4 Oracle Key Vault HSMサポート・ガイダンス

Oracle Key Vault HSMサポート・ガイダンスでは、トラブルシューティングおよびベンダー固有のノートについて説明します。

4.1 一般的なトラブルシューティング

Oracle Key Vaultでは、一般的なトラブルシューティングのヘルプが提供されます。ベンダー固有のトラブルシューティングについては、ベンダー固有のノートで説明します。

4.1.1 問題を診断するためのトレース・ファイル

Oracle Key Vaultには、発生する可能性がある問題をより適切に診断できるように、トレース・ファイルが用意されています。

これらのトレース・ファイルを使用して、ハードウェア・セキュリティ・モジュール操作を試みるときに問題をより詳細に診断します。これらのトレース・ファイルは、Oracle Key Vaultサーバーの/var/okv/log/hsm/ディレクトリにあります。最後に失敗した操作を確認するには、最終変更時刻でトレース・ファイルをソートできます。たとえば、ls -ltr /var/okv/log/hsmでは、最後に変更されたトレース・ファイルがリストの最後に表示されます。

4.1.2 HSMアラート

Oracle Key Vaultには、HSM構成を定期的にモニターして、トラスト・キーの可用性およびファイルの状態をチェックするアラート・メカニズムが用意されています。

Oracle Key VaultサーバーがHSMに対応している場合、Oracle Key Vaultは5分(または「Configure Alerts」ページのモニタリング間隔に設定した時間)ごとにHSMにアクセスして、ルート・オブ・トラスト・キーが使用可能でTDEウォレット・パスワードが復号化できることを確認します。HSM構成で問題が発生した場合(HSMにアクセスできない場合やHSMに同じIDの競合するキーがある場合など)、「Hardware Security Module」ページ(「System」タブ、「Settings」の順に選択し、「Network Services」領域で「HSM」をクリックしてアクセスします)の上矢印が下矢印に切り替り、アラートが生成されます。下矢印は、HSMが構成されていないか、HSM構成に問題があることを示します。アラートが発生した場合は、「HSM configuration error. Please refer to the HSM Alert section in the Oracle Key Vault Root of Trust HSM Configuration Guide」というエラー・メッセージが表示されます。

このアラートが表示された場合は、次のステップに従います。

  1. 次のように、ルートとしてログインします。
    $ ssh support@okv_instance_ip_address
    support$ su - root
  2. SSOウォレットをバックアップします。たとえば:
    root# cp /mnt/okvram/cwallet.sso /var/lib/oracle/cwallet_hsm_backup.sso
  3. アラートの原因を診断します。

    次のverifyコマンドは、アラートが発生した理由を示します。ls -ltrhコマンドは、出力の下部に最新のログ・ファイルを表示します。

    root# su - oracle
    oracle$ /usr/local/okv/hsm/bin/hsmclient verify
    oracle$ cd /var/okv/log/hsm
    oracle$ ls -ltrh
  4. この問題を解決できない場合は、Oracleサポートに問い合せてください。

4.1.3 Could Not Get Slot for HSMエラー

Could Not Get Slot for HSMエラーは、Oracle Key VaultがHSMからスロットを取得できなかったことを示しています。

詳細は、最新のトレース・ファイルを参照してください。原因として、無効または存在しないトークン・ラベルが指定されていることや、HSMがスロットのリストを返せなかったことなどが考えられます。

4.1.4 Could Not Load PKCS#11 Libraryエラー

Could Not Load PKCS#11 Libraryエラーは、Oracle Key VaultがPKCS#11ライブラリをロードできなかったことを示しています。

このエラーの原因として、ファイルの権限に問題があることや、Oracle Key VaultにHSMクライアント・ソフトウェアが適切にデプロイされていないことなどが考えられます。詳細は、最新のトレース・ファイルを参照してください。PKCS#11ライブラリについては、ベンダーに応じて次の場所が検索されます。

  • Thalesの場合: /usr/safenet/lunaclient/lib/libCryptoki2_64.so
  • Entrustの場合: /opt/nfast/toolkits/pkcs11/libcknfast.so
  • Utimacoの場合: /opt/utimaco/lib/libcs_pkcs11_R2.so

4.1.5 HSMが有効なOracle Key Vaultサーバーの再起動後に、Oracle Key Vault管理コンソールが起動しない

HSMに対応しているOracle Key Vaultサーバーの再起動後に、Oracle Key Vault管理コンソールが表示されないことがあります。

この状態になった場合は、SSHを使用してsupportユーザーとしてOracle Key Vaultにログインし、次のように手動操作してウォレットを開いてみてください。

