エンドポイント管理者は、Key Vaultシステム管理者によって登録されたエンドポイントをエンロールおよびプロビジョニングすることによって、そのエンドポイントからKey Vaultを使用してセキュリティ・オブジェクトを管理できるようにする必要があります。
エンドポイントとは、アプライアンスを使用して関連するセキュリティ・オブジェクトを格納および管理し、それらを信頼できるピアと共有したり、いつでも必要な場合に取得するOracle Key Vaultクライアントです。これらのクライアントは、Oracle Databaseサーバー、Oracleミドルウェア・サーバー、オペレーティング・システム、その他の情報システムなどのシステムとなります。
最初にKey Vaultシステム管理者がエンドポイントをKey Vaultに追加(または登録)し、そのエンドポイントのエンロール・トークン(登録時に生成)をエンドポイント管理者に送信します。エンドポイント管理者は、そのエンロール・トークンを検証した後、エンドポイントをエンロールおよびプロビジョニングします。エンロールされたエンドポイントでは、Key Vaultを使用してセキュリティ・オブジェクトをアップロード、ダウンロードおよび管理できます。
エンドポイント・エンロールは、次の表に示す3つのステップで構成されるプロセスであり、2種類の管理ユーザーによって実行されます。
表8-1 エンドポイント・エンロールの概要
ステップ# | タスク | 実行担当者 | エンドポイント・ステータス(Key Vault管理コンソールでの表示) |
---|---|---|---|
1. |
|
Key Vault上のKey Vaultシステム管理者 |
Registered |
2. |
|
エンドポイント管理者(Key Vaultユーザー・インタフェースを使用) |
Enrolled |
3. |
エンドポイントに |
エンドポイント上のエンドポイント管理者 |
Enrolled |
エンドポイント・エンロールにより、許可されたエンドポイントのみがKey Vaultと通信できるようになります。これは、通信に必要なユーティリティがエンドポイント・ソフトウェアokvclient.jar
とともにバンドルされているためです。
okvclient.jar
の内容は次のとおりです。
エンドポイントでOracle Key Vaultに対する自己認証に使用されるTLS証明書と秘密キー
ルートCAとして機能するOracle Key VaultのTLS証明書
エンドポイント・ライブラリとユーティリティ
okvutil
でokvclient.ora
構成ファイルを作成するために使用されるKey Vault IPアドレスなどの追加情報
Oracle Real Application Clusters (RAC)環境では、各Oracle RACノードをエンドポイントとしてエンロールおよびプロビジョニングする必要があります。
関連項目:
エンドポイントをKey Vaultに追加する方法の詳細は、エンドポイント・エンロールのタイプを参照してください。
登録されたエンドポイントをエンロールおよびプロビジョニングするには、エンドポイント管理者が次の2つのタスクを完了する必要があります。
エンドポイント・ソフトウェアokvclient.jar
をダウンロードするには、エンドポイントのエンロール・トークンが必要です。
Key Vaultシステム管理者は、エンドポイントの登録後、そのエンドポイントのエンロール・トークンを電子メールまたはその他のバンド外の方式によってエンドポイント管理者に送信します。
エンドポイントの登録の詳細は、タスク1の後の「関連項目」の項を参照してください。
エンドポイント管理者としてエンドポイント・サーバーにログインします。
Oracle Key Vault管理コンソールに接続します。
次に例を示します。
https://192.0.2.254
Oracle Key Vault管理コンソールへのログイン・ページが表示されます。
ログインしないでください。
「Login」の下にある強調表示されたリンク「Endpoint Enrollment and Software Download」をクリックします。
次の2つのタブで構成される「Enroll Endpoint & Download Software」ページが表示されます。
Enroll Endpoint & Download Software
Download Endpoint Software Only
図8-2は切り捨てられていますが、実際は、「Download Endpoint Software」と、右側の各ボタン(「Cancel」、「Reset」および「Enroll」)の間に、次のテキストが含まれていることに注意してください。
「To enroll an endpoint, enter your endpoint Enrollment Token and click 'Submit Token'.Update the endpoint details if necessary and click 'Enroll' to complete the enrollment.Download the endpoint package when prompted.」
「Enroll Endpoint & Download Software」をクリックします。
次のステップは、エンドポイントがKey Vaultにどのように追加(または登録)されたかによって異なります。
エンドポイントがKey Vaultシステム管理者によって登録された場合は、次のようにします。
「Enrollment Token」にエンドポイントのエンロール・トークンを入力し、「Submit Token」をクリックします。
トークンが有効である場合は、そのことを示すメッセージが「Submit Token」 の右側に表示されます。
