リリース・ノートには、このリリースのOracle Key Vaultの新機能、最新の製品ソフトウェアおよびドキュメントのダウンロード方法、およびOracle Key Vaultの既知の問題の対処方法が記載されています。

• リリース・ノートについて
  リリース・ノートには、Oracle Key Vaultを使用する前に注意する必要がある情報が記載されています。
• Oracle Key Vaultのこのリリースの変更点
  
• Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード
  
• 既知の問題
  
• Oracle Key Vaultに関する考慮事項
  
• サポート対象データベースのバージョン
  
• リリース21.6に含まれているクリティカル・パッチ更新
  
• ドキュメントのアクセシビリティ
  

1.1 リリース・ノートについて

リリース・ノートには、Oracle Key Vaultを使用する前に注意する必要がある情報が記載されています。

このリリース・ノートでは、この新しいリリースの変更、Oracle Key Vaultソフトウェアおよびドキュメントのダウンロード方法、既知の問題、考慮事項、サポート対象のOracle Databaseのバージョン、およびこのリリースに含まれているクリティカル・パッチについて説明します。

1.2 Oracle Key Vaultのこのリリースの変更点

このOracle Key Vaultリリースでは、Oracle Key Vaultの使用を強化する新機能が導入され、Oracle Cloud Infrastructure (OCI)テナンシ、Amazon AWSまたはMicrosoft Azureの仮想化ハードウェアまたはオンプレミスのデータ・センターの専用ハードウェアなど、インストール場所に関係なく、キーおよびシークレットの管理が提供されます。

• Oracle Key Vaultリリース21.6での変更点
  Oracle Key Vaultリリース21.6には、いくつかの新機能が導入されています。
• Oracle Key Vaultリリース21.5での変更点
  Oracle Key Vaultリリース21.5には、いくつかの新機能が導入されています。
• Oracle Key Vaultリリース21.4での変更点
  Oracle Key Vaultリリース21.4には、いくつかの新機能が導入されています。
• Oracle Key Vaultリリース21.3での変更点
  Oracle Key Vaultリリース21.3には、いくつかの新機能が導入されています。
• Oracle Key Vaultリリース21.2での変更点
  Oracle Key Vaultリリース21.2では、インストールおよびアップグレード操作に関連する新機能が導入されています。
• Oracle Key Vaultリリース21.1での変更点
  Oracle Key Vaultリリース21.1には、いくつかの新機能が導入されています。

1.2.1 Oracle Key Vaultリリース21.6での変更点

Oracle Key Vaultリリース21.6には、いくつかの新機能が導入されています。

• Oracle Key Vaultからの秘密暗号化キーの抽出を制御する機能
  Oracle Key Vault 21.6では、Oracle Key Vaultにアップロードされた秘密キーは、Oracle Key Vaultデプロイメント境界から離れないように、抽出不可としてマークできます。
• Oracle Key Vaultでの公開/秘密キー・ペアの作成のサポート
  リリース21.6以降、Oracle Key Vaultで非対称キー・ペアを作成できるようになりました。
• Oracle Key Vault VMをクローニングする機能
  Oracle Key Vault 21.6以降では、Oracle Key Vault VMゲストの新規インストールをtemplateとして格納でき、VMプラットフォームのクローニング機能を使用してOracle Key Vaultクラスタ・ノードをクローニングできます。
• 代替ホスト名またはIPアドレスを指定する機能のサポート
  Oracle Key Vaultリリース21.6以降、特定のOracle Key Vaultサーバーまたはノードに対して2つの代替ホスト名を構成できます。
• Oracle Key VaultのSAMLv2ベースのシングル・サインオン(SSO)認証のサポート
  Oracle Key Vaultリリース21.6以降、Oracle Key VaultはSAMLベースのシングル・サインオン(SSO)認証をサポートしています。
• Oracle Key Vaultでのトレースの追加
  Oracle Key Vaultリリース21.6以降、一元化されたロギングおよびトレースが、エラーのデバッグおよび修正に役立つように有効化されています。
• Oracle Key VaultとのOracle Audit Vault統合の中断
  リリース21.6以降、Oracle Key Vaultでは、Oracle Key VaultとのOracle Audit Vault統合の中断がサポートされています。
• 監査レコードでのイベントIDのサポート
  Oracle Key Vaultリリース21.6では、すべての操作イベントがイベントIDを使用して分類されるようになりました。
• Oracle Key Vaultメトリック・フレームワークでのI/O、接続およびネットワーク・メトリックの追加
  Oracle Key Vaultリリース21.6以降、Oracle Key Vaultではメトリック・フレームワークが拡張され、ディスクおよびネットワークのI/Oメトリックおよび接続メトリックが含まれます。
• 署名および署名検証操作のサポート
  Oracle Key Vault CおよびJava SDK、RESTコマンドおよびokvutilには、署名および検証機能があります。
• Oracle Key Vaultでの署名および検証操作
  Oracle Key Vaultリリース21.6以降、公開キーまたは証明書を使用して署名検証を実行できます。
• Microsoft AzureおよびAmazon AWSでのOracle Key Vaultデプロイメント
  Oracle Key Vaultリリース21.6以降、Oracle Key Vaultでは、追加のデプロイメント・オプションが提供されます。
• RESTコマンドに追加されたエンドポイントIPアドレス
  Oracle Key Vaultは、endpoint get RESTコマンドでエンドポイントIPアドレスをサポートしています。

1.2.1.1 Oracle Key Vaultからの秘密暗号化キーの抽出を制御する機能

Oracle Key Vault 21.6では、Oracle Key Vaultにアップロードされた秘密キーは、Oracle Key Vaultデプロイメント境界から離れないように、抽出不可としてマークできます。

抽出不可秘密キー機能では、Oracle Key Vaultにアップロードされた秘密キーは、Oracle Key Vaultクラスタ境界から離れないように、抽出不可としてマークできます。

秘密キーおよび対称キーを制限し、抽出可能属性値をfalseに設定して抽出不可にできるようになりました。false属性値により、暗号オブジェクトがOracle Key Vaultクラスタ境界内に残ることが保証されます。

Oracle Key Vaultから秘密暗号化キーを取得(抽出)できるかどうかを制御するには、Oracle Key Vault管理コンソール、RESTfulサービス・ユーティリティ・コマンド、C SDK APIおよびJava SDK APIを使用できます。

1.2.1.2 Oracle Key Vaultでの公開/秘密キー・ペアの作成のサポート

リリース21.6以降、Oracle Key Vaultで非対称キー・ペアを作成できるようになりました。

抽出不可として秘密キーを作成するか、後で抽出不可にして、秘密キーがOracle Key Vaultデプロイメント境界から離れないようにすることができます。

RESTfulサービス・ユーティリティ・コマンド、CおよびJAVA SDK APIを使用して非対称キー・ペアを作成できます。

抽出不可の秘密キーおよび署名操作が搭載されたOracle Key Vaultのサポートにより、ユーザーのSSH秘密キーがOracle Key Vaultから離れないように、opensshおよびOracle Key VaultのPKCS#11ライブラリを使用して公開キー認証を実装できるようになりました。公開キー認証中に、PKCS#11ライブラリはOracle Key Vault自体内で署名操作を実行するようになりました。これにより、一元化されたキー・ガバナンスを実施し、ローカルでダウンロードされた脆弱な秘密キーを排除できます。

1.2.1.3 Oracle Key Vault VMをクローニングする機能

Oracle Key Vault 21.6以降では、Oracle Key Vault VMゲストの新規インストールをtemplateとして格納でき、VMプラットフォームのクローニング機能を使用してOracle Key Vaultクラスタ・ノードをクローニングできます。

Oracle Key Vaultリリース21.6以降、Oracle Key Vaultクラスタの作成、Oracle Key Vaultクラスタに対するノードの追加または削除は、TerraformなどのInfrastructure-as-Code (IaC)ツールを使用して完全にスクリプト化および実装できます。

Oracle Key Vaultは、基礎となる仮想化プラットフォームのクローニング機能をサポートしています。これにより、個々のクラスタ・ノードごとに完全なインストール・プロセスを実行する必要がなくなります。初期テンプレートのインストールは、一意になる前に停止されます。その後、クローンが起動され、一意性が定義されているインストールの部分のみが実行されます。仮想化プラットフォームによって提供される(リモート)クローニング機能では、インストール済のOracle Key Vaultテンプレートをクローニングできます。これは、このOracle Key Vaultを一意にする前に停止されるOracle Key Vaultインストールです。すべてのシステム固有の構成が再生成されます。クローンは、残りのインストール手順を完了することによって一意になります。

1.2.1.4 代替ホスト名またはIPアドレスを指定する機能のサポート

Oracle Key Vaultリリース21.6以降、特定のOracle Key Vaultサーバーまたはノードに対して2つの代替ホスト名を構成できます。

Oracle Key Vaultでは、2つの代替ホスト名を指定できます。Oracle Key Vaultサーバーまたはノードとの通信時に、エンドポイントでこれらの代替ホスト名のいずれかを使用するかどうかを選択できます。各ノードに代替ホスト名を指定する必要があります。また、エンドポイントでマルチマスター・クラスタ環境で指定したホスト名を使用するかどうかも選択できます。

この機能は(非推奨の)プライマリ/スタンバイ・デプロイメントではサポートされていません。

1.2.1.5 Oracle Key VaultのSAMLv2ベースのシングル・サインオン(SSO)認証のサポート

Oracle Key Vaultリリース21.6以降、Oracle Key VaultはSAMLベースのシングル・サインオン(SSO)認証をサポートしています。

Oracle Key Vault 21.6ではSSOがサポートされるようになりました。SSO機能はSAMLベースで、ユーザーはアイデンティティ・プロバイダ(IDP)を介して認証されます。IDPでサポートされているシングル・サインオン(SSO)認証により、マルチファクタ認証(MFA)が提供されます。これにより、1つの資格証明セットへのログイン試行を最小限に抑えることができるため、エンタープライズ・セキュリティが向上します。シングル・サインオン(SSO)認証は、アイデンティティおよびアクセス管理(IAM)ソリューションの一部であり、より詳細なレベルでリソースへのユーザー・アクセスを制御する中央ディレクトリを使用します。これにより、組織は適切な権限をユーザーにプロビジョニングする必要がある規制に準拠できます。また、SSOソリューションは、ユーザーを迅速にプロビジョニング解除します。これも一般的なコンプライアンス要件であり、以前の従業員、パートナなどが機密データにアクセスできないようにします。

1.2.1.6 Oracle Key Vaultでのトレースの追加

Oracle Key Vaultリリース21.6以降、一元化されたロギングおよびトレースが、エラーのデバッグおよび修正に役立つように有効化されています。

現在のレベルのトレースは、事前定義されたメッセージのみに制限されています。現在のトレース機能は、ロギングとトレースの両方を処理するために一元化およびアップグレードされたシステムを持つように設計されています。顧客は必要に応じてトレースのレベルを調整して、操作が機能していない理由を特定しやすくし、開発者はそれを使用して特定のコード変更が意図したとおりに機能しない理由を理解できます。

アップグレードされたトレース・システムでは、顧客と開発者の両方が、Oracle Key VaultでLDAPを構成および使用するときに発生する問題をデバッグします。

Oracle Key Vault管理コンソールには、ダウンロードする診断パッケージのトレース・レベルを選択および設定するオプションがあります。トレース重大度レベルは、MANDATORY、ERROR、WARNING、INFOおよびDEBUGです。

1.2.1.7 Oracle Key VaultとのOracle Audit Vault統合の中断

リリース21.6以降、Oracle Key Vaultでは、Oracle Key VaultとのOracle Audit Vault統合の中断がサポートされています。

Oracle Key Vault管理コンソールから、AVDFの統合を中断できるようになりました。これは、AVDFの統合がOracle Key Vaultとの統合にかかる通常の時間よりも長い場合に役立ちます。

1.2.1.8 監査レコードでのイベントIDのサポート

Oracle Key Vaultリリース21.6では、すべての操作イベントがイベントIDを使用して分類されるようになりました。

この機能により、Oracle Key Vault監査レコードに新しいフィールド「Event ID」が追加されます。「Event ID」は、監査対象の操作(タイプ)に一意に関連付けられている安定したIDを表します。

• 同じ監査操作に対して複数の監査レコードが同じ「Event ID」を使用します。
• イベントIDは静的にOracle Key Vaultソース・コードに設定され、変更されることはありません。つまり、同じ操作に永久にマップされたままになります。
• ただし、「Operation」のテキスト説明は、リリース間で変更される可能性があります。
• 新機能の一部として追加された新しい操作には、新しい一意のイベントIDが付与されます。

1.2.1.9 Oracle Key Vaultメトリック・フレームワークでのI/O、接続およびネットワーク・メトリックの追加

Oracle Key Vaultリリース21.6以降、Oracle Key Vaultではメトリック・フレームワークが拡張され、ディスクおよびネットワークのI/Oメトリックおよび接続メトリックが含まれます。

この機能により、ディスクおよびネットワークのI/Oメトリックおよび接続メトリックのメトリックが追加されます。Oracle Key Vaultで現在いつでも使用可能なメトリックは、システム機能およびリソース使用率の決定に役立ちます。

• ディスクI/O: Oracle Key Vaultアクティビティの大部分がデータベースから行われることを前提として、データベース・キャッシュに関するインサイトを提供します。
• ネットワークI/O: 特定の時間間隔中に受信/送信されたバイト数に関するインサイトを提供します。日付と履歴日付を比較して、エンドポイントの使用状況およびアクティビティを分析できます。また、平均値としてのデータも提供されます。
• アプリケーション: 一定の間隔で接続を処理するために受け入れられたKMIP接続の数に関するインサイトを提供します。

1.2.1.10 署名および署名検証操作のサポート

Oracle Key Vault CおよびJava SDK、RESTコマンドおよびokvutilには、署名および検証機能があります。

RESTfulサービス・ユーティリティ・コマンド、okvutilまたはCおよびJava SDKを使用して、署名および署名検証操作を実行できます。

Oracle Key Vault RESTfulサービス・ユーティリティおよびOracle Key Vaultクライアント・ユーティリティokvutilで、署名および検証操作がサポートされるようになりました。

C SDK API

• KMIP暗号操作は次のとおりです。
  • okvSign
  • okvSignVerify
• 暗号ユーティリティ操作は次のとおりです。
  • okvCryptoContextGetCryptoAlgo
  • okvCryptoContextGetHashingAlgo
  • okvCryptoContextGetDigitalSignAlgo
  • okvCryptoContextSetHashingAlgo
  • okvCryptoContextSetCryptoAlgo
  • okvCryptoContextSetDigitalSignAlgo
  • okvCryptoResponseGetSignatureData
  • okvCryptoResponseGetRecoveredData
  • okvCryptoResponseGetValidity
  • okvSignResponseCreate
  • okvSignVerifyResponseCreate
  • okvSignResponseFree
  • okvSignVerifyResponseFree

Java SDK API

• KMIP暗号操作は次のとおりです。
  • okvSign
  • okvSignVerify
• 暗号ユーティリティ操作は次のとおりです。
  • getCryptoAlgo
  • getHashingAlgo
  • getDigitalSignAlgo
  • setCryptoAlgo
  • setHashingAlgo
  • setDigitalSignAlgo
  • getSignatureData
  • getRecoveredData
  • getValidity

RESTful API:

• okv crypto data sign
• okv crypto data sign-verify

okvutil:

• okvutil sign
• okvutil sign-verify

1.2.1.11 Oracle Key Vaultでの署名および検証操作

Oracle Key Vaultリリース21.6以降、公開キーまたは証明書を使用して署名検証を実行できます。

Oracle Key Vault RESTful APIとOracle Key Vaultクライアント・ユーティリティokvutilの両方に、署名と検証の機能があります。

新しいコマンドまたは更新されたコマンドを次に示します。

• okv crypto data sign
• okv crypto data sign-verify

1.2.1.12 Microsoft AzureおよびAmazon AWSでのOracle Key Vaultデプロイメント

Oracle Key Vaultリリース21.6以降、Oracle Key Vaultでは、追加のデプロイメント・オプションが提供されます。

オンプレミスのデータ・センターとOracle Cloud Infrastructure(OCI)に加えて、Oracle Key Vault 21.6もMicrosoft AzureとAmazon AWSにデプロイできます。