$ ssh support@okv_instance_ip_address
support$ su root 
root# su oracle
oracle$ cd /usr/local/okv/hsm/bin
oracle$ ./hsmclient open_wallet

open_walletコマンドが成功すると、HSM以外の問題が他にない場合は、データベースが開き、管理コンソールが表示されます。コマンドが成功しない場合は、/var/okv/log/hsmの下にある最新のログ・ファイルを調べ、ベンダー固有の説明を確認します。

4.1.6 プライマリ-スタンバイのエラー

okv_security.confファイルには、プライマリ/スタンバイのエラーの診断に役立つ設定が含まれています。

  • ファイルがスタンバイ・サーバーに転送されていることを確認します。

    スタンバイ・サーバーで、rootとしてls -lコマンドを実行します。

    root# ls -l /usr/local/okv/hsm/wallet
    -rw------- 1 oracle oinstall 324 May 16 22:57 cwallet.sso
    -rw------- 1 oracle oinstall 176 May 16 22:57 enctdepwd
    root# ls -l /usr/local/okv/hsm/restore
    -rw------- 1 oracle oinstall 320 May 16 22:57 ewallet.p12
    

    /usr/local/okv/hsm/walletディレクトリにあるcwallet.ssoおよびenctdepwdと、/usr/local/okv/hsm/restoreディレクトリにあるewallet.p12を確認する必要があります。

  • スタンバイ・サーバーでモードがHSMに設定されていることを確認します。

    スタンバイ・サーバーで、rootとしてokv_security.confファイルを開きます。

    root# cat /usr/local/okv/etc/okv_security.conf
     Look for the line:
     HSM_ENABLED="1"
    

    二重引用符で囲まれた数値を確認する必要があります。

  • ベンダー固有の手順を確認します。

4.1.7 HSMが有効になっているOracle Key Vaultバックアップからのエラー

cwallet.ssoファイルを使用して、HSMが有効になっているOracle Key Vaultバックアップのエラーを診断できます。

次のように、ターゲットでpre_restoreコマンドが実行されていることを確認する必要があります。

バックアップのリストア先となるOracle Key Vaultサーバーで、rootとしてコマンドls -lを実行します。

root# ls -l /usr/local/okv/hsm/wallet
-rw------- 1 oracle oinstall 324 May 16 22:57 cwallet.sso

ウォレット・ファイルcwallet.ssoが表示されることで、資格証明が正常に設定されていてOracle Key Vaultに格納されたことがわかります。

HSMベンダーの手順に従っていることを確認する必要もあります。また、今回のバックアップのリストアで生成された最新のログ・ファイルも確認してください。このファイルは、/var/okv/log/dbディレクトリにあります。

4.1.8 バックアップされたHSMが有効になっているOracle Key Vaultサーバーのリストア

HSMが有効になっているOracle Key Vaultサーバーで作成したバックアップをリストアする前に、バックアップの作成時に使用したものと同じHSM資格証明とトークン・ラベルを設定していることを確認します。

Thales用のHSM資格証明は、Thalesパーティション・パスワードです。Entrustの場合、資格証明はOperator Card SetまたはSoftcardに関連付けられたパスワードです。Utimacoの場合、資格証明はトークンの構成時に初期化されたPINです。

Set Credential操作の使用時に、無効な資格証明を入力した場合や、Oracle Key VaultがHSMに接続できなかった場合は、その操作が失敗し、指定した資格証明、トークン・ラベルおよびベンダーは格納されません。Oracle Key VaultがHSMのクライアントとしてエンロールされていることを確認して、Oracle Key Vaultがバックアップの作成時に使用していたものと同じルート・オブ・トラスト・キーにアクセスできるように正しい資格証明とトークン・ラベルを入力していることを確認してください。

Oracle Key VaultをHSMのクライアントとしてエンロールする方法の詳細は、HSMのクライアントとしてのOracle Key Vaultのエンロールを参照してください。

4.2 Thalesのベンダー固有のノート

Oracle Key Vaultでは、Thales (旧Safenet Luna) NetworkHSMバージョン7000との統合はサポートされていますが、Thales HSM用のホスト・トラスト・リンク(HTL)はサポートされません。

