---

obcm

用途

obcmツールは、アイデンティティ証明書をエクスポートおよびインポートする場合に使用します。これらの手順が必要になるのは、認証局（CA）がネットワークを介してホストそれぞれに署名付き証明書を発行するために必要となるOracle Secure Backupのデフォルトのセキュリティ動作を受け入れない場合です。

CAとして動作するのは、管理サーバー上のobservicedデーモンです。CAには証明書に関する2つの役割があります。1つ目は、mkhostプロセスの一環として管理ドメイン内のホストから証明書の署名リクエストを受け入れることです。2つ目は、署名付き証明書をリクエスト側のホストに送り返すことです。

手動証明書プロビジョニング・モードでは、管理サーバー上でobcm export --certificateを実行することで、新しく構成したホストに対して署名付き証明書をエクスポートします。この署名付き証明書は、新しく構成したホストに手動で送信する必要があります。

ホストに証明書を手動で送信した後、新しく構成したホスト上でobcm importを実行することで、署名付き証明書をホストのウォレットにインポートします。この場合、obcmはホストのウォレットに直接アクセスします。obcmは、ローカル・ウォレットを変更した後、ローカルのobservicedに通知し、ローカルのobservicedが不明瞭化ウォレットを再作成できるようにします。

前提条件

すべてのobcmコマンドは、LinuxまたはUNIXではrootとして、Windowsでは管理ユーザーとして実行する必要があります。

ウォレット・ディレクトリの書込み権限を持っている必要があります。ウォレット・ディレクトリはデフォルトでは、LinuxおよびUNIXの場合は/usr/etc/ob/wallet、Windowsの場合はC:\Program Files\Oracle\Backup\db\walletです。obcmは常にこの場所にあるウォレットにアクセスします。デフォルトの場所は上書きできません。

構文

obcm chpass --keywallet/-k name
  [ --newpass/-n new_psword ] [ --oldpass/-o old_psword ]
obcm decertify [ -nq ]
obcm display [ --identity/-i | --keywallet/-k ]
  [ --password/-p psword ] [ --verbose/-v ]
obcm export { --certificate/-c | --request/-r } --file/-f cert_file
  --host/-h hostname
obcm import --file/-f signed_certificate_file
obcm mkow --keywallet/-k key_wallet [ --password/-p psword ]

意味

chpass --keywallet/-k name [--newpass/-n new_psword [--oldpass/-o old_psword]

Oracle Secure Backupの暗号化キーのウォレットのパスワードを変更します。--keywallet引数は必須です。--newpassまたは--oldpassを指定しない場合は、対応するパスワードを入力するよう求められます。

decertify [-nq]

ローカル・ホストの証明書データを削除します。-nqを指定した場合、確認メッセージを表示しません。このオプションを指定しない場合、コマンドは確認メッセージを表示します。確認メッセージについては、「対話型モードでのコマンド実行」を参照してください。

ホストの証明書を適切に取り消すには、まず、そのホストで実行されているすべてのobtoolセッションおよびOracle Secure Backupプロセスを閉じるまたは中断することをお薦めします。

LinuxまたはUNIXではroot以外、Windowsでは管理ユーザー以外のユーザーとしてobcm decertifyを実行すると、エラーは表示されませんが、ホストの証明書は取り消されません。管理サーバーの証明書の取消しを試行すると、エラーが発生して失敗します。obcm decertifyコマンドは、他のホストで複数回実行できますが、実際にホストの証明書が取り消されるのは最初の操作のみです。

証明書を取り消されたホストをOracle Secure Backupドメインから削除するには、rmhost --nocomm/-N hostnameコマンドを使用します。

証明書を取り消されたホストを再認証するには、obtoolのrmhostおよびmkhostコマンドではなく、obcm exportおよびobcm importコマンドを使用することをお薦めします。rmhostおよびmkhostコマンドは、ドメインからホストを削除してから追加して戻すため、Oracle Secure Backupオブジェクトの一部がdeletedとなります。

display {[-i identity] | [-k key_wallet]} [-p password] [-v]

アイデンティティまたは暗号化キーのウォレットのコンテンツを表示します。--identityも--keywalletも指定しない場合は、--identityとみなされます。パスワードで保護された暗号化キーのウォレットのコンテンツを表示するには、--passwordオプションを使用します。これは、暗号化キーの不明瞭化されたウォレットが失われたときに、失われたカタログからリカバリする際に使用すると便利です。

export {--certificate/-c | --request/-r} [--file/-f cert_file] [--host/-h hostname]

--certificateオプションは、指定されたホストの署名付きアイデンティティ証明書を、指定されたテキスト・ファイルにエクスポートします。--requestオプションは、指定されたホストの証明書リクエストを、指定されたテキスト・ファイルにエクスポートします。--file引数と--hostname引数はどちらも必須です。

import [--file/ -f signed_request_file]

指定されたテキスト・ファイルから署名付きアイデンティティ証明書をインポートします。--file引数は必須です。

mkow [--keywallet/-k key_wallet] [--password/-p password]

暗号化キーの不明瞭化されたウォレットを再作成します。--passwordを指定しない場合は、パスワードを入力するよう求められます。

例

例A-5 署名付き証明書のエクスポート

この例では、ホストnew_clientの証明書をファイルnew_client_cert.fにエクスポートしています。ユーティリティは、管理サーバー上で動作します。

obcm export -c -f /tmp/new_client_cert.f -h new_client

例A-6 署名付き証明書のインポート

この例では、client_cert.fから署名付きアイデンティティ証明書をインポートします。ユーティリティは、管理ドメインに追加されるホスト上で動作します。

obcm import -f /tmp/new_client_cert.f