Configuration du chiffrement par le keystore KMIP (CLI)
Pour configurer le chiffrement à l'aide de KMIP, téléchargez la clé et les certificats, puis spécifiez le serveur KMIP.
Avant de commencer
Avant de configurer le keystore KMIP sur les contrôleurs clusterisés, exécutez les procédures suivantes :
-
Pour chaque noeud du cluster, configurez une ressource réseau privée capable de joindre les serveurs KMIP. Cette interface réseau privée garantit que chaque noeud du cluster peut communiquer avec le serveur KMIP, en cas de basculement des interfaces réseau des services de données. Pour plus d'informations sur les ressources privées, reportez-vous à la section Gestion des ressources du cluster.
-
Configurez une route appropriée vers chaque serveur KMIP pour la liaison réseau privée. Pour plus d'informations sur la configuration des routes, reportez-vous à la section Configuration du routage réseau.
 | Mise en garde - Le non-respect de ces conditions entraîne une interruption de service au cours des opérations de reprise et de restauration. |
- Accédez à configuration settings certificates system.
-
Téléchargez la clé privée.
-
Copiez le contenu du fichier au format PEM contenant la clé privée.
Pour Oracle Key Vault, la clé et les certificats se trouvent dans un fichier jar que vous a envoyé l'administrateur Oracle Key Vault. Le nom du fichier de clé privée est key.pem.
-
Saisissez la commande import. Collez la clé à l'invite.
hostname:configuration settings certificates system> import ("." to end)> -----BEGIN RSA PRIVATE KEY----- ... ("." to end)> -----END RSA PRIVATE KEY----- ("." to end)> . -
Saisissez la commande list.
La table Certificats système comporte une nouvelle ligne dont le type est key.
hostname:configuration settings certificates system> list CERT TYPE SUBJECT COMMON NAME ISSUER COMMON NAME NOT AFTER cert-001 key RSA-2048
-
Copiez le contenu du fichier au format PEM contenant la clé privée.
-
Téléchargez le certificat du système.
Le certificat système est le fichier au format PEM contenant le certificat client du système. Pour Oracle Key Vault, il s'agit du fichier cert.pem.
Copiez le contenu du fichier de certificat, entrez la commande import et collez le certificat.
hostname:configuration settings certificates system> import ("." to end)> -----BEGIN CERTIFICATE----- ... ("." to end)> -----END CERTIFICATE----- ("." to end)> . -
Téléchargez le certificat d'ancre de confiance.
Le certificat CA est l'émetteur du certificat client. Pour Oracle Key Vault, il s'agit du fichier CA.pem.
- Entrez la commande up trusted.
-
Copiez le contenu du fichier d'autorité de certification, entrez la commande import et collez le certificat CA.
La table Certificats sécurisés contient une nouvelle ligne.
hostname:configuration settings certificates trusted> list CERT TYPE SUBJECT COMMON NAME ISSUER COMMON NAME NOT AFTER cert-001 cert CA CA 2022-8-11
-
Définissez la propriété services du certificat sur kmip.
hostname:configuration settings certificates trusted> select cert-001 hostname:configuration settings certificates cert-001> get services services = hostname:configuration settings certificates cert-001> set services=kmip services = kmip (uncommitted) hostname:configuration settings certificates cert-001> commit hostname:configuration settings certificates cert-001> done
-
Accédez à shares encryption kmip.
hostname:shares encryption kmip> get server_list = client_cert = host_match = true destroy_key_on_remove = true -
Pour client_cert, indiquez le certificat que vous avez téléchargé.
