この章では、コマンド行ユーティリティーについて説明します。これらのユーティリティーを使用すると、ユーザーは OKM Manager の GUI からではなくコマンド行から、バックアップの起動、鍵のエクスポート、鍵のインポート、およびデータユニットの一覧表示を実行できます。
次のコマンド行ユーティリティーが使用可能です。
注:
OKM コマンド行ユーティリティーは、バックアップコマンド行ユーティリティーに優先します。可能であれば常に、OKM コマンド行ユーティリティーを使用することをお勧めします。OKM コマンド行ユーティリティーを使用すると、次を行うことができます。
自動バックアップのスケジュール設定
OKM コアセキュリティーのバックアップ
鍵のインポートとエクスポート
鍵の破棄
監査イベントの一覧表示
データユニットの一覧表示
複数のエージェントの作成または変更。
バックアップコマンド行ユーティリティーと異なり、このユーティリティーではユーザー名とパスフレーズの代わりに X.509 証明書を使用して、ユーティリティー自体を有効な OKM ユーザーとして認証できます。そのため、ユーザーがコマンド行でパスフレーズを入力する必要はありません。
次の表で、これらの機能を実行できる役割について詳しく説明します。
表 12-1 OKM コマンド行ユーティリティー - ユーザーの役割アクセス
| アクション: | 役割: |
|---|---|
|
バックアップ |
バックアップオペレータ |
|
OKM コアセキュリティーのバックアップ |
セキュリティー責任者 |
|
鍵のインポート/エクスポート |
オペレータ |
|
鍵の破棄 |
オペレータ |
|
監査イベントの一覧表示 |
すべての役割脚注 1 |
|
データユニットの一覧表示 |
オペレータ/コンプライアンス責任者 |
|
エージェントの作成 |
オペレータ |
|
エージェントのデフォルト鍵グループの設定/変更 |
コンプライアンス責任者 |
|
エージェントのプロパティーの変更 |
オペレータ |
|
エージェントの一覧表示 |
オペレータ/コンプライアンス責任者 |
脚注 1 エージェント ID、データユニット ID、または鍵 ID を指定する場合は、オペレータまたはコンプライアンス責任者の役割が必要です。
このユーティリティーは OKM Manager の GUI とともに、同じインストーラを使用してインストールされます。
注:
リンクローカル IPv6 アドレスを入力する場合、OKM コマンド行ユーティリティーを起動し、リンクローカル IPv6 アドレスを指定します。「%4」などのゾーン ID をアドレスの末尾に含めるようにしてください。初期設定時に従う必要がある手順については、"ゾーン ID を含む IPv6 アドレス"を参照してください。Solaris を使用していて、ASCII で表現できない文字を指定または表示する場合、適切な Solaris ロケールが Solaris システムにインストールされていて、このロケールを使用するように環境が構成されていることを確認してください。詳細は、Solaris locale(1) および localeadm(1M) のマニュアルページを参照してください。
okm -v | --version | --help | -h
okm backup [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --kma=networkaddress --output=dirname
okm backupcs [ [ [ --cacert=filename ] [ --usercert=filename ]]
[ --directory=dirname ] | --oper=username ]
[ --retries=retries ] [ --timeout=timeout ]
[ --verbose=boolean ]
--kma=networkaddress
okm createagent[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --description=description ] [ --site=siteid ] [ --keygroup=defaultkeygroupid ] [ --onetimepassphrase=boolean ] --kma=networkaddress --agent=agentid --passphrase=agentpassphrase
okm currload [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --output=filename --kma=networkaddress
okm destroykeys [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --kma=networkaddress --duids=filename | --all=true --keystate=keystate --comment="text"
okm export [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] --filter=filter | --duids=filename --kma=networkaddress --output=filename --partner=transferpartnerid
okm import [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --overrideeuiconflict=boolean ] --kma=networkaddress --input=filename --partner=transferpartnerid --keygroup=keygroupid
okm listagentperformance [ [ [ --cacert=filename ] [ --usercert=filename ] ]
