Oracle® Key Vault

リリース・ノート

リリース18.3

F29499-01(原本部品番号:F26791-01)

2020年2月

リリース・ノートには、このリリースのOracle Key Vaultの新機能、最新の製品ソフトウェアおよびドキュメントのダウンロード方法、およびOracle Key Vaultの既知の問題の対処方法が記載されています。

1.1 Oracle Key Vaultのこのリリースの変更点

Oracle Key Vaultリリースでは、大規模な企業でOracle Key Vaultの使用を強化する新機能が導入されています。

親トピック: リリース・ノート

1.1.1 Oracle Cloud Marketplaceで使用可能なOracle Key Vault

このリリース以降、Oracle Key Vaultをデプロイして、Oracle Cloud Infrastructure (OCI) VMコンピュート・インスタンスで実行できます。

この機能は、Oracle Cloud Marketplaceでクリックするだけでデプロイできるソフトウェアとして使用できます。このタイプのデプロイメントのもう1つの利点は、オンプレミスのインストールよりもOCIでのほうがプロビジョニングが合理化され、アプリケーションを高速に実行できることです。オンプレミスの場合、Oracle Key Vaultがインストールされているハードウェアを管理者が管理する必要があります。

親トピック: Oracle Key Vaultのこのリリースの変更点

1.1.2 RESTfulサービスを使用してエンドポイント・グループと仮想ウォレットの名前を変更する機能

このリリース以降、RESTfulサービスを使用してエンドポイント・グループおよび仮想ウォレットの名前を変更できます。

以前のリリースでは、この機能はOracle Key Vault管理コンソールでのみ使用可能でしたが、次の新しいRESTful APIコマンドで使用できるようになりました。
  • modify_endpoint_group_name
  • modify_wallet_name

親トピック: Oracle Key Vaultのこのリリースの変更点

1.2 Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード

最新バージョンのOracle Key Vaultのソフトウェアおよびドキュメントはいつでもダウンロードできます。

親トピック: リリース・ノート

1.2.1 Oracle Key Vaultインストール・ソフトウェアのダウンロード

新規インストールの場合は、Software Delivery CloudからOracle Key Vaultソフトウェアをダウンロードできます。このパッケージは、Oracle Key Vaultのアップグレードには使用できません。既存のOracle Key Vaultデプロイメントからのアップグレードの場合、アップグレード手順を記載したreadmeファイルを含んだMy Oracle Support WebサイトからOracle Key Vaultのアップグレード・ソフトウェアをダウンロードできます。

  1. WebブラウザでOracle Software Delivery Cloudポータルにアクセスします。
  2. 「Sign In」をクリックし、入力を求められたら、「User ID」および「Password」に入力します。
  3. 「All Categories」メニューで、「Release」を選択します。次のフィールドで、「Oracle Key Vault」と入力して、「Search」をクリックします。
  4. 表示されたリストから「Oracle Key Vault 18.3.0.0.0」を選択するか、「Oracle Key Vault 18.3.0.0.0」の横にある「+Add to Cart」ボタンをクリックします。
    ダウンロードがカートに追加されます。(カートの中身を確認するには、画面の右上にある「View Cart」をクリックします。)
  5. 「Checkout」をクリックします。
  6. 次のページでインストール・パッケージの詳細を確認して、「Continue」をクリックします。
  7. 「Oracle Standard Terms and Restrictions」ページで、契約条件を読み、同意した後、「I have reviewed and accept the terms of the Commercial License, Special Programs License, and/or Trial License」を選択して「Continue」をクリックします。

    ダウンロード・ページが表示され、次のOracle Key Vault ISOファイルがリストされます。

    • Vpart_number.iso (Oracle Key Vault 18.3.0.0.0 - ディスク1)

    • Vpart_number.iso (Oracle Key Vault 18.3.0.0.0 - ディスク2)

  8. 「Print」ボタンの右側にある「View Digest Details」をクリックします。

    2つのISOファイルのリストを展開すると、各ISOファイルのSHA-1およびSHA-256のチェックサム参照番号が表示されます。

  9. SHA-256チェックサム参照番号をコピーし、後で参照するために保存します。
  10. 「Download」をクリックして、ISOファイルを保存する場所を選択します。
    各ファイルを個別に保存するには、名前をクリックしてダウンロードする場所を指定します。
  11. 「Save」をクリックします。