Par défaut, la commande list répertorie les serveurs KMIP. Utilisez la commande list certs pour afficher la liste des certificats disponibles.
hostname:shares encryption kmip> list certs CERT TYPE SUBJECT COMMON NAME ISSUER COMMON NAME NOT AFTER cert-001 cert iogo7PmhIY CA 2023-1-25
Définissez la valeur de client_cert à l'aide de la commande set ou client_cert.
hostname:shares encryption kmip> set client_cert=cert-001 hostname:shares encryption kmip> client_cert cert-001
Pour l'écriture de scripts, vous avez besoin d'un identificateur persistant pour le certificat. Utilisez la commande client_cert avec saisie automatique par tabulation pour afficher les propriétés des certificats.
hostname:shares encryption kmip> client_cert tab cert-001 notafter cert-002 notbefore comment sha1fingerprint dns sha256fingerprint ip subject_commonname issuer_commonname subject_countryname issuer_countryname subject_localityname issuer_localityname subject_organizationalunitname issuer_organizationalunitname subject_organizationname issuer_organizationname subject_stateorprovincename issuer_stateorprovincename type key_bits uri key_type uuid
Chaque certificat possède une valeur subject_commonname unique, que vous pouvez utiliser pour définir la propriété client_cert.
hostname:shares encryption kmip> client_cert subject_commonname=tab ip-addr iogo7PmhIY hostname:shares encryption kmip> client_cert subject_commonname=iogo7PmhIY hostname:shares encryption kmip> get client_cert client_cert = cert-001 (uncommitted) -
Définissez server_list sur le nom d'hôte ou l'adresse IP du serveur KMIP.
La valeur recommandée pour cette propriété est le nom d'hôte du serveur KMIP. Reportez-vous à la description de la validation du nom d'hôte dans Keystore KMIP (Key Management Interoperability Protocol).
Si vous spécifiez une adresse IP, vérifiez auprès de l'administrateur du serveur KMIP si vous devez indiquer le numéro de port.
hostname:shares encryption kmip> set server_list=kmip-server-hostname-or-IP-address server_list = kmip-server-hostname-or-IP-address (uncommitted) hostname:shares encryption kmip> commitSi un avertissement s'affiche, indiquant que le serveur n'a pas pu valider le certificat, vérifiez que vous avez spécifié le nom d'hôte correct dans server_list. Si vous indiquez une adresse IP pour server_list, et que le nom commun du sujet du certificat signé par une CA comporte uniquement un nom de domaine, la validation de l'hôte pour le certificat échoue.
Si vous définissez host_match sur false, la validation de l'hôte n'a pas lieu, ce qui affaiblit la sécurité.
-
Vérifiez les options host_match et destroy_key_on_remove.
Par défaut, ces options sont définies sur true. Pour plus d'informations sur le rôle de ces options, reportez-vous à la section Keystore KMIP (Key Management Interoperability Protocol).
-
Donnez un nom à la clé.
Créez une clé et définissez la propriété keyname.
hostname:shares encryption kmip> keys hostname:shares encryption keys> list NAME CREATED CIPHER KEYNAME hostname:shares encryption keys> create hostname:shares encryption kmip key-000 (uncommitted)> set keyname=atz-1-27-2021 keyname = atz-1-27-2021 (uncommitted) hostname:shares encryption kmip key-000 (uncommitted)> commit hostname:shares encryption keys> list NAME CREATED CIPHER KEYNAME key-000 2021-1-27 07:14:31 AES atz-1-27-2021 - (Facultatif)
Identifiez les pools, les projets et les partages qui sont chiffrés à l'aide de cette clé.
Pour identifier les pools, les projets et les partages qui sont chiffrés à l'aide de cette clé, lancez le processus de suppression de la clé et annulez-le après avoir consulté la liste des données affectées par la suppression. Lorsque vous commencez à supprimer la clé, un avertissement s'affiche, indiquant que toutes les données chiffrées à l'aide de cette clé deviendront inaccessibles. Ce message d'avertissement répertorie les pools, les projets et les partages qui sont chiffrés à l'aide de cette clé. Entrez n pour annuler la suppression de la clé.
hostname:shares encryption keys> destroy key-000 This key has the following dependents: pool-0/local/default/fs-enc Destroying this key will render the data inaccessible. Are you sure? (Y/N) n