Handbuch für Sicherheit > Domänensicherheit > Secure Communication Within the Domain
  

Secure Communication Within the Domain

You can use the Secure Communication option to secure the connection between services and between services and the service managers in the domain. Additionally, you can enable security for workflows and use secure databases for the repositories that you create in the domain.
After you secure the domain, configure the Informatica client applications to work with a secure domain.

Default Directory for Keystore and Truststore

The Informatica deployment includes default keystore and truststore files in the following default directory:
<Informatica installation directory>\services\shared\security
Informatica recommends that you use the default keystore and truststore only for setup and proof-of-concept use cases.
To secure a production environment, use the following guidelines:

Sichere Kommunikation für Dienste und den Dienstmanager

Sie können sichere Kommunikation innerhalb der Domäne während der Installation konfigurieren. Nach der Installation können Sie eine sichere Kommunikation für die Domäne im Administrator Tool oder über die Befehlszeile konfigurieren.
Informatica stellt ein SSL-Zertifikat zur Verfügung, das Sie zum Sichern der Domäne verwenden können. Dennoch sollten Sie ein benutzerdefiniertes SSL-Zertifikat für Domänen bereitstellen, die eine höhere Sicherheitsstufe benötigen, wie z. B. eine Domäne in einer Produktionsumgebung. Geben Sie die Schlüsselspeicher- und Truststore-Dateien an, die die zu verwendenden SSL-Zertifikate enthalten.
HINWEIS: Informatica stellt SSL-Zertifikate zu Bewertungszwecken bereit. Wenn Sie kein SSL-Zertifikat bereitstellen, verwendet Informatica denselben privaten Standardschlüssel für alle Informatica-Installationen. Die Sicherheit Ihrer Domäne könnte gefährdet sein. Stellen Sie ein SSL-Zertifikat zur Verfügung, um einen hohen Grad an Sicherheit für die Domäne sicherzustellen. Das von Ihnen zur Verfügung gestellte Zertifikat kann selbstsigniert werden oder von einer Zertifizierungsbehörde signiert werden.
Wenn Sie eine sichere Kommunikation für die Domäne konfigurieren, sichern Sie die Verbindungen zwischen den folgenden Komponenten:

Requirements for Secure Communication within the Domain

Before you enable secure communication within the domain, ensure that the following requirements are met:
Sie haben eine Zertifikatssignieranfrage und einen privaten Schlüssel erstellt.
Sie können keytool oder OpenSSL zum Erstellen der Zertifikatssignieranfrage und des privaten Schlüssels verwenden.
Beachten Sie, dass für die RSA-Verschlüsselung mehr als 512 Bit erforderlich sind.
Sie haben ein signiertes SSL-Zertifikat.
Das Zertifikat kann selbstsigniert oder von einer Zertifizierungsstelle signiert sein. Informatica empfiehlt ein von einer Zertifizierungsstelle signiertes Zertifikat.
Sie haben das Zertifikat in Schlüsselspeicher importiert.
Sie müssen über einen Schlüsselspeicher im PEM-Format mit der Bezeichnung infa_keystore.pem sowie über einen Schlüsselspeicher im JKS-Format mit der Bezeichnung infa_keystore.jks verfügen.
Die Schlüsselspeicherdateien müssen die Root- und SSL-Zwischenzertifikate enthalten.
HINWEIS: Das Passwort für den Schlüsselspeicher im JKS-Format muss mit der Passphrase des privaten Schlüssels übereinstimmen, die zum Erzeugen des SSL-Zertifikats verwendet wurde.
Sie haben das Zertifikat in Truststores importiert.
Sie müssen über einen Truststore im PEM-Format mit der Bezeichnung infa_truststore.pem sowie über einen Truststore im JKS-Format mit der Bezeichnung infa_truststore.jks verfügen.
Die Truststore-Dateien müssen die Root-, Zwischen- und Endbenutzer-SSL-Zertifikate enthalten.
Die Schlüsselspeicher und Truststores befinden sich im richtigen Verzeichnis.
Wenn Sie während der Installation sichere Kommunikation aktivieren, müssen sich der Schlüsselspeicher und der Truststore in einem Verzeichnis befinden, auf das das Installationsprogramm zugreifen kann.
Wenn Sie nach der Installation sichere Kommunikation aktivieren, müssen sich der Schlüsselspeicher und der Truststore in einem Verzeichnis befinden, auf das die Befehlszeilenprogramme zugreifen können.
You enforced the HTTP Strict Transport Security (HSTS) response header.
You can choose to enable HSTS response header in your domain to prevent man-in-the-middle (MITM) security threats. If you enable HSTS response header, you can stop HTTP redirects to HTTPS and ensure that only secured URLs (HTTPS) are accessed.
WICHTIG: Informatica supports multiple applications and services running on both HTTP and HTTPS. If you enable this option, you cannot access the applications or services with HTTP URL.
To enable this option, set the INFA_HSTS_HEADER_ENABLED environment variable to true and import the certificates from infa_truststore and Informatica Administrator keystore to your browser.

