4 サポート・ガイダンス
サポート・ガイダンスでは、トラブルシューティングおよびベンダー固有のノートについて説明します。
- 一般的なトラブルシューティング
Oracle Key Vaultでは、一般的なトラブルシューティングのヘルプが提供されます。ベンダー固有のトラブルシューティングについては、ベンダー固有のノートで説明します。 - SafeNetのベンダー固有のノート
Oracle Key Vaultでは、Thalesバージョン7000からのSafeNet Luna SAハードウェア・セキュリティ・モジュールとのOracle Key Vault統合がサポートされますが、SafeNet Luna HSM用のホスト・トラスト・リンク(HTL)はサポートされません。 - nCipherのベンダー固有のノート
Oracle Key Vaultリリース12.2 BP 3以降は、nCipher nShield Connect 6000以上のHSMと統合できます。
4.1 一般的なトラブルシューティング
Oracle Key Vaultでは、一般的なトラブルシューティングのヘルプが提供されます。ベンダー固有のトラブルシューティングについては、ベンダー固有のノートで説明します。
- 問題を診断するためのトレース・ファイル
Oracle Key Vaultには、発生する可能性がある問題をより適切に診断できるように、トレース・ファイルが用意されています。 - HSMアラート
Oracle Key Vaultには、HSM構成を定期的にモニターして、トラスト・キーの可用性およびファイルの状態をチェックするアラート・メカニズムが用意されています。 - hsm_initialize: HSMのスロットを取得できない
hsm_initialize: Could Not Get Slot for HSM
エラーは、Oracle Key VaultがHSMのクライアントとして正しくエンロールされていないことを示します。 - hsm_initialize: PKCS#11ライブラリをロードできない
hsm_initialize: Could Not Load PKCS#11 Library
エラーは、Oracle Key VaultがHSMのクライアントとして正しくエンロールされていないことを示します。 - HSMが有効なOracle Key Vaultサーバーの再起動後に、Oracle Key Vault管理コンソールが起動しない
support
アカウントを使用して、この問題を解決できます。 - プライマリ/スタンバイのエラー
okv_security.conf
ファイルには、プライマリ/スタンバイのエラーの診断に役立つ設定が含まれています。 - HSMが有効になっているOracle Key Vaultバックアップからのエラー
cwallet.sso
ファイルを使用して、HSMが有効になっているOracle Key Vaultバックアップのエラーを診断できます。 - HSMが有効化されているバックアップのリストア
HSMが有効になっているバックアップをリストアする前に、正しいHSM資格証明を持っていることを確認します。
親トピック: サポート・ガイダンス
4.1.1 問題を診断するためのトレース・ファイル
Oracle Key Vaultには、発生する可能性がある問題をより適切に診断できるように、トレース・ファイルが用意されています。
これらのトレース・ファイルを使用して、ハードウェア・セキュリティ・モジュール操作を試みるときに問題をより詳細に診断します。これらのトレース・ファイルは、Oracle Key Vaultサーバーの/var/okv/log/hsm/
ディレクトリにあります。最後に失敗した操作を確認するには、最終変更時刻でトレース・ファイルをソートできます。たとえば、ls -ltr /var/okv/log/hsm
では、最後に変更されたトレース・ファイルがリストの最後に表示されます。
親トピック: 一般的なトラブルシューティング
4.1.2 HSMアラート
Oracle Key Vaultには、HSM構成を定期的にモニターして、トラスト・キーの可用性およびファイルの状態をチェックするアラート・メカニズムが用意されています。
Oracle Key VaultサーバーがHSM対応の場合、Oracle Key Vaultは5分(またはモニタリング間隔に設定した時間)ごとにHSMにアクセスして、ルート・オブ・トラスト・キーが使用可能でTDEウォレット・パスワードが復号化できることを保証します。HSM構成で問題が発生した場合(HSMにアクセスできない場合やHSMに同じIDの競合するキーがある場合など)、「Hardware Security Module」タブの上矢印が下矢印に切り替り、アラートが生成されます。下矢印は、HSMが構成されていないか、HSM構成に問題があることを示します。HSM構成で問題が発生した場合(HSMにアクセスできない場合やHSMに同じIDの競合するキーがある場合など)、「Hardware Security Module」タブの上矢印が下矢印に切り替り、アラートが生成されます。下矢印は、HSMが構成されていないか、HSM構成に問題があることを示します。アラートが発生した場合は、「HSM configuration error. Please refer to the HSM Alert section in the Oracle Key Vault Root of Trust HSM Configuration Guide」
