1. ルート・オブ・トラストHSM構成ガイド
  2. サポート・ガイダンス

4 サポート・ガイダンス

サポート・ガイダンスでは、トラブルシューティングおよびベンダー固有のノートについて説明します。

  • 一般的なトラブルシューティング
    Oracle Key Vaultでは、一般的なトラブルシューティングのヘルプが提供されます。ベンダー固有のトラブルシューティングについては、ベンダー固有のノートで説明します。
  • Thales Lunaのベンダー固有のノート
    Oracle Key Vaultでは、Thales Lunaバージョン7000からのThales Luna (旧Safenet Luna) SAハードウェア・セキュリティ・モジュールとのOracle Key Vault統合がサポートされますが、Thales Luna HSM用のホスト・トラスト・リンク(HTL)はサポートされません。
  • nCipherのベンダー固有のノート
    Oracle Key Vaultリリース12.2 BP 3以降は、nCipher nShield Connect 6000以上のHSMと統合できます。
  • Utimacoのベンダー固有のノート
    Oracle Key Vaultでは、Oracle Key VaultとUtimaco SecurityServer 4.31.1との統合がサポートされています。

4.1 一般的なトラブルシューティング

Oracle Key Vaultでは、一般的なトラブルシューティングのヘルプが提供されます。ベンダー固有のトラブルシューティングについては、ベンダー固有のノートで説明します。

親トピック: サポート・ガイダンス

4.1.1 問題を診断するためのトレース・ファイル

Oracle Key Vaultには、発生する可能性がある問題をより適切に診断できるように、トレース・ファイルが用意されています。

これらのトレース・ファイルを使用して、ハードウェア・セキュリティ・モジュール操作を試みるときに問題をより詳細に診断します。これらのトレース・ファイルは、Oracle Key Vaultサーバーの/var/okv/log/hsm/ディレクトリにあります。最後に失敗した操作を確認するには、最終変更時刻でトレース・ファイルをソートできます。たとえば、ls -ltr /var/okv/log/hsmでは、最後に変更されたトレース・ファイルがリストの最後に表示されます。

親トピック: 一般的なトラブルシューティング

4.1.2 HSMアラート

Oracle Key Vaultには、HSM構成を定期的にモニターして、トラスト・キーの可用性およびファイルの状態をチェックするアラート・メカニズムが用意されています。

Oracle Key VaultサーバーがHSMに対応している場合、Oracle Key Vaultは5分(または「Configure Alerts」ページのモニタリング間隔に設定した時間)ごとにHSMにアクセスして、ルート・オブ・トラスト・キーが使用可能でTDEウォレット・パスワードが復号化できることを確認します。HSM構成で問題が発生した場合(HSMにアクセスできない場合やHSMに同じIDの競合するキーがある場合など)、「Hardware Security Module」タブの上矢印が下矢印に切り替り、アラートが生成されます。下矢印は、HSMが構成されていないか、HSM構成に問題があることを示します。アラートが発生した場合は、「HSM configuration error. Please refer to the HSM Alert section in the Oracle Key Vault Root of Trust HSM Configuration Guide」というエラー・メッセージが表示されます。

このアラートが表示された場合は、次のステップに従います。

  1. 次のように、ルートとしてログインします。 
    $ ssh support@okv_instance_ip_address
support$ su - root
  2. SSOウォレットをバックアップします。次に例を示します。
    root# cp /mnt/okvram/cwallet.sso /var/lib/oracle/cwallet_hsm_backup.sso
  3. アラートの原因を診断します。

    次のverifyコマンドは、アラートが発生した理由を示します。ls -ltrhコマンドは、出力の下部に最新のログ・ファイルを表示します。 

    root# su - oracle
oracle$ /usr/local/okv/hsm/bin/hsmclient verify
oracle$ cd /var/okv/log/hsm
oracle$ ls -ltrh
  4. この問題を解決できない場合は、Oracleサポートに問い合せてください。