1.2.1.13 RESTコマンドに追加されたエンドポイントIPアドレス

Oracle Key Vaultは、endpoint get RESTコマンドでエンドポイントIPアドレスをサポートしています。

登録時に使用されたエンドポイントIPアドレスが記録され、okv admin endpoint get --endpoint <endpoint_name>コマンドで表示されるようになりました。

1.2.2 Oracle Key Vaultリリース21.5での変更点

Oracle Key Vaultリリース21.5には、いくつかの新機能が導入されています。

• Oracle Key VaultからのSSHユーザー・キーを使用したSSH公開キー認証のサポート
  Oracle Key Vaultリリース21.5以降では、Oracle Key Vaultのみに格納されているキー・ペアにより、SSHキーベースの認証を使用できます。
• 保存方針に基づく監査レコードの自動パージ
  Oracle Key Vaultリリース21.5以降では、保存方針に基づいて古い監査レコードを自動的にパージできるようになりました。
• エンドポイント証明書をローテーションする機能
  Oracle Key Vaultリリース21.5以降では、エンドポイントをローテーションして、エンドポイントの停止時間なしでその証明書の有効期限を延長できます。
• LDAPユーザーのエンドポイント権限およびエンドポイント・グループ権限のサポート
  Oracle Key Vaultリリース21.5以降では、LDAPグループ・マッピングによってLDAPユーザーにエンドポイント権限およびエンドポイント・グループ権限を付与できます。
• ユーザー・アカウント管理
  Oracle Key Vaultリリース21.5以降では、Oracle Key Vaultユーザーに対して、企業のユーザー管理セキュリティ・ポリシーを満たすようにユーザー・アカウント・プロファイル・パラメータを構成できます。
• 重大度に基づくアラート分類
  Oracle Key Vaultリリース21.5以降では、アラートは、管理しやすくなるように、それらの重大度レベルに基づいて分類されます。
• 「Endpoint Metadata Report」での「Endpoint Group Membership」列の表示
  Oracle Key Vaultリリース21.5以降では、「Endpoint Metadata Report」に、「Endpoint Group Membership」の列が追加されました。
• 最後のエンドポイント・アクティビティの時間を特定する機能
  Oracle Key Vaultリリース21.5以降では、Oracle Key Vault管理コンソールで「Endpoints」ページを確認することで、エンドポイントがいつまでアクティブだったかをすばやく特定できます。
• OCIマーケットプレイス・イメージのUEFIサポート
  Oracle Key Vaultリリース21.5以降では、Oracle Key Vault OCIマーケットプレイス・イメージはUEFIモードでのみ入手できます。
• CA証明書の有効期限とサーバー/ノード証明書の有効期限のアラートの分離
  Oracle Key Vaultリリース21.5以降では、CA証明書の有効期限、およびサーバー/ノード証明書の有効期限について、アラートを別々に構成できます。
• RESTfulサービス・ユーティリティを使用したクラスタ管理およびモニタリングのサポート
  Oracle Key Vaultリリース21.5以降では、RESTfulサービス・ユーティリティを使用してマルチマスター・クラスタをデプロイ、管理およびモニターできます。
• RESTfulサービス・ユーティリティを使用したシステム・リソース・モニタリングのサポート
  Oracle Key Vaultリリース21.5以降では、RESTfulサービス・ユーティリティを使用して、CPUやメモリーなどのシステム・リソースの現在および過去の使用率メトリックを取得できます。これらのシステム・メトリックは、Oracle Key Vaultサーバーのシステム・リソースを、デプロイメントのパフォーマンスおよびスケーラビリティの要件を満たすように適切に構成するために役立ちます。
• ネストされたJSONレベルからのRESTfulサービス・ユーティリティ・コマンドのサポート
  Oracle Key Vaultリリース21.5以降では、RESTfulサービス・ユーティリティを使用してセキュリティ・オブジェクトを作成、登録、フェッチおよび検索するときに、コマンドライン・オプションとしてカスタム属性および特定のKMIP属性を指定できるようになりました。
• RESTfulサービス・ユーティリティでのテキスト出力形式のサポート
  Oracle Key Vaultリリース21.5以降では、いくつかのRESTfulサービス・ユーティリティ・コマンドが、テキスト形式での出力をサポートするように拡張されています。

1.2.2.1 Oracle Key VaultからのSSHユーザー・キーを使用したSSH公開キー認証のサポート

Oracle Key Vaultリリース21.5以降では、Oracle Key Vaultのみに格納されているキー・ペアにより、SSHキーベースの認証を使用できます。

Oracle Key VaultのPKCS#11ライブラリでは、Oracle Key VaultにアップロードされるSSHキー・ペアを使用した、SSH公開キー認証がサポートされています。Oracle Key VaultでSSHユーザー・キーを一元管理することで、キーのライフサイクルの管理が簡略化され、キー管理が可能になり、ポリシーの適用がさらに簡単になります。キーのローテーションや必要に応じたそれらの破棄などのアクションを一元的に実行できます。また、ローカル・ディスク上のSSHユーザー・キーのフットプリントに関連するリスクを最小限に抑えることができます。

1.2.2.2 保存方針に基づく監査レコードの自動パージ

Oracle Key Vaultリリース21.5以降では、保存方針に基づいて古い監査レコードを自動的にパージできるようになりました。

Oracle Key Vault監査レコードによって使用されるディスク領域をより効率的に管理できるようになりました。また、それらのレコードをもう不要だとみなしたときに手動で削除する必要はありません。保存方針に基づいて古い監査レコードを自動的にパージするように、Oracle Key Vaultを構成できます。たとえば、180日より前の監査レコードを自動的にパージする方針を構成し適用できます。

1.2.2.3 エンドポイント証明書をローテーションする機能

Oracle Key Vaultリリース21.5以降では、エンドポイントをローテーションして、エンドポイントの停止時間なしでその証明書の有効期限を延長できます。

Oracle Key Vaultリリース21.5では、エンドポイントをローテーションして、エンドポイントの停止時間なしでその証明書の有効期限を延長できます。以前は、これはエンドポイントを再エンロールすることでのみ実現できていました。必要に応じて、一度に複数のエンドポイントをローテーションすることもできます。この方法でのエンドポイント証明書のローテーションは、CAまたはサーバー/ノードの証明書ローテーション・プロセスとは無関係です。

1.2.2.4 LDAPユーザーのエンドポイント権限およびエンドポイント・グループ権限のサポート

Oracle Key Vaultリリース21.5以降では、LDAPグループ・マッピングによってLDAPユーザーにエンドポイント権限およびエンドポイント・グループ権限を付与できます。

LDAPユーザーへの権限の付与は、LDAPグループ・マッピングを通じて実現されます。LDAPグループにエンドポイント権限またはエンドポイント・グループ権限をマップします。このグループのメンバーであるLDAPユーザーは、ログイン時に、マップされたエンドポイント権限またはエンドポイント・グループ権限を付与されます。

1.2.2.5 ユーザー・アカウント管理

Oracle Key Vaultリリース21.5以降では、Oracle Key Vaultユーザーに対して、企業のユーザー管理セキュリティ・ポリシーを満たすようにユーザー・アカウント・プロファイル・パラメータを構成できます。

ユーザー・アカウント・プロファイル・パラメータにより、ユーザー・パスワードのルールと要件、およびOracle Key Vaultユーザーのアカウント・ロックアウト動作を管理します。これらの設定は、ローカルで作成されるOracle Key Vaultユーザーに適用されます。LDAPユーザーについては、ユーザー・アカウント管理ポリシーはLDAPディレクトリ・サーバーにおいて管理されます。

Oracle Key Vaultでは、パスワード・リセットによるユーザー・アカウントのロック解除もサポートされるようになりました。Oracle Key Vault管理者は、ユーザーのパスワードをリセットすることでユーザー・アカウントのロックを解除できます。

1.2.2.6 重大度に基づくアラート分類

Oracle Key Vaultリリース21.5以降では、アラートは、管理しやすくなるように、それらの重大度レベルに基づいて分類されます。

Oracle Key Vaultでは、複数のタイプのアラートがサポートされています。Oracle Key Vaultにより、これらのアラートが、重大度レベル(CRITICAL、HIGH、MEDIUMおよびLOW)のいずれかに分類されるようになりました。Oracle Key Vault管理コンソールのホーム・ページに、未解決のアラートが重大度順に表示されるようになりました。Oracle Key Vault管理者が、運用継続のために早急な対処が必要な最重要アラートを、簡単に特定できるようになりました。

1.2.2.7 「Endpoint Metadata Report」での「Endpoint Group Membership」列の表示

Oracle Key Vaultリリース21.5以降では、「Endpoint Metadata Report」に、「Endpoint Group Membership」の列が追加されました。

「Endpoint Metadata Report」には、エンドポイント情報およびデプロイメント構成の詳細が表示されます。このメタデータ・レポートに、「Endpoint Group Membership」列が表示されるようになりました。

エンドポイント・グループ・メンバーシップ情報は、次の場合に役立ちます。

• エンドポイント・グループへの権限の付与
• エンドポイント・ローテーションの実行

1.2.2.8 最後のエンドポイント・アクティビティの時間を特定する機能


Oracle Key Vaultリリース21.5以降では、Oracle Key Vault管理コンソールで「Endpoints」ページを確認することで、エンドポイントがいつまでアクティブだったかをすばやく特定できます。

Oracle Key Vaultリリース21.5以降では、Oracle Key Vault管理コンソールから、「Endpoints」ページに移動しエンドポイントの「Last Active Time」列を確認することで、そのエンドポイントがいつまでアクティブだったかを特定できます。この情報は、どのエンドポイントが使用されていないかをすばやく特定するために役立ちます。以前は、この情報は、エンドポイント・アクティビティ・レポートからのみ(具体的には、マルチマスター・クラスタにおいて、クラスタのすべてのノードからのすべてエンドポイント・アクティビティ・レポートを統合することで)入手できていました。

1.2.2.9 OCIマーケットプレイス・イメージのUEFIサポート

Oracle Key Vaultリリース21.5以降では、Oracle Key Vault OCIマーケットプレイス・イメージはUEFIモードでのみ入手できます。

旧バージョンのOracle Key VaultのOCIマーケットプレイス・イメージでは、引き続き、BIOSモードが使用されています。

1.2.2.10 CA証明書の有効期限とサーバー/ノード証明書の有効期限のアラートの分離

Oracle Key Vaultリリース21.5以降では、CA証明書の有効期限、およびサーバー/ノード証明書の有効期限について、アラートを別々に構成できます。

これらのアラートに対して別々のしきい値を構成できます。デフォルトのしきい値は、CA証明書の有効期限については90日であり、サーバー/ノード証明書の有効期限については60日です。別々のアラートにすることで、サーバー/ノード証明書のローテーションをいつ実行する必要があるかを判断しやすくなります。サーバー/ノード証明書のローテーションは、CA証明書のローテーション(Oracle Key Vaultデプロイメント全体に影響し、複数の段階からなる)とは対照的に、ノードごとに実行される短時間のプロセスです。以前は、CA証明書またはサーバー/ノード証明書の有効期限が、構成されているサーバー証明書有効期限しきい値以内になったときに発生するアラートの種類は、「Oracle Key Vault Server Certificate expiration」の1つのみでした。

1.2.2.11 RESTfulサービス・ユーティリティを使用したクラスタ管理およびモニタリングのサポート

Oracle Key Vaultリリース21.5以降では、RESTfulサービス・ユーティリティを使用してマルチマスター・クラスタをデプロイ、管理およびモニターできます。

RESTfulサービス・ユーティリティを使用して、クラスタの作成、ノードの追加または削除、ノードの有効化または無効化など、いくつかのクラスタ管理操作を実行できるようになりました。RESTfulサービス・ユーティリティを使用してノード間のクラスタ・サービスおよびレプリケーション・リンクをモニターおよび管理することもできます。

新しいコマンドは次のとおりです。

• okv cluster node create
• okv cluster node status
• okv cluster node add
• okv cluster node abort-pairing
• okv cluster node enable
• okv cluster node disable
• okv cluster node cancel-disable
• okv cluster node update
• okv cluster service start
• okv cluster service stop
• okv cluster service monitor
• okv cluster link enable
• okv cluster link disable
• okv cluster link monitor

1.2.2.12 RESTfulサービス・ユーティリティを使用したシステム・リソース・モニタリングのサポート

Oracle Key Vaultリリース21.5以降では、RESTfulサービス・ユーティリティを使用して、CPUやメモリーなどのシステム・リソースの現在および過去の使用率メトリックを取得できます。これらのシステム・メトリックは、Oracle Key Vaultサーバーのシステム・リソースを、デプロイメントのパフォーマンスおよびスケーラビリティの要件を満たすように適切に構成するために役立ちます。

RESTfulサービス・ユーティリティを使用して、次の情報を取得できます。

• 構成されているシステム・リソース(CPUとメモリー)
• 指定された期間でのCPUとメモリーの使用率のメトリック(負荷平均など)

新しいコマンドまたは更新されたコマンドを次に示します。

• okv metrics server get
• okv server status get
• okv server info get

1.2.2.13 ネストされたJSONレベルからのRESTfulサービス・ユーティリティ・コマンドのサポート

Oracle Key Vaultリリース21.5以降では、RESTfulサービス・ユーティリティを使用してセキュリティ・オブジェクトを作成、登録、フェッチおよび検索するときに、コマンドライン・オプションとしてカスタム属性および特定のKMIP属性を指定できるようになりました。

以前のリリースでは、属性またはカスタム属性を使用するコマンドは、JSON入力メソッドの使用によってのみ実行できていました。RESTfulサービス・ユーティリティは、セキュリティ・オブジェクトを作成または登録するコマンドのコマンドライン・オプションとして属性およびカスタム属性を渡すことができるように拡張されました。これらのコマンドでは、複雑な入力を簡略化したバリアントもサポートされています。

KMIP属性の「activation date」および「deactivation date」は、それぞれコマンドライン・オプション--activation-dateおよび--deactivation-dateとして公開されるようになりました。新しいコマンドライン・オプション--custom-attributeを使用してカスタム属性を渡すことができます。また、くつかのRESTfulサービス・ユーティリティ・コマンドでは、名前とカスタム属性に関して単純形式と複雑形式がサポートされています。

この機能拡張に対応するために、次のコマンドが更新されました。

• okv managed-object key create
• okv managed-object key register
• okv managed-object secret register
• okv managed-object certificate register
• okv managed-object certificate-request register
• okv managed-object opaque register
• okv managed-object public-key register
• okv managed-object private-key register
• okv managed-object object fetch
• okv managed-object object locate

1.2.2.14 RESTfulサービス・ユーティリティでのテキスト出力形式のサポート

Oracle Key Vaultリリース21.5以降では、いくつかのRESTfulサービス・ユーティリティ・コマンドが、テキスト形式での出力をサポートするように拡張されています。

以前のリリースのRESTfulサービス・ユーティリティ・コマンドでは、出力は必ずJSON形式で生成されていました。現在は、新しいコマンドライン・オプション-output_formatを使用してテキスト形式でコマンド出力を生成できるようになっています。テキスト出力形式は、コマンドの出力が別のコマンドの入力となる場合などの自動化スクリプトの作成を簡略化するために役立ちます。

--output_formatオプションでサポートされている値を次に示します。

• json (デフォルト値)
• text

この機能拡張に対応するために、次のコマンドが更新されました。

• okv managed-object certificate get
• okv managed-object certificate register
• okv managed-object certificate-request get
• okv managed-object certificate-request register
• okv managed-object key create
• okv managed-object key get
• okv managed-object key register
• okv managed-object object activate
• okv managed-object object destroy
• okv managed-object object locate
• okv managed-object object revoke
• okv managed-object opaque get
• okv managed-object private-key register
• okv managed-object public-key get
• okv managed-object public-key register
• okv managed-object secret get
• okv managed-object secret register
• okv managed-object wallet add-member
• okv managed-object wallet delete-member
• okv managed-object wallet list

