サポート・ガイダンス

4 サポート・ガイダンス

サポート・ガイダンスでは、トラブルシューティング、ベンダー固有の注意事項およびCNSAスイートのサポートについて説明します。

4.1 一般的なトラブルシューティング

この項では、一般的なトラブルシューティングのヘルプについて説明します。ベンダー固有のトラブルシューティングは、ベンダー固有の注意事項で説明されています。

親トピック: サポート・ガイダンス

4.1.1 hsm_initialize: HSMのスロットを取得できない

このエラーは、Oracle Key VaultがHSMのクライアントとして適切にエンロールされていないことを示します。詳細は、ベンダー固有の手順を参照してください。

親トピック: 一般的なトラブルシューティング

4.1.2 hsm_initialize: PKCS#11ライブラリをロードできない

親トピック: 一般的なトラブルシューティング

4.1.3 HSMが有効なOracle Key Vaultサーバーの再起動後に、Oracle Key Vault管理コンソールが起動しない

HSMが有効なOracle Key Vaultサーバーを再起動した後に管理コンソールが表示されない場合は、SSHを使用してユーザーsupportとしてOracle Key Vaultサーバーにログインし、次のことを確認します。

ウォレットを手動で開いてみます。
```
$ ssh support@okv_instance
<Enter password when prompted>
$ su root 
root# su oracle
$ cd /usr/local/okv/hsm/bin
$ ./hsmclient open_wallet
```
open_walletコマンドが成功すると、HSM以外の問題が他にない場合は、データベースが開き、管理コンソールが表示されます。コマンドが成功しない場合は、ベンダー固有の手順を確認します。それ以外の場合は、出力をコピーしてOracle Supportにお問い合せください。
既知の問題(Oracle Bug#24478865)が原因でDNSをHSM構成で使用している場合、DNSエントリが管理コンソール(「System」タブ→「System Settings」ページ→「DNS」セクション)および/etc/resolv.confの両方にあることを確認してください。
/etc/resolv.confの構成の例:
```
search <default search domains>
nameserver <dns ip 1>
nameserver <dns ip 2>
nameserver <dns ip 3>
```

親トピック: 一般的なトラブルシューティング

4.1.4 プライマリ/スタンバイのエラー

ファイルがスタンバイ・サーバーに転送されていることを確認します。

スタンバイ・サーバーで、rootとしてls -lコマンドを実行します。
```
$ ls -l /usr/local/okv/hsm/wallet
-rw------- 1 oracle oinstall 324 May 16 22:57 cwallet.sso
-rw------- 1 oracle oinstall 176 May 16 22:57 enctdepwd
$ ls -l /usr/local/okv/hsm/restore
-rw------- 1 oracle oinstall 320 May 16 22:57 ewallet.p12
```
/usr/local/okv/hsm/walletディレクトリにあるcwallet.ssoおよびenctdepwdを確認し、/usr/local/okv/hsm/restoreディレクトリにあるewallet.p12を確認する必要があります。
スタンバイ・サーバーでモードがHSMに設定されていることを確認します。

スタンバイ・サーバーで、rootとしてokv_security.confファイルを開きます。
```
$ cat /usr/local/okv/etc/okv_security.conf
 Look for the line:
 HSM_ENABLED="1"
```
二重引用符で囲まれた数値を確認する必要があります。
ベンダー固有の手順を確認します。

親トピック: 一般的なトラブルシューティング

4.1.5 バックアップ

次のように、ターゲットでpre_restoreコマンドが実行されていることを確認する必要があります。

スタンバイ・サーバーで、rootとしてls -lコマンドを実行します。

$ ls -l /usr/local/okv/hsm/wallet
-rw------- 1 oracle oinstall 324 May 16 22:57 cwallet.sso

