10 Oracle Key Vaultのエンドポイントのエンロール

エンドポイントがOracle Key Vaultに登録された後、エンドポイント管理者がエンドポイントをエンロールおよびプロビジョニングしてKey Vaultのセキュリティ・オブジェクトを管理します。

• エンドポイントのエンロールとプロビジョニングについて
  エンドポイントは、サーバーを使用してセキュリティ・オブジェクトの格納と管理、信頼できるピアとの共有、およびそれらの取得を実行するKey Vaultクライアントです。
• エンロールとプロビジョニングのファイナライズ
  登録済エンドポイントをエンロールおよびプロビジョニングするには、エンドポイント管理者がokvclient.jarファイルをダウンロードしてインストールする必要があります。
• 環境変数およびエンドポイント・プロビジョニングのガイダンス
  Oracle Key Vaultがユーティリティにアクセスできるように、JAVA_HOMEやOKV_HOMEなどの環境変数を正しく設定する必要があります。
• Oracle Key Vaultクライアント・ソフトウェアを使用しないエンドポイント
  サード・パーティのKMIPエンドポイントでは、Oracle Key Vaultソフトウェアのokvutilおよびliborapkcs.soは使用されません。
• Transparent Data Encryptionエンドポイント管理
  Oracle Key Vaultは、TDEが外部キーストアとの通信に使用するのと同じPKCS#11インタフェースを使用することで、TDEキーを管理できます。
• エンドポイントokvclient.ora構成ファイル
  Oracle Key Vaultエンドポイント・ライブラリおよびユーティリティでは、エンドポイントに関連付けられた構成パラメータを格納するokvclient.ora構成ファイルが使用されます。

10.1 エンドポイントのエンロールとプロビジョニングについて

エンドポイントは、サーバーを使用してセキュリティ・オブジェクトの格納と管理、信頼できるピアとの共有、およびそれらの取得を実行するKey Vaultクライアントです。

これらのクライアントは、Oracle Databaseサーバー、Oracleミドルウェア・サーバー、オペレーティング・システム、その他の情報システムなどのシステムとなります。

Oracle Key Vaultシステム管理者は、最初にエンドポイントをKey Vaultに追加(または登録)してから、エンドポイントのエンロール・トークン(登録時に生成)をエンドポイント管理者に送信します。エンドポイント管理者は、エンドポイントをエンロールおよびプロビジョニングする前に、エンロール・トークンを検証します。エンロールされたエンドポイントでは、Key Vaultを使用してセキュリティ・オブジェクトをアップロード、ダウンロードおよび管理できます。

エンドポイント・エンロールは、次の表に示す3つのステップで構成されるプロセスであり、2種類の管理ユーザーによって実行されます。

表10-1 エンドポイント・エンロールの概要

ステップ#	タスク	実行担当者	エンドポイント・ステータス(Oracle Key Vault管理コンソールでの表示)
1.	システム管理者がエンドポイントを作成します。 これがOracleデータベースの場合は、キー管理者が仮想ウォレットを作成します。 システム管理者が、Oracle Key Vaultにエンドポイントを追加または登録します。エンドポイントのエンロール・トークンが生成されます。 システム管理がエンロール・トークンをエンドポイント管理者に送信して、エンロール・プロセスを完了します。	Oracle Key Vaultのシステム管理者ロールとキー管理者ロールを持つユーザー	Registered
2.	エンロール・トークンを検証します。 エンロール・トークンを送信して、エンドポイント・ソフトウェアokvclient.jarをエンドポイントにダウンロードします。	Oracle Key Vault管理コンソールを使用するエンドポイント管理者	Enrolled
3.	エンドポイントにokvclient.jarをインストールします。	エンドポイント上のエンドポイント管理者	Enrolled

