1. ルート・オブ・トラストHSM構成ガイド
  2. サポート・ガイダンス

4 サポート・ガイダンス

サポート・ガイダンスでは、トラブルシューティングおよびベンダー固有のノートについて説明します。

  • 一般的なトラブルシューティング
    Oracle Key Vaultでは、一般的なトラブルシューティングのヘルプが提供されます。ベンダー固有のトラブルシューティングについては、ベンダー固有のノートで説明します。
  • SafeNetのベンダー固有のノート
    Oracle Key Vaultでは、Thalesバージョン7000からのSafeNet Luna SAハードウェア・セキュリティ・モジュールとのOracle Key Vault統合がサポートされますが、SafeNet Luna HSM用のホスト・トラスト・リンク(HTL)はサポートされません。
  • nCipherのベンダー固有のノート
    Oracle Key Vaultリリース12.2 BP 3以降は、nCipher nShield Connect 6000以上のHSMと統合できます。

4.1 一般的なトラブルシューティング

Oracle Key Vaultでは、一般的なトラブルシューティングのヘルプが提供されます。ベンダー固有のトラブルシューティングについては、ベンダー固有のノートで説明します。

親トピック: サポート・ガイダンス

4.1.1 問題を診断するためのトレース・ファイル

Oracle Key Vaultには、発生する可能性がある問題をより適切に診断できるように、トレース・ファイルが用意されています。

これらのトレース・ファイルを使用して、ハードウェア・セキュリティ・モジュール操作を試みるときに問題をより詳細に診断します。これらのトレース・ファイルは、Oracle Key Vaultサーバーの/var/okv/log/hsm/ディレクトリにあります。最後に失敗した操作を確認するには、最終変更時刻でトレース・ファイルをソートできます。たとえば、ls -ltr /var/okv/log/hsmでは、最後に変更されたトレース・ファイルがリストの最後に表示されます。

親トピック: 一般的なトラブルシューティング

4.1.2 HSMアラート

Oracle Key Vaultには、HSM構成を定期的にモニターして、トラスト・キーの可用性およびファイルの状態をチェックするアラート・メカニズムが用意されています。

Oracle Key VaultサーバーがHSM対応の場合、Oracle Key Vaultは5分(またはモニタリング間隔に設定した時間)ごとにHSMにアクセスして、ルート・オブ・トラスト・キーが使用可能でTDEウォレット・パスワードが復号化できることを保証します。HSM構成で問題が発生した場合(HSMにアクセスできない場合やHSMに同じIDの競合するキーがある場合など)、「Hardware Security Module」タブの上矢印が下矢印に切り替り、アラートが生成されます。下矢印は、HSMが構成されていないか、HSM構成に問題があることを示します。HSM構成で問題が発生した場合(HSMにアクセスできない場合やHSMに同じIDの競合するキーがある場合など)、「Hardware Security Module」タブの上矢印が下矢印に切り替り、アラートが生成されます。下矢印は、HSMが構成されていないか、HSM構成に問題があることを示します。アラートが発生した場合は、「HSM configuration error. Please refer to the HSM Alert section in the Oracle Key Vault Root of Trust HSM Configuration Guide」というエラー・メッセージが表示されます。

このアラートが表示された場合は、次のステップに従います。

  1. 次のように、ルートとしてログインします。 
    $ ssh support@okv_instance_ip_address
support$ su - root
  2. SSOウォレットをバックアップします。次に例を示します。
    root# cp /mnt/okvram/cwallet.sso /var/lib/oracle/cwallet_hsm_backup.sso
  3. アラートの原因を診断します。

    次のverifyコマンドは、アラートが発生した理由を示します。ls -ltrhコマンドは、出力の下部に最新のログ・ファイルを表示します。 

    root# su - oracle
oracle$ /usr/local/okv/hsm/bin/hsmclient verify
oracle$ cd /var/okv/log/hsm
oracle$ ls -ltrh
  4. この問題を解決できない場合は、Oracleサポートに問い合せてください。

親トピック: 一般的なトラブルシューティング

4.1.3 hsm_initialize: HSMのスロットを取得できない

hsm_initialize: Could Not Get Slot for HSMエラーは、Oracle Key VaultがHSMのクライアントとして正しくエンロールされていないことを示します。

