meta data for this page
  •  

TSM szerver tanúsítvány csere

  • Leállítod a TSM szervert.
  • A TSM szerver instance home-jában csinálj egy mentést az aktuális certekről. Ez fontos, különben önként előre hozod a cserét az újragenerálással 😃
tsm@server ~$ tar -cvf current_$(hostname -s)_certs.tar cert*
  • Kikukázod az aktuális certet:
tsm@server ~$ gsk8capicmd_64 -cert -delete -db cert.kdb -stashed -label "TSM Server SelfSigned SHA Key"
tsm@server ~$ rm cert256.arm
  • Utána legenerálod az új certeket azzal, hogy egyszerűen visszaindítod a szervert. Ha elindult, egyből állítsd is újra le.
  • Ments el az új certeket
tsm@server ~$ tar -cvf new_$(hostname -s)_certs.tar cert*
  • Másold vissza a régi certeket
tsm@server ~$ tar -xvf current_$(hostname -s)_certs.tar
  • Indítsd vissza a szervert
  • (Másold el mindkét .tar fájlt egy másik szerverre is, biztos, ami biztos)

Eddig volt a szerver oldali móka, ami 20 perc alatt megvan. Most elvileg a szerver megy tovább a régi certtel, és egy tar fájlban megvannak az új certjeid. És akkor most a new_XY_certs.tar fájlban lévő cert256.arm-ot kell leterítened minden kliensre valami könyvtárba, és onnan beimportálni a kliens cert store-jába: 

gsk8capicmd_64 -cert -import -db /tmp/cert256.arm -target dsmcert.kdb -new_label "Cert after 2025.blabla"
gsk8capicmd_64 -cert -list -db spclicert.kdb -stashed

Vagy 

dsmcert -add -server <servername> -file <path_to_cert256.arm>

Ettől még megmarad az aktuális kulcs is benne, de belekerül az új is.

Ha nagyon biztos akarsz lenni a dolgodban (én úgy szeretem, de ízlések és pofonok 😊), akkor egyetlen kliensen ezt megcsinálod először. Utána megnézed elindul-e a kliens (mármint be is csatlakozik a szerverre értelemszerűen). Ha nem, akkor valami nagyon nem jó. De elvileg igen, tehát a jelenlegi certtel be tud menni. Ekkor leállítod a TSM szervert, kitömöríted a new_XY_certs.tar-ból az új certeket, visszaindítod a szervert és megnézed úgy is elindul-e a felpimpelt kliensed. Ha igen, akkor mindent szuper, kész az első előkészített kliensed. Leállítod a szervert, visszateszed a current_XY_certs.tar-ból a certeket, visszaindítod a szervert és a klienses beimportálást megcsinálod mind a 6 millió klienseden 😊

Majd ha minddel kész vagy, akkor megcsinálod a szerveren a végleges cserét. Vagy amikor lejár jövőre, vagy akár már előtte.

Van egy lépés, amire nem emlékszem, hogy végül szükség volt-e, de ártani nem árt: A szerveren UPDATE NODE <NODE> SESSIONSEC=TRANS mielőtt elindítod a klienst a cert megváltoztatás után.

https://www.ibm.com/support/pages/apar/IT42905