というエラー・メッセージが表示されます。
このアラートが表示された場合は、次のステップに従います。
- 次のように、ルートとしてログインします。
$ ssh support@okv_instance_ip_address support$ su - root
- SSOウォレットをバックアップします。次に例を示します。
root# cp /mnt/okvram/cwallet.sso /var/lib/oracle/cwallet_hsm_backup.sso
- アラートの原因を診断します。
次の
verify
コマンドは、アラートが発生した理由を示します。ls -ltrh
コマンドは、出力の下部に最新のログ・ファイルを表示します。root# su - oracle oracle$ /usr/local/okv/hsm/bin/hsmclient verify oracle$ cd /var/okv/log/hsm oracle$ ls -ltrh
- この問題を解決できない場合は、Oracleサポートに問い合せてください。
親トピック: 一般的なトラブルシューティング
4.1.3 hsm_initialize: HSMのスロットを取得できない
hsm_initialize: Could Not Get Slot for HSM
エラーは、Oracle Key VaultがHSMのクライアントとして正しくエンロールされていないことを示します。
詳細は、ベンダー固有の手順を確認してください。
親トピック: 一般的なトラブルシューティング
4.1.4 hsm_initialize: PKCS#11ライブラリをロードできない
hsm_initialize: Could Not Load PKCS#11 Library
エラーは、Oracle Key VaultがHSMのクライアントとして正しくエンロールされていないことを示します。
詳細は、ベンダー固有の手順を確認してください。
親トピック: 一般的なトラブルシューティング
4.1.5 HSMが有効なOracle Key Vaultサーバーの再起動後に、Oracle Key Vault管理コンソールが起動しない
support
アカウントを使用して、この問題を解決できます。
HSMが有効になっているOracle Key Vaultサーバーを再起動した後にOracle Key Vault管理コンソールが表示されない場合は、SSHを使用してユーザーsupport
としてOracle Key Vaultサーバーにログインし、次のようにウォレットを手動で開いてみます。
$ ssh support@okv_instance_ip_address
support$ su root
root# su oracle
oracle$ cd /usr/local/okv/hsm/bin
oracle$ ./hsmclient open_wallet
open_wallet
コマンドが成功すると、HSM以外の問題が他にない場合は、データベースが開き、管理コンソールが表示されます。コマンドが成功しない場合は、/var/okv/log/hsm
の下にある最新のログ・ファイルを調べ、ベンダー固有の説明を確認します。
親トピック: 一般的なトラブルシューティング
4.1.6 プライマリ/スタンバイのエラー
okv_security.conf
ファイルには、プライマリ/スタンバイのエラーの診断に役立つ設定が含まれています。
-
ファイルがスタンバイ・サーバーに転送されていることを確認します。
スタンバイ・サーバーで、rootとして
ls -l
コマンドを実行します。root# ls -l /usr/local/okv/hsm/wallet -rw------- 1 oracle oinstall 324 May 16 22:57 cwallet.sso -rw------- 1 oracle oinstall 176 May 16 22:57 enctdepwd root# ls -l /usr/local/okv/hsm/restore -rw------- 1 oracle oinstall 320 May 16 22:57 ewallet.p12
/usr/local/okv/hsm/wallet
ディレクトリにあるcwallet.sso
およびenctdepwd
と、/usr/local/okv/hsm/restore
ディレクトリにあるewallet.p12
を確認する必要があります。 -
スタンバイ・サーバーでモードがHSMに設定されていることを確認します。
スタンバイ・サーバーで、
root
としてokv_security.conf
ファイルを開きます。root# cat /usr/local/okv/etc/okv_security.conf Look for the line: HSM_ENABLED="1"
二重引用符で囲まれた数値を確認する必要があります。
-
ベンダー固有の手順を確認します。
親トピック: 一般的なトラブルシューティング
4.1.7 HSMが有効になっているOracle Key Vaultバックアップからのエラー
cwallet.sso
ファイルを使用して、HSMが有効になっているOracle Key Vaultバックアップのエラーを診断できます。