    両方のISOファイルのサイズの合計は4 GBを超えるため、ネットワーク速度によってはダウンロードに時間がかかることがあります。ダウンロードの推定時間と推定速度が「File Download」ダイアログ・ボックスに表示されます。

  12. ISOファイルが指定した場所にダウンロードされたら、ダウンロードされたファイルのSHA-256チェックサムを確認します。
    1. LinuxまたはUnixマシンから、最初のVpart_number.isoのSHA256チェックサムを生成します。
      $ sha256sum Vpart_number.iso

      チェックサムが、ステップ9で「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。

    2. 2番目のVpart_number.isoのSHA-256チェックサムを生成します。
      $ sha256sum Vpart_number.iso

      チェックサムが、ステップ9で「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。

  13. 必要に応じて、2つのVpart_number.isoファイルをそれぞれDVD-ROMディスクに書き込み、ディスクにラベルを付けます。

    • OKV 18.3ディスク1

    • OKV 18.3ディスク2

これで、サーバー・マシンにOracle Key Vaultをインストールできます。

親トピック: Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード

1.2.2 Oracle Key Vaultのドキュメントのダウンロード

  1. Oracleドキュメント・サイトにアクセスします。
  2. 「Oracle Database Related Products」を選択します。
  3. 「Database Security」セクションで、リリース・ノートを含む最新バージョンのOracle Key Vault 18.3ドキュメントを検索してダウンロードします。

親トピック: Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード

1.3 既知の問題

このリリースの時点で、Oracle Key Vaultにはまれな状況で発生する可能性がある問題があります。各問題の回避策が提供されます。

親トピック: リリース・ノート

1.3.1 一般的な問題

この項では、Oracle Key Vaultに関する一般的な問題について説明します。

親トピック: 既知の問題

1.3.1.1 HP-UXシステムで、SELECT FROM V$ENCRYPTION_KEYSを実行するとORA-28407が返されることがある

問題: HP-UXオペレーティング・システムで、長時間実行されているデータベース・プロセスまたはセッションで実行された次のような透過的データ暗号化(TDE)問合せで、ORA-28407 ハードウェア・セキュリティ・モジュール・エラーが検出されましたというエラーが発生することがあります。 

SELECT * FROM V$ENCRYPTION_KEYS;

これは、PTHREAD_KEYS_MAX設定によって制御されるプロセスごとのキーの合計数に関するシステムによる制限にプロセスが達したか、超過したため、システムがそれ以上スレッド固有のデータ・キーを作成できなかったためです。通常、PTHREAD_KEYS_MAX128に設定されています。

回避策: データベース・セッションを切り替えて、TDE問合せを再実行します。セッションを切り替えることができない場合は、データベースおよびリスナーを開始する前に、PTHREAD_USER_KEYS_MAX16384を設定します。

バグ番号: 28270280

親トピック: 一般的な問題

1.3.1.2 OKV 12.2 BP1: 複数回ログインに失敗すると、ユーザーがロックされ、ログイン不能になる

問題: 現在のパスワード・ポリシーでは、ユーザーがパスワードを連続して3回間違って入力した場合、ユーザー・アカウントが1日間ロックされます。このため、そのユーザーは24時間のロックアウト期間が経過した後にのみログインできます。

回避策: パスワードをメモし、安全に保管して参照できるようにします。

バグ番号: 23300720

親トピック: 一般的な問題

1.3.1.3 問題の修正後もリストにOKVアラートが表示される

問題: ユーザーがパスワードを変更した後でも、ユーザー・パスワードの期限切れのアラートが引き続き表示されます。

回避策: Oracle Key Vault管理コンソールで、「Reports」「Configure Reports」の順に選択します。「User Password Expiration」オプションの選択を解除します。または、アラートを無視します。

バグ番号: 27620622

親トピック: 一般的な問題

1.3.1.4 Java Keystoreがokvutilユーティリティの-oオプションを使用してアップロードされた場合、秘密キーが上書きされない

問題: okvutil uploadコマンドの-oオプションを使用して、Java keystore (JKS)またはJava Cryptography Extension keystore (JCEKS)をOracle Key Vaultサーバーにアップロードした場合、ユーザー定義のキーは上書きされません。

回避策: ウォレットから秘密キーを削除し、そのキーを再度アップロードします。

バグ番号: 26887060

親トピック: 一般的な問題

1.3.1.5 okvclient.oraの再読取り時にセッション・タイプ(「Persistent Cache」が「Enabled」か「Disabled」か)をリフレッシュする必要がある