ウォレット・ファイルcwallet.ssoを確認する必要があります。

HSMベンダーの手順に従っていることを確認する必要もあります。

親トピック: 一般的なトラブルシューティング

4.1.6 HSMが有効化されているバックアップのリストア

この手順はリストア操作でのみ使用し、かつ、HSM資格証明を正しく入力する必要があります。正しくない資格証明を入力した場合またはOracle Key VaultがHSMに接続できない場合、資格証明は格納されません。Oracle Key VaultがHSMのクライアントとしてエンロールされていることを確認してから、正しい資格証明が入力されていることを確認してください。

Oracle Key VaultをHSMクライアントとしてエンロールする方法の詳細は、「HSMクライアントとしてのOracle Key Vaultのエンロール」を参照してください。

親トピック: 一般的なトラブルシューティング

4.2 ベンダー固有の注意事項 - SafeNet

リリース12.2 BP 1以降では、Oracle Key VaultとSafeNet (Gemalto) Luna SA 7000との統合をサポートします。SafeNet Luna HSM用のホスト・トラスト・リンク(HTL)の使用は、今回はサポートされません。

次のインストールおよびエンロール手順は、SafeNet Luna SA 7000 HSMに適用されます。

親トピック: サポート・ガイダンス

4.2.1 Oracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

Oracle Key VaultにHSMクライアントをインストールする手順:

SafeNetクライアント・ソフトウェア・パッケージ、Linux x64向けバージョン6.2を取得します。このドキュメントでは、これを「safenet.tar」と呼びます。
SafeNetクライアント・ソフトウェア・パッケージをOracle Key Vaultマシンに転送します。次の例のように、scpを使用することをお薦めします。

scp safenet.tar support@[okv hostname]:/tmp
SafeNetクライアント・ソフトウェアをOracle Key Vaultにインストールします。

SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、ユーザーをrootに切り替えます(su)。

$ ssh support@okv_instance
$ su root 
$ cd /usr/local/okv/hsm 
$ cp /tmp/safenet.tar /usr/local/okv/hsm 
$ tar -xvf safenet.tar 
$ cd 64 
$ ./install.sh

プロンプトに「y」と入力して、SafeNetライセンスを承認します。
連続するプロンプトに「1」、「n」、「i」と入力して、Luna SAをインストールします。

これによって、SafeNetソフトウェアが/usr/safenet/lunaclientディレクトリにインストールされます。
/tmpディレクトリからsafenet.tarファイルを削除します。
```
 $ rm -f /tmp/safenet.tar
```

親トピック: ベンダー固有の注意事項ノート - SafeNet

4.2.2 HSM資格証明

HSM資格証明は、SafeNetパーティション・パスワードです。クライアントのassignPartitionコマンドでパーティションを選択します。

親トピック: ベンダー固有の注意事項ノート - SafeNet

4.2.3 HSMクライアントとしてのOracle Key Vaultのエンロール

HSMクライアントとしてOracle Key Vaultをエンロールする手順:

「System」→「System Settings」から管理コンソールを介してOracle Key VaultのDNSサーバーを設定します。このステップは、Luna SAがOracle Key Vaultと通信するために必要です。

既知の問題(Oracle Bug#24478865)が原因でDNSをHSM構成で使用している場合、DNSエントリが管理コンソール(「System」タブ→「System Settings」ページ→「DNS」セクション)および/etc/resolv.confの両方にあることを確認してください。
Oracle Key VaultとLuna SAの間で証明書を交換します。

SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、ユーザーをrootに切り替えます(su)。
```
$ ssh support@okv_instance
$ su root 
$ cd /usr/safenet/lunaclient/bin 
$ scp admin@[hsm hostname]:server.pem . 
$ ./vtl addServer -n [hsm hostname] -c server.pem 
$ ./vtl createCert -n [okv hostname] 
$ scp /usr/safenet/lunaclient/cert/client/[okv hostname].pem admin@[hsm hostname]:
```
HSMと一緒にscpを使用する場合は、HSM管理パスワードを入力する必要があります。
Luna SAのクライアントとしてOracle Key Vaultを登録します。これによって、Luna SAで設定されたパーティションがあると想定されます。まだ取得されていない任意のクライアント名を使用できます。Oracle Key Vaultインスタンスを識別する説明的な名前を使用することをお薦めします。

admin@[hsm hostname]へのSSHを使用して管理パスワードを入力し、HSM管理コンソールにアクセスします。
```
$ client register -client [client name] -hostname [okv hostname]
$ client hostip map -c [client name] -i [okv IP]
$ client assignPartition -client [client name] -partition [partition name] 
```