次のように、ターゲットでpre_restore
コマンドが実行されていることを確認する必要があります。
バックアップのリストア先となるOracle Key Vaultサーバーで、root
としてコマンドls -l
を実行します。
root# ls -l /usr/local/okv/hsm/wallet
-rw------- 1 oracle oinstall 324 May 16 22:57 cwallet.sso
ウォレット・ファイルcwallet.sso
を確認する必要があります。
HSMベンダーの手順に従っていることを確認する必要もあります。
親トピック: 一般的なトラブルシューティング
4.1.8 HSMが有効化されているバックアップのリストア
HSMが有効になっているバックアップをリストアする前に、正しいHSM資格証明を持っていることを確認します。
この資格証明については、HSMドキュメントを参照してください。SafeNetの場合、資格証明はSafeNetパーティション・パスワードです。nCipherの場合、資格証明はOperator Card Setのパスワードです。
この手順はリストア操作でのみ使用し、かつ、HSM資格証明を正しく入力する必要があります。誤った資格証明を入力した場合またはOracle Key VaultがHSMに接続できない場合、資格証明は格納されません。Oracle Key VaultがHSMのクライアントとしてエンロールされていることを確認してから、正しい資格証明が入力されていることを確認してください。
Oracle Key VaultをHSMのクライアントとしてエンロールする方法の詳細は、HSMのクライアントとしてのOracle Key Vaultのエンロールを参照してください。
親トピック: 一般的なトラブルシューティング
4.2 SafeNetのベンダー固有のノート
Oracle Key Vaultでは、Thalesバージョン7000からのSafeNet Luna SAハードウェア・セキュリティ・モジュールとのOracle Key Vault統合がサポートされますが、SafeNet Luna HSM用のホスト・トラスト・リンク(HTL)はサポートされません。
- SafeNet用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール
インストールには、Linux x64向けのSafeNetクライアント・バージョン6.2を使用する必要があります。 - SafeNetのHSM資格証明
HSM資格証明は、SafeNetパーティション・パスワードです。 - SafeNet HSMのクライアントとしてのOracle Key Vaultのエンロール
エンロールを実行するには、コマンドラインでclient
コマンドを使用する必要があります。 - SafeNetのHSMプロバイダ値
Safenetの場合、プロバイダ値は1です。 - SafeNetのHSMベンダー固有のチェック
SafeNetベンダー固有の設定を確認する必要があります。
親トピック: サポート・ガイダンス
4.2.1 SafeNet用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール
インストールには、Linux x64向けのSafeNetクライアント・バージョン6.2を使用する必要があります。
-
SafeNetクライアント・ソフトウェア・パッケージ、Linux x64向けバージョン6.2を取得します。
-
SafeNetクライアント・ソフトウェア・パッケージをOracle Key Vaultマシンに転送します。SCPの使用をお薦めします。たとえば、SafeNetクライアント・ソフトウェア・パッケージを
safenet.tar
とすると、次のようになります。$ scp safenet.tar support@okv_instance_ip_address:/tmp
-
SafeNetクライアント・ソフトウェアをOracle Key Vaultにインストールします。
-
SSHを介して、ユーザー
support
としてOracle Key Vaultサーバーにログインし、ユーザーをroot
に切り替えます(su
)。$ ssh support@okv_instance_ip_address support$ su root root# cd /usr/local/okv/hsm root# cp /tmp/safenet.tar /usr/local/okv/hsm root# tar -xvf safenet.tar root# cd 64 root# ./install.sh
-
プロンプトに
「y」
と入力して、SafeNetライセンスを承認します。 -
連続して表示されるプロンプトで
「1」
、「n」
、「i」
と入力してLuna SAをインストールします。これにより、SafeNetソフトウェアが
/usr/safenet/lunaclient
ディレクトリにインストールされます。 -
/tmpディレクトリから
safenet.tar
ファイルを削除します。root# rm -f /tmp/safenet.tar
親トピック: SafeNetのベンダー固有のノート
4.2.2 SafeNetのHSM資格証明
HSM資格証明は、SafeNetパーティション・パスワードです。
SafeNetをHSMとして使用している場合は、SafeNet assignPassword
