1. セキュリティ・ガイド
  2. Oracle NoSQL Databaseをセキュアに保つ方法
  3. 外部証明書の更新ガイドライン

外部証明書の更新ガイドライン

外部証明書をすでに使用しているセキュアなインストール用の外部証明書を更新するには、次のステップを実行します。

ノート:

この手順では、更新済の外部証明書を含むJavaのキーストアおよびトラストストアの設定がすでに存在することを前提としています。詳細は、Javaキーストアの準備を参照してください。

  1. 外部証明書を使用する新しいセキュリティ構成を作成します。 

    security-> config create -root NEW_KVROOT \
-pwdmgr wallet -kspwd password \
-param "client:serverIdentityAllowed=dnmatch
(CN=myhost, OU=TeamA, O=MyCompany, L=Unknown,
ST=California, C=US)" \
-param "internal:serverIdentityAllowed=dnmatch
(CN=myhost, OU=TeamA, O=MyCompany, L=Unknown,
ST=California, C=US)" \
-param "internal:clientIdentityAllowed=dnmatch
(CN=myhost, OU=TeamA, O=MyCompany, L=Unknown,
ST=California, C=US)" \
-param "ha:serverIdentityAllowed=dnmatch
(CN=myhost, OU=TeamA, O=MyCompany, L=Unknown,
ST=California, C=US)" \
-param "ha:clientIdentityAllowed=dnmatch
(CN=myhost, OU=TeamA, O=MyCompany, L=Unknown,
ST=California, C=US)"

  2. キーストアおよびサーバー・トラストストアを独自のものに置き換えます。 

    copy store.keys store.trust NEW_KVROOT/security/

  3. 構成ホストで、トラストストア・エントリをNEW_KVROOTディレクトリにマージします。すべてのレプリケーション・ノードがオンラインであることを確認してから、次のコマンドを使用して、各ストレージ・ノードを1つずつ再起動します。更新された外部証明書で異なる識別名が使用されている場合は、既存のデフォルト・セキュア・インストール用の外部証明書の構成ガイドラインに示されている手順を使用して、セキュリティ構成のdnmatch値を互換性のあるものに更新します。

    ノート:

    SNAを開始する前に、環境変数MALLOC_ARENA_MAX1に設定します。MALLOC_ARENA_MAX1に設定すると、メモリー使用量が指定されたヒープ・サイズに制限されます。 

    java -Xmx64m -Xms64m \
-jar <KVHOME>/lib/kvstore.jar securityconfig \
config merge-trust -root KVROOT \
-source-root <NEW_KVROOT>

java -Xmx64m -Xms64m -jar <KVHOME>/lib/kvstore.jar stop -root KVROOT
java -Xmx64m -Xms64m -jar <KVHOME>/lib/kvstore.jar start -root KVROOT&

    ノート:

    新しい証明書が同じ認証局(CA)によって署名されている場合は、クライアント・トラストストアを更新する必要はありません。

  4. 更新されたstore.keysファイルを各ホストのセキュリティ・ディレクトリにコピーします。次に、すべてのレプリケーション・ノードがオンラインであることを確認し、次のコマンドを使用して、各ストレージ・ノードを1つずつ再起動します。 

    java -Xmx64m -Xms64m -jar <KVHOME>/lib/kvstore.jar stop -root KVROOT
java -Xmx64m -Xms64m -jar <KVHOME>/lib/kvstore.jar start -root KVROOT&

  5. すべてのストレージ・ノードについて、廃止された証明書mykeyをstore.trustから削除します。また、次のコマンドを使用して、新しい証明書mykey_2の名前をmykeyに変更します。 

    keytool -delete -keystore KVROOT/security/store.trust \
-alias mykey 
    keytool -changealias -keystore \
KVROOT/security/store.trust -alias mykey_2 -destalias mykey