エンロールを確認します。

SSHを使用してユーザーsupportとしてOracle Key Vaultにログインします。

$ su root 
$ cd /usr/safenet/lunaclient/bin 
$ ./vtl verify

次の出力が表示されます。

The following Luna SA Slots/Partitions were found:

Slot    Serial #        Label
====    ========        =====
 1      [serial #]      [partition name]

親トピック: ベンダー固有の注意事項ノート - SafeNet

4.2.4 HSMプロバイダの値

Safenetの場合、プロバイダの値は1です。手動でプライマリ/スタンバイを設定する場合、HSM_PROVIDER="1"に設定します。プライマリ/スタンバイ・デプロイメントでのHSMの有効化の詳細は、高可用性デプロイメントでのHSMの有効化を参照してください。

親トピック: ベンダー固有の注意事項ノート - SafeNet

4.2.5 HSMベンダー固有のチェック

この項の手順は、SafeNet (Gemalto) Luna SA 7000にのみ適用されます。

次のように、すべてのOracle Key VaultサーバーのHSMへの接続を確認できます。

SSHを使用してユーザーsupportとしてOracle Key Vaultサーバーにログインします。

$ ssh support@okv_instance
$ su root
$ cd /usr/safenet/lunaclient/bin
$ ./vtl verify

HSMが適切に設定されていると、次の出力が表示されます。

The following Luna SA Slots/Partitions were found:

Slot    Serial #        Label
====    ========        =====
 1      [serial #]      [partition name]

この出力が表示されない場合、HSMが適切に設定されていないことを意味します。次のように、詳細に診断できます。

Luna SA管理コンソールにログインします。
client show -client [client name]コマンドを入力します。
予期したクライアントが存在し、パーティションが割り当てられていることを確認します。
存在しない場合は、次のコマンドでクライアントを登録します。

client register -client [client name]-hostname [hostname]
パーティションが割り当てられていない場合は、次のコマンドを使用してパーティションを割り当てます。

client assignPartition -client [client name] -partition [partition name]
すべてのクライアントIPが正しくマッピングされていることを確認します。エントリがない場合は、次のコマンドを実行します。

client hostip map -c [client name] -i [ip]

親トピック: ベンダー固有の注意事項ノート - SafeNet

4.2.6 Oracle Key VaultとSafeNet間の接続の確認

次のようにvtl verifyコマンドを使用すると、Oracle Key VaultがHSMに到達できることを確認できます。

$ su root
root# cd /usr/safenet/lunaclient/bin
root# ./vtl verify

次の出力が表示されます。

The following Luna SA Slots/Partitions were found:

Slot    Serial #        Label
====    ========        =====
 1      [serial #]      [partition name]

コマンドが失敗した場合、Oracle Key VaultサーバーがHSMに接続できないことを意味します。vtl verify機能をリストアする手順については、ベンダーの他のトラブルシューティングに関する項を参照してください。HSM管理者に問い合せて、HSMに対するOracle Key Vaultのアクセス権が取り消されていないことを確認します。問題を解決できない場合は、Oracle Supportにお問い合せください。

親トピック: ベンダー固有の注意事項ノート - SafeNet

4.3 ベンダー固有の注意事項 - nCipher

リリース12.2 BP 3以降では、Oracle Key VaultとnCipher HSMとの統合をサポートします。現時点では、nCipher nShield Connect 6000+のみがサポートされています。