1.2.3 Oracle Key Vaultリリース21.4での変更点

Oracle Key Vaultリリース21.4には、いくつかの新機能が導入されています。

• Oracle Key Vaultからの対称暗号化キーの抽出を制御する機能
  Oracle Key Vaultリリース21.4以降、対称暗号化キーの保護を強化するために、これらのキーがOracle Key Vaultクラスタ境界から離れることを制限できるようになりました。
• RESTfulサービス・ユーティリティでの暗号操作のサポート
  Oracle Key Vaultリリース21.4では、Oracle Key Vault内で暗号操作を実行するためのサポートが追加されています。
• 暗号操作用のCおよびJava SDK API
  Oracle Key VaultクライアントSDKリリース21.4では、暗号操作のサポートが追加されています。
• 証明書管理の機能拡張
  Oracle Key Vaultリリース21.4以降、証明書の管理に加えられたいくつかの機能拡張を利用できます。
• 古いOracle Key Vaultバックアップのポリシー・ベース自動パージのサポート
  Oracle Key Vaultリリース21.4以降、1つ以上のリモート・バックアップの削除をスケジュールするポリシーを作成できます。
• RESTfulサービス・ユーティリティでの古いOracle Key Vaultバックアップのポリシー・ベース自動パージのサポート
  Oracle Key Vaultリリース21.4以降、ローカルのOracle Key Vaultバックアップを手動でパージすることも、1つ以上のリモート・バックアップをパージする宛先ポリシーを作成することもできます。
• Oracle Key Vaultの管理ロールの付与を制限する機能
  Oracle Key Vaultリリース21.4以降、Oracle Key Vaultの管理ロールの権限受領者が他のOracle Key Vaultユーザーにそのロールを付与できるかどうかを制御できます。
• エンドポイント、エンドポイント・グループおよびウォレット関連のRESTfulサービス・ユーティリティ・コマンドの機能拡張
  Oracle Key Vaultリリース21.4以降、エンドポイント、エンドポイント・グループおよびウォレットでより多くの操作を実行できるように、追加のコマンドが提供されています。
• エンドポイントの構成の更新に関するサポート
  Oracle Key Vaultリリース21.4以降、RESTfulサービス・ユーティリティ・コマンドokv admin endpoint updateを使用して、エンドポイント構成パラメータと、エンドポイントのキーおよびシークレットに関するエンドポイント設定を更新できます。
• 日付および時刻を設定するRESTfulコマンドがISO 8601標準に対応
  Oracle Key Vaultリリース21.4以降、durationの時間間隔設定はISO 8601標準に準拠するようになり、RESTfulコマンドを使用する際の日付および時刻設定の固定書式はISO 8601と互換性があります。
• RESTfulサービス・ユーティリティのコマンドライン・ヘルプのサポート
  Oracle Key Vaultリリース21.4以降、RESTfulサービス・ユーティリティ・コマンドに関するコマンドライン・ヘルプ情報を確認できます。
• Oracle Key VaultのKMIPサーバーの推奨KMIPバージョンを1.1に更新
  Oracle Key VaultのKMIPサーバーでは、KMIPプロトコル・バージョン1.1が推奨バージョンとして使用されるようになりました。
• Oracle Key Vault監査証跡のクライアントIPアドレス
  Oracle Key Vaultリリース21.4以降、Oracle Key Vault監査証跡には、Client IPという1つの新しいフィールドがあります。
• SDKを使用してKMIPサーバー操作が実行されたときにクライアント・エンドポイント・ファイルが更新される
  SDKを使用してKMIPサーバー操作が実行されたときに、クライアント・エンドポイント・ファイルokvclient.oraが更新されるようになりました。
• SNMPによる追加のモニタリング情報のサポート
  Oracle Key Vaultリリース21.4以降、SNMP nsExtendOutputFull MIBベース変数を使用して追加のモニタリング情報を参照できます。

1.2.3.1 Oracle Key Vaultからの対称暗号化キーの抽出を制御する機能

Oracle Key Vaultリリース21.4以降、対称暗号化キーの保護を強化するために、これらのキーがOracle Key Vaultクラスタ境界から離れることを制限できるようになりました。

この制限は、対称キーのキー・マテリアルに適用されますが、そのメタデータには適用されません。たとえば、透過的データベース暗号化(TDE)マスター暗号化キーはOracle Key Vaultに格納されます。エンドポイントでキーを復号化する必要がある場合、PKCS#11ライブラリは、Oracle Key VaultからTDEマスター暗号化キーをフェッチして復号化を実行します。対称キーがOracle Key Vaultから離れないことがサイトで必要とされる場合は、操作中にこれらのキーがOracle Key Vault内にとどまるように構成できます。この場合、PKCS#11ライブラリは、暗号化されたデータ暗号化キーをOracle Key Vaultに送信します。続いて、Oracle Key Vault内で復号化が実行され、その後、平文のデータ暗号化キーがPKCS#11ライブラリに返されます。TDEマスター暗号化キーがOracle Key Vaultから離れることを制限されている場合、つまり、それをOracle Key Vaultから抽出できない場合、Oracle Key VaultのPKCS#11ライブラリは、Oracle Key Vault内で暗号化および復号化操作を実行します。

Oracle Key Vaultから対称暗号化キーを取得(抽出)できるかどうかを制御するには、Oracle Key Vault管理コンソール、RESTfulサービス・ユーティリティ・コマンド、C SDK APIおよびJava SDK APIを使用できます。

この機能拡張に対応するために、次のOracle Key Vault RESTfulサービス・ユーティリティ・コマンドが更新されました。

• okv managed-object attribute get
• okv managed-object attribute get-all
• okv managed-object attribute list
• okv managed-object attribute modify
• okv managed-object key create
• okv managed-object key register
• okv managed-object object locate

抽出可能属性を管理するためのC SDKの新しいAPI:

• okvAttrAddExtractable
• okvAttrAddNeverExtractable
• okvAttrGetExtractable
• okvAttrGetNeverExtractable

抽出可能属性を管理するためのJava SDKの新しいAPI:

• okvAttrAddExtractable
• okvAttrAddNeverExtractable
• okvAttrGetExtractable
• okvAttrGetNeverExtractable

1.2.3.2 RESTfulサービス・ユーティリティでの暗号操作のサポート

Oracle Key Vaultリリース21.4では、Oracle Key Vault内で暗号操作を実行するためのサポートが追加されています。

RESTfulサービス・ユーティリティ・コマンドまたはCおよびJava SDKを使用して、暗号化および復号化操作を実行できます。

この機能拡張は、Oracle Key Vaultから抽出されないように構成された対称キーの使用に対応しています。

新しいコマンドは次のとおりです。

• okv crypto data decrypt
• okv crypto data encrypt

1.2.3.3 暗号操作用のCおよびJava SDK API

Oracle Key VaultクライアントSDKリリース21.4では、暗号操作のサポートが追加されています。

Oracle Key Vaultリリース21.4では、Oracle Key Vault内で暗号化と復号化の暗号操作を実行するためのサポートが追加されています。

RESTfulサービス・ユーティリティ・コマンドまたはCおよびJava SDKを使用して、暗号化および復号化操作を実行できます。

C SDK API

• KMIP暗号操作は次のとおりです。
  • okvDecrypt
  • okvEncrypt
• 属性操作は次のとおりです。
  • okvAttrAddExtractable
  • okvAttrAddNeverExtractable
  • okvAttrGetExtractable
  • okvAttrGetNeverExtractable
• 暗号ユーティリティ操作は次のとおりです。
  • okvCryptoContextCreate
  • okvCryptoContextFree
  • okvCryptoContextGetAuthEncryptionAdditionalData
  • okvCryptoContextGetAuthEncryptionTag
  • okvCryptoContextGetBlockCipherMode
  • okvCryptoContextGetIV
  • okvCryptoContextGetPadding
  • okvCryptoContextGetRandomIV
  • okvCryptoContextSetAuthEncryptionAdditionalData
  • okvCryptoContextSetAuthEncryptionTag
  • okvCryptoContextSetBlockCipherMode
  • okvCryptoContextSetIV
  • okvCryptoContextSetPadding
  • okvCryptoContextSetRandomIV
  • okvCryptoResponseGetAuthEncryptionTag
  • okvCryptoResponseGetDecryptedData
  • okvCryptoResponseGetEncryptedData
  • okvCryptoResponseGetIV
  • okvDecryptResponseCreate
  • okvDecryptResponseFree
  • okvEncryptResponseCreate
  • okvEncryptResponseFree

Java SDK API

• KMIP暗号操作は次のとおりです。
  • okvDecrypt
  • okvEncrypt
• 属性操作は次のとおりです。
  • okvAttrAddExtractable
  • okvAttrAddNeverExtractable
  • okvAttrGetExtractable
  • okvAttrGetNeverExtractable
• 暗号ユーティリティ操作は次のとおりです。
  • okvCryptoContextCreate

1.2.3.4 証明書管理の機能拡張

Oracle Key Vaultリリース21.4以降、証明書の管理に加えられたいくつかの機能拡張を利用できます。

機能拡張は次のとおりです。

• 外部証明書署名機関によって署名されたOracle Key Vault認証局(CA)証明書の使用のサポート: サード・パーティの署名機関によって発行されたCA証明書を持つことを選択できます。このオプションを実施するには、最初に証明書署名リクエスト(CSR)を生成し、そのCSRが外部署名機関によって署名された後、その署名済CAをOracle Key Vaultにアップロードします。その後、Oracle Key Vault上のすべての証明書(エンドポイント証明書、およびOracle Key Vaultマルチマスター・クラスタ・ノード間の通信に使用されるもの)が新しいCAによって再発行されるように、CA証明書のローテーションを実行する必要があります。以前のリリースでは、Oracle Key Vault CA証明書は常に自己署名されていました。
• Oracle Key Vault自己署名ルートCA証明書の有効期間を構成する機能: Oracle Key Vault自己署名CAの証明書の有効期間を構成できます。新しい有効期間は、CA証明書のローテーションが次に実行されたときに有効になります。以前は、この値は固定されていて変更できませんでした。
• マルチマスター・クラスタ環境で、Oracle Key Vault CA証明書のローテーション・プロセス中にエンドポイントがローテーションされる順序を設定する機能: この機能拡張により、CA証明書のローテーション中にエンドポイントがローテーションされる順序を構成できます。このリリース以降、エンドポイントはデフォルトで、エンドポイント証明書の有効期限の順にローテーションされます(つまり、最も早く期限切れになるものが最初にローテーションされます)。CA証明書のローテーションを開始する前に、クラスタ・サブグループの優先度リストを指定してエンドポイントのローテーションを順序付けすることもできます。これにより、CA証明書のローテーション・プロセス中に、優先度リストの上位のクラスタ・サブグループに属するエンドポイントが、優先度の低いクラスタ・サブグループのエンドポイントよりも前にローテーションされます。以前のリリースでは、CA証明書のローテーションが実行されるときに、エンドポイントはランダムにローテーションされていました。
• Oracle Key Vault CA証明書のローテーション中にローテーションされるエンドポイントのバッチ番号を構成する機能: CA証明書のローテーション・プロセスの特定の時点でUpdating to current certificate issuer状態になることができるエンドポイントの数を構成できます。この値は、Oracle Key Vault構成のエンドポイント数に基づいて構成できます。以前は、この値は静的であり、リリースによって異なりました(たとえば、Oracle Key Vaultリリース21.3では最大15個のエンドポイントがこの状態になることができました)。
• Oracle Key Vaultサーバー証明書およびノード証明書をローテーションする機能: このリリース以降、Oracle Key Vaultシステム(マルチマスター・クラスタ環境のクラスタ・ノード、またはプライマリ環境とスタンバイ環境)間の通信、およびOracle Key Vaultシステムとそのエンドポイントの間の通信に使用される証明書は、サーバー証明書(スタンドアロン環境またはプライマリ/スタンバイ環境の場合)およびノード証明書(マルチマスター・クラスタ環境の場合)と呼ばれるようになりました。この機能拡張により、Oracle Key Vault CA証明書、サーバー証明書およびノード証明書について異なる有効期間を選択できるようになったため、操作の柔軟性が向上しています。これにより、CA証明書のローテーション・プロセス全体を実行しなくても、サーバー証明書とノード証明書を必要に応じて何度でもローテーションできます。

1.2.3.5 古いOracle Key Vaultバックアップのポリシー・ベース自動パージのサポート

Oracle Key Vaultリリース21.4以降、1つ以上のリモート・バックアップの削除をスケジュールするポリシーを作成できます。

リモート・バックアップ先のサーバーでOracle Key Vaultバックアップによって消費されるディスク領域をより効率的に管理できるようになり、それらが不要になったとみなされたときに手動で削除する必要はありません。ポリシーに基づいてリモート・バックアップ先から古いバックアップを自動的にパージするようにOracle Key Vaultを構成できます。たとえば、バックアップが最新の10個のバックアップに含まれないかぎり、30日より古いバックアップを自動的にパージするポリシーを構成してリモート・バックアップ先に適用できます。さらに、ローカルのOracle Key Vaultバックアップを手動で削除できるようになりました。

1.2.3.6 RESTfulサービス・ユーティリティでの古いOracle Key Vaultバックアップのポリシー・ベース自動パージのサポート

Oracle Key Vaultリリース21.4以降、ローカルのOracle Key Vaultバックアップを手動でパージすることも、1つ以上のリモート・バックアップをパージする宛先ポリシーを作成することもできます。

次のコマンドが更新されました。

• okv backup destination create
• okv backup destination update

次のコマンドが新しく導入されました。

• okv backup destination delete-backup
• okv backup destination-policy create
• okv backup destination-policy delete
• okv backup destination-policy get
• okv backup destination-policy list
• okv backup destination-policy list-purged-backups
• okv backup destination-policy update
• okv backup destination resume-policy
• okv backup destination suspend-policy

1.2.3.7 Oracle Key Vaultの管理ロールの付与を制限する機能

Oracle Key Vaultリリース21.4以降、Oracle Key Vaultの管理ロールの権限受領者が他のOracle Key Vaultユーザーにそのロールを付与できるかどうかを制御できます。

以前のリリースでは、Oracle Key Vaultの管理ロール(システム管理者、キー管理者および監査マネージャ)を、そのロールを現在持っているユーザーが別のOracle Key Vaultユーザーに付与できました。このリリース以降、管理者がそのロールを別のユーザーに付与するときに、管理者は、権限受領ユーザーがさらにそのロールを他のユーザーに付与する方法を制限できます。この機能拡張により、全体的なユーザー・セキュリティが向上するとともに、最小権限に関する適切な手法に従うことができます。

1.2.3.8 エンドポイント、エンドポイント・グループおよびウォレット関連のRESTfulサービス・ユーティリティ・コマンドの機能拡張

Oracle Key Vaultリリース21.4以降、エンドポイント、エンドポイント・グループおよびウォレットでより多くの操作を実行できるように、追加のコマンドが提供されています。

新しいコマンドは次のとおりです。

• okv admin endpoint get
• okv admin endpoint list
• okv admin endpoint list-objects
• okv admin endpoint resume
• okv admin endpoint suspend
• okv manage-access endpoint-group get
• okv manage-access endpoint-group list
• okv manage-access wallet add-object
• okv manage-access wallet get
• okv manage-access wallet list
• okv manage-access wallet list-objects
• okv manage-access wallet remove-object

エンドポイントのオブジェクトをリストするコマンド(okv admin endpoint list-objects)およびウォレットのオブジェクトをリストするコマンド(okv admin wallet list-objects)には、オブジェクトのウォレット・メンバーシップを表示または非表示にするオプションがあります。オブジェクトのウォレット・メンバーシップ情報を省略すると、コマンドのパフォーマンスを向上させることができます。

1.2.3.9 エンドポイントの構成の更新に関するサポート

Oracle Key Vaultリリース21.4以降、RESTfulサービス・ユーティリティ・コマンドokv admin endpoint updateを使用して、エンドポイント構成パラメータと、エンドポイントのキーおよびシークレットに関するエンドポイント設定を更新できます。

エンドポイント構成パラメータには様々なPKCS#11設定が含まれ、キーとシークレットに関するエンドポイント設定には、新しい対称キーのextractable属性設定が含まれます。

1.2.3.10 日付および時刻を設定するRESTfulコマンドがISO 8601標準に対応

Oracle Key Vaultリリース21.4以降、durationの時間間隔設定はISO 8601標準に準拠するようになり、RESTfulコマンドを使用する際の日付および時刻設定の固定書式はISO 8601と互換性があります。

