KMIP を使用して暗号化を構成するには、鍵と証明書をアップロードし、KMIP サーバーを指定します。
始める前に
クラスタ化コントローラで KMIP キーストアを設定する前に、次の手順を実行します。
クラスタノードごとに、KMIP サーバーに到達可能なプライベートネットワークリソースを構成します。このプライベートネットワークインタフェースにより、データサービスネットワークインタフェースのフェイルオーバー時に各クラスタノードが KMIP サーバーと通信できるようにします。プライベートリソースの詳細は、クラスタリソース管理を参照してください。
プライベートネットワークリンク用に各 KMIP サーバーへのルートを適切に構成します。ルート構成の詳細は、ネットワークルーティングの構成を参照してください。
![]() | 注意 - これらの前提条件を満たさないと、テイクオーバーとフェイルバックの操作中にサービスの中断が発生します。 |
鍵と証明書が格納されている場所に移動します。
Oracle Key Vault の場合、鍵と証明書は、Oracle Key Vault 管理者から受け取った jar ファイルに格納されています。
Oracle Key Vault の場合、これは key.pem ファイルです。
key のタイプ値を持つ新しい行が「システム」表に表示されます。
このシステムのクライアント証明書を含む PEM 形式ファイルを選択します。Oracle Key Vault の場合、これは cert.pem ファイルです。
非公開鍵のアップロードに使用したものと同じステップを実行します。
key のタイプを持っていた行が、cert のタイプを持つように変更されます。証明書が既存の鍵と照合され、アプライアンス上の 1 つのオブジェクトに結合されます。「サブジェクト」、「発行元 (CN)」、および「有効期限」フィールドが自動入力されます。行の情報アイコン
をクリックすると、これらのフィールドの完全な値と詳細情報が表示されます。
CA 証明書は、クライアント証明書の発行元です。
クライアント証明書を発行した CA 証明書を含む PEM 形式ファイルを選択します。Oracle Key Vault の場合、これは CA.pem ファイルです。
新しい行が「信頼」表に表示されます。
表の行で、「サービス」列に「kmip」が表示されます。
使用が推奨される値は、KMIP サーバーのホスト名です。ホスト名の検証の説明は、Key Management Interoperability Protocol (KMIP) キーストアを参照してください。
IP アドレスを指定する場合、ポート番号を含める必要があるかどうかについて、KMIP サーバー管理者に問い合わせてください。
デフォルトでは、これらのオプションは両方とも有効です (チェックマーク付き)。これらのオプションの動作の詳細は、Key Management Interoperability Protocol (KMIP) キーストアを参照してください。
サーバーが証明書の検証に失敗したという警告が表示された場合、警告ダイアログボックスの「取り消し」をクリックし、「KMIP サーバー」フィールドに正しいサーバーホスト名を指定しているかどうかを確認します。KMIP サーバーの IP アドレスを指定し、CA 署名証明書のサブジェクト共通名にドメイン名のみが含まれる場合、証明書のホスト検証は失敗します。
「ホスト名の一致」オプションのチェックマークを外すと、ホスト検証は実行されず、セキュリティーは弱くなります。
この鍵で暗号化されているプール、プロジェクト、およびシェアを識別するには、鍵を削除するプロセスを開始して、影響を受けるデータのリストを表示したあとに鍵の削除操作を取り消します。鍵の削除を開始すると、この鍵で暗号化されたすべてのデータにアクセスできなくなるという警告が表示されます。警告に、この鍵で暗号化されているすべてのプール、プロジェクト、およびシェアのリストが表示されます。「OK」ボタンではなく「取り消し」ボタンをクリックして、鍵の削除を取り消します。詳細は、暗号化鍵の削除 (BUI)を参照してください。