コマンドを使用して、HSM SafeNetパーティション・パスワードをパーティションの資格証明として割り当てることができます。その後、Oracle Key Vaultは、パーティションに接続する必要があるときにこのパスワードを使用します。
親トピック: SafeNetのベンダー固有のノート
4.2.3 SafeNet HSMのクライアントとしてのOracle Key Vaultのエンロール
エンロールを実行するには、コマンドラインでclient
コマンドを使用する必要があります。
-
管理コンソールを介してOracle Key VaultのDNSサーバーを設定します。システム管理者ロールを持つユーザーとしてOracle Key Vault管理コンソールにログインし、DNS設定領域にアクセスするために、「System」タブから、「System Settings」を選択します。
このステップは、SafeNet Luna SA HSMがOracle Key Vaultと通信するために必要です。
HSMのクライアントとして登録する各Oracle Key Vaultサーバーで、DNSサーバーを構成する必要があります。プライマリ/スタンバイ環境では、ペアリングの前に、プライマリ・サーバーとスタンバイ・サーバーの両方でDNSサーバーを構成します。マルチマスター・クラスタの場合は、HSMのクライアントとして登録されるクラスタ内の各ノードで、DNSを構成します。
HSM構成とともにDNSを使用している場合は、バグ24478865 (Oracle Key Vaultリリース18.2以降で修正済)という既知の問題があるのため、DNSエントリが両方とも次の場所にあることを確認します。
- Oracle Key Vault管理コンソール: 「System」タブから、「System Settings」を選択して、そのページのDNS設定を確認します。
/etc/resolv.conf
ファイル
-
Oracle Key VaultとSafeNet Luna SA HSMの間で証明書を交換します。
SSHを介して、ユーザー
support
としてOracle Key Vaultサーバーにログインし、ユーザーをroot
に切り替えます(su
)。$ ssh support@okv_instance_ip_address support$ su root root# cd /usr/safenet/lunaclient/bin root# scp admin@hsm_hostname:server.pem . root# ./vtl addServer -n hsm_hostname -c server.pem root# ./vtl createCert -n okv_hostname root# scp /usr/safenet/lunaclient/cert/client/okv_hostname.pem admin@hsm_hostname:
HSMとともにSCPを使用する際は、HSM管理パスワードを入力する必要があります。
-
Luna SAのクライアントとしてOracle Key Vaultを登録します。
これにより、SafeNet Luna SA HSMに設定されたパーティションがあると想定されます。まだ取得されていない任意のクライアント名を使用できます。Oracle Key Vaultインスタンスを識別する説明的な名前を使用することをお薦めします。
admin@hsm_hostname
へのSSHを使用して管理パスワードを入力し、HSM管理コンソールにアクセスします。$ client register -client client_name -hostname okv_hostname $ client hostip map -c client_name -i okv_ip_address $ client assignPartition -client client_name -partition partition_name
-
次のように、エンロールを確認します。
SSHを使用してsupportユーザーとしてOracle Key Vaultにログインします。
$ ssh support@okv_instance_ip_address support$ su root root# cd /usr/safenet/lunaclient/bin root# ./vtl verify
次の出力が表示されます。
The following Luna SA Slots/Partitions were found: Slot Serial # Label ==== ========== ===== 1 serial_number partition_name
親トピック: SafeNetのベンダー固有のノート
4.2.4 SafeNetのHSMプロバイダ値
Safenetの場合、プロバイダ値は1です。
この値をプライマリ/スタンバイに手動で設定する場合は、okv_security.conf
ファイルでHSM_PROVIDER="1"
と設定します。プライマリ/スタンバイ・デプロイメントでのHSMの有効化の詳細は、高可用性デプロイメントでのHSMの有効化を参照してください。
親トピック: SafeNetのベンダー固有のノート
4.2.5 SafeNetのHSMベンダー固有のチェック
SafeNetベンダー固有の設定を確認する必要があります。