詳細は、ベンダー固有の手順を確認してください。

親トピック: 一般的なトラブルシューティング

4.1.4 hsm_initialize: PKCS#11ライブラリをロードできない

hsm_initialize: Could Not Load PKCS#11 Libraryエラーは、Oracle Key VaultがHSMのクライアントとして正しくエンロールされていないことを示します。

詳細は、ベンダー固有の手順を確認してください。

親トピック: 一般的なトラブルシューティング

4.1.5 HSMが有効なOracle Key Vaultサーバーの再起動後に、Oracle Key Vault管理コンソールが起動しない

supportアカウントを使用して、この問題を解決できます。

HSMが有効になっているOracle Key Vaultサーバーを再起動した後にOracle Key Vault管理コンソールが表示されない場合は、SSHを使用してユーザーsupportとしてOracle Key Vaultサーバーにログインし、次のようにウォレットを手動で開いてみます。 

$ ssh support@okv_instance_ip_address
support$ su root 
root# su oracle
oracle$ cd /usr/local/okv/hsm/bin
oracle$ ./hsmclient open_wallet

open_walletコマンドが成功すると、HSM以外の問題が他にない場合は、データベースが開き、管理コンソールが表示されます。コマンドが成功しない場合は、/var/okv/log/hsmの下にある最新のログ・ファイルを調べ、ベンダー固有の説明を確認します。

親トピック: 一般的なトラブルシューティング

4.1.6 プライマリ/スタンバイのエラー

okv_security.confファイルには、プライマリ/スタンバイのエラーの診断に役立つ設定が含まれています。

  1. ファイルがスタンバイ・サーバーに転送されていることを確認します。

    スタンバイ・サーバーで、rootとしてls -lコマンドを実行します。 

    root# ls -l /usr/local/okv/hsm/wallet
-rw------- 1 oracle oinstall 324 May 16 22:57 cwallet.sso
-rw------- 1 oracle oinstall 176 May 16 22:57 enctdepwd
root# ls -l /usr/local/okv/hsm/restore
-rw------- 1 oracle oinstall 320 May 16 22:57 ewallet.p12

    /usr/local/okv/hsm/walletディレクトリにあるcwallet.ssoおよびenctdepwdと、/usr/local/okv/hsm/restoreディレクトリにあるewallet.p12を確認する必要があります。

  2. スタンバイ・サーバーでモードがHSMに設定されていることを確認します。

    スタンバイ・サーバーで、rootとしてokv_security.confファイルを開きます。 

    root# cat /usr/local/okv/etc/okv_security.conf
 Look for the line:
 HSM_ENABLED="1"

    二重引用符で囲まれた数値を確認する必要があります。

  3. ベンダー固有の手順を確認します。

親トピック: 一般的なトラブルシューティング

4.1.7 HSMが有効になっているOracle Key Vaultバックアップからのエラー

cwallet.ssoファイルを使用して、HSMが有効になっているOracle Key Vaultバックアップのエラーを診断できます。

次のように、ターゲットでpre_restoreコマンドが実行されていることを確認する必要があります。

バックアップのリストア先となるOracle Key Vaultサーバーで、rootとしてコマンドls -lを実行します。 

root# ls -l /usr/local/okv/hsm/wallet
-rw------- 1 oracle oinstall 324 May 16 22:57 cwallet.sso

ウォレット・ファイルcwallet.ssoを確認する必要があります。

HSMベンダーの手順に従っていることを確認する必要もあります。

親トピック: 一般的なトラブルシューティング

4.1.8 HSMが有効化されているバックアップのリストア

HSMが有効になっているバックアップをリストアする前に、正しいHSM資格証明を持っていることを確認します。

この資格証明については、HSMドキュメントを参照してください。SafeNetの場合、資格証明はSafeNetパーティション・パスワードです。nCipherの場合、資格証明はOperator Card Setのパスワードです。

この手順はリストア操作でのみ使用し、かつ、HSM資格証明を正しく入力する必要があります。誤った資格証明を入力した場合またはOracle Key VaultがHSMに接続できない場合、資格証明は格納されません。Oracle Key VaultがHSMのクライアントとしてエンロールされていることを確認してから、正しい資格証明が入力されていることを確認してください。

Oracle Key VaultをHSMのクライアントとしてエンロールする方法の詳細は、HSMのクライアントとしてのOracle Key Vaultのエンロールを参照してください。