[ --directory=dirname ] | --oper=username ]
[ --filter=filter ]
[ --retries=retries ] [ --timeout=timeout ]
[ --listwait=waittime ] [ --verbose=boolean ]
[ --output=filename ]
[ --startdate=date ] [ --enddate=date ]
[ --localtimezone=boolean ]
[ --rateinterval=rateinterval ]
--kma=networkaddress
okm listagents[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --filter=filter ] [ --output=filename ] --kma=networkaddress
okm listauditevents [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | [ --oper=username ] [ --filter=filter ] [ --localtimezone=boolean ] [ --maxcount=count ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --output=filename ] [ --agentids=agentids | --dataunitids=dataunitds | --keyids=keyids ] --kma=networkaddress
okm listdu [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --filter=filter ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --output=filename ] --kma=networkaddress
okm listdukeycount[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --filter=filter ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --output=filename ] --kma=networkaddress --duids=filename | --all=true
okm listkeys [ [ [ --cacert=filename ] [ --usercert=filename ] ]
[ --directory=dirname ] | --oper=username ]
[ --filter=filter ]
[ --retries=retries ] [ --timeout=timeout ]
[ --listwait=waittime ] [ --verbose=boolean ]
[ --output=filename ]
--kma=networkaddress
okm listkmaperformance [ [ [ --cacert=filename ] [ --usercert=filename ] ]
[ --directory=dirname ] | --oper=username ]
[ --filter=filter ]
[ --retries=retries ] [ --timeout=timeout ]
[ --listwait=waittime ] [ --verbose=boolean ]
[ --output=filename ]
[ --startdate=date ] [ --enddate=date ]
[ --localtimezone=boolean ]
[ --rateinterval=rateinterval ]
--kma=networkaddress
okm modifyagent[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --description=description ] | [ --site=siteid ] | [ --keygroup=defaultkeygroupid ] | [ --passphrase=agentpassphrase ] | [ --enabled=boolean ] | [ --onetimepassphrase=boolean ] --kma=networkaddress --agent=agentid
次は OKM コマンド行ユーティリティーのサブコマンドです。
backup
backup サブコマンドは、OKM データのバックアップを生成し、このバックアップを、指定された出力ディレクトリ内のバックアップデータファイルおよびバックアップ鍵ファイルにダウンロードします。
backupcs
backupcs サブコマンドは、OKM コアセキュリティーのバックアップを生成し、このバックアップを出力ファイルに格納します。
createagent
createagent サブコマンドは、新しいエージェントを作成します。
destroykeys
destroykeys サブコマンドは、非アクティブ化または危殆化された鍵を破棄します。
export
export サブコマンドは、OKM を使用して確立された転送パートナー用の、セキュアな鍵ファイルを作成します。データユニットのリストと関連付けられるすべての鍵は、この鍵ファイルを使用してエクスポートされ、鍵ファイルに署名する AES 256 ビット鍵を使用して保護されます。このデータユニットのリストは、指定されたフィルタ文字列またはファイル名の結果です。その後、この鍵ファイルと import サブコマンドを使用して、転送パートナーの OKM に鍵をインポートできます。kms コマンドの 1 回の呼び出しで、最大 1,000 個のデータユニットをエクスポートできます。