次のように、すべてのOracle Key VaultサーバーのHSMへの接続を確認できます。
SSHを使用してsupport
ユーザーとしてOracle Key Vaultサーバーにログインします。
$ ssh support@okv_instance_ip_address
support$ su root
root# cd /usr/safenet/lunaclient/bin
root# ./vtl verify
HSMが適切に設定されていると、次の出力が表示されます。
The following Luna SA Slots/Partitions were found:
Slot Serial # Label
==== ======== =====
1 [serial #] [partition name]
この出力が表示されない場合、HSMが適切に設定されていないことを意味します。次のように、詳細に診断できます。
-
Luna SA管理コンソールにログインします。
-
client show -client client_name
コマンドを入力します。 -
予期したクライアントが存在し、パーティションが割り当てられていることを確認します。
-
存在しない場合は、次のコマンドでクライアントを登録します。
client register -client client_name-hostname host_name
-
パーティションが割り当てられていない場合は、次のコマンドを使用してパーティションを割り当てます。
client assignPartition -client client_name -partition partition_name
-
すべてのクライアントIPアドレスが正しくマッピングされていることを確認します。エントリがない場合は、次のコマンドを実行します。
client hostip map -c client_name -i ip_address
-
vtl verify
コマンドを使用して、Key VaultがHSMに到達できることを確認します。$ su root root# cd /usr/safenet/lunaclient/bin root# ./vtl verify
出力結果は次のようになります。The following Luna SA Slots/Partitions were found: Slot Serial # Label ==== ======== ===== 1 [serial #] [partition name]
コマンドが失敗した場合、Oracle Key VaultサーバーがHSMに接続できないことを意味します。
vtl verify
機能をリストアする手順については、ベンダーの他のトラブルシューティングに関する項を参照してください。HSM管理者に問い合せて、HSMに対するOracle Key Vaultのアクセス権が取り消されていないことを確認します。問題を解決できない場合は、Oracleサポートに問い合せてください。
親トピック: SafeNetのベンダー固有のノート
4.3 nCipherのベンダー固有のノート
Oracle Key Vaultリリース12.2 BP 3以降は、nCipher nShield Connect 6000以上のHSMと統合できます。
- nCipher用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール
nCipher HSMには、リモート・ファイル・システムとして使用するためにHSM以外の別のコンピュータがネットワーク上に必要です。 - nCipherのHSM資格証明
HSM資格証明はOperator Card Setのパスワードです。 - nCipher HSMのクライアントとしてのOracle Key Vaultのエンロール
nCipherのユーザー・インタフェースとコマンドラインの両方を使用して、Oracle Key VaultをnCipher HSMのクライアントとしてエンロールします。 - nCipherのHSMプロバイダ値
nCipherの場合、プロバイダの値は2です。 - nCipherのHSMインスタンスの有効化
HSMソフトウェアをインストールしてOracle Key VaultをHSMクライアントとしてエンロールした後、Oracle Key VaultインスタンスのnCipher HSMを有効にできます。 - nCipherのバックアップ操作
Oracle Key Vaultサーバーは、HSMモードでバックアップできます。 - nCipherのリストア操作
Oracle Key Vaultサーバーは、nCipherのバックアップからリストアできます。 - nCipher用のプライマリ/スタンバイOracle Key VaultインストールでのHSM
nCipher用のプライマリ/スタンバイ構成で、HSM対応ノードが含まれる2つのOracle Key Vaultサーバーをペアにすることができます。 - nCipherを使用したHSMのアップグレード
Oracle Key Vaultリリース18.1以降から上位バージョンにアップグレードする際、HSMが有効になっている場合にのみアップグレードできます。
親トピック: サポート・ガイダンス
4.3.1 nCipher用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール
nCipher HSMには、リモート・ファイル・システムとして使用するためにHSM以外の別のコンピュータがネットワーク上に必要です。
このコンピュータを設定して、nCipherソフトウェア・ファイルをこれにコピーしてから起動します。
-
SSHを使用してsupportユーザーとしてOracle Key Vaultサーバーにログインします。
$ ssh support@okv_instance_ip_address
-
root
に切り替えます。support$ su root
-
root
ディレクトリに移動して、ディレクトリctls
、hwsp
およびpkcs11
を作成します。root# cd /root root# mkdir ctls root# mkdir hwsp root# mkdir pkcs11
-
次のようにセキュア・コピー(SCP)プロトコルを使用して、nCipherソフトウェア・インストール・ファイルを転送します。
次に例を示します。root# scp user@remote_file_system_computer:/source_directory/ncipher/nfast/ctls/agg.tar ctls root# scp user@remote_file_system_computer:/source_directory/ncipher/nfast/hwsp/agg.tar hwsp root# scp user@remote_file_system_computer:/source_directory/ncipher/nfast/pkcs11/user.tar pkcs11
-
次のように、これらのファイルをインストールします。
root# cd / root# tar xvf /root/ctls/agg.tar root# tar xvf /root/hwsp/agg.tar root# tar xvf /root/pkcs11/user.tar root# /opt/nfast/sbin/install
-
root
,として、Oracle Key Vaultサーバーへの追加の編集を実行します。root# usermod -a -G nfast oracle root# cd /etc/rc.d/rc5.d root# mv S50nc_hardserver S40nc_hardserver root# cd /etc/rc.d/rc3.d root# mv S50nc_hardserver S41nc_hardserver
-
ユーザー
oracle
に切り替えて、インストールを確認します。root# su oracle oracle$ PATH=/opt/nfast/bin:$PATH oracle$ export PATH oracle$ enquiry
出力に状態がoperational
と示されます。 -
グループの変更を有効にするため、Oracle Key Vaultを再起動します。
Oracle Key Vault管理コンソールで、システム管理者ロールを持っているユーザーとしてログインします。「System」タブを選択し、「System Settings」を選択します。次に、「Reboot」ボタンをクリックします。
親トピック: nCipherのベンダー固有のノート
4.3.3 nCipher HSMのクライアントとしてのOracle Key Vaultのエンロール
nCipherのユーザー・インタフェースとコマンドラインの両方を使用して、Oracle Key VaultをnCipher HSMのクライアントとしてエンロールします。
-
HSM管理者としてnCipherユーザー・インタフェースにログインします。
-
フロント・パネルを使用して、HSMのクライアント・リストにOracle Key VaultサーバーのIPアドレスを追加します。任意のポートで権限付きのものを選択します。
- プライマリ/スタンバイ環境では、nCipher HSMを使用するためにプライマリ・サーバーとスタンバイ・サーバーの両方を登録します。
- マルチマスター・クラスタ環境では、nCipher HSMを使用する各Oracle Key Vaultノードを登録します。
-
ユーザー
oracle
に切り替えます。root# su oracle oracle$ PATH=/opt/nfast/bin:$PATH oracle$ export PATH
-
Oracle Key Vaultサーバー上でHSMを使用してエンロールします。
oracle$ nethsmenroll hsm_ip_address hsm_esn hsm_keyhash
-
TCPソケットを構成します。
oracle$ config-serverstartup --enable-tcp --enable-privileged-tcp
-
root
に切り替えて、hardserver (HSMと通信するnCipherクライアント・プロセス)を再起動します。oracle$ su root root# /opt/nfast/sbin/init.d-ncipher restart
-
リモート・ファイル・システム・コンピュータで、次のコマンドを実行します。
$ rfs-setup --gang-client --write-noauth okv_server_ip_address