次の書式を指定できます。

• duration (ISO 8601標準に準拠)
• timestamp (ISO 8601標準と互換性がある書式)
• now (コマンド実行時の現在の時刻を表します)

これらの書式を次のように組み合せて使用できます。

• timestamp
• now
• timestamp + duration
• now + duration

以前のリリースで使用されていたtimestamp書式は、引き続きサポートされます。

この機能拡張のために、次のコマンドが更新されました。

• okv backup schedule create
• okv backup schedule update
• okv managed-object attribute add
• okv managed-object attribute delete
• okv managed-object attribute modify
• okv managed-object certificate-request register
• okv managed-object key register
• okv managed-object object locate
• okv managed-object opaque register
• okv managed-object private_key register
• okv managed-object public-key register
• okv managed-object secret register

1.2.3.11 RESTfulサービス・ユーティリティのコマンドライン・ヘルプのサポート

Oracle Key Vaultリリース21.4以降、RESTfulサービス・ユーティリティ・コマンドに関するコマンドライン・ヘルプ情報を確認できます。

この機能拡張により、すべてのOracle Key Vault RESTfulサービス・ユーティリティ・コマンドでサポートされている様々なカテゴリ、リソースおよびアクションに関する詳細なヘルプ情報を確認できます。ヘルプ情報には、コマンドの構文および使用可能なカテゴリ、リソース、アクションの定義と、すべてのコマンドに適用可能な構成パラメータが表示されます。

1.2.3.12 Oracle Key VaultのKMIPサーバーの推奨KMIPバージョンを1.1に更新

Oracle Key VaultのKMIPサーバーでは、KMIPプロトコル・バージョン1.1が推奨バージョンとして使用されるようになりました。

Oracle Key Vaultの以前のリリースでは、KMIPサーバーは、KMIPバージョン1.1によるクライアント・リクエストを受け入れて処理していましたが、サーバー・レスポンスの送信には常にKMIPバージョン1.0を使用していました。現在、KMIPサーバーは、KMIPリクエストが行われたプロトコル・バージョンでレスポンスを送信します。また、KMIPサーバーは、サポートされていないKMIPバージョンで行われたクライアント・リクエストについてはエラーを返すように機能拡張されています。このようなエラー・レスポンスは、現在1.1に設定されているサーバーの推奨KMIPバージョンを使用して返されます。

1.2.3.13 Oracle Key Vault監査証跡のクライアントIPアドレス

Oracle Key Vaultリリース21.4以降、Oracle Key Vault監査証跡には、Client IPという1つの新しいフィールドがあります。

Oracle Key Vault監査証跡には、操作を実行したエンティティの名前とタイプ、操作が実行された時刻、操作が実行されたノード、操作の結果などの情報を取得するフィールドが含まれています。Client IPフィールドの追加により、ユーザーが、操作が実行された場所(特にクラウド環境内)をより適切に検索できます。

1.2.3.14 SDKを使用してKMIPサーバー操作が実行されたときにクライアント・エンドポイント・ファイルが更新される

SDKを使用してKMIPサーバー操作が実行されたときに、クライアント・エンドポイント・ファイルokvclient.oraが更新されるようになりました。

Oracle Key Vaultリリース21.4より前は、SDKを使用してKMIPサーバー操作が実行されるたびに、クライアント・エンドポイント・ファイルokvclient.oraが更新されることはありませんでした。現在、Oracle Key VaultクライアントSDKを使用してKMIPサーバー操作が実行されるたびに、新しいエンドポイント更新があれば、クライアント・エンドポイント・ファイルokvclient.oraが更新されます。

1.2.3.15 SNMPによる追加のモニタリング情報のサポート

Oracle Key Vaultリリース21.4以降、SNMP nsExtendOutputFull MIBベース変数を使用して追加のモニタリング情報を参照できます。

nsExtendOutputFull MIBベース変数は、次の値を返すようになりました。

• Oracle Audit Vaultモニター・ステータス
• Oracle Audit Vaultエージェント・ステータス
• サーバーまたはCA証明書の有効期限情報(どちらの証明書が早く期限切れになるか)

1.2.4 Oracle Key Vaultリリース21.3での変更点

Oracle Key Vaultリリース21.3には、いくつかの新機能が導入されています。

• Oracle Key Vault用に他のHSMを構成する機能
  Oracle Key Vaultリリース21.3以降、Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1 HSMに加えて、Oracle Key Vaultと連携するために動作保証されている他のHSMを構成できます。
• Oracle Key VaultとのOracle Audit Vault and Database Firewallのより簡単な統合
  Oracle Key Vaultリリース21.3以降、Oracle Key VaultとのOracle Audit Vault and Database Firewall (AVDF)の統合のステップが自動化されています。
• 登録に使用されるRESTfulサービス・ユーティリティ・コマンドの拡張
  Oracle Key Vaultリリース21.3では、管理対象オブジェクトの登録に使用されるRESTfulサービス・ユーティリティ・コマンドに追加の属性があります。
• 高速リカバリ領域使用率のアラート
  Oracle Key Vaultリリース21.3以降、Oracle Key Vaultの埋込みデータベースの高速リカバリ領域使用率が構成済のしきい値を超えた場合にアラートが生成されます。
• クラスタREDO出荷ステータスのアラート・メッセージの変更
  Oracle Key Vaultリリース21.3以降、Cluster Redo Shipping Statusアラート通知メッセージが変更されました。

1.2.4.1 Oracle Key Vault用に他のHSMを構成する機能

Oracle Key Vaultリリース21.3以降、Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1 HSMに加えて、Oracle Key Vaultと連携するために動作保証されている他のHSMを構成できます。

このような追加のHSMは、HSMベンダーによってすでに認証されている場合も、認証されていない場合もあります。

この機能により、Oracle Key Vaultで使用できる、より広範なHSM製品が提供されます。この構成は、HSMがOracle Key Vaultと連携するためにHSMベンダーが満たす必要がある要件に関して、HSMベンダーと協力する必要があるという点で、Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、およびUtimacoのSecurityServer 4.31.1 HSMの構成とは少し異なります。HSMとOracle Key Vaultを正常に統合した後は、アップグレード操作、バックアップおよびリストア操作、リバース移行など、Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、およびUtimacoのSecurityServer 4.31.1 HSMを使用して通常実行するすべてのタスクを実行できます。

1.2.4.2 Oracle Key VaultとのOracle Audit Vault and Database Firewallのより簡単な統合

Oracle Key Vaultリリース21.3以降、Oracle Key VaultとのOracle Audit Vault and Database Firewall (AVDF)の統合のステップが自動化されています。

以前のリリースでは、Oracle Key Vault管理者は、この統合を実行するために、AVDFエージェントのダウンロードやインストールなどのステップを手動で実行する必要がありました。現在、この統合作業の多くはOracle Key Vault管理コンソールに組み込まれているため、管理者は簡単にすばやく統合を実行できます。

1.2.4.3 登録に使用されるRESTfulサービス・ユーティリティ・コマンドの拡張

Oracle Key Vaultリリース21.3では、管理対象オブジェクトの登録に使用されるRESTfulサービス・ユーティリティ・コマンドに追加の属性があります。

影響を受けるコマンドは次のとおりです。

• okv managed-object certificate register
• okv managed-object certificate-request register
• okv managed-object key register
• okv managed-object opaque register
• okv managed-object private-key register
• okv managed-object public-key register
• okv managed-object secret register

以前のリリースでは、これらのコマンドにより2つの属性nameおよびcontactInfoが提供されました。このリリースでは、これら2つの属性に加えて、次の新しい属性が含まれています。

• activationDate
• deactivationDate
• processStartDate
• protectStopDate

1.2.4.4 高速リカバリ領域使用率のアラート

Oracle Key Vaultリリース21.3以降、Oracle Key Vaultの埋込みデータベースの高速リカバリ領域使用率が構成済のしきい値を超えた場合にアラートが生成されます。

デフォルトでは、構成されたしきい値は70で、スタンドアロン、マルチマスター・クラスタ、およびプライマリ/スタンバイ環境でアラートを使用できます。新しいアラートを使用すると、Oracle Key Vaultの埋込みデータベースの高速リカバリ領域使用率をより適切にモニターできます。

1.2.4.5 クラスタREDO出荷ステータスのアラート・メッセージの変更

Oracle Key Vaultリリース21.3以降、Cluster Redo Shipping Statusアラート通知メッセージが変更されました。

以前のリリースでは、REDO出荷ステータスがアクティブ(稼働中)または非アクティブ(停止中)であった場合にのみ、ユーザーにアラートがありました。この情報に加えて、このメッセージは、クラスタ内のノードが読取り専用モードで動作しているのか、読取り専用モードでなくなったのかを示します。

1.2.5 Oracle Key Vaultリリース21.2での変更点

Oracle Key Vaultリリース21.2では、インストールおよびアップグレード操作に関連する新機能が導入されています。

• 証明書およびシークレット・オブジェクトの期限切れのアラート
  このリリース以降、証明書およびシークレット・オブジェクトの期限切れに関するアラート通知を構成できます。
• 証明書、証明書リクエスト、秘密キーおよび公開キー用の新しいCおよびJava SDK API
  Oracle Key Vaultリリース21.2では、新しいAPIを使用して、オブジェクトの登録とフェッチ、それらのオブジェクトへの属性(長さ、タイプ、ID、サブジェクト、発行者、アルゴリズムなど)の追加などの操作を実行できます。
• 新規および変更されたRESTfulサービス・ユーティリティ・コマンド
  このリリース以降、新規および変更されたokv managed-object RESTfulサービス・ユーティリティ・コマンドをいくつか使用できます。
• Oracle Key Vault管理コンソールの変更点
  Oracle Key Vaultリリース21.2では、Oracle Key Vault管理コンソールのユーザー・インタフェースに小さな変更があります。

1.2.5.1 証明書およびシークレット・オブジェクトの期限切れのアラート

このリリース以降、証明書およびシークレット・オブジェクトの期限切れに関するアラート通知を構成できます。

以前のリリースでは、すべての管理対象オブジェクトの期限切れのアラートがKey Rotationsアラートで共通構成を共有していました。このリリース以降、証明書およびシークレット・オブジェクトの期限切れのアラートを個別に構成できます。証明書およびシークレット・オブジェクトの期限切れのアラートは、Key Rotationsアラートとしてレポートされなくなります。クラスタ・コンポーネントやユーザー・パスワードの期限切れなどのアラートと同様に、証明書またはシークレット・オブジェクトの非アクティブ化日がしきい値内にある場合にはユーザーに通知するようにこのタイプのアラートを設定できます。

証明書およびシークレット・オブジェクトの新しいアラートは次のとおりです。

• Certificate Object Expiration
• Secret Object Expiration

オブジェクトの期限切れのアラートが発生するのは、オブジェクトがPRE-ACTIVEまたはACTIVE状態の場合のみになりました。以前は、オブジェクトの状態に関係なく発生していました。

オブジェクトが取り消されるか破棄されると、オブジェクトの期限切れのアラートが削除されるようになりました。以前は、オブジェクトが破棄されたときに削除されていました。

1.2.5.2 証明書、証明書リクエスト、秘密キーおよび公開キー用の新しいCおよびJava SDK API

Oracle Key Vaultリリース21.2では、新しいAPIを使用して、オブジェクトの登録とフェッチ、それらのオブジェクトへの属性(長さ、タイプ、ID、サブジェクト、発行者、アルゴリズムなど)の追加などの操作を実行できます。

C SDK API

登録およびフェッチ操作は次のとおりです。

• okvGetCertificate

• okvGetCertificateRequest

• okvGetPrivateKey

• okvGetPublicKey

• okvRegCertificate

• okvRegCertificateRequest

• okvRegPrivateKey

• okvRegPublicKey

属性操作は次のとおりです。

• okvAttrAddCertLen

• okvAttrAddCertType

• okvAttrAddDigitalSignAlgo

• okvAttrAddX509CertId

• okvAttrAddX509CertIss

• okvAttrAddX509CertIssAltName

• okvAttrAddX509CertSubj

• okvAttrAddX509CertSubjAltName

• okvAttrGetCertLen

• okvAttrGetCertType

• okvAttrGetDigitalSignAlgo

• okvAttrGetX509CertId

• okvAttrGetX509CertIdIssuerLen

• okvAttrGetX509CertIdSerialNoLen

• okvAttrGetX509CertIss

• okvAttrGetX509CertIssAltName

• okvAttrGetX509CertIssAltNameLen

• okvAttrGetX509CertIssDNLen

• okvAttrGetX509CertSubj

• okvAttrGetX509CertSubjAltName

• okvAttrGetX509CertSubjAltNameLen

• okvAttrGetX509CertSubjDNLen

Java SDK API

登録およびフェッチ操作は次のとおりです。

• okvGetCertificate

• okvGetCertificateRequest

• okvGetPrivateKey

• okvGetPublicKey

• okvRegCertificate

• okvRegCertificateRequest

• okvRegPrivateKey

• okvRegPublicKey

属性操作は次のとおりです。

• okvAttrAddArchiveDate

• okvAttrAddCertLen

• okvAttrAddCertType

• okvAttrAddDigitalSignAlgo

• okvAttrAddInitialDate

• okvAttrAddLastChangeDate

• okvAttrAddState

• okvAttrAddX509CertId

• okvAttrAddX509CertIss

• okvAttrAddX509CertIssAltName

• okvAttrAddX509CertSubj

• okvAttrAddX509CertSubjAltName

• okvAttrGetCertLen

• okvAttrGetCertType

• okvAttrGetDigitalSignAlgo

• okvAttrGetX509CertId

• okvAttrGetX509CertIss

• okvAttrGetX509CertIssAltName

• okvAttrGetX509CertSubj

• okvAttrGetX509CertSubjAltName

1.2.5.3 新規および変更されたRESTfulサービス・ユーティリティ・コマンド

このリリース以降、新規および変更されたokv managed-object RESTfulサービス・ユーティリティ・コマンドをいくつか使用できます。

証明書リクエスト、秘密キーおよび公開キーに対するgetおよびregister操作のサポートを追加する新規のokv managed-object RESTfulサービス・コマンドは、次のとおりです。

• okv managed-object certificate-request get
• okv managed-object certificate-request register
• okv managed-object private-key get
• okv managed-object private-key register
• okv managed-object public-key get
• okv managed-object public-key register

変更されたokv managed-object RESTfulサービス・コマンドは次のとおりです。

• okv managed-object certificate register
• okv managed-object object locate

1.2.5.4 Oracle Key Vault管理コンソールの変更点

Oracle Key Vaultリリース21.2では、Oracle Key Vault管理コンソールのユーザー・インタフェースに小さな変更があります。

これらの変更は、用語の変更、現在のリリースへの更新および利便性向上のための拡張によるものです。インタフェース全体に大きな変更はありません。

1.2.6 Oracle Key Vaultリリース21.1での変更点

Oracle Key Vaultリリース21.1には、いくつかの新機能が導入されています。

• デュアルNICネットワーク・インタフェースのサポート
  このリリース以降、Oracle Key VaultではデュアルNIC構成と呼ばれる2つのネットワーク・インタフェースの使用がサポートされています。
• Oracle Key VaultでのLDAPユーザーの認証および認可
  このリリース以降、Oracle Key Vaultユーザーの認証および認可をMicrosoft Active Directoryで集中管理するように構成できます。
• アプライアンス管理用のRESTfulサービス・ユーティリティのコマンドライン・インタフェース
  Oracle Key Vaultリリース21.1では、より多くの機能を提供するために、RESTfulサービスのコマンドライン・インタフェースを拡張および再設計しました。
• 外部バックアップを転送するSFTPのサポート
  Oracle Key Vaultでは、リモート・バックアップ先への(スケジュールされた)外部バックアップの転送におけるSSHセキュア・ファイル転送プロトコル(SFTP)の使用がサポートされるようになりました。
• Java SDKを使用した開発
  このリリースでは、カスタム・エンドポイントとOracle Key Vaultサーバーの統合に使用できる新しいJava言語ソフトウェア開発キットが導入されています。
• C SDKを使用した開発
  このリリースでは、カスタム・エンドポイントとOracle Key Vaultサーバーの統合に使用できる新しいC言語ソフトウェア開発キットが導入されています。

