プライマリ・コンテンツに移動
Oracle® Key Vault管理者ガイド
リリース12.2 BP11
E76998-09
目次へ移動
目次
索引へ移動
索引

前
次

8 Oracle Key Vaultのエンドポイントのエンロール

エンドポイント管理者は、Key Vaultシステム管理者によって登録されたエンドポイントをエンロールおよびプロビジョニングすることによって、そのエンドポイントからKey Vaultを使用してセキュリティ・オブジェクトを管理できるようにする必要があります。

8.1 Oracle Key Vaultのエンドポイントについて

エンドポイントとは、アプライアンスを使用して関連するセキュリティ・オブジェクトを格納および管理し、それらを信頼できるピアと共有したり、いつでも必要な場合に取得するOracle Key Vaultクライアントです。これらのクライアントは、Oracle Databaseサーバー、Oracleミドルウェア・サーバー、オペレーティング・システム、その他の情報システムなどのシステムとなります。

最初にKey Vaultシステム管理者がエンドポイントをKey Vaultに追加(または登録)し、そのエンドポイントのエンロール・トークン(登録時に生成)をエンドポイント管理者に送信します。エンドポイント管理者は、そのエンロール・トークンを検証した後、エンドポイントをエンロールおよびプロビジョニングします。エンロールされたエンドポイントでは、Key Vaultを使用してセキュリティ・オブジェクトをアップロード、ダウンロードおよび管理できます。

8.2 エンドポイントのエンロールとプロビジョニングの概要

エンドポイント・エンロールは、次の表に示す3つのステップで構成されるプロセスであり、2種類の管理ユーザーによって実行されます。

表8-1 エンドポイント・エンロールの概要

ステップ# タスク 実行担当者 エンドポイント・ステータス(Key Vault管理コンソールでの表示)

1.

  1. エンドポイントをKey Vaultに追加/登録します。エンドポイントのエンロール・トークンが生成されます。

  2. エンロール・プロセスを完了するために、エンロール・トークンをエンドポイント管理者に送信します。

Key Vault上のKey Vaultシステム管理者

Registered

2.

  1. エンロール・トークンを検証します。

  2. エンロール・トークンを送信して、エンドポイント・ソフトウェアokvclient.jarをエンドポイントにダウンロードします。

エンドポイント管理者(Key Vaultユーザー・インタフェースを使用)

Enrolled

3.

エンドポイントにokvclient.jarをインストールします。

エンドポイント上のエンドポイント管理者

Enrolled

エンドポイント・エンロールにより、許可されたエンドポイントのみがKey Vaultと通信できるようになります。これは、通信に必要なユーティリティがエンドポイント・ソフトウェアokvclient.jarとともにバンドルされているためです。

okvclient.jarの内容は次のとおりです。

  • エンドポイントでOracle Key Vaultに対する自己認証に使用されるTLS証明書と秘密キー

  • ルートCAとして機能するOracle Key VaultのTLS証明書

  • エンドポイント・ライブラリとユーティリティ

  • okvutilokvclient.ora構成ファイルを作成するために使用されるKey Vault IPアドレスなどの追加情報

Oracle Real Application Clusters (RAC)環境では、各Oracle RACノードをエンドポイントとしてエンロールおよびプロビジョニングする必要があります。

関連項目:

8.3 エンロールとプロビジョニングのファイナライズ

登録されたエンドポイントをエンロールおよびプロビジョニングするには、エンドポイント管理者が次の2つのタスクを完了する必要があります。

8.3.1 タスク1: エンドポイントのエンロールとソフトウェアのダウンロード

エンドポイント・ソフトウェアokvclient.jarをダウンロードするには、エンドポイントのエンロール・トークンが必要です。

Key Vaultシステム管理者は、エンドポイントの登録後、そのエンドポイントのエンロール・トークンを電子メールまたはその他のバンド外の方式によってエンドポイント管理者に送信します。

エンドポイントの登録の詳細は、タスク1の後の「関連項目」の項を参照してください。

エンドポイント・ソフトウェアをダウンロードする手順:

  1. エンドポイント管理者としてエンドポイント・サーバーにログインします。

  2. Oracle Key Vault管理コンソールに接続します。

    次に例を示します。

    https://192.0.2.254

  3. Oracle Key Vault管理コンソールへのログイン・ページが表示されます。

    ログインしないでください

    図8-1 Key Vault管理コンソールのログイン画面

    図8-1の説明が続きます
    「図8-1 Key Vault管理コンソールのログイン画面」の説明
  4. 「Login」の下にある強調表示されたリンク「Endpoint Enrollment and Software Download」をクリックします。

    次の2つのタブで構成される「Enroll Endpoint & Download Software」ページが表示されます。

    • Enroll Endpoint & Download Software

    • Download Endpoint Software Only

    図8-2 「Enroll Endpoint & Download Software」ページ

    図8-2の説明が続きます。
    「図8-2 「Enroll Endpoint & Download Software」ページ」の説明

    図8-2は切り捨てられていますが、実際は、「Download Endpoint Software」と、右側の各ボタン(「Cancel」「Reset」および「Enroll」)の間に、次のテキストが含まれていることに注意してください。

    「To enroll an endpoint, enter your endpoint Enrollment Token and click 'Submit Token'.Update the endpoint details if necessary and click 'Enroll' to complete the enrollment.Download the endpoint package when prompted.」

  5. 「Enroll Endpoint & Download Software」をクリックします。

    次のステップは、エンドポイントがKey Vaultにどのように追加(または登録)されたかによって異なります。

    • エンドポイントがKey Vaultシステム管理者によって登録された場合は、次のようにします。

      • 「Enrollment Token」にエンドポイントのエンロール・トークンを入力し、「Submit Token」をクリックします。

        トークンが有効である場合は、そのことを示すメッセージが「Submit Token」 の右側に表示されます。

        「Endpoint Type」「Endpoint Platform」「Email」および「Description」の各フィールドには、エンドポイントの登録中に入力された値が自動的に移入されます。

        トークンが無効である場合は、そのことを示すメッセージが表示されます。トークンを確認し、再試行します。

    • エンドポイントが自己エンロールによって登録された場合は、次のようにします。

      • 自己エンロールされたエンドポイントにはエンロール・トークンが存在しないため、トークン検証ステップはスキップします。

      • 次のフィールドに値を入力します。

        1. Endpoint Type: 「Oracle Database」、「Oracle (non-database)」または「Other」のいずれかです。TDEを使用している場合は、「Oracle Database」を入力する必要があります。