-
Oracle Key Vaultサーバー上でユーザー
oracle
として次のコマンドを実行します。oracle$ rfs-sync --setup --no-authenticate remote_file_system_ip_address oracle$ rfs-sync --update
-
次のようにPKCS#11アクセスをテストします。
root# /opt/nfast/bin/ckcheckinst
モジュールがリストされ、プロンプトが表示されます。確認または終了します。 -
構成ファイル
/opt/nfast/cknfastrc
をユーザーroot
として作成します。次の行をファイルに記述します。CKNFAST_NO_ACCELERATOR_SLOTS=1 CKNFAST_OVERRIDE_SECURITY_ASSURANCES=explicitness;tokenkeys;longterm
-
HSMによるOracle Key Vault TDEマスター・キーの保護の説明に従ってステップを実行します。
-
Oracle Key Vaultサーバー上でユーザー
oracle
として次のコマンドを実行します。oracle$ /opt/nfast/bin/rfs-sync --commit
親トピック: nCipherのベンダー固有のノート
4.3.4 nCipherのHSMプロバイダ値
nCipherの場合、プロバイダの値は2です。
この値をプライマリ/スタンバイに手動で設定する場合は、HSM_PROVIDER="2"
と設定します。プライマリ/スタンバイ・デプロイメントでのHSMの有効化の詳細は、高可用性デプロイメントでのHSMの有効化を参照してください。
親トピック: nCipherのベンダー固有のノート
4.3.5 nCipherのHSMインスタンスの有効化
HSMソフトウェアをインストールしてOracle Key VaultをHSMクライアントとしてエンロールした後、Oracle Key VaultインスタンスのnCipher HSMを有効にできます。
Oracle Key Vault管理コンソールを使用してnCipher HSMを有効にします。
- システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
マルチマスター・クラスタ環境の場合は、HSMを有効にする各Oracle Key Vaultノードにログインします。
- 「System」タブをクリックします。
- 左側のサイドバーで「Hardware Security Module」をクリックします。
「Hardware Security Module」ページが表示されます。赤い下向き矢印は、初期化が済んでいないステータスを示します。「Type」フィールドには「None」と表示されます。
- 「Initialize」をクリックします。
- 「Initialize HSM」ページで、次を実行します。
- 「Vendor」メニューから、「nCipher」を選択します。
- nCipher HSMのHSM資格証明(Operator Card Setのパスワード)を入力し、再度入力します。
- Oracle Key Vaultリカバリ・パスフレーズを入力します。
- 「Initialize」をクリックします。
親トピック: nCipherのベンダー固有のノート
4.3.6 nCipherのバックアップ操作
Oracle Key Vaultサーバーは、HSMモードでバックアップできます。
-
新しいOracle Key Vaultサーバーをインストールします。
-
nCipher HSMソフトウェアをインストールします。
-
HSMが有効になっていないノードでの場合と同様に、Oracle Key Vaultユーザー・インタフェースからバックアップ先を「System Backup」ページで追加します。
-
管理コンソールのユーザー・インタフェースから通常どおりにバックアップを実行します。
4.3.7 nCipherのリストア操作
Oracle Key Vaultサーバーは、nCipherのバックアップからリストアできます。
- システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
- 「System」タブをクリックします。
- 左側のサイドバーで「Hardware Security Module」をクリックします。
- 「Set Credential」をクリックして、「Prepare for HSM Restore」ページを表示します。
-
「nCipher」を「Vendor」ドロップダウン・リストから選択して、必要に応じてHSM資格証明を2回入力します。
nCipherのHSM資格証明はOperator Card Setのパスワードです。
-
「Set Credential」をクリックします。
-
SSHを介して、ユーザー
support
としてOracle Key Vaultサーバーにログインし、ユーザーをroot
に切り替え(su
)、次に、ユーザーをoracle
に切り替えます(su
)。$ ssh support@okv_instance_ip_address support$ su root root# su oracle
-
次のコマンドを実行して、リモート・ファイル・システムから情報を取得します。