親トピック: 一般的なトラブルシューティング

4.2 SafeNetのベンダー固有のノート

Oracle Key Vaultでは、Thalesバージョン7000からのSafeNet Luna SAハードウェア・セキュリティ・モジュールとのOracle Key Vault統合がサポートされますが、SafeNet Luna HSM用のホスト・トラスト・リンク(HTL)はサポートされません。

親トピック: サポート・ガイダンス

4.2.1 SafeNet用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

インストールには、Linux x64向けのSafeNetクライアント・バージョン6.2を使用する必要があります。

  1. SafeNetクライアント・ソフトウェア・パッケージ、Linux x64向けバージョン6.2を取得します。

  2. SafeNetクライアント・ソフトウェア・パッケージをOracle Key Vaultマシンに転送します。SCPの使用をお薦めします。たとえば、SafeNetクライアント・ソフトウェア・パッケージをsafenet.tarとすると、次のようになります。
    $ scp safenet.tar support@okv_instance_ip_address:/tmp

  3. SafeNetクライアント・ソフトウェアをOracle Key Vaultにインストールします。

  4. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、ユーザーをrootに切り替えます(su)。 

    $ ssh support@okv_instance_ip_address
support$ su root 
root# cd /usr/local/okv/hsm 
root# cp /tmp/safenet.tar /usr/local/okv/hsm 
root# tar -xvf safenet.tar 
root# cd 64 
root# ./install.sh

  5. プロンプトに「y」と入力して、SafeNetライセンスを承認します。

  6. 連続して表示されるプロンプトで「1」「n」「i」と入力してLuna SAをインストールします。

    これにより、SafeNetソフトウェアが/usr/safenet/lunaclientディレクトリにインストールされます。

  7. /tmpディレクトリからsafenet.tarファイルを削除します。 

     root# rm -f /tmp/safenet.tar

親トピック: SafeNetのベンダー固有のノート

4.2.2 SafeNetのHSM資格証明

HSM資格証明は、SafeNetパーティション・パスワードです。

SafeNetをHSMとして使用している場合は、SafeNet assignPasswordコマンドを使用して、HSM SafeNetパーティション・パスワードをパーティションの資格証明として割り当てることができます。その後、Oracle Key Vaultは、パーティションに接続する必要があるときにこのパスワードを使用します。

親トピック: SafeNetのベンダー固有のノート

4.2.3 SafeNet HSMのクライアントとしてのOracle Key Vaultのエンロール

エンロールを実行するには、コマンドラインでclientコマンドを使用する必要があります。

  1. 管理コンソールを介してOracle Key VaultのDNSサーバーを設定します。システム管理者ロールを持つユーザーとしてOracle Key Vault管理コンソールにログインし、DNS設定領域にアクセスするために、「System」タブから、「System Settings」を選択します。

    このステップは、SafeNet Luna SA HSMがOracle Key Vaultと通信するために必要です。

    HSMのクライアントとして登録する各Oracle Key Vaultサーバーで、DNSサーバーを構成する必要があります。プライマリ/スタンバイ環境では、ペアリングの前に、プライマリ・サーバーとスタンバイ・サーバーの両方でDNSサーバーを構成します。マルチマスター・クラスタの場合は、HSMのクライアントとして登録されるクラスタ内の各ノードで、DNSを構成します。

    HSM構成とともにDNSを使用している場合は、バグ24478865 (Oracle Key Vaultリリース18.2以降で修正済)という既知の問題があるのため、DNSエントリが両方とも次の場所にあることを確認します。

    • Oracle Key Vault管理コンソール: 「System」タブから、「System Settings」を選択して、そのページのDNS設定を確認します。
    • /etc/resolv.confファイル

  2. Oracle Key VaultとSafeNet Luna SA HSMの間で証明書を交換します。

    SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、ユーザーをrootに切り替えます(su)。 

    $ ssh support@okv_instance_ip_address
support$ su root 
root# cd /usr/safenet/lunaclient/bin 
root# scp admin@hsm_hostname:server.pem . 
root# ./vtl addServer -n hsm_hostname -c server.pem 
root# ./vtl createCert -n okv_hostname 
root# scp /usr/safenet/lunaclient/cert/client/okv_hostname.pem admin@hsm_hostname:

    HSMとともにSCPを使用する際は、HSM管理パスワードを入力する必要があります。

  3. Luna SAのクライアントとしてOracle Key Vaultを登録します。

    これにより、SafeNet Luna SA HSMに設定されたパーティションがあると想定されます。まだ取得されていない任意のクライアント名を使用できます。Oracle Key Vaultインスタンスを識別する説明的な名前を使用することをお薦めします。

    admin@hsm_hostnameへのSSHを使用して管理パスワードを入力し、HSM管理コンソールにアクセスします。 

    $ client register -client client_name -hostname okv_hostname
$ client hostip map -c client_name -i okv_ip_address
$ client assignPartition -client client_name -partition partition_name

  4. 次のように、エンロールを確認します。

    SSHを使用してsupportユーザーとしてOracle Key Vaultにログインします。

    $ ssh support@okv_instance_ip_address
support$ su root 
root# cd /usr/safenet/lunaclient/bin 
root# ./vtl verify

    次の出力が表示されます。

    The following Luna SA Slots/Partitions were found:

Slot    Serial #        Label
====    ==========      =====
 1      serial_number   partition_name

親トピック: SafeNetのベンダー固有のノート

4.2.4 SafeNetのHSMプロバイダ値

Safenetの場合、プロバイダ値は1です。

この値をプライマリ/スタンバイに手動で設定する場合は、okv_security.confファイルでHSM_PROVIDER="1"と設定します。プライマリ/スタンバイ・デプロイメントでのHSMの有効化の詳細は、高可用性デプロイメントでのHSMの有効化を参照してください。

親トピック: SafeNetのベンダー固有のノート

4.2.5 SafeNetのHSMベンダー固有のチェック

SafeNetベンダー固有の設定を確認する必要があります。

次のように、すべてのOracle Key VaultサーバーのHSMへの接続を確認できます。

SSHを使用してsupportユーザーとしてOracle Key Vaultサーバーにログインします。 

$ ssh support@okv_instance_ip_address
support$ su root
root# cd /usr/safenet/lunaclient/bin
root# ./vtl verify

HSMが適切に設定されていると、次の出力が表示されます。

The following Luna SA Slots/Partitions were found:

Slot    Serial #        Label
====    ========        =====
 1      [serial #]      [partition name]

この出力が表示されない場合、HSMが適切に設定されていないことを意味します。次のように、詳細に診断できます。

  1. Luna SA管理コンソールにログインします。

  2. client show -client client_nameコマンドを入力します。

  3. 予期したクライアントが存在し、パーティションが割り当てられていることを確認します。

  4. 存在しない場合は、次のコマンドでクライアントを登録します。

    client register -client client_name-hostname host_name

  5. パーティションが割り当てられていない場合は、次のコマンドを使用してパーティションを割り当てます。

    client assignPartition -client client_name -partition partition_name

  6. すべてのクライアントIPアドレスが正しくマッピングされていることを確認します。エントリがない場合は、次のコマンドを実行します。

    client hostip map -c client_name -i ip_address

  7. vtl verifyコマンドを使用して、Key VaultがHSMに到達できることを確認します。
    $ su root
root# cd /usr/safenet/lunaclient/bin
root# ./vtl verify
    出力結果は次のようになります。
    The following Luna SA Slots/Partitions were found:

Slot    Serial #        Label
====    ========        =====
 1      [serial #]      [partition name]

    コマンドが失敗した場合、Oracle Key VaultサーバーがHSMに接続できないことを意味します。vtl verify機能をリストアする手順については、ベンダーの他のトラブルシューティングに関する項を参照してください。HSM管理者に問い合せて、HSMに対するOracle Key Vaultのアクセス権が取り消されていないことを確認します。問題を解決できない場合は、Oracleサポートに問い合せてください。

親トピック: SafeNetのベンダー固有のノート

4.3 nCipherのベンダー固有のノート

Oracle Key Vaultリリース12.2 BP 3以降は、nCipher nShield Connect 6000以上のHSMと統合できます。

親トピック: サポート・ガイダンス

4.3.1 nCipher用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

nCipher HSMには、リモート・ファイル・システムとして使用するためにHSM以外の別のコンピュータがネットワーク上に必要です。

このコンピュータを設定して、nCipherソフトウェア・ファイルをこれにコピーしてから起動します。

  1. SSHを使用してsupportユーザーとしてOracle Key Vaultサーバーにログインします。
    $ ssh support@okv_instance_ip_address
  2. rootに切り替えます。 
    support$ su root
  3. rootディレクトリに移動して、ディレクトリctlshwspおよびpkcs11を作成します。
    root# cd /root
root# mkdir ctls
root# mkdir hwsp
root# mkdir pkcs11