        2. Endpoint Platform: 「Linux」「Solaris SPARC」「Solaris x64」「AIX」「HPUX」「Windows」のいずれかです。

        3. Email: エンドポイント管理者の通知用電子メール・アドレスです。これはオプションですが、入力することをお薦めします。

        4. Description: これはオプションですが、レポートでの識別が容易になるように入力することをお薦めします。エンドポイントを識別するためのわかりやすい説明です。

  6. 右上にある「Enroll」をクリックします。

    ディレクトリ・ウィンドウが表示され、エンドポイント・ソフトウェア・ファイルokvclient.jarを保存するよう求められます。

    ファイルの保存先フォルダにナビゲートします。

  7. 他者が読み取ったりコピーすることができないように、適切な権限が設定されたセキュアなディレクトリにファイルを保存します。

  8. ファイルがダウンロードされていることを確認します。なんらかの理由でダウンロードに失敗した場合、エンドポイントのキー管理者からエンロール・トークンを取得し、ステップ6および7を繰り返する必要があります。ファイルをエンドポイント・システムにダウンロードしなかった場合は、バンド外の方式を使用してファイルをそのシステムにコピーし、そこでインストールする必要があることに注意してください。

  9. これで、「タスク2: エンドポイントでのOracle Key Vaultソフトウェアのインストール」の説明に従って、エンドポイントにokvclient.jarファイルをインストールする準備が整いました。

8.3.2 タスク2: エンドポイントでのOracle Key Vaultソフトウェアのインストール

エンドポイントにソフトウェアokvclient.jarをインストールする手順:

  1. エンドポイントにソフトウェアをインストールするために必要な管理権限があることを確認します。
  2. JDK 1.5以降がインストールされており、PATH環境変数にjava実行可能ファイル(JAVA_HOME/binディレクトリ内)が含まれていることを確認します。

    Oracle Key Vaultは、JDKバージョン1.5、1.6、7および8をサポートしています。

  3. シェル・ユーティリティのORAENVまたはsource ORAENVコマンドを実行して、Oracle Databaseサーバーに正しい環境変数を設定します。
  4. 環境変数ORACLE_BASEおよびORACLE_HOMEが正しく設定されていることを確認します。

    ORAENVを使用してこれらの変数を設定した場合は、ORACLE_BASEがOracle Databaseのルート・ディレクトリを指し、ORACLE_HOMEORACLE_BASEの下位のサブディレクトリ(Oracle Databaseのインストール先)を指していることを確認する必要があります。

  5. okvclient.jarファイルを保存したディレクトリに移動します。
  6. javaコマンドを実行して、okvclient.jarファイルをインストールします。
    java -jar okvclient.jar -d /home/oracle/okvutil -v

    注意:

    新規インストールの場合は、-d引数で指定されたディレクトリの場所にsslという名前のサブディレクトリが含まれていないことを確認してください。既存のデプロイメントをアップグレードする場合は、元のsslサブディレクトリが使用されます。

    エンドポイントを再エンロールしている場合は、コマンドに-o引数を追加します。

    java -jar okvclient.jar -d /home/oracle/okvutil -v -o

    前述のコマンドの詳細は次のとおりです。

    • -d引数では、エンドポイント・ソフトウェアと構成ファイルのディレクトリの場所(この例では/home/oracle/okvutil)を指定します。

      環境変数$OKV_HOMEは、エンドポイント・ソフトウェアのインストール先ディレクトリ(この例では/home/oracle/okvutil)を表します。

    • -v引数を指定すると、サーバー・エンドポイントの$OKV_HOME/log/okvutil.deploy.logファイルにインストール・ログが書き込まれます。

    • -o引数を指定すると、okvclient.oraへのシンボリック・リンクの参照が上書きされます。

      注意:

      -oは、okvclient.jarが元のディレクトリ以外のディレクトリにデプロイされている場合に、okvclient.oraへのシンボリック・リンク参照を上書きできるようにするオプションの引数です。この引数は、エンドポイントを再エンロールする場合にのみ使用されます。
  7. インストール・プロセスによりパスワードの入力を求められます。次に示すように、パスワードを入力してパスワード保護ウォレットを作成することも、パスワードを使用しない自動ログイン・ウォレットを作成することもできます。
    • パスワード保護ウォレットは、エンドポイントがOracle Key Vaultにアクセスするために使用する資格証明を格納したOracle Walletファイルです。エンドポイントがOracle Key Vaultに接続するときには、このパスワードが常に必要です。

      パスワード保護ウォレットを作成するには、8-30文字のパスワードを入力します。その後、[Enter]を押します。

    • 自動ログイン・ウォレットは、単に[Enter]をクリックすることで作成されます。

      エンドポイントからOracle Key Vaultへの接続時にパスワードは必要ありません。自動ログイン・ウォレットを使用すると、人による操作なしでエンドポイントをプロビジョニングできるようになります。

    Enter new Key Vault endpoint password (<enter> for auto-login): Key_Vault_endpoint_password
    Confirm new endpoint password: Key_Vault_endpoint_password
    

    インストールが進行し、完了すると、次のメッセージが表示されます。

    The Oracle Key Vault endpoint software installed successfully.
    

    エンドポイント・ソフトウェアが正常にインストールされると、次のディレクトリが作成されます。

    • bin: okvutilプログラム、root.shroot.batというスクリプト、okveps.x64okveps.x86というバイナリ・ファイルが含まれています。

    • conf: 構成ファイルokvclient.oraが含まれています。

    • jlib: Javaライブラリ・ファイルが含まれています。

    • lib: ファイルliborapkcs.soが含まれています。

    • log: ログ・ファイルが含まれています。

    • ssl: TLS関連のファイルおよびウォレット・ファイルが含まれています。ウォレット・ファイルには、Oracle Key Vaultへの接続に使用されるエンドポイント資格証明が含まれています。

      ewallet.p12ファイルはパスワード保護ウォレットを表します。cwallet.ssoファイルは自動ログイン・ウォレットを表します。

  8. UNIXプラットフォームのliborapkcs.soファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれています。Windowsプラットフォームのliborapkcs.dllファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれています。

