Utilisation de SSL/TLS avec une instance de base de données Amazon RDS pour DB2

Téléchargez le pilote JDBC. Pour plus d'informations, consultez la section Versions et téléchargements du pilote DB2 JDBC dans la documentation de IBM support.

Créez un fichier de script shell avec le contenu suivant. Ce script ajoute tous les certificats du bundle à unJava KeyStore.

#!/bin/bash
PEM_FILE=$1
PASSWORD=$2
KEYSTORE=$3
# number of certs in the PEM file
CERTS=$(grep 'END CERTIFICATE' $PEM_FILE| wc -l)
for N in $(seq 0 $(($CERTS - 1))); do
    ALIAS="${PEM_FILE%.*}-$N"
    cat $PEM_FILE |
    awk "n==$N { print }; /END CERTIFICATE/ { n++ }" |
    keytool -noprompt -import -trustcacerts -alias $ALIAS -keystore $KEYSTORE -storepass $PASSWORD
done

Pour exécuter le script shell et importer le PEM fichier contenant le bundle de certificats dans unJava KeyStore, exécutez la commande suivante. shell_file_name.shRemplacez-le par le nom de votre fichier de script shell et password par le mot de passe de votreJava KeyStore.

 ./shell_file_name.sh global-bundle.pem password truststore.jks

Pour vous connecter à votre serveur DB2, exécutez la commande suivante. Remplacez les espaces réservés suivants dans l'exemple par votre RDS pour les informations d'instance de base de données DB2.

export trustStorePassword=MyPassword
java -cp ~/dsdriver/jdbc_sqlj_driver/linuxamd64/db2jcc4.jar \
com.ibm.db2.jcc.DB2Jcc -url \
"jdbc:db2://ip_address:port/database_name:\
sslConnection=true;sslTrustStoreLocation=\
~/truststore.jks;\
sslTrustStorePassword=${trustStorePassword};\
sslVersion=TLSv1.2;\
encryptionAlgorithm=2;\
securityMechanism=7;" \
-user master_username -password master_password

Installez le node-ibm_dbpilote. Pour plus d'informations, consultez la section Installation du pilote node-ibm_db sur les systèmes Linux et UNIX dans la documentation. IBM Db2

Créez un JavaScript fichier basé sur le contenu suivant. Remplacez les espaces réservés suivants dans l'exemple par votre RDS pour les informations d'instance de base de données DB2.

var ibmdb = require("ibm_db");
const hostname = "ip_address";
const username = "master_username";
const password = "master_password";
const database = "database_name";
const port = "port";
const certPath = "/root/qa-bundle.pem";
ibmdb.open("DRIVER={DB2};DATABASE=" + database + ";HOSTNAME=" + hostname + ";UID=" + username + ";PWD=" + password + ";PORT=" + port + ";PROTOCOL=TCPIP;SECURITY=SSL;SSLServerCertificate=" + certPath + ";", function (err, conn){
 if (err) return console.log(err);
 conn.close(function () {
 console.log('done');
 });
});        

Pour exécuter le JavaScript fichier, exécutez la commande suivante.

node ssl-test.js

Créez un Python fichier avec le contenu suivant. Remplacez les espaces réservés suivants dans l'exemple par votre RDS pour les informations d'instance de base de données DB2.

import click
import ibm_db
import sys

port = port;
master_user_id = "master_username" # Master id used to create your DB instance
master_password = "master_password" # Master password used to create your DB instance
db_name = "database_name" # If not given "db-name'
vpc_customer_private_ip = "ip_address" # Hosts end points - Customer private IP Addressicert_path = "/root/ssl/global-bundle.pem" # cert path

@click.command()        
@click.option("--path", help="certificate path")
def db2_connect(path):

    try:
        conn = ibm_db.connect(f"DATABASE={db_name};HOSTNAME={vpc_customer_private_ip};PORT={port};
            PROTOCOL=TCPIP;UID={master_user_id};PWD={master_password};SECURITY=ssl;SSLServerCertificate={path};", "", "")
        try:
            ibm_db.exec_immediate(conn, 'create table tablename (a int);')
            print("Query executed successfully")
        except Exception as e:
            print(e)
        finally:
            ibm_db.close(conn)
            sys.exit(1)
    except Exception as ex:
        print("Trying to connect...")

if __name__ == "__main__":
    db2_connect()

Créez le script shell suivant, qui exécute le Python fichier que vous avez créé. python_file_name.pyRemplacez-le par le nom de votre fichier de Python script.

#!/bin/bash
PEM_FILE=$1
# number of certs in the PEM file
CERTS=$(grep 'END CERTIFICATE' $PEM_FILE| wc -l)

for N in $(seq 0 $(($CERTS - 1))); do
    ALIAS="${PEM_FILE%.*}-$N"
    cert=`cat $PEM_FILE | awk "n==$N { print }; /END CERTIFICATE/ { n++ }"`
    cat $PEM_FILE | awk "n==$N { print }; /END CERTIFICATE/ { n++ }" > $ALIAS.pem
    python3 <python_file_name.py> --path $ALIAS.pem
    output=`echo $?`
    if [ $output == 1 ]; then
        break
    fi
done
            

Pour importer le PEM fichier avec le bundle de certificats et exécuter le script shell, exécutez la commande suivante. shell_file_name.shRemplacez-le par le nom de votre fichier de script shell.

./shell_file_name.sh global-bundle.pem

Pour vous connecter à votre instance Db2 à l'aide deDb2 CLP, vous avez besoin GSKit de ce que vous pouvez télécharger sur IBM Fix Central. Pour l'utiliserDb2 CLP, vous avez également besoin du IBM Db2 client, que vous pouvez télécharger à partir de la page Télécharger les clients et les pilotes de la version 11.5 initiale dans IBM Support.

Créez un keystore.

gsk8capicmd_64 -keydb -create -db "directory/keystore-filename" -pw "changeThisPassword" -type pkcs12 -stash

Importez les ensembles de certificats dans le keystore.

gsk8capicmd_64 -cert -import -file global-bundle.pem -target directory/keystore-filename> -target_stashed

Mettez à jour la configuration de l'instance Db2.

db2 update dbm cfg using SSL_CLNT_KEYDB keystore-filename SSL_CLNT_STASH keystore stash file immediate

Cataloguez le nœud et la base de données.

db2 catalog tcpip node ssluse1 REMOTE endpoint SERVER ssl_svcename security ssl

db2 catalog database testdb as ssltest at node ssluse1

Etablit une connexion à la base de données

db2 connect to ssltest user username using password