システム要件、Oracle Key Vaultのインストール方法およびインストール後タスクを実行する方法を理解する必要があります。また、インストール・プロセスの完了後に、Oracle Key Vault管理コンソールにアクセスする方法も理解する必要があります。
トピック:
Oracle Key Vaultは、システム要件、ネットワーク・ポート、サポートされているエンドポイント・プラットフォームおよびエンドポイント・データベース要件を含むインストール要件を持つソフトウェア・アプライアンスです。
トピック:
Oracle Key Vaultはソフトウェア・アプライアンスとしてパッケージ化され、ISOパッケージとして提供されます。専用のサーバーにインストールする必要があります。
このソフトウェア・アプライアンスは、事前構成済のオペレーティング・システム、Oracle DatabaseおよびOracle Key Vaultアプリケーションから構成されています。
これはソフトウェア・アプライアンスのため、Oracle Key Vaultをインストールすると、サーバー上の既存のソフトウェアはすべて削除されることに注意してください。
本番システムの場合、仮想マシンのデプロイメントはお薦めしません。ただし、テストおよび概念の確認は、仮想マシンを使用して行うことができます。
ソフトウェア・アプライアンスをデプロイするためのハードウェア要件は次のとおりです。
CPU: 最小: x86コア2基、推奨: 暗号高速化をサポートするコア2基以上(Intel Westmere以降)
メモリー: 最小4GB RAM
ディスク: 最小: 500GBハードディスク
ネットワーク・インタフェース: ネットワーク・インタフェース1つ
互換性: Oracle Linuxリリース5アップデート10との互換性。
サポートされているハードウェアを見つけるには、Oracle LinuxおよびOracle VMの5.10でサポートされているシステムについては、次のハードウェア動作保証リストを参照してください。http://linux.Oracle.com/pls/apex/f?p=117:1:470867609629060
Oracle Key Vaultとエンドポイントでは、一連の特別なポートを使用して通信します。
ネットワーク管理者は、これらのポートの一部または全部がファイアウォールにブロックされないようにする必要があります。
表3-1で、Oracle Key Vaultで必要なポートについて説明します。
表3-1 Oracle Key Vaultで必要なポート
ポート番号 | プロトコル | 説明 |
---|---|---|
|
SSH/SCPポート |
Oracle Key Vault管理者およびサポート担当者がOracle Key Vaultのリモート管理に使用。 「構成ページの設定」の「Network Services」ペインの説明を参照してください。 |
|
HTTPSポート |
ブラウザなどのWebクライアントがOracle Key Vaultとの通信に使用。 |
|
データベースのTCPSリスニング・ポート |
リスニング・ポート 高可用性構成のOracle Key Vaultプライマリ・アプライアンスとスタンバイ・アプライアンス間の通信に使用。 |
|
KMIPポート |
Oracle Key Vaultエンドポイントとサード・パーティ製KMIPクライアントがOracle Key VaultのKMIPサーバーとの通信に使用。 「エンドポイントokvclient.ora構成ファイル」を参照してください。 |
このリリースのエンドポイントでサポートされているプラットフォームは、Oracle LinuxおよびOracle Solarisを対象としています。
サポートされているリリースは次のとおりです。
Oracle Linux (5.xおよび6.x)
Oracle Solaris (10.xおよび11.x)
Oracleでは、32ビットおよび64ビットLinuxのエンドポイントをサポートしています。ただし、TDE直接接続を使用するOracle Databaseでは、64ビットのエンドポイントのみがサポートされます。
エンドポイントで使用することを予定しているOracle Databaseのリリースによっては、COMPATIBLE
初期化パラメータを設定する必要があります。
Oracle Database 10g以降からエンドポイントを作成でき、okvutil upload
コマンドを使用して、これらのリリースからOracle Walletをアップロードできます。TDEとOracle Key Vaultの間の直接接続は、Oracle Database 11gリリース2以降でサポートされます。
Oracle Database 11.2でOracle Key Vaultを使用する予定がある場合、11.2.0.0以上ではCOMPATIBLE
初期化パラメータを設定します。次に例を示します。
SQL> ALTER SYSTEM SET COMPATIBLE = 11.2.0.0 SCOPE=SPFILE;
これはOracle DatabaseエンドポイントがTDE直接接続を使用してOracle Key Vaultに接続される場合に適用されますが、この互換性モード設定は、Oracle Walletのアップロードまたはダウンロード操作では必要ありません。
また、COMPATIBLE
パラメータを11.2.0.0に設定した後で、より低い値(10.2など)に設定することはできませんのでご注意ください。このパラメータを設定したら、その後で必ずデータベースを再起動してください。
関連項目: COMPATIBLE パラメータの設定の詳細は、『Oracle Database管理者ガイド』を参照してください。 |
Oracle Key Vaultインストール・プロセスでは、最初にKey Vaultアプライアンスをインストールし、次にインストール後タスクを実行します。
トピック:
インストール・プロセスでは、専用のサーバー上に必要なすべてのソフトウェア・コンポーネントをインストールします。インストール・プロセスは、Oracle Key Vaultをインストールするサーバー・リソースによって異なりますが、完了までに30分から1時間かかる場合があります。
注意: このインストールを実行すると、サーバーは完全に制御下に置かれ、サーバー上の既存のデータはすべて削除されます。 |
ネットワーク管理者に専用サーバー用の固定IPアドレス、ネットワーク・マスクおよびゲートウェイ・アドレスをリクエストします。この情報はステップ9で必要です。
このサーバーが、「Oracle Key Vaultのインストール要件」に記載される推奨要件を満たすことを確認します。
Oracle Key Vaultのインストーラ・ディスクをディスク・ドライブに挿入し、コンピュータを再起動します。
ディスクからシステムが再起動し、次に示す初期画面が表示されます。
「install
」と入力して[Enter]キーを押します。
インストールが進行します。このステップは、完了までに数分かかることがあります。次の画面では、作成する必要のあるインストール・パスフレーズの入力を求められます。
このパスフレーズは、Oracle Key Vault管理コンソールに初めてログインするときの認証で使用するため、書きとめておきます。
インストール・パスフレーズは8文字以上で、英大文字、英小文字、数字および句読点をそれぞれ1つ以上含む必要があります。使用できる句読点は、ピリオド(.
