tsm@server ~$ tar -cvf current_$(hostname -s)_certs.tar cert*
tsm@server ~$ gsk8capicmd_64 -cert -delete -db cert.kdb -stashed -label "TSM Server SelfSigned SHA Key" tsm@server ~$ rm cert256.arm
tsm@server ~$ tar -cvf new_$(hostname -s)_certs.tar cert*
tsm@server ~$ tar -xvf current_$(hostname -s)_certs.tar
Eddig volt a szerver oldali móka, ami 20 perc alatt megvan. Most elvileg a szerver megy tovább a régi certtel, és egy tar fájlban megvannak az új certjeid. És akkor most a new_XY_certs.tar fájlban lévő cert256.arm-ot kell leterítened minden kliensre valami könyvtárba, és onnan beimportálni a kliens cert store-jába:
gsk8capicmd_64 -cert -import -db /tmp/cert256.arm -target dsmcert.kdb -new_label "Cert after 2025.blabla" gsk8capicmd_64 -cert -list -db spclicert.kdb -stashed
Vagy
dsmcert -add -server <servername> -file <path_to_cert256.arm>
Ettől még megmarad az aktuális kulcs is benne, de belekerül az új is.
Ha nagyon biztos akarsz lenni a dolgodban (én úgy szeretem, de ízlések és pofonok 😊), akkor egyetlen kliensen ezt megcsinálod először. Utána megnézed elindul-e a kliens (mármint be is csatlakozik a szerverre értelemszerűen). Ha nem, akkor valami nagyon nem jó. De elvileg igen, tehát a jelenlegi certtel be tud menni. Ekkor leállítod a TSM szervert, kitömöríted a new_XY_certs.tar-ból az új certeket, visszaindítod a szervert és megnézed úgy is elindul-e a felpimpelt kliensed. Ha igen, akkor mindent szuper, kész az első előkészített kliensed. Leállítod a szervert, visszateszed a current_XY_certs.tar-ból a certeket, visszaindítod a szervert és a klienses beimportálást megcsinálod mind a 6 millió klienseden 😊
Majd ha minddel kész vagy, akkor megcsinálod a szerveren a végleges cserét. Vagy amikor lejár jövőre, vagy akár már előtte.
Van egy lépés, amire nem emlékszem, hogy végül szükség volt-e, de ártani nem árt: A szerveren UPDATE NODE <NODE> SESSIONSEC=TRANS mielőtt elindítod a klienst a cert megváltoztatás után.