透過使用預設安全設定(捷徑)進行配置
捷徑詳細說明配置選項,這些選項會影響伺服器的用戶端連線安全,以及接受預設值時各種使用案例的行為。 捷徑實務範例會最小化各端點配置處理程序中的步驟。
當用戶端第一次連接時,此實務範例會自動從伺服器取得憑證,並假設 IBM Spectrum® Protect 伺服器 SESSIONSECURITY 參數設為 TRANSITIONAL,這是第一次連線時的預設值。 不論您是否先將 IBM Spectrum Protect 伺服器升級至 8.1.2 版及更新第 8 版層次,然後將用戶端升級至這些層次,或反之亦然。
附註: 如果用戶端使用 8.1.6 版或更新的第 8 版層次連接至 IBM Spectrum Protect 伺服器,並使用「共用記憶體」或「具名管道」進行通訊, 用戶端的 SESSIONSECURITY 參數值會轉移至 STRICT。 在此情況下,如果您要使用 TCP/IP 而非「共用記憶體」或「具名管道」進行通訊,且用戶端還沒有伺服器的憑證,請先將 SESSIONSECURITY 參數重設為 TRANSITIONAL。 然後,您必須連接至伺服器,以自動取得憑證。
注意: 如果 IBM Spectrum Protect 伺服器已配置 LDAP 鑑別,則無法使用此實務範例。 如果使用 LDAP,則可以透過使用 dsmcert 公用程式,手動匯入必要憑證。 如需相關資訊,請參閱 在不進行自動憑證配送的情況下配置。
影響階段作業安全的用戶端選項
下列用戶端選項指定用戶端的安全設定。 如需這些選項的相關資訊,請參閱用戶端選項參考。
- SSLREQUIRED。 預設值 預設值 會啟用與 V8.1.2之前版本伺服器的現有階段作業安全連線,並自動將用戶端配置為使用 TLS 進行鑑別,以安全地連接至 8.1.2 版或更新版本伺服器。
- SSLACCEPTCERTFROMSERV。 預設值 是 可讓用戶端自動接受來自伺服器的自簽公用憑證,並自動配置用戶端在用戶端連接至 8.1.2 版或更新版本伺服器時使用該憑證。
- SSL。 預設值 否 指出在用戶端與 8.1.2 版之前的伺服器之間傳送資料時不使用加密。 當用戶端連接至 8.1.2 版或更新版本伺服器時,預設值 否 表示物件資料未加密。 當用戶端與伺服器通訊時,所有其他資訊都會加密。 是 值指出當用戶端與伺服器通訊時,使用 SSL 來加密所有資訊 (包括物件資料)。
- SSLFIPSMODE。 預設值 No 指出不需要「聯邦資訊存取安全標準 (FIPS)」認證的 SSL 程式庫。
此外,僅當用戶端使用與 8.1.2 版之前的伺服器的 SSL 連線時,下列選項才適用。 當用戶端連接至稍後的伺服器時,會忽略它們。
- SSLDISABLELEGACYTLS。 值 No 表示用戶端不需要 SSL 階段作業的 TLS 1.2。 容許使用 TLS 1.1 及更低版本的 SSL 通訊協定進行連線。 當用戶端與 8.1.1 版或更舊版本的 IBM Spectrum Protect 伺服器進行通訊時, No 是預設值。
- LANFREESSL。 預設值 否 指出配置不需 LAN 的資料傳送時,用戶端在與儲存體代理程式通訊時不使用 SSL。
- REPLSSLPORT。 指定用戶端與抄寫目標伺服器通訊時啟用 SSL 的 TCP/IP 埠位址。
預設安全設定的使用案例
- 首先,伺服器會升級至 V8.1.2 或更新版本。 然後,會升級用戶端。 現有的用戶端 不是 使用 SSL 通訊:
- 不需要變更用戶端的安全選項。
- 當用戶端向伺服器進行鑑別時,會自動更新配置以使用 TLS。
- 首先,伺服器會升級至 V8.1.2 或更新版本。 然後,會升級用戶端。 現有的用戶端 是 使用 SSL 通訊:
- 不需要變更用戶端的安全選項。
- 繼續使用具有現有伺服器公用憑證的 SSL 通訊。
- 自動加強 SSL 通訊,以使用伺服器需要的 TLS 層次。
- 首先,用戶端會升級至 8.1.2 版或更新版本。 然後,稍後會升級伺服器。 現有的用戶端 不是 使用 SSL 通訊:
- 不需要變更用戶端的安全選項。
- 現有鑑別通訊協定繼續用於 8.1.2 版之前層次的伺服器。
- 在伺服器更新至 8.1.2 版或更新版本之後,當用戶端向伺服器鑑別時,會自動更新配置以使用 TLS。
- 首先,用戶端會升級至 8.1.2 版或更新版本。 然後,稍後會升級伺服器。 現有的用戶端 是 使用 SSL 通訊:
- 不需要變更用戶端的安全選項。
- 與現有伺服器公用憑證的 SSL 通訊繼續與 8.1.2 版之前層次的伺服器一起使用。
- 在伺服器更新至 8.1.2 版或更新版本之後,會自動加強 SSL 通訊,以使用伺服器所需的 TLS 層次。
- 首先,用戶端會升級至 8.1.2 版或更新版本。 然後,用戶端會連接至多部伺服器。 伺服器在兩個不同的時間進行升級:
- 不需要變更用戶端的安全選項。
- 用戶端會對 8.1.2 版之前的伺服器使用現有的鑑別及階段作業安全通訊協定,並在最初連接至 8.1.2 版或更新版本的伺服器時自動升級以使用 TLS 鑑別。 系統會管理每個伺服器的階段作業安全。
- 新的用戶端安裝,伺服器為 8.1.2 版或更新版本:
- 根據新的安裝架構來配置用戶端。
- 安全選項的預設值會自動配置用戶端進行 TLS 加密階段作業鑑別。
- 如果用戶端與伺服器之間的所有資料傳送都需要加密,則將 SSL 參數設為是值。
- 新的用戶端安裝,伺服器是 8.1.2 版之前的版本:
- 根據新的用戶端安裝配置用戶端。
- 如果不需要所有資料傳送的 SSL 加密,則接受用戶端階段作業安全參數的預設值。
- 在伺服器升級至 8.1.2 版或更新版本之前,會使用非 SSL 鑑別通訊協定。
- 如果需要加密用戶端與伺服器之間的所有資料傳送,請將 SSL 參數設為 是 值,並繼續手動配置 SSL。
- 如需配置指示,請參閱 配置 IBM Spectrum Protect 使用 Secure Sockets Layer 進行主從式通訊 。
- 在伺服器更新至 8.1.2 版或更新版本之後,會自動加強 SSL 通訊,以使用伺服器所需的 TLS 層次。