プライマリ・コンテンツに移動
Oracle® Key Vault管理者ガイド
リリース12.2 BP11
E76998-09
目次へ移動
目次
索引へ移動
索引

前
次

3 Oracle Key Vaultのインストールと構成

Oracle Key Vaultは、ISOイメージとして提供されているソフトウェア・アプライアンスです。Oracle Key Vaultは、専用の物理サーバーにインストールする必要があります。

ソフトウェア・アプライアンスは、事前構成済のオペレーティング・システム、Oracle DatabaseおよびOracle Key Vaultアプリケーションから構成されています。

Oracle Key Vaultアプライアンスは、固有のシステム要件を満たし、一連のインストール後タスクを完了することでインストールできます。

3.1 Oracle Key Vaultのインストール要件

Oracle Key Vaultのインストール要件には、CPU、RAM、ディスク領域、ネットワーク・インタフェースおよびサポートされているエンドポイント・プラットフォームなどのシステム要件が含まれます。

3.1.1 システム要件

Oracle Key Vaultをインストールすると、サーバー上の既存のソフトウェアは削除されます。

本番システムの場合、仮想マシンのデプロイメントはお薦めしません。ただし、仮想マシンは、テストおよび概念の確認に役立ちます。

Oracle Key Vaultソフトウェア・アプライアンスをデプロイするための最小ハードウェア要件は次のとおりです。

  • CPU: 最小: x86–64 2コア、推奨: 暗号高速化をサポートする8–16コア(Intel AESNI)

  • メモリー: 最小8GB RAM、推奨: 32–64GB

  • ディスク: 最小500GB、推奨: 1TB

  • ネットワーク・インタフェース: ネットワーク・インタフェース1つ

  • ハードウェア互換性: 関連項目の項のリンクから、Oracle Linuxリリース6アップデート9のハードウェア互換性リスト(HCL)を参照してください。

  • RESTfulサービス・クライアント: RESTfulサービスが有効な場合は、Oracle Key Vault管理コンソールに接続する各エンドポイントには、少なくともJava 1.7.0_21がインストールされている必要があります。

注意:

多数のエンドポイントがあるデプロイメントでは、ワークロードにあわせてハードウェア要件を拡大することが必要になる場合があります。

関連項目:

Oracle LinuxおよびOracle VMのハードウェア証明書のリストは、次のOracle LinuxのWebサイトで確認できます。

http://linux.oracle.com/pls/apex/f?p=117:1

「All Operating Systems」から結果をフィルタリングして「Oracle Linux 6.9」を選択することで、サポートされているハードウェアを確認できます。

3.1.2 ネットワーク・ポート

Oracle Key Vaultとそのエンドポイントでは、一連の特別なポートを使用して通信します。ネットワーク管理者は、ネットワークのファイアウォールでこれらのポートを開く必要があります。

表3-1に、Oracle Key Vaultで必要なネットワーク・ポートを示します。

表3-1 Oracle Key Vaultで必要なポート

ポート番号 プロトコル 説明

22

SSH/SCPポート

Oracle Key Vault管理者およびサポート担当者がOracle Key Vaultのリモート管理に使用。

161

SNMPポート

モニタリング・ソフトウェアでOracle Key Vaultをポーリングしてシステム情報を取得するために使用。

443

HTTPSポート

ブラウザやRESTfulなどのWebクライアントがOracle Key Vaultとの通信に使用。

1522

データベースのTCPSリスニング・ポート

高可用性構成でプライマリ・サーバーとスタンバイ・サーバー間の通信のためにOracle Data Guardによって使用されるリスニング・ポート。

7443

データベースのTCPSリスニング・ポート

高可用性構成でOSコマンド(HTTPSを介したウォレットや構成ファイルの同期など)を実行するために使用されるリスニング・ポート。

5696

KMIPポート

Oracle Key Vaultエンドポイントとサード・パーティ製KMIPクライアントがOracle Key VaultのKMIPサーバーとの通信に使用。

3.1.3 サポートされているエンドポイント・プラットフォーム

Oracleでは、32ビットおよび64ビットLinuxのエンドポイントをサポートしています。ただし、TDE直接接続と呼ばれていたオンライン・マスター・キーを使用するOracle Databaseでは、64ビットのエンドポイントのみがサポートされます。