エンドポイント・エンロールにより、許可されたエンドポイントのみがOracle Key Vaultと通信できるようになります。これは、通信に必要なユーティリティがokvclient.jarエンドポイント・ソフトウェア・ファイルとともにバンドルされているためです。

okvclient.jarの内容は次のとおりです。

• エンドポイントでOracle Key Vaultに対する自己認証に使用されるTransport Layer Security (TLS)証明書と秘密キー

• ルートCAとして機能するOracle Key VaultのTLS証明書

• エンドポイント・ライブラリとユーティリティ

• okvutilでokvclient.ora構成ファイルを作成するために使用されるOracle Key Vault IPアドレスなどの追加情報

Oracle Real Application Clusters (RAC)環境では、各Oracle RACノードをエンドポイントとしてエンロールおよびプロビジョニングする必要があります。Oracle RAC対応の各データベースは、Oracle Key Vaultの1つの仮想ウォレットに対応します。そのデータベースの各Oracle RACインスタンスは、Oracle Key Vaultのエンドポイントに対応します。各データベースのすべてのエンドポイントは、デフォルト・ウォレットとして同じウォレットを共有します。インスタンスごとに1つの個別のokvclient.jarをダウンロードする必要があります。

10.2 エンロールとプロビジョニングのファイナライズ

登録済エンドポイントをエンロールおよびプロビジョニングするには、エンドポイント管理者がokvclient.jarファイルをダウンロードしてからインストールする必要があります。

• ステップ1: エンドポイントのエンロールとソフトウェアのダウンロード
  エンドポイント・ソフトウェアokvclient.jarをダウンロードする前に、エンドポイントのエンロール・トークンが必要です。
• ステップ2: エンドポイント環境の準備
  正しいバージョンのJava Development Toolkit (JDK)があり、Oracle環境変数が設定されていることを確認する必要があります。
• ステップ3: エンドポイントへのOracle Key Vaultソフトウェアのインストール
  エンロール済エンドポイントの最新のエンドポイント・ソフトウェアにアップグレードするには、エンドポイントを再エンロールせずにエンドポイント・ソフトウェアをダウンロードします。
• ステップ4: インストール後タスクの実行
  インストール後の手順には、必要に応じてエンドポイントへのTDE接続の構成、インストールの内容の確認、およびokvclient.jarファイルの削除が含まれます。

10.2.1 ステップ1: エンドポイントのエンロールとソフトウェアのダウンロード

エンドポイント・ソフトウェアokvclient.jarをダウンロードする前に、エンドポイントのエンロール・トークンが必要です。

Key Vaultシステム管理者は、エンドポイントの登録後、そのエンドポイントのエンロール・トークンを電子メールまたはその他のバンド外の方式によってエンドポイント管理者に送信します。

1. エンドポイント管理者としてエンドポイント・サーバーにログインします。
2. Oracle Key Vault管理コンソールに接続します。
   次に例を示します。

   https://192.0.2.254

   Oracle Key Vault管理コンソールへのログイン・ページが表示されます。ログインしないでください。

3. ログイン・ページの右下隅で、「Login」ボタンの下にある「Endpoint Enrollment and Software Download」ボタンをクリックします。
   「Enroll Endpoint & Download Software」ページが表示されます。

   
   図ep_sw_download_page1.pngの説明

4. ページ上部で、「Enroll Endpoint & Download Software」タブをクリックします。
   次の2つのステップは、エンドポイントがOracle Key Vaultにどのように追加または登録されたかによって異なります。
5. エンドポイントがOracle Key Vaultシステム管理者によって登録された場合は、次を実行します。
   1. 「Enrollment Token」にエンドポイントのエンロール・トークンを入力し、「Submit Token」をクリックします。

      トークンが有効である場合は、そのことを示すメッセージが「Submit Token」ボタンの右側に表示されます。「Endpoint Type」、「Endpoint Platform」、「Email」および「Description」の各フィールドには、エンドポイントの登録中に入力された値が自動的に移入されます。