4.2.1 Thales用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

Oracle Key VaultとThalesを統合する際には、インストールにLuna Universal Clientバージョン6.2.2 for Linux x64を使用する必要があります。別のクライアント・バージョンを使用する必要がある場合は、ベンダーに問い合せて、Oracle Key Vaultを他のHSMと統合するために提供されているインフラストラクチャを使用します。

  1. Linux x64向けの最新のLuna Universalクライアント・ソフトウェア・パッケージを入手します。
  2. Thalesクライアント・ソフトウェア・パッケージをOracle Key Vaultマシンに転送します。SCPの使用をお薦めします。たとえば、Thalesクライアント・ソフトウェア・パッケージをsafenet.tarとすると、次のようになります。
    $ scp safenet.tar support@okv_instance_ip_address:/tmp
  3. Thalesクライアント・ソフトウェアをOracle Key Vaultにインストールします。
  4. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、ユーザーをrootに切り替えます(su)。
    $ ssh support@okv_instance_ip_address
    support$ su root
    root# cd /usr/local/okv/hsm
  5. Linux 64ビット・パッケージを見つけます。
    root# tar -tvf /tmp/safenet.tar | grep 'linux/64/'; Output: "SafeNet_package_version/linux/64/"
  6. Linux 64ビット・パッケージのみを抽出します。
    root# tar -xvf /tmp/safenet.tar SafeNet_package_version/linux/64/
    root# cd SafeNet_package_version/linux/64
  7. 次のコマンドを実行して、すべてのrpmsのダイジェスト・アルゴリズムを確認します。
    rpm --checksig -v *.rpm

    ノート:

    FIPS対応のOracle Key VaultインスタンスにLuna Universal Clientソフトウェアをインストールする場合は、ソフトウェア・パッケージ内のすべてのrpmsに少なくともSHA-256ダイジェストがあることを確認してください。SHA-256ダイジェストを含むすべての rpmsがあるソフトウェア・パッケージを取得できない場合は、インストール前にFIPSを無効にし、パッケージをインストールしてFIPSを再度有効にします。
  8. コマンドを実行してソフトウェアのインストールを開始します。
    root# ./install.sh
  9. プロンプトに「y」と入力して、Thalesライセンスを承認します。
  10. 連続して表示されるプロンプトで「1」「n」「i」と入力してLuna SAをインストールします。
    これにより、Thalesソフトウェアが/usr/safenet/lunaclientディレクトリにインストールされます。
  11. /tmpディレクトリからsafenet.tarファイルを削除します。
    root# rm -f /tmp/safenet.tar

4.2.2 Thales用のHSM資格証明

HSM資格証明は、Thalesパーティション・パスワードです。

HSMとしてThalesを使用している場合は、パーティションへのパスワードの割当てに、Thales assignPasswordコマンドを使用できます。ただし、Oracle Key Vaultサーバーでパーティションを現在使用している場合は、この操作を実行しないでください。この操作を実行すると、格納してある資格証明が無効になってしまうため、Oracle Key Vaultはルート・オブ・トラスト・キーにアクセスできなくなります。

4.2.3 Thalesのトークン・ラベル

Thalesのトークン・ラベルは、パーティションの名前です。

4.2.4 Thales HSMのクライアントとしてのOracle Key Vaultのエンロール

エンロールを実行するには、Oracle Key Vault管理コンソールとコマンドライン・インタフェースを使用します。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. DNSサーバーを設定します。
    Thales HSMのクライアントとしてOracle Key Vaultをエンロールするときに、HSMの登録にホスト名を使用する場合は、まず、Oracle Key Vault管理コンソールを使用してDNSを設定しておく必要があります。DNSの設定にアクセスするには、「System」タブを選択して、左側のナビゲーション・バーから「Settings」を選択します。「Network Services」で「DNS」をクリックします。

    HSMのクライアントとして登録する各Oracle Key Vaultサーバーで、DNSサーバーを構成する必要があります。プライマリ/スタンバイ環境では、ペアリングの前に、プライマリ・サーバーとスタンバイ・サーバーの両方でDNSサーバーを構成します。マルチマスター・クラスタの場合は、HSMのクライアントとして登録されるクラスタ内の各ノードで、DNSを構成します。

  3. Oracle Key VaultとThales SA HSMの間で証明書を交換します。
    SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、ユーザーをrootに切り替えます(su)。
    $ ssh support@okv_instance_ip_address
    support$ su root 
    root# cd /usr/safenet/lunaclient/bin 
    root# scp admin@hsm_hostname:server.pem . 
    root# ./vtl addServer -n hsm_hostname -c server.pem 
    root# ./vtl createCert -n okv_hostname 
    root# scp /usr/safenet/lunaclient/cert/client/okv_hostname.pem admin@hsm_hostname:

    HSMとともにSCPを使用する際は、HSM管理パスワードを入力する必要があります。

  4. Thales SAのクライアントとしてOracle Key Vaultを登録します。
    これにより、Thales SA HSMに設定されたパーティションがあると想定されます。まだ取得されていない任意のクライアント名を使用できます。Oracle Key Vaultインスタンスを識別する説明的な名前を使用することをお薦めします。
    admin@hsm_hostnameへのSSHを使用して管理パスワードを入力し、HSM管理コンソールにアクセスします。
    $ client register -client client_name -hostname okv_hostname
    $ client hostip map -c client_name -i okv_ip_address
    $ client assignPartition -client client_name -partition partition_name
  5. 次のように、エンロールを確認します。
    SSHを使用してsupportユーザーとしてOracle Key Vaultにログインします。
    $ ssh support@okv_instance_ip_address
    support$ su root 
    root# cd /usr/safenet/lunaclient/bin 
    root# ./vtl verify

    次の出力が表示されます。

    The following Luna SA Slots/Partitions were found:
    
    Slot    Serial #        Label
    ====    ==========      =====
     1      serial_number   partition_name
     

4.2.5 ThalesのHSMプロバイダ値

Thalesの場合、プロバイダの値は1です。

プライマリ/スタンバイ構成の場合、この値を手動で設定するには、okv_security.confファイルでHSM_PROVIDER="1"を設定します。プライマリ/スタンバイ・デプロイメントでのHSMの有効化の詳細は、高可用性デプロイメントでのHSMの有効化を参照してください。

4.2.6 ThalesのHSMベンダー固有のチェック

Thalesベンダー固有の設定を確認する必要があります。

  1. SSHを使用してsupportユーザーとしてOracle Key Vaultサーバーにログインします。
    $ ssh support@okv_instance_ip_address
    support$ su root
  2. vtl verifyコマンドを実行します。
    root# cd /usr/safenet/lunaclient/bin
    root# ./vtl verify

    HSMが適切に設定されていると、次の出力が表示されます。

    The following Luna SA Slots/Partitions were found:
    
    Slot    Serial #        Label
    ====    ========        =====
     1      [serial #]      [partition name]

    この出力が表示されない場合、HSMが適切に設定されていないことを意味します。この手順の残りのステップを完了して、さらに診断できます。

  3. Thales SA管理コンソールにログインします。
  4. 次のコマンドを入力します。
    client show -client client_name
  5. 予期したクライアントが存在し、パーティションが割り当てられていることを確認します。
  6. 存在しない場合は、次のコマンドでクライアントを登録します。
    client register -client client_name-hostname host_name
  7. パーティションが割り当てられていない場合は、次のコマンドを使用してパーティションを割り当てます。
    client assignPartition -client client_name -partition partition_name
  8. すべてのクライアントIPアドレスが正しくマッピングされていることを確認します。エントリがない場合は、次のコマンドを実行します。
    client hostip map -c client_name -i ip_address
  9. vtl verifyコマンドを使用して、Key VaultがHSMに到達できることを確認します。
    $ su root
    root# cd /usr/safenet/lunaclient/bin
    root# ./vtl verify
    出力結果は次のようになります。
    The following Luna SA Slots/Partitions were found:
    
    Slot    Serial #        Label
    ====    ========        =====
     1      [serial #]      [partition name]

    コマンドが失敗した場合、Oracle Key VaultサーバーがHSMに接続できないことを意味します。vtl verify機能をリストアする手順については、ベンダーの他のトラブルシューティングに関する項を参照してください。HSM管理者に問い合せて、HSMに対するOracle Key Vaultのアクセス権が取り消されていないことを確認します。問題を解決できない場合は、Oracleサポートに問い合せてください。