このリリースでサポートされているエンドポイント・プラットフォームは次のとおりです。

  • Oracle Linux (5.x、6.xおよび7.x)

  • Oracle Solaris (10.xおよび11.x)

  • Oracle Solaris Sparc (10.xおよび11.x)

  • RHEL5、6および7

  • IBM AIX (5.3、6.1および7.1)

  • HP-UX (IA) (11.31)

  • Windows Server 2008

  • Windows Server 2012

3.1.4 エンドポイント・データベース要件

Oracle Database 10 gリリース2以降のエンドポイントでは、okvutil uploadコマンドを使用してOracle WalletをOracle Key Vaultにアップロードできます。Oracle Database 11 gリリース2以降のエンドポイントでは、オンライン・マスター・キーを使用してTDEマスター・キーを管理できます。

TDE直接接続という用語はオンライン・マスター・キーという用語に置き換えられることに注意してください。

Oracle Databaseのエンドポイントでは、COMPATIBLE初期化パラメータを設定することが必要になる場合があります。

Oracle Database 11.2または12.1のエンドポイントでは、COMPATIBLE初期化パラメータを11.2.0.0以上に設定します。次に例を示します。

SQL> ALTER SYSTEM SET COMPATIBLE = '11.2.0.0' SCOPE=SPFILE;

このことは、オンライン・マスター・キー(旧称、TDE直接接続)を使用してOracle Key Vaultに接続しているOracle Databaseエンドポイントに該当します。この互換性モードの設定は、Oracle Walletのアップロード操作またはダウンロード操作には必要ありません。

また、COMPATIBLEパラメータを11.2.0.0に設定した後で、より低い値(10.2など)に設定できないので注意してください。COMPATIBLEパラメータを設定したら、データベースを再起動する必要があります。

関連項目:

COMPATIBLEパラメータの設定の詳細は、『Oracle Database管理者ガイド』を参照してください。

3.2 Oracle Key Vault 12.2.0.5.0以降のインストールと構成

この項では、Oracle Key Vault 12.2.0.5.0以降のインストールおよび構成方法について説明します。Oracle Key Vault 12.2.0.4.0以前をインストールして構成するには、Oracle Key Vault 12.2.0.4.0以前のインストールと構成を参照してください。

3.2.1 Oracle Key Vaultアプライアンス・ソフトウェアのダウンロード

新規インストールの場合、Software Delivery CloudからOracle Key Vaultアプライアンス・ソフトウェアをダウンロードできます。このパッケージは、Oracle Key Vaultのアップグレードには使用できません。

アップグレードの場合は、Oracle Automated Release Updates (ARU) WebサイトからOracle Key Vaultをダウンロードできます。

Oracle Key Vaultアプライアンス・ソフトウェアをダウンロードするには:

  1. WebブラウザでOracle Software Delivery Cloudポータルにアクセスします。
  2. 「Sign In」をクリックします。必要に応じて、「User ID」「Password」に入力します。
  3. 最初のフィールドで、「Release」を選択します。次のフィールドで、「Key Vault」と入力して、「Search」をクリックします。
  4. 表示されたリストから、「Oracle Key Vault 12.2.0.9.0」を選択します。
    ダウンロードがカートに追加されます。
  5. 「Selected Software」をクリックします。
  6. 次のページでインストール・パッケージの詳細を確認して、「Continue」をクリックします。
  7. 「Oracle Standard Terms and Restrictions」ダイアログ・ボックスが表示されます。
  8. 「I have reviewed and accept the terms of the Commercial License, Special Programs License, and/or Trial License」を選択して「Continue」をクリックします。
  9. 「File Download」ダイアログ・ボックスが表示されます。「View Digest Details」をクリックします。

