Utilisation de SSL/TLS avec une instance de base de données Amazon RDS for Db2

Téléchargez le pilote JDBC. Pour plus d’informations, consultez Versions et téléchargements du pilote JDBC DB2 dans la documentation de support IBM.

Créez un fichier script shell avec le contenu suivant. Ce script ajoute tous les certificats du bundle à un Java KeyStore.

#!/bin/bash
PEM_FILE=$1
PASSWORD=$2
KEYSTORE=$3
# number of certs in the PEM file
CERTS=$(grep 'END CERTIFICATE' $PEM_FILE| wc -l)
for N in $(seq 0 $(($CERTS - 1))); do
    ALIAS="${PEM_FILE%.*}-$N"
    cat $PEM_FILE |
    awk "n==$N { print }; /END CERTIFICATE/ { n++ }" |
    keytool -noprompt -import -trustcacerts -alias $ALIAS -keystore $KEYSTORE -storepass $PASSWORD
done

Pour exécuter le script shell et importer le fichier PEM contenant le bundle de certificats dans un Java KeyStore, exécutez la commande suivante. Remplacez shell_file_name.sh par le nom de votre fichier script shell et password par le mot de passe de votre Java KeyStore.

 ./shell_file_name.sh global-bundle.pem password truststore.jks

Pour vous connecter à votre serveur Db2, exécutez la commande suivante. Remplacez les espaces réservés suivants dans l’exemple par les informations sur votre instance de base de données RDS for Db2.

export trustStorePassword=MyPassword
java -cp ~/dsdriver/jdbc_sqlj_driver/linuxamd64/db2jcc4.jar \
com.ibm.db2.jcc.DB2Jcc -url \
"jdbc:db2://ip_address:port/database_name:\
sslConnection=true;sslTrustStoreLocation=\
~/truststore.jks;\
sslTrustStorePassword=${trustStorePassword};\
sslVersion=TLSv1.2;\
encryptionAlgorithm=2;\
securityMechanism=7;" \
-user master_username -password master_password

Installez le pilote node-ibm_db. Pour plus d’informations, consultez Installation du pilote node-ibm_db sur les systèmes Linux et UNIX dans la documentation IBM Db2.

Créez un fichier JavaScript basé sur le contenu suivant. Remplacez les espaces réservés suivants dans l’exemple par les informations sur votre instance de base de données RDS for Db2.

var ibmdb = require("ibm_db");
const hostname = "ip_address";
const username = "master_username";
const password = "master_password";
const database = "database_name";
const port = "port";
const certPath = "/root/qa-bundle.pem";
ibmdb.open("DRIVER={DB2};DATABASE=" + database + ";HOSTNAME=" + hostname + ";UID=" + username + ";PWD=" + password + ";PORT=" + port + ";PROTOCOL=TCPIP;SECURITY=SSL;SSLServerCertificate=" + certPath + ";", function (err, conn){
 if (err) return console.log(err);
 conn.close(function () {
 console.log('done');
 });
});        

Pour modifier le fichier JavaScript, exécutez la commande suivante.

node ssl-test.js

Créez un fichier Python avec le contenu suivant. Remplacez les espaces réservés suivants dans l’exemple par les informations sur votre instance de base de données RDS for Db2.

import click
import ibm_db
import sys

port = port;
master_user_id = "master_username" # Master id used to create your DB instance
master_password = "master_password" # Master password used to create your DB instance
db_name = "database_name" # If not given "db-name'
vpc_customer_private_ip = "ip_address" # Hosts end points - Customer private IP Addressicert_path = "/root/ssl/global-bundle.pem" # cert path

@click.command()        
@click.option("--path", help="certificate path")
def db2_connect(path):

    try:
        conn = ibm_db.connect(f"DATABASE={db_name};HOSTNAME={vpc_customer_private_ip};PORT={port};
            PROTOCOL=TCPIP;UID={master_user_id};PWD={master_password};SECURITY=ssl;SSLServerCertificate={path};", "", "")
        try:
            ibm_db.exec_immediate(conn, 'create table tablename (a int);')
            print("Query executed successfully")
        except Exception as e:
            print(e)
        finally:
            ibm_db.close(conn)
            sys.exit(1)
    except Exception as ex:
        print("Trying to connect...")

if __name__ == "__main__":
    db2_connect()

Créez le script shell suivant, qui exécute le fichier Python que vous avez créé. Remplacez python_file_name.py par le nom de votre fichier script Python.

#!/bin/bash
PEM_FILE=$1
# number of certs in the PEM file
CERTS=$(grep 'END CERTIFICATE' $PEM_FILE| wc -l)

for N in $(seq 0 $(($CERTS - 1))); do
    ALIAS="${PEM_FILE%.*}-$N"
    cert=`cat $PEM_FILE | awk "n==$N { print }; /END CERTIFICATE/ { n++ }"`
    cat $PEM_FILE | awk "n==$N { print }; /END CERTIFICATE/ { n++ }" > $ALIAS.pem
    python3 <python_file_name.py> --path $ALIAS.pem
    output=`echo $?`
    if [ $output == 1 ]; then
        break
    fi
done
            

Pour importer le fichier PEM contenant le bundle de certificats et exécuter le script shell, exécutez la commande suivante. Remplacez shell_file_name.sh par le nom de votre fichier script shell.

./shell_file_name.sh global-bundle.pem

Pour vous connecter à votre instance Db2 à l’aide de Db2 CLP, vous avez besoin de GSKit, que vous pouvez télécharger sur IBM Fix Central. Pour utiliser Db2 CLP, vous avez également besoin du client IBM Db2, que vous pouvez télécharger depuis Télécharger les clients et les pilotes de la version 11.5 initiale sur le support IBM.

Créez un magasin de clés.

gsk8capicmd_64 -keydb -create -db "directory/keystore-filename" -pw "changeThisPassword" -type pkcs12 -stash

Importez les bundles de certificats dans le magasin de clés.

gsk8capicmd_64 -cert -import -file global-bundle.pem -target directory/keystore-filename> -target_stashed

Mettez à jour la configuration de l’instance Db2.

db2 update dbm cfg using SSL_CLNT_KEYDB keystore-filename SSL_CLNT_STASH keystore stash file immediate

Cataloguez le nœud et la base de données.

db2 catalog tcpip node ssluse1 REMOTE endpoint SERVER ssl_svcename security ssl

db2 catalog database testdb as ssltest at node ssluse1

Etablit une connexion à la base de données

db2 connect to ssltest user username using password