1. ルート・オブ・トラストHSM構成ガイド
  2. Oracle Key Vault用のHSMの構成

2 Oracle Key Vault用のHSMの構成

Oracle Key Vaultは、スタンドアロン環境、プライマリ/スタンバイ環境またはマルチマスター・クラスタ環境のルート・オブ・トラストとしてHSMを使用するように構成できます。

2.1 スタンドアロンOracle Key VaultデプロイメントでのHSMの有効化

Oracle Key Vault管理コンソールは、HSM対応のOracle Key Vaultに使用できます。これにより、TDEマスター暗号化キーに追加の保護を構成します。

マルチマスター・クラスタを使用する場合は、クラスタ環境を構成する前にこの手順を実行することをお薦めします。Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1以外のベンダーを使用する予定がある場合は、この操作中に従う必要がある追加の手順があるかどうかを、このベンダーに確認します。次に示すステップは、まず、このサーバーで完了してください。その後、このステップを別のOracle Key Vaultサーバーで実行します。
  1. Entrustクライアント・ソフトウェアがインストールしてある場合は、次のコマンドをoracleユーザーとして実行します。
    oracle$ /opt/nfast/bin/rfs-sync --update
  2. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    マルチマスター・クラスタ環境を使用している場合は、HSMを有効にするOracle Key Vaultノードにログインします。
  3. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  4. 「Network Services」で「HSM」をクリックします。
    「Hardware Security Module」ページが表示されます。赤い下向き矢印は、初期化が済んでいないステータスを示します。「Type」フィールドには「None」と表示されます。


    21_hsm_status.pngの説明が続きます
    図21_hsm_status.pngの説明

  5. 「Initialize」をクリックします。
    「Initialize HSM」ウィンドウが表示されます。


    21_hsm_initialize.pngの説明が続きます
    図21_hsm_initialize.pngの説明

  6. HSM資格証明を2回入力します。1回目は「HSM Credential」に、2回目は「Re-enter HSM Credential」に入力します。
    この資格証明については、対象のHSMに付属のドキュメントを参照してください。Thales用のHSM資格証明は、Thalesパーティション・パスワードです。Entrustの場合、資格証明はOperator Card SetまたはSoftcardに関連付けられたパスワードです。Utimacoの場合、資格証明はトークンの構成時に初期化されたPINです。認定されている他のHSMベンダーについては、ベンダーのドキュメントを参照してください。Oracleで現在サポートされているのは、長さが最大79文字のHSM資格証明のみです。
  7. Oracle Key Vaultの「Recovery Passphrase」を入力します。
  8. HSMのオブジェクトを作成および使用する際に、Oracle Key Vaultが特定のトークンを使用するようにするには、「Use Token Label」チェック・ボックスを選択して、Oracle Key Vaultで使用するトークンのラベルを入力します。
    Oracle Key Vaultで複数のトークンにアクセスする場合は、「Use Token Label」の使用をお薦めします。Oracle Key Vaultでは他の1つ以上のトークンと同じ名前のトークンの使用はサポートされておらず、また、Oracle Key Vaultでは名前の先頭に空白があるトークンの使用もサポートされていません。
  9. 「Initialize」をクリックします。
    初期化操作が正常終了すると、「Hardware Security Module」ページが表示されます。初期化済の「Status」が緑色の上向き矢印で示されます。「Type」フィールドには、使用しているHSMの詳細が表示されます。
  10. Entrust HSMを使用している場合は、次のコマンドをoracleユーザーとして実行します。
    oracle$ /opt/nfast/bin/rfs-sync --commit

    Entrustの使用時に、このステップを初期化後ごとに実行しないと、バックアップのリストアやプライマリ/スタンバイ構成の使用などの複数の機能が使用できなくなります。

  11. /var/okv/log/hsm/ディレクトリ内の最新の初期化ログ・ファイルをチェックして、操作が成功したことを確認します。
初期化操作が失敗した場合は、「Hardware Security Module」ページにリダイレクトされ、初期化が済んでいないことが「Status」に表示され、「Type」には「None」と表示されます。詳細な情報は、/var/okv/log/hsmディレクトリにあるログ・ファイルで確認できます。

ノート:

初期化後にHSMのHSM資格証明を変更した場合は、システムの再起動前にSet Credentialコマンドを使用して、Oracle Key Vaultサーバー上のHSM資格証明も更新する必要があります。HSMを使用するプライマリ/スタンバイOracle Key Vaultデプロイメントが存在する場合は、HSMの初期化後にHSM資格証明を変更しないようにしてください。スタンバイには、プライマリでSet Credentialコマンドを使用して設定した資格証明が存在しないためです。

親トピック: Oracle Key Vault用のHSMの構成

2.2 マルチマスター・クラスタでのHSM

マルチマスター・クラスタでのHSMは、単一ノードまたは複数ノードを使用して構成できます。

親トピック: Oracle Key Vault用のHSMの構成

2.2.1 マルチマスター・クラスタでのHSMについて

クラスタ内の各ノードは、各ノードのルート・オブ・トラスト(RoT)キーを保存する際にHSMを使用するように構成できます。

このRoTにより、Oracle Key Vaultで使用されるマスター暗号化キーは保護されます。HSMは、標準的なサーバーよりアクセスが困難な、改ざんされにくい専用ハードウェアを使用して構築されています。これにより、RoTが保護され、暗号化されたデータの抽出が困難になるため、侵害のリスクが軽減されます。また、HSMはFIPS 140-2レベル3モードで使用でき、これにより特定のコンプライアンス要件を満たすことができます。

マルチマスターOracle Key Vaultインストールでは、クラスタ内のどのKey Vaultノードでも任意のHSMを使用できます。マルチマスター・クラスタの各ノードは、異なるTDEウォレット・パスワードとRoTキーを使用しますが、異なるHSM資格証明を使用するかどうかは、それぞれのクラスタ・ノードの構成方法によって決まります。

ノート:

完全なセキュリティを確保するには、クラスタ内のすべてのOracle Key VaultノードでHSMを有効にする必要があります。

親トピック: マルチマスター・クラスタでのHSM

2.2.2 単一ノードで開始するマルチマスター・クラスタ用のHSMの構成(推奨)

Oracleでは、マルチマスター・クラスタでHSMを使用するために、単一のHSM対応ノードから開始し、ノード・インダクション・プロセスを使用してHSM対応ノードを追加することをお薦めします。

単一ノードのマルチマスター・クラスタ用にHSMを構成する場合は、次のステップをお薦めします。

  1. Oracle Key Vaultサーバーをクラスタの最初のノードに変換します。
  2. 新しいノードを追加する前に、最初のノードをHSM対応にします。
  3. 候補ノードでHSMを有効にしてから、クラスタに追加します。
  4. HSM対応の候補ノードを、同様にHSM対応のコントローラ・ノードを使用してクラスタに追加します。

    次の点に注意してください。

    • クラスタ内のすべてのノードがすでにHSM対応である場合、HSMに対応していない新しいノードを追加することはできません。
    • コントローラ・ノードの「Add Node to Cluster」ページでは、コントローラ・ノードのHSM資格証明が要求されます。

関連項目

親トピック: マルチマスター・クラスタでのHSM

2.2.3 複数ノードのマルチマスター・クラスタ用のHSMの構成

他のノード用のHSMを構成する前に、最初のHSM対応ノードからクラスタ内の他のノードにバンドルをコピーすることにより、複数ノード用のHSMを構成できます。

親トピック: マルチマスター・クラスタでのHSM

2.2.3.1 複数ノードのマルチマスター・クラスタ用のHSMの構成について

一般的な手順では、最初にクラス内のいずれかのノードでステップを実行してから、クラスタ内のその他のノードでステップを実行します。

単一ノードから開始してマルチマスター・クラスタ用のHSMを構成する手順は、クラスタの単一ノードから開始してマルチマスター・クラスタ用のHSMを構成する方法を説明しており、HSMを使用するようにクラスタを構成するお薦めの方法です。ただし、マルチマスター・クラスタをすでに構成している場合でも、HSMを使用するようにクラスタを構成できます。ただし、他のノードをHSM対応にする前に、最初のHSM対応ノードからクラスタ内の他のすべてのノードにバンドルを手動でコピーして適用する追加のステップが必要です。HSM対応にされた最初のノードに読取り/書込みピア・ノードがある場合、バンドルが読取り/書込みノードにコピーされて正常に適用されるまで、その読取り/書込みピアではHSM対応ノードから複製された情報を復号化できないことに注意してください。その結果として、正常なバンドルを即座に作成して読取り/書込みピアに適用しないと、HSMに対応している最初のノードを逆移行した後でもデータが失われる可能性があります。