import
import サブコマンドは、OKM を使用して確立された、転送パートナー用のセキュアな鍵ファイルを読み取ります。鍵とそれに関連付けられたデータユニットは、この鍵ファイルを使用してインポートされます。鍵ファイルの検証には、インポート側 OKM の鍵転送非公開鍵が使用されます。このファイルは、以前に export サブコマンドを使用して別の OKM からエクスポートされたものである必要があります。
listagents
listagents サブコマンドは、エージェントとそのプロパティーのリストを生成します。リストにフィルタが適用されて、エージェントのサブセットのみを含む特定のレポートが生成されることがあります。
listauditevents
listauditevents サブコマンドは、監査イベントを一覧表示します。
listdu
listdu サブコマンドは、データユニットとそのプロパティーを一覧表示します。export サブコマンドを実行する前にこのサブコマンドを呼び出すと、指定されたフィルタ (ある場合) を使用してエクスポートされるデータユニットを調べることができます。
modifyagent
modifyagent サブコマンドは、デフォルトの鍵グループを含む既存のエージェントのプロパティーを変更します。少なくとも次のいずれかのオプションも指定する必要があります。
--enabled
--site
--description
--keygroup
--passphrase
--onetimepassphrase
次のオプション一覧では、オプションの省略名と完全名を示します。オプションの完全名と値は等号 (=) によって区切られます。オプションの省略名と値はスペースによって区切られます。
次のオプションはユーザー認証に使用されます。
注:
--cacert、--directory、および --usercert の各オプションを指定してこのユーティリティーを呼び出す前に、ユーザーはまず OKM Manager の GUI から、ルート認証局およびユーザーの X.509 証明書をエクスポートする必要があります。--agent=agentid
省略名: -B
作成または変更されるエージェント ID を指定します。このエージェント ID の長さは 1 - 64 文字でなければなりません。
--cacert=filename
省略名: -a
このユーティリティーが OKM での認証に使用する、OKM ルート認証局の X.509 証明書の PEM ファイルを指定します。このオプションを指定しない場合、ユーティリティーは --directory オプションで指定されたディレクトリから ca.crt ファイルを探します。このオプションは --oper オプションと相互に排他的です。
--description=description
省略名: -R
作成または変更されるエージェントの説明を指定します。説明の長さは 1 - 64 文字でなければなりません。
--directory=dirname
省略名: -d
OKM ルート認証局の X.509 証明書が格納された PEM ファイルと、OKM ユーザーの X.509 証明書が格納された PEM ファイルを検索するディレクトリを指定します。指定しない場合、このユーティリティーは現在の作業用ディレクトリから証明書ファイルを探します。このオプションは --oper オプションと相互に排他的です。
--enddate
省略名: -e
パフォーマンスクエリーの YYYY-MM-DD hh:mm:ss 形式での終了日時を指定し、協定世界時 (UTC) または localtimezone オプションが true の場合にローカル時間での値を表します。デフォルト値が存在します。
--localtimezone
省略名: -L
入力時間および出力時間が協定世界時 (UTC) ではなく、ローカルタイムゾーンであるかどうかを決定するブール値を指定します。これは開始日と終了日などの入力値の解釈と監査イベントタイムスタンプの表示に影響します。boolean 値には「true」または「false」を指定できます。
--oper=username
省略名: -b
このユーティリティーが OKM での認証に使用する OKM ユーザー ID を指定します。このオプションを指定する場合、証明書は使用されないため、ユーザーのパスフレーズの入力を求められます。このオプションは --cacert、 --usercert、および --directory の各オプションと相互に排他的です。
--rateinterval
省略名: -I
レート表示間隔を指定します。リクエストレートは、選択したレート表示間隔で推定され、その選択した間隔あたりのリクエストの平均数 (たとえば、1 日あたりの「Create Key」リクエストの推定平均数) として表示されます。指定可能な値は「second」、「minute」、「hour」、「day」、「week」、「month」、「year」、または「entire」です。「entire」を選択すると、各リクエストタイプのレートではなく、カウントが表示されます。デフォルト値は「entire」です。
--startdate
省略名: -s
パフォーマンスクエリーの YYYY-MM-DD hh:mm:ss 形式での開始日時を指定し、協定世界時 (UTC) または localtimezone オプションが true の場合にローカル時間での値を表します。デフォルト値はデータ収集の開始です。
--usercert=filename
省略名: -u
このユーティリティーが OKM での認証に使用する、OKM ユーザーの X.509 証明書の PEM ファイルを指定します。この証明書ファイルには、ユーザーの非公開鍵も格納されている必要があります。指定しない場合、ユーティリティーは --directory オプションで指定されたディレクトリから clientkey.pem ファイルを探します。このオプションは --oper オプションと相互に排他的です。
追加オプションの一覧を次に示します。
--agentids=agentids