)、カンマ(,
)、アンダースコア(_
)、プラス記号(+
)、コロン(:
)およびスペースです。
「Confirmation」画面でインストール・パスフレーズを確認します。
確認画面のインストール・パスフレーズが以前に入力したものと一致する場合、Oracle Key Vaultのインストールが続行されます。それ以外の場合は、確認画面で再度、確認を求められます。
[Enter]を押して、「OK」を選択します。
「Select Management Interface」画面が表示されます。
インタフェースを選択して「Select」を選択します。
インストーラが管理インタフェースのMACアドレスを尋ねてきたら、[Enter]を押してデフォルトを承認します。
複数のネットワーク・インタフェースが利用できる場合、管理インタフェースとして機能してエンドポイントと通信するインタフェースを選択します。次の画面では管理インタフェースがMACアドレスで表示される点に注意します。
次の画面では、[Enter]を押して「Select」を選択します。
次に「Please enter management interface IP setting」という画面が表示されます。
固定IPアドレス、ネットワーク・マスク、ゲートウェイ・アドレスなど、アプライアンスの構成情報を入力します。
[Enter]を押して、「Reboot to complete installation」を選択します。
インストーラがサーバー上にオペレーティング・システム、データベースおよびOracle Key Vaultをインストール、構成して、自己完結した強化アプライアンスにする間、待機します。
このプロセスには数分かかります。その間に、スクリーン・セーバーのために画面がオフになる場合があります。インストールが完了したかどうか確認するには、[Shift]キーを押して画面をオンに戻します。インストールが正常に完了していれば、次の画面が表示されます。
Oracle Key Vaultアプライアンスのインストールが終わると、インストール後タスクを実行できます。これには管理ユーザーのアカウント作成、リカバリ・パスフレーズの作成、およびオプションで、時間とDNS構成の設定が含まれます。
Webブラウザを開きます。
HTTPS接続と、「タスク1: Oracle Key Vaultアプライアンスのインストール」のステップ9で入力したIPアドレスを使用して、Oracle Key Vaultアプライアンスに接続します。
たとえば、IPアドレスが192.0.2.254のOracle Key Vaultサーバーにログインする場合は、次のように入力します。
https://192.0.2.254
ブラウザに、信頼できないか、自己署名されたセキュリティ証明書を持つWebサイトに接続しようとしているという警告が表示される場合があります。この警告は無視しても問題ないため、続行します。
次の画面が表示されたら、「タスク1: Oracle Key Vaultアプライアンスのインストール」のステップ5で作成したインストール・パスフレーズを使用して、Oracle Key Vaultアプライアンスに初回ログインします。
この画面が表示されるのは、Oracle Key Vaultアプライアンスをインストールした直後のみです。次回にアプライアンスにログインするときは、標準のOracle Key Vaultログイン画面が表示されます。
Oracle Key Vaultの1回限りの「Post-Install Configuration」ページが表示されたら、次の情報を入力します。
管理ロールの情報(「管理ロールの概要」を参照)
ユーザー名、パスワード、フル・ネーム(オプション)に加え、鍵管理者、システム管理者および監査マネージャの電子メール(オプション)を入力します。
義務要件の分離を完全サポートするために、これらの管理ロールそれぞれに対して、異なるユーザー・アカウントを作成することができます。ただし、1人が複数の機能を実行する場合、2つ以上のロールを同じユーザー・アカウントに割り当てることができます。
パスワードは8文字以上で、英大文字、英小文字、数字および句読点をそれぞれ1つ以上含む必要があります。使用できる句読点は、ピリオド(.