    TDE直接接続を使用する予定の場合、Oracle Linux x86-64、Solaris, AIXおよびHP-UX (IA)のインストールではroot.shを実行します。liborapkcs.soファイルは、/opt/oracle/extapi/64/hsm/oracle/1.0.0ディレクトリにコピーされます。

    Windowsインストールでは、root.batを実行します。liborapkcs.dllファイルは、C:\oracle\extapi\64\hsm\oracle\1.0.0にコピーされます

    ルート・ユーザーとしてログインし、root.shスクリプトを実行します。Windowsインストールでは、root.batを実行します。

    $ sudo bin/root.sh
    
    bin\root.bat

    または

    $ su -
    # bin/root.sh
    

    Windowsプラットフォームでroot.batを実行すると、使用中のRDBMSのバージョンを要求されます。このステップが完了した後、ルート・ユーザーから切り替えます。

  9. okvutil listコマンドを実行して、エンドポイント・ソフトウェアが正しくインストールされ、エンドポイントからOracle Key Vaultサーバーに接続できることを確認します。

    エンドポイントからKey Vaultに接続できる場合は、「No objects found」というメッセージが表示されます。

    $ ./okvutil list
    No objects found
    

    「Server connect failed」というメッセージが表示された場合は、インストールで問題が発生していないかどうかトラブルシューティングする必要があります。最初に、環境変数が正しく設定されていることを確認します。

  10. エンドポイント・ソフトウェアのヘルプを表示するには、次のように-hオプションを指定します。
    java -jar okvclient.jar -h
    
    

    次の出力が表示されます。

    Oracle Key Vault Release 12.2.0.6.0 (2017-12-15 15:36:49.839 PDT)
    Production on Fri Dec 15 19:55:31 PDT 2017
    Copyright (c) 1996, 2017 Oracle. All Rights Reserved.
    Usage: java -jar okvclient.jar [-h | -help] [[-v | -verbose] [-d <destination directory>] [-o]]
    
  11. インストールが終了したら、エンドポイント・ソフトウェア・ファイルokvclient.jarをセキュアに削除することをお薦めします。

関連項目:

8.4 エンドポイントのプロビジョニングについての特別な注意

okvclient.oraファイルのデフォルトの場所は、$OKV_HOME/confディレクトリです。インストールが完了したら、JAVA_HOMEパスがokvclient.ora構成ファイルに追加され、今後okvutilで使用できるようになります。

エンドポイントをプロビジョニングする場合、インストール・プロセスによってJavaホームの場所およびokvclient.oraファイルの場所が決定される方法を把握する必要があります。

Oracle Databaseエンドポイントでsrvctlユーティリティを使用し、かつsqlnet.oraで環境変数を設定する場合は、オペレーティング・システムとsrvctl環境の両方で設定する必要があります。

JAVA_HOMEの場所の決定方法

エンドポイント・ソフトウェアのインストール・プロセスでは、次の2つのルールに基づいてJavaホームの場所が決定されます。

  1. ユーザー定義のJAVA_HOME環境変数が存在する場合、インストール・プロセスではこの値が使用されます。

  2. JAVA_HOMEが設定されていない場合、インストール・プロセスでは、Java仮想マシン(JVM)のjava.homeシステム・プロパティ内が検索されます。

決定されたJAVA_HOMEパスは、すべてのokvutilコマンドで使用される構成ファイルokvclient.oraに追加されます。

次のいずれかの方法を使用することにより、okvutilに別のJAVA_HOME設定を強制的に使用させることができます。

  • okvutilを実行するシェルにJAVA_HOME環境変数を設定します。

    setenv JAVA_HOME path_to_Java_home
    

    または

    export JAVA_HOME = path_to_Java_home
    
  • okvclient.ora構成ファイルで直接JAVA_HOMEプロパティを設定します。

    JAVA_HOME=path_to_Java_home

OKVCLIENT.ORAファイルの場所と環境変数

$OKV_HOMEディレクトリは、インストール中に-dオプションで指定する、エンドポイント・ソフトウェアのインストール先ディレクトリです。okvclient.oraファイルは、$OKV_HOME/confディレクトリ内の構成ファイルです。

$OKV_HOME/confに加えて、okvclient.oraへのソフト・リンクが既存のデータベースに対して設定されます。ソフト・リンクの場所は次のことによって異なります。

  • $ORACLE_BASE変数が設定されている場合、インストール・プロセスは、($OKV_HOME/confの) okvclient.ora構成ファイルへのシンボリック・リンクを$ORACLE_BASE/okv/$ORACLE_SIDの場所に作成します。

    okvclient.oraファイルが$ORACLE_BASE/okv/$ORACLE_SIDの場所にすでに存在する場合、インストール・プロセスは、okvclient.oraへの既存のソフト・リンクを有効なソフト・リンクとして承認します。

  • $ORACLE_BASE/okv/$ORACLE_SIDディレクトリが設定されていない場合、インストール・プロセスは作成しようと試みます。

  • $ORACLE_HOME変数は設定されているが、$ORACLE_BASE変数は構成されていない場合、インストール・プロセスは、$ORACLE_HOME/okv/$ORACLE_SIDの場所のシンボリック・リンクを作成して、$OKV_HOME/confディレクトリにある構成ファイルを参照します。

非データベース・ユーティリティとKey Vaultの通信に必要なOKV_HOMEの設定

非データベース・ユーティリティを使用する場合は、エンドポイント・ソフトウェアのインストール先ディレクトリを指すように環境変数OKV_HOMEを設定する必要があります(インストール・プロセスでこの変数が自動的に設定されることはありません)。これらのユーティリティがKey Vaultと通信できるようにするには、OKV_HOMEを設定する必要があります。これらのユーティリティとしては、Oracle Key Vaultにアクセスしてキーを取得するOracle Recovery Manager (RMAN)などがあります。

RMANなどのユーティリティを実行する予定のすべての環境で、OKV_HOMEを設定する必要があります。たとえば、新しいxtermを起動する場合、RMANを実行する前にこの環境でOKV_HOMEを設定する必要があります。

SQLNET.ORAの環境変数

Oracle Databaseエンドポイントでsrvctlユーティリティを使用する場合は、次の点について考慮する必要があります。

  • srvctlユーティリティを使用し、かつsqlnet.ora構成ファイルに環境変数を含める場合は、それらの環境変数をオペレーティング・システムとsrvctl環境の両方で設定する必要があります。