問題: PKCS11_CONFIG_PARAM_REFRESH_INTERVALの導入により、長時間実行されているクライアント・プロセスはokvclient.oraを定期的に再読込みして、それに従って自身を更新します。ただし、永続キャッシュが無効になっている(PKCS11_PERSISTENT_CACHE_TIMEOUTとPKCS11_PERSISTENT_CACHE_REFRESH_WINDOWが両方とも0に設定されている)パラメータのセットから、永続キャッシュを有効(PKCS11_PERSISTENT_CACHE_TIMEOUTまたはPKCS11_PERSISTENT_CACHE_REFRESH_WINDOWのいずれかがゼロ以外の値に設定されている)に変更する場合は、内部の状態が適切に更新されません。その結果、これらのプロセス(データベース・プロセスgen0など)によって永続キャッシュへの格納を開始するキーは、常に失効し、使用できません。また、PKCS11_PERSISTENT_CACHE_FIRSTパラメータへの変更は、ウォレットを閉じて再度開くまで反映されません。

回避策: TDEウォレットを閉じて開きます。

バグ番号: 30724172

親トピック: 一般的な問題

1.3.2 アップグレードの問題

この項では、Oracle Key Vaultのアップグレードに関連する問題について説明します。

親トピック: 既知の問題

1.3.2.1 このリリースのOKVサーバーにアップグレードされたプライマリ/スタンバイのペア解除が権限の問題で失敗することがある
問題: Oracle Key Vaultの現在のリリースへのアップグレードを完了した後、プライマリ/スタンバイ構成からペア解除しようとすると、次のメッセージが/var/log/debugファイルに書き込まれて失敗することがあります。 
ORA-48141: error creating directory during ADR initialization: [/var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv]
ORA-48189: OS command to create directory failed
回避策: Oracle Key Vault 18.1にアップグレードされたプライマリ-スタンバイ構成でペア解除する前に、次のステップを使用して/var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリに正しい権限が設定されていることを確認してください。
  1. sshを使用してユーザーsupportとしてプライマリOracle Key Vaultシステムにログインします。
    $ ssh support@okv_instance_ip_address
  2. rootユーザーに切り替えます。
    support$ su - root
  3. /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリの権限を確認します。
    root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb
    出力は次のようになります。
    drwxr-xr-x 2 root   oinstall  4096 Apr 24 22:01 metadata_pv
  4. 前述の例のようにディレクトリの所有者がユーザーrootの場合は、次のコマンドを実行します。 
    root# chown oracle:oinstall /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv
    ファイルをリストして、所有者がoracleになったことを確認します。
    root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb
    出力は次のようになります。
    drwxr-xr-x 2 oracle oinstall 4096 Apr 24 22:01 metadata_pv

バグ番号: 29693700

親トピック: アップグレードの問題

1.3.2.2 アップグレードする前にペア解除されたOKVシステムでは、DB_UNIQUE_NAMEをリセットする必要がある

問題: ペア解除される前はOracle Key Vault 12.2高可用性(現在はプライマリ-スタンバイ)構成の一部で、その後アップグレードされたOracle Key Vaultシステムでは、DB_UNIQUE_NAMEパラメータにDBFWDB_HA1またはDBFWDB_HA2が設定されています。このパラメータは、システムをクラスタ・モードに変換する前に、DBFWDBにリセットする必要があります。そうしないと、クラスタへのノードの追加に失敗します。