省略名: -A
関連付けられた監査イベントのエージェント ID のコンマ区切りリストを指定します。各エージェント ID は 1-64 文字でなければなりません。このオプションを指定するには、OKM ユーザーにオペレータまたはコンプライアンス責任者の役割が必要です。このオプションは --dataunitids および --keyids の各オプションと相互に排他的です。
--all=true
省略名: -l
このユーティリティーがすべてのデータユニットを対象に、--keystate オプションの指示に従い、非アクティブ化または危殆化された鍵をすべて破棄することを指示します。このオプションは --duids オプションと相互に排他的です。
--comment="text"
省略名: -C
鍵の破棄を記述する注釈を指定します。この注釈は 1 - 64 文字でなければなりません。
--dataunitids=dataunitds
省略名: -D
関連付けられた監査イベントのデータユニット ID のコンマ区切りリストを指定します。各データユニット ID は 32 文字の 16 進値でなければなりません。このオプションを指定するには、OKM ユーザーにオペレータまたはコンプライアンス責任者の役割が必要です。このオプションは --agentids および --keyids の各オプションと相互に排他的です。
--duids=filename
省略名: -i
このオプションは、鍵のエクスポートまたは破棄処理用に、データユニット ID の集合を記述したファイル名を定義します。ID は 1 行に 1 つずつ記述され、改行で区切られます。各データユニット ID は 32 文字の 16 進値でなければなりません。destroykeys サブコマンドで、非アクティブ化または危殆化された鍵が特定のデータユニットに存在しない場合、そのデータユニットは無視されます。指定されたファイルが空の場合、destroykeys サブコマンドはすべてのデータユニットを対象に、非アクティブ化または危殆化されたすべてのファイルを破棄します (--all オプションを参照)。このオプションは、--filter および --all の各オプションと相互に排他的です。
--filter=filter
省略名: -f
表示またはエクスポートするデータユニット ID のリスト、または表示する監査イベントのリストを生成するために処理されるフィルタ文字列を指定します。文字列に空白が含まれる場合、文字列を引用符 (Windows では二重引用符) で囲む必要があります ("例"を参照)。
エクスポートにかかる時間はデータユニットと鍵の数に比例するため、通常は、データユニットの集合を縮小するフィルタを指定することをお勧めします。
export サブコマンドでは、このオプションは --duids オプションと相互に排他的です。
export および listdu サブコマンドでは、このフィルタ文字列の構文は:
DUState=state[, Exported=boolean ][, Imported=boolean]
[, DataUnitID=duid][, ExternalTag=tag]
[, ExternalUniqueID=euid]
DUState=state
ここで state には「normal」、「needs-rekey」、または「normal+needs-rekey」を指定できます。DUState フィルタが指定されていない場合、デフォルトは「DUState=normal+needs-rekey」です。
Exported=boolean
ここで boolean には「true」または「false」を指定できます。Exported フィルタ条件を指定しない場合、データユニットの選択時にエクスポート状態は考慮されないため、エクスポート済みデータユニットとまだエクスポートされていないデータユニットの両方が選択可能です。
Imported=boolean
ここで boolean には「true」または「false」を指定できます。Imported フィルタ条件を指定しない場合、データユニットの選択時にインポート状態は考慮されないため、インポート済みデータユニットとまだインポートされていないデータユニットの両方が選択可能です。
DataUnitID=duid
ここで duid はデータユニット ID です。
ExternalTag=tag
ここで tag は外部タグです (LTO テープドライブ用に作成されるデータユニットの場合、スペースを使用してタグを 32 文字にパディングする必要があります)。
ExternalUniqueID=euid
ここで euid は外部一意 ID です。
listagentperformance サブコマンドでは、このフィルタ文字列の構文は次のとおりです。
AgentID=agentid[, SiteID=siteid][, DefaultKeyGroupID=kgid]
AgentID=agentid
ここで agentid はエージェント名です。一部のエージェントがこのフィールドの値の末尾に空白を追加するため、CLI はこのフィールドでの照合時に、「starts with」演算子 (等式ではなく) を使用します。
SiteID=siteid
ここで siteid はサイト ID です。
DefaultKeyGroupID=kgid
ここで kgid は鍵グループ ID です。
listauditevents サブコマンドでは、このフィルタ文字列の構文は次のとおりです。
StartDate=date[, EndDate=date ][, Severity=text]
[, Operation=text][, Condition=text] [, Class=text]
[, RetentionTerm=text] [, KMAName=kmaname]
[, EntityID=entityid][, EntityNetworkAddress=netaddress]
[, SortOrder=order][, ShowShortTerm=boolean]
