Oracle^® ZFS Storage Appliance 管理ガイド、Release OS8.8.x

KMIP キーストア暗号化の構成 (BUI)

KMIP を使用して暗号化を構成するには、鍵と証明書をアップロードし、KMIP サーバーを指定します。

始める前に

クラスタ化コントローラで KMIP キーストアを設定する前に、次の手順を実行します。

• クラスタノードごとに、KMIP サーバーに到達可能なプライベートネットワークリソースを構成します。このプライベートネットワークインタフェースにより、データサービスネットワークインタフェースのフェイルオーバー時に各クラスタノードが KMIP サーバーと通信できるようにします。プライベートリソースの詳細は、クラスタリソース管理を参照してください。

• プライベートネットワークリンク用に各 KMIP サーバーへのルートを適切に構成します。ルート構成の詳細は、ネットワークルーティングの構成を参照してください。

---

注意  -  これらの前提条件を満たさないと、テイクオーバーとフェイルバックの操作中にサービスの中断が発生します。

---

1. 「構成」>「設定」>「証明書」に移動します。
2. 非公開鍵をアップロードします。
   1. 「システム」の左側にあるアップロードアイコン をクリックします。
   2. 「参照」をクリックします。

      鍵と証明書が格納されている場所に移動します。

      Oracle Key Vault の場合、鍵と証明書は、Oracle Key Vault 管理者から受け取った jar ファイルに格納されています。

   3. 非公開鍵を含む PEM 形式ファイルを選択します。

      Oracle Key Vault の場合、これは key.pem ファイルです。

   4. 「アップロード」ボタンをクリックします。

      key のタイプ値を持つ新しい行が「システム」表に表示されます。

3. システム証明書をアップロードします。

   このシステムのクライアント証明書を含む PEM 形式ファイルを選択します。Oracle Key Vault の場合、これは cert.pem ファイルです。

   非公開鍵のアップロードに使用したものと同じステップを実行します。

   key のタイプを持っていた行が、cert のタイプを持つように変更されます。証明書が既存の鍵と照合され、アプライアンス上の 1 つのオブジェクトに結合されます。「サブジェクト」、「発行元 (CN)」、および「有効期限」フィールドが自動入力されます。行の情報アイコン をクリックすると、これらのフィールドの完全な値と詳細情報が表示されます。

4. トラストアンカー証明書をアップロードします。

   CA 証明書は、クライアント証明書の発行元です。

   クライアント証明書を発行した CA 証明書を含む PEM 形式ファイルを選択します。Oracle Key Vault の場合、これは CA.pem ファイルです。

   1. 「信頼できる」タブをクリックします。
   2. 「信頼」の左側にあるアップロードアイコン をクリックします。
   3. 「参照」をクリックします。
   4. CA.pem ファイルを選択します。
   5. 「アップロード」ボタンをクリックします。

      新しい行が「信頼」表に表示されます。

   6. 新しい行の編集アイコン をクリックします。
   7. 「証明書の詳細」ダイアログボックスの下部で、「kmip」ボックスにチェックマークを付け、「OK」をクリックします。

      表の行で、「サービス」列に「kmip」が表示されます。

5. 「シェア」>「暗号化」>「KMIP」に移動します。
6. 「証明書」ドロップダウンメニューで、アップロードした証明書を選択します。
7. KMIP サーバーのホスト名または IP アドレスを入力します。

   使用が推奨される値は、KMIP サーバーのホスト名です。ホスト名の検証の説明は、Key Management Interoperability Protocol (KMIP) キーストアを参照してください。

   IP アドレスを指定する場合、ポート番号を含める必要があるかどうかについて、KMIP サーバー管理者に問い合わせてください。

8. 「ホスト名の一致」および「鍵の削除」オプションを確認します。

   デフォルトでは、これらのオプションは両方とも有効です (チェックマーク付き)。これらのオプションの動作の詳細は、Key Management Interoperability Protocol (KMIP) キーストアを参照してください。

9. 「適用」をクリックします。

   サーバーが証明書の検証に失敗したという警告が表示された場合、警告ダイアログボックスの「取り消し」をクリックし、「KMIP サーバー」フィールドに正しいサーバーホスト名を指定しているかどうかを確認します。KMIP サーバーの IP アドレスを指定し、CA 署名証明書のサブジェクト共通名にドメイン名のみが含まれる場合、証明書のホスト検証は失敗します。

   「ホスト名の一致」オプションのチェックマークを外すと、ホスト検証は実行されず、セキュリティーは弱くなります。

10. 鍵に名前を付けます。
    1. 「鍵」の左側にある追加アイコン をクリックします。
    2. 鍵名を入力し、「追加」をクリックします。
11. (オプション) この鍵で暗号化されているプール、プロジェクト、およびシェアを識別します。

    この鍵で暗号化されているプール、プロジェクト、およびシェアを識別するには、鍵を削除するプロセスを開始して、影響を受けるデータのリストを表示したあとに鍵の削除操作を取り消します。鍵の削除を開始すると、この鍵で暗号化されたすべてのデータにアクセスできなくなるという警告が表示されます。警告に、この鍵で暗号化されているすべてのプール、プロジェクト、およびシェアのリストが表示されます。「OK」ボタンではなく「取り消し」ボタンをクリックして、鍵の削除を取り消します。詳細は、暗号化鍵の削除 (BUI)を参照してください。

関連トピック

• Key Management Interoperability Protocol (KMIP) キーストア

• ローカルキーストア暗号化の構成 (BUI)

• OKM キーストア暗号化の構成 (BUI)

• KMIP キーストア暗号化の構成 (CLI)

• 暗号化プールの作成 (BUI)

• 暗号化プロジェクトの作成 (BUI)