Expert GuideIBM Storage Protect Server Version 8.1.20.0 bringt neues Kommando CREATE CERTIFICATE zur Erstellung eines neuen Server Zertifikats (cert256.arm)

In Fortsetzung unseres Hilfeartikels IBM Storage Protect server certificate cert256.arm abgelaufen: 10 Schritte zur Behebung stellen wir Ihnen folgende Features in Version 8.1.20 in IBM Storage Protect vor.

IBM Storage Protect Server Version 8.1.20.0 bringt neues Kommando CREATE CERTIFICATE zur Erstellung eines neuen Server Zertifikats (cert256.arm)

Erstellung des neuen Zertifikats in 3 Schritten

Folgende neue Befehle sind Bestandteil der Version 8.1.20 in IBM Storage Protect:

• CREATE CERTIFICATE (Create a new TLS certificate)
• SET DEFAULTTLSCERT (Mark a TLS certificate as the default)
• SET COMMANDAPPROVAL (Specifies whether command approval)

Für die bessere Überwachung und Benachrichtigung des Ablaufdatums des Zertifikats sind folgende Optionen hinzugekommen:

• TLSCERTEXPIREWARNCONN
• TLSCERTEXPIREWARNDAYS

Im Folgenden zeigen wir die Schritte auf, die zur Verwendung der neuen Befehle notwendig sind und wie sich dies in einer Beispielumgebung darstellt.

1. Schritt: „Neues Zertifikat IBM Storage Protect 8.1.20 – 20 Tage Laufzeit“

Erstellung eines Zertifikats mit dem Label „Neues Zertifikat IBM Storage Protect 8.1.20 – 20 Tage Laufzeit“ für einen IBM Storage Protect Server mittels CREATE CERTIFICATE:

CREATE CERTIFICATE “Neues Zertifikat IBM Storage Protect 8.1.20 – 20 Tage Laufzeit“ TODATE=today+20

Man erhält leider keine Rückmeldung, dass das Zertifikat erstellt wurde. Dieses muss man mittels GSK8-Befehlen entsprechend prüfen:

Der Screenshot zeigt, dass das Zertifikat erstellt und in die cert.kdb aufgenommen wurde, aber noch nicht das Default-Zertifikat ist. Der öffentliche Schlüssel wird wie dokumentiert im Instanzverzeichnis abgelegt:

Die korrekte Laufzeit kann ebenfalls mittels GSK8 geprüft werden:

2. Schritt: Das erzeugte Zertifikat wird zum Default-Zertifikat deklariert

Im nächsten Schritt wird das erzeugte Zertifikat zum Default-Zertifikat deklariert mittels SET DEFAULTTLSCERT:

SET DEFAULTTLSCERT “Neues Zertifikat IBM Storage Protect 8.1.20 – 20 Tage Laufzeit“

Das kann mittels GSK8 geprüft werden:

Damit das Zertifikat von der Instanz als das neue Default-Zertifikat verwendet wird, muss die Instanz neu gestartet werden.

3. Schritt: Überwachung des Ablaufdatums des Default-Zertifikats

Auf der Clientseite bleibt es beim bisherigen Actionplan, wie in unserem Blogeintrag beschrieben:

IBM Spectrum Protect server certificate cert.256.arm abgelaufen: 10 Schritte zur Behebung

Weitere Anhaltspunkte finden Sie auch im in der Version 8.1.18 beschrieben:

Renewing an SSL certificate of the IBM Spectrum Protect server - IBM Documentation

Die neuen Optionen zur besseren Überwachung des Ablaufdatums des Default-Zertifikats werden entsprechend gesetzt und in der Datei dsmserv.opt der Instanz eingetragen:

Quelle

Create Certificate:

https://www.ibm.com/docs/en/storage-protect/8.1.20?topic=commands-create-certificate-create-new-tls-certificate

Sebastian Kentzler

Mehr als 25 Jahre Erfahrung in der IT in großen und mittleren Umgebungen, Systemadministration in großen heterogenen Umgebungen, Projekt-Erfahrung in diversen Großprojekten, sowie über 20 Jahre Erfahrung mit den Produkten Tivoli Storage Manager // IBM Spectrum Protect // IBM Storage Protect zeichnen Sebastians Schwerpunkte bei der Empalis aus. Sebastian Kentzler war von 2015 bis 2020 Service Engineer bei Empalis Consulting und ist seit 04/2023 wieder mit im Boot.

Sie haben Fragen?

Wir freuen uns auf Ihre Kontaktaufnahme!