Oracle ILOM インタフェースを使用して TPM を初期化する方法 - Oracle® Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護

言語:

SPARC: Oracle ILOM インタフェースを使用して TPM を初期化する方法

SPARC システムで TPM を初期化するには、システムの ILOM と Oracle Solaris の両方のインタフェースを使用します。

この手順には、TPM データおよび鍵をバックアップするための手順が含まれています。

始める前に

root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

ILOM プロンプトで、ホストシステムを停止します。
- 単一ホストサーバーの場合:
```
-> stop /System
```
- マルチドメインサーバーの場合:
```
-> stop /Servers/PDomains/PDomain_n/HOST
```
サーバーの停止にはしばらく時間がかかることがあります。次の手順に進む前に、ホストコンソールに次のメッセージが表示されるまで待つ必要があります。
```
-> SP NOTICE: Host is off
```
注 - 前のステップでホストが停止しない場合にのみ、–f|force オプションを追加してホストシステムを停止してください。
TPM をアクティブにします。
SPARC システムに応じて、次のコマンドセットのいずれかを使用して TPM をアクティブにします。
- SPARC M5 シリーズサーバーまたは SPARC T5 シリーズサーバーでは、次のコマンドを使用します。
```
-> set /HOST/tpm mode=activated
```
- SPARC M5-32 シリーズサーバーでは、次のコマンドを使用します。
```
-> set /HOST0/tpm mode=activated
```
- SPARC T4 サーバーでは、次のコマンドを使用します。
```
-> set /HOST/tpm enable=true activate=true
-> show /HOST/tpm
```
Oracle Solaris プロンプトで、TPM を初期化します。
TPM を初期化すると TPM 所有者となり、所有者パスワード (所有者 PIN とも呼ばれる) を割り当てる必要があります。
```
 # tpmadm init
TPM Owner PIN:
Confirm TPM Owner PIN
```

TPM のステータスを確認します。

 # tpmadm status
TPM Version: 1.2 (ATML Rev: 13.9, SpecLevel: 2, ErrataRev: 1)
TPM resources
Contexts: 16/16 available
Sessions: 2/3 available
Auth Sessions: 2/3 available
Loaded Keys: 18/21 available
Platform Configuration Registers (24)
PCR 0: E1 EE 40 D8 66 28 A9 08 B6 22 8E AF DC 3C BC 23 71 15 49 31
PCR 1: 5B 93 BB A0 A6 64 A7 10 52 59 4A 70 95 B2 07 75 77 03 45 0B
PCR 2: 5B 93 BB A0 A6 64 A7 10 52 59 4A 70 95 B2 07 75 77 03 45 0B
PCR 3: 5B 93 BB A0 A6 64 A7 10 52 59 4A 70 95 B2 07 75 77 03 45 0B
PCR 4: AF 98 77 B8 72 82 94 7D BE 09 25 10 2E 60 F9 60 80 1E E6 7C
PCR 5: E1 AA 8C DF 53 A4 23 BF DB 2F 4F 0F F2 90 A5 45 21 D8 BF 27
PCR 6: 5B 93 BB A0 A6 64 A7 10 52 59 4A 70 95 B2 07 75 77 03 45 0B
PCR 7: 5B 93 BB A0 A6 64 A7 10 52 59 4A 70 95 B2 07 75 77 03 45 0B
PCR 8: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR 9: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR 10: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR 11: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR 12: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR 13: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR 14: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR 15: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR 16: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR 17: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
PCR 18: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
PCR 19: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
PCR 20: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
PCR 21: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
PCR 22: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
PCR 23: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

システムの移行またはハードウェアの交換中に、TPM データおよび鍵を将来の使用のためにバックアップします。
- Oracle Solaris 11.3 がインストールされているマルチドメインシステムの場合は、TPM を含む SP ボードのフェイルオーバーを有効にします。
```
# tpmadm failover
Enter TPM Owner PIN:
Enter PIN for the migration key:
Confirm PIN for the migration key:
```
  注 - TPM 所有者の PIN は、TPM を初期化するときに使用された PIN です。
  
  将来のシステムの移行またはハードウェアの交換のために、移行鍵に指定した PIN を使用して TPM キーストアをバックアップおよび復元できるように、その PIN を記録しておいてください。詳細は、TPM フェイルオーバーオプションと tpadm (1M) のマニュアルページを参照してください。
- その他のすべてのプラットフォームの場合は、TPM データおよび鍵の手動バックアップを実行します。手順については、TPM データおよび鍵をバックアップする方法を参照してください。
(オプション) TPM 暗号化プロバイダを有効にします。
注 - TPM 暗号化プロバイダは、Oracle Solaris よりも低速です。この手順は、TPM で暗号化操作を実行する場合にのみ実行してください。
```
# cryptoadm install provider='/usr/lib/security/$ISA/pkcs11_tpm.so'
# cryptoadm list -mv provider='/usr/lib/security/$ISA/pkcs11_tpm.so'
```