リリース・ノート
リリース12.2.0.9.0
E77000-03(原本部品番号:E65213-04)
2019年4月
これらのリリース・ノートには、Oracle Key Vaultに関する重要な情報が記載されています。
次のWebサイトからこのドキュメントの最新バージョンをダウンロードできます。
http://www.oracle.com/technetwork/database/options/key-management/downloads/index.html
Oracle Key Vaultドキュメントにアクセスするには、次のサイトを参照してください。
親トピック: リリース・ノート
この項では、既知の問題と、一般的な管理および構成の問題に対する回避策について説明します。
親トピック: リリース・ノート
説明: Oracle Key Vault 12.1から12.2への直接のアップグレードが、「Internal Error: Data Guard Broker status is not enabled」エラーで失敗します
回避策: 12.1.0.0.0–>12.1.0.5.0–>12.2.0.0.0というアップグレード・パスをお薦めします
最初にKey Vaultサーバーを12.1.0.5.0にアップグレードし、その後、12.2.0.0.0にアップグレードします
Oracle Bug: 22537638
親トピック: 一般的な管理および構成の問題
説明: ウォレットの内容をOracle Key Vaultサーバーにアップロードするとき、ユーザーは、重複した項目をアップロードすることを避けるために、仮想ウォレットを指定する(-g
フラグ)か、エンドポイントのデフォルトのウォレットを設定する必要があります。そのようにしない場合に、Oracle Key Vaultサーバーに項目がすでに存在するという警告が表示されません。
回避策: -g
フラグを使用して仮想ウォレットを指定するか、エンドポイントのデフォルトのウォレットを設定します。
Oracle Bug: 22205732
親トピック: 一般的な管理および構成の問題
説明: Oracle Key Vaultサーバーをバックアップからリストアする場合、ユーザーは、リストア対象のOracle Key Vaultサーバーが(HAモードのサーバーではなく)スタンドアロン・サーバーであることを確認する必要があります。プライマリまたはスタンバイOracle Key Vaultサーバー(HAペアの)をバックアップからリストアすることは、お薦めしません。
回避策: サーバーをスタンドアロン・モードでリストアします。
Oracle Bug: 22676253
親トピック: 一般的な管理および構成の問題
説明: Oracle Key Vaultサーバーをバックアップからリストアする場合、ユーザーは、リストア操作を開始する前に、正しいリストア・パスワードを指定する必要があります。正しいパスワードを指定しないと、リストア操作が失敗し、ユーザーはOracle Key Vaultサーバーを再インストールしてリストア操作を再度試行することが必要となります。
回避策: バックアップの時点で有効だった正しいリストア・パスワードを使用します。
Oracle Bug: 19171964
親トピック: 一般的な管理および構成の問題
説明: すべての有効なOracle Key Vaultユーザーがウォレットを作成できます。ただし、キー管理者権限のあるユーザーのみが、これらを表示できます。
回避策: キー管理者権限のあるユーザーに、ウォレットにアクセスする権限を付与するように依頼します。アクセス権が付与されると、ウォレットを表示できるようになります。
Oracle Bug: 22638364
親トピック: 一般的な管理および構成の問題
説明: 次に示す例の、引用符で囲まれた説明には、空白が含まれています。これにより、アップロードが失敗します。
例:
./okvutil upload —l . —t OTHER —g wallet1 —d "HR system certificate"
回避策: バック・スラッシュを使用して、-d
引数内の引用符をエスケープします。
例:
./okvutil upload —l . —t OTHER —g wallet1 —d \"HR system certificate\"
Oracle Bug: 22563128
親トピック: 一般的な管理および構成の問題
Key Vaultサーバー・ソフトウェア・アプライアンスをアップグレードするときには、エンドポイント・ソフトウェアもアップグレードして、最新の拡張を取得することをお薦めします。ただし、直前のバージョンのエンドポイント・ソフトウェアは、引き続き、アップグレードされたOracle Key Vaultサーバーとともに機能します。
アップグレードは、次に示す順序で実行する必要があります。最初にKey Vaultのバックアップを実行し、次にKey Vaultサーバーをアップグレードし(または高可用性デプロイメントの場合はサーバー・ペアをアップグレードし)、その次にエンドポイント・ソフトウェアをアップグレードし、最後にアップグレード済のサーバーをバックアップします。アップグレードする場合は、Oracle Key Vaultアプライアンスの再起動が必要となることに注意してください。
バックアップおよびリストア操作のガイダンスについては、『Oracle Key Vault管理者ガイド』のOracle Key Vaultでのデータのバックアップおよびリストアに関する項を参照してください。
ソフトウェアをアップグレードする前に、Key Vaultサーバーをバックアップします。このベスト・プラクティスにより、アップグレードが予期せず失敗したときに確実にリカバリできるようにします。
注意:
このステップはスキップしないでください。データを安全かつリカバリ可能にするために、アップグレードを実行する前にサーバーをバックアップします。
Oracle Key Vault 12.2.0.9.0に円滑にアップグレードできるように、次のステップをお薦めします。
アップグレードのための最小のディスク領域要件が満たされていることを確認します。
次の仕様に従い、停止時間を計画します。
Oracle Key Vaultの使用 | 停止時間の必要性 |
---|---|
ウォレットのアップロードまたはダウンロード |
いいえ |
Javaキーストアのアップロードまたはダウンロード |
いいえ |
Transparent Data Encryption (TDE)直接接続 |
はい |
高可用性デプロイメントにおけるプライマリ・サーバーのアップグレード |
はい |
Oracle Key Vaultでオンライン・マスター・キー(以前のTDE直接接続)が使用される場合は、Oracle Databaseエンドポイント・ソフトウェアのアップグレード中に、15分の停止時間を計画してください。Databaseエンドポイントを並行してアップグレードすると、合計停止時間が削減されます。
高可用性デプロイメントにおけるプライマリ・サーバーのアップグレードについては、1時間の停止時間を計画してください。
フル・バックアップや増分バックアップのジョブが実行されていないことを確認してください。アップグレードの前に、スケジュールされたフル・バックアップまたは増分バックアップのジョブをすべて削除してください。
Oracle Key Vaultは、テスト環境や開発環境でスタンドアロン・アプライアンスとしてデプロイしたり、本番環境において高可用性構成でデプロイすることができます。スタンドアロン・デプロイメントでは単一のKey Vaultサーバーをアップグレードする必要がありますが、高可用性デプロイメントではプライマリとスタンバイの両方のKey Vaultサーバーをアップグレードする必要があります。