    Oracle Key Vault 12.2.0.9.0は、次のISOファイルで構成されます。

    • Vxxxxxx-01.iso (Oracle Key Vault 12.2.0.9.0 (12.2バンドル・パッチ9) - ディスク1)

    • Vxxxxxx-01.iso (Oracle Key Vault 12.2.0.9.0 (12.2バンドル・パッチ9) - ディスク2)

  10. SHA256の横に表示されているチェックサム値の両方をコピーし、後で参照するために格納します。
  11. 「Download」をクリックして、ISOファイルを保存する場所を選択します。
  12. 「Save」をクリックします。

    両方のISOファイルのサイズの合計は4 GBを超えるため、ネットワーク速度によってはダウンロードに時間がかかることがあります。ダウンロードの推定時間と推定速度が「File Download」ダイアログ・ボックスに表示されます。

  13. ISOファイルが、指定した場所にダウンロードされます。ダウンロードされたファイルのsha256チェックサムを確認します。
    sha256sum Vxxxxxx-01.iso

    チェックサムが、ステップ10「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。

  14. ISOファイルを2つのDVD-ROMディスクに焼き、ディスクにラベル付けします。
    • OKV BP9ディスク1

    • OKV BP9ディスク2

これで、サーバー上にOracle Key Vaultをインストールできます。

3.2.2 Oracle Key Vaultアプライアンス・ソフトウェアのインストール

インストール・プロセスでは、専用のサーバー上に必要なすべてのソフトウェア・コンポーネントをインストールします。インストール・プロセスは、Oracle Key Vaultをインストールするサーバー・リソースによって異なりますが、完了までに30分から1時間かかる場合があります。

注意:

Oracle Key Vaultのインストールでは、サーバーをワイプしてOracle Linux 6.9の機能削除版をインストールするため、サーバー上の既存のソフトウェアおよびデータは消去されます。

  • サーバーが推奨要件を満たしていることを確認します。

  • ネットワーク管理者に専用サーバー用の固定IPアドレス、ネットワーク・マスクおよびゲートウェイ・アドレスをリクエストします。ステップ13でネットワークを構成するときに、この情報が必要になります。

Oracle Key Vaultアプライアンスをインストールするには:

  1. OKV BP9ディスク1をCD/DVDドライブに挿入して、コンピュータを再起動します。
  2. インストールが開始され、最初のスプラッシュ画面が表示されます。

    図3-1 Oracle Key Vaultのインストール画面

    図3-1の説明が続きます
    「図3-1 Oracle Key Vaultのインストール画面」の説明
  3. 上下の矢印キーを使用して「Install (wipes system)」を選択し、[Enter]を押します。

    インストールが開始され、数分後に「Please insert disc 2」というメッセージが表示されます。

  4. OKV BP9ディスク2をCD/DVDドライブに挿入して、[Enter]を押します。

    インストールが続行され、数分後に「Please insert disc 1」というメッセージが表示されます。

  5. OKV BP9ディスク1をCD/DVDドライブに挿入して、[Enter]を押します。
  6. インストールが続行され、数分後に「Please enter installation passphrase」というメッセージが表示されます。

    図3-2 「Installation Passphrase」画面

    図3-2の説明が続きます
    「図3-2 「Installation Passphrase」画面」の説明

    インストール・パスフレーズは8文字以上で、英大文字、英小文字、数字および特殊文字(ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、スペース)をそれぞれ1つ以上含める必要があります。

    インストール・パスフレーズは安全な方法で格納することが重要です。これは、Key Vault管理コンソールでの認証とインストール後タスクの実行のために必要になります。

  7. インストール・パスフレーズを入力し、[Enter]を押します。
  8. インストール・パスフレーズを確認し、[Enter]を押します。
  9. 「Installation passphrase was successfully configured」というメッセージが表示されます。[Enter]を押します。「Select Network Interface」画面が表示されます。