4.3 Entrustのベンダー固有のノート

Oracle Key Vaultリリース12.2 BP 3以降は、Entrust nShield Connect +およびXCモデルのHSMと統合できます。

4.3.1 Entrust用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

Entrust HSMには、リモート・ファイル・システムとして使用するためにHSM以外の別のコンピュータがネットワーク上に必要です。

  1. リモート・ファイル・システムを設定します。
  2. SSHを使用してsupportユーザーとしてOracle Key Vaultサーバーにログインします。
    $ ssh support@okv_instance_ip_address
  3. rootに切り替えます。
    support$ su root
  4. rootディレクトリに移動して、ディレクトリctlshwspおよびpkcs11を作成します。
    root# cd /root
    root# mkdir ctls
    root# mkdir hwsp
    root# mkdir pkcs11
  5. 次のようにセキュア・コピー(SCP)プロトコルを使用して、Entrustソフトウェア・インストール・ファイルを転送します。
    たとえば:
    root# scp user@remote_file_system_computer:/source_directory/ncipher/nfast/ctls/agg.tar ctls
    root# scp user@remote_file_system_computer:/source_directory/ncipher/nfast/hwsp/agg.tar hwsp
    root# scp user@remote_file_system_computer:/source_directory/ncipher/nfast/pkcs11/user.tar pkcs11
    
  6. 次のように、これらのファイルをインストールします。
    root# cd /
    root# tar xvf /root/ctls/agg.tar
    root# tar xvf /root/hwsp/agg.tar
    root# tar xvf /root/pkcs11/user.tar
    root# /opt/nfast/sbin/install
    
  7. rootとして、Oracle Key Vaultサーバー上のグループおよびサービス・ファイルへの追加の編集を実行します。
    root# usermod -a -G nfast oracle
    root# vi /etc/systemd/system/nc_hardserver.service

    viエディタ内で、After=で始まる行の後にBefore=dbfwdb.serviceという行が追加されるようにファイルを編集します。

    たとえば、変更前に:

    [Unit]
    Description=nFast hardserver service
    Wants=remote-fs.target rsyslog.service nc_drivers.service nc_exard.service
    After=remote-fs.target rsyslog.service nc_drivers.service nc_exard.service

    変更後は、次のようになります。

    [Unit]
    Description=nFast hardserver service
    Wants=remote-fs.target rsyslog.service nc_drivers.service nc_exard.service
    After=remote-fs.target rsyslog.service nc_drivers.service nc_exard.service
    Before=dbfwdb.service
  8. ユーザーoracleに切り替えて、インストールを確認します。
    root# su oracle
    oracle$ PATH=/opt/nfast/bin:$PATH
    oracle$ export PATH      
    oracle$ enquiry
    出力に状態がoperationalと示されます。
  9. グループの変更を有効にするため、Oracle Key Vaultを再起動します。
    Oracle Key Vault管理コンソールで、システム管理者ロールを持っているユーザーとしてログインします。「System」タブを選択し、左側のナビゲーション・バーで「Status」を選択します。次に、「Reboot」ボタンをクリックします。

4.3.2 EntrustのHSM資格証明

EntrustのHSM資格証明は、Operator Card SetまたはSoftcardに関連付けられたパスワードです。

HSM資格証明は、Operator Card Setを使用している場合はOperator Card Setパスワードです。Softcardを使用している場合、パスワードはSoftcardパスワードです。

4.3.3 Entrustのトークン・ラベル

Entrustのトークン・ラベルは、Operator Card SetまたはSoftcardの名前です。

4.3.4 Entrust HSMのクライアントとしてのOracle Key Vaultのエンロール

Entrustのユーザー・インタフェースとコマンドラインの両方を使用して、Oracle Key VaultをEntrust HSMのクライアントとしてエンロールします。

  1. フロント・パネルを使用して、HSMのクライアント・リストにOracle Key VaultサーバーのIPアドレスを追加します。任意のポートで権限付きのものを選択します。
    • プライマリ/スタンバイ環境では、Entrust HSMを使用するためにプライマリ・サーバーとスタンバイ・サーバーの両方を登録します。
    • マルチマスター・クラスタ環境では、Entrust HSMを使用する各Oracle Key Vaultノードを登録します。
  2. ユーザーoracleに切り替えます。
    root# su oracle
    oracle$ PATH=/opt/nfast/bin:$PATH
    oracle$ export PATH
  3. Oracle Key Vaultサーバー上でHSMを使用してエンロールします。
    oracle$ nethsmenroll hsm_ip_address hsm_esn hsm_keyhash 
  4. TCPソケットを構成します。
    oracle$ config-serverstartup --enable-tcp --enable-privileged-tcp
  5. exitと入力して、oracleからrootに切り替えます。
    oracle$ exit
  6. rootで、hardserver (HSMと通信するEntrustクライアント・プロセス)を再起動します。
    root# /opt/nfast/sbin/init.d-ncipher restart
  7. リモート・ファイル・システム・コンピュータで、次のコマンドを実行します。
    $ /opt/nfast/bin/rfs-setup --gang-client --write-noauth okv_server_ip_address
  8. Oracle Key Vaultサーバー上でユーザーoracleとして次のコマンドを実行します。
    oracle$ /opt/nfast/bin/rfs-sync --setup --no-authenticate remote_file_system_ip_address 
    oracle$ /opt/nfast/bin/rfs-sync --update