クラスタ内の最初のノードをHSM対応にした後、他のノードをHSM対応にする前に、次のステップを使用してHSM対応ノード上にバンドルを作成し、クラスタ内の他のすべてのノードにコピーして適用します。

2.2.3.2 ステップ1: 最初のノードのHSM有効化後のバンドルの作成およびコピー

マルチマスター・クラスタの最初のノードでHSMを有効化したら、バンドルを作成してクラスタ内のその他のノードにバンドルをコピーする必要があります。

HSMの有効化は、スタンドアロンOracle Key VaultデプロイメントのHSMの有効化と同様の方法で実行しますが、この項で説明する追加のステップが必要になります。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」で「HSM」をクリックします。
  4. HSM対応ノードで、「HSM」ページの「Create Bundle」をクリックします。
  5. 「Create Bundle」ダイアログ・ボックスで、次の操作を実行します。
    1. 「HSM Credential」フィールドに、HSM資格証明を入力します。
    2. 「Recovery Passphrase」フィールドに、リカバリ・フレーズを入力します。
    3. 「Create Bundle」ボタンをクリックします。
  6. SSHを介して、ユーザーsupportとしてHSM対応ノードにログインします。
    $ ssh support@hsm_enabled_node
  7. rootユーザーに切り替えます。
    support$ su root
  8. IPアドレスを使用して他の各ノードの/usr/local/okv/hsmの場所にバンドルをコピーするには、SCPを使用します。
    クラスタ内の他のすべてのノードのIPアドレスを使用してこのステップを実行します。 
    root# scp /usr/local/okv/hsm/hsmbundle support@ip_address:/tmp
2.2.3.3 ステップ2: 残りのノードの構成

最初のノードを構成したら、残りのノードにバンドルをインストールする準備ができます。

最初のノードをHSM対応にしてバンドルを他のすべてのノードにコピーした後、できるだけ早くこの手順を実行します。
  1. IPアドレスを使用して、クラスタ内の各ノードにログインします(元のHSM対応ノードを除く)。
    $ ssh support@ip_address
  2. 各ノードで、rootユーザーに切り替えます。
    support$ su root
  3. 各ノードで次のステップを実行します。
    root# cp /tmp/hsmbundle /usr/local/okv/hsm/
root# chown oracle:oinstall /usr/local/okv/hsm/hsmbundle
  4. 最初のHSM対応ノード以外の各ノードで、「HSM」ページの「Apply Bundle」をクリックして、次のステップを実行します。
    1. 「Recovery Passphrase」フィールドに、リカバリ・フレーズを入力します。
    2. 「Apply Bundle」ボタンをクリックします。
    すべてのノードにバンドルをすぐに適用してから、元のHSM対応ノードに逆移行する必要があります。
  5. クラスタ内の残りの各ノードでHSMを有効にします。
  6. すべてのノードでHSMを有効にし、すべてのノード間のレプリケーションを検証したら、すべてのノードからhsmbundleファイルを削除します。

2.3 プライマリ/スタンバイOracle Key VaultデプロイメントでのHSMの有効化

Oracle Key Vaultプライマリ/スタンバイ・デプロイメントでは、プライマリやスタンバイのサーバーになるOracle Key Vaultサーバーごとに、HSM有効化のタスクを実行する必要があります。

このタスクは、プライマリ/スタンバイ構成でこれらの2つのサーバーをペアにする前に実行する必要があります。プライマリ・サーバーまたはスタンバイ・サーバーのいずれか(あるいはその両方)でHSMがすでに有効になっているのにこれらのステップを実行していない場合、プライマリ/スタンバイのペアリングを実行すると、構成は失敗します。サーバーがすでにペアになっていても、どちらもHSMが有効になっていない場合は、それらのペアを解除して、スタンバイ・サーバーを再インストールしてから、次のステップを実行する必要があります。