Richtlinien für die Verwendung von Standard- und benutzerdefinierten Truststore-Dateien

Das Installationsprogramm legt die Standarddateien „infa_truststore.jks“ und „keystore“ im Verzeichnis <Informatica installation directory>/services/shared/security auf jedem Knoten ab. Sie können den Standard-Truststore für das Setup und die Machbarkeitsstudie verwenden. Die Standard-Truststore- und Schlüsselspeicherdateien bieten jedoch eingeschränkte Sicherheit. Für die Produktion empfiehlt Informatica die Verwendung benutzerdefinierter Truststore- und Schlüsselspeicherdateien für eine sicherere Kommunikation und SAML-Authentifizierung.
Platzieren Sie benutzerdefinierte Truststore- und Schlüsselspeicherdateien in einem benutzerdefinierten Verzeichnis. Der Truststore-Datei muss folgender Name zugewiesen werden: infa_truststore.jks.
Die standardmäßigen Truststore- und Schlüsselspeicherdateien sollten weder überschrieben, gelöscht noch verschoben werden. Platzieren Sie benutzerdefinierte Truststore- und Schlüsselspeicherdateien nicht im Verzeichnis <Informatica installation directory>/services/shared/security
Verwenden Sie beim Erstellen eines Alias für neue Zertifikate und private Schlüssel nicht den Standardnamen „Informatica LLC“, der von den standardmäßigen Truststore- und Schlüsselspeicherdateien verwendet wird.

Richtlinien zum Erstellen von Zertifikaten und benutzerdefinierten Truststore- und Schlüsselspeicherdateien

Sie können das Java-Keytool-Dienstprogramm zur Schlüssel- und Zertifikatsverwaltung zum Erstellen eines SSL-Zertifikats oder eines CSR (Certificate Signing Request) sowie von Schlüsselspeicherdateien und Truststore-Dateien im JKS-Format verwenden.
Das Keytool ist im folgenden Verzeichnis auf Domänenknoten verfügbar:
<Informatica installation directory>\java\bin
Wenn die Domänenknoten auf AIX ausgeführt werden, können Sie das bereitgestellte Keytool mit dem IBM JDK zum Erstellen eines SSL-Zertifikats oder eines CSR (Certificate Signing Request) sowie von Schlüsselspeicherdateien und Truststore-Dateien verwenden.
  1. 1Kopieren Sie die Zertifikatsdateien in einen lokalen Ordner auf einem Gateway-Knoten innerhalb der Informatica-Domäne.
  2. 2Wechseln Sie von der Befehlszeile zum Speicherort des Keytool-Dienstprogramms auf dem Knoten.
  3. 3Führen Sie zum Importieren des Zertifikats das Keytool-Dienstprogramm aus.
  4. 4Starten Sie den Knoten neu.

Next Steps

For more information about how to create a custom keystore and truststore and import certificates in your browser, see the Informatica How-To Library article How to Create Keystore and Truststore Files for Secure Communication in the Informatica Domain: https://docs.informatica.com/data-quality-and-governance/data-quality/h2l/0700-how-to-create-keystore-and-truststore-files-for-secure-comm/abstract.html
After you secure the domain, configure the Informatica client applications to work with a secure domain.