    モジュールがリストされ、プロンプトが表示されます。確認または終了します。

  9. 次のようにPKCS#11アクセスをテストします。
    root# /opt/nfast/bin/ckcheckinst
  10. 構成ファイル/opt/nfast/cknfastrcをユーザーrootとして作成します。次の行をファイルに記述します。
    CKNFAST_NO_ACCELERATOR_SLOTS=1
    CKNFAST_OVERRIDE_SECURITY_ASSURANCES=none
  11. スタンドアロンOracle Key VaultデプロイメントでのHSMの有効化」で説明したステップを実行します。
  12. Oracle Key Vaultサーバー上でユーザーoracleとして次のコマンドを実行します。
    oracle$ /opt/nfast/bin/rfs-sync --commit 
    

    このコマンドはHSM初期化操作の後に毎回実行しないと、バックアップのリストアやプライマリ/スタンバイ構成の設定などの別の操作でルート・オブ・トラスト・キーが使用できなくなることがあります。

4.3.5 EntrustのHSMプロバイダ値

Entrustの場合、プロバイダ値は2です。

この値をプライマリ/スタンバイに手動で設定する場合は、HSM_PROVIDER="2"と設定します。プライマリ/スタンバイ・デプロイメントでのHSMの有効化の詳細は、高可用性デプロイメントでのHSMの有効化を参照してください。

4.4 Utimacoのベンダー固有のノート

Oracle Key Vaultでは、Oracle Key VaultとUtimaco SecurityServer 4.31.1との統合がサポートされています。

4.4.1 Utimaco用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

Utimaco用のセットアップ・ファイルは、UtimacoからのSecurityServerEvaluation-V4.31.1.0.zipファイルで提供されます。

  1. UtimacoからのSecurityServerEvaluation-V4.31.1.0.zipファイルで提供される必要な設定ファイルを見つけます。
  2. Utimacoのzipファイルを解凍した後、必要なファイルをOracle Key Vaultマシンに転送します。SCPの使用をお薦めします。たとえば:
    $ scp unzip_directory/Software/Linux/x86-64/Crypto_APIs/PKCS11_R2/sample/cs_pkcs11_R2.cfg support@okv_instance_ip_address:/tmp
    $ scp unzip_directory/Software/Linux/x86-64/Crypto_APIs/PKCS11_R2/lib/libcs_pkcs11_R2.so support@okv_instance_ip_address:/tmp
    $ scp unzip_directory/Software/Linux/x86-64/Administration/p11tool2 support@okv_instance_ip_address:/tmp
    $ scp unzip_directory/Software/Linux/x86-64/Administration/cxitool support@okv_instance_ip_address:/tmp
    $ scp unzip_directory/Software/Linux/x86-64/Administration/csadm support@okv_instance_ip_address:/tmp
  3. ユーザーsupportとしてOracle Key Vaultサーバーにログインし、ユーザー(su)をrootに切り替えます。
    $ ssh support@okv_instance_ip_address
    support$ su - root
  4. Utimacoのファイル用に適切なディレクトリを作成します。
    root# mkdir -p /opt/utimaco/lib
    root# mkdir /opt/utimaco/bin
    root# mkdir /etc/utimaco
  5. Utimacoのファイルを正しいディレクトリに移動します。
    root# mv /tmp/cs_pkcs11_R2.cfg /etc/utimaco
    root# mv /tmp/p11tool2 /opt/utimaco/bin
    root# mv /tmp/cxitool /opt/utimaco/bin
    root# mv /tmp/csadm /opt/utimaco/bin
    root# mv /tmp/libcs_pkcs11_R2.so /opt/utimaco/lib
  6. 次のように構成ファイルの権限を変更します。
    root# /bin/chmod 640 /etc/utimaco/cs_pkcs11_R2.cfg
    root# /bin/chown oracle:oinstall /etc/utimaco/cs_pkcs11_R2.cfg
  7. 次のように実行可能ファイルの権限を変更します。
    root# /bin/chmod 550 /opt/utimaco/bin/*
    root# /bin/chown oracle:oinstall /opt/utimaco/bin/*
  8. 次のようにライブラリ・ファイルの権限を変更します。
    root# /bin/chmod 440 /opt/utimaco/lib/libcs_pkcs11_R2.so
    root# /bin/chown oracle:oinstall /opt/utimaco/lib/libcs_pkcs11_R2.so
  9. 構成ファイル/etc/utimaco/cs_pkcs11_R2.cfgを変更して「Device」をUtimacoのHSMのIPアドレスに設定します。
    Device = utimaco_ip_address
    Utimaco HSMシミュレータでテストする場合は、この行は次の形式である必要があります。
    Device = 3001@utimaco_ip_address
    本番環境でこのシミュレータを使用することはお薦めしません。
  10. UtimacoのHSMおよびクライアント・ファイルを正しく設定したことを確認するには、p11tool2を使用します。p11tool2コマンドのコールによって、PKCS11トークンが構成されていることを確認できます。
    root# /opt/utimaco/bin/p11tool2 GetSlotInfo