  4. 次のようにセキュア・コピー(SCP)プロトコルを使用して、nCipherソフトウェア・インストール・ファイルを転送します。

    次に例を示します。
    root# scp user@remote_file_system_computer:/source_directory/ncipher/nfast/ctls/agg.tar ctls
root# scp user@remote_file_system_computer:/source_directory/ncipher/nfast/hwsp/agg.tar hwsp
root# scp user@remote_file_system_computer:/source_directory/ncipher/nfast/pkcs11/user.tar pkcs11
  5. 次のように、これらのファイルをインストールします。 
    root# cd /
root# tar xvf /root/ctls/agg.tar
root# tar xvf /root/hwsp/agg.tar
root# tar xvf /root/pkcs11/user.tar
root# /opt/nfast/sbin/install
  6. root,として、Oracle Key Vaultサーバーへの追加の編集を実行します。 
    root# usermod -a -G nfast oracle
root# cd /etc/rc.d/rc5.d
root# mv S50nc_hardserver S40nc_hardserver
root# cd /etc/rc.d/rc3.d
root# mv S50nc_hardserver S41nc_hardserver
  7. ユーザーoracleに切り替えて、インストールを確認します。 
    root# su oracle
oracle$ PATH=/opt/nfast/bin:$PATH
oracle$ export PATH      
oracle$ enquiry
    出力に状態がoperationalと示されます。

  8. グループの変更を有効にするため、Oracle Key Vaultを再起動します。

    Oracle Key Vault管理コンソールで、システム管理者ロールを持っているユーザーとしてログインします。「System」タブを選択し、「System Settings」を選択します。次に、「Reboot」ボタンをクリックします。

親トピック: nCipherのベンダー固有のノート

4.3.2 nCipherのHSM資格証明

HSM資格証明はOperator Card Setのパスワードです。

親トピック: nCipherのベンダー固有のノート

4.3.3 nCipher HSMのクライアントとしてのOracle Key Vaultのエンロール

nCipherのユーザー・インタフェースとコマンドラインの両方を使用して、Oracle Key VaultをnCipher HSMのクライアントとしてエンロールします。

  1. HSM管理者としてnCipherユーザー・インタフェースにログインします。

  2. フロント・パネルを使用して、HSMのクライアント・リストにOracle Key VaultサーバーのIPアドレスを追加します。任意のポートで権限付きのものを選択します。

    • プライマリ/スタンバイ環境では、nCipher HSMを使用するためにプライマリ・サーバーとスタンバイ・サーバーの両方を登録します。
    • マルチマスター・クラスタ環境では、nCipher HSMを使用する各Oracle Key Vaultノードを登録します。
  3. ユーザーoracleに切り替えます。
    root# su oracle
oracle$ PATH=/opt/nfast/bin:$PATH
oracle$ export PATH
  4. Oracle Key Vaultサーバー上でHSMを使用してエンロールします。
    oracle$ nethsmenroll hsm_ip_address hsm_esn hsm_keyhash
  5. TCPソケットを構成します。 
    oracle$ config-serverstartup --enable-tcp --enable-privileged-tcp
  6. rootに切り替えて、hardserver (HSMと通信するnCipherクライアント・プロセス)を再起動します。 
    oracle$ su root
root# /opt/nfast/sbin/init.d-ncipher restart
  7. リモート・ファイル・システム・コンピュータで、次のコマンドを実行します。
    $ rfs-setup --gang-client --write-noauth okv_server_ip_address
  8. Oracle Key Vaultサーバー上でユーザーoracleとして次のコマンドを実行します。 
    oracle$ rfs-sync --setup --no-authenticate remote_file_system_ip_address 
oracle$ rfs-sync --update
  9. 次のようにPKCS#11アクセスをテストします。 
    root# /opt/nfast/bin/ckcheckinst
    モジュールがリストされ、プロンプトが表示されます。確認または終了します。
  10. 構成ファイル/opt/nfast/cknfastrcをユーザーrootとして作成します。次の行をファイルに記述します。
    CKNFAST_NO_ACCELERATOR_SLOTS=1
CKNFAST_OVERRIDE_SECURITY_ASSURANCES=explicitness;tokenkeys;longterm