「Endpoint Type」、「Endpoint Platform」、「Email」および「Description」の各フィールドには、エンドポイントの登録中に入力された値が自動的に移入されます。
トークンが無効である場合は、そのことを示すメッセージが表示されます。トークンを確認し、再試行します。
エンドポイントが自己エンロールによって登録された場合は、次のようにします。
自己エンロールされたエンドポイントにはエンロール・トークンが存在しないため、トークン検証ステップはスキップします。
次のフィールドに値を入力します。
Endpoint Type: 「Oracle Database」、「Oracle (non-database)」または「Other」のいずれかです。TDEを使用している場合は、「Oracle Database」を入力する必要があります。
Endpoint Platform: 「Linux」、「Solaris SPARC」、「Solaris x64」、「AIX」、「HPUX」、「Windows」のいずれかです。
Email: エンドポイント管理者の通知用電子メール・アドレスです。これはオプションですが、入力することをお薦めします。
Description: これはオプションですが、レポートでの識別が容易になるように入力することをお薦めします。エンドポイントを識別するためのわかりやすい説明です。
右上にある「Enroll」をクリックします。
ディレクトリ・ウィンドウが表示され、エンドポイント・ソフトウェア・ファイルokvclient.jar
を保存するよう求められます。
ファイルの保存先フォルダにナビゲートします。
他者が読み取ったりコピーすることができないように、適切な権限が設定されたセキュアなディレクトリにファイルを保存します。
ファイルがダウンロードされていることを確認します。なんらかの理由でダウンロードに失敗した場合、エンドポイントのキー管理者からエンロール・トークンを取得し、ステップ6および7を繰り返する必要があります。ファイルをエンドポイント・システムにダウンロードしなかった場合は、バンド外の方式を使用してファイルをそのシステムにコピーし、そこでインストールする必要があることに注意してください。
これで、「タスク2: エンドポイントでのOracle Key Vaultソフトウェアのインストール」の説明に従って、エンドポイントにokvclient.jar
ファイルをインストールする準備が整いました。
関連項目:
環境変数の定義については、用語集を参照してください。
環境および設定の確認方法については、エンドポイントのプロビジョニングについての特別な注意を参照してください。
TDEについては、Oracle Key Vaultでのオンライン・マスター・キーの使用を参照してください。
親トピック: エンロールとプロビジョニングのファイナライズ
okvclient.ora
ファイルのデフォルトの場所は、$OKV_HOME/conf
ディレクトリです。インストールが完了したら、JAVA_HOME
パスがokvclient.ora
構成ファイルに追加され、今後okvutil
で使用できるようになります。
エンドポイントをプロビジョニングする場合、インストール・プロセスによってJavaホームの場所およびokvclient.ora
ファイルの場所が決定される方法を把握する必要があります。
Oracle Databaseエンドポイントでsrvctl
ユーティリティを使用し、かつsqlnet.ora
で環境変数を設定する場合は、オペレーティング・システムとsrvctl
環境の両方で設定する必要があります。
JAVA_HOMEの場所の決定方法
エンドポイント・ソフトウェアのインストール・プロセスでは、次の2つのルールに基づいてJavaホームの場所が決定されます。
ユーザー定義のJAVA_HOME
環境変数が存在する場合、インストール・プロセスではこの値が使用されます。
JAVA_HOME
が設定されていない場合、インストール・プロセスでは、Java仮想マシン(JVM)のjava.home
システム・プロパティ内が検索されます。
決定されたJAVA_HOME
パスは、すべてのokvutil
コマンドで使用される構成ファイルokvclient.ora
に追加されます。
次のいずれかの方法を使用することにより、okvutil
に別のJAVA_HOME
設定を強制的に使用させることができます。
okvutil
を実行するシェルにJAVA_HOME
環境変数を設定します。
setenv JAVA_HOME path_to_Java_home
または
export JAVA_HOME = path_to_Java_home
okvclient.ora
構成ファイルで直接JAVA_HOME
プロパティを設定します。
JAVA_HOME=path_to_Java_home
OKVCLIENT.ORAファイルの場所と環境変数
$OKV_HOME
ディレクトリは、インストール中に-d
オプションで指定する、エンドポイント・ソフトウェアのインストール先ディレクトリです。okvclient.ora
ファイルは、$OKV_HOME/conf
ディレクトリ内の構成ファイルです。
$OKV_HOME/conf
に加えて、okvclient.ora
へのソフト・リンクが既存のデータベースに対して設定されます。ソフト・リンクの場所は次のことによって異なります。
$ORACLE_BASE
変数が設定されている場合、インストール・プロセスは、($OKV_HOME/conf
の) okvclient.ora
構成ファイルへのシンボリック・リンクを$ORACLE_BASE/okv/$ORACLE_SID
の場所に作成します。
okvclient.ora
ファイルが$ORACLE_BASE/okv/$ORACLE_SID