親トピック: 一般的なトラブルシューティング

4.1.3 Could Not Get Slot for HSMエラー

Could Not Get Slot for HSMエラーは、Oracle Key VaultがHSMからスロットを取得できなかったことを示しています。

詳細は、最新のトレース・ファイルを参照してください。原因として、無効または存在しないトークン・ラベルが指定されていることや、HSMがスロットのリストを返せなかったことなどが考えられます。

親トピック: 一般的なトラブルシューティング

4.1.4 Could Not Load PKCS#11 Libraryエラー

Could Not Load PKCS#11 Libraryエラーは、Oracle Key VaultがPKCS#11ライブラリをロードできなかったことを示しています。

このエラーの原因として、ファイルの権限に問題があることや、Oracle Key VaultにHSMクライアント・ソフトウェアが適切にデプロイされていないことなどが考えられます。詳細は、最新のトレース・ファイルを参照してください。PKCS#11ライブラリについては、ベンダーに応じて次の場所が検索されます。

  • Thales Lunaの場合: /usr/safenet/lunaclient/lib/libCryptoki2_64.so
  • nCipherの場合: /opt/nfast/toolkits/pkcs11/libcknfast.so
  • Utimacoの場合: /opt/utimaco/lib/libcs_pkcs11_R2.so

親トピック: 一般的なトラブルシューティング

4.1.5 HSMが有効なOracle Key Vaultサーバーの再起動後に、Oracle Key Vault管理コンソールが起動しない

HSMに対応しているOracle Key Vaultサーバーの再起動後に、Oracle Key Vault管理コンソールが表示されないことがあります。

この状態になった場合は、SSHを使用してsupportユーザーとしてOracle Key Vaultにログインし、次のように手動操作してウォレットを開いてみてください。 

$ ssh support@okv_instance_ip_address
support$ su root 
root# su oracle
oracle$ cd /usr/local/okv/hsm/bin
oracle$ ./hsmclient open_wallet

open_walletコマンドが成功すると、HSM以外の問題が他にない場合は、データベースが開き、管理コンソールが表示されます。コマンドが成功しない場合は、/var/okv/log/hsmの下にある最新のログ・ファイルを調べ、ベンダー固有の説明を確認します。

親トピック: 一般的なトラブルシューティング

4.1.6 プライマリ/スタンバイのエラー

okv_security.confファイルには、プライマリ/スタンバイのエラーの診断に役立つ設定が含まれています。

  1. ファイルがスタンバイ・サーバーに転送されていることを確認します。

    スタンバイ・サーバーで、rootとしてls -lコマンドを実行します。 

    root# ls -l /usr/local/okv/hsm/wallet
-rw------- 1 oracle oinstall 324 May 16 22:57 cwallet.sso
-rw------- 1 oracle oinstall 176 May 16 22:57 enctdepwd
root# ls -l /usr/local/okv/hsm/restore
-rw------- 1 oracle oinstall 320 May 16 22:57 ewallet.p12

    /usr/local/okv/hsm/walletディレクトリにあるcwallet.ssoおよびenctdepwdと、/usr/local/okv/hsm/restoreディレクトリにあるewallet.p12を確認する必要があります。

  2. スタンバイ・サーバーでモードがHSMに設定されていることを確認します。

    スタンバイ・サーバーで、rootとしてokv_security.confファイルを開きます。 

    root# cat /usr/local/okv/etc/okv_security.conf
 Look for the line:
 HSM_ENABLED="1"

    二重引用符で囲まれた数値を確認する必要があります。

  3. ベンダー固有の手順を確認します。

親トピック: 一般的なトラブルシューティング

4.1.7 HSMが有効になっているOracle Key Vaultバックアップからのエラー

cwallet.ssoファイルを使用して、HSMが有効になっているOracle Key Vaultバックアップのエラーを診断できます。

次のように、ターゲットでpre_restoreコマンドが実行されていることを確認する必要があります。

バックアップのリストア先となるOracle Key Vaultサーバーで、rootとしてコマンドls -lを実行します。 

root# ls -l /usr/local/okv/hsm/wallet
-rw------- 1 oracle oinstall 324 May 16 22:57 cwallet.sso