次のインストールおよびエンロール手順は、nCipher HSMに適用されます。

親トピック: サポート・ガイダンス

4.3.1 Oracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

nCipher HSMには、リモート・ファイル・システムとして使用するネットワーク上でHSM以外の別のコンピュータが必要です。このコンピュータを設定して、nCipherソフトウェア・ファイルをこれにコピーしてから起動します。

nCipherソフトウェアをOracle Key Vaultサーバーにインストールする手順:

SSHを使用してユーザーsupportとしてOKVサーバーにログインします。
```
$ ssh support$okv_instance
<Enter the support user password when prompted>
```
rootに切り替えます。
```
$ su root
```
rootディレクトリに移動して、ディレクトリctls、hwspおよびpkcs11を作成します。
```
root# cd /root
root# mkdir ctls
root# mkdir hwsp
root# mkdir pkcs11
```

次のようにセキュア・コピー(SCP)プロトコルを使用して、nCipherソフトウェア・インストール・ファイルを転送します。

次に例を示します。

root# scp <user@remote_file_system_machine>:/<your_source_directory>/ncipher/nfast/ctls/agg.tar ctls
root# scp <user@remote_file_system_machine>:/<your_source_directory>/ncipher/nfast/hwsp/agg.tar hwsp
root# scp <user@remote_file_system_machine>:/<your_source_directory>/ncipher/nfast/pkcs11/user.tar pkcs11

次のように、これらのファイルをインストールします。

root# cd /
root# tar xvf /root/ctls/agg.tar
root# tar xvf /root/hwsp/agg.tar
root# tar xvf /root/pkcs11/user.tar
root# /opt/nfast/sbin/install

rootとして、Oracle Key Vaultサーバーへの追加の編集を実行します。

root# usermod -a -G nfast oracle
root# cd /etc/rc.d/rc5.d
root# mv S50nc_hardserver S40nc_hardserver
root# cd /etc/rc.d/rc3.d
root# mv S50nc_hardserver S41nc_hardserver

ユーザーoracleに切り替えて、インストールを確認します。
```
root# su oracle
oracle$ PATH=/opt/nfast/bin:$PATH
oracle$ export PATH      
oracle$ enquiry
```
出力で状態が「operational」と示されます。
グループの変更を有効にするには、システムを再起動します。

親トピック: ベンダー固有の注意事項 - nCipher

4.3.2 HSM資格証明

HSM資格証明はOperator Card Setのパスワードです。

親トピック: ベンダー固有の注意事項 - nCipher

4.3.3 HSMクライアントとしてのOracle Key Vaultのエンロール

次のようにHSMクライアントとしてOracle Key Vaultをエンロールします。

フロント・パネルを使用して、HSMのクライアント・リストにOracle Key VaultサーバーのIPアドレスを追加します。任意のポートで権限付きのものを選択します。

ユーザーoracleに切り替えます。

root# su oracle
oracle$ PATH=/opt/nfast/bin:$PATH
oracle$ export PATH

Oracle Key Vaultサーバー上でHSMを使用してエンロールします。
```
oracle$ nethsmenroll --privileged <HSM IP address> <HSM ESN> <HSM keyhash> 
```

TCPソケットを構成します。

oracle$ config-serverstartup --enable-tcp --enable-privileged-tcp

rootに切り替えて、hardserver (HSMと通信するnCipherクライアント・プロセス)を再起動します。
```
oracle$ su root
root# /opt/nfast/sbin/init.d-ncipher restart
```
リモート・ファイル・システム・マシン上で次のコマンドを実行します。
```
rfs-setup --gang-client --write-noauth <IP address of your Oracle Key Vault server>
```

Oracle Key Vaultサーバー上でユーザーoracleとして次のコマンドを実行します。

oracle$ rfs-sync --setup --no-authenticate <IP address of Remote File System machine> 
oracle$ rfs-sync --update