Aktivieren sicherer Kommunikation für die Domäne über die Befehlszeile

Verwenden Sie die infacmd- und infasetup-Befehle, um eine sichere Kommunikation für die Domäne zu aktivieren. Nachdem Sie die sichere Kommunikation aktiviert haben, müssen Sie die Domäne neu starten, damit die Änderungen wirksam werden.
Um Ihre SSL-Zertifikatsdateien zu verwenden, geben Sie die Schlüsselspeicher-Dateien an, wenn Sie den infasetup-Befehl ausführen.
Um eine sichere Domänenkommunikation über die Befehlszeile zu konfigurieren, verwenden Sie die folgenden Befehle:
infacmd isp UpdateDomainOptions
Verwenden Sie den Befehl UpdateDomainOptions, um den sicheren Kommunikationsmodus für die Domäne einzurichten.
infasetup UpdateGatewayNode
Verwenden Sie den UpdateGatewayNode-Befehl, um sichere Kommunikation für den Dienstmanager auf einem Gateway-Knoten in einer Domäne zu aktivieren. Wenn die Domäne über mehrere Gateway-Knoten verfügt, führen Sie den UpdateGatewayNode-Befehl auf jedem Gateway-Knoten aus.
infasetup UpdateWorkerNode
Verwenden Sie den UpdateWorkerNode-Befehl, um sichere Kommunikation für den Dienstmanager auf einem Worker-Knoten in einer Domäne zu aktivieren. Wenn die Domäne mehrere Worker-Knoten aufweist, führen Sie den UpdateWorkerNode-Befehl auf jedem Worker-Knoten aus.
    1Stellen Sie sicher, dass die zu sichernde Domäne ausgeführt wird.
    2Aktualisieren Sie die Domäne.
    Führen Sie den folgenden Befehl mit den erforderlichen Optionen und Argumenten aus:
    Um eine sichere Kommunikation für die Domäne zu konfigurieren, fügen Sie beim Ausführen des infacmd-Befehls die folgenden Optionen hinzu:
    Option
    Argument
    Beschreibung
    -DomainOptions
    -do
    option_name=value
    Legen Sie die folgende Option fest, um eine sichere Kommunikation für die Domäne zu konfigurieren:
    TLSMode=True
    3Fahren Sie die Domäne herunter.
    Die Domäne muss heruntergefahren werden, bevor Sie die infasetup-Befehle ausführen.
    4 Führen Sie „infasetup“ mit der erforderlichen Optionen und Argumenten aus.
    Geben Sie den folgenden Befehl ein:
    Um die sichere Kommunikation auf den Knoten zu konfigurieren, führen Sie die Befehle mit den folgenden Optionen aus:
    Option
    Argument
    Beschreibung
    -EnableTLS
    -tls
    enable_tls
    Konfiguriert die sichere Kommunikation für die Dienste in der Informatica-Domäne.
    -NodeKeystore
    -nk
    node_keystore_directory
    Optional, wenn Sie das Standard-SSL-Zertifikat von Informatica verwenden. Erforderlich, wenn Sie Ihr SSL-Zertifikat verwenden. Verzeichnis, das die Schlüsselspeicherdateien enthält. Für die Informatica-Domäne muss das SSL-Zertifikat im PEM-Format und in JKS (Java Keystore)-Dateien vorliegen. Das Verzeichnis muss Schlüsselspeicherdateien in den Formaten PEM und JKS enthalten. Die Schlüsselspeicherdateien müssen „infa_keystore.jks“ und „infa_keystore.pem“ lauten.
    Sie können dieselbe Schlüsselspeicherdatei für mehrere Knoten verwenden.
    -NodeKeystorePass
    -nkp
    node_keystore_password
    Optional, wenn Sie das Standard-SSL-Zertifikat von Informatica verwenden. Erforderlich, wenn Sie Ihr SSL-Zertifikat verwenden. Das Passwort für die infa_keystore.jks-Datei.
    -NodeTruststore
    -nt
    node_truststore_directory
    Optional, wenn Sie das Standard-SSL-Zertifikat von Informatica verwenden. Das Verzeichnis, das die Truststore-Dateien enthält.
    Sie können dieselbe Truststore-Datei für mehrere Knoten verwenden.
    -NodeTruststorePass
    -ntp
    node_truststore_password
    Optional, wenn Sie das Standard-SSL-Zertifikat von Informatica verwenden. Passwort für die Datei infa_truststore.jks.
    5Führen Sie den infasetup-Befehl auf jedem Knoten in der Domäne aus.
    Wenn Sie über mehrere Gateway-Knoten in der Domäne verfügen, führen Sie infasetup UpdateGatewayNode auf jedem Gateway-Knoten aus. Wenn Sie über mehrere Worker-Knoten verfügen, führen Sie infasetup UpdateWorkerNode auf jedem Worker-Knoten aus. Sie müssen für alle Knoten in der Domäne dieselben Schlüsselspeicherdateien verwenden.
    6Starten Sie die Domäne neu.