  1. 2つの異なるOracle Key Vaultインスタンスをインストールします。
  2. 1つをプライマリに選択し、もう1つをスタンバイ・サーバーに選択します。
  3. プライマリおよびスタンバイとして使用する両方のサーバーに、HSMクライアント・ソフトウェアをインストールします。
  4. 指定したプライマリ・サーバーとスタンバイ・サーバーを同一のHSMのクライアントとしてエンロールします。
  5. 指定したプライマリ・サーバーのHSMを有効化します。
    Entrustを使用している場合は、このサーバーでoracleユーザーとして/opt/nfast/bin/rfs-sync --commitを実行済であることを確認してから、次のステップに進んでください。
  6. プライマリ・サーバーで、次のステップを実行します。
    1. SSHを介して、ユーザーsupportとして指定のプライマリ・サーバーにログインし、ユーザーをrootに切り替え(su)、次に、ユーザーをoracleに切り替えます(su)。
      $ ssh support@okv_primary_instance_ip_address
support$ su root
root# su oracle
    2. 指定したスタンバイ・サーバーに、次のファイルを安全にコピーします。
      oracle$ cd /usr/local/okv/hsm/wallet
oracle$ scp cwallet.sso support@okv_standby_instance_ip_address:/tmp
oracle$ scp enctdepwd support@okv_standby_instance_ip_address:/tmp
oracle$ cd /usr/local/okv/hsm/restore
oracle$ scp ewallet.p12 support@okv_standby_instance_ip_address:/tmp
  7. 指定したスタンバイ・サーバーで、次のステップを実行します。
    1. SSHを介して、ユーザーsupportとして指定のスタンバイ・サーバーにログインし、次に、ユーザーをrootに切り替えます(su)。
      $ ssh support@okv_standby_instance_ip_address
support$ su root
    2. HSM関連ファイルを設定し、okv_security.confファイルで、HSM_ENABLEDおよびHSM_PROVIDERパラメータを設定します。
      以前のバージョンのOracle Key Vaultには、新しいバージョンのokv_security.confに存在する特定のパラメータが含まれていないことがあります。
      root# cd /usr/local/okv/hsm/wallet
root# mv /tmp/enctdepwd .
root# mv /tmp/cwallet.sso .
root# chown oracle *
root# chgrp oinstall *
root# cd /usr/local/okv/hsm/restore
root# mv /tmp/ewallet.p12 .
root# chown oracle *
root# chgrp oinstall *
root# vi /usr/local/okv/etc/okv_security.conf
   Set HSM_ENABLED="1"
   Set HSM_PROVIDER="provider_value"
   Set HSM_KEY_EXTRACTABLE="extractable_value"
   Set HSM_TOKEN_LABEL="token_label_value"

      この指定内容についての説明は次のとおりです。

      • この例では、HSM_ENABLED1に設定されていて、スイッチオーバーやフェイルオーバーの発生時に指定のスタンバイがHSMを使用するように準備されます。
      • HSM_PROVIDERは、HSMプロバイダを表します。Thalesの場合は、この値を1に設定します。Entrustの場合は、2に設定します。Utimacoの場合は、3に設定します。認定されている他のHSMベンダーの場合は、4と入力します。

        HSM_PROVIDERは、okv_security.confファイルに存在していないことがあります。この設定が存在している場合は、HSMプロバイダに対応する適切な値を設定します。存在していない場合は、次に示す行を追加します。provider_valueの設定が、引用符で囲まれていることを確認してください。 

        HSM_PROVIDER="provider_value"
      • プライマリ・サーバーで設定されているスタンバイでは、HSM_KEY_EXTRACTABLEおよびHSM_TOKEN_LABELを同じ値に設定する必要があります。
    3. 次の文字を入力することで保存して終了します。
      :wq!
    4. Entrustを使用している場合は、次のコマンドを実行します。
      root# su - oracle
oracle$ /opt/nfast/bin/rfs-sync --update
  8. Oracle Key Vaultインスタンスを再起動せずに、プライマリおよびスタンバイのOracle Key Vault管理コンソールに移動して、プライマリ/スタンバイ環境を構成します。