      トークンが無効である場合は、そのことを示すメッセージが表示されます。トークンを確認し、ダウンロード手順を再試行してください。

   2. ページの右上隅にある「Enroll」をクリックします。
6. エンドポイントが自己エンロールによって登録された場合は、次を実行します。
   1. 自己エンロールされたエンドポイントにはエンロール・トークンが存在しないため、トークン検証ステップは省略します。
   2. 「Endpoint Type」リストから、エンドポイントのタイプとして「Oracle Database」、「Oracle (non-database)」または「Other」を選択します。Transparent Data Encryption (TDE)を使用している場合は、Oracle Databaseを入力する必要があります。
   3. 「Endpoint Platform」リストから、プラットフォームとして「Linux」、「Solaris SPARC」、「Solaris x64」、「AIX」、「HPUX」または「Windows」を選択します。
   4. 「Email」フィールドに、エンドポイント管理者の通知用電子メール・アドレスを入力します。このフィールドはオプションですが、入力することをお薦めします。
   5. 「Description」フィールドに、エンドポイントを識別するためのわかりやすい説明を入力します。このフィールドもオプションですが、入力することをお薦めします。
   6. ページの右上隅にある「Enroll」をクリックします。
7. 表示されるディレクトリ・ウィンドウで、プロンプトに従ってokvclient.oraエンドポイント・ソフトウェア・ファイルを保存します。
   ファイルを保存するディレクトリに移動する必要があります。
8. 他者が読み取ったりコピーできないように、適切な権限が設定されたセキュアなディレクトリにファイルを保存します。
9. ファイルがダウンロードされていることを確認します。
   ダウンロードが失敗した場合は、エンドポイントのキー管理者から新しいエンロール・トークンを取得し、ステップ5から始まるステップを繰り返す必要があります。ファイルをエンドポイント・システムにダウンロードしなかった場合は、バンド外の方式を使用してファイルをそのシステムにコピーし、そこでインストールする必要があることに注意してください。

この段階で、エンドポイントにOracle Key Vaultのokvclient.jarソフトウェア・ファイルをインストールする準備が整い、エンドポイント環境の準備を開始できます。

10.2.2 ステップ2: エンドポイント環境の準備

Java Development Toolkit (JDK)の正しいバージョンがあり、Oracle環境変数が設定されていることを確認する必要があります。

1. エンドポイントにソフトウェアをインストールするために必要な管理権限があることを確認します。
2. JDK 1.5以降がインストールされており、PATH環境変数にjava実行可能ファイル(JAVA_HOME/binディレクトリ内)が含まれていることを確認します。
   Oracle Key Vaultは、JDKバージョン1.5、1.6、7および8をサポートしています。
3. シェル・ユーティリティのoraenvまたはsource oraenvコマンドを実行して、Oracle Databaseサーバーに正しい環境変数を設定します。
4. 環境変数ORACLE_BASEおよびORACLE_HOMEが正しく設定されていることを確認します。
   oraenvを使用してこれらの変数を設定した場合は、ORACLE_BASEがOracle Databaseのルート・ディレクトリを指し、ORACLE_HOMEがORACLE_BASEの下位のサブディレクトリ(Oracleデータベースのインストール先)を指していることを確認する必要があります。

10.2.3 ステップ3: エンドポイントへのOracle Key Vaultソフトウェアのインストール

エンロールされたエンドポイントを最新のエンドポイント・ソフトウェアにアップグレードするために、エンドポイントを再エンロールしないでエンドポイント・ソフトウェアをダウンロードできます。

1. エンドポイント管理者としてエンドポイント・サーバーにログインしていることを確認します。
2. okvclient.jarファイルを保存したディレクトリに移動します。
3. ターゲット・ディレクトリが存在し、空であることを確認してください。
4. javaコマンドを実行して、okvclient.jarファイルをインストールします。

   java -jar okvclient.jar -d /home/oracle/okvutil -v
   

   このように指定した場合:

   • -dは、エンドポイント・ソフトウェアと構成ファイルのディレクトリの場所(この例では/home/oracle/okvutil)を指定します。

   • -vを指定すると、サーバー・エンドポイントの/home/oracle/okvutil/log/okvutil.deploy.logファイルにインストール・ログが書き込まれます。

   -oは、okvclient.jarが元のディレクトリ以外のディレクトリにデプロイされている場合に、okvclient.oraへのシンボリック・リンク参照を上書きできるようにするオプションの引数です。この引数は、エンドポイントを再エンロールする場合にのみ使用されます。