Aktivieren einer sicheren Kommunikation für die Domäne im Administrator Tool

Sie können das Administrator Tool verwenden, um sichere Kommunikation für die Domäne zu aktivieren. Wenn Sie die sichere Kommunikation im Administrator Tool aktiveren, müssen Sie auch infasetup-Befehle zum Aktualisieren der Knoten ausführen.
Wenn Sie die Option „Sichere Kommunikation“ im Administrator Tool aktivieren, müssen Sie den infasetup-Befehl auch zum Aktualisieren der Informatica-Konfigurationsdateien auf jedem Knoten ausführen. Um Ihre zu verwendenden SSL-Zertifikatsdateien anzugeben, geben Sie die Schlüsselspeicher-Dateien an, wenn Sie den infasetup-Befehl ausführen.
Verwenden Sie zum Aktualisieren der Informatica-Konfigurationsdateien auf jedem Knoten die folgenden Befehle:
infasetup UpdateGatewayNode
Verwenden Sie den UpdateGatewayNode-Befehl, um sichere Kommunikation für den Dienstmanager auf einem Gateway-Knoten in einer Domäne zu aktivieren. Wenn die Domäne über mehrere Gateway-Knoten verfügt, führen Sie den UpdateGatewayNode-Befehl auf jedem Gateway-Knoten aus.
infasetup UpdateWorkerNode
Verwenden Sie den UpdateWorkerNode-Befehl, um sichere Kommunikation für den Dienstmanager auf einem Worker-Knoten in einer Domäne zu aktivieren. Wenn die Domäne mehrere Worker-Knoten aufweist, führen Sie den UpdateWorkerNode-Befehl auf jedem Worker-Knoten aus.
Führen Sie im Administrator Tool die folgenden Schritte aus, um die sichere Kommunikation in der Domäne zu aktivieren:
    1Wählen Sie die Domäne im Administrator Tool aus.
    2Klicken Sie im Inhaltsbereich auf die Ansicht Eigenschaften.
    3Gehen Sie zum Bereich Allgemeine Eigenschaften und klicken Sie auf Bearbeiten.
    4Wählen Sie im Fenster Allgemeine Eigenschaften bearbeiten Sichere Kommunikation aktivieren aus.
    5Klicken Sie auf OK.
    6Fahren Sie die Domäne herunter.
    Die Domäne muss heruntergefahren werden, bevor Sie die infasetup-Befehle ausführen.
    7 Führen Sie „infasetup“ mit der erforderlichen Optionen und Argumenten aus.
    Geben Sie den folgenden Befehl ein:
    Um die sichere Kommunikation auf den Knoten zu konfigurieren, führen Sie die Befehle mit den folgenden Optionen aus:
    Option
    Argument
    Beschreibung
    -EnableTLS
    -tls
    enable_tls
    Konfiguriert die sichere Kommunikation für die Dienste in der Informatica-Domäne.
    -NodeKeystore
    -nk
    node_keystore_directory
    Optional, wenn Sie das Standard-SSL-Zertifikat von Informatica verwenden. Erforderlich, wenn Sie Ihr SSL-Zertifikat verwenden. Verzeichnis, das die Schlüsselspeicherdateien enthält. Für die Informatica-Domäne muss das SSL-Zertifikat im PEM-Format und in JKS (Java Keystore)-Dateien vorliegen. Das Verzeichnis muss Schlüsselspeicherdateien in den Formaten PEM und JKS enthalten. Die Schlüsselspeicherdateien müssen „infa_keystore.jks“ und „infa_keystore.pem“ lauten.
    Sie können dieselbe Schlüsselspeicherdatei für mehrere Knoten verwenden.
    -NodeKeystorePass
    -nkp
    node_keystore_password
    Optional, wenn Sie das Standard-SSL-Zertifikat von Informatica verwenden. Erforderlich, wenn Sie Ihr SSL-Zertifikat verwenden. Das Passwort für die infa_keystore.jks-Datei.
    -NodeTruststore
    -nt
    node_truststore_directory
    Optional, wenn Sie das Standard-SSL-Zertifikat von Informatica verwenden. Das Verzeichnis, das die Truststore-Dateien enthält.
    Sie können dieselbe Truststore-Datei für mehrere Knoten verwenden.
    -NodeTruststorePass
    -ntp
    node_truststore_password
    Optional, wenn Sie das Standard-SSL-Zertifikat von Informatica verwenden. Passwort für die Datei infa_truststore.jks.
    8Führen Sie den infasetup-Befehl auf jedem Knoten in der Domäne aus.
    Wenn Sie über mehrere Gateway-Knoten in der Domäne verfügen, führen Sie infasetup UpdateGatewayNode auf jedem Gateway-Knoten aus. Wenn Sie über mehrere Worker-Knoten verfügen, führen Sie infasetup UpdateWorkerNode auf jedem Worker-Knoten aus. Sie müssen für alle Knoten in der Domäne dieselben Schlüsselspeicherdateien verwenden.
    9Starten Sie die Domäne neu.

Konfigurieren der Informatica-Client-Anwendungen zum Arbeiten mit einer sicheren Domäne