関連項目

親トピック: Oracle Key Vault用のHSMの構成

2.4 HSMが有効になっているOracle Key Vaultインスタンスでのバックアップおよびリストア操作

HSMが有効になっているOracle Key Vaultインスタンスをバックアップおよびリストアできます。

親トピック: Oracle Key Vault用のHSMの構成

2.4.1 HSMが有効になっているOracle Key Vaultインスタンスでのバックアップ操作

HSMが有効なOracle Key Vaultインスタンスのデータをバックアップするステップは、HSMが有効になっていないインスタンスのバックアップに使用するステップと同じです。

Oracle Key Vault管理コンソールを使用してバックアップ操作を実行できます。

関連項目

親トピック: HSMが有効になっているOracle Key Vaultインスタンスでのバックアップおよびリストア操作

2.4.2 HSMが有効になっているOracle Key Vaultインスタンスでのリストア操作

HSMが有効なOracle Key Vaultインスタンスから作成したバックアップは、バックアップの作成時に使用していたものと同じルート・オブ・トラスト・キーにアクセスできるスタンドアロンOracle Key Vaultサーバーにのみリストアできます。

システムにバックアップをリストアする前に、HSMとバックアップを作成するために使用されたルート・オブ・トラスト(RoT)の両方に、システムからアクセスできることを確認する必要があります。そのため、このステップを進める前に、HSMクライアント・ソフトウェアがOracle Key Vaultサーバーにインストールされていて、Oracle Key VaultがHSMのクライアントとしてエンロールされている必要があります。バックアップがHSM対応のクラスタ・ノードで作成されていた場合は、そのバックアップをスタンドアロン・サーバーにリストアするときに、バックアップを作成したノードと同じHSMおよびRoTにサーバーがアクセスできることを確認する必要があります。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    Oracle Key Vaultの「Home」ページが表示されます。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」で「HSM」をクリックします。
    「Hardware Security Module」ページが表示されます。リストア時に、まず「Status」が無効化され、リストの終了後に有効化されます。
  4. 「Set Credential」をクリックします。
    「Prepare for HSM Restore」画面が表示されます。
  5. HSM資格証明を2回入力します。1回目は「HSM Credential」に、2回目は「Re-enter HSM Credential」に入力します。
    この資格証明については、対象のHSMに付属のドキュメントを参照してください。Thales用のHSM資格証明は、Thalesパーティション・パスワードです。Entrustの場合、資格証明はOperator Card SetまたはSoftcardに関連付けられたパスワードです。Operator Card Setを使用している場合のHSM資格証明は、Operator Card Setパスワードです。Softcardを使用する場合、パスワードはSoftcardパスワードです。認定されている他のHSMベンダーについては、ベンダーのドキュメントを参照してください。
  6. リストアするバックアップが、Oracle Key VaultのHSMが有効化されていたときに作成されたもので、特定のトークンを使用するように指定されていた場合は、「Use Token Label」を選択して、バックアップの作成時にOracle Key Vaultが使用していたトークンのトークン・ラベルを入力します。
  7. 「Set Credential」をクリックします。

    注意:

    Set Credential操作またはInitialize操作で資格証明が正常に設定されているときに、無効なHSMの資格証明を設定すると、それまでの資格証明、トークン・ラベルおよびベンダーがそのまま格納されて使用されます。それまでに資格証明が設定されていないときに、Set Credential操作が失敗した場合、無効な資格証明、トークン・ラベルおよびベンダーは格納されません。

    HSM資格証明は、システムに格納されます。バックアップ自体には格納されていないため、バックアップのリストア操作を実行する際に使用できるようにシステムに格納する必要があります。
  8. Entrustを使用している場合は、次のコマンドをoracleユーザーとして実行します。
    oracle$ /opt/nfast/bin/rfs-sync --update

    このコマンドは、Entrustバックアップのリストアを正常に完了するために必要です。

  9. Oracle Key Vault管理コンソールで、「Restore」ページに移動してバックアップをリストアします。

関連項目

親トピック: HSMが有効になっているOracle Key Vaultインスタンスでのバックアップおよびリストア操作

2.5 逆移行操作

HSMが有効になっているOracle Key Vaultサーバーの逆移行では、再びKey Vaultサーバーでリカバリ・パスフレーズが使用され始め、TDEウォレットが保護されます。