次のようにPKCS#11アクセスをテストします。
```
root# /opt/nfast/bin/ckcheckinst
```
モジュールがリストされ、プロンプトが表示されます。確認または終了します。
構成ファイル/opt/nfast/cknfastrcをユーザーrootとして作成します。次の行をファイルに記述します。
```
CKNFAST_NO_ACCELERATOR_SLOTS=1
CKNFAST_OVERRIDE_SECURITY_ASSURANCES=explicitness;tokenkeys;longterm
```
「HSMによるOracle Key Vault TDEマスター・キーの保護」で説明されている手順を実行します。
Oracle Key Vaultサーバー上でユーザーoracleとして次のコマンドを実行します。
```
oracle$ /opt/nfast/bin/rfs-sync --commit 
```

親トピック: ベンダー固有の注意事項 - nCipher

4.3.4 HSMプロバイダの値

nCipherの場合、プロバイダの値は2です。手動でプライマリ/スタンバイを設定する場合、HSM_PROVIDER="2"に設定します。プライマリ/スタンバイ・デプロイメントでのHSMの有効化の詳細は、高可用性デプロイメントでのHSMの有効化を参照してください。

親トピック: ベンダー固有の注意事項 - nCipher

4.3.5 HSMモードの有効化

HSMソフトウェアをインストールしてOracle Key VaultをHSMクライアントとしてエンロールした後、管理コンソールでOracle Key Vaultユーザー・インタフェースからnCipherでHSMモードを有効化できます。ベンダーのドロップダウン・リストからnCipherを選択します。

親トピック: ベンダー固有の注意事項 - nCipher

4.3.6 バックアップ

Oracle Key VaultサーバーのバックアップをHSMモードで取得するには、次の手順を実行します。

新しいOracle Key Vaultサーバーをインストールします。
前の手順の説明に従って、nCipher HSMソフトウェアをインストールします。
HSM以外のモードでの場合と同様に、Oracle Key Vaultユーザー・インタフェースからバックアップの宛先を「System Backup」ページに追加します。
管理コンソールのユーザー・インタフェースから通常どおりにバックアップを実行します。

親トピック: ベンダー固有の注意事項 - nCipher

4.3.7 リストア

Oracle Key Vaultサーバーをバックアップからリストアするには、次の手順を実行します。

ユーザー・インタフェースから「Prepare for HSM Restore」ページに移動します。
「nCipher」を「Vendor」ドロップダウン・リストから選択して、必要に応じてHSM資格証明を2回入力します。
「Set Credential」をクリックします。
SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、ユーザーをrootに切り替え(su)、次に、ユーザーをoracleに切り替えます(su)。
```
$ ssh support@okv_instance
<Enter password when prompted> 
$ su root
root# su oracle
```
次のコマンドを実行して、RFSから情報を取得します。
```
oracle$ /opt/nfast/bin/rfs-sync --update
```
通常どおりに、HSM以外のモードでユーザー・インタフェースを使用してリストアします。

親トピック: ベンダー固有の注意事項 - nCipher

4.3.8 プライマリ/スタンバイOracle Key VaultインストールでのHSM

この手順では、プライマリ/スタンバイ構成においてHSMモードで2つのOracle Key Vaultサーバーをペアにする方法を示します。プライマリとスタンバイの両方のOracle Key VaultサーバーでHSMモードを有効化してから、これらをペアにする必要があります。HSMをプライマリ/スタンバイ用に構成するには、ベンダーのドキュメントを参照してください。