   Oracle Databaseリリース11.2.0.4のみのWindowsエンドポイント・システムにokvclient.jarファイルをインストールする場合は、-db112オプションを指定します。(このオプションは、他の組合せのエンドポイントのプラットフォームまたはOracle Databaseバージョンでは必要ありません。)次に例を示します。

   java -jar okvclient.jar -d /home/oracle/okvutil -v -db112

5. パスワードの入力を求められたら、次の2つのステップのいずれかを実行します。
   オプション・パスワードは、okvutilとADMINISTER KEY MANAGEMENTの2つの場所に設定します。okvutilに指定すると、そのパスワードを知っているユーザーのみがOracle Key Vaultに対してコンテンツをアップロードまたはダウンロードできます。ADMINISTER KEY MANAGEMENTに指定すると、IDENTIFIED BY password句でそのパスワードを使用する必要があります。パスワードを指定しないと、okvutil uploadおよびdownloadコマンドでパスワードの入力が求められず、ADMINISTER KEY MANAGEMENTのパスワードはNULLになります。NULLは自動ログイン・ウォレットに使用されます。
   パスワードを処理するための選択肢は次のとおりです。
   • パスワード保護されたウォレットを作成する場合は、少なくとも8文字から30文字のパスワードを入力して[Enter]を押します。セキュリティを向上させるために、大文字、小文字、特殊文字および数字をパスワードに含めることをお薦めします。次の特殊文字を使用できます: ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、スペース。

     Enter new Key Vault endpoint password (<enter> for auto-login): Key_Vault_endpoint_password
     Confirm new endpoint password: Key_Vault_endpoint_password
     

     パスワード保護ウォレットは、エンドポイントがOracle Key Vaultにアクセスするために使用する資格証明を格納したOracle Walletファイルです。エンドポイントがOracle Key Vaultに接続するときには、このパスワードが常に必要です。

   • または、パスワードを入力せずに、[Enter]を押します。

     エンドポイントからOracle Key Vaultにokvutilで接続するときにパスワードを指定する必要がなくなります。ADMINISTER KEY MANAGEMENT文のパスワードはNULLになります。

   エンドポイント・ソフトウェアが正常にインストールされると、次のディレクトリが作成されます。

   • bin: okvutilプログラム、root.shとroot.batというスクリプト、okveps.x64とokveps.x86というバイナリ・ファイルが含まれています。

   • conf: 構成ファイルokvclient.oraが含まれています。

   • jlib: Javaライブラリ・ファイルが含まれています。

   • lib: ファイルliborapkcs.soが含まれています。

   • log: ログ・ファイルが含まれています。

   • ssl: TLS関連のファイルおよびウォレット・ファイルが含まれています。ウォレット・ファイルには、Oracle Key Vaultへの接続に使用されるエンドポイント資格証明が含まれています。

     ewallet.p12ファイルはパスワード保護ウォレットを表します。cwallet.ssoファイルは自動ログイン・ウォレットを表します。

10.2.4 ステップ4: インストール後タスクの実行

インストール後の手順には、必要に応じてエンドポイントへのTDE接続の構成、インストールの内容の確認、およびokvclient.jarファイルの削除が含まれます。

1. オプションで、エンドポイントに対してTDE接続を構成します。
   UNIXプラットフォームのliborapkcs.soファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれています。Windowsプラットフォームのliborapkcs.dllファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれています。
   • Oracle Linux x86-64、Solaris、AIXおよびHP-UX (IA)のインストールの場合: rootとしてログインし、次のいずれかのコマンドを実行します。

     $ sudo bin/root.sh
     

     または

     $ su -
     # bin/root.sh
     

     このコマンドにより、ディレクトリ・ツリー/opt/oracle/extapi/64/hsm/oracle/1.0.0が作成され、所有権および権限が変更されて、PKCS#11ライブラリがこのディレクトリにコピーされます。

