| Oracle® Key Vault管理者ガイド 12cリリース1 (12.1.0.3.0) E57731-03 |
|
 前 |
 次 |
エンドポイント管理者は、セキュリティ・オブジェクトを含むエンドポイントをエンロールおよびプロビジョニング可能であり、その結果それらのエンドポイントでは、Oracle Key Vaultサーバーをメディアとして使用し、セキュリティ・オブジェクトを相互に共有できます。
トピック:
エンドポイントは、Oracle Key Vaultを使用してセキュリティ・オブジェクト(鍵、パスワード、証明書および資格証明ファイルなど)を格納、取得するOracle Key Vaultクライアントです。
これらのシステムには、Oracle Databaseサーバー、Oracleミドルウェア・サーバー、オペレーティング・システムなどがあります。エンドポイントは、Oracle Key Vaultを使用して機密情報を長期に格納し、信頼できるピアと共有して、いつでも必要な場合に取得します。
Oracle Key Vaultには、Transparent Data Encryption (TDE)がKey Vaultと通信できるようにするライブラリが用意されています。Oracle Enterprise Managerを使用してデータベース・ターゲット(Oracle Key Vaultデータベース・サーバー・エンドポイント)を管理できますが、Enterprise ManagerではOracle Key VaultとTDEの統合がサポートされていないことに注意してください。
エンドポイント管理者は、Oracle Key Vaultシステム管理者がエンドポイントをOracle Key Vaultに接続するように構成した後、エンドポイントのエンロールとプロビジョニングをファイナライズできます。管理者は、エンドポイント構成ファイルと、セキュリティ・オブジェクトのアップロード、ダウンロードおよび検索に使用するokvutilユーティリティを使用できます。
エンドポイントのエンロールとは、Oracle Key Vaultにエンドポイントを追加する(登録する)プロセスです。エンドポイントは、エンロールされた後、プロビジョニングされます。
okvclient.jarファイルがOracle Key Vaultからエンドポイントにダウンロードされます。このファイルは、エンドポイントがOracle Key Vaultと通信するために必要なユーティリティをインストールします。
エンドポイントがOracle Key Vaultと通信するためには、エンロールされる必要があります。Oracle Database Real Application Cluster (Oracle RAC)環境では、各Oracle RACノードをエンドポイントとしてエンロールおよびプロビジョニングする必要があります。エンドポイントをエンロールすることで、認可されたエンドポイントのみOracle Key Vaultと通信するようにできます。
エンドポイントのエンロールとプロビジョニングには、Oracle Key Vault側の、システム管理者ロールを持っているOracle Key Vault管理者と、エンドポイント側のエンドポイント管理者が関係します。基本的には、Key Vault管理者がプロセスを開始し、エンドポイント管理者がそれを完了させます。
エンロール・プロセスの最後に、Oracle Key Vaultは、エンドポイント管理者にokvclient.jarファイルをダウンロードするように求めます。「エンロールとプロビジョニングのファイナライズ」の6を参照してください。
ダウンロードされたokvclient.jarには、次のリストにある、このエンドポイントに適用される項目が含まれます。
エンドポイントに対応するTLS証明書と秘密鍵
Oracle Key VaultのTLS証明書: トラスト・アンカー
エンドポイント・ライブラリとユーティリティ
okvutilがokvclient.ora構成ファイルを作成するために使用する追加情報(「タスク2: エンドポイントへのOracle Key Vaultクライアント・ソフトウェアのインストール」を参照)
エンドポイント管理者は、エンドポイント自己エンロールと管理者が開始するエンロールの両方について、エンドポイントのエンロールとプロビジョニングを完了させます。
トピック:
エンドポイントのエンロールとプロビジョニングをファイナライズするには、適切なソフトウェアを正しいエンドポイントにダウンロードする必要があります。
エンドポイント管理者としてエンドポイントにログインします。
Oracle Key Vault管理コンソールに接続します。
次に例を示します。
https://192.0.2.254
Oracle Key Vault管理コンソールのログイン・ページが表示されても、ログインしないでください。
ログイン領域の下にある「Endpoint Enrollment and Software Download」リンクをクリックします。
「Enroll Endpoint」ページが表示されます。
「Download Endpoint Software」領域には、何も情報を記入しません。(すでにエンロール済のエンドポイント用のソフトウェアをダウンロードするために使用されます。エンドポイント・ソフトウェアをアップデートする場合にこの領域を使用できます。)
「Enroll Endpoint」で、次のいずれかの操作をします。