    図3-3 「Select Network Interface」画面

    図3-3の説明はこの後にあります
    「図3-3 「Select Network Interface」画面」の説明
  10. インタフェースを選択して[Enter]を押します。複数のネットワーク・インタフェースが利用できる場合、管理インタフェースとして機能してエンドポイントと通信するインタフェースを選択します。
  11. 管理インタフェースの指定画面が表示されます。

    図3-4 管理インタフェースの指定画面

    図3-4の説明はこの後にあります
    「図3-4 管理インタフェースの指定画面」の説明
  12. [Enter]を押します。管理インタフェースのIPアドレス設定画面が表示されます。

    図3-5 管理インタフェースのIPアドレス設定画面

    図3-5の説明はこの後にあります
    「図3-5 管理インタフェースのIPアドレス設定画面」の説明
  13. ネットワーク管理者から受け取った固定IPアドレス、ネットワーク・マスクおよびゲートウェイ・アドレスを入力します。「Reboot to complete installation」を選択して[Enter]を押します。

    インストーラがサーバー上にオペレーティング・システム、データベースおよびOracle Key Vaultをインストール、構成して、自己完結した強化アプライアンスにします。インストールおよび構成プロセスには、30分から1時間かかる場合があります。[Shift]キーを押して、インストール・ステータスを確認します。

  14. インストールが正常に完了した場合は、「Oracle Key Vault Server <Release Number>」画面が表示されます。

    図3-6 「Oracle Key Vault Server <Release Number>」画面

    図3-6の説明はこの後にあります
    「図3-6 「Oracle Key Vault Server <Release Number>」画面」の説明

    「Display Appliance Info」を選択し、[Enter]を押してアプライアンスのIPアドレス設定を表示します。アプライアンスのIPアドレスを書き留めます。これは、ブラウザ・ベースのOracle Key Vault管理コンソールにログインするときに必要になります。

    なんらかの理由でIPアドレス、ネットワーク・マスクまたはIPゲートウェイを修正する必要がある場合は、「Change IP Settings」を選択して新しいIP設定を入力できます。

    「Set User Passwords」を選択して、ルート・パスワードとサポート・ユーザー・パスワードを設定します。ルート・パスワードおよびサポート・ユーザー・パスワードは、インストール後タスクの実行時にも設定できます。

    「Change Installation Passphrase」を選択して、インストール・パスフレーズを変更することもできます。インストール・パスフレーズを変更する方法の詳細は、「インストール・パスフレーズの変更」を参照してください。

    注意:

    インストール・パスフレーズを更新するには、古いインストール・パスフレーズを入力する必要があります。

    インストール・パスフレーズを書き留めます。これは、インストール後タスクを完了するために、管理コンソールに初めてログインするときに必要になります。

3.2.3 インストール後タスクの実行

Oracle Key Vaultのインストール後、次のインストール後タスクを実行して、リカバリ、ルートおよびサポート用の管理ユーザー・アカウントおよびパスワードを設定する必要があります。

インストール後タスクを実行する手順:

  1. WebブラウザでOracle Key Vaultサーバーに接続します。

    IPアドレスが192.0.2.254のOracle Key Vaultサーバーに接続するには、アドレス・バーに次のように入力します。

    https://192.0.2.254

  2. Webブラウザに、信頼できないセキュリティ証明書または自己署名セキュリティ証明書でWebサイトに接続していることを示すセキュリティ警告メッセージが表示された場合は、セキュリティ警告メッセージを受け入れて、Oracle Key Vaultサーバーへの接続を続行します。

    注意:

    インストール後タスクの完了後、セキュリティ警告メッセージが表示されずにOracle Key Vaultサーバーに接続できるように、ブラウザが信頼するカスタム証明書または証明書チェーンをアップロードすることができます。カスタム証明書のアップロードの詳細は、「サード・パーティの証明書」を参照してください。