の場所にすでに存在する場合、インストール・プロセスは、okvclient.ora
への既存のソフト・リンクを有効なソフト・リンクとして承認します。
$ORACLE_BASE/okv/$ORACLE_SID
ディレクトリが設定されていない場合、インストール・プロセスは作成しようと試みます。
$ORACLE_HOME
変数は設定されているが、$ORACLE_BASE
変数は構成されていない場合、インストール・プロセスは、$ORACLE_HOME/okv/$ORACLE_SID
の場所のシンボリック・リンクを作成して、$OKV_HOME/conf
ディレクトリにある構成ファイルを参照します。
非データベース・ユーティリティとKey Vaultの通信に必要なOKV_HOMEの設定
非データベース・ユーティリティを使用する場合は、エンドポイント・ソフトウェアのインストール先ディレクトリを指すように環境変数OKV_HOME
を設定する必要があります(インストール・プロセスでこの変数が自動的に設定されることはありません)。これらのユーティリティがKey Vaultと通信できるようにするには、OKV_HOME
を設定する必要があります。これらのユーティリティとしては、Oracle Key Vaultにアクセスしてキーを取得するOracle Recovery Manager (RMAN)などがあります。
RMANなどのユーティリティを実行する予定のすべての環境で、OKV_HOME
を設定する必要があります。たとえば、新しいxtermを起動する場合、RMANを実行する前にこの環境でOKV_HOME
を設定する必要があります。
SQLNET.ORAの環境変数
Oracle Databaseエンドポイントでsrvctl
ユーティリティを使用する場合は、次の点について考慮する必要があります。
srvctl
ユーティリティを使用し、かつsqlnet.ora
構成ファイルに環境変数を含める場合は、それらの環境変数をオペレーティング・システムとsrvctl
環境の両方で設定する必要があります。
オペレーティング・システム(OS)とサーバー制御(srvctl
)で、$ORACLE_SID
、$ORACLE_HOME
および$ORACLE_BASE
を同じ値に設定する必要があります。
エンドポイントがOracle Key Vaultクライアント・ソフトウェアを使用しない場合
サード・パーティのKMIPエンドポイントではKey Vaultソフトウェアokvutil
およびliborapkcs.so
は使用されません。この場合、次の手順に従って、TLS認証を手動で設定する必要があります。
次のようにして、okvclient.jar
ファイルからssl
ディレクトリを抽出します。
jar xvf okvclient.jar ssl
次のファイルを使用してTLS認証をセットアップします。
ssl/key.pem
: エンドポイント秘密キー
ssl/cert.pem
: エンドポイント証明書
ssl/cert_req.pem
: cert.pem
に対応する証明書リクエスト
ssl/CA.pem
: Oracle Key Vaultサーバー証明書を検証するためのトラスト・アンカー
TDEは、Oracle Database 10gリリース2以降でTDEマスター暗号化キーのOracle Walletへの、Oracle Database 11gリリース1以降でHardware Security Module (HSM)への格納をサポートしています。
Oracle Key Vaultは、TDEが外部キーストアと通信するために使用するのと同じPKCS#11インタフェースを使用してTDE鍵を管理できます。このため、TDEマスター・キーを格納および取得するためにKey Vaultを使用するためにデータベースをパッチする必要はありません。Oracle Key Vaultでは、Oracle Key Vaultと通信するためのPKCS#11ライブラリを提供しています。
Oracle Key Vaultでは、TDEキーの管理が改善されています。たとえば、ウォレット内のキーは、長期保持、および同じエンドポイント・グループ内の他のデータベース・エンドポイントと共有するために、直接Key Vaultにアップロードできます。このため、移行の後、無期限にウォレットに格納する必要はありません。このコンテキストにおける移行とは、ウォレット・バックアップ用にKey Vaultを使用するようデータベースが構成され、管理者にオンライン・マスター・キー(旧称、TDE直接接続)に移行する意図があることを意味します。
引き続きウォレットを使用したり、WITH BACKUP
SQL句を含むすべてのTDEキー管理SQL操作の一部として、ウォレットのコピーをKey Vaultにアップロードすることができます。(ただし、WITH BACKUP
句は、ADMINISTER KEY MANAGEMENT
文で必須である場合でも、Oracle Key Vaultオンライン・キー・デプロイメントではTDEによって無視されることに注意してください。)
例8-1に、暗号化キーの設定の例を示します。
Oracle DatabaseとTDEはOracle Key Vaultのエンドポイントです。エンドポイントをエンロールおよびインストールすると、PKCS#11ライブラリは確実に正しい場所にインストールされ、TDEが取得して使用できます。PKCS#11ライブラリがインストールされると、他のすべての構成と操作が有効になります。
例8-1 暗号化キーの設定
ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY secret_passphrase -- For Oracle Database 11g Release 2 ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY IDENTIFIED BY secret_passphrase WITH BACKUP; -- For Oracle Database 12c