  • オペレーティング・システム(OS)とサーバー制御(srvctl)で、$ORACLE_SID$ORACLE_HOMEおよび$ORACLE_BASEを同じ値に設定する必要があります。

エンドポイントがOracle Key Vaultクライアント・ソフトウェアを使用しない場合

サード・パーティのKMIPエンドポイントではKey Vaultソフトウェアokvutilおよびliborapkcs.soは使用されません。この場合、次の手順に従って、TLS認証を手動で設定する必要があります。

  1. 次のようにして、okvclient.jarファイルからsslディレクトリを抽出します。

    jar xvf okvclient.jar ssl
    
  2. 次のファイルを使用してTLS認証をセットアップします。

    • ssl/key.pem: エンドポイント秘密キー

    • ssl/cert.pem: エンドポイント証明書

    • ssl/cert_req.pem: cert.pemに対応する証明書リクエスト

    • ssl/CA.pem: Oracle Key Vaultサーバー証明書を検証するためのトラスト・アンカー

8.5 Transparent Data Encryptionエンドポイント管理

TDEは、Oracle Database 10gリリース2以降でTDEマスター暗号化キーのOracle Walletへの、Oracle Database 11gリリース1以降でHardware Security Module (HSM)への格納をサポートしています。

Oracle Key Vaultは、TDEが外部キーストアと通信するために使用するのと同じPKCS#11インタフェースを使用してTDE鍵を管理できます。このため、TDEマスター・キーを格納および取得するためにKey Vaultを使用するためにデータベースをパッチする必要はありません。Oracle Key Vaultでは、Oracle Key Vaultと通信するためのPKCS#11ライブラリを提供しています。

Oracle Key Vaultでは、TDEキーの管理が改善されています。たとえば、ウォレット内のキーは、長期保持、および同じエンドポイント・グループ内の他のデータベース・エンドポイントと共有するために、直接Key Vaultにアップロードできます。このため、移行の後、無期限にウォレットに格納する必要はありません。このコンテキストにおける移行とは、ウォレット・バックアップ用にKey Vaultを使用するようデータベースが構成され、管理者にオンライン・マスター・キー(旧称、TDE直接接続)に移行する意図があることを意味します。

引き続きウォレットを使用したり、WITH BACKUP SQL句を含むすべてのTDEキー管理SQL操作の一部として、ウォレットのコピーをKey Vaultにアップロードすることができます。(ただし、WITH BACKUP句は、ADMINISTER KEY MANAGEMENT文で必須である場合でも、Oracle Key Vaultオンライン・キー・デプロイメントではTDEによって無視されることに注意してください。)

例8-1に、暗号化キーの設定の例を示します。

Oracle DatabaseとTDEはOracle Key Vaultのエンドポイントです。エンドポイントをエンロールおよびインストールすると、PKCS#11ライブラリは確実に正しい場所にインストールされ、TDEが取得して使用できます。PKCS#11ライブラリがインストールされると、他のすべての構成と操作が有効になります。

例8-1 暗号化キーの設定

ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY secret_passphrase -- For Oracle Database 11g Release 2

ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY IDENTIFIED BY secret_passphrase WITH BACKUP; -- For Oracle Database 12c

8.6 エンドポイントokvclient.ora構成ファイル

エンドポイントに関連付けられている構成パラメータはokvclient.oraと呼ばれる構成ファイルに格納され、このファイルがOracle Key Vaultエンドポイント・ライブラリおよびエンドポイント・ユーティリティにより使用されます。okvclient.oraファイルは、等号(=)で区切られた、キーと値の組から構成されています。次のパラメータはサンプル・データで、エンドポイント構成ファイルに設定できます。

  • SERVER=192.0.2.254:5696

    このパラメータでは、Key VaultサーバーのIPアドレスとポート番号をコロン区切りで指定します。ポート番号を指定しない場合、デフォルトの標準KMIPポート5696が使用されます。

  • STANDBY_SERVER=192.0.2.114:5696

    これはスタンバイ・サーバーです。高可用性が構成されている場合、このパラメータはスタンバイのIPアドレスを表示します。それ以外の場合は、127.0.0.1のようにIPアドレスを表示します。

  • SSL_WALLET_LOC=/home/oracle/okvutil/ssl/

    このパラメータは、エンドポイントのTLS証明書があるウォレットの場所を指定します。

  • SERVER_POLL_TIMEOUT=300

    SERVER_POLL_TIMEOUTパラメータを使用すると、クライアントによるOracle Key Vaultサーバーへの接続の試行で、リスト内の次のサーバーを試行するまでのタイムアウトを指定できます。デフォルト値は300 (ミリ秒)です。

    Oracle Key Vault 12.2.0.6.0では、クライアントは最初にアクセス不可能なサーバーを迅速に検出するように、Oracle Key Vaultへの非ブロッキングのTCP接続を確立します。Oracle Key Vault 12.2.0.6.0では、okvclient.oraファイルにSERVER_POLL_TIMEOUTパラメータが導入され、このタイムアウト後に、Oracle Key Vaultは次のサーバーへの接続を試行します。デフォルト値は300 (ミリ秒)です。

    最初の試行後、クライアントは、サーバーへの第2および最終試行を実行しますが、今度はSERVER_POLL_TIMEOUTパラメータで指定された期間の2倍まで待機します。これは、考えられるネットワークの輻輳や遅延を克服するするために行われます。

8.7 Oracle Key Vault okvutilエンドポイント・ユーティリティ・リファレンス

エンドポイント・ソフトウェアのインストール後、エンドポイント管理者は、コマンドライン・ユーティリティokvutilを使用してKey Vaultと通信し、セキュリティ・オブジェクトをアップロードおよびダウンロードできます。

8.7.1 okvutilユーティリティについて

コマンドライン・ユーティリティokvutilを使用すると、Key Vaultとの間でセキュリティ・オブジェクトを検索、アップロードおよびダウンロードできます。また、okvutilを使用して、ウォレット・パスワードを変更したり、システム診断を収集することもできます。

okvutilユーティリティは、エンドポイントにプロビジョニングされているTLS証明書を使用してOracle Key Vaultへの認証を行います。

8.7.2 okvutilコマンド構文

okvutilユーティリティの構文では、ショート形式とロング形式のオプションを使用してコマンドを指定できます。

構文

okvutil command arguments [-v verbosity_level]