Wenn Sie sichere Kommunikation innerhalb der Domäne aktivieren, sichern Sie auch Verbindungen zwischen der Domäne und Informatica-Client-Anwendungen, wie z. B. dem Developer Tool. Sie müssen unter Umständen den Speicherort und das Passwort für die Truststore-Dateien angeben, die zum Sichern der Domäne in Umgebungsvariablen verwendet werden. Sie richten die Umgebungsvariablen auf Computern ein, auf denen Client-Anwendungen gehostet werden, die auf Dienste innerhalb der Domäne zugreifen.
SSL-Zertifikate, die zum Sichern einer Informatica-Domäne verwendet werden, befinden sich in Truststore-Dateien mit der Bezeichnung infa_truststore.jks und infa_truststore.pem. Die Truststore-Dateien müssen auf jedem Client-Host verfügbar sein.
Sie müssen unter Umständen die folgenden Umgebungsvariablen auf allen Client-Hosts einrichten:
INFA_TRUSTSTORE
Legen Sie diese Variable auf das Verzeichnis fest, das die Truststore-Dateien infa_truststore.jks und infa_truststore.pem enthält.
INFA_TRUSTSTORE_PASSWORD
Legen Sie diese Variable auf das Passwort für die Truststore-Datei fest. Das Passwort muss verschlüsselt werden. Verwenden Sie das Befehlszeilenprogramm pmpasswd zum Verschlüsseln des Passworts.
Informatica stellt ein SSL-Zertifikat in Truststore-Standarddateien bereit, die Sie zum Sichern der Domäne verwenden können. Wenn Sie die Informatica-Clients installieren, legt das Installationsprogramm die Umgebungsvariablen fest und installiert die Truststore-Dateien standardmäßig in folgendem Verzeichnis: <Informatica installation directory>\clients\shared\security
Wenn Sie das SSL-Standardzertifikat von Informatica verwenden und sich die Dateien infa_truststore.jks und infa_truststore.pem im Standardverzeichnis befinden, müssen Sie die Umgebungsvariable INFA_TRUSTSTORE oder INFA_TRUSTSTORE_PASSWORD nicht festlegen.
Sie müssen die Umgebungsvariablen INFA_TRUSTSTORE und INFA_TRUSTSTORE_PASSWORD auf allen Client-Hosts in folgenden Szenarien einrichten:
Sie verwenden ein benutzerdefiniertes SSL-Zertifikat zum Sichern der Domäne.
Wenn Sie ein SSL-Zertifikat zum Sichern der Domäne bereitstellen, importieren Sie das Zertifikat in die Truststore-Dateien mit der Bezeichnung infa_truststore.jks und infa_truststore.pem und kopieren Sie die Truststore-Dateien dann auf alle Client-Hosts. Sie müssen den Speicherort der Dateien und das Truststore-Passwort angeben.
Wichtig: Wenn Sie die Verarbeitung an einen Computecluster übergeben und der Datenintegrationsdienst in einem Gitter ausgeführt wird, importieren Sie die Zertifikate einmal und kopieren Sie sie dann auf jeden Datenintegrationsdienst im Gitter. Bei jedem Import eines Zertifikats stimmen die Inhalte des Zertifikats überein, die Hexwerte sind jedoch verschieden. Deshalb schlagen gleichzeitige Zuordnungen im Gitter mit Initialisierungsfehlern fehl.
Sie ersetzen die Truststore-Standarddateien von Informatica mit eigenen Truststore-Dateien im Standardverzeichnis.
Wenn Sie die Truststore-Standarddateien mit der Bezeichnung infa_truststore.jks und infa_truststore.pem durch eigene Truststore-Dateien im Informatica-Standardverzeichnis ersetzen, müssen Sie das Truststore-Passwort angeben. Die Truststore-Dateien müssen dieselben Dateinamen aufweisen wie die Truststore-Standarddateien.
Sie verwenden das SSL-Standardzertifikat von Informatica, die Truststore-Dateien befinden sich aber nicht im Informatica-Standardverzeichnis.
Wenn Sie das SSL-Standardzertifikat von Informatica verwenden, die Truststore-Standarddateien infa_truststore.jks und infa_truststore.pem jedoch nicht im Standardverzeichnis enthalten sind, müssen Sie den Speicherort der Dateien und das Truststore-Passwort angeben.

Sichere Domänenkonfigurations-Repository-Datenbank

Das Informatica-Domänenkonfigurations-Repository speichert die Konfigurationsinformationen und Benutzerkonto-Berechtigungen. Beim Erstellen einer Informatica-Domäne müssen Sie ein Domänenkonfigurations-Repository erstellen.
Sie können ein Domänenkonfigurations-Repository in einer Datenbank erstellen, die mit dem SSL-Protokoll gesichert ist. Das SSL-Protokoll verwendet in einer Truststore-Datei gespeicherte SSL-Zertifikate. Der Zugriff auf die sichere Datenbank erfordert ein Truststore, der die Zertifikate für die Datenbank enthält.
Sie können eine sichere Domänenkonfigurations-Repository-Datenbank erstellen, wenn Sie die Informatica-Dienste installieren und eine Domäne erstellen. Weitere Informationen zum Konfigurieren eines sicheren Domänenkonfigurations-Repository während der Installation finden Sie in den Informatica-Installationshandbüchern.
Nach der Installation können Sie eine sichere Domänenkonfigurations-Repository-Datenbank über die Befehlszeile konfigurieren.
HINWEIS: Bevor Sie eine sichere Domänenkonfigurations-Repository-Datenbank nach der Installation konfigurieren, müssen Sie eine sichere Kommunikation für die Domäne aktivieren.
Sie können ein sicheres Domänenkonfigurations-Repository in den folgenden Datenbanken erstellen:

Konfigurieren einer sicheren Domänenkonfigurations-Repository-Datenbank

Nach der Installation können Sie das Domänenkonfigurations-Repository in eine sichere Datenbank ändern. Sie können eine sichere Domänenkonfigurations-Repository-Datenbank nur verwenden, wenn Sie eine sichere Kommunikation für die Domäne aktivieren.
Sie müssen die Domäne herunterfahren, bevor Sie die Domänenkonfigurations-Repository-Datenbank ändern. Verwenden Sie den infasetup-Befehl, um die Domänenkonfigurations-Repository-Datenbank zu sichern und sie in einer sicheren Datenbank wiederherzustellen. Geben Sie beim Wiederherstellen des Domänenkonfigurations-Repositorys in der sicheren Datenbank die Sicherheitsparameter für die sichere Datenbank an. Aktualisieren Sie anschließend den Gateway-Knoten mit den Domänenkonfigurations-Repository-Informationen.
Um die Repository-Datenbank zu sichern sowie wiederherzustellen und den Gateway-Knoten zu aktualisieren, verwenden Sie die folgenden Befehle:
infasetup BackupDomain
Verwenden Sie die BackupDomain-Option, um Daten aus der Domänenkonfigurations-Repository-Datenbank zu sichern.
infasetup RestoreDomain
Verwenden Sie die RestoreDomain-Option, um Domänenkonfigurations-Repository-Daten in einer sicheren Datenbank wiederherzustellen.
infasetup UpdateGatewayNode
Verwenden Sie die UpdateGatewayNode-Option, um die Domänenkonfigurations-Repository-Einstellungen in den Gateway-Knoten der Domäne zu aktualisieren.
Um das Domänenkonfigurations-Repository in eine sichere Datenbank zu ändern, führen Sie die folgenden Schritte durch:
    1Stellen Sie sicher, dass eine sichere Kommunikation für die Domäne aktiviert ist.
    Die Domäne muss sicher sein, bevor Sie eine sichere Datenbank für das Domänenkonfigurations-Repository verwenden können.
    2Fahren Sie die Domäne herunter.
    3Führen Sie den infasetup-Befehl BackupDomain aus und geben Sie die Datenbankverbindungsinformationen an.
    Beim Ausführen des BackupDomain-Befehls sichert infasetup die meisten Datenbanktabellen für die Domänenkonfiguration in der Datei, deren Namen Sie angeben.
    HINWEIS: Wenn der infasetup-Backup- oder infasetup-Wiederherstellungsbefehl mit einem Java-Speicherfehler fehlschlägt, stellen Sie für infasetup mehr Systemspeicher zur Verfügung. Um den Systemspeicher zu vergrößern, legen Sie den Wert -Xmx in der Umgebungsvariable INFA_JAVA_CMD_OPTS fest.
    4Verwenden Sie das Dienstprogramm zur Datenbanksicherung, um zusätzliche Repository-Tabellen manuell zu sichern, die vom infasetup-Befehl nicht gesichert werden.
    Sichern Sie die Inhalte der folgenden Tabelle:
    5Um das Domänenkonfigurations-Repository in der sicheren Datenbank wiederherzustellen, führen Sie den infasetup-Befehl RestoreDomain aus und geben Sie die Datenbankverbindungsinformationen an.
    Geben Sie zusätzlich zu den Verbindungsinformationen die folgenden für die sichere Datenbank erforderlichen Optionen an:
    Option
    Argument
    Beschreibung
    -DatabaseTlsEnabled
    -dbtls
    database_tls_enabled
    Erforderlich. Gibt an, ob die Datenbank, in der das Domänenkonfigurations-Repository wiederhergestellt wird, eine sichere Datenbank ist. Legen Sie diese Option auf TRUE fest.
    -DatabaseTruststoreLocation