エンドポイントに関連付けられている構成パラメータはokvclient.ora
と呼ばれる構成ファイルに格納され、このファイルがOracle Key Vaultエンドポイント・ライブラリおよびエンドポイント・ユーティリティにより使用されます。okvclient.ora
ファイルは、等号(=
)で区切られた、キーと値の組から構成されています。次のパラメータはサンプル・データで、エンドポイント構成ファイルに設定できます。
SERVER=192.0.2.254:5696
このパラメータでは、Key VaultサーバーのIPアドレスとポート番号をコロン区切りで指定します。ポート番号を指定しない場合、デフォルトの標準KMIPポート5696
が使用されます。
STANDBY_SERVER=192.0.2.114:5696
これはスタンバイ・サーバーです。高可用性が構成されている場合、このパラメータはスタンバイのIPアドレスを表示します。それ以外の場合は、127.0.0.1
のようにIPアドレスを表示します。
SSL_WALLET_LOC=/
home/oracle/okvutil/ssl/
このパラメータは、エンドポイントのTLS証明書があるウォレットの場所を指定します。
SERVER_POLL_TIMEOUT=300
SERVER_POLL_TIMEOUT
パラメータを使用すると、クライアントによるOracle Key Vaultサーバーへの接続の試行で、リスト内の次のサーバーを試行するまでのタイムアウトを指定できます。デフォルト値は300 (ミリ秒)です。
Oracle Key Vault 12.2.0.6.0では、クライアントは最初にアクセス不可能なサーバーを迅速に検出するように、Oracle Key Vaultへの非ブロッキングのTCP接続を確立します。Oracle Key Vault 12.2.0.6.0では、okvclient.ora
ファイルにSERVER_POLL_TIMEOUT
パラメータが導入され、このタイムアウト後に、Oracle Key Vaultは次のサーバーへの接続を試行します。デフォルト値は300 (ミリ秒)です。
最初の試行後、クライアントは、サーバーへの第2および最終試行を実行しますが、今度はSERVER_POLL_TIMEOUT
パラメータで指定された期間の2倍まで待機します。これは、考えられるネットワークの輻輳や遅延を克服するするために行われます。
エンドポイント・ソフトウェアのインストール後、エンドポイント管理者は、コマンドライン・ユーティリティokvutil
を使用してKey Vaultと通信し、セキュリティ・オブジェクトをアップロードおよびダウンロードできます。
okvutil
ユーティリティの構文では、ショート形式とロング形式のオプションを使用してコマンドを指定できます。
構文
okvutil command arguments [-v verbosity_level]
パラメータ
表8-2 okvutilコマンド構文
パラメータ | 説明 |
---|---|
command |
|
arguments |
付加されるコマンドに渡す引数を示します。 |
|
冗長性レベルを示します。指定可能な値は0、1および2です。冗長性レベル2を指定した場合、コマンドの実行時に標準で出力される詳細のレベルが最大になります。冗長性の値の意味は次のとおりです。
|
|
オプションを使用して、 okvutil command --help
|
オプション指定のショートおよびロング形式
ショート形式とロング形式のいずれかでオプションを指定できます。
注意:
エンドポイント・プラットフォームAIXおよびHP-UX (IA)では現在、ショート形式のオプションのみがサポートされています。
ショート形式: 1つのハイフンと1字の英字オプション名のみを使用します。次に例を示します。
-l /home/username
-t wallet
ロング形式: 2つのハイフンと完全なオプション名を使用します。次に例を示します。
--location /home/username
--type wallet
このガイドの例では、ショート形式を使用します。
okvutilのパスワード入力要求のしくみ
okvutil
のコマンドでは、次の状況においてパスワードの入力を求められます。
エンドポイントのインストール時に、Oracle Key Vaultにアクセスするためのパスワード保護ウォレットを作成した場合。
-l
オプションを使用してOracle WalletファイルまたはJavaキーストア・ファイルを指定した場合。この場合、okvutil
を使用してOracle Key Vaultにアップロードしようとしているウォレットまたはキーストアのパスワードの入力を求められます。
okvutil upload
コマンドを使用すると、Oracle Wallet (自動ログイン・ウォレットを含む)、Javaキーストア、資格証明ファイル、ユーザー定義の鍵、その他のタイプの鍵ストレージ・ファイルなどのセキュリティ・オブジェクトをKey Vaultにアップロードできます。
Oracle Databaseの現在サポートされているすべてのリリースおよびOracle Walletを使用する他のOracleソフトウェア製品から、Oracle Walletをアップロードできます。okvutil upload
コマンドは、ウォレットまたはJavaキーストアを開き、検出された各項目を個別のセキュリティ・オブジェクトとしてOracle Key Vaultにアップロードします。資格証明ファイルをアップロードする場合は、不透明オブジェクトと呼ばれるファイル全体としてアップロードされます。
