Installation Client-SDK und SSL Zertifikate

Um verschlüsselt mit dem Datenbank-Server zu kommunizieren benötigt man auf Client-Seite, also auch auf dem Scout, eine aktuelle CSDK-Version mit dem dazu gehörenden Global-Security-Toolkit. Deshalb ist es notwendig auf dem Scout das passende CSDK zu installieren.

Die Installation des CSDK erfolgt immer unter /opt in ein Directory, das mit informix_csdk beginnt. Das INFORMIXDIR steht immer auf /opt/informix und ist ein symbolischer Link.

Die Installation erfolgt durch hochladen des Installations-Files (tar) über 'select CSDK-File' und anschliessenden 'Upload'. Das Verzeichnis zur installation muss dann angegeben werden, bevor 'Install CSDK' betätigt wird. Dem angebenen Namen wird immer informix_csdk voran gestellt. Sinnvoll ist hier die Versionsnummer des CSDK. Z.B wird aus einem Pfad '4.50.FC5' das Verzeichnis 'informix_csdk4.50.FC5'.

Installiert man das CSDK wird zusätzlich zur Installation im CSDK Verzeichnis ein Verzeichnis ssl für den KeyStore und pdo für den PDO-Treiber angelegt. Nach der Installation wird der PDO-Treiber aus den auf dem Scout liegenden Sourcen neu gebaut und im pdo-Verzeichnis abgelegt.

Die Datei, die bei SSL-Verbindungen den Pfad zum Keystore angibt (conssl.cfg) wird in das CSDK-Verzeichnis unter etc abgelegt. Der Pfad zeigt auf /opt/informix/ssl.

Um das neue CSDK zu aktivieren muss der symbolische Link /opt/informix auf das neue CSDK gesetzt werden. Nach erfolgreicher Installation taucht das neue CSDK in der ComboBox vor dem 'set SymLink' Button auf und kann ausgewählt werden. Der Button stellt dann den symbolischen Link auf das neue Verzeichnis. Das wird ihnen auch im rechten Teil der Maske angezeigt.

Ist kein KeyStore vorhanden, muss zuerst der KeyStore angelegt werden. Dazu muss erstmalig ein Passwort in beide Felder gleich angegeben werden. Da das Passwort neben dem KeyStore verschlüsselt gespeichert wird (stashed), wird es für spätere Aktionen nicht mehr benötigt.

Ist der KeyStore angelegt, muss noch das Zertifikat vom Server in den KeyStore eingefügt werden. Dazu muss das Zertifikat auf dem Server extrahiert werden. Nutzen sie dazu auf dem Server das Kommado:

	gsk8capicmd_64 -cert -extract -db <Name des KeyStores auf dem Server> -format ascii -label <Labelname auf dem Server> -pw <Passwort des KeyStores auf dem Server> -target <Labelname auf dem Server>.cert

Der Labelname auf dem Server ist der Name, den sie in der onconfig unter SSL_KEYSTORE_LABEL angegeben haben. Genau diesen Namen müssen sie auch unter 'Certificate Label' bei unserer Installation angeben. Der Server fordert das Zertifikat zu diesem Label vom Client an. Ist diesem Label im KeyStore kein Zertifikat zugeordnet, kann keine verschlüsselte Verbindung aufgebaut werden. Ist das Zertifikat ausgewählt und hochgeladen (es muss auf .cert enden), kann es mit 'Install Certificat' in den KeyStore integriert werden.

Danach kann kann man eine Verschlüsselte Verbindung zum Server unter Auswahl des Protokols onsocssl aufbauen. Dazu müssen die entsprechenden Daten der onsocssl Verbindung des Servers genutzt werden.

Soll ein Zertifikat aus dem Store entfernt werden, kann das über das rote Kreuz hinter dem angezeigten Zertifikat erfolgen. Genau so geht es auch mitdem Löschen einer CSDK-Installation. Hierbei kann allerdings das aktive CSDK (das auf das der symbolische Link /opt/informix zeigt) nicht gelöscht werden.

Zurück