パラメータ

表8-2 okvutilコマンド構文

パラメータ 説明

command

uploadlistdownloadchangepwddiagnosticsのいずれかのコマンドを示します。

arguments

付加されるコマンドに渡す引数を示します。

-v、--verbose

冗長性レベルを示します。指定可能な値は0、1および2です。冗長性レベル2を指定した場合、コマンドの実行時に標準で出力される詳細のレベルが最大になります。冗長性の値の意味は次のとおりです。

  • -v 0は、冗長モードを無効にします。

  • -v 1は、デバッグ・メッセージを含めます。

  • -v 2は、より詳細なデバッグ・メッセージを含めます。

-h--help

オプションを使用して、okvutilコマンドに関するヘルプを取得します。次に例を示します。

okvutil command --help

オプション指定のショートおよびロング形式

ショート形式とロング形式のいずれかでオプションを指定できます。

注意:

エンドポイント・プラットフォームAIXおよびHP-UX (IA)では現在、ショート形式のオプションのみがサポートされています。

  • ショート形式: 1つのハイフンと1字の英字オプション名のみを使用します。次に例を示します。

    -l /home/username
    -t wallet
    
  • ロング形式: 2つのハイフンと完全なオプション名を使用します。次に例を示します。

    --location /home/username 
    --type wallet
    

このガイドの例では、ショート形式を使用します。

okvutilのパスワード入力要求のしくみ

okvutilのコマンドでは、次の状況においてパスワードの入力を求められます。

  • エンドポイントのインストール時に、Oracle Key Vaultにアクセスするためのパスワード保護ウォレットを作成した場合。

  • -lオプションを使用してOracle WalletファイルまたはJavaキーストア・ファイルを指定した場合。この場合、okvutilを使用してOracle Key Vaultにアップロードしようとしているウォレットまたはキーストアのパスワードの入力を求められます。

8.7.3 okvutil uploadコマンド

okvutil uploadコマンドを使用すると、Oracle Wallet (自動ログイン・ウォレットを含む)、Javaキーストア、資格証明ファイル、ユーザー定義の鍵、その他のタイプの鍵ストレージ・ファイルなどのセキュリティ・オブジェクトをKey Vaultにアップロードできます。

Oracle Databaseの現在サポートされているすべてのリリースおよびOracle Walletを使用する他のOracleソフトウェア製品から、Oracle Walletをアップロードできます。okvutil uploadコマンドは、ウォレットまたはJavaキーストアを開き、検出された各項目を個別のセキュリティ・オブジェクトとしてOracle Key Vaultにアップロードします。資格証明ファイルをアップロードする場合は、不透明オブジェクトと呼ばれるファイル全体としてアップロードされます。

構文

ショート形式:

okvutil upload [-o] -l location -t type [-g group] [-d description] [-v verbosity_level]

ロング形式:

okvutil upload [--overwrite] --location location --type type [--group group] [--description description] [--verbose verbosity_level]

パラメータ

表8-3 okvutil uploadコマンドのオプション

パラメータ 説明

-o--overwrite

Oracle Key Vault仮想ウォレット内の既存のデータとの競合がある場合は、エンドポイントにより送信された新しいデータで既存のデータが上書きされます。競合がない場合、上書き操作は不要であり、実行されません。このオプションを指定する場合は注意してください。

-l--location

Oracle Walletファイル、Javaキーストア、またはユーザー定義および16進数でエンコードされたTDEマスター暗号化識別子と鍵を含むテキスト・ファイルの場所を指定します。Oracle Walletの場合、場所は.p12または.ssoファイルがあるディレクトリです。資格証明ファイルを不透明オブジェクトとしてアップロードする場合、このファイルが120キロバイト(KB)以下であることを確認してください。

-t, --type

Oracle Key Vaultにアップロードされるオブジェクトのデータ・タイプを指定します。次のリストにある値である必要があります。

  • Oracle Walletの場合は、WALLET

  • Javaキーストアの場合は、JKS

  • Java Cryptography Extensionキーストア(JCEKS)の場合は、JCEKS

  • SSHキー・ファイルの場合、SSH (不透明オブジェクトとしてアップロード)。最大サイズは120 KBです。

  • Kerberosキータブの場合、KERBEROS (不透明オブジェクトとしてアップロード)。最大サイズは120 KBです。

  • ユーザー定義のキーの場合は、TDE_KEY_BYTES (TDEマスター暗号化キーとして使用)。

  • 不透明オブジェクト(機密情報を格納するその他のファイル)の場合、OTHER。最大サイズは120 KBです。

WALLETJKSおよびJCEKSの各タイプには、複数のオブジェクトが含まれます。Oracle Key Vaultはこれらのオブジェクトの各々を個別にアップロードします。SSHKERBEROSTDE_KEY_BYTESおよびOTHERの各タイプは不透明オブジェクトで、単一ファイルとしてアップロードされます。

この設定では、大文字と小文字は区別されません。

-g--group

証明書ストアまたはシークレット・ストア(あるいはその両方)が追加されるKey Vault仮想ウォレットの名前です。この名前では、大文字と小文字が区別されます。仮想ウォレットがすでに存在し、ユーザーはそれにアクセスすることが認可されている必要があります。この設定を省略する場合、デフォルトのグループがあれば、それが使用されます。デフォルトのグループがないのに-g--groupオプションを省略した場合、アップロードされるデータはグループに配置されません。

-d--description

最大2000バイトの説明を追加できます。-t type--typeパラメータがSSHKERBEROSTDE_KEY_BYTESまたはOTHERに設定されている場合にのみ有効です。オプションです。

この説明は二重引用符で囲みます。この説明にスペースがある場合は、引用符にエスケープ文字を含めます。例: -d \"text with spaces\"

-v--verbose

冗長性レベルを示します。0 (なし)、1 (デバッグ)、2 (詳細デバッグ)のいずれかです。

-v2オプションを使用したJavaキーストアのアップロード

okvutil uploadコマンドによって、Javaキーストアをアップロードできます。

次の例では、okvutil uploadコマンドを使用してJavaキーストアをアップロードする方法を示します。-v 2オプションを使用すると、アップロードされる項目をコマンドがリストできます。

okvutilコマンドは、Oracle Key Vaultに接続するため、およびOracle Walletファイルを開くために必要な場合、パスワードを求めてきます。