構文
ショート形式:
okvutil upload [-o] -l location -t type [-g group] [-d description] [-v verbosity_level]
ロング形式:
okvutil upload [--overwrite] --location location --type type [--group group] [--description description] [--verbose verbosity_level]
パラメータ
表8-3 okvutil uploadコマンドのオプション
パラメータ | 説明 |
---|---|
|
Oracle Key Vault仮想ウォレット内の既存のデータとの競合がある場合は、エンドポイントにより送信された新しいデータで既存のデータが上書きされます。競合がない場合、上書き操作は不要であり、実行されません。このオプションを指定する場合は注意してください。 |
|
Oracle Walletファイル、Javaキーストア、またはユーザー定義および16進数でエンコードされたTDEマスター暗号化識別子と鍵を含むテキスト・ファイルの場所を指定します。Oracle Walletの場合、場所は |
|
Oracle Key Vaultにアップロードされるオブジェクトのデータ・タイプを指定します。次のリストにある値である必要があります。
この設定では、大文字と小文字は区別されません。 |
|
証明書ストアまたはシークレット・ストア(あるいはその両方)が追加されるKey Vault仮想ウォレットの名前です。この名前では、大文字と小文字が区別されます。仮想ウォレットがすでに存在し、ユーザーはそれにアクセスすることが認可されている必要があります。この設定を省略する場合、デフォルトのグループがあれば、それが使用されます。デフォルトのグループがないのに |
|
最大2000バイトの説明を追加できます。 この説明は二重引用符で囲みます。この説明にスペースがある場合は、引用符にエスケープ文字を含めます。例: |
|
冗長性レベルを示します。0 (なし)、1 (デバッグ)、2 (詳細デバッグ)のいずれかです。 |
-v2オプションを使用したJavaキーストアのアップロード
okvutil upload
コマンドによって、Javaキーストアをアップロードできます。
次の例では、okvutil upload
コマンドを使用してJavaキーストアをアップロードする方法を示します。-v 2
オプションを使用すると、アップロードされる項目をコマンドがリストできます。
okvutil
コマンドは、Oracle Key Vaultに接続するため、およびOracle Walletファイルを開くために必要な場合、パスワードを求めてきます。
$ okvutil upload -l ./fin_jceks.jck -t JCEKS -g fin_wal -v 2 okvutil version 12.2.0.0.0 Configuration file: /tmp/fin_okv/conf/okvclient.ora Server: 192.0.2.254:5696 Standby Server: 127.0.0.1:5696 Uploading from /tmp/fin_okv/keystores/jks/keystore.jks Enter source Java keystore password: Uploading private key Uploading trust point Uploading trust point Uploading private key Uploading private key Uploaded 3 private keys Uploaded 0 secret keys Uploaded 2 trust points Upload succeeded
Javaキーストアをアップロードする方法の詳細は、「JKSまたはJCEKSキーストアのアップロード」を参照してください。
パスワード保護されたウォレット・ファイルのアップロード
okvutil upload
コマンドを使用すると、パスワード保護ウォレット・ファイルをアップロードできます。
次の例では、エンドポイントがOracle Key Vaultに接続するためのパスワードがない場合に、パスワード保護されたウォレット・ファイルをアップロードする方法を示します。
$ okvutil upload -l . -t WALLET -g FinanceWallet
Enter source wallet password: password
Upload succeeded
ウォレット・ファイルをアップロードする方法の詳細は、「Oracle Walletのアップロード」を参照してください。
TDEマスター暗号化キーとして使用するためのユーザー定義のキーのアップロード
okvutil upload
コマンドを使用すると、TDEマスター暗号化キーとして使用するユーザー定義のキーをアップロードできます。
次の例では、ユーザー定義のキーをアップロードする方法を示します。
$ okvutil upload -l /tmp/tde_key_bytes.txt -t TDE_KEY_BYTES -g "FIN_DATABASE_VIRTUAL_WALLET" -d \"This key was created for Financial database use on 1st Jan 2018\"
ユーザー定義のキーをアップロードする方法の詳細は、「ユーザー定義のキーのアップロード」を参照してください。
関連項目:
orapki
ユーティリティの詳細は、『Oracle Databaseセキュリティ・ガイド』
okvutil
list