管理者が開始するエンロールの場合: システム管理者ロールを持つOracle Key Vaultユーザーから入手したエンロール・トークンを入力し、「Submit Token」を押します。トークンが無効の場合は、「Submit Token」ボタンの近くにエラー・メッセージが表示されます。自己エンロールしたエンドポイントの場合、このアクションはユーザーが実行する必要があります。エンロールのタイプの詳細は、「エンドポイント・エンロールのタイプ」を参照してください。
エンロール・タイプが自己エンロールの場合: 必要に応じて、「Type」、「Platform」および「Email」フィールドに記入または修正します。自己エンロールの場合、トークンはありません。
Type: 「Oracle Database」、「Oracle Non-database」または「Other」。TDEを使用する場合、「Oracle Database」と入力します。
Platform: 「Linux」、Solaris SPARCまたはSolaris x64。
Administrator Email: オプションで、エンドポイント管理者の電子メール・アドレスを入力します。
プロセスを完了するには、「Enroll」をクリックします。
処理メッセージが表示され、続いてエンドポイントに対応するokvclient.jarファイルをダウンロードされます。
任意の場所にファイルを保存します。
「タスク2: エンドポイントへのOracle Key Vaultクライアント・ソフトウェアのインストール」の説明に従って、エンドポイントにokvclient.jarファイルをインストールします。
Oracle Key Vaultクライアント・ソフトウェアをダウンロードしたら、それをエンドポイントにインストールできます。
エンドポイントにソフトウェアをインストールするのに必要な権限を持っていることを確認します。
JDK 1.4以降がインストールされており、PATH環境変数にjava実行可能ファイル(JAVA_HOME/binディレクトリ内)が含まれていることを確認します。
Oracle Key VaultはJDKバージョン1.4、1.5、1.6および7をサポートしています。
okvclient.jarファイルを保存したディレクトリに移動します。
javaコマンドを実行して、okvclient.jarファイルをインストールします。
次に例を示します。
java -jar okvclient.jar -d /home/oracle/okvutil -v
このように指定した場合:
-d引数は、Oracle Key Vaultソフトウェアと構成ファイルのディレクトリの場所(この例では$OKV_HOMEディレクトリ)を指定します。
-v引数は、インストール・ログをサーバー・エンドポイントの$OKV_HOME/log/okvutil.deploy.logファイルに書き込みます。
インストール・プロセスでのJavaホーム・ディレクトリ検出方法に関する情報は、「Oracle Key Vaultクライアント・インストール・プロセスでのJavaホームの場所の決定」を参照してください。
求められたら、次のいずれかを実行し、Oracle Key Vaultにアクセスするための資格証明をOracle Walletファイルに格納します。
パスワード保護ウォレットの場合は、8文字から30文字のパスワードを入力して[Enter]を押します。エンドポイントがOracle Key Vaultに接続するときには、このパスワードが必要です。(必要に応じて、このパスワードを後で変更するには、okvutil changepwdコマンドを使用します。)
自動ログイン・ウォレットの場合は、パスワードを入力しません。[Enter]を押すだけです。エンドポイントがOracle Key Vaultに接続する場合、パスワードは必要ありません。
Enter new Key Vault endpoint password (<enter> for auto-login): Key_Vault_endpoint_password Confirm new Key Vault endpoint password: Key_Vault_endpoint_password
抽出処理によりokvclient.oraファイルがインストールされる場所は、Oracle環境変数の設定により異なります。詳細は、「Oracle Key Vaultインストール・プロセスによるokvclient.oraファイルの場所の決定」を参照してください。
ディレクトリ構造には、次のディレクトリが含まれます。
bin: okvutilプログラム、root.shスクリプトなどのバイナリ・ファイルが含まれます。
conf: 構成ファイルが含まれます。
jlib: Javaライブラリ・ファイルが含まれます。
lib: ファイルliborapkcs.soが含まれます。
log: ログ・ファイルが含まれます。
ssl: Oracle Key Vaultに接続するTLS関連のファイルとウォレットが含まれます。抽出処理が完了すると、パスワード・ベースのウォレットの場合はファイルewallet.p12、自動ログイン・ウォレットの場合はファイルcwallet.ssoがこのディレクトリに追加されます。
抽出処理の完了後、次のメッセージが表示されます。
Oracle Key Vault endpoint software installed successfully.