oracle$ /opt/nfast/bin/rfs-sync --update
-
HSMが有効になっていないノードの場合と同様に、Oracle Key Vault管理コンソールを使用してリストアします。
4.3.8 nCipher用のプライマリ/スタンバイOracle Key VaultインストールでのHSM
nCipher用のプライマリ/スタンバイ構成で、HSM対応ノードが含まれる2つのOracle Key Vaultサーバーをペアにすることができます。
プライマリとスタンバイの両方のOracle Key VaultサーバーのノードでHSMを有効にしてから、これらをペアにする必要があります。HSMをプライマリ/スタンバイ用に構成するには、ベンダーのドキュメントを参照してください。
-
プライマリおよびスタンバイとして指定する2つのサーバーにOracle Key Vaultをインストールします。
-
各Oracle Key VaultサーバーにnCipher HSMソフトウェアをインストールします。
-
プライマリ・サーバーとして使用するサーバーで、次を実行します。
-
SSHを介して、ユーザー
support
として指定のOracle Key Vaultプライマリ・サーバーにログインし、ユーザー(su
)をroot
に切り替え、次に、ユーザー(su
)をoracle
に切り替えます。$ ssh support@okv_primary_instance_ip_address support$ su root root# su oracle
-
次のコマンドを実行します。
oracle$ /opt/nfast/bin/rfs-sync --update
-
-
Oracle Key Vault管理コンソールのユーザー・インタフェースから、nCipher HSM対応ノードの目的のプライマリ・サーバーを初期化します。
-
プライマリ・サーバーとして使用するサーバーで、次を実行します。
-
SSHを介して、ユーザー
support
として指定のOracle Key Vaultプライマリ・サーバーにログインし、ユーザーをroot
に切り替え(su
)、次に、ユーザーをoracle
に切り替えます(su
)。$ ssh support@okv_primary_instance_ip_address support$ su root root# su oracle
-
次のコマンドを実行します。
oracle$ /opt/nfast/bin/rfs-sync --commit
-
-
目的のスタンバイ・サーバーに対してステップ3を繰り返します。
-
目的のプライマリで、ユーザー
oracle
として次の手動によるステップを実行します。$ ssh support@okv_primary_instance_ip_address support$ su root root# su oracle oracle$ cd /usr/local/okv/hsm/wallet oracle$ scp cwallet.sso support@standby:/tmp oracle$ scp enctdepwd support@standby:/tmp oracle$ cd /usr/local/okv/hsm/restore oracle$ scp ewallet.p12 support@standby:/tmp
-
目的のスタンバイで、ユーザー
root
として次の手動によるステップを実行します。$ ssh support@okv_standby_instance_ip_address support$ su root root# cd /usr/local/okv/hsm/wallet root# mv /tmp/enctdepwd . root# mv /tmp/cwallet.sso . root# chown oracle * root# chgrp oinstall * root# cd /usr/local/okv/hsm/restore root# mv /tmp/ewallet.p12 . root# chown oracle * root# chgrp oinstall *
ノート:
この手順をOracle Key Vault 12.2.0.5.0以前で実行するときは、リリース12.2以前のプライマリ/スタンバイOracle Key VaultインストールでのHSMの有効化のコマンドを使用します。
-
ユーザー
root
として続行し、ファイルokv_security.conf
を開きます。root# vi /usr/local/okv/etc/okv_security.conf
-
このファイルに対して次の2つの更新を行います。
-
変数
HSM_ENABLED
を1に設定します。変数が存在しない場合、これを追加してその値を1に設定します。HSM_ENABLED="1"
-
次の行を追加します。
HSM_PROVIDER="2"
-
-
Oracle Key Vault管理コンソールを使用して、プライマリ/スタンバイ環境の構成に進みます。
親トピック: nCipherのベンダー固有のノート
4.3.9 nCipherを使用したHSMのアップグレード
Oracle Key Vaultリリース18.1以降から上位バージョンにアップグレードする際、HSMが有効になっている場合にのみアップグレードできます。
親トピック: nCipherのベンダー固有のノート