====== TSM szerver tanúsítvány csere ======

  * Leállítod a TSM szervert.
  * A TSM szerver instance home-jában csinálj egy mentést az aktuális certekről. Ez fontos, különben önként előre hozod a cserét az újragenerálással 😃

  tsm@server ~$ tar -cvf current_$(hostname -s)_certs.tar cert*

  * Kikukázod az aktuális certet:

  tsm@server ~$ gsk8capicmd_64 -cert -delete -db cert.kdb -stashed -label "TSM Server SelfSigned SHA Key"
  tsm@server ~$ rm cert256.arm

  * Utána legenerálod az új certeket azzal, hogy egyszerűen visszaindítod a szervert. Ha elindult, egyből állítsd is újra le.
  * Ments el az új certeket

  tsm@server ~$ tar -cvf new_$(hostname -s)_certs.tar cert*

  * Másold vissza a régi certeket

  tsm@server ~$ tar -xvf current_$(hostname -s)_certs.tar

  * Indítsd vissza a szervert
  * (Másold el mindkét .tar fájlt egy másik szerverre is, biztos, ami biztos)

Eddig volt a szerver oldali móka, ami 20 perc alatt megvan. Most elvileg a szerver megy tovább a régi certtel, és egy tar fájlban megvannak az új certjeid.
És akkor most a **new_XY_certs.tar** fájlban lévő **cert256.ar**m-ot kell leterítened minden kliensre valami könyvtárba, és onnan beimportálni a kliens cert store-jába:

  gsk8capicmd_64 -cert -import -db /tmp/cert256.arm -target dsmcert.kdb -new_label "Cert after 2025.blabla"
  gsk8capicmd_64 -cert -list -db spclicert.kdb -stashed

Vagy

  dsmcert -add -server <servername> -file <path_to_cert256.arm>

Ettől még megmarad az aktuális kulcs is benne, de belekerül az új is.

Ha nagyon biztos akarsz lenni a dolgodban (én úgy szeretem, de ízlések és pofonok 😊), akkor egyetlen kliensen ezt megcsinálod először. 
Utána megnézed elindul-e a kliens (mármint be is csatlakozik a szerverre értelemszerűen). Ha nem, akkor valami nagyon nem jó.
De elvileg igen, tehát a jelenlegi certtel be tud menni. Ekkor leállítod a TSM szervert, kitömöríted a **new_XY_certs.tar**-ból az új certeket, visszaindítod a szervert és megnézed úgy is elindul-e a felpimpelt kliensed.
Ha igen, akkor mindent szuper, kész az első előkészített kliensed. 
Leállítod a szervert, visszateszed a **current_XY_certs.tar**-ból a certeket, visszaindítod a szervert és a klienses beimportálást megcsinálod mind a 6 millió klienseden 😊

Majd ha minddel kész vagy, akkor megcsinálod a szerveren a végleges cserét. Vagy amikor lejár jövőre, vagy akár már előtte.

Van egy lépés, amire nem emlékszem, hogy végül szükség volt-e, de ártani nem árt:
A szerveren **UPDATE NODE <NODE> SESSIONSEC=TRANS** mielőtt elindítod a klienst a cert megváltoztatás után.

https://www.ibm.com/support/pages/apar/IT42905