この手順は、テスト環境や開発環境で最も一般的なデプロイメントであるスタンドアロン・デプロイメントで、単一のKey Vaultサーバーをアップグレードする場合のものです。
Oracle Key Vault 12.2.0.9.0をアップグレードする手順:
注意:
スタンバイにアップグレードした後、プライマリ・サーバーへのアップグレードに1時間を割り当ててください。スタンバイ・サーバーとプライマリ・サーバーは1つのセッションでアップグレードし、スタンバイのアップグレードとプライマリのアップグレードの間に時間を空けないようにする必要があります。アップグレード時間は概算であり、Oracle Key Vaultで格納および管理されているデータのボリュームに応じて変化することに注意してください。データのボリュームが大きいと、アップグレード時間が1時間を超える場合があります。
アップグレードが進行している間に、設定を変更したり、次に示すアップグレード手順の一部ではない他の操作を実行しないでください。
アップグレード・プロセスでは、エンドポイントを停止することが必要になるため、計画されたメンテナンス・ウィンドウの間に、Oracle Key Vaultサーバーをアップグレードします。
高可用性のために構成されたOracle Key Vaultサーバーのペアをアップグレードする手順:
エンドポイント・ソフトウェアをアップグレードする手順:
ステップ1の説明に従ってKey Vaultサーバーをアップグレードしたことを確認します。直接接続用に構成された、Oracle Databaseのためのエンドポイント・ソフトウェアをアップグレードする場合は、データベースを停止します。
次のように、Oracle Key Vaultサーバーから、プラットフォームに適したエンドポイント・ソフトウェア(okvclient.jar
)をダウンロードします。
Oracle Key Vault管理コンソールのログイン画面に移動します。
「Endpoint Enrollment and Software Download」リンクをクリックします。
「Download Endpoint Software」セクションに移動し、ドロップ・ダウン・リストから適切なプラットフォームを選択します。
「Download」ボタンをクリックします。
アップグレード対象となる、既存のエンドポイントのインストールへのパスを指定します。たとえば、/home/oracle/okvutil
とします。
次のコマンドを実行して、エンドポイント・ソフトウェアをインストールします。
java -jar okvclient.jar -d
<path to the existing endpoint directory>
たとえば、java -jar okvclient.jar -d /home/oracle/okvutil
とします。
エンドポイントのインストール・ディレクトリのbin
ディレクトリから、root.sh
を実行して、Oracle Databaseエンドポイントの最新のliborapkcs.so
ファイルをコピーします。このステップは、TDE直接接続のためにのみ必要となります。次に例を示します。
$ sudo ./$OKV_HOME/bin/root.sh
または
$ su - # bin/root.sh
ステップ1でエンドポイントを停止した場合は、再起動します。
アップグレードが正常に完了した後、次のタスクを実行する必要があります。
アップグレード済のOracle Key Vaultサーバー・データベースのフル・バックアップを新しいリモート宛先に取得します。新しいバックアップのために、古いバックアップ先を使用することは避けます。
新しい宛先への定期的な増分バックアップを新たにスケジュールします。
バージョン12.1.0.2以降、パスワード・ハッシュがよりセキュアな標準にアップグレードされました。この変更により、オペレーティング・システムのパスワード、サポートおよびルートに影響があります。アップグレードした後、パスワードを変更していない場合は、よりセキュアなハッシュを活用するために、変更します。
パスワード・ハッシュは、Oracle Key Vault 12.1.0.0.0からOracle Key Vault 12.2.0.0.0に直接アップグレードする場合と、Oracle Key Vault 12.1.0.1.0からOracle Key Vault 12.2.0.0.0に直接アップグレードする場合にのみ適用されます。この修正は、Oracle Key Vault 12.1.0.2.0以降に含められました。
Oracleのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWeb サイトhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=docaccを参照してください。
Oracleサポートへのアクセス
サポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。詳細情報はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoか、聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。
親トピック: リリース・ノート
Oracle Key Vaultリリース・ノート, リリース12.2.0.9.0
E77000-03
Copyright © 2013, 2019, Oracle and/or its affiliates.All rights reserved.
このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。
ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。
このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。
U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations.As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs.No other rights are granted to the U.S. Government.
このソフトウェアもしくはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。
OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。
Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXはThe Open Groupの登録商標です。
このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。適用されるお客様とOracle Corporationとの間の契約に別段の定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。適用されるお客様とOracle Corporationとの間の契約に定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。