1.2.6.1 デュアルNICネットワーク・インタフェースのサポート

このリリース以降、Oracle Key VaultではデュアルNIC構成と呼ばれる2つのネットワーク・インタフェースの使用がサポートされています。

デュアルNIC構成では、Oracle Key Vaultは、Linux NIC結合メカニズムを使用して2つのネットワーク・インタフェースを単一の論理インタフェースに結合し、ネットワーク・レイヤーで冗長性を提供します。デュアルNIC構成では、いずれかのインタフェースが使用できなくなった場合に、Oracle Key Vaultのネットワーク可用性が維持されます。デュアルNIC構成モードによっては、ネットワーク・トラフィックの負荷分散も実現できます。

このタイプの構成は、物理的障害またはソフトウェア障害がある場合も操作を継続する必要性が高い大規模なOracle Key Vaultデプロイメントで特に役立ちます。デュアルNICネットワーク・インタフェースを構成すると、たとえば、Oracle Key Vaultサーバーに関連付けられたネットワーク・インタフェースが使用できなくなり、Oracle Key Vaultノード間およびエンドポイントとOracle Key Vaultサーバー間の通信が失われる可能性があるシナリオを回避するのに役立ちます。

以前のリリースでは、Oracle Key Vaultは単一のネットワーク・インタフェースのみをサポートしていました。このリリースでOracle Key Vaultをインストールおよび構成する場合は、単一のネットワーク・インタフェース(クラシック・モード)を使用するか、デュアルNICモードを使用するかを選択できます。

1.2.6.2 Oracle Key VaultでのLDAPユーザーの認証および認可

このリリース以降、Oracle Key Vaultユーザーの認証および認可をMicrosoft Active Directoryで集中管理するように構成できます。

この機能は、エンタープライズ・ユーザーがMicrosoft Active Directoryで集中管理される大規模なデプロイメント環境に役立ちます。ユーザーの集中管理は、異なるシステムおよびアプリケーションでのユーザー・アカウントの作成とは対照的に、管理者にとってより簡単で効率的であることに加え、コンプライアンス、制御およびセキュリティを向上させます。Microsoft Active Directoryユーザーがディレクトリ資格証明を使用してOracle Key Vaultで認証できるようにします。Oracle Key Vaultでディレクトリ・ユーザーの認可を管理するには、Microsoft Active DirectoryグループとOracle Key Vaultの管理ロールまたはユーザー・グループ間のマッピング定義を使用します。ディレクトリ・ユーザーがOracle Key Vaultに初めて正常にログインすると、Oracle Key VaultによってこのユーザーのOracle Key Vaultユーザー・アカウントが自動的に作成されます。

1.2.6.3 アプライアンス管理用のRESTfulサービス・ユーティリティのコマンドライン・インタフェース

Oracle Key Vaultリリース21.1では、より多くの機能を提供するために、RESTfulサービスのコマンドライン・インタフェースを拡張および再設計しました。

この再設計には、次のものが含まれます。

• 次の形式の構造化および簡略化されたコマンドライン・インタフェース:

  okv category resource action configuration-options command-options 

• 複数のOracle Key Vaultエンドポイントを集中管理するための構成ファイルでのプロファイルのサポート。
• JSONでのコマンド入力および出力のサポート。
• エンドポイント、ウォレットおよびセキュリティ・オブジェクトの現在の機能に対する拡張に加えて、システム管理タスクおよびデプロイメントのモニタリングをサポートする新しいコマンド。

以前のリリースでは、RESTfulコマンドライン・インタフェースはエンドポイント、ウォレットおよびセキュリティ・オブジェクト管理コマンドのみを対象としていました。スタンドアロン、マルチマスターおよびプライマリ/スタンバイ環境のバックアップ操作およびサーバー操作用のコマンドを含むシステム管理コマンドの追加は、これらのタイプの構成の自動化を必要とする大規模なデプロイメントに利点があります。

以前のRESTfulサービスAPIも引き続きサポートされています。

1.2.6.4 外部バックアップを転送するSFTPのサポート

Oracle Key Vaultでは、リモート・バックアップ先への(スケジュールされた)外部バックアップの転送におけるSSHセキュア・ファイル転送プロトコル(SFTP)の使用がサポートされるようになりました。

SFTPを使用すると、ZFS Storage Applianceをバックアップ先として使用できます。セキュア・コピー・プロトコル(SCP)の使用もサポートされます。

1.2.6.5 Java SDKを使用した開発

このリリースでは、カスタム・エンドポイントとOracle Key Vaultサーバーの統合に使用できる新しいJava言語ソフトウェア開発キットが導入されています。

Java SDKを使用すると、開発者はOracle Key Vault用に独自のカスタム・エンドポイント統合ソリューションを作成できます。

1.2.6.6 C SDKを使用した開発

このリリースでは、カスタム・エンドポイントとOracle Key Vaultサーバーの統合に使用できる新しいC言語ソフトウェア開発キットが導入されています。

C SDKを使用すると、開発者はOracle Key Vault用に独自のカスタム・エンドポイント統合ソリューションを作成できます。

1.3 Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード

最新バージョンのOracle Key Vaultのソフトウェアおよびドキュメントはいつでもダウンロードできます。

• Oracle Key Vaultインストール・ソフトウェアのダウンロード
  
• Oracle Key Vaultのドキュメントのダウンロード
  

1.3.1 Oracle Key Vaultインストール・ソフトウェアのダウンロード

新規インストールの場合は、Software Delivery CloudからOracle Key Vaultソフトウェアをダウンロードできます。このパッケージは、Oracle Key Vaultのアップグレードには使用できません。既存のOracle Key Vaultデプロイメントからのアップグレードの場合、アップグレード手順を記載したreadmeファイルを含んだMy Oracle Support WebサイトからOracle Key Vaultのアップグレード・ソフトウェアをダウンロードできます。

1. WebブラウザでOracle Software Delivery Cloudポータルにアクセスします。

   https://edelivery.oracle.com

2. 「Sign In」をクリックし、入力を求められたら、「User ID」および「Password」に入力します。
3. 「All Categories」メニューで、「Release」を選択します。次のフィールドで、「Oracle Key Vault」と入力して、「Search」をクリックします。
4. 表示されたリストから「Oracle Key Vault 21.6.0.0.0」を選択するか、「Oracle Key Vault 21.6.0.0.0」の横にある「+Add to Cart」ボタンをクリックします。
   ダウンロードがカートに追加されます。(カートの中身を確認するには、画面の右上にある「View Cart」をクリックします。)
5. 「Checkout」をクリックします。
6. 次のページでインストール・パッケージの詳細を確認して、「Continue」をクリックします。
7. 「Oracle Standard Terms and Restrictions」ページで、契約条件を読み、同意した後、「I have reviewed and accept the terms of the Commercial License, Special Programs License, and/or Trial License」を選択して「Continue」をクリックします。

   ダウンロード・ページが表示され、次のOracle Key Vault ISOファイルがリストされます。

   • Vpart_number.iso (Oracle Key Vault 21.6.0.0.0)

8. 「Print」ボタンの右側にある「View Digest Details」をクリックします。

   ISOファイルのリストが展開され、ISOファイルのSHA-1およびSHA-256チェックサム参照番号が表示されます。

9. SHA-256チェックサム参照番号をコピーし、後で参照するために保存します。
10. 「Download」をクリックして、ISOファイルを保存する場所を選択します。
11. 「Save」をクリックします。

    ISOファイルのサイズは4 GBを超えるため、ネットワーク速度によってはダウンロードに時間がかかることがあります。ダウンロードの推定時間と推定速度が「File Download」ダイアログ・ボックスに表示されます。

12. ISOファイルが指定した場所にダウンロードされたら、ダウンロードされたファイルのSHA-256チェックサムを確認します。

    $ sha256sum Vpart_number.iso

    チェックサムが、ステップ9で「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。

13. 必要に応じて、Vpart_number.isoファイルをDVD-ROMディスクに書き込み、ディスクにラベルを付けます。
    OKV 21.6

これで、サーバー・マシンにOracle Key Vaultをインストールできます。

1.3.2 Oracle Key Vaultのドキュメントのダウンロード

1. Oracleドキュメント・サイトにアクセスします。

   https://docs.oracle.com/en/database/

2. 「Oracle Database Related Products」を選択します。
3. 「Database Security」セクションで、リリース・ノートを含む最新バージョンのOracle Key Vault 21.6ドキュメントを検索してダウンロードします。

1.4 既知の問題

このリリースの時点で、Oracle Key Vaultにはまれな状況で発生する可能性がある問題があります。各問題の回避策が提供されます。

• 一般的な問題
  
• アップグレードの問題
  
• プライマリ/スタンバイの問題
  
• マルチマスター・クラスタの問題
  
• ソフトウェア開発キットの問題
  

1.4.1 一般的な問題

この項では、Oracle Key Vaultに関する一般的な問題について説明します。

• エンドポイントにすでに同じウォレットへのアクセス権がある場合にデフォルト・ウォレットの割当てが失敗する
  
• 11.2.0.4 DBを使用するWindowsエンドポイント用のokvutilによって証明書属性がアップロードされない
  
• PKCS#11を使用して証明書ローテーションを実行した場合のWindowsでのDBクラッシュ
  
• デフォルト・ウォレットを削除すると、関連付けられたエンドポイントでOKVUTIL LISTを実行できなくなる
  
• サーバー証明書のローテーション後に「Expiring In」フィールドが更新されない
  
• サーバーが再起動されるまで、KMIPデーモンがエンドポイントの処理を停止する場合がある
  
• 証明書のローテーション中にKMIPDが複数のノードで同時に停止することがある
  
• ページのロード時および保存後にシステム設定ページのモーダル・ページが空白になる
  
• HP-UXシステムで、SELECT FROM V$ENCRYPTION_KEYSを実行するとORA-28407が返されることがある
  
• 問題の修正後もOracle Key Vaultアラートが引き続きリストに表示される
  
• FIPSモードのOracle Key Vaultの起動時の警告
  
• Java Keystoreがokvutilユーティリティの-oオプションを使用してアップロードされた場合、秘密キーが上書きされない
  
• RESTを使用してKMIPサーバー操作が実行されたときの最新のスキャン・リスト、構成パラメータおよび証明書ローテーションの更新によるクライアント・エンドポイント・ソフトウェアの更新
  
• 複数回ログインに失敗すると、ユーザーがロックされ、ログイン不能になる
  
• Oracle Key VaultとOracle Audit Vault 20.8の統合に失敗する
  
• Oracle Key Vaultエンドポイント・ユーティリティは、KeyStoreパスワードとは異なるパスワードを持つキーを含むJava KeyStoreのアップロード時にエラーをスローする
  
• ブラウザ表示言語が英語でない場合、Oracle Key Vault操作が失敗する
  
• 終了改行文字'\n'を持つファイルからメッセージ・ダイジェストに署名するRESTfulサービス・ユーティリティ・コマンドが失敗する
  
• 大規模ファイルに署名するRESTfulサービス・ユーティリティ・コマンドがエラー・スタックで失敗する
  

1.4.1.1 エンドポイントにすでに同じウォレットへのアクセス権がある場合にデフォルト・ウォレットの割当てが失敗する

問題: エンドポイントにすでにウォレットへのアクセス権がある場合、このウォレットをデフォルト・ウォレットにすると失敗します。副作用として、現在のデフォルトのウォレット設定も削除されます。

回避策: ウォレットをエンドポイントのデフォルト・ウォレットとして割り当てる前に、そのウォレットへのエンドポイントのアクセス権を削除します。

バグ番号: 31416663

1.4.1.2 11.2.0.4 DBを使用するWindowsエンドポイント用のokvutilによって証明書属性がアップロードされない

問題: Oracle Databaseリリース11.2.0.4が搭載されたWindowsエンドポイント・システムから、証明書が含まれているオブジェクトをOracle Key Vaultサーバーにアップロードすると、このようにアップロードした証明書の暗号化アルゴリズムと暗号の長さが管理コンソールに表示されません。

回避策: 証明書の暗号化アルゴリズムと暗号の長さが表示されるようにする場合は、エンドポイント・プラットフォームまたはOracle Databaseバージョンの別の組合せから、このようなオブジェクトをアップロードすることを検討してください。

バグ番号: 32855953

1.4.1.3 PKCS#11を使用して証明書ローテーションを実行した場合のWindowsでのDBクラッシュ

問題: Oracle Key Vault証明書ローテーション操作を実行すると、エンドポイント証明書が再生成され、エンドポイントによってフェッチされて、通常のKMIP応答とともにサーバーから送信されます。エンドポイントは、okvutil操作を介して、またはPKCS#11ライブラリを使用しているOracle Databaseによって、新しい証明書をフェッチできます。Windowsでは、PKCS#11ライブラリを使用しているエンドポイントによって証明書がフェッチされると、データベースがクラッシュする可能性があります。

回避策: 証明書ローテーション操作を開始する前に、Windowsマシン上のエンドポイントを停止してイベントに備えます。これらのエンドポイントの新しい証明書を取得するには、Automatic certificate update of endpoints is in progressと示すメッセージがOracle Key Vault管理コンソールに表示される段階まで証明書ローテーションが進んだら、エンドポイントを再エンロールします。

バグ番号: 33037993

1.4.1.4 デフォルト・ウォレットを削除すると、関連付けられたエンドポイントでOKVUTIL LISTを実行できなくなる

問題: 仮想ウォレットを削除するときに、その仮想ウォレットがエンドポイントのデフォルト・ウォレットである場合、エンドポイントがokvutil listを実行できないことがあります。これは、エンドポイントがウォレットを検索するときに、ウォレットを見つけることができず、エラーが生成されるためです。

回避策: エンドポイントが仮想ウォレットをデフォルト・ウォレットとして現在使用していないことを最初に確認しないかぎり、仮想ウォレットを削除しないでください。ウォレットが削除された場合は、「Endpoint Details」ページを使用してエンドポイントからデフォルト・ウォレットを削除し、エンドポイントを再登録してください。

バグ番号: 30699255

1.4.1.5 サーバー証明書のローテーション後に「Expiring In」フィールドが更新されない

問題: 証明書がローテーションされた後、表示される「Expiring In」の日数が正しくありません。

回避策: 管理コンソールからログアウトし、再度ログインします。

バグ番号: 33749408

1.4.1.6 サーバーが再起動されるまで、KMIPデーモンがエンドポイントの処理を停止する場合がある

問題: データベース・バグ33846119により、エンドポイント・リクエストを処理するKMIPデーモンがOracle Key Vaultサーバーで動作を停止する場合があることが確認されています。これは、CA証明書のローテーション操作中に確認されました。エンドポイントでは、特定のノードによって証明書がローテーションされる必要があるため、この結果として、特定のエンドポイントがスタックすることがあります。管理コンソールの「Endpoint Details」ページで、そのエンドポイントは、他のノードに対するエンドポイント操作が繰り返し成功しても、「Common Name of Certificate Issuer」が「Updating to current certificate issuer」でスタックし、新しいCA証明書の共通名に遷移しないと表示されます。スタンドアロンおよびプライマリ/スタンバイ構成では、この結果として、エンドポイントがサーバーからのオブジェクトのフェッチに失敗することがあります。マルチマスター・クラスタ環境では、エンドポイントは他のノードからオブジェクトをフェッチできますが、影響を受けるノードからはフェッチできません。

回避策: サーバーを再起動すると問題が解決します。

バグ番号: 33846151

1.4.1.7 証明書のローテーション中にKMIPDが複数のノードで同時に停止することがある

問題: 証明書のローテーション中に、kmipおよびkmipusデーモンが数回再起動され、それぞれ数分の停止時間が発生します。この再起動は、同時に複数のノードで発生する可能性があります。特に小規模なクラスタでは、クラスタ内のすべてのkmipデーモンがエンドポイント・リクエストに応答できず、停止時間につながる可能性があることを意味します。

回避策: エンドポイントの停止時間を回避するために、証明書のローテーションの前にインメモリー・キャッシュ・タイムアウト、永続キャッシュ・タイムアウトおよび永続キャッシュ・リフレッシュ・ウィンドウの値をオンに切り替えるか、または増やします。

バグ番号: 31311978

1.4.1.8 ページのロード時および保存後にシステム設定ページのモーダル・ページが空白になる

問題: ページのロード中に、「System Settings」ページのモーダル・ページ(ポップアップ)が空白になります。また、「Save」をクリックすると、ページが再度ロードされ、コンテンツのロード中にページが空白になります。