  11. HSMによるOracle Key Vault TDEマスター・キーの保護の説明に従ってステップを実行します。

  12. Oracle Key Vaultサーバー上でユーザーoracleとして次のコマンドを実行します。 
    oracle$ /opt/nfast/bin/rfs-sync --commit

親トピック: nCipherのベンダー固有のノート

4.3.4 nCipherのHSMプロバイダ値

nCipherの場合、プロバイダの値は2です。

この値をプライマリ/スタンバイに手動で設定する場合は、HSM_PROVIDER="2"と設定します。プライマリ/スタンバイ・デプロイメントでのHSMの有効化の詳細は、高可用性デプロイメントでのHSMの有効化を参照してください。

親トピック: nCipherのベンダー固有のノート

4.3.5 nCipherのHSMインスタンスの有効化

HSMソフトウェアをインストールしてOracle Key VaultをHSMクライアントとしてエンロールした後、Oracle Key VaultインスタンスのnCipher HSMを有効にできます。

Oracle Key Vault管理コンソールを使用してnCipher HSMを有効にします。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。

    マルチマスター・クラスタ環境の場合は、HSMを有効にする各Oracle Key Vaultノードにログインします。

  2. 「System」タブをクリックします。
  3. 左側のサイドバーで「Hardware Security Module」をクリックします。

    「Hardware Security Module」ページが表示されます。赤い下向き矢印は、初期化が済んでいないステータスを示します。「Type」フィールドには「None」と表示されます。

  4. 「Initialize」をクリックします。
  5. 「Initialize HSM」ページで、次を実行します。
    • 「Vendor」メニューから、「nCipher」を選択します。
    • nCipher HSMのHSM資格証明(Operator Card Setのパスワード)を入力し、再度入力します。
    • Oracle Key Vaultリカバリ・パスフレーズを入力します。
  6. 「Initialize」をクリックします。

親トピック: nCipherのベンダー固有のノート

4.3.6 nCipherのバックアップ操作

Oracle Key Vaultサーバーは、HSMモードでバックアップできます。

  1. 新しいOracle Key Vaultサーバーをインストールします。

  2. nCipher HSMソフトウェアをインストールします。

  3. HSMが有効になっていないノードでの場合と同様に、Oracle Key Vaultユーザー・インタフェースからバックアップ先を「System Backup」ページで追加します。

  4. 管理コンソールのユーザー・インタフェースから通常どおりにバックアップを実行します。

関連項目

親トピック: nCipherのベンダー固有のノート

4.3.7 nCipherのリストア操作

Oracle Key Vaultサーバーは、nCipherのバックアップからリストアできます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブをクリックします。
  3. 左側のサイドバーで「Hardware Security Module」をクリックします。
  4. 「Set Credential」をクリックして、「Prepare for HSM Restore」ページを表示します。

  5. 「nCipher」を「Vendor」ドロップダウン・リストから選択して、必要に応じてHSM資格証明を2回入力します。

    nCipherのHSM資格証明はOperator Card Setのパスワードです。

  6. 「Set Credential」をクリックします。

  7. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、ユーザーをrootに切り替え(su)、次に、ユーザーをoracleに切り替えます(su)。 

    $ ssh support@okv_instance_ip_address
support$ su root
root# su oracle
  8. 次のコマンドを実行して、リモート・ファイル・システムから情報を取得します。
    oracle$ /opt/nfast/bin/rfs-sync --update

  9. HSMが有効になっていないノードの場合と同様に、Oracle Key Vault管理コンソールを使用してリストアします。

関連項目

親トピック: nCipherのベンダー固有のノート

4.3.8 nCipher用のプライマリ/スタンバイOracle Key VaultインストールでのHSM

nCipher用のプライマリ/スタンバイ構成で、HSM対応ノードが含まれる2つのOracle Key Vaultサーバーをペアにすることができます。

プライマリとスタンバイの両方のOracle Key VaultサーバーのノードでHSMを有効にしてから、これらをペアにする必要があります。HSMをプライマリ/スタンバイ用に構成するには、ベンダーのドキュメントを参照してください。