プライマリ/スタンバイ・インストールでnCipher HSMを使用してOracle Key Vaultを構成するには、次の手順を実行します。

プライマリおよびスタンバイとして指定する2つのサーバーにOracle Key Vaultをインストールします。
各Oracle Key VaultサーバーにnCipher HSMソフトウェアをインストールします。
プライマリ・サーバーとして指定する予定のサーバーで、次の手順に従います。
- SSHを介して、ユーザーsupportとして指定のOracle Key Vaultプライマリ・サーバーにログインし、ユーザーをrootに切り替え(su)、次に、ユーザーをoracleに切り替えます(su)。
```
$ ssh support@okv_primary_instance
<Enter password when prompted>
$ su root
root# su oracle
```
- 次のコマンドを実行します。
```
oracle$ /opt/nfast/bin/rfs-sync --update
```
Oracle Key Vault管理コンソールのユーザー・インタフェースから、nCipherでHSMモードの目的のプライマリ・サーバーを初期化します。
プライマリ・サーバーとして指定する予定のサーバーで、次の手順に従います。
- SSHを介して、ユーザーsupportとして指定のOracle Key Vaultプライマリ・サーバーにログインし、ユーザーをrootに切り替え(su)、次に、ユーザーをoracleに切り替えます(su)。
```
$ ssh support@okv_primary_instance
<Enter password when prompted>
$ su root
root# su oracle
```
- 次のコマンドを実行します。
```
oracle$ /opt/nfast/bin/rfs-sync --commit
```
目的のスタンバイ・サーバーに対して手順3を繰り返します。
目的のプライマリで、ユーザーoracleとして次の手動による手順を実行します。
```
$ ssh support@okv_primary_instance
<Enter password when prompted>
$ su root
root# su oracle
oracle$ cd /usr/local/okv/hsm/wallet
oracle$ scp cwallet.sso support@standby:/tmp
oracle$ scp enctdepwd support@standby:/tmp
oracle$ cd /usr/local/okv/hsm/restore
oracle$ scp ewallet.p12 support@standby:/tmp
```
注意:

この手順をOracle Key Vault 12.2.0.5.0以前で実行するときは、プライマリ/スタンバイOracle Key VaultインストールでのHSMにあるコマンドを使用します。

目的のスタンバイで、ユーザーrootとして次の手動による手順を実行します。

$ ssh support@okv_standby_instance
<Enter password when prompted>
$ su root
root# cd /usr/local/okv/hsm/wallet
root# mv /tmp/enctdepwd .
root# mv /tmp/cwallet.sso .
root# chown oracle *
root# chgrp oinstall *
root# cd /usr/local/okv/hsm/restore
root# mv /tmp/ewallet.p12 .
root# chown oracle *
root# chgrp oinstall *

注意:

この手順をOracle Key Vault 12.2.0.5.0以前で実行するときは、プライマリ/スタンバイOracle Key VaultインストールでのHSMにあるコマンドを使用します。

ユーザーrootとして続行し、ファイルokv_security.confを開いて次を記述します。
```
root# vi /usr/local/okv/etc/okv_security.conf
```
このファイルに対して次の2つの更新を行います。
1. 変数HSM_ENABLEDを1に設定します。変数が存在しない場合、これを追加してその値を1に設定します。
```
HSM_ENABLED="1"
```
2. 次の行を追加します。
```
HSM_PROVIDER="2"	
```
次に、Oracle Key Vault管理コンソールのユーザー・インタフェースから通常どおりにプライマリ/スタンバイの設定を続行します。

親トピック: ベンダー固有の注意事項 - nCipher

4.4 CNSAスイートのサポート

Oracle Key Vault 12.2 BP3以降では、アプライアンス間のTLS接続についてCommercial National Security Algorithm (CNSA)に準拠しています。

CNSAスイートは強力な暗号化アルゴリズムとキー長のリストで、将来のセキュリテイおよび関連性を高めます。完全なCNSA仕様へのリンクは、この項の後の関連項目の項にあります。