    出力結果は次のようになります。

    CK_SLOT_INFO (slot ID: 0x00000000):
    
      slotDescription     33303031 4031302e  3234302e 3131382e |3001@10.240.118.|
                          32333120 2d20534c  4f545f30 30303020 |231 - SLOT_0000 |
                          20202020 20202020  20202020 20202020 |                |
                          20202020 20202020  20202020 20202020 |                |
    
      manufacturerID      5574696d 61636f20  49532047 6d624820 |Utimaco IS GmbH |
                          20202020 20202020  20202020 20202020 |                |
    
      flags: 0x00000005
        CKF_TOKEN_PRESENT    : CK_TRUE
        CKF_REMOVABLE_DEVICE : CK_FALSE
        CKF_HW_SLOT          : CK_TRUE
    
      hardwareVersion        : 5.01
      firmwareVersion        : 2.03
  11. csadmコマンドのコールによって、PKCS11ユーザーが定義されていることを確認できます。
    root# /opt/utimaco/bin/csadm Dev=utimaco_ip_address ListUsers

    出力結果は次のようになります。

    Name      Permission   Mechanism      Attributes
    ADMIN      22000000    RSA sign       Z[0]
    SO_0000    00000200    HMAC passwd    Z[0]A[CXI_GROUP=SLOT_0000]
    USR_0000   00000002    HMAC passwd    Z[0]A[CXI_GROUP=SLOT_0000]
    

4.4.2 UtimacoのHSM資格証明

UtimacoのHSM資格証明は、トークンの構成時に初期化されたPINです。

詳細は、Utimacoのドキュメントを参照してください。

4.4.3 Utimacoのトークン・ラベル

Utimacoのトークン・ラベルは、HSM用に設定したトークンの名前です。

4.4.4 UtimacoのHSMプロバイダ値

Utimacoの場合、プロバイダ値は3です。

この値を手動でプライマリ/スタンバイに設定する場合は、 okv_security.confファイル内でHSM_PROVIDER="3"と設定します。プライマリ/スタンバイ・デプロイメントでのHSMの有効化の詳細は、高可用性デプロイメントでのHSMの有効化を参照してください。

4.4.5 UtimacoのHSMベンダー固有のチェック

Utimacoのベンダー固有の設定を確認する必要があります。

p11tool2 GetSlotInfoコマンドとcsadm ListUsersコマンドの他に、HSM初期化操作の完了後にキーが作成されたかどうかを確認することもできます。後続のHSM初期化コマンドの後にさらにキーが作成される場合があることに注意してください、
root# /opt/utimaco/bin/p11tool2 LoginUser=HSM_Credential ListObjects

出力結果は次のようになります。
CKO_DATA:

+ 1.1
  CKA_LABEL                      = OKV 18.1 HSM Key Number

CKO_SECRET_KEY:

+ 2.1
  CKA_KEY_TYPE                   = CKK_AES
  CKA_SENSITIVE                  = CK_TRUE
  CKA_EXTRACTABLE                = CK_FALSE
  CKA_LABEL                      = OKV 18.1 HSM Root Key
  CKA_ID                         = 0x00000001 ()

4.5 他のHSMのベンダー固有のノート

Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1以外のHSMの場合、Oracle Key Vaultは、Oracle Key Vaultの要件を満たすHSMベンダーとの統合をサポートします。

4.5.1 他のHSMのベンダー固有のノートについて

Oracle Key Vaultには、Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1以外のHSMをOracle Key Vaultで使用できるようにするために使用可能な一連の構成ファイルとアップグレード・スクリプトが用意されています。

