KMIP 키 저장소 암호화 구성(CLI)
KMIP를 사용하여 암호화를 구성하려면, 키와 인증서를 업로드하고 KMIP 서버를 지정합니다.
시작하기 전에
클러스터형 컨트롤러에서 KMIP 키 저장소를 설정하기 전 다음 절차를 수행합니다.
-
각 클러스터 노드에 대해 KMIP 서버에 연결할 수 있는 개인 네트워크 리소스를 구성합니다. 이 개인 네트워크 인터페이스는 데이터 서비스 네트워크 인터페이스 페일오버의 경우 각 클러스터 노드가 KMIP 서버와 통신할 수 있게 해줍니다. 개인 리소스에 대한 자세한 내용은 클러스터 리소스 관리를 참조하십시오.
-
개인 네트워크 링크에 대해 각 KMIP 서버에 적합하게 경로를 구성합니다. 경로 구성에 대한 자세한 내용은 네트워크 경로 지정 구성을 참조하십시오.
 | 주의 - 이러한 필수 조건을 충족하지 못하면 인계 및 페일백 작업 중 서비스가 중단됩니다. |
- configuration settings certificates system으로 이동합니다.
-
개인 키를 업로드합니다.
-
개인 키가 포함된 PEM 형식 파일의 콘텐츠를 복사합니다.
Oracle Key Vault의 경우 키 및 인증서가 Oracle Key Vault 관리자로부터 수신한 jar 파일에 포함되어 있습니다. 개인 키 파일은 key.pem 파일입니다.
-
import 명령을 입력합니다. 메시지에 따라 키를 붙여넣습니다.
hostname:configuration settings certificates system> import ("." to end)> -----BEGIN RSA PRIVATE KEY----- ... ("." to end)> -----END RSA PRIVATE KEY----- ("." to end)> . -
list 명령을 입력합니다.
시스템 인증서 테이블에 key 유형 값을 갖는 새 행이 포함됩니다.
hostname:configuration settings certificates system> list CERT TYPE SUBJECT COMMON NAME ISSUER COMMON NAME NOT AFTER cert-001 key RSA-2048
-
개인 키가 포함된 PEM 형식 파일의 콘텐츠를 복사합니다.
-
시스템 인증서를 업로드합니다.
시스템 인증서는 이 시스템에 대한 클라이언트 인증서가 포함된 PEM 형식 파일입니다. Oracle Key Vault의 경우 cert.pem 파일입니다.
인증서 파일의 콘텐츠를 복사하고 import 명령어를 입력하고, 인증서를 붙여넣습니다.
hostname:configuration settings certificates system> import ("." to end)> -----BEGIN CERTIFICATE----- ... ("." to end)> -----END CERTIFICATE----- ("." to end)> . -
신뢰 앵커 인증서를 업로드합니다.
CA 인증서는 클라이언트 인증서의 발급자입니다. Oracle Key Vault의 경우 CA.pem 파일입니다.
- up trusted 명령어를 입력합니다.
-
인증 기관 파일의 콘텐츠를 복사하고 import 명령어를 입력하고, CA 인증서를 붙여넣습니다.
신뢰할 수 있는 인증서 테이블에 새 행이 포함됩니다.
hostname:configuration settings certificates trusted> list CERT TYPE SUBJECT COMMON NAME ISSUER COMMON NAME NOT AFTER cert-001 cert CA CA 2022-8-11
-
인증서의 services 등록 정보를 kmip로 설정합니다.
hostname:configuration settings certificates trusted> select cert-001 hostname:configuration settings certificates cert-001> get services services = hostname:configuration settings certificates cert-001> set services=kmip services = kmip (uncommitted) hostname:configuration settings certificates cert-001> commit hostname:configuration settings certificates cert-001> done
-
shares encryption kmip로 이동합니다.
hostname:shares encryption kmip> get server_list = client_cert = host_match = true destroy_key_on_remove = true -
client_cert를 바로 전에 업로드한 인증서로 설정합니다.
기본적으로 list 명령은 KMIP 서버를 나열합니다. list certs 명령을 사용하여 사용 가능한 인증서를 나열합니다.
hostname:shares encryption kmip> list certs CERT TYPE SUBJECT COMMON NAME ISSUER COMMON NAME NOT AFTER cert-001 cert iogo7PmhIY CA 2023-1-25
set 명령 또는 client_cert 명령을 사용하여 client_cert 값을 설정합니다.
hostname:shares encryption kmip> set client_cert=cert-001 hostname:shares encryption kmip> client_cert cert-001
스크립트의 경우 인증서에 대해 영구 식별자가 필요합니다. 탭 완성을 사용하여 client_cert 명령어를 사용하여 인증서 등록 정보를 나열합니다.
hostname:shares encryption kmip> client_cert tab cert-001 notafter cert-002 notbefore comment sha1fingerprint dns sha256fingerprint ip subject_commonname issuer_commonname subject_countryname issuer_countryname subject_localityname issuer_localityname subject_organizationalunitname issuer_organizationalunitname subject_organizationname issuer_organizationname subject_stateorprovincename issuer_stateorprovincename type key_bits uri key_type uuid
모든 인증서에 고유한 subject_commonname이 포함되므로, 해당 등록 정보의 값을 사용하여 client_cert 등록 정보를 설정할 수 있습니다.
hostname:shares encryption kmip> client_cert subject_commonname=tab ip-addr iogo7PmhIY hostname:shares encryption kmip> client_cert subject_commonname=iogo7PmhIY hostname:shares encryption kmip> get client_cert client_cert = cert-001 (uncommitted) -
server_list를 KMIP 서버의 호스트 이름 또는 IP 주소로 설정합니다.
이 등록 정보의 권장 값은 KMIP 서버의 호스트 이름입니다. KMIP(Key Management Interoperability Protocol) 키 저장소에서 호스트 이름 검증 설명을 참조하십시오.
IP 주소를 지정하는 경우 KMIP 서버 관리자에게 포트 번호를 포함해야 하는지 여부를 확인하십시오.
hostname:shares encryption kmip> set server_list=kmip-server-hostname-or-IP-address server_list = kmip-server-hostname-or-IP-address (uncommitted) hostname:shares encryption kmip> commit서버가 인증서 검증에 실패했다는 경고가 수신되면 server_list에 올바른 서버 호스트 이름을 지정했는지 확인합니다. server_list의 IP 주소를 지정할 때 CA로 설명된 인증서 주체 일반 이름에 도메인 이름만 포함된 경우, 인증서에 대한 호스트 검증이 실패합니다.
host_match의 값을 false로 설정하면 호스트 검증이 수행되지 않고 보안이 약해집니다.
-
host_match 및 destroy_key_on_remove 옵션을 확인합니다.
기본적으로 이러한 옵션이 모두 true입니다. 각 옵션에 대한 설명은 KMIP(Key Management Interoperability Protocol) 키 저장소를 참조하십시오.
-
키에 이름을 지정합니다.
키를 만들고 keyname 등록 정보를 설정합니다.
hostname:shares encryption kmip> keys hostname:shares encryption keys> list NAME CREATED CIPHER KEYNAME hostname:shares encryption keys> create hostname:shares encryption kmip key-000 (uncommitted)> set keyname=atz-1-27-2021 keyname = atz-1-27-2021 (uncommitted) hostname:shares encryption kmip key-000 (uncommitted)> commit hostname:shares encryption keys> list NAME CREATED CIPHER KEYNAME key-000 2021-1-27 07:14:31 AES atz-1-27-2021 - (옵션)
이 키로 암호화된 풀, 프로젝트 및 공유를 식별합니다.
이 키로 암호화된 풀, 프로젝트 및 공유를 식별하려면 키 삭제 프로세스를 시작하지만, 영향을 받는 데이터 목록이 표시된 후 키 삭제 작업을 취소합니다. 키 삭제를 시작한 후 이 키로 암호화된 모든 데이터에 액세스할 수 없다는 경고가 표시됩니다. 경고에는 이 키로 암호화된 모든 풀, 프로젝트 및 공유 목록이 표시됩니다. 키 삭제를 취소하려면 n을 입력합니다.
hostname:shares encryption keys> destroy key-000 This key has the following dependents: pool-0/local/default/fs-enc Destroying this key will render the data inaccessible. Are you sure? (Y/N) n