コマンドを使用すると、アップロード済で使用可能なセキュリティ・オブジェクトを取得できます。オプションなしで、または-g
group
オプションとともに使用した場合、Oracle Key Vaultからリストされる各項目の、一意のID、オブジェクト・タイプおよび記述子が表示されます。
構文
ショート形式:
okvutil list [-llocation
-ttype
| -g group] [-v verbosity_level]
ロング形式:
okvutil list [--locationlocation
--typetype
| --group group] [--verbose verbosity_level]
パラメータ
表8-4 okvutil listコマンドのオプション
パラメータ | 説明 |
---|---|
|
Oracle WalletファイルまたはJavaキーストアの場所を指定します。Oracle Walletの場合、場所は |
|
次のいずれかのタイプを指定します。
この設定では、大文字と小文字は区別されません。 |
|
単一の仮想ウォレットの内容をリストします。このオプションが適用されるのは、 |
|
冗長性レベルを示します。0 (なし)、1 (デバッグ)、2 (詳細デバッグ)のいずれかです。 |
例: 現在のエンドポイントのセキュリティ・オブジェクトのリスト
okvutil list
コマンドを使用すると、現在のエンドポイントに関連付けられているセキュリティ・オブジェクトを表示できます。
例8-2では、現在のエンドポイントのすべての認可済セキュリティ・オブジェクトを取得しています。最後の3行で、DB Connect Password
エントリは、インスタンスにログインするために使用されたパスワード(たとえば、データベース・インスタンスinst01
のユーザーpsmith
のパスワード)を指します。
例: Oracle Walletファイルの内容のリスト
okvutil list
コマンドを使用すると、Oracle Walletファイルの内容を表示できます。
例8-3は、Oracle Walletファイルの内容を示しています。
例8-2 現在のエンドポイントのセキュリティ・オブジェクトのリスト
$ okvutil list
Enter Oracle Key Vault endpoint password: password
Unique ID Type Identifier
F63E3F4A-C8FB-5560-E043-7A6BF00AA4A6 Symmetric Key TDE Master Key: 062C4F5BAC53E84F2DBF95B96CE577B525
F63E3F4A-C8FC-5560-E043-7A6BF00AA4A6 Symmetric Key TDE Master Key: 069A5253CF9A384F61BFDD9CC07D8A6B07
F63E3F4A-C8FD-5560-E043-7A6BF00AA4A6 Opaque Object -
F63E3F4A-C8FE-5560-E043-7A6BF00AA4A6 Symmetric Key TDE Master Key: 06A66967E70DB24FE6BFD75447F518525E
F63E3F4A-C8FF-5560-E043-7A6BF00AA4A6 Symmetric Key TDE Master Key: 0636D18F2E3FF64F7ABF80900843F37456
F63E3F4A-C900-5560-E043-7A6BF00AA4A6 Opaque Object -
F63E3F4A-C901-5560-E043-7A6BF00AA4A6 Symmetric Key TDE Master Key: 0611E6ABD666954F2FBF8359DE172BA787
F63E3F4A-C902-5560-E043-7A6BF00AA4A6 Symmetric Key TDE Master Key: 0657F27D64D1C04FAEBFE00B5105B3CBAD
F63E3F4A-C91B-5560-E043-7A6BF00AA4A6 Opaque Object Certificate Request
F63E3F4A-C91C-5560-E043-7A6BF00AA4A6 Certificate X509 DN:OU=Class 1 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
F63E3F4A-C903-5560-E043-7A6BF00AA4A6 Secret Data DB Connect Password: psmith@inst01
F63E3F4A-C904-5560-E043-7A6BF00AA4A6 Secret Data DB Connect Password: jdaley@inst02
F63E3F4A-C905-5560-E043-7A6BF00AA4A6 Secret Data DB Connect Password: tjones@inst03
例8-3 Oracle Walletファイルの内容のリスト
$ okvutil list -t WALLET -l /home/oracle/wallets
Enter target wallet password: Oracle_wallet_password
Dumping secret store of wallet:
ORACLE.SECURITY.DB.ENCRYPTION.MASTERKEY
ORACLE.SECURITY.DB.ENCRYPTION.Aa4JEUaCeE8qv0Dsmmwe5S4AAAAAAAAAAAAAAAAAAAAAAAAAAAAA
ORACLE.SECURITY.ID.ENCRYPTION.