12.2 BP3以降では、システムのすべてのコンポーネントで完全な準拠を提供していないことに注意してください。CNSAアルゴリズムに切り替えることがき、これはISOでパッケージ化されている2つのスクリプトによって可能になります。

1つ目のスクリプト/usr/local/okv/bin/okv_cnsaは構成ファイルを変更し、できるだけ多くのコンポーネントを更新して拡張されたアルゴリズムを使用します。これは元に戻すことができ、既存の操作の妨げにはなりません。
2つ目のスクリプト /usr/local/okv/bin/okv_cnsa_certは、CNSA準拠の公開鍵ペアと証明書を再生成します。
注意:
2つ目のスクリプト /usr/local/okv/bin/okv_cnsa_certは、古い公開鍵ペアを新しいものに置換するため、追加の作業が必要な場合があります。このため、次の操作を実行します。
- エンドポイントのエンロール: 可能な場合、このスクリプトの実行後にエンドポイントをエンロールします。CNSAスクリプトを実行する前にエンドポイントがエンロールされている場合、これらを再度エンロールして、CNSAアルゴリズムを使用してCNSA準拠の新しい鍵を生成します。
- プライマリ/スタンバイ: 可能な場合、両方のOracle Key VaultインスタンスでCNSAスクリプトを実行してからプライマリ/スタンバイ構成でこれらをペアにします。CNSAスクリプトの実行前にプライマリ/スタンバイを設定していた場合、次のようにプライマリ/スタンバイを再構成する必要があります。プライマリおよびスタンバイ・サーバーのペアを解除し、サーバーごとにCNSAスクリプトを個々に実行してから、それらを再度ペアにします。

親トピック: サポート・ガイダンス

4.4.1 CNSAスクリプトの実行

CNSAスクリプトを実行するには、次のように実行します。

Oracle Key Vaultをインストールし、インストール後のタスクを完了します。インストール後の最後のタスクはsupportユーザーのパスワードを設定することです。これはすぐに必要になります。
Oracle Key Vaultのブラウザベースの管理コンソールにログインして、サーバーへのSSHアクセスを有効化します。
supportユーザーとしてOracle Key VaultサーバーにSSHでログインします。プロンプトが表示された場合、インストール後の作業時に作成されたsupportユーザーのパスワードを入力します。
```
 $ ssh support@okv_instance
 <Enter support user password created during post-installation>
```
rootユーザーに変更します。
```
$  su root
```

rootユーザーとしてスクリプトを実行します。

root#  /usr/local/okv/bin/okv_cnsa
root#  /usr/local/okv/bin/okv_cnsa_cert

このスクリプトでは、/usr/local/okv/etc/okv_security.confにデータを移入します。

スクリプトが実行されると、行USE_ENHANCED_ALGORITHMS_ONLY="1"が追加されます。

親トピック: CNSAスイートのサポート

4.4.2 バックアップ

バックアップをリストアした後に、次のように1つ目のスクリプト/usr/local/okv/bin/okv_cnsaを再実行して拡張したCNSAアルゴリズムを使用するように構成を更新します。

Oracle Key Vault管理コンソールのユーザー・インタフェースを使用して開始されたリストア操作の後で、システムが再起動するのを待機します。

supportユーザーとしてOracle Key VaultサーバーにSSHでログインします。

 $ ssh support@okv_instance
 <Enter support user password created during post-installation>

rootユーザーに切り替えます。
```
$   su root
```
1つ目のCNSAスクリプトを実行します。
```
 root#  /usr/local/okv/bin/okv_cnsa
```

親トピック: CNSAスイートのサポート

4.4.3 アップグレード

アップグレード時に1つ目のスクリプトを再実行してCSNA準拠を確実にする必要があります。

rubyスクリプトをrootとして実行するアップグレード手順のステップ8を実行します。
```
root# /usr/bin/ruby/images/upgrade.rb --format
```
1つ目のCNSAスクリプトを実行します。
```
 root#  /usr/local/okv/bin/okv_cnsa
```
アップグレード手順のステップ9を続行します。
```
root# /sbin/reboot
```

制限事項:

CNSA準拠は、Oracle Key Vaultインフラストラクチャの一部のコンポーネント(SSHやTDEを使用したデータベース暗号化など)にはサポートされていません。
Firefoxブラウザでは、CNSAを有効化している場合にOracle Key Vault管理コンソールでの使用がサポートされていません。これは、FirefoxブラウザがCNSAで承認されている暗号スイートをサポートしていないためです。

関連項目

親トピック: CNSAスイートのサポート