StartDate=date
ここで date の形式は YYYY-MM-DD hh:mm:ss であり、UTC 時間を表します。
EndDate=date
ここで date の形式は YYYY-MM-DD hh:mm:ss であり、UTC 時間を表します。
Severity=text
ここで text は監査重要度文字列です (例:「Error」)。
Operation=text
ここで text は監査操作文字列です (例:「Retrieve Root CA Certificate」)。
Condition=text
ここで text は監査条件文字列です (例:「Success」)。
Class=text
ここで text は監査クラス文字列です (例:「Security Violation」)。
RetentionTerm=text
ここで text は監査保持期間文字列です (例:「MEDIUM TERM RETENTION」)。
KMAName=kmaname
ここで kmaname は KMA 名です。
EntityID=entityid
ここで entityid は実体 ID です。
EntityNetworkAddress=netaddress
ここで netaddress は IP アドレスまたはホスト名です。
SortOrder=order
ここで order には「asc」または「desc」を指定できます。デフォルトで監査イベントは作成日の降順で表示されます。
ShowShortTerm=boolean
ここで boolean には「true」または「false」を指定できます。デフォルトで、保存期間の短い監査イベントは表示されません。
listkeys サブコマンドでは、このフィルタ文字列の構文は次のとおりです。
KeyState=state[, KeyID=keyid][, KeyGroupID=kgid] [, Exported=boolean][, Imported=boolean] [, Revoked=boolean]
KeyState=state ここで state には gen、ready、pnp、proc、deact、comp、dest のいずれかを指定できます。
KeyID=keyid ここで keyid は鍵 ID です。
KeyGroupID=kgid ここで kgid は鍵グループ ID です。
Exported=boolean ここで boolean には「true」または「false」を指定できます。
Imported=boolean ここで boolean には「true」または「false」を指定できます。
Revoked=boolean ここで boolean には「true」または「false」を指定できます。
listkmaperformance サブコマンドでは、このフィルタ文字列の構文は次のとおりです。
KMAName=kmaname[, SiteID=siteid]
KMAName=kmaname ここで kmaname は KMA 名です。
SiteID=siteid ここで siteid はサイト ID です。
--help
省略名: -h
ヘルプ情報を表示します。
--input=filename
省略名: -i
データユニットおよび鍵のインポート元のファイル名を指定します。このファイルは鍵転送ファイルとも呼ばれます。
--keygroup=keygroupid
省略名: -g
OKM に対して定義される鍵グループの ID を指定します。
--keyids=keyids
省略名: -K
関連付けられた監査イベントの鍵 ID のコンマ区切りリストを指定します。このオプションを指定するには、OKM ユーザーにオペレータまたはコンプライアンス責任者の役割が必要です。このオプションは、--agentids および --dataunitids の各オプションと相互に排他的です。
--keystate=keystate
省略名: -s
破棄する鍵の状態を指定します。keystate の値には、非アクティブ化された鍵の「deact」、危殆化された鍵の「comp」、非アクティブ化または危殆化された鍵の「deact+comp」を指定できます。
--kma=networkaddress
省略名: -k
要求を実行する KMA のネットワークアドレスを指定します。ネットワークアドレスはホスト名、IPv4 アドレス、または IPv6 アドレスで指定できます。
--listwait=waittime
省略名: -w
export および listdu サブコマンドによって発行されるデータユニット一覧表示要求の間隔を秒数で指定します。デフォルト値は 2 です。
--localtimezone=boolean
省略名: -L
監査イベントのタイムスタンプを、協定世界時 (UTC) ではなくローカルタイムゾーンで表示します。また、StartDate および EndDate の各フィルタがローカル時間に解釈されるようにします。
--maxcount=count
省略名: -c
一覧表示する監査イベントの最大数を指定します。デフォルト値は 20,000 です。
--onetimepassphrase=boolean
省略名: -O
認証用の登録パスフレーズの使用を 1 回のみとするかどうかを決定するブール値を指定します。boolean 値には「true」または「false」を指定できます。
--output=filename または dirname
省略名: -o
結果が格納されるファイルの名前を指定します。これらの結果は、backup および backupcs 要求の場合はバックアップ、export 要求の場合は鍵転送ファイル、listdu 要求の場合はデータユニットとそのプロパティーの一覧表示、listauditevents 要求の場合は監査イベントの一覧表示です。listdu および listauditevents 要求の場合、stdout を表す「-」を指定でき、これはデフォルト値でもあります。backup 要求の場合、このオプションは、バックアップデータファイルとバックアップ鍵ファイルがダウンロードされるディレクトリを指定します。