ORACLE.SECURITY.KB.ENCRYPTION.
ORACLE.SECURITY.TS.ENCRYPTION.BZuIPES7+k/tv0ZwOlDeIp4CAwAAAAAAAAAAAAAAAAAAAAAAAAAA
Dumping cert store of wallet:
There are 1 Certificate Requests in the list
Certificate request:
DN: CN=oracle
Type: NZDST_CERT_REQ
PUB key size: 2048
There are 0 Certificates in the list
There are 0 TPs in the list
okvutil download
コマンドを使用すると、Oracle Wallet (自動ログイン・ウォレットを含む)、Javaキーストア、資格証明ファイル、その他のタイプの鍵ストレージ・ファイルなどのセキュリティ・オブジェクトをOracle Key Vaultからエンドポイントにダウンロードできます。
仮想ウォレットの内容はキーストア(複数のセキュリティ・オブジェクトを保持できるOracle WalletやJCEKSキーストアなどのコンテナ)にのみダウンロードでき、資格証明ファイルにはダウンロードできません。
一部のキーストアでは、特定のタイプのセキュリティ・オブジェクトの格納のみをサポートしていることに注意してください。JavaキーストアからアップロードしたDSA鍵をOracle Walletなどの別のタイプのキーストアにダウンロードしようとすると、エラーが発生します。
構文
ショート形式:
okvutil download -l location -t type [-g group | -i object_id] [-o] [-v verbosity_level]
ロング形式:
okvutil download --location location --type type [--group group | --item object_id] [--overwrite] [--verbose verbosity_level]
パラメータ
表8-5 okvutil downloadコマンドのオプション
パラメータ | 説明 |
---|---|
|
ダウンロード対象の項目を格納するファイルの場所を指定します。この場所でウォレットを作成する権限を持っていることを確認します。ダウンロードするファイルが120 KBを超過していないことを確認します。この設定は必須です。 |
|
Oracle Key Vaultでダウンロードされるオブジェクトのデータ・タイプを指定します。次のリストにある値である必要があります。
この設定では、大文字と小文字は区別されません。この設定は必須です。 |
|
項目( タイプが |
|
ダウンロードするオブジェクト(機密情報など)の一意のIDを示します(たとえば、ウォレット内の最初のセキュアな外部パスワード・ストア(SEPS)エントリの場合は |
|
現在のディレクトリにすでに存在するウォレットをダウンロードするときに |
|
冗長性レベルを示します。0 (なし)、1 (デバッグ)、2 (詳細デバッグ)のいずれかです。 |
例: Javaキーストアへの仮想ウォレットのダウンロード
okvutil download
コマンドを使用すると、仮想ウォレットをJavaキーストアにダウンロードできます。これは、複数のアプリケーション・サーバー間で同じJavaキーストアを共有し、同じウォレットを使用する必要がある場合に役立ちます。
例8-4では、Key Vault仮想ウォレットFinanceWallet
をJavaキーストアにダウンロードしています。
関連項目:
okvutil list
コマンドを実行することによって、使用できるオブジェクトIDを検索できます。okvutil listコマンドを参照してください。
例8-4 Javaキーストアへの仮想ウォレットのダウンロード
$ okvutil download -l ./fin/okv/work -t JCEKS -g FinanceWallet
このコマンドを使用すると、次のようにJavaキーストアの新しいパスワードを入力するよう求められます。
Enter new Java keystore password: Confirm new Java keystore password: Download succeeded
okvutil changepwd
コマンドを使用すると、Oracle Key Vaultに接続するために使用される資格証明に関連付けられているパスワードを変更できます。パスワード保護ウォレットを使用してOracle Key Vaultエンドポイントのユーザー資格証明を格納している場合は、このコマンドを使用します。新しいパスワードは、JCKSまたはウォレット・ファイルのアップロード時のパスワードと同じにする必要はありません。
