KMIP キーストア暗号化の構成 (CLI)

言語:

KMIP を使用して暗号化を構成するには、鍵と証明書をアップロードし、KMIP サーバーを指定します。

始める前に

クラスタ化コントローラで KMIP キーストアを設定する前に、次の手順を実行します。

クラスタノードごとに、KMIP サーバーに到達可能なプライベートネットワークリソースを構成します。このプライベートネットワークインタフェースにより、データサービスネットワークインタフェースのフェイルオーバー時に各クラスタノードが KMIP サーバーと通信できるようにします。プライベートリソースの詳細は、クラスタリソース管理を参照してください。
プライベートネットワークリンク用に各 KMIP サーバーへのルートを適切に構成します。ルート構成の詳細は、ネットワークルーティングの構成を参照してください。

注意 - これらの前提条件を満たさないと、テイクオーバーとフェイルバックの操作中にサービスの中断が発生します。

configuration settings certificates system に移動します。
非公開鍵をアップロードします。
1. 非公開鍵を含む PEM 形式ファイルの内容をコピーします。
  Oracle Key Vault の場合、鍵と証明書は、Oracle Key Vault 管理者から受け取った jar ファイルに格納されています。非公開鍵ファイルは、key.pem ファイルです。
2. import コマンドを入力します。プロンプトが表示されたら鍵を貼り付けます。
```
hostname:configuration settings certificates system> import
("." to end)> -----BEGIN RSA PRIVATE KEY-----
...
("." to end)> -----END RSA PRIVATE KEY-----
("." to end)> .
```
3. list コマンドを入力します。
  key のタイプ値を持つ新しい行が「システム」証明書表に表示されます。
```
hostname:configuration settings certificates system> list
CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
cert-001 key  RSA-2048
```
システム証明書をアップロードします。
システム証明書は、このシステムのクライアント証明書を含む PEM 形式ファイルです。Oracle Key Vault の場合、これは cert.pem ファイルです。

証明書ファイルの内容をコピーし、import コマンドを入力して証明書を貼り付けます。
```
hostname:configuration settings certificates system> import
("." to end)> -----BEGIN CERTIFICATE-----
...
("." to end)> -----END CERTIFICATE-----
("." to end)> .
```

トラストアンカー証明書をアップロードします。

CA 証明書は、クライアント証明書の発行元です。Oracle Key Vault の場合、これは CA.pem ファイルです。

up trusted コマンドを入力します。

認証局ファイルの内容をコピーし、import コマンドを入力して CA 証明書を貼り付けます。

新しい行が「信頼」証明書表に表示されます。

hostname:configuration settings certificates trusted> list
CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
cert-001 cert CA                        CA                        2022-8-11

証明書の services プロパティーを kmip に設定します。

hostname:configuration settings certificates trusted> select cert-001
hostname:configuration settings certificates cert-001> get services
                      services =
hostname:configuration settings certificates cert-001> set services=kmip
                      services = kmip (uncommitted)
hostname:configuration settings certificates cert-001> commit
hostname:configuration settings certificates cert-001> done

shares encryption kmip に移動します。

hostname:shares encryption kmip> get
                   server_list =
                   client_cert =
                    host_match = true
         destroy_key_on_remove = true

client_cert を、アップロードした証明書に設定します。

デフォルトでは、list コマンドは KMIP サーバーを一覧表示します。使用可能な証明書を一覧表示するには、list certs コマンドを使用します。

hostname:shares encryption kmip> list certs
CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
cert-001 cert iogo7PmhIY                CA                        2023-1-25

set コマンドまたは client_cert コマンドを使用して、client_cert の値を設定します。

hostname:shares encryption kmip> set client_cert=cert-001
hostname:shares encryption kmip> client_cert cert-001

スクリプトでは、証明書の永続識別子が必要です。証明書のプロパティーを一覧表示するには、client_cert コマンドとタブ補完を組み合わせて使用します。

hostname:shares encryption kmip> client_cert tab
cert-001                        notafter
cert-002                        notbefore
comment                         sha1fingerprint
dns                             sha256fingerprint
ip                              subject_commonname
issuer_commonname               subject_countryname
issuer_countryname              subject_localityname
issuer_localityname             subject_organizationalunitname
issuer_organizationalunitname   subject_organizationname
issuer_organizationname         subject_stateorprovincename
issuer_stateorprovincename      type
key_bits                        uri
key_type                        uuid

すべての証明書には一意の subject_commonname があるため、そのプロパティーの値を使用して client_cert プロパティーを設定できます。

hostname:shares encryption kmip> client_cert subject_commonname=tab
ip-addr                         iogo7PmhIY
hostname:shares encryption kmip> client_cert subject_commonname=iogo7PmhIY
hostname:shares encryption kmip> get client_cert
                   client_cert = cert-001 (uncommitted)

server_list を、KMIP サーバーのホスト名または IP アドレスに設定します。
このプロパティーの推奨値は、KMIP サーバーのホスト名です。ホスト名の検証の説明は、Key Management Interoperability Protocol (KMIP) キーストアを参照してください。

IP アドレスを指定する場合、ポート番号を含める必要があるかどうかについて、KMIP サーバー管理者に問い合わせてください。
```
hostname:shares encryption kmip> set server_list=kmip-server-hostname-or-IP-address
                   server_list = kmip-server-hostname-or-IP-address (uncommitted)
hostname:shares encryption kmip> commit
```
サーバーが証明書の検証に失敗したという警告が表示された場合、server_list に正しいサーバーホスト名を指定しているかどうかを確認します。server_list の IP アドレスを指定し、CA 署名証明書のサブジェクト共通名にドメイン名のみが含まれる場合、証明書のホスト検証は失敗します。

host_match の値を false に設定した場合、ホスト検証は実行されず、セキュリティーは弱くなります。
host_match および destroy_key_on_remove オプションを確認します。
デフォルトでは、これらのオプションは両方とも true です。これらのオプションの動作の詳細は、Key Management Interoperability Protocol (KMIP) キーストアを参照してください。

鍵に名前を付けます。

鍵を作成して keyname プロパティーを設定します。

hostname:shares encryption kmip> keys
hostname:shares encryption keys> list
NAME     CREATED               CIPHER KEYNAME
hostname:shares encryption keys> create
hostname:shares encryption kmip key-000 (uncommitted)> set keyname=atz-1-27-2021
                       keyname = atz-1-27-2021 (uncommitted)
hostname:shares encryption kmip key-000 (uncommitted)> commit
hostname:shares encryption keys> list
NAME     CREATED               CIPHER KEYNAME
key-000  2021-1-27 07:14:31    AES    atz-1-27-2021

(オプション) この鍵で暗号化されているプール、プロジェクト、およびシェアを識別します。
この鍵で暗号化されているプール、プロジェクト、およびシェアを識別するには、鍵を削除するプロセスを開始して、影響を受けるデータのリストを表示したあとに鍵の削除操作を取り消します。鍵の削除を開始すると、この鍵で暗号化されたすべてのデータにアクセスできなくなるという警告が表示されます。警告に、この鍵で暗号化されているすべてのプール、プロジェクト、およびシェアのリストが表示されます。n と入力して鍵の削除を取り消します。
```
hostname:shares encryption keys> destroy key-000
This key has the following dependents:
  pool-0/local/default/fs-enc
Destroying this key will render the data inaccessible. Are you sure? (Y/N) n
```

Oracle^® ZFS Storage Appliance 管理ガイド、Release OS8.8.x

KMIP キーストア暗号化の構成 (CLI)

関連トピック