Go to main content

Oracle® ZFS Storage Appliance 管理ガイド、Release OS8.8.x

印刷ビューの終了

更新: 2021 年 8 月
 
 

KMIP キーストア暗号化の構成 (CLI)

KMIP を使用して暗号化を構成するには、鍵と証明書をアップロードし、KMIP サーバーを指定します。

始める前に

クラスタ化コントローラで KMIP キーストアを設定する前に、次の手順を実行します。

  • クラスタノードごとに、KMIP サーバーに到達可能なプライベートネットワークリソースを構成します。このプライベートネットワークインタフェースにより、データサービスネットワークインタフェースのフェイルオーバー時に各クラスタノードが KMIP サーバーと通信できるようにします。プライベートリソースの詳細は、クラスタリソース管理を参照してください。

  • プライベートネットワークリンク用に各 KMIP サーバーへのルートを適切に構成します。ルート構成の詳細は、ネットワークルーティングの構成を参照してください。


Caution

注意  -  これらの前提条件を満たさないと、テイクオーバーとフェイルバックの操作中にサービスの中断が発生します。


  1. configuration settings certificates system に移動します。
  2. 非公開鍵をアップロードします。
    1. 非公開鍵を含む PEM 形式ファイルの内容をコピーします。

      Oracle Key Vault の場合、鍵と証明書は、Oracle Key Vault 管理者から受け取った jar ファイルに格納されています。非公開鍵ファイルは、key.pem ファイルです。

    2. import コマンドを入力します。プロンプトが表示されたら鍵を貼り付けます。
      hostname:configuration settings certificates system> import
      ("." to end)> -----BEGIN RSA PRIVATE KEY-----
      ...
      ("." to end)> -----END RSA PRIVATE KEY-----
      ("." to end)> .
    3. list コマンドを入力します。

      key のタイプ値を持つ新しい行が「システム」証明書表に表示されます。

      hostname:configuration settings certificates system> list
      CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
      cert-001 key  RSA-2048
  3. システム証明書をアップロードします。

    システム証明書は、このシステムのクライアント証明書を含む PEM 形式ファイルです。Oracle Key Vault の場合、これは cert.pem ファイルです。

    証明書ファイルの内容をコピーし、import コマンドを入力して証明書を貼り付けます。

    hostname:configuration settings certificates system> import
    ("." to end)> -----BEGIN CERTIFICATE-----
    ...
    ("." to end)> -----END CERTIFICATE-----
    ("." to end)> .
  4. トラストアンカー証明書をアップロードします。

    CA 証明書は、クライアント証明書の発行元です。Oracle Key Vault の場合、これは CA.pem ファイルです。

    1. up trusted コマンドを入力します。
    2. 認証局ファイルの内容をコピーし、import コマンドを入力して CA 証明書を貼り付けます。

      新しい行が「信頼」証明書表に表示されます。

      hostname:configuration settings certificates trusted> list
      CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
      cert-001 cert CA                        CA                        2022-8-11
    3. 証明書の services プロパティーを kmip に設定します。
      hostname:configuration settings certificates trusted> select cert-001
      hostname:configuration settings certificates cert-001> get services
                            services =
      hostname:configuration settings certificates cert-001> set services=kmip
                            services = kmip (uncommitted)
      hostname:configuration settings certificates cert-001> commit
      hostname:configuration settings certificates cert-001> done
  5. shares encryption kmip に移動します。
    hostname:shares encryption kmip> get
                       server_list =
                       client_cert =
                        host_match = true
             destroy_key_on_remove = true
  6. client_cert を、アップロードした証明書に設定します。

    デフォルトでは、list コマンドは KMIP サーバーを一覧表示します。使用可能な証明書を一覧表示するには、list certs コマンドを使用します。

    hostname:shares encryption kmip> list certs
    CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
    cert-001 cert iogo7PmhIY                CA                        2023-1-25

    set コマンドまたは client_cert コマンドを使用して、client_cert の値を設定します。

    hostname:shares encryption kmip> set client_cert=cert-001
    hostname:shares encryption kmip> client_cert cert-001

    スクリプトでは、証明書の永続識別子が必要です。証明書のプロパティーを一覧表示するには、client_cert コマンドとタブ補完を組み合わせて使用します。

    hostname:shares encryption kmip> client_cert tab
    cert-001                        notafter
    cert-002                        notbefore
    comment                         sha1fingerprint
    dns                             sha256fingerprint
    ip                              subject_commonname
    issuer_commonname               subject_countryname
    issuer_countryname              subject_localityname
    issuer_localityname             subject_organizationalunitname
    issuer_organizationalunitname   subject_organizationname
    issuer_organizationname         subject_stateorprovincename
    issuer_stateorprovincename      type
    key_bits                        uri
    key_type                        uuid

    すべての証明書には一意の subject_commonname があるため、そのプロパティーの値を使用して client_cert プロパティーを設定できます。

    hostname:shares encryption kmip> client_cert subject_commonname=tab
    ip-addr                         iogo7PmhIY
    hostname:shares encryption kmip> client_cert subject_commonname=iogo7PmhIY
    hostname:shares encryption kmip> get client_cert
                       client_cert = cert-001 (uncommitted)
  7. server_list を、KMIP サーバーのホスト名または IP アドレスに設定します。

    このプロパティーの推奨値は、KMIP サーバーのホスト名です。ホスト名の検証の説明は、Key Management Interoperability Protocol (KMIP) キーストアを参照してください。

    IP アドレスを指定する場合、ポート番号を含める必要があるかどうかについて、KMIP サーバー管理者に問い合わせてください。

    hostname:shares encryption kmip> set server_list=kmip-server-hostname-or-IP-address
                       server_list = kmip-server-hostname-or-IP-address (uncommitted)
    hostname:shares encryption kmip> commit

    サーバーが証明書の検証に失敗したという警告が表示された場合、server_list に正しいサーバーホスト名を指定しているかどうかを確認します。server_list の IP アドレスを指定し、CA 署名証明書のサブジェクト共通名にドメイン名のみが含まれる場合、証明書のホスト検証は失敗します。

    host_match の値を false に設定した場合、ホスト検証は実行されず、セキュリティーは弱くなります。

  8. host_match および destroy_key_on_remove オプションを確認します。

    デフォルトでは、これらのオプションは両方とも true です。これらのオプションの動作の詳細は、Key Management Interoperability Protocol (KMIP) キーストアを参照してください。

  9. 鍵に名前を付けます。

    鍵を作成して keyname プロパティーを設定します。

    hostname:shares encryption kmip> keys
    hostname:shares encryption keys> list
    NAME     CREATED               CIPHER KEYNAME
    hostname:shares encryption keys> create
    hostname:shares encryption kmip key-000 (uncommitted)> set keyname=atz-1-27-2021
                           keyname = atz-1-27-2021 (uncommitted)
    hostname:shares encryption kmip key-000 (uncommitted)> commit
    hostname:shares encryption keys> list
    NAME     CREATED               CIPHER KEYNAME
    key-000  2021-1-27 07:14:31    AES    atz-1-27-2021
  10. (オプション) この鍵で暗号化されているプール、プロジェクト、およびシェアを識別します。

    この鍵で暗号化されているプール、プロジェクト、およびシェアを識別するには、鍵を削除するプロセスを開始して、影響を受けるデータのリストを表示したあとに鍵の削除操作を取り消します。鍵の削除を開始すると、この鍵で暗号化されたすべてのデータにアクセスできなくなるという警告が表示されます。警告に、この鍵で暗号化されているすべてのプール、プロジェクト、およびシェアのリストが表示されます。n と入力して鍵の削除を取り消します。

    hostname:shares encryption keys> destroy key-000
    This key has the following dependents:
      pool-0/local/default/fs-enc
    Destroying this key will render the data inaccessible. Are you sure? (Y/N) n

関連トピック