この操作は、TDEウォレット・パスワードの保護にHSMの使用が不要になったときに必要です(たとえば、HSMの廃止が必要になった場合など)。

親トピック: Oracle Key Vault用のHSMの構成

2.5.1 スタンドアロン・デプロイメントの逆移行

Oracle Key Vault管理コンソールを使用して、スタンドアロン・デプロイメントを逆移行できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    Oracle Key Vaultの「Home」ページが表示されます。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」で「HSM」をクリックします。
    「Hardware Security Module」ページが表示されます。
  4. 「Reverse Migrate」をクリックします。

    「HSM Reverse Migrate」ウィンドウが表示されます。


    21_hsm_reverse_migrate.pngの説明が続きます
    図21_hsm_reverse_migrate.pngの説明

    次の詳細を入力します。

    • HSM資格証明を「HSM Credential」フィールドに入力します。この資格証明については、HSMドキュメントを参照してください。Thales用のHSM資格証明は、Thalesパーティション・パスワードです。Entrustの場合、資格証明はOperator Card SetまたはSoftcardに関連付けられたパスワードです。Utimacoの場合、資格証明はトークンの構成時に初期化されたPINです。認定されている他のHSMベンダーについては、ベンダーのドキュメントを参照してください

    • 「Old Recovery Passphrase」フィールドに、古いリカバリ・パスフレーズを入力します。

    • 「New Recovery Passphrase」フィールドおよび「Re-enter New Recovery Passphrase」フィールドに新しいリカバリ・パスフレーズを入力します。リカバリ・フレーズの変更が不要な場合は、「New Recovery Passphrase」フィールドと「Re-enter New Recovery Passphrase」フィールドに、「Old Recovery Passphrase」に入力したものと同じフレーズを入力します。

  5. 「Reverse Migrate」をクリックします。
    「Hardware Security Module」ページが表示されます。赤い下向き矢印が「Status」を示します。

親トピック: 逆移行操作

2.5.2 マルチマスター・クラスタの逆移行

Oracle Key Vault管理コンソールを使用して、マルチマスター・クラスタを逆移行できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    Oracle Key Vaultの「Home」ページが表示されます。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」で「HSM」をクリックします。
    「Hardware Security Module」ページが表示されます。
  4. 「Reverse Migrate」をクリックします。

    「HSM Reverse Migrate」ウィンドウが表示されます。

    次の詳細を入力します。

    • 「HSM Credential」フィールドに、HSM資格証明を入力します。この資格証明については、対象のHSMに付属のドキュメントを参照してください。Thales用のHSM資格証明は、Thalesパーティション・パスワードです。Entrustの場合、資格証明はOperator Card SetまたはSoftcardに関連付けられたパスワードです。Utimacoの場合、資格証明はトークンの構成時に初期化されたPINです。認定されている他のHSMベンダーについては、ベンダーのドキュメントを参照してください

    • 「Recovery Passphrase」フィールドに、リカバリ・フレーズを入力します。

  5. 「Reverse Migrate」をクリックします
    「Hardware Security Module」ページが表示されます。赤い下向き矢印が「Status」を示します。

親トピック: 逆移行操作

2.5.3 プライマリ/スタンバイ・デプロイメントの逆移行

プライマリ/スタンバイ・デプロイメントを逆移行するには、Oracle Key Vault管理コンソールとコマンドラインの両方を使用します。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    Oracle Key Vaultの「Home」ページが表示されます。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」で「HSM」をクリックします。
    「Hardware Security Module」ページが表示されます。
  4. 「Reverse Migrate」をクリックします。

    「HSM Reverse Migrate」画面が表示されます。


    21_hsm_reverse_migrate.pngの説明が続きます
    図21_hsm_reverse_migrate.pngの説明

    「HSM Reverse Migrate」画面で、次の詳細を入力します。

    • HSM資格証明を「HSM Credential」フィールドに入力します。この資格証明については、対象のHSMに付属のドキュメントを参照してください。Thales用のHSM資格証明は、Thalesパーティション・パスワードです。Entrustの場合、資格証明はOperator Card SetまたはSoftcardに関連付けられたパスワードです。Utimacoの場合、資格証明はトークンの構成時に初期化されたPINです。認定されている他のHSMベンダーについては、ベンダーのドキュメントを参照してください。