サイトで別のHSMベンダーを使用する必要がある場合は、そのHSMとOracle Key Vaultインストールの独自の統合を実行できます。この統合を実行するには、Oracle Key Vaultと統合するHSMのベンダーと協力する必要があります。一般に、次のステップを実行します。

  1. HSMベンダーが提供する手順を使用して、HSMクライアント・ソフトウェアをOracle Key Vaultサーバーにインストールします。
  2. okv_hsm.confファイルでパラメータを構成して、ベンダー名やベンダーのPKCS#11ライブラリ・ファイルの場所などの情報を定義します。
  3. HSMベンダーが特殊な環境変数を必要とする場合は、okv_hsm_env環境ファイルで構成します。
  4. インストール・プロセス中に失われる可能性のあるOSユーザー・アカウント、OSユーザー・グループ、サービスなどの情報の再作成に役立つokv_hsm_mid_upgradeスクリプトを構成します。
  5. アップグレード前またはアップグレード後の検証スクリプト(ベンダーが提供している場合があります)を実行します。

ベンダーは、次のことを行う必要があります。

  • HSMをOracle Key Vaultと統合できるようにするための要件を満たします。
  • Oracle Key Vault管理者が必要とするパラメータ、環境変数、アップグレード・スクリプト、アップグレード前およびアップグレード後のスクリプトの構成に関するドキュメントを提供します(このドキュメントの以降のリリースに対応した更新を含む)。
  • このガイドで提供されている手順を使用して、統合(スタンドアロン、マルチマスター・クラスタ、およびプライマリ/スタンバイ環境)の成功を確認します。
  • スタンドアロン、マルチマスター・クラスタおよびプライマリ/スタンバイ環境で、Oracle Key VaultのRoTとしてHSMを検証します。

4.5.2 他のベンダー用のOracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

協力するベンダーは、HSMクライアント・ソフトウェアをインストールするための手順を提供する必要があります。

HSM用のベンダーのクライアント・ソフトウェアをインストールし、ベンダーのガイドラインに従って、適切な権限が設定され、新しいサービスが正しい順序で開始されるようにします。

4.5.3 okv_hsm.confパラメータの構成

Oracle Key Vault構成ファイルokv_hsm.confで、ベンダー名やPKCS#11ライブラリ・ファイルの場所などの情報が定義されます。

  1. ベンダーがokv_hsm.confファイルを構成する正しい方法を文書化していることを確認します。
  2. ベンダーの手順に従って、okv_hsm.confファイルを構成します。

4.5.4 okv_hsm_env環境ファイルの構成

Oracle Key Vault環境ファイルokv_hsm_envで、PKCS#11ライブラリを使用する場合にOracle Key Vaultで必要になる環境変数が指定されます。

HSMに特殊な環境変数が必要な場合は、このファイルに追加できます。
  1. ベンダーがokv_hsm_envファイルを構成する正しい方法を文書化していることを確認します。
  2. ベンダーの手順に従って、okv_hsm_envファイルを構成します。

4.5.5 okv_hsm_mid_upgradeスクリプトの構成

Oracle Key Vaultスクリプトokv_hsm_mid_upgradeは、オペレーティング・システムのユーザー・アカウント、オペレーティング・システムのユーザー・グループ、サービスなどの情報の再作成に役立ちます。

ベンダーのHSMクライアント・ソフトウェアをインストールすると、インストール・プロセス中にこのタイプの情報が削除される場合があるため、このスクリプトはリストアに役立ちます。
  1. ベンダーがokv_hsm_mid_upgradeファイルを構成する正しい方法を文書化していることを確認します。
  2. okv_hsm_mid_upgradeスクリプト(/usr/local/okv/hsm/generic/ディレクトリにある)を変更して、次回アップグレードを実行するときにOracle Key Vaultで必要になるオペレーティング・システム・ユーザー、オペレーティング・システム・ユーザー・グループ、サービスなどの情報を含めます。

4.5.6 アップグレード前またはアップグレード後の検証スクリプトの実行

ベンダーがアップグレード前またはアップグレード後のスクリプトを提供している場合は、アップグレード・プロセスの前後にスクリプトを実行し、HSM構成が正しいことを確認できます。

  1. ベンダーがアップグレード前またはアップグレード後のスクリプトを構成する正しい方法を文書化していることを確認します。
  2. これらのスクリプトを/optディレクトリに格納します。
  3. 必要に応じてスクリプトを実行します。