構文
ショート形式:
okvutil changepwd -l location -t type [-v verbosity_level]
ロング形式:
okvutil changepwd --location location --type type [--verbose verbosity_level]
パラメータ
表8-6 okvutil changepwdコマンドのオプション
パラメータ | 説明 |
---|---|
|
パスワードを変更するウォレットのディレクトリの場所を指定します。 |
|
データ・タイプを指定します。 |
|
冗長性レベルを示します。0 (なし)、1 (デバッグ)、2 (詳細デバッグ)のいずれかです。 |
例: Oracle Key Vaultエンドポイント・パスワードの変更
okvutil changepwd
を使用すると、エンドポイントのパスワードを変更できます。
例8-5は、エンドポイントのパスワードを変更する方法を示しています。新しいパスワードの作成を求められたら、8文字から30文字でパスワードを入力します。
例8-5 Oracle Key Vaultエンドポイント・パスワードの変更
$ okvutil changepwd -l ./home/oracle/okvutil/ssl -t WALLET Enter wallet password: current_endpoint_password Enter new wallet password: new_endpoint_password Confirm new wallet password: new_endpoint_password
okvutil diagnostics
コマンドを使用すると、デプロイメントの問題をトラブルシューティングする目的でエンドポイントの診断情報や環境情報を収集できます。情報はdiagnostics.zip
ファイルで収集され、このファイルをOracle Supportに提供して詳細な分析およびデバッグを依頼できます。
次のような情報が収集されます。
シェル環境変数: OKV_HOME
、ORACLE_HOME
、ORACLE_BASE
、ORACLE_SID
、PATH
、CLASSPATH
okvclient.ora
内のKey Vaultサーバーの構成およびIPアドレス
OKV_HOME
とそのサブディレクトリのディレクトリ・リスト
エンドポイント上のKey Vaultログ・ファイル
Key Vaultエンドポイント・インストーラによって作成されたシンボリック・リンクのリスト
ネットワーク設定とping結果
ユーザー資格証明やセキュリティ・オブジェクトなどの機密ユーザー情報は収集されません。
構文
ショート形式:
okvutil diagnostics [-v verbosity_level]
ロング形式:
okvutil diagnostics [--verbose verbosity_level]
パラメータ
表8-7 okvutil diagnosticsコマンドのオプション
パラメータ | 説明 |
---|---|
|
冗長性レベルを示します。0 (なし)、1 (デバッグ)、2 (詳細デバッグ)のいずれかです。 |
例: システム診断の収集
okvutil diagnostics
コマンドを使用すると、システム診断をzipファイルで収集できます。
例8-6は、コマンドの実行方法を示しています。「Diagnostics complete」
というメッセージが表示されるまで待機すると、同じディレクトリ内にdiagnostics.zip
ファイルが置かれます。
例8-6 システム診断の収集
$ okvutil diagnostics Diagnostics collection complete. ls diagnostics.zip
Oracle Key Vaultを新規リリースにアップグレードした場合は、常に、エンロール済エンドポイント上のエンドポイント・ソフトウェアをアップグレードし、Oracle Key Vaultサーバーとエンドポイントの両方のソフトウェアが最新になるようにします。パフォーマンスを最適化するために、このことをお薦めします。
Oracle Key Vaultサーバーは、主なメジャー・リリースのエンドポイント・ソフトウェアと連携できますが、それより古いエンドポイント・ソフトウェアとは正しく連携できない場合があります。
エンロール済エンドポイント上のソフトウェアをアップグレードするには、ソフトウェアokvclient.jar
をエンドポイントにダウンロードしてインストールすることのみが必要です。エンドポイントを再エンロールする必要はありません。
エンロール済エンドポイント上のエンドポイント・ソフトウェアをアップグレードする手順: