3 HSM使用時のOracle Key Vaultのアップグレード考慮事項

HSMが含まれたOracle Key Vaultデプロイメントをアップグレードするときには、アップグレード元のリリース、nCipher、トークンなどの要因について考慮する必要があります。

• Oracle Key Vaultリリース12.2からのアップグレード
  スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultリリース12.2環境からのアップグレードには、HSMに関する特別な考慮事項があります。
• nCipherに関するアップグレード考慮事項
  HSMに対応しているときにnCipher HSMを使用している場合は、ハードサーバーの変更を再作成して、セキュリティ保証をオーバーライドする変更について考慮する必要があります。
• 逆移行なしでOracle Key Vaultをアップグレードした後のトークン・ラベルの使用
  リリース18.4以降のOracle Key Vaultは、HSMに接続しているとスロットを選択するときにトークン・ラベルを使用できます。

3.1 Oracle Key Vaultリリース12.2からのアップグレード

スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultリリース12.2環境からのアップグレードには、HSMに関する特別な考慮事項があります。

• Oracle Key Vaultリリース12.2スタンドアロン・デプロイメントからのアップグレード
  Oracle Key Vaultスタンドアロン・デプロイメントは、アップグレード前に逆移行することでアップグレードできます。アップグレードの完了後に、Oracle Key VaultのHSMを再度有効化します。
• Oracle Key Vaultリリース12.2プライマリ/スタンバイ・デプロイメントからのアップグレード
  Oracle Key Vaultリリース12.2プライマリ/スタンバイ・デプロイメントは、アップグレード前に逆移行することでアップグレードできます。アップグレードの完了後に、Oracle Key VaultのHSMを再度有効化します。

3.1.1 Oracle Key Vaultリリース12.2スタンドアロン・デプロイメントからのアップグレード

Oracle Key Vaultスタンドアロン・デプロイメントは、アップグレード前に逆移行することでアップグレードできます。アップグレードの完了後に、Oracle Key VaultのHSMを再度有効化します。

1. Oracle Key Vaultのワンタイム・バックアップをリモートのバックアップ先に作成します。
2. /mnt/okvram/cwallet.ssoウォレット・ファイルのコピーを作成します。

   $ ssh support@Oracle_Key_Vault_server_IP_address
   support$ su - root
   root# /bin/cp /mnt/okvram/cwallet.sso /var/lib/oracle/cwallet_hsm_upgrade.sso

3. Oracle Key Vaultを逆移行して、RoTとしてHSMを使用しなくなるようにします。
   この操作の成否は、監査証跡の監査レコードを調べることで確認できます。
   このステップが正しいHSM資格情報とリカバリ・パスフレーズを使用していても失敗する場合は、この後のステップを続行しないでください。Oracleサポートにお問い合せください。
4. Oracle Key Vaultのもう1つのワンタイム・バックアップをリモートのバックアップ先に作成します。
5. 残りのアップグレード・ステップと、アップグレード完了後のワンタイム・バックアップの作成を進めます。『Oracle Key Vault管理者ガイド』でスタンドアロンOracle Key Vaultサーバーに関するステップの説明を参照してください。
6. アップグレードが正常に完了したら、オプションとしてOracle Key VaultサーバーのHSMを有効化します。
7. ステップ2でコピーしたウォレットを削除します。

   $ ssh support@Oracle_Key_Vault_server_IP_address
   support$ su - root
   root# /bin/rm /var/lib/oracle/cwallet_hsm_upgrade.sso

3.1.2 Oracle Key Vaultリリース12.2プライマリ/スタンバイ・デプロイメントからのアップグレード

Oracle Key Vaultリリース12.2プライマリ/スタンバイ・デプロイメントは、アップグレード前に逆移行することでアップグレードできます。アップグレードの完了後に、Oracle Key VaultのHSMを再度有効化します。

1. 現在のプライマリで、Oracle Key Vaultサーバーのワンタイム・バックアップをリモートのバックアップ先に作成します。
2. 現在のプライマリで、/mnt/okvram/cwallet.sso walletファイルのコピーを作成します。

   $ ssh support@Oracle_Key_Vault_server_IP_address
   support$ su - root
   root# /bin/cp /mnt/okvram/cwallet.sso /var/lib/oracle/cwallet_hsm_upgrade.sso

3. プライマリ・サーバーとスタンバイ・サーバーのペアを解除します。
   1. システム管理者ロールのあるユーザーとしてプライマリ・サーバーの管理コンソールにログインします。
   2. 「System」タブを選択し、左側のサイドバーで「Primary-Standby」を選択します。
   3. 「Unpair」をクリックします。
      ペア解除の操作は、完了までに約10分かかります。ペア解除操作の完了後、スタンバイは使用できなくなります。
4. Oracle Key Vaultを逆移行して、RoTとしてHSMを使用しなくなるようにします。
   この操作の成否は、監査証跡の監査レコードを調べることで確認できます。
   このステップが正しいHSM資格情報とリカバリ・パスフレーズを使用していても失敗する場合は、この後のステップを続行しないでください。Oracleサポートにお問い合せください。
5. Oracle Key Vaultのもう1つのワンタイム・バックアップをリモートのバックアップ先に作成します。
6. 残りのアップグレード・ステップと、アップグレード完了後のワンタイム・バックアップの作成を進めます。『Oracle Key Vault管理者ガイド』でプライマリ/スタンバイOracle Key Vaultサーバーに関するステップの説明を参照してください。
7. アップグレードが正常に完了したら、オプションとして新しいプライマリ/スタンバイ構成のHSMを有効化します。この新しい構成では、アップグレードしたOracle Key Vaultをプライマリとして使用し、同じバージョンの新規インストールをスタンバイとして使用します。
8. ステップ2でコピーしたウォレットを削除します。

   $ ssh support@Oracle_Key_Vault_server_IP_address
   support$ su - root
   root# /bin/rm /var/lib/oracle/cwallet_hsm_upgrade.sso

3.2 nCipherに関するアップグレード考慮事項

HSMに対応しているときにnCipher HSMを使用している場合は、ハードサーバーの変更を再作成して、セキュリティ保証をオーバーライドする変更について考慮する必要があります。

• Oracle Key Vaultのアップグレード中のハードサーバーの変更の再作成
  HSM構成は多様なため、本番以外の環境でテスト・アップグレードを実行し、アップグレードが対象のHSM構成で適切に動作することをユーザーの責任として確認してください。
• Oracle Key Vaultアップグレードのセキュリティ保証のオーバーライド
  Oracle Key Vaultセキュリティ保証の属性を設定する方法は、今後の初期化操作に向けて構成できます。

3.2.1 Oracle Key Vaultのアップグレード中のハードサーバーの変更の再作成

HSM構成は異なる可能性があるため、自己責任で本番以外の環境でテスト・アップグレードを実行し、アップグレードがご使用のHSM構成で動作することを確認します。

1. rootユーザーとして、Oracle Key Vaultサーバーに接続します。

   $ ssh support@Oracle_Key_Vault_server_IP_address
   support$ su - root

2. 次のコマンドを実行するところまで、アップグレードのステップを実行します。このステップの説明は、『Oracle Key Vault管理者ガイド』を参照してください。

   root# /usr/bin/ruby /images/upgrade.rb --confirm

3. /usr/bin/ruby /images/upgrade.rb --confirmの実行後、再起動操作を実行する前に、次のコマンドを実行します。

   root# usermod -a -G nfast oracle
   root# cd /etc/rc.d/rc5.d
   root# mv S50nc_hardserver S40nc_hardserver
   root# cd /etc/rc.d/rc3.d
   root# mv S50nc_hardserver S41nc_hardserver

4. Oracle Key Vault管理者ガイドの説明に従って、アップグレード・プロセスを続行します。

3.2.2 Oracle Key Vaultアップグレードのセキュリティ保証のオーバーライド

Oracle Key Vaultセキュリティ保証の属性を設定する方法は、今後の初期化操作に向けて構成できます。

Oracle Key Vaultリリース18.4.0.0.0以降では、デフォルトでCKA_EXTRACTABLE属性がCK_FALSEに設定されているルート・オブ・トラスト(RoT)キーが作成されています。ただし、リリース18.3.0.0.0以前では、CKA_EXTRACTABLEがCK_TRUEに設定されていました。そのため、ファイル/opt/nfast/cknfastrcには、次の追加の行が必要でした。