   • Windowsインストールの場合: 次のコマンドを実行します。

     bin\root.bat

     このコマンドは、liborapkcs.dllファイルをC:\oracle\extapi\64\hsm\oracle\1.0.0ディレクトリにコピーします。

2. nameiやls -lなどのコマンドを使用して、インストール・ターゲット・ディレクトリの/confサブディレクトリに実在するファイルを指すソフト・リンクが$ORACLE_BASE/okv/$ORACLE_SID/okvclient.oraに作成されたことを確認します。
   ORACLE_BASE環境変数が設定されていない場合は、$ORACLE_HOME/okv/$ORACLE_SIDにソフトリンクが作成されています。
3. okvutil listコマンドを実行して、エンドポイント・ソフトウェアが正しくインストールされ、エンドポイントからOracle Key Vaultサーバーに接続できることを確認します。

   $ ./okvutil list

   エンドポイントからKey Vaultに接続できる場合は、「No objects found」というメッセージが表示されます。「Server connect failed」というメッセージが表示された場合は、インストールで問題が発生していないかどうかトラブルシューティングする必要があります。環境変数が正しく設定されていることを確認します。エンドポイント・ソフトウェアに関するヘルプを取得するには、次のコマンドを実行します。

   java -jar okvclient.jar -h
   
   

   出力は、次のようになります。

   Production on Fri Apr 12 15:03:01 PDT 2019
   Copyright (c) 1996, 2019 Oracle. All Rights Reserved.
   Usage:
     java -jar okvclient.jar [-h | -help] [[-v | -verbose] [-d <destination directory>] [-o]]
   
   Options:
     -h or -help : Display command help.
     -v or -verbose : Turn on the verbose mode. Logs will be written to files under
                      <destination directory>/log/ directory.
     -d <destination directory> : Specify the software installation directory.
     -o : Overwrite the current symbolic link to okvclient.ora.
   

4. インストールの完了後に、okvclient.jarエンドポイント・ソフトウェア・ファイルを安全に削除します。

10.3 環境変数およびエンドポイント・プロビジョニングのガイダンス

Oracle Key Vaultがユーティリティにアクセスできるように、JAVA_HOMEやOKV_HOMEなどの環境変数を正しく設定する必要があります。

• JAVA_HOMEの場所の決定方法
  okvclient.oraファイルのデフォルトの場所は、$OKV_HOME/confディレクトリです。
• okvclient.oraファイルの場所と環境変数
  $OKV_HOMEは、インストール中に-dオプションで指定されたエンドポイント・ソフトウェアのインストール先ディレクトリです。
• 非データベース・ユーティリティとOracle Key Vaultの通信に必要なOKV_HOMEの設定
  非データベース・ユーティリティの場合、エンドポイント・ソフトウェアのインストール先ディレクトリを指すように環境変数OKV_HOMEを設定する必要があります。
• sqlnet.oraファイルの環境変数
  Oracle Databaseエンドポイントでsrvctlユーティリティを使用している場合は、複数のポイントを考慮する必要があります。

10.3.1 JAVA_HOMEの場所の決定方法

okvclient.oraファイルのデフォルトの場所は、$OKV_HOME/confディレクトリです。

エンドポイントをプロビジョニングする場合、インストール・プロセスによってJavaホームの場所およびokvclient.oraファイルの場所が決定される方法を把握する必要があります。

エンドポイント・ソフトウェアのインストール・プロセスでは、次のルールに基づいてJavaホームの場所が決定されます。

• ユーザー定義のJAVA_HOME環境変数が存在する場合、インストール・プロセスではこの値が使用されます。

• JAVA_HOMEが設定されていない場合、インストール・プロセスでは、Java仮想マシン(JVM)のjava.homeシステム・プロパティ内が検索されます。

インストール・プロセスでは、決定されたJAVA_HOMEパスが、すべてのokvutilコマンドで使用されるokvclient.ora構成ファイルに追加されます。

次の方式の1つを使用することで、okvutilに、異なるJAVA_HOME設定を強制的に使用させることができます。

• okvutilを実行するシェルにJAVA_HOME環境変数を設定します。

  setenv JAVA_HOME path_to_Java_home
  

  または

  export JAVA_HOME = path_to_Java_home
  

• okvclient.ora構成ファイルで直接JAVA_HOMEプロパティを設定します。

  JAVA_HOME=path_to_Java_home

10.3.2 okvclient.oraファイルの場所と環境変数

$OKV_HOMEディレクトリは、インストール中に-dオプションで指定する、エンドポイント・ソフトウェアのインストール先ディレクトリです。

okvclient.oraファイルは、$OKV_HOME/confディレクトリ内の構成ファイルです。

インストール・プロセスでは、$OKV_HOME/confファイルに加えて、既存のデータベースのokvclient.oraへのソフト・リンクも作成されます。ソフト・リンクの場所は次のことによって異なります。