    -dbtl
    database_truststore_location
    Erforderlich. Pfad und Dateiname der Truststore-Datei, die das SSL-Zertifikat für die Datenbank enthält.
    -DatabaseTruststorePassword
    -dbtp
    database_truststore_password
    Erforderlich. Passwort für die Datenbank-Truststore-Datei für die sichere Datenbank.
    Fügen Sie die folgenden Sicherheitsparameter zum Verbindungsstring hinzu:
    EncryptionMethod
    Erforderlich. Gibt an, ob Daten bei der Netzwerkübertragung verschlüsselt werden. Dieser Parameter muss auf SSL festgelegt werden.
    ValidateServerCertificate
    Optional. Gibt an, ob Informatica das Zertifikat validiert, das der Datenbankserver sendet.
    Wenn dieser Parameter auf TRUE gesetzt ist, validiert Informatica das vom Datenbankserver gesendete Zertifikat. Wenn Sie den HostNameInCertificate-Parameter angeben, validiert Informatica ebenfalls den Hostnamen im Zertifikat.
    Wenn dieser Parameter auf FALSE gesetzt ist, validiert Informatica das vom Datenbankserver gesendete Zertifikat nicht. Informatica ignoriert alle Truststore-Informationen, die Sie angeben.
    Standardwert ist „True“.
    HostNameInCertificate
    Optional. Hostname des Computers, auf dem die sichere Datenbank gehostet wird. Wenn Sie einen Hostnamen angeben, validiert Informatica den Hostnamen in der Verbindungszeichenfolge mit dem Hostnamen im SSL-Zertifikat.
    cryptoProtocolVersion
    Erforderlich. Gibt das Kryptografieprotokoll an, das für die Verbindung mit einer sicheren Datenbank verwendet werden soll. Sie können je nach dem vom Datenbankserver verwendeten Kryptografieprotokoll den Parameter auf cryptoProtocolVersion=TLSv1.1 oder cryptoProtocolVersion=TLSv1.2 einstellen.
    6Verwenden Sie das Datenbank-Wiederherstellungs-Dienstprogramm, um die Repository-Tabellen wiederherzustellen, die Sie manuell gesichert haben.
    Stellen Sie die folgende Tabelle wieder her:
    7Führen Sie zum Aktualisieren der Knoten in der Domäne mit Informationen über das sichere Domänenkonfigurations-Repository den Befehl „infasetup UpdateGatewayNode“ aus und geben Sie die sicheren Datenbankverbindungsinformationen an.
    Geben Sie zusätzlich zu den Knotenoptionen die folgenden für die sichere Datenbank erforderlichen Optionen an:
    Option
    Argument
    Beschreibung
    -DatabaseTlsEnabled
    -dbtls
    database_tls_enabled
    Erforderlich. Gibt an, ob die Datenbank, die für das Domänenkonfigurations-Repository verwendet wird, eine sichere Datenbank ist. Legen Sie diese Option auf TRUE fest.
    -DatabaseConnectionString
    -cs
    database_connection_string
    Erforderlich. Verbindungsstring zum Herstellen der Verbindung mit der sicheren Datenbank. Der Verbindungsstring muss die Sicherheitsparameter enthalten, die Sie im Verbindungsstring hinzugefügt haben, als Sie den Befehl „infasetup RestoreDomain“ in Schritt 5 ausgeführt haben.
    -DatabaseTruststorePassword
    -dbtp
    database_truststore_password
    Erforderlich. Passwort für die Datenbank-Truststore-Datei für die sichere Datenbank.
    Wenn Sie über mehrere Gateway-Knoten in der Domäne verfügen, führen Sie infasetup UpdateGatewayNode auf jedem Gateway-Knoten aus.
    8Starten Sie die Domäne neu.