--overrideeuiconflict=boolean
省略名: -O
既存のデータユニットが持つ外部一意 ID が、インポートされるデータユニットのものと同じ場合の衝突を、オーバーライドするかどうかを決定するブール値を指定します。この値が「true」の場合、既存のデータユニットが更新されてその外部一意 ID がクリアされ、インポートしたデータユニットはその外部一意 ID を保持します。そうでない場合、インポート要求に失敗します。boolean 値には「true」または「false」を指定できます。
--partner=transferpartnerid
省略名: -p
OKM に対して定義され、エクスポートされた鍵を送信または受信する資格を持つ転送パートナーの ID を指定します。
--passphrase=passphrase
省略名: -P
作成または変更されるエージェントのパスフレーズを指定します。パスフレーズの長さは 8 - 64 文字とすることができます。パスフレーズは OKM パスフレーズ規則に従う必要があります。
--rclientcert=filename
省略名: -C
認証局によってこの KMA 用に発行された X.509 証明書の PEM ファイルを指定します。
--rclientkey=filename
省略名: -K
クライアント証明書ファイルに付属する非公開鍵ファイルを指定します。
--rclientpassword=password
省略名: -P
非公開鍵を保護するパスワード (ある場合) を指定します。
--retries=retries
省略名: -r
KMA がビジー状態の場合に、このユーティリティーが KMA への接続を試行する回数を指定します。デフォルト値は 60 です。
--server=networkaddress
省略名: -S
リモート syslog システムのネットワークアドレス (IP アドレス、または DNS が構成されている場合はホスト名) を指定します。
--site=siteid
省略名: -S
作成または変更されるエージェントのサイト ID を指定します。サイト ID の長さは 1 - 64 文字でなければなりません。
--timeout=timeout
省略名: -t
これらの再試行間のタイムアウト値を秒単位で指定します。デフォルト値は 60 です。
--verbose=boolean
省略名: -n
要求の処理の間、進捗ステータスを含む詳細出力をこのユーティリティーが生成することを指示します。boolean 値には「true」または「false」を指定できます。
--version
省略名: -v
コマンド行の使用法を表示します。
これらの例では単一のコマンド行を示します。読みやすさのために、複数行に分けてコマンド行を示している場合があります。Solaris の例では、バックスラッシュはコマンド行の続きを示します。
次の例は、指定されたディレクトリ内の ca.crt および clientkey.pem ファイルの証明書を認証に使用してバックアップを生成します。
Solaris:
okm backup --kma=mykma1 \
--directory/export/home/Joe/.sunw/kms/BackupOperatorCertificates \
--output=/export/home/KMSBackups
Windows:
okm backup --kma=mykma1
--directory=D:\KMS\Joe\BackupOperatorCertificates
--output=D:\KMS\KMSBackups
次の例は、OKM ユーザーのユーザー ID とパスフレーズを認証に使用してバックアップを生成します。
Solaris:
okm backup -k mykma1 -o /export/home/KMSBackups -b Joe
Windows:
okm backup -k mykma1 -o D:\KMS\KMSBackups -b Joe
次の例は、現在の作業用ディレクトリ内の ca.pem および op.pem ファイルの証明書を認証に使用して鍵をエクスポートします。
Solaris:
okm export -k 10.172.88.88 -d "." -a ca.pem -u op.pem \
-f "DUState = normal+needs-rekey, Exported = false" \
-o Partner.dat -p Partner
Windows:
okm export -k 10.172.88.88 -d "." -a ca.pem -u op.pem
-f "DUState = normal+needs-rekey, Exported = false"
-o Partner.dat -p Partner
次の例は、OKM ユーザーのユーザー ID とパスフレーズを認証に使用して鍵をエクスポートします。
Solaris:
okm export --kma=mykma1 --oper=tpFreddy \
--filter="Exported = false" --output=Partner.dat \
--partner=Partner
Windows:
okm export --kma=mykma1 --oper=tpFreddy
--filter="Exported = false" --output=Partner.dat
--partner=Partner
次の例は、現在の作業用ディレクトリ内の ca.crt および clientkey.pem ファイルの証明書を認証に使用して鍵をインポートします。
Solaris:
okm import --kma=10.172.88.88 --directory="." \
--input=DRKeys.dat --partner=Partner \
--keygroup=OpenSysBackupKeyGroup
Windows:
okm import --kma=10.172.88.88 --directory="."