TDE直接接続を使用する場合、root.shを実行して、liborapkcs.soファイル(libディレクトリ内)を次のディレクトリへコピーします。
/opt/oracle/extapi/64/hsm/oracle/1.0.0
liborapkcs.soファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれます。
ルート・ユーザーとしてログインしてroot.shスクリプトを実行し、liborapkcs.soファイルをコピーします。
次に例を示します。
$ sudo ./$OKV_HOME/bin/root.sh
または
$ su - # bin/root.sh
|
注意:
|
エンドポイントをプロビジョニングする場合、インストール・プロセスによってJavaホームの場所およびokvclient.oraファイルの場所が決定される方法について注意する必要があります。また、エンドポイントがOracle Key Vaultクライアント・ソフトウェアを使用しない場合の処理にも注意する必要があります。
トピック:
Oracle Key Vaultクライアント・インストール・プロセスでのJavaホームの場所の決定
Oracle Key Vaultクライアント・ソフトウェアのインストール・プロセスでは、Javaホームの場所は、一連のルールに基づいて決定されます。
それらのルールは次のとおりです。
ユーザー定義のJAVA_HOME環境変数が存在する場合、インストール・プロセスではこの変数の値が使用されます。
JAVA_HOME環境変数が設定されていない場合、インストール・プロセスでは、Java仮想マシン(JVM)のjava.homeシステム・プロパティからJAVA_HOMEを推測しようとします。
インストールが完了すると、インストーラは、決定されたJAVA_HOMEパスを、将来の使用のためにconf/okvclient.ora構成ファイルに追加します。その後、okvutilコマンドが、okvclient.oraファイル内のJAVA_HOME設定を使用しようとします。次の方式の1つを使用することで、okvutilに、異なるJAVA_HOME設定を強制的に使用させることができます。
okvutilを実行するシェルにJAVA_HOME環境変数を設定します。
次に例を示します。
setenv JAVA_HOME path_to_Java_home
または
export JAVA_HOME = path_to_Java_home
okvlient.ora構成ファイル内にJAVA_HOMEプロパティを設定します。
次に例を示します。
JAVA_HOME = path_to_Java_home
Oracle Key Vaultインストール・プロセスでのokvclient.oraファイルの場所の決定
okvclient.oraファイルは、Oracle Key Vaultエンドポイント・ソフトウェアの構成ファイルです。
このファイルがどこにインストールされるかは、次の要因により異なります。
okvclient.oraファイルのデフォルトの場所は、$OKV_HOME/confディレクトリです。$OKV_HOMEディレクトリは、-dオプションで指定される、エンドポイント・ソフトウェアのインストール先ディレクトリです。エンドポイント・ソフトウェアをインストールした後、鍵のためにOracle Key VaultにアクセスするOracle Recovery Manager (RMAN)などのユーティリティを実行するため、Oracle Key Vaultホーム・ディレクトリを参照するように環境変数OKV_HOMEを設定する必要があります(インストール時に自動的に設定されないため)。RMANなどのユーティリティを実行する予定のすべての環境で、OKV_HOMEを設定する必要があります。たとえば、新しいxtermを起動する場合、RMANを実行する前にこの環境でOKV_HOMEを設定する必要があります。
$ORACLE_BASE変数が設定されている場合、$ORACLE_BASE/okv/$ORACLE_SIDの場所に、$OKV_HOME/confディレクトリのokvclient.ora構成ファイルを参照するシンボリック・リンクがインストール・プロセスによって作成されます。okvclient.oraファイルが$ORACLE_BASE/okv/$ORACLE_SIDの場所にすでに存在する場合、インストール・プロセスは、ソフト・リンクの作成を試みず、この場所を有効な場所として承認します。
$ORACLE_BASE/okv/$ORACLE_SIDディレクトリが設定されていない場合、インストール・プロセスは作成しようと試みます。
$ORACLE_HOME変数は設定されているが、$ORACLE_BASE変数は構成されていない場合、インストール・プロセスは、$ORACLE_HOME/okv/$ORACLE_SIDの場所のシンボリック・リンクを作成して、$OKV_HOME/confディレクトリにある構成ファイルを参照します。
エンドポイントがOracle Key Vaultクライアント・ソフトウェアを使用しない場合
Oracle Key Vaultクライアント・ソフトウェアのエンドポイントへのインストール後に、エンドポイントがKey Vaultクライアント・ソフトウェア(okvutilおよびliborapkcs.so)を使用しない場合もあります。
この場合、次の手順を実行します。
次のようにして、okvclient.jarファイルからsslディレクトリを抽出します。
jar xvf okvclient.jar ssl
次のファイルを使用してTLS認証をセットアップします。
ssl/key.pem: エンドポイント秘密鍵
ssl/cert.pem: エンドポイント証明書
ssl/cert_req.pem: cert.pemに対応する証明書リクエスト
ssl/CA.pem: Oracle Key Vaultサーバー証明書を検証するためのトラスト・アンカー