ウォレット・ファイルcwallet.ssoが表示されることで、資格証明が正常に設定されていてOracle Key Vaultに格納されたことがわかります。

HSMベンダーの手順に従っていることを確認する必要もあります。また、今回のバックアップのリストアで生成された最新のログ・ファイルも確認してください。このファイルは、/var/okv/log/dbディレクトリにあります。

親トピック: 一般的なトラブルシューティング

4.1.8 HSMが有効化されているバックアップのリストア

HSMに対応しているOracle Key Vaultで作成したバックアップをリストアする前に、バックアップの作成時に使用したものと同じHSM資格証明とトークン・ラベルを設定していることを確認します。

Thales Luna用のHSM資格証明は、Thales Lunaパーティション・パスワードです。nCipherの場合、資格証明はOperator Card SetまたはSoftcardに関連付けられたパスワードです。Utimacoの場合、資格証明はトークンの構成時に初期化されたPINです。

Set Credential操作の使用時に、無効な資格証明を入力した場合や、Oracle Key VaultがHSMに接続できなかった場合は、その操作が失敗し、指定した資格証明、トークン・ラベルおよびベンダーは格納されません。Oracle Key VaultがHSMのクライアントとしてエンロールされていることを確認して、Oracle Key Vaultがバックアップの作成時に使用していたものと同じルート・オブ・トラスト・キーにアクセスできるように正しい資格証明とトークン・ラベルを入力していることを確認してください。

Oracle Key VaultをHSMのクライアントとしてエンロールする方法の詳細は、HSMのクライアントとしてのOracle Key Vaultのエンロールを参照してください。

親トピック: 一般的なトラブルシューティング

4.2 Thales Lunaのベンダー固有のノート

Oracle Key Vaultでは、Thales Lunaバージョン7000からのThales Luna (旧Safenet Luna) SAハードウェア・セキュリティ・モジュールとのOracle Key Vault統合がサポートされますが、Thales Luna HSM用のホスト・トラスト・リンク(HTL)はサポートされません。

親トピック: サポート・ガイダンス

4.2.1 Thales Luna用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

インストールには、Linux x64向けのThales Luna (旧Safenet Luna)クライアント・バージョン6.2を使用する必要があります。

  1. Thales Lunaクライアント・ソフトウェア・パッケージ、Linux x64向けバージョン6.2を取得します。

  2. Thales Lunaクライアント・ソフトウェア・パッケージをOracle Key Vaultマシンに転送します。SCPの使用をお薦めします。たとえば、Thales Lunaクライアント・ソフトウェア・パッケージをsafenet.tarとすると、次のようになります。
    $ scp safenet.tar support@okv_instance_ip_address:/tmp

  3. Thales Lunaクライアント・ソフトウェアをOracle Key Vaultにインストールします。

  4. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、ユーザーをrootに切り替えます(su)。 

    $ ssh support@okv_instance_ip_address
support$ su root 
root# cd /usr/local/okv/hsm 
root# cp /tmp/safenet.tar /usr/local/okv/hsm 
root# tar -xvf safenet.tar 
root# cd 64 
root# ./install.sh

  5. プロンプトに「y」と入力して、Thales Lunaライセンスを承認します。

  6. 連続して表示されるプロンプトで「1」「n」「i」と入力してLuna SAをインストールします。

    これにより、Thales Lunaソフトウェアが/usr/safenet/lunaclientディレクトリにインストールされます。

  7. /tmpディレクトリからsafenet.tarファイルを削除します。 

    root# rm -f /tmp/safenet.tar

親トピック: Thales Lunaのベンダー固有のノート

4.2.2 Thales Luna用のHSM資格証明

HSM資格証明は、Thales Lunaパーティション・パスワードです。

HSMとしてThales Lunaを使用している場合は、パーティションへのパスワードの割当てに、Thales Luna assignPasswordコマンドを使用できます。ただし、Oracle Key Vaultサーバーでパーティションを現在使用している場合は、この操作を実行しないでください。この操作を実行すると、格納してある資格証明が無効になってしまうため、Oracle Key Vaultはルート・オブ・トラスト・キーにアクセスできなくなります。

親トピック: Thales Lunaのベンダー固有のノート

4.2.3 Thales Lunaのトークン・ラベル

Thales Lunaのトークン・ラベルは、パーティションの名前です。

親トピック: Thales Lunaのベンダー固有のノート

4.2.4 Thales Luna HSMのクライアントとしてのOracle Key Vaultのエンロール

エンロールを実行するには、Oracle Key Vault管理コンソールとコマンドライン・インタフェースを使用します。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. DNSサーバーを設定します。

    Thales Luna HSMのクライアントとしてOracle Key Vaultをエンロールするときに、HSMの登録にホスト名を使用する場合は、まず、Oracle Key Vault管理コンソールを使用してDNSを設定しておく必要があります。DNSの設定にアクセスするには、「System」タブを選択して、右側のメニューから「System Settings」を選択します。

    HSMのクライアントとして登録する各Oracle Key Vaultサーバーで、DNSサーバーを構成する必要があります。プライマリ/スタンバイ環境では、ペアリングの前に、プライマリ・サーバーとスタンバイ・サーバーの両方でDNSサーバーを構成します。マルチマスター・クラスタの場合は、HSMのクライアントとして登録されるクラスタ内の各ノードで、DNSを構成します。

  3. Oracle Key VaultとThales Luna SA HSMの間で証明書を交換します。

    SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、ユーザーをrootに切り替えます(su)。 

    $ ssh support@okv_instance_ip_address
support$ su root 
root# cd /usr/safenet/lunaclient/bin 
root# scp admin@hsm_hostname:server.pem . 
root# ./vtl addServer -n hsm_hostname -c server.pem 
root# ./vtl createCert -n okv_hostname 
root# scp /usr/safenet/lunaclient/cert/client/okv_hostname.pem admin@hsm_hostname:

    HSMとともにSCPを使用する際は、HSM管理パスワードを入力する必要があります。

  4. Thales Luna SAのクライアントとしてOracle Key Vaultを登録します。

    これにより、Thales Luna SA HSMに設定されたパーティションがあると想定されます。まだ取得されていない任意のクライアント名を使用できます。Oracle Key Vaultインスタンスを識別する説明的な名前を使用することをお薦めします。

    admin@hsm_hostnameへのSSHを使用して管理パスワードを入力し、HSM管理コンソールにアクセスします。 

    $ client register -client client_name -hostname okv_hostname
$ client hostip map -c client_name -i okv_ip_address
$ client assignPartition -client client_name -partition partition_name

  5. 次のように、エンロールを確認します。

    SSHを使用してsupportユーザーとしてOracle Key Vaultにログインします。

    $ ssh support@okv_instance_ip_address
support$ su root 
root# cd /usr/safenet/lunaclient/bin 
root# ./vtl verify

    次の出力が表示されます。

    The following Luna SA Slots/Partitions were found:

Slot    Serial #        Label
====    ==========      =====
 1      serial_number   partition_name

親トピック: Thales Lunaのベンダー固有のノート

4.2.5 Thales LunaのHSMプロバイダ値

Thales Lunaの場合、プロバイダの値は1です。

プライマリ/スタンバイ構成の場合、この値を手動で設定するには、okv_security.confファイルでHSM_PROVIDER="1"を設定します。プライマリ/スタンバイ・デプロイメントでのHSMの有効化の詳細は、高可用性デプロイメントでのHSMの有効化を参照してください。

親トピック: Thales Lunaのベンダー固有のノート

4.2.6 Thales LunaのHSMベンダー固有のチェック

Thales Lunaベンダー固有の設定を確認する必要があります。

次のように、すべてのOracle Key VaultサーバーのHSMへの接続を確認できます。

SSHを使用してsupportユーザーとしてOracle Key Vaultサーバーにログインします。 

$ ssh support@okv_instance_ip_address
support$ su root
root# cd /usr/safenet/lunaclient/bin
root# ./vtl verify

HSMが適切に設定されていると、次の出力が表示されます。

The following Luna SA Slots/Partitions were found:

Slot    Serial #        Label
====    ========        =====
 1      [serial #]      [partition name]

この出力が表示されない場合、HSMが適切に設定されていないことを意味します。次のように、詳細に診断できます。

  1. Thales Luna SA管理コンソールにログインします。

  2. client show -client client_nameコマンドを入力します。

  3. 予期したクライアントが存在し、パーティションが割り当てられていることを確認します。

  4. 存在しない場合は、次のコマンドでクライアントを登録します。

    client register -client client_name-hostname host_name

  5. パーティションが割り当てられていない場合は、次のコマンドを使用してパーティションを割り当てます。

    client assignPartition -client client_name -partition partition_name

  6. すべてのクライアントIPアドレスが正しくマッピングされていることを確認します。エントリがない場合は、次のコマンドを実行します。

    client hostip map -c client_name -i ip_address

  7. vtl verifyコマンドを使用して、Key VaultがHSMに到達できることを確認します。
    $ su root
root# cd /usr/safenet/lunaclient/bin
root# ./vtl verify
    出力結果は次のようになります。
    The following Luna SA Slots/Partitions were found:

Slot    Serial #        Label
====    ========        =====
 1      [serial #]      [partition name]

    コマンドが失敗した場合、Oracle Key VaultサーバーがHSMに接続できないことを意味します。vtl verify機能をリストアする手順については、ベンダーの他のトラブルシューティングに関する項を参照してください。HSM管理者に問い合せて、HSMに対するOracle Key Vaultのアクセス権が取り消されていないことを確認します。問題を解決できない場合は、Oracleサポートに問い合せてください。

親トピック: Thales Lunaのベンダー固有のノート

4.3 nCipherのベンダー固有のノート

Oracle Key Vaultリリース12.2 BP 3以降は、nCipher nShield Connect 6000以上のHSMと統合できます。

親トピック: サポート・ガイダンス

4.3.1 nCipher用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

nCipher HSMには、リモート・ファイル・システムとして使用するためにHSM以外の別のコンピュータがネットワーク上に必要です。

リモート・ファイル・システムの設定後に、次のステップを続行できます。

  1. SSHを使用してsupportユーザーとしてOracle Key Vaultサーバーにログインします。
    $ ssh support@okv_instance_ip_address
  2. rootに切り替えます。 
    support$ su root
  3. rootディレクトリに移動して、ディレクトリctlshwspおよびpkcs11を作成します。
    root# cd /root
root# mkdir ctls
root# mkdir hwsp
root# mkdir pkcs11

  4. 次のようにセキュア・コピー(SCP)プロトコルを使用して、nCipherソフトウェア・インストール・ファイルを転送します。

    次に例を示します。
    root# scp user@remote_file_system_computer:/source_directory/ncipher/nfast/ctls/agg.tar ctls
root# scp user@remote_file_system_computer:/source_directory/ncipher/nfast/hwsp/agg.tar hwsp
root# scp user@remote_file_system_computer:/source_directory/ncipher/nfast/pkcs11/user.tar pkcs11
  5. 次のように、これらのファイルをインストールします。 
    root# cd /
root# tar xvf /root/ctls/agg.tar
root# tar xvf /root/hwsp/agg.tar
root# tar xvf /root/pkcs11/user.tar
root# /opt/nfast/sbin/install
  6. root,として、Oracle Key Vaultサーバーへの追加の編集を実行します。 
    root# usermod -a -G nfast oracle
root# cd /etc/rc.d/rc5.d
root# mv S50nc_hardserver S40nc_hardserver
root# cd /etc/rc.d/rc3.d
root# mv S50nc_hardserver S41nc_hardserver
  7. ユーザーoracleに切り替えて、インストールを確認します。 
    root# su oracle
oracle$ PATH=/opt/nfast/bin:$PATH
oracle$ export PATH      
oracle$ enquiry
    出力に状態がoperationalと示されます。

  8. グループの変更を有効にするため、Oracle Key Vaultを再起動します。

    Oracle Key Vault管理コンソールで、システム管理者ロールを持っているユーザーとしてログインします。「System」タブを選択し、「System Settings」を選択します。次に、「Reboot」ボタンをクリックします。

親トピック: nCipherのベンダー固有のノート

4.3.2 nCipherのHSM資格証明

nCipherのHSM資格証明は、Operator Card SetまたはSoftcardに関連付けられたパスワードです。

HSM資格証明は、Operator Card Setを使用している場合はOperator Card Setパスワードです。Softcardを使用している場合、パスワードはSoftcardパスワードです。

親トピック: nCipherのベンダー固有のノート

4.3.3 nCipherのトークン・ラベル

nCipherのトークン・ラベルは、Operator Card SetまたはSoftcardの名前です。

親トピック: nCipherのベンダー固有のノート

4.3.4 nCipher HSMのクライアントとしてのOracle Key Vaultのエンロール

nCipherのユーザー・インタフェースとコマンドラインの両方を使用して、Oracle Key VaultをnCipher HSMのクライアントとしてエンロールします。

  1. フロント・パネルを使用して、HSMのクライアント・リストにOracle Key VaultサーバーのIPアドレスを追加します。任意のポートで権限付きのものを選択します。

    • プライマリ/スタンバイ環境では、nCipher HSMを使用するためにプライマリ・サーバーとスタンバイ・サーバーの両方を登録します。
    • マルチマスター・クラスタ環境では、nCipher HSMを使用する各Oracle Key Vaultノードを登録します。
  2. ユーザーoracleに切り替えます。
    root# su oracle
oracle$ PATH=/opt/nfast/bin:$PATH
oracle$ export PATH
  3. Oracle Key Vaultサーバー上でHSMを使用してエンロールします。
    oracle$ nethsmenroll hsm_ip_address hsm_esn hsm_keyhash
  4. TCPソケットを構成します。 
    oracle$ config-serverstartup --enable-tcp --enable-privileged-tcp
  5. rootに切り替えて、hardserver (HSMと通信するnCipherクライアント・プロセス)を再起動します。 
    oracle$ su root
root# /opt/nfast/sbin/init.d-ncipher restart
  6. リモート・ファイル・システム・コンピュータで、次のコマンドを実行します。
    $ rfs-setup --gang-client --write-noauth okv_server_ip_address
  7. Oracle Key Vaultサーバー上でユーザーoracleとして次のコマンドを実行します。 
    oracle$ rfs-sync --setup --no-authenticate remote_file_system_ip_address 
oracle$ rfs-sync --update
  8. 次のようにPKCS#11アクセスをテストします。 
    root# /opt/nfast/bin/ckcheckinst
    モジュールがリストされ、プロンプトが表示されます。確認または終了します。
  9. 構成ファイル/opt/nfast/cknfastrcをユーザーrootとして作成します。次の行をファイルに記述します。
    CKNFAST_NO_ACCELERATOR_SLOTS=1
CKNFAST_OVERRIDE_SECURITY_ASSURANCES=none

  10. スタンドアロンOracle Key VaultデプロイメントでのHSMの有効化」で説明したステップを実行します。

  11. Oracle Key Vaultサーバー上でユーザーoracleとして次のコマンドを実行します。 
    oracle$ /opt/nfast/bin/rfs-sync --commit

    このコマンドはHSM初期化操作の後に毎回実行しないと、バックアップのリストアやプライマリ/スタンバイ構成の設定などの別の操作でルート・オブ・トラスト・キーが使用できなくなることがあります。

親トピック: nCipherのベンダー固有のノート

4.3.5 nCipherのHSMプロバイダ値

nCipherの場合、プロバイダの値は2です。

この値をプライマリ/スタンバイに手動で設定する場合は、HSM_PROVIDER="2"と設定します。プライマリ/スタンバイ・デプロイメントでのHSMの有効化の詳細は、高可用性デプロイメントでのHSMの有効化を参照してください。

親トピック: nCipherのベンダー固有のノート

4.4 Utimacoのベンダー固有のノート

Oracle Key Vaultでは、Oracle Key VaultとUtimaco SecurityServer 4.31.1との統合がサポートされています。

親トピック: サポート・ガイダンス

4.4.1 Utimaco用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

Utimaco用のセットアップ・ファイルは、UtimacoからのSecurityServerEvaluation-V4.31.1.0.zipファイルで提供されます。

  1. UtimacoからのSecurityServerEvaluation-V4.31.1.0.zipファイルで提供される必要な設定ファイルを見つけます。

  2. Utimacoのzipファイルを解凍した後、必要なファイルをOracle Key Vaultマシンに転送します。SCPの使用をお薦めします。次に例を示します。
    $ scp <unzip directory>/Software/Linux/x86-64/Crypto_APIs/PKCS11_R2/sample/cs_pkcs11_R2.cfg support@okv_instance_ip_address:/tmp
$ scp <unzip directory>/Software/Linux/x86-64/Crypto_APIs/PKCS11_R2/lib/libcs_pkcs11_R2.so support@okv_instance_ip_address:/tmp
$ scp <unzip directory>/Software/Linux/x86-64/Crypto_APIs/PKCS11_R2/bin/p11tool2 support@okv_instance_ip_address:/tmp
$ scp <unzip directory>/Software/Linux/x86-64/Crypto_APIs/CXI/bin/cxitool support@okv_instance_ip_address:/tmp
$ scp <unzip directory>/Software/Linux/x86-64/Administration/csadm support@okv_instance_ip_address:/tmp
  3. ユーザーsupportとしてOracle Key Vaultサーバーにログインし、ユーザー(su)をrootに切り替えます。
    $ ssh support@okv_instance_ip_address
support$ su - root
  4. Utimacoのファイル用に適切なディレクトリを作成します。
    root# mkdir -p /opt/utimaco/lib
root# mkdir /opt/utimaco/bin
root# mkdir /etc/utimaco
  5. Utimacoのファイルを正しいディレクトリに移動します。
    root# mv /tmp/cs_pkcs11_R2.cfg /etc/utimaco
root# mv /tmp/p11tool2 /opt/utimaco/bin
root# mv /tmp/cxitool /opt/utimaco/bin
root# mv /tmp/csadm /opt/utimaco/bin
root# mv /tmp/libcs_pkcs11_R2.so /opt/utimaco/lib
  6. 次のように構成ファイルの権限を変更します。
    root# /bin/chmod 640 /etc/utimaco/cs_pkcs11_R2.cfg
root# /bin/chown oracle:oinstall /etc/utimaco/cs_pkcs11_R2.cfg
  7. 次のように実行可能ファイルの権限を変更します。
    root# /bin/chmod 550 /opt/utimaco/bin/*
root# /bin/chown oracle:oinstall /opt/utimaco/bin/*
  8. 次のようにライブラリ・ファイルの権限を変更します。
    root# /bin/chmod 440 /opt/utimaco/lib/libcs_pkcs11_R2.so
root# /bin/chown oracle:oinstall /opt/utimaco/lib/libcs_pkcs11_R2.so
  9. 構成ファイル/etc/utimaco/cs_pkcs11_R2.soを変更して「Device」をUtimacoのHSMのIPアドレスに設定します。
    Device = utimaco_ip_address
    Utimaco HSMシミュレータでテストする場合は、この行は次の形式である必要があります。
    Device = 3001@utimaco_ip_address
    本番環境でこのシミュレータを使用することはお薦めしません。
  10. UtimacoのHSMおよびクライアント・ファイルを正しく設定したことを確認するには、p11tool2を使用します。p11tool2コマンドのコールによって、PKCS11トークンが構成されていることを確認できます。
    root# /opt/utimaco/bin/p11tool2 GetSlotInfo
    出力結果は次のようになります。
    CK_SLOT_INFO (slot ID: 0x00000000):

  slotDescription     33303031 4031302e  3234302e 3131382e |3001@10.240.118.|
                      32333120 2d20534c  4f545f30 30303020 |231 - SLOT_0000 |
                      20202020 20202020  20202020 20202020 |                |
                      20202020 20202020  20202020 20202020 |                |

  manufacturerID      5574696d 61636f20  49532047 6d624820 |Utimaco IS GmbH |
                      20202020 20202020  20202020 20202020 |                |

  flags: 0x00000005
    CKF_TOKEN_PRESENT    : CK_TRUE
    CKF_REMOVABLE_DEVICE : CK_FALSE
    CKF_HW_SLOT          : CK_TRUE

  hardwareVersion        : 5.01
  firmwareVersion        : 2.03

  11. csadmコマンドのコールによって、PKCS11ユーザーが定義されていることを確認できます。 

    root# /opt/utimaco/bin/csadm Dev=utimaco_ip_address ListUsers
    出力結果は次のようになります。
    Name      Permission   Mechanism      Attributes
ADMIN      22000000    RSA sign       Z[0]
SO_0000    00000200    HMAC passwd    Z[0]A[CXI_GROUP=SLOT_0000]
USR_0000   00000002    HMAC passwd    Z[0]A[CXI_GROUP=SLOT_0000]

親トピック: Utimacoのベンダー固有のノート

4.4.2 UtimacoのHSM資格証明

UtimacoのHSM資格証明は、トークンの構成時に初期化されたPINです。

詳細は、Utimacoのドキュメントを参照してください。

親トピック: Utimacoのベンダー固有のノート

4.4.3 Utimacoのトークン・ラベル

Utimacoのトークン・ラベルは、HSM用に設定したトークンの名前です。

親トピック: Utimacoのベンダー固有のノート

4.4.4 UtimacoのHSMプロバイダ値

Utimacoの場合、プロバイダ値は3です。

この値を手動でプライマリ/スタンバイに設定する場合は、 okv_security.confファイル内でHSM_PROVIDER="3"と設定します。プライマリ/スタンバイ・デプロイメントでのHSMの有効化の詳細は、高可用性デプロイメントでのHSMの有効化を参照してください。

親トピック: Utimacoのベンダー固有のノート

4.4.5 UtimacoのHSMベンダー固有のチェック

Utimacoのベンダー固有の設定を確認する必要があります。

p11tool2 GetSlotInfoコマンドとcsadm ListUsersコマンドの他に、HSM初期化操作の完了後にキーが作成されたかどうかを確認することもできます。後続のHSM初期化コマンドの後にさらにキーが作成される場合があることに注意してください、
root# /opt/utimaco/bin/p11tool2 LoginUser=<HSM Credential> ListObjects
出力結果は次のようになります。
CKO_DATA:

+ 1.1
  CKA_LABEL                      = OKV 18.1 HSM Key Number

CKO_SECRET_KEY:

+ 2.1
  CKA_KEY_TYPE                   = CKK_AES
  CKA_SENSITIVE                  = CK_TRUE
  CKA_EXTRACTABLE                = CK_TRUE
  CKA_LABEL                      = OKV 18.1 HSM Root Key
  CKA_ID                         = 0x00000001 ()

親トピック: Utimacoのベンダー固有のノート