  3. 「Installation Passphrase」画面が表示されます。

    図3-7 「Installation Passphrase」画面

    図3-7の説明はこの後にあります
    「図3-7 「Installation Passphrase」画面」の説明

    注意:

    Oracle Key Vaultサーバーに初めて接続すると、インストール後タスクを完了するために、「Installation Passphrase」画面が表示されます。インストール後タスクの完了後、Webブラウザを介してOracle Key Vault管理コンソールにアクセスすると、Oracle Key Vaultログイン画面が表示されます。
  4. インストール・パスフレーズを入力します。「Post-Install Configuration」画面が表示されます。

    図3-8 「Post-Install Configuration」画面

    図3-8の説明はこの後にあります
    「図3-8 「Post-Install Configuration」画面」の説明
  5. 「User Setup」セクションで、キー管理者、システム管理者および監査マネージャ用の3つの管理ユーザー・アカウントを作成します。

    図3-9 Post-Install Configuration — User Setup

    図3-9の説明が続きます。
    「図3-9 Post-Install Configuration — User Setup」の説明

    「User Setup」セクションで、次のことを行います。

    • 各管理ユーザー・アカウントにユーザー名、パスワード、フルネーム(オプション)および電子メール(オプション)を入力します。

    • 必要に応じて、義務を厳密に区別したり、ロールを組み合せるために、これらの管理ロールごとに別のユーザー・アカウントを作成できます。

    • パスワードは8文字以上で、英大文字、英小文字、数字および1つの特殊文字(ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、スペース)をそれぞれ1つ以上含める必要があります。

  6. 「Recovery Passphrase」セクションで、リカバリ・パスフレーズを設定します。

    図3-10 Post-Install Configuration — Recovery Passphrase

    図3-10の説明が続きます。
    「図3-10 Post-Install Configuration — Recovery Passphrase」の説明

    リカバリ・パスフレーズの最小要件は、ユーザー・パスワードと同じです。セキュリティ強化のため、リカバリ・パスフレーズを長く複雑なものにすることをお薦めします。リカバリ・パスフレーズは次の場合に必要になるため、安全かつ取得可能な状態で維持する必要があります。

    • Key Vaultにアクセスできる管理ユーザーがいない場合の緊急時。

    • バックアップからKey Vaultデータをリストアする場合。

    • リカバリ・パスフレーズをリセットする場合。

    注意:

    リカバリ・パスフレーズ(以前のパスフレーズも含めて)の保管と取得に安全なプロセスを確立することが重要です。リカバリ・パスフレーズの紛失からリカバリする唯一の方法は、Key Vaultを再インストールすることです。
  7. 前の手順「Oracle Key Vaultアプライアンス・ソフトウェアのインストール」で、「Oracle Key Vault Server <Release Number>」画面の「Set User Passwords」オプションを使用してルート・パスワードとサポート・ユーザー・パスワードを設定しなかった場合は、次のセクションでこれらのパスワードを設定します。

    図3-11 Post-Install Configuration — Root and Support User Passwords

    図3-11の説明はこの後にあります
    「図3-11 Post-Install Configuration — Root and Support User Passwords」の説明

    ルート・パスワードは、Key Vaultをホストするオペレーティング・システムのスーパー・ユーザー・アカウントです。サポート・パスワードは、SSHプロトコルを使用してリモートでKey Vaultにログインするときに必要になります。

    注意:

    ルート・パスワードとサポート・ユーザー・パスワードはインストール後においてのみ設定するため、安全に保管してください。インストール後の後は、Oracle Key Vault管理コンソールからこれらを変更できません。

    「Time Setup」「DNS Setup」の設定はこの段階ではオプションで、システム管理者が後から設定できます。

  8. 「Post-Install Configuration」画面の右上にある「Save」をクリックします。Oracle Key Vault管理コンソールのログイン画面が表示されます。