$ okvutil upload -l ./fin_jceks.jck -t JCEKS -g fin_wal -v 2

okvutil version 12.2.0.0.0
Configuration file: /tmp/fin_okv/conf/okvclient.ora
Server: 192.0.2.254:5696
Standby Server: 127.0.0.1:5696
Uploading from /tmp/fin_okv/keystores/jks/keystore.jks
Enter source Java keystore password:
Uploading private key
Uploading trust point
Uploading trust point
Uploading private key
Uploading private key
 
Uploaded 3 private keys
Uploaded 0 secret keys
Uploaded 2 trust points
 
Upload succeeded

Javaキーストアをアップロードする方法の詳細は、「JKSまたはJCEKSキーストアのアップロード」を参照してください。

パスワード保護されたウォレット・ファイルのアップロード

okvutil uploadコマンドを使用すると、パスワード保護ウォレット・ファイルをアップロードできます。

次の例では、エンドポイントがOracle Key Vaultに接続するためのパスワードがない場合に、パスワード保護されたウォレット・ファイルをアップロードする方法を示します。

$ okvutil upload -l . -t WALLET -g FinanceWallet 
Enter source wallet password: password

Upload succeeded

ウォレット・ファイルをアップロードする方法の詳細は、「Oracle Walletのアップロード」を参照してください。

TDEマスター暗号化キーとして使用するためのユーザー定義のキーのアップロード

okvutil uploadコマンドを使用すると、TDEマスター暗号化キーとして使用するユーザー定義のキーをアップロードできます。

次の例では、ユーザー定義のキーをアップロードする方法を示します。

$ okvutil upload -l /tmp/tde_key_bytes.txt -t TDE_KEY_BYTES -g "FIN_DATABASE_VIRTUAL_WALLET" -d \"This key was created for Financial database use on 1st Jan 2018\"

ユーザー定義のキーをアップロードする方法の詳細は、「ユーザー定義のキーのアップロード」を参照してください。

関連項目:

8.7.4 okvutil listコマンド

okvutil listコマンドを使用すると、アップロード済で使用可能なセキュリティ・オブジェクトを取得できます。オプションなしで、または-g groupオプションとともに使用した場合、Oracle Key Vaultからリストされる各項目の、一意のID、オブジェクト・タイプおよび記述子が表示されます。

構文

ショート形式:

okvutil list [-l location -t type | -g group] [-v verbosity_level]

ロング形式:

okvutil list [--location location --type type | --group group] [--verbose verbosity_level]

パラメータ

表8-4 okvutil listコマンドのオプション

パラメータ 説明

-l--location

Oracle WalletファイルまたはJavaキーストアの場所を指定します。Oracle Walletの場合、場所は.p12または.ssoファイルがあるディレクトリです。他のすべてのタイプの場合、場所はファイルそのもののパス名です。-l--locationオプションを省略した場合、デフォルトの場所はOracle Key Vaultです。この場合、okvutil listコマンドは、サーバーにあるすべての使用できるキーをリストします。この設定を使用する場合、次に説明する-t--type設定も含める必要があります。

-t--type

次のいずれかのタイプを指定します。

  • Oracle Walletの場合は、WALLET

  • Javaキーストアの場合は、JKS

  • Java Cryptography Extensionキーストア(JCEKS)の場合は、JCEKS

  • Oracle Key Vaultの永続キャッシュの場合は、OKV_PERSISTENT_CACHE

WALLETJKSおよびJCEKSタイプは、Oracle Key Vaultによって個別にリストされるセキュリティ・オブジェクトのコンテナです。SSHKERBEROSおよびOTHERは、単一ファイルとしてリストされる不透明オブジェクトです。

この設定では、大文字と小文字は区別されません。

-g--group

単一の仮想ウォレットの内容をリストします。このオプションが適用されるのは、-lおよび--locationオプションを省略して、Oracle Key Vaultに格納されているオブジェクトをリストする場合のみです。

-v--verbose:

冗長性レベルを示します。0 (なし)、1 (デバッグ)、2 (詳細デバッグ)のいずれかです。

例: 現在のエンドポイントのセキュリティ・オブジェクトのリスト

okvutil listコマンドを使用すると、現在のエンドポイントに関連付けられているセキュリティ・オブジェクトを表示できます。

例8-2では、現在のエンドポイントのすべての認可済セキュリティ・オブジェクトを取得しています。最後の3行で、DB Connect Passwordエントリは、インスタンスにログインするために使用されたパスワード(たとえば、データベース・インスタンスinst01のユーザーpsmithのパスワード)を指します。

例: Oracle Walletファイルの内容のリスト

okvutil listコマンドを使用すると、Oracle Walletファイルの内容を表示できます。

例8-3は、Oracle Walletファイルの内容を示しています。

例8-2 現在のエンドポイントのセキュリティ・オブジェクトのリスト

$ okvutil list
Enter Oracle Key Vault endpoint password: password

Unique ID                               Type           Identifier
F63E3F4A-C8FB-5560-E043-7A6BF00AA4A6    Symmetric Key  TDE Master Key: 062C4F5BAC53E84F2DBF95B96CE577B525
F63E3F4A-C8FC-5560-E043-7A6BF00AA4A6    Symmetric Key   TDE Master Key: 069A5253CF9A384F61BFDD9CC07D8A6B07
F63E3F4A-C8FD-5560-E043-7A6BF00AA4A6    Opaque Object   -
F63E3F4A-C8FE-5560-E043-7A6BF00AA4A6    Symmetric Key   TDE Master Key: 06A66967E70DB24FE6BFD75447F518525E
F63E3F4A-C8FF-5560-E043-7A6BF00AA4A6    Symmetric Key   TDE Master Key: 0636D18F2E3FF64F7ABF80900843F37456
F63E3F4A-C900-5560-E043-7A6BF00AA4A6    Opaque Object   -
F63E3F4A-C901-5560-E043-7A6BF00AA4A6    Symmetric Key   TDE Master Key: 0611E6ABD666954F2FBF8359DE172BA787
F63E3F4A-C902-5560-E043-7A6BF00AA4A6    Symmetric Key   TDE Master Key: 0657F27D64D1C04FAEBFE00B5105B3CBAD
F63E3F4A-C91B-5560-E043-7A6BF00AA4A6    Opaque Object   Certificate Request
F63E3F4A-C91C-5560-E043-7A6BF00AA4A6    Certificate     X509 DN:OU=Class 1 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US 
F63E3F4A-C903-5560-E043-7A6BF00AA4A6    Secret Data     DB Connect Password: psmith@inst01
F63E3F4A-C904-5560-E043-7A6BF00AA4A6    Secret Data     DB Connect Password: jdaley@inst02
F63E3F4A-C905-5560-E043-7A6BF00AA4A6    Secret Data     DB Connect Password: tjones@inst03