Sichere PowerCenter-Repository-Datenbank

Wenn Sie einen PowerCenter-Repository-Dienst erstellen, können Sie das zugehörige PowerCenter-Repository in einer mit dem SSL-Protokoll gesicherten Datenbank erstellen.
Der PowerCenter-Repository-Dienst stellt eine Verbindung zur PowerCenter-Repository-Datenbank über die native Konnektivität her.
Überprüfen Sie beim Erstellen eines PowerCenter-Repositorys auf einer sicheren Datenbank, dass die Datenbank-Client-Dateien die sicheren Verbindungsinformationen für die Datenbank enthalten. Wenn Sie beispielsweise einen PowerCenter-Repository auf einer sicheren Oracle-Datenbank erstellen, konfigurieren Sie die Client-Dateien tnsnames.ora und sqlnet.ora der Oracle-Datenbank mit den sicheren Verbindungsinformationen.

Sichere Modellrepository-Datenbank

Wenn Sie einen Modellrepository-Dienst erstellen, können Sie das zugehörige Modellrepository in einer mit dem SSL-Protokoll gesicherten Datenbank erstellen.
Der Modellrepository-Dienst stellt mithilfe von JDBC-Treibern eine Verbindung zur Modellrepository-Datenbank her.
    1Richten Sie eine mit dem SSL-Protokoll gesicherte Datenbank ein.
    2Erstellen Sie im Administrator-Tool einen Modellrepository-Dienst.
    3Geben Sie im Dialogfeld Neuer Modellrepository-Dienst die allgemeinen Eigenschaften für den Modellrepository-Dienst ein und klicken Sie auf Weiter.
    4Geben Sie die Datenbankeigenschaften und den JDBC-Verbindungsstring für den Modellrepository-Dienst ein.
    Um eine Verbindung zu einer sicheren Datenbank herzustellen, geben Sie die sicheren Datenbankparameter im Feld Sichere JDBC-Parameter ein. Informatica behandelt den Wert des Felds Sichere JDBC-Parameter als vertrauliche Daten und speichert die verschlüsselte Parameterzeichenfolge.
    Die folgende Liste beschreibt die Parameter für sichere Datenbanken:
    EncryptionMethod
    Erforderlich. Gibt an, ob Daten bei der Netzwerkübertragung verschlüsselt werden. Dieser Parameter muss auf SSL festgelegt werden.
    ValidateServerCertificate
    Optional. Gibt an, ob Informatica das Zertifikat validiert, das der Datenbankserver sendet.
    Wenn dieser Parameter auf TRUE gesetzt ist, validiert Informatica das vom Datenbankserver gesendete Zertifikat. Wenn Sie den HostNameInCertificate-Parameter angeben, validiert Informatica ebenfalls den Hostnamen im Zertifikat.
    Wenn dieser Parameter auf FALSE gesetzt ist, validiert Informatica das vom Datenbankserver gesendete Zertifikat nicht. Informatica ignoriert alle Truststore-Informationen, die Sie angeben.
    Standardwert ist „True“.
    HostNameInCertificate
    Optional. Hostname des Computers, auf dem die sichere Datenbank gehostet wird. Wenn Sie einen Hostnamen angeben, validiert Informatica den Hostnamen in der Verbindungszeichenfolge mit dem Hostnamen im SSL-Zertifikat.
    cryptoProtocolVersion
    Erforderlich. Gibt das Kryptografieprotokoll an, das für die Verbindung mit einer sicheren Datenbank verwendet werden soll. Sie können je nach dem vom Datenbankserver verwendeten Kryptografieprotokoll den Parameter auf cryptoProtocolVersion=TLSv1.1 oder cryptoProtocolVersion=TLSv1.2 einstellen.
    TrustStore
    Erforderlich. Pfad und Dateiname der Truststore-Datei, die das SSL-Zertifikat für die Datenbank enthält.
    Wenn Sie den Pfad für die Truststore-Datei nicht hinzufügen, sucht Informatica im folgenden Standardverzeichnis nach der Datei: <InformaticaInstallationDirectory>/tomcat/bin
    TrustStorePassword
    Erforderlich. Passwort der Truststore-Datei für die sichere Datenbank.
    HINWEIS: Informatica hängt die sicheren JDBC-Parameter an den JDBC-Verbindungsstring an. Wenn Sie die sicheren JDBC-Parameter direkt zum Verbindungsstring hinzufügen, geben Sie im Feld Sichere JDBC-Parameter keinen Parameter ein.
    5Testen Sie die Verbindung, um sicherzustellen, dass die Verbindung zur sicheren Repository-Datenbank gültig ist.
    6Stellen Sie den Vorgang zum Erstellen eines Modellrepository-Diensts fertig.

Sichere Kommunikation für Arbeitsabläufe und Sitzungen

Wenn Sie die Option der sicheren Kommunikation für die Domäne aktivieren, sichert Informatica die Verbindung zwischen dem Datenintegrationsdienst und PowerCenter-Integrationsdienst sowie den DTM-Prozessen.
Wenn Sie zudem PowerCenter-Sitzungen auf einem Gitter ausführen, können Sie eine Option zum Sichern der Datenkommunikation zwischen den DTM-Prozessen aktivieren.
Wählen Sie zum Aktivieren der sicheren Datenkommunikation zwischen DTM-Prozessen in PowerCenter-Sitzungen die Option Datenverschlüsselung aktivieren für den PowerCenter-Integrationsdienst aus.
HINWEIS: PowerCenter-Sitzungen benötigen mehr CPU und Speicher, wenn die DTM-Prozesse im sicheren Modus ausgeführt werden. Bevor Sie die sichere Datenkommunikation zwischen DTM-Prozessen für PowerCenter-Sitzungen aktivieren, bestimmen Sie, ob die Domänenressourcen für zusätzliches Laden ausreichend sind.

Aktivieren einer sicheren Kommunikation für PowerCenter-DTM-Prozesse

Um die Verbindung zwischen den DTM-Prozessen in PowerCenter-Sitzungen zu sichern, die auf einem Gitter ausgeführt werden, konfigurieren Sie den PowerCenter-Integrationsdienst für die Aktivierung der Datenverschlüsselung für DTM-Prozesse.
    1Wählen Sie im Navigator des Administrator-Tools den PowerCenter-Integrationsdienst aus.
    2Klicken Sie im Inhaltsbereich auf die Ansicht „Eigenschaften“.
    3Wechseln Sie zum Abschnitt der PowerCenter-Integrationsdienst-Eigenschaften und klicken Sie auf „Bearbeiten“.
    4Wählen Sie im Fenster PowerCenter-Integrationsdienst-Eigenschaften bearbeiten Datenverschlüsselung aktivieren aus.
    5Klicken Sie auf OK.
Beim Ausführen einer PowerCenter-Sitzung auf einem Gitter senden die DTM-Prozesse verschlüsselte Daten, wenn sie mit anderen DTM-Prozessen kommunizieren.