KMIP を使用して暗号化を構成するには、鍵と証明書をアップロードし、KMIP サーバーを指定します。
始める前に
クラスタ化コントローラで KMIP キーストアを設定する前に、次の手順を実行します。
クラスタノードごとに、KMIP サーバーに到達可能なプライベートネットワークリソースを構成します。このプライベートネットワークインタフェースにより、データサービスネットワークインタフェースのフェイルオーバー時に各クラスタノードが KMIP サーバーと通信できるようにします。プライベートリソースの詳細は、クラスタリソース管理を参照してください。
プライベートネットワークリンク用に各 KMIP サーバーへのルートを適切に構成します。ルート構成の詳細は、ネットワークルーティングの構成を参照してください。
![]() | 注意 - これらの前提条件を満たさないと、テイクオーバーとフェイルバックの操作中にサービスの中断が発生します。 |
Oracle Key Vault の場合、鍵と証明書は、Oracle Key Vault 管理者から受け取った jar ファイルに格納されています。非公開鍵ファイルは、key.pem ファイルです。
hostname:configuration settings certificates system> import ("." to end)> -----BEGIN RSA PRIVATE KEY----- ... ("." to end)> -----END RSA PRIVATE KEY----- ("." to end)> .
key のタイプ値を持つ新しい行が「システム」証明書表に表示されます。
hostname:configuration settings certificates system> list CERT TYPE SUBJECT COMMON NAME ISSUER COMMON NAME NOT AFTER cert-001 key RSA-2048
システム証明書は、このシステムのクライアント証明書を含む PEM 形式ファイルです。Oracle Key Vault の場合、これは cert.pem ファイルです。
証明書ファイルの内容をコピーし、import コマンドを入力して証明書を貼り付けます。
hostname:configuration settings certificates system> import ("." to end)> -----BEGIN CERTIFICATE----- ... ("." to end)> -----END CERTIFICATE----- ("." to end)> .
CA 証明書は、クライアント証明書の発行元です。Oracle Key Vault の場合、これは CA.pem ファイルです。
新しい行が「信頼」証明書表に表示されます。
hostname:configuration settings certificates trusted> list CERT TYPE SUBJECT COMMON NAME ISSUER COMMON NAME NOT AFTER cert-001 cert CA CA 2022-8-11
hostname:configuration settings certificates trusted> select cert-001 hostname:configuration settings certificates cert-001> get services services = hostname:configuration settings certificates cert-001> set services=kmip services = kmip (uncommitted) hostname:configuration settings certificates cert-001> commit hostname:configuration settings certificates cert-001> done
hostname:shares encryption kmip> get server_list = client_cert = host_match = true destroy_key_on_remove = true
デフォルトでは、list コマンドは KMIP サーバーを一覧表示します。使用可能な証明書を一覧表示するには、list certs コマンドを使用します。
hostname:shares encryption kmip> list certs CERT TYPE SUBJECT COMMON NAME ISSUER COMMON NAME NOT AFTER cert-001 cert iogo7PmhIY CA 2023-1-25
set コマンドまたは client_cert コマンドを使用して、client_cert の値を設定します。
hostname:shares encryption kmip> set client_cert=cert-001 hostname:shares encryption kmip> client_cert cert-001
スクリプトでは、証明書の永続識別子が必要です。証明書のプロパティーを一覧表示するには、client_cert コマンドとタブ補完を組み合わせて使用します。
hostname:shares encryption kmip> client_cert tab cert-001 notafter cert-002 notbefore comment sha1fingerprint dns sha256fingerprint ip subject_commonname issuer_commonname subject_countryname issuer_countryname subject_localityname issuer_localityname subject_organizationalunitname issuer_organizationalunitname subject_organizationname issuer_organizationname subject_stateorprovincename issuer_stateorprovincename type key_bits uri key_type uuid
すべての証明書には一意の subject_commonname があるため、そのプロパティーの値を使用して client_cert プロパティーを設定できます。
hostname:shares encryption kmip> client_cert subject_commonname=tab ip-addr iogo7PmhIY hostname:shares encryption kmip> client_cert subject_commonname=iogo7PmhIY hostname:shares encryption kmip> get client_cert client_cert = cert-001 (uncommitted)
このプロパティーの推奨値は、KMIP サーバーのホスト名です。ホスト名の検証の説明は、Key Management Interoperability Protocol (KMIP) キーストアを参照してください。
IP アドレスを指定する場合、ポート番号を含める必要があるかどうかについて、KMIP サーバー管理者に問い合わせてください。
hostname:shares encryption kmip> set server_list=kmip-server-hostname-or-IP-address server_list = kmip-server-hostname-or-IP-address (uncommitted) hostname:shares encryption kmip> commit
サーバーが証明書の検証に失敗したという警告が表示された場合、server_list に正しいサーバーホスト名を指定しているかどうかを確認します。server_list の IP アドレスを指定し、CA 署名証明書のサブジェクト共通名にドメイン名のみが含まれる場合、証明書のホスト検証は失敗します。
host_match の値を false に設定した場合、ホスト検証は実行されず、セキュリティーは弱くなります。
デフォルトでは、これらのオプションは両方とも true です。これらのオプションの動作の詳細は、Key Management Interoperability Protocol (KMIP) キーストアを参照してください。
鍵を作成して keyname プロパティーを設定します。
hostname:shares encryption kmip> keys hostname:shares encryption keys> list NAME CREATED CIPHER KEYNAME hostname:shares encryption keys> create hostname:shares encryption kmip key-000 (uncommitted)> set keyname=atz-1-27-2021 keyname = atz-1-27-2021 (uncommitted) hostname:shares encryption kmip key-000 (uncommitted)> commit hostname:shares encryption keys> list NAME CREATED CIPHER KEYNAME key-000 2021-1-27 07:14:31 AES atz-1-27-2021
この鍵で暗号化されているプール、プロジェクト、およびシェアを識別するには、鍵を削除するプロセスを開始して、影響を受けるデータのリストを表示したあとに鍵の削除操作を取り消します。鍵の削除を開始すると、この鍵で暗号化されたすべてのデータにアクセスできなくなるという警告が表示されます。警告に、この鍵で暗号化されているすべてのプール、プロジェクト、およびシェアのリストが表示されます。n と入力して鍵の削除を取り消します。
hostname:shares encryption keys> destroy key-000 This key has the following dependents: pool-0/local/default/fs-enc Destroying this key will render the data inaccessible. Are you sure? (Y/N) n