TDEは、Oracle Database 10gリリース2以降でTDEマスター暗号化鍵のOracle Walletへの、Oracle Database 11gリリース1以降でハードウェア・セキュリティ・モジュール(HSM)への格納をサポートしています。
Oracle Key Vaultは、TDEがHSMと通信するために使用するのと同じPKCS#11ライブラリ・インタフェースを使用してTDE鍵を管理できます。このため、TDEマスター・キーを格納および取得するためにKey Vaultを使用するためにデータベースをパッチする必要はありません。Oracle Key Vaultに用意されているPKCS#11ライブラリは、TDEではHSM PKCS#11ライブラリとまったく同様に使用され、データベースではOracle Key Vaultと通信するために使用されます。
Oracle Key Vaultでは、TDE鍵の管理が改善されています。たとえば、ウォレット内の鍵は、長期保持、および同じエンドポイント・グループ内の他のデータベース・エンドポイントと共有するために、直接Key Vaultにアップロードできます。このため、移行の後、無期限にウォレットに格納する必要はありません。引き続きウォレットを使用したり、WITH BACKUP SQL句を含むすべてのTDE鍵管理SQL操作の一部として、ウォレットのコピーをKey Vaultにアップロードしたりできます。(ただし、WITH BACKUP句はADMINISTER KEY MANAGEMENT文には必要ですが、Oracle Key Vault環境ではTDEによって無視されることに注意してください。)
例8-1に、暗号化鍵の設定の例を示します。
例8-1 暗号化鍵の設定
ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY secret_passphrase -- For Oracle Database 11g Release 2 ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY IDENTIFIED BY secret_passphrase WITH BACKUP; -- For Oracle Database 12c
|
注意: Oracle Key Vaultのコンテキストでは、移行とは、データベースがウォレット・バックアップのシナリオとして構成され、管理者にTDE直接接続に移行する意図があることを意味します。詳細は、「Oracle Key VaultでのTDE直接接続の使用」を参照してください。 |
Oracle DatabaseとTDEはOracle Key Vaultのエンドポイントです。エンドポイントをエンロールおよびインストールすると、PKCS#11ライブラリは確実に正しい場所にインストールされ、TDEが取得して使用できます。PKCS#11ライブラリがインストールされると、他のすべての構成と操作が有効になります。
Oracle Key Vaultを使用するのに必要な情報は、okvclient.oraと呼ばれる構成ファイルに格納され、Oracle Key Vaultエンドポイント・ライブラリおよびエンドポイント・ユーティリティにより使用されます。
okvclient.oraファイルは、等号(=)で区切られた、鍵と値の組から構成されています。次のパラメータはサンプル・データで、エンドポイント構成ファイルに設定できます。
SERVER = 192.0.2.254:5696
このパラメータは、IPアドレスとポート番号をコロン区切りで指定します。ポート番号を指定しない場合、デフォルトの標準KMIPポート5696が使用されます。
STANDBY_SERVER = 192.0.2.114:5696
これはスタンバイ・サーバーです。高可用性が構成されている場合、このパラメータはスタンバイのIPアドレスを表示します。それ以外の場合は、127.0.0.1のようにIPアドレスを表示します。
SSL_WALLET_LOC=/home/oracle/okvutil/ssl/
このパラメータは、エンドポイントのTLS証明書があるウォレットの場所を指定します。
Oracle Key Vault okvutilユーティリティは、ユーザーがセキュリティ・オブジェクト(たとえばOracle WalletまたはJavaキーストア)を検索、アップロードおよびダウンロードできるようにします。
トピック:
エンドポイントを管理する場合、Oracle Key Vault okvutilコマンドライン・ユーティリティを使用して、Oracle Key Vault内のセキュリティ・オブジェクトの格納と取得を管理できます。
okvutilユーティリティは、エンドポイントにプロビジョニングされているTLS証明書を使用してOracle Key Vaultへの認証を行います。
okvutilユーティリティの構文によって、セキュリティ・オブジェクトのパスワードをリスト、ダウンロード、アップロードおよび変更できます。コマンドを指定するための長いオプションと短いオプションがあります。
okvutilユーティリティの構文は次のとおりです。
okvutil command arguments [-v verbosity_level]
このように指定した場合:
commandは、次以降の項で説明するlist、uploadおよびdownloadコマンドのいずれかを指します。
argumentsは、付加されるコマンドに渡す引数を指します。
-v、--verboseは、okvutilコマンドのアクションに関するより詳細な情報を出力します。たとえば、使用された構成ファイルの場所とサーバーのIPアドレスをレポートします。有効な値は次のとおりです。
-v 0は、冗長モードを無効にします。
-v 1は、デバッグ・メッセージを含めます。
-v 2は、より詳細なデバッグ・メッセージを含めます。
-h, --helpはヘルプ情報を表示します。
オプション指定のショートおよびロング形式