回避策: Oracle Key Vault 12.2高可用性構成のプライマリ・サーバーであり、現在のリリースのOracle Key Vaultにアップグレードされる前にペア解除されたシステムの場合、アップグレードが正常に完了した後、クラスタ・ノードに変換する前に、次のコマンドをシステムで実行する必要があります。
  1. sshを使用してユーザーsupportとしてプライマリOracle Key Vaultシステムにログインします。
    $ ssh support@okv_instance_ip_address
  2. rootユーザーに切り替えます。
    support$ su - root
  3. /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリの所有者およびグループを確認します。
    root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb
    出力は次のようになります。
    drwxr-xr-x 2 root   oinstall  4096 Apr 24 22:01 metadata_pv
  4. 前述の例のようにディレクトリの所有者がユーザーrootの場合は、次のコマンドを実行します。 
    root# chown oracle:oinstall /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv
    ファイルをリストして、所有者がoracleになったことを確認します。
    root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb
    出力は次のようになります。
    drwxr-xr-x 2 oracle oinstall 4096 Apr 24 22:01 metadata_pv
  5. ユーザーoracleに切り替えます。
    root# su oracle
  6. SQL*Plusを開始します。
    oracle$ sqlplus / as sysdba
  7. 次の文を実行します。
    show parameter db_unique_name;
  8. DB_UNIQUE_NAMEDBFWDB以外である場合は、次のコマンドを実行します。
    alter system set db_unique_name='DBFWDB' scope=spfile;
exit
  9. rootユーザーとして、次のコマンドを実行します。
    oracle$ service dbfwdb stop
oracle$ service dbfwdb start
  10. DB_UNIQUE_NAMEパラメータが変更されたことを確認します。
    SQL*Plusを開始します。
    oracle$ sqlplus / as sysdba
  11. 次の文を実行します。
    show parameter db_unique_name
    返される出力は次の出力と一致するはずです。
    NAME                  TYPE        VALUE
--------------------- ----------- -----------
db_unique_name        string      DBFWDB

バグ番号: 29696058

親トピック: アップグレードの問題

1.3.3 プライマリ/スタンバイの問題

この項では、プライマリ/スタンバイ構成に固有のOracle Key Vaultの問題について説明します。

親トピック: 既知の問題

1.3.3.1 OKV 12.2 BP8: HAペアでのスイッチオーバー時に、監査証跡がリモートのsyslogに送信されない

説明: プライマリにsyslogが構成されている場合は、監査ログもsyslogに書き込まれます。スイッチオーバー時に、監査ログがsyslogに書き込まれないことがあります。これはスタンバイにsyslogが構成されていないためです。syslogはプライマリとスタンバイで別個に構成する必要があります。

回避策: スイッチオーバー後にスタンバイにsyslogを構成し、監査ログがsyslogに書き込まれるようにします。

バグ番号: 28790364

親トピック: プライマリ/スタンバイの問題

1.3.3.2 OKV 12.2 BP2: HAでのフェイルオーバーでSSHトンネル・ステータスが無効として表示される

問題: フェイルオーバー操作の後、新しいOracle Key Vaultプライマリ・サーバーでSSHトンネルの正しいステータスが表示されません。SSHトンネルが使用可能になったときに、SSHトンネルが無効として表示されます。ダッシュボードにもSSHトンネルの設定が失敗したことを警告するアラートが表示されます。これは、フェイルオーバー操作の後、同じサービス・エンドポイントとしてのデータベースに対してOracle Key Vaultが2つのSSHトンネルを確立しようとするためであり、間違ったステータスとなり、ダッシュボードにアラートが表示されます。サービス・エンドポイントとしてのデータベースへの2番目のSSHトンネルは、Oracle Key Vaultサーバーとサービス・エンドポイントとしてのデータベースの間の接続性に影響しません。サービス・エンドポイントとしてのデータベースへの最初のSSHトンネルは、フェイルオーバー後に機能して使用可能です。

回避策: フェイルオーバー後、新しいOracle Key Vaultプライマリ・サーバーでは、使用可能という正しいSSHステータスが表示され、サービス・エンドポイントとしてのデータベースに接続されます。サービス・エンドポイントとしてのデータベースでokvutil listを使用して、SSHトンネルのステータスを確認することもできます。

バグ番号: 24679516

親トピック: プライマリ/スタンバイの問題

1.3.3.3 HA 12.2 BP5からペア解除し、新しいOKVサーバーに再度ペアリングしてもスタンドアロンと表示される

問題: Oracle Key Vault 12.2.0.5.0以降を実行しているペア解除されたOracle Key Vaultプライマリ・サーバーを新しくインストールされたOracle Key Vaultサーバーとペアリングした場合、「Primary-Standby」ページの「Current status」でサーバーがスタンドアロン・モードであると表示されます。スタンドアロン・ステータスは、プライマリ-スタンバイ構成が失敗したことを示します。プライマリ-スタンバイ設定が失敗するのは、プライマリ・サーバーのSSH構成が再度有効にされないためです。

回避策: Oracle Key Vaultが実行されているペア解除されたOracle Key Vaultプライマリ・サーバーをペアリングする前に、SSH構成を無効にして再度有効にします。プライマリ・サーバーをスタンバイ・サーバーとペア解除して、プライマリ・サーバーでプライマリ-スタンバイ構成を実行した後に、SSH構成を無効にして再度有効にする必要があります。

