Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Informix Новый топик    Ответить
 Informix 12.10 и SSL  [new]
vvt1
Member

Откуда: Rostov-on-Don
Сообщений: 110
Коллеги!

Сразу бы хотел извиниться, что поднимаю эту избитую тему, но вот — не поднимается.
Статьи и доку от IBM читал. Мануал по IBM GSK так же.

Informix: 12.10.FC4W1
OS: SunOS 5.10 (Solaris 10 update 6)
GSK: 8 (8.0.50.20)

Собственно сделал ключехранилище:
gsk8capicmd_64 -keydb -create -db indbron.kdb -pw mypasshere -type cms -stash

Сделал SSL сертификат:
gsk8capicmd_64 -cert -create -db indbron.kdb -stashed -type cms \
-label key2016 -size 2048 -expire 400 \
-dn "CN=indbr,O=MYORG,C=RU"

В ${INFORMIXDIR}/etc/onconfig определил:
    SSL_KEYSTORE_LABEL key2016 
NETTYPE tlissl,1,40,NET
VPCLASS encrypt,num=3,noage
DBSERVERALIASES indbrssl

В ${INFORMIXDIR}/etc/conssl.cfg прописал (честно говоря, думаю, что это только клиенту надо, а не серверу):
    SSL_KEYSTORE_FILE   /opt/informix/ssl/indbron.kdb
SSL_KEYSTORE_STH /opt/informix/ssl/indbron.sth

В /etc/services имя порта определил (не обязательно, можно, конечно и цифером напрямую в sqlhosts указать, но так, красиво)
sqlssl          7995/tcp                        # Informix TLS/SSL

В ${INFORMIXDIR}/etc/sqlhosts указал:
indbrssl        ontlissl        indbr           sqlssl

В общем, перегружаю сервер — не встает. В логах ошибки нет, а так как у меня сервер отобрали разработчики, то точно сформулировать не смогу – не догадался записать. Но суть ошибки — не определен протокол. Опять же, так как сервер забирали, для быстрого старта изменил в sqlhosts для записи с ontlissl на ontlitcp и все стартануло. Даже мап есть к 7995 порту:
informix@indbr:~$ netstat -na | grep 7995
192.168.1.1.7995 *.* 0 0 49152 0 LISTEN


Вот и не пойму. Что за трабла то в записи sqlhosts? Вроде их формат ddiiippp – выдержан. Да, для Solaris iii не soc, а tli — так что это особенность и тут все верно.

Возможно проблема лежит прям на самом видном месте и поэтому я её не вижу. Пока вот не могу понять чем именно ontlissl не устроил этот Informix.

P.S.: Пароли и IP тут конечно же не настоящие :-)
22 авг 16, 17:23    [19574692]     Ответить | Цитировать Сообщить модератору
 Re: Informix 12.10 и SSL  [new]
victor16
Member

Откуда:
Сообщений: 585
vvt1,

Можно попробовать поиграться параметрами NETTYPE и VPCLASS:

...
NETTYPE ontlissl,1,40,NET
или
NETTYPE tlissl,1,40,NET
...
VPCLASS tlissl,num=1,noage
или
VPCLASS ssl,num=1,noage
...

а вообще лучше почитать release для вашей платформы
22 авг 16, 23:40    [19576144]     Ответить | Цитировать Сообщить модератору
 Re: Informix 12.10 и SSL  [new]
vvt1
Member

Откуда: Rostov-on-Don
Сообщений: 110
В release/en_us – ничего особенного нету по этому вопросу.

Попробую поднять на Linux – посмотреть. Если все получится, то остаётся только одно — грешить на Solaris zone, из-за которой и так уже были пляски с этим GSKit. По-крайней мере внутри зоны забивается болт на NOAGE параметр IDS, но про это честно пишется в online.log хотя бы.

Чей-то у меня пока нехорошие думки в адрес Solaris zone.
23 авг 16, 13:21    [19578442]     Ответить | Цитировать Сообщить модератору
 Re: Informix 12.10 и SSL  [new]
vvt1
Member

Откуда: Rostov-on-Don
Сообщений: 110
Как и предполагал под Red Hat Enterprise Linux Server release 6.8 (Santiago), такой древненький дистрибутик — все с полпинка встало.

Неужели все дело в зоне солярки этой? Помню на 7-ке ISM на отрез отказывался внутри зоны работать.
Есть над чем мне теперь подумать...
23 авг 16, 14:43    [19579090]     Ответить | Цитировать Сообщить модератору
 Re: Informix 12.10 и SSL  [new]
vvt1
Member

Откуда: Rostov-on-Don
Сообщений: 110
Получилось. Правда, это больше напоминает перекошенный костыль.
Сижу, думаю &ndash выравнивать или ну его...

В общем, при всех тех параметрах, что я указал в начале топика, выдается:
The specified service name or protocol is unknown. Error -25507.