  1. プライマリおよびスタンバイとして指定する2つのサーバーにOracle Key Vaultをインストールします。

  2. 各Oracle Key VaultサーバーにnCipher HSMソフトウェアをインストールします。

  3. プライマリ・サーバーとして使用するサーバーで、次を実行します。

    • SSHを介して、ユーザーsupportとして指定のOracle Key Vaultプライマリ・サーバーにログインし、ユーザー(su)をrootに切り替え、次に、ユーザー(su)をoracleに切り替えます。
      $ ssh support@okv_primary_instance_ip_address
support$ su root
root# su oracle
    • 次のコマンドを実行します。
      oracle$ /opt/nfast/bin/rfs-sync --update

  4. Oracle Key Vault管理コンソールのユーザー・インタフェースから、nCipher HSM対応ノードの目的のプライマリ・サーバーを初期化します。

  5. プライマリ・サーバーとして使用するサーバーで、次を実行します。

    • SSHを介して、ユーザーsupportとして指定のOracle Key Vaultプライマリ・サーバーにログインし、ユーザーをrootに切り替え(su)、次に、ユーザーをoracleに切り替えます(su)。
      $ ssh support@okv_primary_instance_ip_address
support$ su root
root# su oracle
    • 次のコマンドを実行します。
      oracle$ /opt/nfast/bin/rfs-sync --commit

  6. 目的のスタンバイ・サーバーに対してステップ3を繰り返します。

  7. 目的のプライマリで、ユーザーoracleとして次の手動によるステップを実行します。
    $ ssh support@okv_primary_instance_ip_address
support$ su root
root# su oracle
oracle$ cd /usr/local/okv/hsm/wallet
oracle$ scp cwallet.sso support@standby:/tmp
oracle$ scp enctdepwd support@standby:/tmp
oracle$ cd /usr/local/okv/hsm/restore
oracle$ scp ewallet.p12 support@standby:/tmp
  8. 目的のスタンバイで、ユーザーrootとして次の手動によるステップを実行します。
    $ ssh support@okv_standby_instance_ip_address
support$ su root
root# cd /usr/local/okv/hsm/wallet
root# mv /tmp/enctdepwd .
root# mv /tmp/cwallet.sso .
root# chown oracle *
root# chgrp oinstall *
root# cd /usr/local/okv/hsm/restore
root# mv /tmp/ewallet.p12 .
root# chown oracle *
root# chgrp oinstall *

    ノート:

    この手順をOracle Key Vault 12.2.0.5.0以前で実行するときは、リリース12.2以前のプライマリ/スタンバイOracle Key VaultインストールでのHSMの有効化のコマンドを使用します。

  9. ユーザーrootとして続行し、ファイルokv_security.confを開きます。
    root# vi /usr/local/okv/etc/okv_security.conf

  10. このファイルに対して次の2つの更新を行います。

    1. 変数HSM_ENABLEDを1に設定します。変数が存在しない場合、これを追加してその値を1に設定します。 
      HSM_ENABLED="1"
    2. 次の行を追加します。
      HSM_PROVIDER="2"

  11. Oracle Key Vault管理コンソールを使用して、プライマリ/スタンバイ環境の構成に進みます。

関連項目

親トピック: nCipherのベンダー固有のノート

4.3.9 nCipherを使用したHSMのアップグレード

Oracle Key Vaultリリース18.1以降から上位バージョンにアップグレードする際、HSMが有効になっている場合にのみアップグレードできます。

HSM構成は異なる可能性があるため、自己責任で本番以外の環境でテスト・アップグレードを実行し、アップグレードがご使用のHSM構成で動作することを確認します。
  1. rootユーザーとして接続します。
    $ ssh support@okv_primary_instance_ip_address
support$ su root
  2. Oracle Key Vault管理者ガイドの説明に従って、次のコマンドを実行するコマンドまで(そのコマンドを含む)アップグレードするステップを実行します。
    root# /usr/bin/ruby/images/upgrade.rb --confirm
  3. /usr/bin/ruby/images/upgrade.rb --confirmの実行後、再起動操作を実行する前に、次のコマンドを実行します。
    root# usermod -a -G nfast oracle
root# cd /etc/rc.d/rc5.d
root# mv S50nc_hardserver S40nc_hardserver
root# cd /etc/rc.d/rc3.d
root# mv S50nc_hardserver S41nc_hardserver
  4. Oracle Key Vault管理者ガイドの説明に従って、アップグレード・プロセスを続行します。

関連項目

親トピック: nCipherのベンダー固有のノート