注意:

Oracle Key Vaultが実行されているペア解除されたOracle Key Vaultプライマリ・サーバーをペアリングする前に、他のすべてのブラウザ・インスタンスを閉じたことを確認します。

バグ番号: 26617880

親トピック: プライマリ/スタンバイの問題

1.3.3.4 管理された停止がプライマリOKVで行われたときに、フェイルオーバーの問題が発生する

問題: プライマリ/スタンバイ・ペアのプライマリOracle Key Vaultノードでは、管理された停止が定期的に実行されます。たとえば、ユーザーが、管理コンソールの電源オフ・ボタンを押すか、端末から停止コマンドを実行して、停止を実行します。これが発生すると、フェイルオーバー操作は行われず、スタンバイOracle Key Vaultノードはプライマリ・サーバーとして引き継ぎません。これはプライマリOracle Key Vaultサーバーの/var/lock/subsys/dbfwdbファイルの存在によって予想できます。管理された停止時にプライマリにこのファイルが存在する場合、フェイルオーバーは行われません。存在しない場合は、フェイルオーバーが行われます。

プライマリでの電源喪失、データベースの障害などの他の状況では、このファイルが存在しているかどうかにかかわらず、フェイルオーバーは引き続き行われます。

回避策: スタンバイ・ノードが新しいプライマリ・ノードとして引き継がれるように管理された停止を実行する場合は、かわりにスイッチオーバーを実行します。

バグ番号: 29666606

親トピック: プライマリ/スタンバイの問題

1.3.3.5 プライマリおよびスタンバイが異なるRO制限モード構成の場合にHA設定が成功する

問題: プライマリ-スタンバイ構成を行うとき、一方のOracle Key Vaultサーバーで読取り専用制限モードが有効にされ、もう一方のOracle Key Vaultサーバーで無効にされている場合に、構成が成功します。プライマリ-スタンバイ・デプロイメントでは、この不一致は問題と混乱に繋がる場合があります。

回避策: Oracle Key Vault管理コンソールを使用して、両方のサーバーに同じ読取り専用制限モード状態が適用されていることを確認します。これを行うには、「System」タブを選択して、「Primary-Standby」を選択します。「Allow Read-Only Restricted Mode」オプションを選択します。その後、各サーバーにプライマリ-スタンバイ構成を適用します。

バグ番号: 26536033

親トピック: プライマリ/スタンバイの問題

1.3.4 マルチマスター・クラスタの問題

この項では、マルチマスター・クラスタ構成に固有のOracle Key Vaultの問題について説明します。

親トピック: 既知の問題

1.3.4.1 OKVクラスタで複数のシステム障害が発生した後に、レプリケーションの再開が失敗することがある

問題: GoldenGateのバグ29624366が原因で、Oracle Key Vaultクラスタで複数のシステム障害が発生した後に、一部のノードからのレプリケーションの再開に失敗することがあります。特に、これが発生すると、GoldenGateのReplicatが終了し、GoldenGate証跡ファイルの新しい変更ログを処理できません。

回避策: そのようなReplicatの位置を手動で変更して、証跡ファイル内のエラーのあるレコードをスキップするか、障害の発生したOracle Key Vaultノードをクラスタから強制的に削除し、新しいノードを追加してそれに置き換えます。

バグ番号: 29700647

親トピック: マルチマスター・クラスタの問題

1.3.4.2 候補ノードに変換された後にOKVノードで変更されたシステム設定がコントローラ・ノードに反映されない

問題: Oracle Key Vaultノードが候補ノードに変換された後にシステム設定が変更され、コントローラ・ノードがその候補ノードの設定を最初に検証しようとして失敗した場合、更新された設定はコントローラ・ノードに反映されません。ペアリング・プロセスは、コントローラおよび候補ノードの両方で中断する必要があります。