    • 「Old Recovery Passphrase」フィールドに、古いリカバリ・パスフレーズを入力します。

    • 「New Recovery Passphrase」フィールドおよび「Re-enter New Recovery Passphrase」フィールドに新しいリカバリ・パスフレーズを入力します。リカバリ・フレーズの変更が不要な場合は、「Old Recovery Passphrase」に入力したものと同じリカバリ・フレーズを「New Recovery Passphrase」フィールドに入力して、「New Recovery Passphrase」フィールに再入力します。

  5. 「Reverse Migrate」をクリックします
    「Hardware Security Module」ページが表示されます。赤い下向き矢印が「Status」を示します。
  6. スタンバイ・サーバーで、SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインした後、ユーザー(su)をrootに切り替えます。
    $ ssh support@okv_standby_instance
support$ su root
  7. okv_security.confファイルを変更します。
    root# vi /usr/local/okv/etc/okv_security.conf

    • HSM_PROVIDER="provider_value"を削除します。

    • パラメータHSM_ENABLEDの値を"0"に変更します。

    :wq!という文字を入力することで保存して終了します。

  8. スタンバイ・サーバーで、次のファイルを削除します。
    root# cd /usr/local/okv/hsm/wallet
root# rm -f cwallet.sso enctdepwd
root# cd /usr/local/okv/hsm/restore
root# rm -f cwallet.sso ewallet.p12
root# cd /mnt/okvram
root# rm -f cwallet.sso ewallet.p12
root# cd /mnt/okvram/restore
root# rm -f cwallet.sso ewallet.p12
root# cd /usr/local/okv/tde
root# rm -f cwallet.sso
  9. ユーザーをoracleに切り替えます(su)。
    root# su oracle
  10. 次のコマンドを実行します。
    oracle$ /var/lib/oracle/dbfw/bin/orapki wallet create -wallet /usr/local/okv/tde -auto_login
  11. ステップ4で指定した新しいリカバリ・パスフレーズを入力します。
プライマリ/スタンバイ・デプロイメントが正常に逆移行されます。

親トピック: 逆移行操作

2.6 管理コンソールでの逆移行の無効化

Oracle Key Vault管理コンソールを使用することで逆移行を無効にできます。

管理コンソールで逆移行機能を無効にするには、okv_security.confファイルを編集する必要があります。示されているとおりにokv_security.confファイルを編集すると、管理コンソールから「Reverse Migrate」ボタンが削除されます。

  1. SSHを介してサーバーにユーザーとしてログインします。
    ssh support@ip_address
  2. rootユーザーに切り替えます。
    su-root
  3. 「System」タブを選択します。
  4. 左側のナビゲーション・バーで「Settings」を選択します。
  5. 「Network Services」で「HSM」をクリックします。
    「Hardware Security Module」ページに「Reverse Migrate」ボタンが表示されます。


    21.5_disable_reverse_migrate_visible.pngの説明が続きます
    図21.5_disable_reverse_migrate_visible.pngの説明

  6. okv_security.conf ファイルを編集してHSM_REVERSE_MIGRATE_ENABLEDを次のように変更します
     “0” root# vi /usr/local/okv/etc/okv_security.conf 
  Set HSM_REVERSE_MIGRATE_ENABLED=”0”
    (HSMについて)。
  7. 次の文字列を入力することで保存して終了します。
    :wq
    「Hardware Security Module」ページに「Reverse Migrate」ボタンが表示されなくなります。


    21.5_disable_reverse_migrate.pngの説明が続きます
    図21.5_disable_reverse_migrate.pngの説明

    ノート:

    パラメータHSM_REVERSE_MIGRATE_ENABLEDを1に設定した場合は「Reverse Migrate」ボタンを使用でき、HSM_REVERSE_MIGRATE_ENABLED値を0に設定した場合は「Reverse Migrate」ボタンを使用できません。

親トピック: Oracle Key Vault用のHSMの構成