manager
 +Command Line Backup-Archive Client Interface
 +  Client Version 7, Release 1, Level 6.5 
 +  Client date/time: 11/01/2018 14:43:35
 +(c) Copyright by IBM Corporation and other(s) 1990, 2017. All Rights Reserved. ​
 +
 +Node Name: TEST
 +Session established with server SM130: Linux/​x86_64
 +  Server Version 7, Release 1, Level 7.400
 +  Server date/time: 11/01/2018 14:​43:​35 ​ Last access: 11/01/2018 14:37:47
 +
 +TSM Server Connection Information
 +
 +Home Server Name........:​ TEST130
 +Server Type.............:​ Linux/​x86_64
 +Archive Retain Protect..: "​No"​
 +Server Version..........:​ Ver. 7, Rel. 1, Lev. 7.400
 +Last Access Date........:​ 11/01/2018 14:37:47
 +Delete Backup Files.....: "​No"​
 +Delete Archive Files....: "​Yes"​
 +Deduplication...........:​ "​Server Only"
 +
 +Node Name...............:​ TEST
 +User Name...............:​ root
 +
 +Secondary Server Information
 +Not configured for failover
 +
 +</​code>​
 +
 +====== Shell-Kommandos ======
 +===== Herunterladen =====
 +
 + ​Herunterladen ​ mit ''​wget''<​code>​sudo wget https://​info.gwdg.de/​docs/​lib/​exe/​fetch.php?​media=de:​services:​storage_services:​backup:​tsm:​anleitungen:​gwdg-tsm-ssl.zip -O GWDG-TSM-SSL.zip
 +sudo unzip GWDG-TSM-SSL.zip
 +</​code>​
 +===== Einspielen der Zertifikate =====
 +
 +  * Installation des SM130-Zertifikates<​code>​sudo gsk8capicmd_64 -cert -add -db dsmcert.kdb -stashed -label "SM130 self signed TSM Certificate"​ -file ./​sm130/​cert256.arm -format ascii</​code>​
 +  * Installation des SM231-Zertifikates<​code>​sudo gsk8capicmd_64 -cert -add -db dsmcert.kdb -stashed -label "SM231 self signed TSM Certificate"​ -file ./​sm231/​cert256.arm -format ascii</​code>​
 +  * Installation des SM234-Zertifikates<​code>​sudo gsk8capicmd_64 -cert -add -db dsmcert.kdb -stashed -label "SM234 self signed TSM Certificate"​ -file ./​sm234/​cert256.arm -format ascii</​code>​
 +  * Installation des SM283-Zertifikates<​code>​sudo gsk8capicmd_64 -cert -add -db dsmcert.kdb -stashed -label "SM283 self signed TSM Certificate"​ -file ./​sm283/​cert256.arm -format ascii</​code>​
 +  * Installation des SM285-Zertifikates<​code>​sudo gsk8capicmd_64 -cert -add -db dsmcert.kdb -stashed -label "SM285 self signed TSM Certificate"​ -file ./​sm285/​cert256.arm -format ascii</​code>​