)、カンマ(,
)、アンダースコア(_
)、プラス記号(+
)、コロン(:
)およびスペースです。
リカバリ・パスフレーズ
リカバリ・パスフレーズの最小要件は、管理ユーザー用に作成するパスワードと同じです。ただし、Oracle Key Vault上のすべてのデータを含むバックアップへのアクセス権があるため、このパスフレーズは、より長くより複雑にすることをお薦めします。リカバリ・パスフレーズは非常に強力で使用されることも少ないため、安全に格納し、緊急の状況でのみ利用できるようにするプロセスを確立することが重要です。
リカバリ・パスフレーズは、次の状況で使用できます。
管理ロールにアクセスできる管理者(鍵管理者、システム管理者、監査マネージャ)がいない場合。リカバリ・パスフレーズを使用すると、この画面に戻って、各管理ロールを新規または既存のユーザー・アカウントに割り当てることができます。
Oracle Key Vaultサーバーを、以前のバックアップ・ファイルからリストアする必要がある場合。リカバリ・パスフレーズは、バックアップからファイルをリストアするときに要求されるもので、バックアップ実行時に使用されたリカバリ・パスフレーズと一致する必要があります。
ページの詳細セクションで、ルート・パスワードとサポート・ユーザー・パスワードを入力します。このアプライアンスに既存のバックアップをリストアする場合、ここで設定したルートおよびサポート・パスワードは同じままですが、他のデータとユーザー・パスワードはすべて、バックアップ実行時の値に戻ります。これは、このシステムが高可用性クラスタのスタンバイ・ノードとして追加されている場合にも当てはまります。
「Time Setup」と「DNS Setup」の設定はこの段階ではオプションで、システム管理者ロールを持っているユーザーがOracle Key Vault管理コンソールを使用して後から設定できます。(これらには「System」タブから「Settings」を選択してアクセスできます。)
「Save」をクリックします。
構成が成功するとOracle Key Vaultのインストール後の構成は完了で、ログイン・ページが表示されます。
Oracle Key Vaultのタスクの大部分は、管理者やユーザーがOracle Key Vault管理コンソールを使用して実行します。
広い範囲におよぶこのタスクには、エンドポイント、仮想ウォレット、セキュリティ・オブジェクト、ユーザーおよびパスワードの作成と管理、それに高可用性とシステム・バックアップなどの操作の設定などが含まれます。
管理コンソールは、https
セキュア通信チャネルを使用してアプライアンスに接続するブラウザ・ベースのコンソールです。
Oracle Key Vaultを使用するには、Oracle Key Vault管理コンソールにログインします。
Webブラウザを開きます。
HTTPS接続と、「タスク1: Oracle Key Vaultアプライアンスのインストール」のステップ9で入力したIPアドレスを使用して接続します。
たとえば、IPアドレスが192.0.2.254のサーバーにログインする場合は、次のように入力します。
https://192.0.2.254
ログイン画面が表示されます。
ユーザー名とパスワードを入力します。
「Login」をクリックします。
タブおよびメニュー・ページの多くには「Actions」メニューや検索バーがあり、リストや検索結果に対してアクションを実行できます。
トピック:
注意: 「Actions」メニューと検索バーの詳細なヘルプは、「Actions」ドロップダウン・リストの「Help」を選択すると表示されます。 |
「Actions」ドロップダウン・メニューから利用できるアクションは様々ですが、通常は標準的なメニュー項目のセットが含まれます。
アイテムは次のとおりです。
Select Columns: 表示する列を選択します。
Filter: 列または行と、ユーザー定義の式を基準にしてフィルタします。
Format: 次のような表示形式を選択します。「Sort」、「Control Break」、「Highlight」、「Compute」、「Aggregate」、「Chart」および「Group By」。
Save Report: レポートを保存します。
ヘルプ: これらのアクションの上でヘルプ情報を取得します。
「Help」: これらのアクションに関する情報を表示します。
Download: 結果セットをCSVまたはHTML形式でダウンロードします。
「Actions」メニューとともに、多くのタブには検索バーが含まれています。
この例ではエンドポイントを検索しますが、列見出しが異なることを除き、プロセスは他の検索と同じです。
ワイルドカード文字はサポートされません。入力したあらゆる文字または語句と一致する検索結果が表示されます。「Actions」の下にある「Filter」メニュー項目を使用して、検索結果をさらに絞り込めます。
検索を実行する手順:
検索フィールドに名前またはその他の識別子を入力するか、(オプションで)検索バーの拡大鏡アイコンにカーソルを重ねていずれかの見出し(この場合、「All Columns」、「Endpoint Name」、「Endpoint Type」、「Description」、「Platform」、「Status」、「Enrollment Token」および「Alert」)を選択してから、検索語を入力します。
「Go」をクリックします。
新規のエンドポイント・リストに、検索基準を満たすエンドポイントのみ表示されます。(漏斗のような形の)フィルタ・アイコンに検索が実行されたことが示され、検索基準が表示されます。
検索を無効にしてリスト全体を再表示するには、フィルタ・アイコンを選択/選択解除します。