• $ORACLE_BASE環境変数が設定されている場合、インストール・プロセスは、($OKV_HOME/confの) okvclient.ora構成ファイルへのシンボリック・リンクを$ORACLE_BASE/okv/$ORACLE_SIDの場所に作成します。

  okvclient.oraファイルが$ORACLE_BASE/okv/$ORACLE_SIDの場所にすでに存在する場合、インストール・プロセスは、okvclient.oraへの既存のソフト・リンクを有効なソフト・リンクとして承認します。

• $ORACLE_BASE/okv/$ORACLE_SIDディレクトリが設定されていない場合、インストール・プロセスは作成しようと試みます。

• $ORACLE_HOME環境変数は設定されているが、$ORACLE_BASE変数は設定されていない場合、インストール・プロセスは、$ORACLE_HOME/okv/$ORACLE_SIDの場所のシンボリック・リンクを作成して、$OKV_HOME/confディレクトリにある構成ファイルを参照します。

10.3.3 非データベース・ユーティリティとOracle Key Vaultの通信に必要なOKV_HOMEの設定

非データベース・ユーティリティを使用する場合は、エンドポイント・ソフトウェアのインストール先ディレクトリを指すように環境変数OKV_HOMEを設定する必要があります。

インストール・プロセスではこの変数が自動的に設定されないため、OKV_HOMEを手動で設定する必要があります。OKV_HOMEを設定すると、ユーティリティはOracle Key Vaultと通信できます。これらのユーティリティとしては、Oracle Key Vaultにアクセスしてキーを取得するOracle Recovery Manager (RMAN)などがあります。

RMANなどのユーティリティを実行する予定のすべての環境で、OKV_HOMEを設定する必要があります。たとえば、新しいxtermウィンドウを起動する場合、RMANを実行する前にこの環境でOKV_HOMEを設定する必要があります。

10.3.4 sqlnet.oraファイルの環境変数

Oracle Databaseエンドポイントでsrvctlユーティリティを使用しているときは、いくつかの点について考慮する必要があります。

• srvctlユーティリティを使用し、かつsqlnet.ora構成ファイルに環境変数を含める場合は、それらの環境変数をオペレーティング・システムとsrvctl環境の両方で設定する必要があります。

• Oracle Databaseエンドポイントでsrvctlユーティリティを使用し、かつsqlnet.oraで環境変数を設定する場合は、オペレーティング・システムとsrvctl環境の両方で設定する必要があります。

• オペレーティング・システムとsrvctlユーティリティでは、$ORACLE_SID、$ORACLE_HOMEおよび$ORACLE_BASEが同じ値に設定される必要があります。

10.4 Oracle Key Vaultクライアント・ソフトウェアを使用しないエンドポイント

サード・パーティのKMIPエンドポイントでは、Oracle Key Vaultソフトウェアokvutilおよびliborapkcs.soは使用されません。

この場合、次の手順に従って、Transport Layer Security (TLS)認証を手動で設定する必要があります。

1. okvclient.jarファイルからsslディレクトリを抽出します。

   jar xvf okvclient.jar ssl
   

2. 次のファイルを使用してTLS認証をセットアップします。

   • ssl/key.pem: エンドポイント秘密キー

   • ssl/cert.pem: エンドポイント証明書

   • ssl/cert_req.pem: cert.pemに対応する証明書リクエスト

   • ssl/CA.pem: Oracle Key Vaultサーバー証明書を検証するためのトラスト・アンカー

10.5 Transparent Data Encryptionエンドポイント管理

Oracle Key Vaultは、TDEが外部キーストアと通信するために使用するのと同じPKCS#11インタフェースを使用してTDE鍵を管理できます。

このため、Oracle Key Vaultを使用してTDEマスター暗号化キーを格納および取得するためにデータベースをパッチする必要はありません。Oracle Key Vaultでは、Oracle Key Vaultと通信するためのPKCS#11ライブラリを提供しています。