回避策: なし。候補ノードに変換してクラスタに追加する前に、Oracle Key Vaultノードのシステム設定がクラスタの設定と一致していることを確認します。

バグ番号: 29430349

親トピック: マルチマスター・クラスタの問題

1.3.4.3 再起動後の読取り専用制限モードでの読取り/書込みノード

問題: 読取り/書込みノードを再起動すると、ノードまたはその読取り/書込みピアが読取り専用制限モードでスタックすることがあります。

回避策: ノードを再起動する際、ノードの読取り/書込みピア・ノードが一時的に読取り専用制限モードになるのは正常です。ただし、ノードの起動が完了するとすぐに、読取り/書込みピアは数分以内に読取り/書込みモードに戻ります。再起動されたノードは読取り専用制限モードで起動することがありますが、同様に数分以内に読取り/書込みモードに戻ります。ただし、ノードまたはその読取り/書込みピアが読取り専用制限モードのままになっていない場合、REDO送信がスタックしている可能性があります。読取り専用制限モードのままでノードを再起動すると修正できます。

バグ番号: 30589921

親トピック: マルチマスター・クラスタの問題

1.3.4.4 OGGに引き続き必要なアーカイブ・ログのRMANによる自動クリーン・アップ

問題: RMANは、高速リカバリ領域のアーカイブ・ログを自動的に管理します。通常の状況では、Oracle GoldenGateで引き続き必要とされているアーカイブ・ログはRMANによって削除されません。ただし、領域が不足すると、RMANは必要なアーカイブ・ログをクリーン・アップすることがあります。このようなアーカイブ・ログがクリーン・アップされると、現在のノードからノードの読取り/書込みピア・ノードを除いた他のすべてのノードへのレプリケーションが中断されます。Oracle Key Vaultでは、高速リカバリ領域の定期的なクリーン・アップを実行してこの問題を緩和しようとしますが、まれに、高速リカバリ領域が一杯になり、この問題が発生することがあります。

回避策: 高速リカバリ領域での領域不足の原因を特定し、問題を修正します。ディスク領域にタブを保持することで、高速リカバリ領域での領域不足を特定できます。高速リカバリ領域は、/var/lib/oracle/fast_recovery_area/下にあります。

バグ番号: 30558372

親トピック: マルチマスター・クラスタの問題

1.3.4.5 MDNDよりも時間がかかる場合、Oracle Key Vaultでは有効化が終了しないようにする必要がある

問題: 「Maximum Disable Node Duration」時間制限より前にOracle Key Vaultノードを有効または無効にしたが、「Maximum Disable Node Duration」時間制限が失効する前に有効化が終了しない場合、クラスタ内の不一致の原因となるアーカイブ・ログおよび証跡ファイルのクリーン・アップが行われる可能性があります。この場合、有効化プロセスを終了させないでください。

回避策: 有効化を終了するのに「Maximum Disable Node Duration」期間より長くかかる場合、クラスタからノードを削除または強制削除します。

バグ番号: 30533066

親トピック: マルチマスター・クラスタの問題

1.3.4.6 12.2 BP4以前からのアップグレードの場合、クラスタに変換する前に証明書をローテーションする必要がある

問題: Oracle Key Vault 12.2 BP4から18.2までをOracle Key Vault 18.3にアップグレードしようとして、アップグレード前に新しい証明書を生成しない場合は、次のエラー・メッセージを受信します。 

Failed to convert server to cluster node, detected use of weak signature algorithms in OKV server credentials. Please perform a certificate rotation operation before converting this server to a cluster node.
回避策: 次の2つのステップで、Oracle Key Vaultリリース18.3にアップグレードします。
  1. Oracle Key Vault 12.2 BP4から12.2 BP10にアップグレードして、証明書ローテーション操作を実行します。
  2. Oracle Key Vault 12.2 BP10からOracle Key Vaultリリース18.3にアップグレードします。
Oracle Key Vault 12.2 BP10で証明書のローテーションを実行する方法の詳細は、リリース12.2のOracle Key Vault管理者ガイドを参照してください。

バグ番号: 30673249

関連項目

親トピック: マルチマスター・クラスタの問題

1.4 Oracle Key Vaultに関する考慮事項

Oracle Key Vault 18.3の動作の詳細および変更点を次に示します。

親トピック: リリース・ノート

1.4.1 Oracle TDEとOracle Key Vaultの統合

使用しているOracle DatabaseのバージョンおよびTDEの機能によっては、スムーズな運用のためにOracleデータベースにパッチ適用する必要がある場合があります。