回避策: ページは通常、モーダル・ページを開いてから約5から10秒後に表示されます。また、ページのロード時間は、クライアント側のネットワーク速度に依存します。

バグ番号: 32283750

1.4.1.9 HP-UXシステムで、SELECT FROM V$ENCRYPTION_KEYSを実行するとORA-28407が返されることがある

問題: HP-UXオペレーティング・システムで、長時間実行されているデータベース・プロセスまたはセッションで実行された次のような透過的データ暗号化(TDE)問合せで、ORA-28407 Hardware Security Module error detectedというエラーが発生することがあります。

SELECT * FROM V$ENCRYPTION_KEYS;

これは、PTHREAD_KEYS_MAX設定によって制御されるプロセスごとのキーの合計数に関するシステムによる制限にプロセスが達したか、超過したため、システムがそれ以上スレッド固有のデータ・キーを作成できなかったためです。通常、PTHREAD_KEYS_MAXは128に設定されています。

回避策: データベース・セッションを切り替えて、TDE問合せを再実行します。セッションを切り替えることができない場合は、データベースおよびリスナーを開始する前に、PTHREAD_USER_KEYS_MAXに16384を設定します。

バグ番号: 28270280

1.4.1.10 問題の修正後もOracle Key Vaultアラートが引き続きリストに表示される

問題: ユーザーがパスワードを変更した後でも、ユーザー・パスワードの期限切れのアラートが引き続き表示されます。

回避策: Oracle Key Vault管理コンソールで、「Reports」、「Configure Reports」の順に選択します。「User Password Expiration」オプションの選択を解除します。または、アラートを無視します。

バグ番号: 27620622

1.4.1.11 FIPSモードのOracle Key Vaultの起動時の警告

問題: FIPSモードで動作するOracle Key Vaultサーバーを起動すると、次のような警告がコンソールに表示されることがあります。

Warning : Error inserting
    serpent_avx2(/lib/modules/4.1.12-124.34.1.1.el6uek.x86_64/kernerl/arch/x86/crypto/serpent_avx2):
    No such device

これらは、FIPSモードで使用できない、またはサポートされていない暗号の命令セットがロードされていないことを示す、画面にスローされる情報メッセージです。これらの警告は無視しても支障ありません。

回避策: なし。

バグ番号: 30844891

1.4.1.12 Java Keystoreがokvutilユーティリティの-oオプションを使用してアップロードされた場合、秘密キーが上書きされない

問題: okvutil uploadコマンドの-oオプションを使用して、Java keystore (JKS)またはJava Cryptography Extension keystore (JCEKS)をOracle Key Vaultサーバーにアップロードした場合、ユーザー定義のキーは上書きされません。

回避策: ウォレットから秘密キーを削除し、そのキーを再度アップロードします。

バグ番号: 26887060

1.4.1.13 RESTを使用してKMIPサーバー操作が実行されたときの最新のスキャン・リスト、構成パラメータおよび証明書ローテーションの更新によるクライアント・エンドポイント・ソフトウェアの更新

問題: RESTfulユーティリティを使用してサーバー操作が実行されるたびに、構成ファイルokvclient.oraが最新の状態に更新されることはありません。構成ファイルは、エンドポイント・ソフトウェアがインストールされたときの状態の静的なままになります。たとえば、Oracle Key Vaultクラスタに追加された新しいノードがある場合、RESTfulユーティリティを使用してサーバー操作が実行されるたびに、クライアント構成ファイルokvclient.oraが新しいノード情報で更新されることはありません。

回避策: 構成の変更後にokvclient.oraが更新されるようにするには、okvutilまたはOracle Key Vault SDKを使用して操作を実行します。

バグ番号: 29492842

1.4.1.14 複数回ログインに失敗すると、ユーザーがロックされ、ログイン不能になる

問題: 現在のパスワード・ポリシーでは、ユーザーがパスワードを連続して3回間違って入力した場合、ユーザー・アカウントが1日間ロックされます。このため、そのユーザーは24時間のロックアウト期間が経過した後にのみログインできます。

回避策: パスワードをノートにとって、安全に保管して参照できるようにします。

バグ番号: 23300720

1.4.1.15 Oracle Key VaultとOracle Audit Vault 20.8の統合に失敗する

問題: Oracle Key VaultをOracle Audit Vault 20.8と統合しようとすると次のエラーで失敗します。

Failed to get client software from Audit Vault server, ensure Public Host Keyand 'support' user password are valid

この原因は、統合プロセスに必要なOracle Audit Vaultクライアントjarファイルの権限が変更されたことです。

回避策: Oracle Key VaultをOracle Audit Vault 20.8と統合する前に、Oracle Audit Vault 20.8サーバーで次のコマンドを実行する必要があります。

1. sshを介してユーザーsupportとしてOracle Audit Vault 20.8サーバーにログインします。

   $ ssh support@AV_instance_ip_address

2. ユーザーrootに切り替えます。

   support $ su – root

3. /var/lib/oracle/dbfw/av/jlib/agent.jarおよび/var/lib/oracle/dbfw/av/jlib/avcli.jarファイルの権限を確認します。それらが次のようになっている必要があります。

   # ls -l /var/lib/oracle/dbfw/av/jlib/agent.jar

   -rw-r-----. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar

   # ls -l /var/lib/oracle/dbfw/av/jlib/avcli.jar

   -rw-r-----. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar

4. これらのファイルのバックアップを取得します(次の/bin/cp -pを使用してファイル権限を保持します)。

   # /bin/cp -p /var/lib/oracle/dbfw/av/jlib/agent.jar /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   # /bin/cp -p /var/lib/oracle/dbfw/av/jlib/avcli.jar /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

   # ls -l /var/lib/oracle/dbfw/av/jlib/agent.jar /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   元のファイルとそのバックアップとでファイル権限と所有権が同じであることを確認します。

   -rw-r-----. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar

   -rw-r-----. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   # ls -l /var/lib/oracle/dbfw/av/jlib/avcli.jar /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

   -rw-r-----. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar

   -rw-r-----. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

5. 次について権限を更新します。/var/lib/oracle/dbfw/av/jlib/agent.jarおよび

   /var/lib/oracle/dbfw/av/jlib/avcli.jar

   # /bin/chmod 644 /var/lib/oracle/dbfw/av/jlib/agent.jar

   # /bin/chmod 644 /var/lib/oracle/dbfw/av/jlib/avcli.jar

   元のファイルとそのバックアップについて、ファイル権限と所有権をもう一度確認します。

   # ls -l /var/lib/oracle/dbfw/av/jlib/agent.jar /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   -rw-r--r--. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar

   -rw-r-----. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   # ls -l /var/lib/oracle/dbfw/av/jlib/avcli.jar /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

   -rw-r--r--. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar

   -rw-r-----. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

   /var/lib/oracle/dbfw/av/jlib/agent.jarおよび/var/lib/oracle/dbfw/av/jlib/avcli.jarに対する権限が追加されています。そのバックアップと比較すると、/var/lib/oracle/dbfw/av/jlib/agent.jarおよび/var/lib/oracle/dbfw/av/jlib/avcli.jarに対する権限が増えています。

   これで、標準プロセスの使用によるOracle Key VaultとOracle Audit Vault 20.8の統合に進むことができるようになりました。

   統合が正常に完了した後に、Oracle Audit Vault 20.8ファイルに対する権限をそれらの元の値に戻すことができます。これを行うには、次のようにします。

1. 次によってユーザーsupportとしてOracle Audit Vault 20.8サーバーにログインします。

   ssh: $ ssh support@AV_instance_ip_address

2. ユーザーrootに切り替えます。

   $ su – root

3. /var/lib/oracle/dbfw/av/jlib/agent.jarおよび/var/lib/oracle/dbfw/av/jlib/avcli.jarファイルの権限を確認します。

   それらが次のようになっている必要があります。

   # ls -l /var/lib/oracle/dbfw/av/jlib/agent.jar /var/lib/oracle/dbfw/av/jlib/avcli.jar

   -rw-r--r--. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar

   -rw-r--r--. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar
4. それらのファイルをバックアップでリストアします。

   # /bin/cp -pf /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp /var/lib/oracle/dbfw/av/jlib/agent.jar

   # /bin/cp -pf /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp /var/lib/oracle/dbfw/av/jlib/avcli.jar

5. もう一度権限を確認します。今度は、それらのファイルの権限と所有権がバックアップと同じになっています。

   # ls -l /var/lib/oracle/dbfw/av/jlib/agent.jar /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   -rw-r-----. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar

   -rw-r-----. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   # ls -l /var/lib/oracle/dbfw/av/jlib/avcli.jar /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

   -rw-r-----. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar

   -rw-r-----. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

   Oracle Key VaultとOracle Audit Vault 20.8の統合を削除する場合は、同じ回避策を適用する必要があります。

1.4.1.16 Oracle Key Vaultエンドポイント・ユーティリティは、KeyStoreパスワードとは異なるパスワードを持つキーを含むJava KeyStoreのアップロード時にエラーをスローする

問題: Oracle Key Vaultエンドポイント・ユーティリティokvutilでは、Java KeyStoreに格納されているキーをOracle Key Vaultサーバーにアップロードできます。Java KeyStoreに、KeyStoreパスワードとは異なるパスワードで保護されているキーが含まれている場合、ユーティリティはエラー"Error: Cannot Invoke JKS Method"を表示し、KeyStoreに格納されているオブジェクトのアップロードに失敗します。

回避策: 回避策は、Java KeyStoreと、KeyStoreに格納されているすべてのパスワード保護キーに同じパスワードを設定し、okvutilを使用してKeyStoreをOracle Key Vaultサーバーにアップロードし、パスワードが異なる必要がある場合はリセットすることです。

キーストア・パスワードを変更するには:

1. $ keytool -storepasswd -keystore keystorename
2. キーストア・パスワードの入力: <old password>
3. 新規キーストア・パスワード: <new password>
4. 新規キーストア・パスワードの再入力: <new password>

個々のキー・パスワードを変更するには:

1. $keytool -keypasswd -keystore keystorename -alias <alias>
2. キーストア・パスワードの入力: <keystore password>
3. キー・パスワードの入力: <alias> <old key password>
4. 新規キー・パスワードの入力: <alias>: <new key password>
5. 新規キー・パスワードの再入力: <alias>: <new key password>

   パスワードを変更できない場合、回避策は、okvutilを使用して、keyStore全体を'JKS'ではなく'OTHER'タイプのオブジェクトとしてアップロードすることです。このアプローチに従うと、KeyStoreはサーバー上の不透明オブジェクトとして格納され、他のメカニズムによってパスワードを追跡する必要があります。これにより、バックアップおよび配布のためにKeyStoreを一元化されたリポジトリに格納できますが、オブジェクト・レベルの粒度でキーおよび証明書を管理することはできません。

   バグ番号: 22818588

1.4.1.17 ブラウザ表示言語が英語でない場合、Oracle Key Vault操作が失敗する

問題: ブラウザ表示言語が英語(US)に設定されていない場合に、ノードをクラスタに変換するなどのOracle Key Vault操作が失敗します。

回避策: ブラウザ表示言語が英語(US)に設定されていることを確認します。

バグ番号: 34367236

1.4.1.18 終了改行文字'\n'を持つファイルからメッセージ・ダイジェストに署名するRESTfulサービス・ユーティリティ・コマンドが失敗する

問題: 終了改行文字を含むファイルからメッセージ・ダイジェストに署名するとき、RESTfulサービス・ユーティリティ・コマンドokv crypto data signが次のエラーで失敗します。

okv crypto data sign --message-file sha256digest.txt --message-type
DIGEST --uuid EA6127A0-C71F-4F70-BF67-83117B84A03B
--digital-signature-algorithm RSASSA_PKCS1_v1_5_SHA256
{
  “result” : “Failure”,
  “message” : “Invalid message digest: f5637684ab00418ba9c60a6e50bf4dd56906b22409236ff01b5657d511de45b0\n. Invalid hash length for SHA256 hash algorithm: 65”
}

回避策: 次の回避策のいずれかを使用できます:

1. RESTfulサービス・ユーティリティ・コマンドokv crypto data signで署名する前に、メッセージ・ダイジェストを含むファイルから改行文字を削除します。
2. okvutilを使用して、ファイルからメッセージ・ダイジェストに署名します。ユーティリティokvutilは、終了改行文字を含むファイルからメッセージ・ダイジェストに正常に署名できます。

バグ番号:35403701

1.4.1.19 大規模ファイルに署名するRESTfulサービス・ユーティリティ・コマンドがエラー・スタックで失敗する

問題: 大規模ファイルに署名するときに、RESTfulサービス・ユーティリティ・コマンドokv crypto data signがエラー・スタックで失敗します。1 GBより大きいファイルに署名するとき、このエラーが発生する可能性があります。

回避策: 次の回避策のいずれかを使用して、大規模ファイルに署名できます:

1. まず、opensslなどの他のツールを使用してファイルのメッセージ・ダイジェストを生成します。その後、コマンドokv crypto data signを使用してメッセージ・ダイジェストに署名できます。
2. okvutilユーティリティを使用して、大規模ファイルに署名します。

バグ番号: 35398179

1.4.2 アップグレードの問題

この項では、Oracle Key Vaultのアップグレードに関連する問題について説明します。

• アップグレードする前にペア解除されたOKVシステムでは、DB_UNIQUE_NAMEをリセットする必要がある
  
• アップグレードしたプライマリ/スタンバイOracle Key Vault 18.xサーバーのペア解除が権限の問題で失敗することがある
  
• プライマリ・サーバーのアップグレード時にOracle Key Vault 21.1および21.2から21.6へのプライマリ/スタンバイ・アップグレードが失敗する
  

1.4.2.1 アップグレードする前にペア解除されたOKVシステムでは、DB_UNIQUE_NAMEをリセットする必要がある

問題: ペア解除される前はOracle Key Vault 12.2高可用性(現在はプライマリ-スタンバイ)構成の一部で、その後アップグレードされたOracle Key Vaultシステムでは、DB_UNIQUE_NAMEパラメータにDBFWDB_HA1またはDBFWDB_HA2が設定されています。このパラメータは、システムをクラスタ・モードに変換する前に、DBFWDBにリセットする必要があります。そうしないと、クラスタへのノードの追加に失敗します。

回避策: Oracle Key Vault 12.2高可用性構成のプライマリ・サーバーであり、現在のリリースのOracle Key Vaultにアップグレードされる前にペア解除されたシステムの場合、アップグレードが正常に完了した後、クラスタ・ノードに変換する前に、次のコマンドをシステムで実行する必要があります。

1. sshを使用してユーザーsupportとしてプライマリOracle Key Vaultシステムにログインします。

   $ ssh support@okv_instance_ip_address

2. rootユーザーに切り替えます。

   support$ su - root

3. /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリの所有者およびグループを確認します。

   root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb

   出力は次のようになります。

   drwxr-xr-x 2 root   oinstall  4096 Apr 24 22:01 metadata_pv

4. 前述の例のようにディレクトリの所有者がユーザーrootの場合は、次のコマンドを実行します。

   root# chown oracle:oinstall /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv

   ファイルをリストして、所有者がoracleになったことを確認します。

   root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb

   出力は次のようになります。

   drwxr-xr-x 2 oracle oinstall 4096 Apr 24 22:01 metadata_pv

5. ユーザーoracleに切り替えます。

   root# su oracle

6. SQL*Plusを開始します。

   oracle$ sqlplus / as sysdba

7. 次の文を実行します。

   show parameter db_unique_name;

8. DB_UNIQUE_NAMEがDBFWDB以外である場合は、次のコマンドを実行します。

   alter system set db_unique_name='DBFWDB' scope=spfile;
   exit

9. rootユーザーとして、次のコマンドを実行します。

   oracle$ service dbfwdb stop
   oracle$ service dbfwdb start

10. DB_UNIQUE_NAMEパラメータが変更されたことを確認します。
    SQL*Plusを開始します。

    oracle$ sqlplus / as sysdba

11. 次の文を実行します。

    show parameter db_unique_name

    返される出力は次の出力と一致するはずです。

    NAME                  TYPE        VALUE
    --------------------- ----------- -----------
    db_unique_name        string      DBFWDB

バグ番号: 29696058

1.4.2.2 アップグレードしたプライマリ/スタンバイOracle Key Vault 18.xサーバーのペア解除が権限の問題で失敗することがある

問題: Oracle Key Vaultの現在のリリースへのアップグレードを完了した後、プライマリ/スタンバイ構成からペア解除しようとすると、次のメッセージが/var/log/debugファイルに書き込まれて失敗することがあります。

ORA-48141: error creating directory during ADR initialization: [/var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv]
ORA-48189: OS command to create directory failed

回避策: Oracle Key Vault 18.1にアップグレードされたプライマリ-スタンバイ構成でペア解除する前に、次のステップを使用して/var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリに正しい権限が設定されていることを確認してください。

1. sshを使用してユーザーsupportとしてプライマリOracle Key Vaultシステムにログインします。

   $ ssh support@okv_instance_ip_address

2. rootユーザーに切り替えます。

   support$ su - root

3. /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリの権限を確認します。

   root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb

   出力は次のようになります。

   drwxr-xr-x 2 root   oinstall  4096 Apr 24 22:01 metadata_pv

4. 前述の例のようにディレクトリの所有者がユーザーrootの場合は、次のコマンドを実行します。

   root# chown oracle:oinstall /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv

   ファイルをリストして、所有者がoracleになったことを確認します。

   root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb

   出力は次のようになります。

   drwxr-xr-x 2 oracle oinstall 4096 Apr 24 22:01 metadata_pv

バグ番号: 29693700

1.4.2.3 プライマリ・サーバーのアップグレード時にOracle Key Vault 21.1および21.2から21.6へのプライマリ/スタンバイ・アップグレードが失敗する

問題: Oracle Key Vaultプライマリ/スタンバイ・デプロイメントをリリース21.1および21.2から21.6にアップグレードするとき、プライマリ・サーバーのアップグレードが失敗します。

回避策: Oracle Key Vaultのプライマリ/スタンバイ・デプロイメントをマルチマスター・クラスタにアップグレードすることをお薦めします。Oracle Key Vaultプライマリ/スタンバイ・デプロイメントは非推奨になりました。

Oracle Key Vaultリリース21.1または21.2のプライマリ/スタンバイ・デプロイメントをマルチマスター・クラスタにアップグレードするには、次のステップに従ってアップグレードします:

• 最初にプライマリ/スタンバイOracle Key Vaultサーバーをペア解除します
• 2つのサーバーのペアが解除された後、プライマリ・サーバーとスタンバイ・サーバーはスタンドアロン・モードで動作します。エンドポイントから古いスタンバイ(現在のスタンドアロン) Oracle Key Vaultサーバーに接続できないようにするには、その古いスタンバイをネットワークから除去する必要があります。
• スタンドアロン・サーバー(古いプライマリ)をOracle Key Vaultリリース21.6にアップグレードします。
• Oracle Key Vaultスタンドアロン・サーバーをマルチマスター・クラスタに変換します。古いスタンバイをクラスタの新しいノードとして追加することはできません。リリース21.6で新しいスタンドアロンOracle Key Vaultサーバーをインストールしてから、クラスタに追加する必要があります。

リリース21.6へのアップグレード後にOracle Key Vaultプライマリ/スタンバイ・デプロイメントを引き続き使用する場合は、次のステップに従ってアップグレードします:

• 最初にプライマリ/スタンバイOracle Key Vaultサーバーをペア解除します。
• 2つのサーバーのペアが解除された後、プライマリ・サーバーとスタンバイ・サーバーはスタンドアロン・モードで動作します。エンドポイントから古いスタンバイ(現在のスタンドアロン) Oracle Key Vaultサーバーに接続できないようにするには、その古いスタンバイをネットワークから除去する必要があります。
• スタンドアロン・サーバー(古いプライマリ)をOracle Key Vaultリリース21.6にアップグレードします。
• Oracle Key Vaultリリース21.6で新しいスタンドアロン・サーバーをインストールします。
• アップグレードしたサーバーをプライマリ/スタンバイ・モードで新しいサーバーとペアにします。アップグレード後に古いスタンバイを新しいスタンバイ・サーバーとして追加することはできません。

バグ番号: 35394085

1.4.3 プライマリ/スタンバイの問題

この項では、プライマリ/スタンバイ構成に固有のOracle Key Vaultの問題について説明します。

• プライマリ/スタンバイ・ペアでのスイッチオーバー時に、監査証跡がリモートのsyslogに送信されない
  
• 管理された停止がプライマリOKVで行われたときに、フェイルオーバーの問題が発生する
  
• プライマリおよびスタンバイが異なるRO制限モード構成の場合にHA設定が成功する
  
• HA 12.2 BP5からペア解除し、新しいOKVサーバーに再度ペアリングしてもスタンドアロンと表示される
  
• プライマリ/スタンバイでのフェイルオーバーでSSHトンネル・ステータスが無効として表示される
  
• プライマリのDNS更新がスタンバイで反映されない
  

1.4.3.1 プライマリ/スタンバイ・ペアでのスイッチオーバー時に、監査証跡がリモートのsyslogに送信されない

説明: プライマリにsyslogが構成されている場合は、監査ログもsyslogに書き込まれます。スイッチオーバー時に、監査ログがsyslogに書き込まれないことがあります。これはスタンバイにsyslogが構成されていないためです。syslogはプライマリとスタンバイで別個に構成する必要があります。

回避策: スイッチオーバー後にスタンバイにsyslogを構成し、監査ログがsyslogに書き込まれるようにします。

バグ番号: 28790364

1.4.3.2 管理された停止がプライマリOKVで行われたときに、フェイルオーバーの問題が発生する

問題: プライマリ/スタンバイ・ペアのプライマリOracle Key Vaultノードでは、管理された停止が定期的に実行される可能性があります。たとえば、ユーザーが、管理コンソールの電源オフ・ボタンを押すか、端末から停止コマンドを実行して、停止を実行します。これが発生すると、フェイルオーバー操作は行われず、スタンバイOracle Key Vaultノードはプライマリ・サーバーとして引き継ぎません。これはプライマリOracle Key Vaultサーバーの/var/lock/subsys/dbfwdbファイルの存在によって予想できます。管理された停止時にプライマリにこのファイルが存在する場合、フェイルオーバーは行われません。存在しない場合は、フェイルオーバーが行われます。

プライマリでの電源喪失、データベースの障害などの他の状況では、このファイルが存在しているかどうかにかかわらず、フェイルオーバーは引き続き行われます。

回避策: スタンバイ・ノードが新しいプライマリ・ノードとして引き継がれるように管理された停止を実行する場合は、かわりにスイッチオーバーを実行します。

バグ番号: 29666606

1.4.3.3 プライマリおよびスタンバイが異なるRO制限モード構成の場合にHA設定が成功する

問題: プライマリ/スタンバイ構成を行うとき、ペアリング前に一方のOracle Key Vaultサーバーでは読取り専用制限モードが有効にされ、他方のOracle Key Vaultサーバーでは無効にされている場合に、構成が成功します。プライマリ-スタンバイ・デプロイメントでは、この不一致は問題と混乱に繋がる場合があります。

回避策: Oracle Key Vault管理コンソールを使用して、両方のサーバーに同じ読取り専用制限モード状態が適用されていることを確認します。これを行うには、「System」タブを選択して、「Primary-Standby」を選択します。「Allow Read-Only Restricted Mode」オプションを選択します。その後、各サーバーにプライマリ-スタンバイ構成を適用します。

バグ番号: 26536033

1.4.3.4 HA 12.2 BP5からペア解除し、新しいOKVサーバーに再度ペアリングしてもスタンドアロンと表示される

問題: Oracle Key Vault 12.2.0.5.0以降を実行しているペア解除されたOracle Key Vaultプライマリ・サーバーを新しくインストールされたOracle Key Vaultサーバーとペアリングした場合、「Primary-Standby」ページの「Current status」でサーバーがスタンドアロン・モードであると表示されます。スタンドアロン・ステータスは、プライマリ-スタンバイ構成が失敗したことを示します。プライマリ-スタンバイ設定が失敗するのは、プライマリ・サーバーのSSH構成が再度有効にされないためです。

回避策: Oracle Key Vaultが実行されているペア解除されたOracle Key Vaultプライマリ・サーバーをペアリングする前に、SSH構成を無効にして再度有効にします。プライマリ・サーバーをスタンバイ・サーバーとペア解除して、プライマリ・サーバーでプライマリ-スタンバイ構成を実行した後に、SSH構成を無効にして再度有効にする必要があります。

ノート:

Oracle Key Vaultが実行されているペア解除されたOracle Key Vaultプライマリ・サーバーをペアリングする前に、他のすべてのブラウザ・インスタンスを閉じたことを確認します。

バグ番号: 26617880

1.4.3.5 プライマリ/スタンバイでのフェイルオーバーでSSHトンネル・ステータスが無効として表示される

問題: フェイルオーバー操作の後、新しいOracle Key Vaultプライマリ・サーバーでSSHトンネルの正しいステータスが表示されません。SSHトンネルが使用可能になったときに、SSHトンネルが無効として表示されます。ダッシュボードにもSSHトンネルの設定が失敗したことを警告するアラートが表示されます。これは、フェイルオーバー操作の後、同じサービス・エンドポイントとしてのデータベースに対してOracle Key Vaultが2つのSSHトンネルを確立しようとするためであり、間違ったステータスとなり、ダッシュボードにアラートが表示されます。サービス・エンドポイントとしてのデータベースへの2番目のSSHトンネルは、Oracle Key Vaultサーバーとサービス・エンドポイントとしてのデータベースの間の接続性に影響しません。サービス・エンドポイントとしてのデータベースへの最初のSSHトンネルは、フェイルオーバー後に機能して使用可能です。

回避策: フェイルオーバー後、新しいOracle Key Vaultプライマリ・サーバーでは、使用可能という正しいSSHステータスが表示され、サービス・エンドポイントとしてのデータベースに接続されます。サービス・エンドポイントとしてのデータベースでokvutil listを使用して、SSHトンネルのステータスを確認することもできます。

バグ番号: 24679516

1.4.3.6 プライマリのDNS更新がスタンバイで反映されない

問題: DNS更新は各Oracle Key Vaultサーバーに固有であるため、プライマリのDNS更新はスタンバイに自動的に反映されません。

回避策: プライマリ・サーバーとスタンバイ・サーバーの両方で同じDNS値を設定してから、プライマリ/スタンバイ構成にペアリングすることをお薦めします。

バグ番号: 26618613

1.4.4 マルチマスター・クラスタの問題

この項では、マルチマスター・クラスタ構成に固有のOracle Key Vaultの問題について説明します。

• 18.1クラスタで読取り/書込みノードを強制削除してからアップグレードすると、上位バージョンで、強制削除されたノードを置換できないことがある
  
• Oracle Key Vault 18.1、18.2または18.3のクラスタ・ノードからのバックアップ(その後アップグレードされ、別のクラスタの作成に使用)で、読取り/書込みピアを追加できないことがある
  
• 完全にアップグレードされていないクラスタ内のアップグレード済ノードでキーを作成できない
  
• 12.2 BP4以前からのアップグレードの場合、クラスタに変換する前に証明書をローテーションする必要がある
  
• サーバー証明書のローテーション後にクラスタ・サービス・ステータスが停止になる
  
• OGGバグ32079454が原因で配布パスが断続的に失敗し、レプリケーションが中断する
  
• MDNDよりも時間がかかる場合、Oracle Key Vaultでは有効化が終了しないようにする必要がある
  
• 再起動後の読取り専用制限モードでの読取り/書込みノード
  
• OKVクラスタで複数のシステム障害が発生した後に、レプリケーションの再開が失敗することがある
  
• OGGに引き続き必要なアーカイブ・ログのRMANによる自動クリーン・アップ
  
• 候補ノードに変換された後にOKVノードで変更されたシステム設定がコントローラ・ノードに反映されない
  
• パスワードの期限切れアラートが発生すると、管理者に電子メール・ストームが送信される
  

1.4.4.1 18.1クラスタで読取り/書込みノードを強制削除してからアップグレードすると、上位バージョンで、強制削除されたノードを置換できないことがある

問題: 読取り/書込みノードを強制削除するときは、まず、停止する必要があります。しかし、GoldenGateのバグ30413969が原因で、強制削除されたノードを停止すると、削除されたノードの読取り/書込みピア・ノードでのダウンストリーム抽出が完全にはクリーンアップされません。このバグの回避策は、Oracle Key Vaultバージョン18.2以上では存在します。ただし、読取り/書込みノードが強制削除されたOracle Key Vault 18.1マルチマスター・クラスタからアップグレードする場合、アップグレード後にノードを置換しようとすると、バージョン18.1で強制削除が発生したときにクリーンアップが実行されなかったため、依然として成功しません。

回避策: 次のステップは慎重に実行する必要があります。これらのステップを誤ったOracle Key Vaultサーバーで実行するとレプリケーションが中断され、ステップを実行されたノードを強制削除する必要があります。

シナリオ例: ノードAおよびBは読取り/書込みピアです。ノードBをクラスタから強制削除しました。ノードAは、GoldenGateのバグ30413969が原因で、完全にはクリーンアップされていない可能性があります。アップグレードの前後で、別のノードをノードAの読取り/書込みピアとして追加しようとする前に、ノードAで次のステップを実行してクリーンアップを終了します。

ssh support@Oracle_Key_Vault_IP_address
su - root
su - oracle
/var/lib/oracle/dbfw/bin/sqlplus / as sysdba
exec sys.dbms_xstream_adm.drop_outbound('OGG$OKV_DEXT');
exec sys.dbms_streams_adm.remove_queue('OGG$Q_OKV_DEXT', TRUE, TRUE);

前述のステップがノードAで正常に実行されたら、それをコントローラ・ノードとして使用し、別のノードをノードAの読取り/書込みピアとしてクラスタに追加できます。

バグ番号: 31216736

1.4.4.2 Oracle Key Vault 18.1、18.2または18.3のクラスタ・ノードからのバックアップ(その後アップグレードされ、別のクラスタの作成に使用)で、読取り/書込みピアを追加できないことがある

問題: クラスタ・ノードで作成されたバックアップをスタンドアロンOracle Key Vaultサーバーにリストアする場合、Oracle Key Vault上のデータベースのglobal_nameは、バックアップが作成されたクラスタ・ノードのglobal_nameに応じて、DBFWDB.DBFWDBまたはDBFWDB_HA2.DBFWDBのいずれかになります。global_nameがDBFWDB_HA2.DBFWDBで、スタンドアロンOracle Key Vaultサーバーがクラスタ・ノードに変換される場合、global_nameの不一致が原因で、読取り/書込みピア・ノードを正常に追加できません。グローバル名は、バージョン18.4以上では、バックアップのリストア時に修正されますが、バックアップが下位バージョンで作成およびリストアされた場合、18.4以上にアップグレードした後でも問題は解消されません。

回避策: バックアップをスタンドアロンOracle Key Vaultサーバーにリストアした後で、次のステップを実行してからサーバーをクラスタ・ノードに変換します。最初のselect文は、global_nameがDBFWDB_HA2.DBFWDBであることを確認するためのものです。このselect文で返されたglobal_nameがDBFWDB_HA2.DBFWDBでない場合、またはサーバーがすでにクラスタ・ノードに変換されている場合は、global_nameの更新を続行しないでください。

ssh support@Oracle_Key_Vault_IP_address
su - root
su - oracle
/var/lib/oracle/dbfw/bin/sqlplus / as sysdba
select global_name from global_name;
alter database rename global_name to DBFWDB.DBFWDB;

バグ番号: 31241245

1.4.4.3 完全にアップグレードされていないクラスタ内のアップグレード済ノードでキーを作成できない

問題: マルチマスター・クラスタがOracle Key Vaultリリース21.4へのアップグレードの途中である場合、アップグレードされたクラスタ・ノードで対称キーの作成操作が失敗します。まだアップグレードされていないノードでは、対称キーの作成操作が正常に続行されます。クラスタの最後の読取り/書込みペアをアップグレードしているときに、マルチマスター・クラスタで新しい対称キーを作成することはできません。アップグレード中、データベースのキー更新や新しいデータベースのエンロールなどの操作は失敗します。マルチマスター・クラスタのアップグレードが完了すると、対称キーの作成操作や登録操作が再開されます。

回避策: 2つを超えるノードを含むマルチマスター・クラスタをアップグレードする場合は、バグ33974435のパッチを適用することによって、アップグレードした読取り/書込みノードの対称キー作成または登録操作を継続して使用できます。これは、アップグレード後、クラスタに対してノードを再び有効化する前に、各クラスタノードに適用されます。

バグ番号: 33974435

1.4.4.4 12.2 BP4以前からのアップグレードの場合、クラスタに変換する前に証明書をローテーションする必要がある

問題: Oracle Key Vault 12.2 BP4以前からアップグレードし、アップグレードしたOracle Key Vaultサーバーをクラスタ・ノードに変換する前に新しい証明書を生成しないと、次のエラー・メッセージが表示されます。

Failed to convert server to cluster node, detected use of weak signature
algorithms in OKV server credentials. Please perform a certificate rotation
operation before converting this server to a cluster node.

回避策: 次の2つのステップで、Oracle Key Vaultリリース18.4にアップグレードします。

1. Oracle Key Vault 12.2 BP4から12.2 BP11にアップグレードして、証明書ローテーション操作を実行します。
2. Oracle Key Vault 12.2 BP11からOracle Key Vaultリリース18.4にアップグレードします。

Oracle Key Vault 12.2 BP11で証明書のローテーションを実行する方法の詳細は、リリース12.2のOracle Key Vault管理者ガイドを参照してください。

バグ番号: 30673249

1.4.4.5 サーバー証明書のローテーション後にクラスタ・サービス・ステータスが停止になる

問題: サーバー証明書をローテーションすると、証明書を置換するために複数のプロセスが停止します。ただし、通常の状況では、停止後すぐに再起動されます。証明書のローテーション中またはその後、「Monitoring」ページの「Cluster」タブで、1つ以上のクラスタ・サービスが稼働していないことを示す下向き矢印が「Cluster Services Status」に表示されることがあります。これにより、このノードとの間でのレプリケーションが中断します。数分を超えて解消されない場合、このバグが発生した可能性があります。

回避策: この問題が発生した場合は、「Monitoring」ページの「Restart Cluster Services」ボタンをクリックして、クラスタ・サービスの再起動を試行します。数分後、ページをリフレッシュします。「Cluster Services Status」に赤い下向き矢印がまだ表示される場合は、Oracleサポートに問い合せてください。

バグ番号: 31371440

1.4.4.6 OGGバグ32079454が原因で配布パスが断続的に失敗し、レプリケーションが中断する

問題: Oracle GoldenGateバグ32079454のため、配布パスでSSLエラーが断続的に発生し、失敗して自動的に再起動されません。これにより、非読取り/書込みピア・ノード間のレプリケーションが中断する可能性があります。その他の副作用は、PENDINGステータスからACTIVEステータスに遷移してPENDINGステータスでスタックするオブジェクトです。レプリケーション・ラグ・アラートも表示されます。配布パスが失敗した可能性があるかどうかを確認するには、「Cluster」タブの「Monitoring」ページで「Cluster Link State」セクションの赤い下向き矢印を探します。

回避策: 「Cluster」タブの「Monitoring」ページでクラスタ・リンクを再起動しても問題が解決しない場合は、ノードを再起動してから、「Monitoring」ページに赤い下向き矢印が表示されないことを確認します。

バグ番号: 32079491

1.4.4.7 MDNDよりも時間がかかる場合、Oracle Key Vaultでは有効化が終了しないようにする必要がある

問題: 「Maximum Disable Node Duration」時間制限より前にOracle Key Vaultノードを有効または無効にしたが、「Maximum Disable Node Duration」時間制限が失効する前に有効化が終了しない場合、クラスタ内の不一致の原因となるアーカイブ・ログおよび証跡ファイルのクリーン・アップが行われる可能性があります。この場合、有効化プロセスを終了させないでください。

回避策: 有効化を終了するのに「Maximum Disable Node Duration」期間より長くかかる場合、クラスタからノードを削除または強制削除します。

バグ番号: 30533066

1.4.4.8 再起動後の読取り専用制限モードでの読取り/書込みノード

問題: 読取り/書込みノードを再起動すると、ノードまたはその読取り/書込みピアが読取り専用制限モードでスタックすることがあります。

回避策: ノードを再起動する際、ノードの読取り/書込みピア・ノードが一時的に読取り専用制限モードで稼働するのは正常です。ただし、ノードの起動が完了するとすぐに、読取り/書込みピアは数分以内に読取り/書込みモードに戻ります。再起動されたノードは読取り専用制限モードで起動することがありますが、同様に数分以内に読取り/書込みモードに戻ります。ただし、ノードまたはその読取り/書込みピアが読取り専用制限モードのままになっていない場合、REDO送信がスタックしている可能性があります。読取り専用制限モードのままでノードを再起動すると修正できます。

バグ番号: 30589921

1.4.4.9 OKVクラスタで複数のシステム障害が発生した後に、レプリケーションの再開が失敗することがある

問題: GoldenGateのバグ29624366が原因で、Oracle Key Vaultクラスタで複数のシステム障害が発生した後に、一部のノードからのレプリケーションの再開に失敗することがあります。特に、これが発生すると、GoldenGateのReplicatが終了し、GoldenGate証跡ファイルの新しい変更ログを処理できません。

回避策: そのようなReplicatの位置を手動で変更して、証跡ファイル内のエラーのあるレコードをスキップするか、障害の発生したOracle Key Vaultノードをクラスタから強制的に削除し、新しいノードを追加してそれに置き換えます。

バグ番号: 29700647

1.4.4.10 OGGに引き続き必要なアーカイブ・ログのRMANによる自動クリーン・アップ

問題: RMANは、高速リカバリ領域のアーカイブ・ログを自動的に管理します。通常の状況では、Oracle GoldenGateで引き続き必要とされているアーカイブ・ログはRMANによって削除されません。ただし、領域が不足すると、RMANは必要なアーカイブ・ログをクリーン・アップすることがあります。このようなアーカイブ・ログがクリーン・アップされると、現在のノードからノードの読取り/書込みピア・ノードを除いた他のすべてのノードへのレプリケーションが中断されます。Oracle Key Vaultでは、高速リカバリ領域の定期的なクリーン・アップを実行してこの問題を緩和しようとしますが、まれに、高速リカバリ領域が一杯になり、この問題が発生することがあります。

回避策: 高速リカバリ領域での領域不足の原因を特定し、問題を修正します。ディスク領域にタブを保持することで、高速リカバリ領域での領域不足を特定できます。高速リカバリ領域は、/var/lib/oracle/fast_recovery_area/下にあります。この問題が原因でレプリケーションが中断した場合は、ノードのリモート・バックアップを作成してから、クラスタから強制的に削除してください。そのノードで作成されたすべてのキーまたはその他のオブジェクトがクラスタ内の他のすべてのノードにも存在することを確認し、存在しない場合は手動で再アップロードする必要があります。

バグ番号: 30558372

1.4.4.11 候補ノードに変換された後にOKVノードで変更されたシステム設定がコントローラ・ノードに反映されない

問題: Oracle Key Vaultノードが候補ノードに変換された後にシステム設定が変更され、コントローラ・ノードがその候補ノードの設定を最初に検証しようとして失敗した場合、更新された設定はコントローラ・ノードに反映されません。ペアリング・プロセスは、コントローラおよび候補ノードの両方で中断する必要があります。

回避策: なし。コントローラ・ノードと候補ノードの両方でペアリング・プロセスを中断します。必要に応じて、候補ノードのシステム設定を変更し、ペアリング・プロセスを再試行します。

バグ番号: 29430349

1.4.4.12 パスワードの期限切れアラートが発生すると、管理者に電子メール・ストームが送信される

問題: Oracle Key Vaultユーザーのパスワードの有効期限は、マルチマスター・クラスタ環境の様々なノードで若干異なる場合があります。これにより、各ノードで発生するアラートのテキストが異なるため、各Oracle Key Vaultノードが多数の電子メールを送信する可能性があります。

回避策: 「User Password Expiration」アラートのすべての電子メールおよび通知が送信されないようにするには、アラートを無効にします。アラートを無効にするには、「Configure Alerts」ページにナビゲートし、「User Password Expiration」の横にある「Enabled」チェック・ボックスの選択を解除して、「Save」をクリックします。

バグ番号: 34095430

1.4.5 ソフトウェア開発キットの問題

Oracle Key Vaultソフトウェア開発キット(SDK)には、Oracle Key Vaultサーバーを操作する際に次の問題があります。

• 属性追加または登録APIを使用して、オブジェクト・タイプに対してサポートされていない属性が追加された場合、サーバーはその属性をKMIPオブジェクトに追加し、サーバーはエラーを表示しません。

  影響を受けるAPI: okvAddAttribute、okvCreateKey、okvRegKey、okvRegSecretData、okvRegOpaqueData、okvRegTemplate、okvRegPrivateKey、okvRegPublicKey、okvRegCertificateRequest、okvRegCertificate

• 登録、追加、変更および削除APIのリクエストTTLVで、単一インスタンス属性の属性索引の値として正の整数が渡されると、サーバーは索引0で属性を追加/変更/削除し、リクエストで渡された索引に関係なく成功を返します。

  影響を受けるAPI: okvAddAttribute、okvModifyAttribute、okvDeleteAttribute、okvCreateKey、okvRegKey、okvRegSecretData、okvRegOpaqueData、okvRegPrivateKey、okvRegPublicKey、okvRegCertificateRequest、okvRegCertificate

• 変更および削除APIのリクエストTTLVで複数インスタンス属性の属性索引の値として無効な整数が渡された場合、サーバーは属性値を変更または削除せず、エラーもスローしません。

  影響を受けるAPI: okvModifyAttribute、okvDeleteAttribute

• サーバーは、リクエストTTLVに渡された暗号化使用マスク値を検証せず、属性の追加および変更の場合に値が追加されます。

  影響を受けるAPI: okvModifyAttribute、okvAddAttribute、okvCreateKey、okvRegKey、okvRegSecretData、okvRegPrivateKey、okvRegPublicKey、okvRegCertificate

• Oracle Key Vaultサーバーは現在、リクエストTTLVの名前のタイプに関係なく、すべての場合に名前属性のタイプを「未解釈のテキスト文字列」として格納します。

  影響を受けるAPI: okvAddAttribute、okvModifyAttribute、okvDeleteAttribute、okvCreateKey、okvRegKey、okvRegSecretData、okvRegOpaqueData、okvRegPrivateKey、okvRegPublicKey、okvRegCertificateRequest、okvRegCertificate

• 無効なカスタム属性識別子が変更または削除のためにリクエストTTLVに渡された場合、サーバーは成功を返し、属性値は変更または削除されません。

  影響を受けるAPI: okvModifyAttribute、okvDeleteAttribute

• 複数の単一インスタンス属性がリクエストTTLVに追加された場合、エラーはスローされず、最初の値が追加されます。

  影響を受けるAPI: okvCreateKey、okvRegKey、okvRegSecretData、okvRegOpaqueData、okvRegTemplate、okvRegPrivateKey、okvRegPublicKey、okvRegCertificateRequest、okvRegCertificate

• SDKを使用して作成されたオブジェクトは、現在、okvutilではダウンロードできません。okvutil downloadコマンドを実行しようとすると、警告WARNING: Could not store <Unique Identifier of the object>が表示される場合があります。指定されたウォレットへのSDK (見つかった場合)を介して作成されたキー、シークレットおよびオブジェクトのダウンロードをスキップしているため、この警告は無視しても問題ありません。今後のリリースで同じサポートが提供される予定です。

• 署名アルゴリズムとしてSHA-DSAを使用する証明書がCSDKを使用してOracle Key Vaultにアップロードされると、証明書は属性なしでOracle Key Vaultにアップロードされます。このような証明書を含むシークレット・オブジェクトがokvutilを使用してアップロードされた場合、証明書は暗号化アルゴリズムおよび暗号長属性なしでアップロードされます。このような証明書のすべての属性が必要な場合は、JSDKを使用して証明書をOracle Key Vaultにアップロードします。

1.5 Oracle Key Vaultに関する考慮事項

Oracle Key Vaultのこのリリースの動作の詳細および変更点を次に示します。

• Oracle TDEとOracle Key Vaultの統合
  
• レポートがマルチマスター・クラスタの監査レプリケーションの影響を受ける
  
• マルチマスター・クラスタでの更新は単一インスタンスでの更新より遅い
  

1.5.1 Oracle TDEとOracle Key Vaultの統合

使用しているOracle DatabaseのバージョンおよびTDEの機能によっては、スムーズな運用のためにOracleデータベースにパッチ適用する必要がある場合があります。

Oracle Key Vaultを使用してTDE対応Oracleデータベースを設定する場合、アプリケーションの可用性の中断を最小限にするスムーズな移行には、いくつかのステップが必要です。『Oracle Database Advanced Securityガイド』で、単一インスタンス、マルチテナントData GuardについてはOracle Data Guard環境でのTDEおよびOracle Key Vaultの構成、および2ノードRACについてはマルチテナント環境でのOracle RACのTDEおよびOracle Key Vaultの構成を参照してください。

MOS-NOTEには、Oracle Key Vaultをキーストアとして使用するように構成されたOracle Database Transparent Data Encryption (TDE)機能の既知の問題がリストされています。このドキュメントには問題を解決するための修正もリストされており、Oracle Database TDEとOracle Key Vaultをよりスムーズに統合できます。問題は、不具合、簡略化された操作によるユーザーの負荷の軽減、またはTDEとOracle Key Vaultの統合の改善です。このドキュメントは、データベース管理者、およびOracle Key Vaultを使用してTDEマスター・キーを管理する担当のユーザーを対象としています。

1.5.2 レポートがマルチマスター・クラスタの監査レプリケーションの影響を受ける

ホームページのOracle Key Vaultのレポートおよび詳細は、Oracle Key Vault監査レコードから生成されます。監査レプリケーションがオフにされている場合、各ノードにはそのノードで行われた操作のレポートが表示されます。監査レプリケーションがオンにされている場合、各ノードにはクラスタのすべてのノードで行われた操作のレポートが表示されます。

監査レプリケーションをオフにして、Oracle Audit Vault and Database Firewall (AVDF)などのセキュリティ情報およびイベント管理(SIEM)ソリューションを使用して、すべてのノードから監査レコードを収集することをお薦めします。

1.5.3 マルチマスター・クラスタでの更新は単一インスタンスでの更新より遅い

マルチマスター・クラスタの更新ではオブジェクトの存在がチェックされることがあり、クラスタ内のすべてのノードがスキャンされて更新操作が遅くなります。時間はクラスタ内のノード数に比例して増加します。更新は完了までに数分かかることがあります。

TDEマスター暗号化キーの設定およびローテーションが、更新操作の例です。

1.6 サポート対象データベースのバージョン

次のバージョンのOracle Databaseは、Oracle Key Vaultのこのリリースでサポートされます。

• 互換性パラメータを11.2または12.1に設定したOracle DB 12.1.0.2
• Oracle DB 12.2.0.1
• Oracle DB 18c
• Oracle DB 19c
• Oracle DB 21c

1.7 リリース21.6に含まれているクリティカル・パッチ更新

Oracle Key Vaultリリース21.6では、2022年7月のOracle Database用リリース更新(19.16 DB RU)である7月リリース更新を組み込むために、基盤となっているインフラストラクチャが更新されました。詳細についてはサインインしてください。

https://www.oracle.com/security-alerts/cpujul2022.html

Oracle Key Vaultリリース21.6には、JavaおよびOracle Linux (OL8U9)オペレーティング・システムのセキュリティおよび安定性に関する修正も含まれています。

1.8 ドキュメントのアクセシビリティ

Oracleのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWeb サイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。

Oracleサポートへのアクセス

サポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。詳細情報はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoか、聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。

---

タイトルおよび著作権情報

Oracle Key Vaultリリース・ノート, リリース21.6

F83750-01

2023年5月

Copyright © 2014, 2023, Oracle and/or its affiliates. 

原本著者: Monika Sharma

原本協力者: Mark Doran

原本協力著者: Radhika Siravara、Alexis Abell、Ajay Srivastava、Dongwon Park、Fahad Ibrar、Shubham Goyal、Peter Wahl