ショート形式とロング形式のいずれかでオプションを指定できます。
ショート形式: 1つのハイフンと1字の英字オプション名のみを使用します。次に例を示します。
-l /home/username
-t wallet
ロング形式: 2つのハイフンと完全なオプション名を使用します。次に例を示します。
--location /home/username
--type wallet
このガイドの例では、ショート形式を使用します。
okvutilのパスワード入力要求のしくみ
okvutilコマンドは、特定の状況に基づいて、パスワードの入力を求めます。
これらの状況は次のとおりです。
エンドポイントのインストール時に、Oracle Key Vaultにアクセスするためのパスワードを指定した場合、okvutilがKey Vaultにアクセスするいずれかのコマンドを実行するときに、Key Vaultのパスワードを要求します。
-lパラメータを指定した場合、okvutilコマンドは現在のエンドポイントにあるファイルを適用するため、Oracle Key Vaultに接続しません。-lオプションを使用してOracle WalletファイルまたはJavaキーストアを指定した場合、okvutilはウォレットまたはキーストアのパスワードの入力を求めます(設定されている場合)。
okvutil listコマンドは、アップロードされている、使用できるセキュリティ・オブジェクトをリストします。オプションなしで、または-g groupオプションとともに使用した場合、Oracle Key Vaultからリストする各項目の、一意のID、オブジェクト・タイプおよび記述子を表示します。
okvutil listの完全な構文は次のとおりです。ショート形式の場合:
okvutil list [-llocation-ttype| -g group] [-v verbosity_level]
ロング形式の場合:
okvutil list [--locationlocation--typetype| --group group] [--verbose verbosity_level]
このように指定した場合:
-l、--locationは、Oracle WalletファイルまたはJavaキーストアの場所を指定します。Oracle Walletの場合、場所は.p12または.ssoファイルがあるディレクトリです。他のすべてのタイプの場合、場所はファイルそのもののパス名です。-l、--locationオプションを省略した場合、デフォルトの場所はOracle Key Vaultです。この場合、okvutil listコマンドは、サーバーにあるすべての使用できる鍵をリストします。この設定を使用する場合、次に説明する-t、--type設定も含める必要があります。
-t、--typeは、次のタイプの1つを指定します。
Oracle Walletの場合は、WALLET
Javaキーストアの場合は、JKS
Java Cryptography Extensionキーストア(JCEKS)の場合は、JCEKS
WALLET、JKSおよびJCEKSの各タイプには、複数のオブジェクトが含まれます。Oracle Key Vaultはこれらのオブジェクトの各々を個別にリストします。SSH、KERBEROSおよびOTHERは不透明オブジェクトで、単一ファイルとしてリストされます。
この設定では、大文字と小文字は区別されません。
-g、--groupは、単一の仮想ウォレットの内容をリストします。このオプションが適用されるのは、-lおよび--locationオプションを省略して、Oracle Key Vaultに格納されるオブジェクトをリストする場合のみです。
-v、--verbose: 「okvutilユーティリティの構文」を参照してください。
パスワード要求: 「okvutilのパスワード入力要求のしくみ」を参照してください。
例: 現在のエンドポイントのセキュリティ・オブジェクトのリスト
okvutil listコマンドによって、現在のエンドポイントのセキュリティ・オブジェクトをリストできます。
例8-2は、現在のエンドポイントの、すべての認可済セキュリティ・オブジェクトをリストします。最後の3行で、DB Connect Passwordエントリは、インスタンスにログインするために使用されたパスワード(たとえば、データベース・インスタンスinst01のユーザーpsmithのパスワード)を指します。
例8-2 現在のエンドポイントのセキュリティ・オブジェクトのリスト
okvutil list
Enter Oracle Key Vault endpoint password: password
Unique ID Type Identifier
F63E3F4A-C8FB-5560-E043-7A6BF00AA4A6 Symmetric Key TDE Master Key: 062C4F5BAC53E84F2DBF95B96CE577B525
F63E3F4A-C8FC-5560-E043-7A6BF00AA4A6 Symmetric Key TDE Master Key: 069A5253CF9A384F61BFDD9CC07D8A6B07
F63E3F4A-C8FD-5560-E043-7A6BF00AA4A6 Opaque Object -
F63E3F4A-C8FE-5560-E043-7A6BF00AA4A6 Symmetric Key TDE Master Key: 06A66967E70DB24FE6BFD75447F518525E
F63E3F4A-C8FF-5560-E043-7A6BF00AA4A6 Symmetric Key TDE Master Key: 0636D18F2E3FF64F7ABF80900843F37456
F63E3F4A-C900-5560-E043-7A6BF00AA4A6 Opaque Object -
F63E3F4A-C901-5560-E043-7A6BF00AA4A6 Symmetric Key TDE Master Key: 0611E6ABD666954F2FBF8359DE172BA787