MOS-NOTEのドキュメントID 2535751.1を参照して、使用しているデプロイメントにデータベース・パッチが必要かどうかを確認します。

MOS-NOTEには、Oracle Key Vaultをキーストアとして使用するように構成されたOracle Database Transparent Data Encryption (TDE)機能の既知の問題がリストされています。このドキュメントには問題を解決するための修正もリストされており、Oracle Database TDEとOracle Key Vaultをよりスムーズに統合できます。問題は、不具合、簡略化された操作によるユーザーの負荷の軽減、またはTDEとOKVの統合の改善です。このドキュメントは、データベース管理者、およびOracle Key Vaultを使用してTDEマスター・キーを管理する担当のユーザーを対象としています。

親トピック: Oracle Key Vaultに関する考慮事項

1.4.2 レポートがマルチマスター・クラスタの監査レプリケーションの影響を受ける

ホームページのOracle Key Vaultのレポートおよび詳細は、Oracle Key Vault監査レコードから生成されます。監査レプリケーションがオフにされている場合、各ノードにはそのノードで行われた操作のレポートが表示されます。監査レプリケーションがオンにされている場合、各ノードにはクラスタのすべてのノードで行われた操作のレポートが表示されます。

監査レプリケーションをオフにして、Oracle Audit Vault and Database Firewall (AVDF)などのセキュリティ情報およびイベント管理(SIEM)ソリューションを使用して、すべてのノードから監査レコードを収集することをお薦めします。

親トピック: Oracle Key Vaultに関する考慮事項

1.4.3 マルチマスター・クラスタでの更新は単一インスタンスでの更新より遅い

マルチマスター・クラスタの更新ではオブジェクトの存在がチェックされることがあり、クラスタ内のすべてのノードがスキャンされて更新操作が遅くなります。時間はクラスタ内のノード数に比例して増加します。更新は完了までに数分かかることがあります。

TDEマスター暗号化キーの設定およびローテーションが、更新操作の例です。

親トピック: Oracle Key Vaultに関する考慮事項

1.5 サポートされるデータベースのバージョン

次のバージョンのOracle Databaseは、Oracle Key Vault 18.3でサポートされます。

  • 互換性パラメータを11.2に設定したOracle DB 11.2
  • 互換性パラメータを11.2に設定したOracle DB 12.1
  • Oracle DB 12.2
  • Oracle DB 18c
  • Oracle DB 19c

親トピック: リリース・ノート

1.6 リリース18.3.0.0.0に含まれているクリティカル・パッチ更新

Oracle Key Vaultリリース18.3では、Oracle Database 18 (18.9 DB RU)の2020年1月のリリース・アップデート - 1月のリリース・アップデートを組み込むために、基盤となっているインフラストラクチャが更新されました。詳細についてはログインしてください。

https://www.oracle.com/security-alerts/cpujan2020.html

Oracle Key Vaultリリース18.3には、JavaおよびOracle Linux (OL)オペレーティング・システムのセキュリティおよび安定性に関する修正も含まれています。

親トピック: リリース・ノート

1.7 ドキュメントのアクセシビリティについて

Oracleのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWeb サイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。

Oracleサポートへのアクセス

サポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。詳細情報はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoか、聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。

親トピック: リリース・ノート

Oracle Key Vaultリリース・ノート, リリース18.3

F29499-01

Copyright © 2013, 2020, Oracle and/or its affiliates. All rights reserved.

このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。

ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。

このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。

U.S. GOVERNMENT END USERS: Oracle programs (including any operating system, integrated software, any programs embedded, installed or activated on delivered hardware, and modifications of such programs) and Oracle computer documentation or other Oracle data delivered to or accessed by U.S. Government end users are "commercial computer software" or “commercial computer software documentation” pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations.As such, the use, reproduction, duplication, release, display, disclosure, modification, preparation of derivative works, and/or adaptation of i) Oracle programs (including any operating system, integrated software, any programs embedded, installed or activated on delivered hardware, and modifications of such programs), ii) Oracle computer documentation and/or iii) other Oracle data, is subject to the rights and limitations specified in the license contained in the applicable contract.The terms governing the U.S. Government’s use of Oracle cloud services are defined by the applicable contract for such services.No other rights are granted to the U.S. Government.

このソフトウェアもしくはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。

OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。

Intel、Intel Insideは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、SPARC International, Inc.の商標または登録商標です。AMD、Epyc、AMDロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXはThe Open Groupの登録商標です。

このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。適用されるお客様とOracle Corporationとの間の契約に別段の定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。適用されるお客様とOracle Corporationとの間の契約に定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。