WARNING: server initialization failed or timed out.
Check the message log, online.log, for errors.

Короче, говорит, что накосячил в NETTYPE, sqlhosts или /etc/services при определении протокола.

После Linux думаю, ну ладно, сделаем 1 к 1 как в документации и опишем в sqlhosts формат протокола ddiiippp не как ontlissl, что является верным для Solaris (хотя бы по аналогии с работающим ontlitcp), а как в документации тупо-в-лоб onsocssl (onsoctcp – это характерно для Linux). При этом в onconfig осталось
NETTYPE         ipcshm,1,250,CPU
NETTYPE tlitcp,1,250,NET
NETTYPE tlissl,1,250,NET


Прошу заметить, tlissl. По-идее — это гарантированная ошибка -25507 должна быть. Ан нет. Стартануло. Хм...
Оки, а давайка telnet на порт сделаем:
informix$ telnet h2 7995
Trying 10.9.202.81...
Connected to h2.cib.ru.
Escape character is '^]'.
REST
Connection to h2.cib.ru closed by foreign host.

И в логах видим:
15:58:41  IBM Global Security Kit (GSKit) version 8.0.50.20.
15:58:44 listener-thread: err = -28014: oserr = 0: errstr = GSK_ERROR_BAD_MESSAGE: Secure Sockets Layer error: GSK_ERROR_BAD_MESSAGE.

Тобишь, SSL порт не просто слушается, но и повязан с IBM GSKit. Ну, пока о 100% работоспособности говорить рано, надо клиентом туда влезть, но это уже не просто закрытие как у 7200 порта (tlitcp).

Сейчас ещё попробую поэксперементировать, пока и этот сервер не отобрали. Возможно для симметрии, перфекционизм, требует выставить тоже NETTYPE socssl. В release это не написано. Но сейчас посмотрю еще раз.

Десять лет следуя:
# nettype is an 8-character string specifying the protocol in this format:
#
# ddiiippp
#
# where
# dd = Database product [|ol|on|dr]
# iii = Interface type [ipc|soc|tli|sql]
# ppp = Protocol [imc|nmp|shm|spx|str|tcp|ssl|mux]
я для Solaris писал iii = tli. А тут такая засада :-(
23 авг 16, 16:06    [19579814]     Ответить | Цитировать Сообщить модератору
 Re: Informix 12.10 и SSL  [new]
victor16
Member

Откуда:
Сообщений: 585
vvt1
Десять лет следуя:
# nettype is an 8-character string specifying the protocol in this format:
#
# ddiiippp
#
# where
# dd = Database product [|ol|on|dr]
# iii = Interface type [ipc|soc|tli|sql]
# ppp = Protocol [imc|nmp|shm|spx|str|tcp|ssl|mux]
я для Solaris писал iii = tli. А тут такая засада :-(


В документации про это есть :)
https://www.ibm.com/support/knowledgecenter/SSGU8G_11.70.0/com.ibm.cpi.doc/ids_cpi_034.htm
23 авг 16, 17:56    [19580534]     Ответить | Цитировать Сообщить модератору
 Re: HDR, очень странного хочу  [new]
vvt1
Member

Откуда: Rostov-on-Don
Сообщений: 110
victor16
В документации про это есть :)
https://www.ibm.com/support/knowledgecenter/SSGU8G_11.70.0/com.ibm.cpi.doc/ids_cpi_034.htm


Выходит с версии 11.7 они стали поддерживать нормально Berkeley sockets, что в общем то все и объясняет.
Я до прошлого года на 7-ке просто сидел ещё, поэтому по закостеневшим шаблонам.

Хотя, это не оправдывает промаха моего.

Спасибо!
24 авг 16, 10:48    [19583077]     Ответить | Цитировать Сообщить модератору
 Re: Informix 12.10 и SSL  [new]
vvt1
Member

Откуда: Rostov-on-Don
Сообщений: 110
Еще один костыль любимый.
Secure Sockets Layer error: GSK_ERROR_BAD_KEYFILE_PASSWORD


А все от чего?
А от невнимательности. В каталоге ${INFORMIXDIR}/ssl/ файлы ключей должны создаваться с именем определенным переменной DBSERVERNAME, а не именем хоста, на котором крутится СУБД Informix.

Т.е. должно быть так в ${INFORMIXDIR}/ssl/:

-rw------- 1 informix informix ${INFORMIXSERVER}.crl
-rw------- 1 informix informix ${INFORMIXSERVER}.kdb
-rw------- 1 informix informix ${INFORMIXSERVER}.rdb
-rw------- 1 informix informix ${INFORMIXSERVER}.sth

Где, конечно же ${INFORMIXSERVER} eq DBSERVERNAME
9 ноя 16, 13:33    [19874624]     Ответить | Цитировать Сообщить модератору
Все форумы / Informix Ответить