F63E3F4A-C902-5560-E043-7A6BF00AA4A6 Symmetric Key TDE Master Key: 0657F27D64D1C04FAEBFE00B5105B3CBAD
F63E3F4A-C91B-5560-E043-7A6BF00AA4A6 Opaque Object Certificate Request
F63E3F4A-C91C-5560-E043-7A6BF00AA4A6 Certificate X509 DN:OU=Class 1 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
F63E3F4A-C903-5560-E043-7A6BF00AA4A6 Secret Data DB Connect Password: psmith@inst01
F63E3F4A-C904-5560-E043-7A6BF00AA4A6 Secret Data DB Connect Password: jdaley@inst02
F63E3F4A-C905-5560-E043-7A6BF00AA4A6 Secret Data DB Connect Password: tjones@inst03
例: Oracle Walletファイルの内容のリスト
okvutil listコマンドによって、Oracle Walletファイルの内容をリストできます。
例8-3は、Oracle Walletファイルの内容をリストします。
例8-3 Oracle Walletファイルの内容のリスト
okvutil list -t WALLET -l /home/oracle/wallets
Enter target wallet password: Oracle_wallet_password
Dumping secret store of wallet:
ORACLE.SECURITY.DB.ENCRYPTION.MASTERKEY
ORACLE.SECURITY.DB.ENCRYPTION.Aa4JEUaCeE8qv0Dsmmwe5S4AAAAAAAAAAAAAAAAAAAAAAAAAAAAA
ORACLE.SECURITY.ID.ENCRYPTION.
ORACLE.SECURITY.KB.ENCRYPTION.
ORACLE.SECURITY.TS.ENCRYPTION.BZuIPES7+k/tv0ZwOlDeIp4CAwAAAAAAAAAAAAAAAAAAAAAAAAAA
Dumping cert store of wallet:
There are 1 Certificate Requests in the list
Certificate request:
DN: CN=oracle
Type: NZDST_CERT_REQ
PUB key size: 2048
There are 0 Certificates in the list
There are 0 TPs in the list
okvutil uploadコマンドは、共通キーの記憶域ファイル(Oracle WalletやJavaキーストアなど)および資格証明ファイル(SSH鍵やKerberosキータブを含むファイルなど)の内容をアップロードします。
TDE Oracle WalletをサポートするOracle Databaseの、現在サポートされているすべてのリリースから、Oracle Walletをアップロードできます。okvutil uploadコマンドは、ウォレットまたはJavaキーストアを開き、検出された各項目を個別のセキュリティ・オブジェクトとしてOracle Key Vaultにアップロードします。資格証明ファイルをアップロードする場合、Key Vaultは不透明オブジェクトとしてアップロードします。
アップロード操作が完了したら、別の仮想ウォレットにセキュリティ・オブジェクトを選択して追加できます。
okvutil uploadコマンドの完全な構文は、次のとおりです。ショート形式の場合:
okvutil upload [-o] -l location -t type [-g group] [-d description] [-v verbosity_level]
ロング形式の場合:
okvutil upload [--overwrite] --location location --type type [--group group] [--description description] [--verbose verbosity_level]
このように指定した場合:
-o、--overwrite: Oracle Key Vault仮想ウォレット内の既存のデータとの競合がある場合、Key Vaultは、既存のデータを、エンドポイントにより送信された新しいデータで上書きします。競合がない場合、上書き操作は不要であり、実行されません。このオプションを指定する場合は注意してください。
-l、--locationは、Oracle WalletファイルまたはJavaキーストアの場所を指定します。Oracle Walletの場合、場所は.p12または.ssoファイルがあるディレクトリです。資格証明ファイルを不透明オブジェクトとしてアップロードする場合、このファイルが120キロバイト(KB)以下であることを確認してください。
-t、--typeは、Oracle Key Vaultにアップロードされるオブジェクトのデータ型を指定します。次のリストにある値である必要があります。
Oracle Walletの場合は、WALLET
Javaキーストアの場合は、JKS
Java Cryptography Extensionキーストア(JCEKS)の場合は、JCEKS
SSH鍵ファイルの場合、SSH (不透明オブジェクトとしてアップロード)。最大サイズは120 KBです。