Oracle Key Vaultでは、TDEキーの管理が改善されています。たとえば、ウォレット内のキーは、長期保持、および同じエンドポイント・グループ内の他のデータベース・エンドポイントと共有するために、Oracle Key Vaultに直接アップロードできます。このため、移行の後、無期限にウォレットに格納する必要はありません。このコンテキストにおける移行とは、ウォレット・バックアップ用にOracle Key Vaultを使用するようデータベースが構成され、管理者にオンライン・マスター・キー(旧称: TDE直接接続)に移行する意図があることを意味します。

引き続きウォレットを使用したり、WITH BACKUP SQL句を含むすべてのTDEキー管理SQL操作の一部として、ウォレットのコピーをKey Vaultにアップロードすることができます。ただし、WITH BACKUP句は、ADMINISTER KEY MANAGEMENT文で必須である場合でも、Oracle Key Vaultオンライン・キー・デプロイメントではTDEによって無視されることに注意してください。

Oracle DatabaseとTDEはOracle Key Vaultのエンドポイントです。エンドポイントをエンロールおよびインストールすると、PKCS#11ライブラリは確実に正しい場所にインストールされ、TDEが取得して使用できます。PKCS#11ライブラリがインストールされると、他のすべての構成と操作が有効になります。

例10-1に、暗号化キーの設定の例を示します。

例10-1 暗号化キーの設定

ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY secret_passphrase -- For Oracle Database 11g Release 2

ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY IDENTIFIED BY secret_passphrase WITH BACKUP; -- For Oracle Database 12c and later

10.6 エンドポイントokvclient.ora構成ファイル

Oracle Key Vaultエンドポイント・ライブラリおよびユーティリティでは、エンドポイントに関連付けられた構成パラメータを格納するokvclient.ora構成ファイルが使用されます。

okvclient.oraファイルは、等号(=)で区切られた、キーと値の組から構成されています。エンドポイント構成ファイルに次のパラメータを設定できます。

• SERVER=node1_IP:node1_port/node1_DN,node2_IP:node2_port/node2_DN,...

  このパラメータでは、Oracle Key VaultサーバーのIPアドレスとポート番号をコロン区切りで指定します。ポート番号を指定しない場合、デフォルトの標準KMIPポート5696が使用されます。

• STANDBY_SERVER=standby_server_IP:standby_server port

  これはスタンバイ・サーバーです。プライマリ・スタンバイが構成されている場合、このパラメータはスタンバイのIPアドレスを表示します。

• READ_SERVER=node1_IP:node1_port/node1_DN,node2_IP:node2_port/node2_DN,...

  このパラメータは、読取り専用サーバーのリストを指定します。

• SSL_WALLET_LOC=directory

  このパラメータは、エンドポイントのTLS証明書があるウォレットの場所を指定します。

• SERVER_POLL_TIMEOUT=timeout_value

  SERVER_POLL_TIMEOUTパラメータを使用すると、クライアントによるOracle Key Vaultサーバーへの接続の試行で、リスト内の次のサーバーを試行するまでのタイムアウトを指定できます。デフォルト値は300 (ミリ秒)です。

  Oracle Key Vaultでは、クライアントは最初にアクセス不可能なサーバーを迅速に検出するように、Oracle Key Vaultへの非ブロッキングのTCP接続を確立します。

  最初の試行後、クライアントは、サーバーへの第2および最終試行を実行しますが、今度はSERVER_POLL_TIMEOUTパラメータで指定された期間の2倍まで待機します。これは、考えられるネットワークの輻輳や遅延を克服するために行われます。

okvclient.oraファイルのCONF_ID値は一意の内部値で、OracleデータベースでOracle Key Vault内の仮想ウォレットを検出するのに役立ちます。この値は変更しないでください。