    図3-12 Oracle Key Vault管理コンソールのログイン画面

    図3-12の説明が続きます。
    「図3-12 Oracle Key Vault管理コンソールのログイン画面」の説明
インストール後プロセスで作成されたいずれかのユーザー・アカウントの資格証明を使用して、Oracle Key Vault管理コンソールにログインできます。

3.3 Oracle Key Vault管理コンソールへのログイン

Oracle Key Vaultを使用するには、Oracle Key Vault管理コンソールにログインします。

  1. Webブラウザを開きます。
  2. HTTPS接続およびOracle Key VaultのIPアドレスを使用して接続します。

    たとえば、IPアドレスが192.0.2.254のサーバーにログインする場合は、次のように入力します。

    https://192.0.2.254

    ログイン画面が表示されます。

    図3-13 ユーザー名とパスワードが表示されたOracle Key Vault画面

    図3-13の説明が続きます。
    「図3-13 ユーザー名とパスワードが表示されたOracle Key Vault画面」の説明
  3. ユーザー名とパスワードを入力します。
  4. 「Login」をクリックします。

3.4 管理コンソールの概要

Oracle Key Vault管理コンソールは、httpsセキュア通信チャネルを使用してアプライアンスに接続するブラウザ・ベースのコンソールです。これにより、Oracle Key Vaultにグラフィカル・ユーザー・インタフェースが提供され、ユーザーはここで次のようなタスクを実行できます。

  • ユーザー、エンドポイントおよびそれぞれのグループの作成および管理

  • 仮想ウォレットおよびセキュリティ・オブジェクトの作成および管理

  • ネットワークや他のサービスなどのシステム設定の設定

  • 高可用性およびバックアップの設定

3.5 処理と検索の実行

タブおよびメニュー・ページの多くには「Actions」メニューや検索バーがあり、リストや検索結果に対してアクションを実行できます。

注意:

「Actions」メニューと検索バーの詳細なヘルプは、「Actions」ドロップダウン・リストの「Help」を選択すると表示されます。

3.5.1 「Actions」メニュー

「Actions」ドロップダウン・メニューから利用できるアクションは様々ですが、通常は標準的なメニュー項目のセットが含まれます。

アイテムは次のとおりです。

  • Select Columns: 表示する列を選択します。

  • Filter: 列または行と、ユーザー定義の式を基準にしてフィルタします。

  • Rows Per Page: 表示する行数を選択します。

  • Format: 次のような表示形式を選択します。「Sort」「Control Break」「Highlight」「Compute」「Aggregate」「Chart」および「Group By」

  • Save Report: レポートを保存します。

  • ヘルプ: これらのアクションの上でヘルプ情報を取得します。

  • 「Help」: これらのアクションに関する情報を表示します。

  • Download: 結果セットをCSVまたはHTML形式でダウンロードします。

3.5.2 検索バー

「Actions」メニューとともに、多くのタブには検索バーが含まれています。

この例ではエンドポイントを検索しますが、列見出しが異なることを除き、プロセスは他の検索と同じです。

ワイルドカード文字はサポートされません。入力したあらゆる文字または語句と一致する検索結果が表示されます。「Actions」の下にある「Filter」メニュー項目を使用して、検索結果をさらに絞り込めます。

検索を実行する手順:

  1. 検索フィールドに名前またはその他の識別子を入力するか、(オプションで)検索バーの拡大鏡アイコンにカーソルを重ねていずれかの見出し(この場合、「All Columns」「Endpoint Name」「Endpoint Type」「Description」「Platform」「Status」「Enrollment Token」および「Alert」)を選択してから、検索語を入力します。

    図3-14 「Endpoints」ページ

    図3-14の説明はこの後にあります
    「図3-14 「Endpoints」ページ」の説明
  2. 「Go」をクリックします。

    新しいエンドポイント・リストに、検索基準を満たすエンドポイントが表示されます。フィルタ・アイコン(漏斗)に検索が実行されたことが示され、検索基準が表示されます。

  3. 検索を無効にしてリスト全体を表示するには、フィルタ・アイコンを選択または選択解除します。