Kerberosキータブの場合、KERBEROS (不透明オブジェクトとしてアップロード)。最大サイズは120 KBです。
不透明オブジェクト(機密情報を格納するその他のファイル)の場合、OTHER。最大サイズは120 KBです。
WALLET、JKSおよびJCEKSの各タイプには、複数のオブジェクトが含まれます。Oracle Key Vaultはこれらのオブジェクトの各々を個別にアップロードします。SSH、KERBEROSおよびOTHERの各タイプは不透明オブジェクトで、単一ファイルとしてアップロードされます。
この設定では、大文字と小文字は区別されません。
-g、--groupは、証明書ストアまたはシークレット・ストア(あるいはその両方)が追加されるKey Vault仮想ウォレットの名前です。この名前では、大文字と小文字が区別されます。仮想ウォレットがすでに存在し、ユーザーはそれにアクセスすることが認可されている必要があります。(既存の仮想ウォレットを検索するには、「仮想ウォレットの表示」を参照してください。)この設定を省略する場合、デフォルトのグループがあれば、それが使用されます。デフォルトのグループがないのに-g、--groupオプションを省略した場合、アップロードされるデータはグループに配置されません。
-d、--descriptionを使用すると、説明を追加できます(最大2000バイト)。有効なのは、-t type、--typeパラメータがSSH、KERBEROSまたはOTHERに設定されている場合のみです。オプションです。
-v、--verbose: 詳細は、「okvutilユーティリティの構文」を参照してください。
パスワード要求: 「okvutilのパスワード入力要求のしくみ」を参照してください。
例: -v2オプションを使用したJavaキーストアのアップロード
okvutil uploadコマンドによって、Javaキーストアをアップロードできます。
例8-4に、okvutil uploadを使用してJavaキーストアをアップロードする方法を示します。-v 2オプションを使用すると、アップロードされる項目をコマンドがリストできます。
例8-4 -v 2オプションを使用したJavaキーストアのアップロード
okvutil upload -l ./fin_jceks.jck -t JCEKS -g fin_wal -v 2 okvutil version 12.1.0.0.0 Configuration file: /tmp/fin_okv/conf/okvclient.ora Server: 192.0.2.254:5696 Standby Server: 127.0.0.1:5696 Uploading from /tmp/fin_okv/keystores/jks/keystore.jks Enter source Java keystore password: Uploading private key Uploading trust point Uploading trust point Uploading private key Uploading private key Uploaded 3 private keys Uploaded 0 secret keys Uploaded 2 trust points Upload succeeded
okvutilコマンドは、Oracle Key Vaultに接続するため、およびOracle Walletファイルを開くために必要な場合、パスワードを求めてきます。
例: パスワード保護されたウォレット・ファイルのアップロード
okvutil uploadコマンドによって、パスワード保護されたウォレット・ファイルをアップロードできます。
例8-5に、エンドポイントがOracle Key Vaultに接続するためのパスワードがない場合に、パスワード保護されたウォレット・ファイルをアップロードする方法を示します。
例8-5 パスワード保護されたウォレット・ファイルのアップロード
okvutil upload -l . -t WALLET -g FinanceWallet
Enter source wallet password: password
Upload succeeded
okvutil downloadコマンドは、Oracle Key Vaultから項目(Oracle Wallet、Javaキーストア、SSH鍵ファイル、Kerberosキータブなど)を取得します。
仮想ウォレットの内容をダウンロードする場合、資格証明ファイルにではなく、キーストア(つまり、複数のセキュリティ・オブジェクトを保持できるOracle WalletまたはJCEKSキーストアなどのコンテナ)にダウンロードする必要があります。
一部のキーストアでは、特定の種類のセキュリティ・オブジェクトの格納のみをサポートしていることに注意してください。セキュリティ・オブジェクト(たとえば、JavaキーストアのDSA鍵)をOracle Key Vaultにアップロードした後で、このセキュリティ・オブジェクトを別のタイプのキーストア(たとえば、Oracle Wallet)にダウンロードしようとすると、そのオブジェクトはこのタイプのコンテナに格納できないことを示すエラーが発生します。
現在Oracle Key Vaultに登録されている仮想ウォレットの名前を検索するには、「仮想ウォレットの表示」を参照してください。
okvutil downloadコマンドの完全な構文は、次のとおりです。ショート形式の場合:
okvutil download -l location -t type [-g group | -i object_id] [-o] [-v verbosity_level]
ロング形式の場合:
okvutil download --location location --type type [--group group | --item object_id] [--overwrite] [--verbose verbosity_level]
このように指定した場合:
-l、--locationは、ダウンロードする項目を格納するディレクトリの場所を指定します。このディレクトリでウォレットを作成する権限を持っていることを確認します。ダウンロードするファイルが120 KBを超過していないことを確認します。この設定は必須です。
-t、--typeは、Oracle Key Vaultにダウンロードされるオブジェクトのデータ型を指定します。次のリストにある値である必要があります。
Oracle Walletの場合は、WALLET
Javaキーストアの場合は、JKS
Java Cryptography Extensionキーストア(JCEKS)の場合は、JCEKS
SSH鍵ファイルの場合、SSH(不透明オブジェクトとしてダウンロード)。
Kerberosキータブの場合、KERBEROS(不透明オブジェクトとしてダウンロード)。
不透明オブジェクト(機密情報を格納するその他のファイル)の場合、OTHER。
WALLET、JKSおよびJCEKSの各タイプには、複数のオブジェクトが含まれます。Oracle Key Vaultはこれらのオブジェクトの各々を個別にダウンロードします。SSH、KERBEROSおよびOTHERの各タイプは不透明オブジェクトで、単一ファイルとしてダウンロードされます。
この設定では、大文字と小文字は区別されません。この設定は必須です。
-g、--groupは、項目(WALLET、JKSおよびJCEKSの各タイプ)のダウンロード元の仮想ウォレットの名前です。仮想ウォレットがすでに存在し、ユーザーはそれにアクセスすることが認可されている必要があります。okvutilユーティリティは、-gオプションで指定された仮想ウォレット全体をダウンロードし、それを新しいウォレットに格納します。(既存の仮想ウォレットを検索するには、「仮想ウォレットの表示」を参照してください。)指定された場所に既存のウォレットがあってはなりません。okvutilにより作成されます。okvutilは、新しいウォレットのパスワードの作成と入力を求めます。今後のために、そのパスワードを記録してください。グループ名では大文字と小文字が区別されるので注意してください。
タイプがWALLET、JKSまたはJCEKSの場合、group設定は含めることも省略することもできます。タイプがSSH、KERBEROSまたはOTHERの場合、 object_idオプションを含める必要がありますが、group設定を含める必要はありません。
-i、--itemは、ダウンロードするオブジェクト(機密情報など)の一意のIDを指します(たとえば、ウォレット内の最初のセキュアな外部パスワード・ストア(SEPS)エントリの場合は-i oracle.security.client.password1)。okvutil listコマンドを実行することによって、使用できるオブジェクトIDを検索できます。「okvutil listコマンド」を参照してください。
-o、--overwriteは、-l(必須)で指定された既存のWALLET、JKSまたはJCEKSファイルにデータをダウンロードします。ダウンロードするデータとコンテナにすでに存在するデータの間で競合が起こった場合、古いデータは新しいデータで上書きされます。-o、--overwriteオプションは、他のタイプには適用されません(SSH、KERBEROSおよびOTHER)。このオプションを指定する場合は注意してください。
現在のディレクトリにすでに存在するウォレットをダウンロードするときにoまたはoverwriteオプションを省略すると、元のウォレット・ファイルは、新しいウォレットがダウンロードされる前に、ewallet.p12.timestamp.bak、またはowallet.sso.timestamp.bakに名前を変更されます。ウォレットでないファイル(たとえばJavaキーストア・ファイル)の場合はエラーが表示され、ダウンロードを実行する前に、ファイルの名前を変更するか、新しい場所に移動する必要があります。
-v、--verbose: 詳細は、「okvutilユーティリティの構文」を参照してください。
パスワード要求: 「okvutilのパスワード入力要求のしくみ」を参照してください。
例: Javaキーストアへの仮想ウォレットのダウンロード
okvutil downloadコマンドによって、Javaキーストアに仮想ウォレットをダウンロードできます。
okvutil changepwdコマンドを使用すると、Oracle Key Vaultエンドポイント・パスワードを変更できます。パスワード保護ウォレットを使用してOracle Key Vaultエンドポイントのユーザー資格証明を格納するように選択した場合は、このコマンドを使用します。
okvutil changepwdコマンドの完全な構文は、次のとおりです。ショート形式の場合:
okvutil changepwd -l location -t type [-v verbosity_level]
ロング形式の場合:
okvutil changepwd --location location --type type [--verbose verbosity_level]
このように指定した場合:
-l、--locationは、パスワードを変更するウォレットのディレクトリの場所を指定します。
-t、--typeは、データ型を指定します。「WALLET」と入力します。
-v、--verbose: 詳細は、「okvutilユーティリティの構文」を参照してください。
パスワード要求: 「okvutilのパスワード入力要求のしくみ」を参照してください。
例: Oracle Key Vaultエンドポイント・パスワードの変更
okvutil changepwdによって、Key Vaultエンドポイントのパスワードを変更できます。
例8-7に、Oracle Key Vaultエンドポイント・パスワードの変更方法を示します。新しいパスワードの作成を求められたら、8文字から30文字でパスワードを入力します。