例8-3 Oracle Walletファイルの内容のリスト

$ okvutil list -t WALLET -l /home/oracle/wallets
Enter target wallet password: Oracle_wallet_password

Dumping secret store of wallet:
ORACLE.SECURITY.DB.ENCRYPTION.MASTERKEY
ORACLE.SECURITY.DB.ENCRYPTION.Aa4JEUaCeE8qv0Dsmmwe5S4AAAAAAAAAAAAAAAAAAAAAAAAAAAAA
ORACLE.SECURITY.ID.ENCRYPTION.
ORACLE.SECURITY.KB.ENCRYPTION.
ORACLE.SECURITY.TS.ENCRYPTION.BZuIPES7+k/tv0ZwOlDeIp4CAwAAAAAAAAAAAAAAAAAAAAAAAAAA
Dumping cert store of wallet:
 
There are 1 Certificate Requests in the list
 
Certificate request:
        DN: CN=oracle
        Type: NZDST_CERT_REQ
        PUB key size: 2048
 
There are 0 Certificates in the list
 
There are 0 TPs in the list

8.7.5 okvutil downloadコマンド

okvutil downloadコマンドを使用すると、Oracle Wallet (自動ログイン・ウォレットを含む)、Javaキーストア、資格証明ファイル、その他のタイプの鍵ストレージ・ファイルなどのセキュリティ・オブジェクトをOracle Key Vaultからエンドポイントにダウンロードできます。

仮想ウォレットの内容はキーストア(複数のセキュリティ・オブジェクトを保持できるOracle WalletやJCEKSキーストアなどのコンテナ)にのみダウンロードでき、資格証明ファイルにはダウンロードできません。

一部のキーストアでは、特定のタイプのセキュリティ・オブジェクトの格納のみをサポートしていることに注意してください。JavaキーストアからアップロードしたDSA鍵をOracle Walletなどの別のタイプのキーストアにダウンロードしようとすると、エラーが発生します。

構文

ショート形式:

okvutil download -l location -t type [-g group | -i object_id] [-o] [-v verbosity_level]

ロング形式:

okvutil download --location location --type type [--group group | --item object_id] [--overwrite] [--verbose verbosity_level]

パラメータ

表8-5 okvutil downloadコマンドのオプション

パラメータ 説明

-l--location

ダウンロード対象の項目を格納するファイルの場所を指定します。この場所でウォレットを作成する権限を持っていることを確認します。ダウンロードするファイルが120 KBを超過していないことを確認します。この設定は必須です。

-t--type

Oracle Key Vaultでダウンロードされるオブジェクトのデータ・タイプを指定します。次のリストにある値である必要があります。

  • Oracle Walletの場合は、WALLET

  • Javaキーストアの場合は、JKS

  • Java Cryptography Extensionキーストア(JCEKS)の場合は、JCEKS

  • SSHキー・ファイルの場合、SSH(不透明オブジェクトとしてダウンロード)。

  • Kerberosキータブの場合、KERBEROS(不透明オブジェクトとしてダウンロード)。

  • 不透明オブジェクト(機密情報を格納するその他のファイル)の場合、OTHER

WALLETJKSおよびJCEKSの各タイプには、複数のオブジェクトが含まれます。Oracle Key Vaultはこれらのオブジェクトの各々を個別にダウンロードします。SSHKERBEROSおよびOTHERの各タイプは不透明オブジェクトで、単一ファイルとしてダウンロードされます。

この設定では、大文字と小文字は区別されません。この設定は必須です。

-g、--group

項目(WALLETJKSおよびJCEKSの各タイプ)のダウンロード元の仮想ウォレットの名前です。仮想ウォレットがすでに存在し、ユーザーはそれにアクセスすることが認可されている必要があります。okvutilユーティリティは、-gオプションで指定された仮想ウォレット全体をダウンロードし、それを新しいウォレットに格納します。指定された場所に既存のウォレットがあってはなりません。okvutilにより作成されます。okvutilは、新しいウォレットのパスワードの作成と入力を求めます。今後のために、そのパスワードを記録してください。グループ名では大文字と小文字が区別されるので注意してください。

タイプがWALLETJKSまたはJCEKSの場合、group設定は含めることも省略することもできます。タイプがSSHKERBEROSまたはOTHERの場合、object_idオプションを含める必要がありますが、group設定を含める必要はありません。

-i--item

ダウンロードするオブジェクト(機密情報など)の一意のIDを示します(たとえば、ウォレット内の最初のセキュアな外部パスワード・ストア(SEPS)エントリの場合は-i oracle.security.client.password1)。

-o--overwrite

-l (必須)で指定した既存のWALLETJKSまたはJCEKSファイルにデータをダウンロードします。ダウンロードするデータとコンテナにすでに存在するデータの間で競合が起こった場合、古いデータは新しいデータで上書きされます。-o--overwriteオプションは、他のタイプには適用されません(SSHKERBEROSおよびOTHER)。このオプションを指定する場合は注意してください。

現在のディレクトリにすでに存在するウォレットをダウンロードするときにoまたはoverwriteオプションを省略すると、元のウォレット・ファイルは、新しいウォレットがダウンロードされる前に、ewallet.p12.timestamp.bakまたはowallet.sso.timestamp.bakに名前を変更されます。ウォレットでないファイル(たとえばJavaキーストア・ファイル)の場合はエラーが表示され、ダウンロードを実行する前に、ファイルの名前を変更するか、新しい場所に移動する必要があります。

-v--verbose

冗長性レベルを示します。0 (なし)、1 (デバッグ)、2 (詳細デバッグ)のいずれかです。

例: Javaキーストアへの仮想ウォレットのダウンロード

okvutil downloadコマンドを使用すると、仮想ウォレットをJavaキーストアにダウンロードできます。これは、複数のアプリケーション・サーバー間で同じJavaキーストアを共有し、同じウォレットを使用する必要がある場合に役立ちます。

例8-4では、Key Vault仮想ウォレットFinanceWalletをJavaキーストアにダウンロードしています。

関連項目:

例8-4 Javaキーストアへの仮想ウォレットのダウンロード

$ okvutil download -l ./fin/okv/work -t JCEKS -g FinanceWallet

このコマンドを使用すると、次のようにJavaキーストアの新しいパスワードを入力するよう求められます。

Enter new Java keystore password:
Confirm new Java keystore password:
Download succeeded

8.7.6 okvutil changepwdコマンド

okvutil changepwdコマンドを使用すると、Oracle Key Vaultに接続するために使用される資格証明に関連付けられているパスワードを変更できます。パスワード保護ウォレットを使用してOracle Key Vaultエンドポイントのユーザー資格証明を格納している場合は、このコマンドを使用します。新しいパスワードは、JCKSまたはウォレット・ファイルのアップロード時のパスワードと同じにする必要はありません。

構文

ショート形式:

okvutil changepwd -l location -t type [-v verbosity_level]

ロング形式:

okvutil changepwd --location location --type type [--verbose verbosity_level]

パラメータ

表8-6 okvutil changepwdコマンドのオプション

パラメータ 説明

-l--location

パスワードを変更するウォレットのディレクトリの場所を指定します。

-t--type

データ・タイプを指定します。WALLETを入力します。

-v、--verbose

冗長性レベルを示します。0 (なし)、1 (デバッグ)、2 (詳細デバッグ)のいずれかです。

例: Oracle Key Vaultエンドポイント・パスワードの変更

okvutil changepwdを使用すると、エンドポイントのパスワードを変更できます。

例8-5は、エンドポイントのパスワードを変更する方法を示しています。新しいパスワードの作成を求められたら、8文字から30文字でパスワードを入力します。

例8-5 Oracle Key Vaultエンドポイント・パスワードの変更

$ okvutil changepwd -l ./home/oracle/okvutil/ssl -t WALLET
Enter wallet password: current_endpoint_password
Enter new wallet password: new_endpoint_password
Confirm new wallet password: new_endpoint_password

8.7.7 okvutil diagnosticsコマンド

okvutil diagnosticsコマンドを使用すると、デプロイメントの問題をトラブルシューティングする目的でエンドポイントの診断情報や環境情報を収集できます。情報はdiagnostics.zipファイルで収集され、このファイルをOracle Supportに提供して詳細な分析およびデバッグを依頼できます。

次のような情報が収集されます。

  • シェル環境変数: OKV_HOMEORACLE_HOMEORACLE_BASEORACLE_SIDPATHCLASSPATH

  • okvclient.ora内のKey Vaultサーバーの構成およびIPアドレス

  • OKV_HOMEとそのサブディレクトリのディレクトリ・リスト

  • エンドポイント上のKey Vaultログ・ファイル

  • Key Vaultエンドポイント・インストーラによって作成されたシンボリック・リンクのリスト

  • ネットワーク設定とping結果

ユーザー資格証明やセキュリティ・オブジェクトなどの機密ユーザー情報は収集されません。

構文

ショート形式:

okvutil diagnostics [-v verbosity_level]

ロング形式:

okvutil diagnostics  [--verbose verbosity_level]

パラメータ

表8-7 okvutil diagnosticsコマンドのオプション

パラメータ 説明

-v、--verbose

冗長性レベルを示します。0 (なし)、1 (デバッグ)、2 (詳細デバッグ)のいずれかです。

例: システム診断の収集

okvutil diagnosticsコマンドを使用すると、システム診断をzipファイルで収集できます。

例8-6は、コマンドの実行方法を示しています。「Diagnostics complete」というメッセージが表示されるまで待機すると、同じディレクトリ内にdiagnostics.zipファイルが置かれます。

例8-6 システム診断の収集

$ okvutil diagnostics 
Diagnostics collection complete.
ls
diagnostics.zip

8.8 エンロール済エンドポイント上のエンドポイント・ソフトウェアのアップグレード

Oracle Key Vaultを新規リリースにアップグレードした場合は、常に、エンロール済エンドポイント上のエンドポイント・ソフトウェアをアップグレードし、Oracle Key Vaultサーバーとエンドポイントの両方のソフトウェアが最新になるようにします。パフォーマンスを最適化するために、このことをお薦めします。

Oracle Key Vaultサーバーは、主なメジャー・リリースのエンドポイント・ソフトウェアと連携できますが、それより古いエンドポイント・ソフトウェアとは正しく連携できない場合があります。

エンロール済エンドポイント上のソフトウェアをアップグレードするには、ソフトウェアokvclient.jarをエンドポイントにダウンロードしてインストールすることのみが必要です。エンドポイントを再エンロールする必要はありません。

エンロール済エンドポイント上のエンドポイント・ソフトウェアをアップグレードする手順:

  1. エンドポイント管理者としてエンドポイント・サーバーにログインします。
  2. Oracle Key Vault管理コンソールに接続します。

    次に例を示します。

    https://192.0.2.254

  3. Oracle Key Vault管理コンソールへのログイン・ページが表示されます。ログインしないでください

    図8-3 Key Vault管理コンソールのログイン画面


    図8-3の説明が続きます。
    「図8-3 Key Vault管理コンソールのログイン画面」の説明
  4. 「Endpoint Enrollment and Software Download」をクリックします。

    「Enroll Endpoint & Download Software」「Download Endpoint Software Only」の2つのタブで構成される「Enroll Endpoint & Download Software」ページが表示されます。

  5. 「Download Endpoint Software Only」をクリックします。

    「Download Endpoint Software Only」ページが表示されます。

    図8-4は切り捨てられているため、メッセージの一部が表示されていません。メッセージ全体は次のようになります。

    To download only the endpoint software, select platform and click 'Download'.This applies if you've already enrolled and would like to download endpoint software only in case of an upgrade.

    図8-4 Download Endpoint Software Only

    図8-4の説明が続きます。
    「図8-4 Download Endpoint Software Only」の説明
  6. ドロップダウン・リストから「Platform」を選択し、「Download」をクリックします。

    ディレクトリ・ウィンドウが表示され、エンドポイント・ソフトウェア・ファイルokvclient.jarを保存するよう求められます。ファイルの保存先フォルダにナビゲートします。

  7. ファイルを保存します。
  8. ファイルがダウンロードされていることを確認します。
  9. これで、「タスク2: エンドポイントでのOracle Key Vaultソフトウェアのインストール」に進むことができます。