CKNFAST_OVERRIDE_SECURITY_ASSURANCES=explicitness;tokenkeys;longterm

リリース18.3.0.0.0以前からOracle Key Vaultをアップグレードしていると、CKA_EXTRACTABLE属性がCK_FALSEに設定されている新しいRoTキーを作成するための逆移行と再初期化を実行するまで、これらのパラメータが継続的に必要になります。リリース18.4.0.0.0以降の今後の初期化操作でCKA_EXTRACTABLEがCK_TRUEに設定されるようにするには、初期化の前に次のステップを実行します。

1. rootユーザーとして、Oracle Key Vaultサーバーに接続します。

   $ ssh support@Oracle_Key_Vault_server_IP_address
   support$ su - root

2. ファイルokv_security.confを開きます。

   root# vi /usr/local/okv/etc/okv_security.conf

3. 次のように、okv_security.confのHSM_KEY_EXTRACTABLEパラメータを設定します。

   HSM_KEY_EXTRACTABLE="1"

4. okv_security.confファイルを保存してから終了します。

   :wq

5. /opt/nfast/cknfastrcファイルを開きます。

   root# vi /opt/nfast/cknfastrc

6. /opt/nfast/cknfastrcに、次の行を追加します。

   CKNFAST_OVERRIDE_SECURITY_ASSURANCES=explicitness;tokenkeys;longterm

このOracle Key Vaultサーバーに対する今後の初期化操作では、CKA_EXTRACTABLE属性がCK_TRUEに設定されたルート・オブ・トラスト・キーが作成されるようになります。

3.3 逆移行なしでOracle Key Vaultをアップグレードした後のトークン・ラベルの使用

リリース18.4以降のOracle Key Vaultは、HSMに接続しているとスロットを選択するときにトークン・ラベルを使用できます。

以前のバージョンからHSM対応のOracle Key Vaultをアップグレードすると、逆移行なしの正常なアップグレード後にトークン・ラベルを使用できるようになります。

1. Oracle Key Vaultリリース18.4以降へのアップグレードを実行します。
2. Oracle Key Vaultが現在使用しているトークンのトークン・ラベルを特定します。
   1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   2. 「System」タブを選択して、左側のサイドバーにある「Hardware Security Module」をクリックします。「Hardware Security Module」ページに移動します。たとえば、次の例のトークン・ラベルはmyPartition1です。
      
      図hsm_enabled.pngの説明
      
   3. 「Set Credential」ボタンを選択します。
   4. 「Prepare for HSM Restore」ダイアログ・ボックスで、「HSM Credential」フィールドと「Re-enter HSM Credential」フィールドにHSM資格証明を入力し、「Recovery Passphrase」フィールドに現在使用しているリカバリ・パスフレーズを入力します。「Use Token Label」チェック・ボックスを選択して、「Token Label」フィールドに判明したトークン・ラベル(たとえば、myPartition1)を入力します。その後で、「Set Credential」をクリックします。
   この操作が正常に完了すると、Oracle Key Vaultはスロットの選択時に指定したトークン・ラベルを使用するようになります。この操作が失敗すると、設定(トークン・ラベル、ベンダーおよびHSM資格証明)が以前の内容に戻されます。

この操作の完了後に、緑色のステータス矢印が赤色の矢印に変化した場合は、無効なHSM資格証明、トークン・ラベル、ベンダーまたはそれらの組合せが入力されていて、Oracle Key Vaultでは以前の値に戻せなかったことを示しています。このステータス矢印が緑色になるまで、以前のHSM資格証明、トークン・ラベルおよびベンダーの設定を使用して、資格証明の設定操作を再試行するようにお薦めします。ステータス矢印が赤色になる理由の詳細は、/var/okv/log/hsmディレクトリにある最新のログ・ファイルを確認してください。