--input=DRKeys.dat --partner=Partner
--keygroup=OpenSysBackupKeyGroup
次の例は、OKM ユーザーのユーザー ID とパスフレーズを認証に使用して鍵をインポートします。
Solaris:
okm import --kma=mykma1 --oper=Joe --input=DRKeys.dat \
--partner=Partner --keygroup=OpenSysBackupKeyGroup
Windows:
okm import --kma=mykma1 --oper=Joe --input=DRKeys.dat
--partner=Partner --keygroup=OpenSysBackupKeyGroup
次の例は、指定されたディレクトリ内の ca.crt および clientkey.pem ファイルの証明書を認証に使用してデータユニットを一覧表示します。
Solaris:
okm listdu --kma=10.172.88.88 \
--directory=/export/home/Joe/.sunw/kms/OperatorCertificates \
--output=/export/home/KMSDataUnits
Windows:
okm listdu --kma=10.172.88.88
--directory=D:\KMS\Joe\OperatorCertificates
--output=D:\KMS\KMSDataUnits
次の例は、OKM ユーザーのユーザー ID とパスフレーズを認証に使用してデータユニットを一覧表示します。
Solaris:
okm listdu -k mykma1 -b Joe -f "Exported=false" \
--output=/export/home/KMSDataUnits
Windows:
okm listdu -k mykma1 -b Joe -f "Exported=false"
--output=D:\KMS\KMSDataUnits
次の例は、指定されたディレクトリ内の ca.crt および clientkey.pem ファイルの証明書を認証に使用して監査イベントを一覧表示します。
Solaris:
okm listauditevents --kma=10.172.88.88 \
--directory=/export/home/Joe/.sunw/kms/OperatorCertificates \
--filter=Severity=Error \
--output=/export/home/KMSAuditEvents
Windows:
okm listauditevents --kma=10.172.88.88
--directory=D:\KMS\Joe\OperatorCertificates
--filter=Severity=Error
--output=D:\KMS\KMSAuditEvents
次の例は、OKM ユーザーのユーザー ID とパスフレーズを認証に使用して監査イベントを一覧表示します。
Solaris:
okm listauditevents -k mykma1 -b Joe -f "Severity=Error" \
--output=/export/home/KMSAuditEvents
Windows:
okm listauditevents -k mykma1 -b Joe -f "Severity=Error"
--output=D:\KMS\KMSAuditEvents
次の例は、指定されたディレクトリ内の ca.crt および clientkey.pem ファイルの証明書を認証に使用して、危殆化された鍵をすべて破棄します。
Solaris:
okm destroykeys --kma=10.172.88.88 \
--directory=/export/home/Joe/.sunw/kms/OperatorCertificates \
--all=true --keystate=comp \
--comment="Joe destroyed compromised keys"
Windows:
okm destroykeys --kma=10.172.88.88
--directory=D:\KMS\Joe\OperatorCertificates
--all=true --keystate=comp
--comment="Joe destroyed compromised keys"
次の例は、OKM ユーザーのユーザー ID とパスフレーズを認証に使用して、データユニット ID のリストと関連付けられた、非アクティブ化された鍵を破棄します。
Solaris:
okm destroykeys -k mykma1 -b Joe -i DeactivatedDUIDs.txt \
-s deact -C "Joe destroyed deactivated keys"
Windows:
okm destroykeys -k mykma1 -b Joe -i DeactivatedDUIDs.txt
-s deact -C "Joe destroyed deactivated keys"
次の例は、指定されたディレクトリ内の ca.crt および clientkey.pem ファイルの証明書を認証に使用してコアセキュリティーをバックアップします。
Solaris:
okm backupcs --kma=10.172.88.88 \
--directory=/export/home/Joe/.sunw/kms/SecurityOfficerCertificates \
--output=/export/home/KMSCoreSecurity.xml
Windows:
okm backupcs --kma=10.172.88.88
--directory=D:\KMS\Joe\SecurityOfficerCertificates
--output=D:\KMS\KMSCoreSecurity.xml
次の例は、OKM ユーザーのユーザー ID とパスフレーズを認証に使用してコアセキュリティーをバックアップします。
Solaris:
okm backupcs -k mykma1 -b Joe -o /export/home/KMSCoreSecurity.xml
Windows:
okm backupcs -k mykma1 -b Joe -o D:\KMS\KMSCoreSecurity.xml
次に示すいくつかの基本的な Perl スクリプトは、カスタマイズして Solaris または Windows で実行できます。これらの例はすべて証明書ベースの認証を使用するため、実行するには、ルート認証局の証明書とユーザーの証明書が現在の作業用ディレクトリに置かれている必要があります。
注:
Perl スクリプトは OKM コマンド行ユーティリティーとともにインストールされません。Perl スクリプトから OKM コマンド行ユーティリティーを呼び出す場合は、テキストエディタを使用して、次のいずれかの Perl スクリプトと同様のスクリプトを作成します。listdu.pl
#!/opt/csw/bin/perl
## the kms CLI utility must be in your path
$cmd="okm";
$KMA="kma1.example.com";
$FILTER="--filter=Exported=false";
$DIRECTORY=".";
$OUTPUT="listdu.txt";
system("$cmd listdu --verbose=true --directory=$DIRECTORY --kma=$KMA $FILTER
--output=$OUTPUT")
export.pl
#!/opt/csw/bin/perl
## the kms CLI utility must be in your path
$cmd="okm";
$KMA="kma1.example.com";
$TP="DestinationPartner";
$FILTER="Exported=false";
$OUTPUT="$TP.dat";
system("$cmd export --verbose=true --kma=$KMA --directory=. --filter=$FILTER
--partner=$TP --output=$OUTPUT");
import.pl
#!/opt/csw/bin/perl
## the kms CLI utility must be in your path
$cmd="okm";
$KMA="kma1.example.com";
$TP="SourceTransferPartner";
$KEYGROUP="MyKeyGroup";
$INPUT="../aberfeldy/KeyBundle.dat";
system("$cmd import --verbose=true --kma=$KMA --directory=. --partner=$TP
--keygroup=$KEYGROUP --input=$INPUT");
backup.pl
#!/opt/csw/bin/perl
## the following must be in your path
$cmd="okm";
$KMA="kma1.example.com";
$DIRECTORY=".";
$OUTPUT=".";
system("$cmd backup --verbose=true --directory=$DIRECTORY --kma=$KMA
--output=$OUTPUT")
バックアップコマンド行ユーティリティーを使用すると、「Backup List」メニューからではなくコマンド行からバックアップを起動できます。自動バックアップのスケジュールを設定することもできます。
このユーティリティーは OKM Manager の GUI とともに、同じインストーラを使用してインストールされます。
注:
リンクローカル IPv6 アドレスを入力する場合、バックアップユーティリティーを起動し、リンクローカル IPv6 アドレスを指定します。「%4」などのゾーン ID をアドレスの末尾に含めるようにしてください。初期設定時に従う必要がある手順については、"ゾーン ID を含む IPv6 アドレス"を参照してください。
OKM_Backup [-UserID userid] [-Passphrase passphrase] -KMAIPAddress IPaddress -BackupFilePath pathname [-Retries retries] [-Timeout timeout]
OKMBackupUtility [-UserID userid] [-Passphrase passphrase] -KMAIPAddress IPaddress -BackupFilePath pathname [-Retries retries] [-Timeout timeout]
userid
バックアップオペレータのユーザー ID。これはバックアップオペレータである必要があります。
passphrase
ユーザー ID のパスフレーズ。
userid または passphrase の値が指定されない場合、ユーティリティーはこれらの値の入力を求めます。
IPaddress
バックアップを起動する場所となる KMA 管理ネットワークのアドレス。
pathname
バックアップファイルおよびバックアップ鍵ファイルがダウンロードされるシステム上の場所。
retries
KMA がビジー状態の場合に、このユーティリティーが KMA への接続を試行する回数。デフォルトは 60 です。
timeout
これらのエントリ間のタイムアウト値 (秒単位)。デフォルトは 60 です。
次の例は、バックアップファイル (形式: OKM-Backup-backupid-timestamp.dat) およびバックアップ鍵ファイル (形式: OKM-BackupKey-backupid-timestamp.xml) を作成します。
OKM_Backup -UserID MyBackupOperator \
-KMAIPAddress 10.0.60.172 \
-BackupFilePath /tmp/MyKMSDownloads
OKM Backup Utility Version 3.0.0 (build2020)
Copyright (c) 2007, 2013, Oracle and/or its affiliates. All Rights Reserved.
Enter Passphrase:
注:
パスフレーズは -Passphrase パラメータを使用してコマンド行でオプションで指定できます。