14 Oracle Key Vaultのエンドポイントのエンロールおよびアップグレード

エンドポイントがOracle Key Vaultに登録された後、エンドポイント管理者がエンドポイントをエンロールおよびプロビジョニングしてKey Vaultのセキュリティ・オブジェクトを管理します。

• エンドポイントのエンロールとプロビジョニングについて
  エンドポイントは、サーバーを使用してセキュリティ・オブジェクトの格納と管理、信頼できるピアとの共有、およびそれらの取得を実行するOracle Key Vaultクライアントです。
• エンロールとプロビジョニングのファイナライズ
  登録済エンドポイントをエンロールおよびプロビジョニングするには、エンドポイント管理者がokvclient.jarファイルをダウンロードしてインストールする必要があります。
• 環境変数およびエンドポイント・プロビジョニングのガイダンス
  Oracle Key Vaultがユーティリティにアクセスできるように、JAVA_HOMEやOKV_HOMEなどの環境変数を正しく設定する必要があります。
• Oracle Key Vaultクライアント・ソフトウェアを使用しないエンドポイント
  サード・パーティのKMIPエンドポイントでは、Oracle Key Vaultソフトウェアのokvutilおよびliborapkcs.soは使用されません。
• Transparent Data Encryptionエンドポイント管理
  Oracle Key Vaultは、TDEが外部キーストアとの通信に使用するのと同じPKCS#11インタフェースを使用することで、TDEキーを管理できます。
• エンドポイントokvclient.ora構成ファイル
  Oracle Key Vaultエンドポイント・ライブラリおよびユーティリティでは、エンドポイントに関連付けられた構成パラメータを格納するokvclient.ora構成ファイルが使用されます。
• 変更が禁止されているokvclient.oraパラメータ
  okvclient.ora構成ファイルには、変更が禁止されている構成パラメータが含まれています。
• エンドポイント・ソフトウェアのアップグレード
  エンドポイント・ソフトウェアは、Oracle Key Vault管理コンソールのログイン・ウィンドウからアップグレードできます。

14.1 エンドポイントのエンロールとプロビジョニングについて

エンドポイントは、サーバーを使用してセキュリティ・オブジェクトの格納と管理、信頼できるピアとの共有、およびそれらの取得を実行するOracle Key Vaultクライアントです。

これらのクライアントは、Oracle Databaseサーバー、Oracleミドルウェア・サーバー、オペレーティング・システム、その他の情報システムなどのシステムとなります。

Oracle Key Vaultからの対称キーの抽出をfalseに(抽出されないように)構成する場合は、最初にエンドポイントをOracle Key Vaultリリース21.4にアップグレードすることが重要です。

Oracle Key Vaultシステム管理者は、最初にエンドポイントをKey Vaultに追加(または登録)してから、エンドポイントのエンロール・トークン(登録時に生成)をエンドポイント管理者に送信します。エンドポイント管理者は、エンドポイントをエンロールおよびプロビジョニングする前に、エンロール・トークンを検証します。エンロールされたエンドポイントでは、Key Vaultを使用してセキュリティ・オブジェクトをアップロード、ダウンロードおよび管理できます。

エンドポイント・エンロールは、次の表に示す3つのステップで構成されるプロセスであり、2種類の管理ユーザーによって実行されます。

表14-1 エンドポイント・エンロールの概要

ステップ#	タスク	実行担当者	エンドポイント・ステータス(Oracle Key Vault管理コンソールでの表示)
1.	システム管理者またはエンドポイント管理権限を持つユーザーがエンドポイントを作成します。 これがOracleデータベースの場合は、キー管理者が仮想ウォレットを作成します。 システム管理者が、Oracle Key Vaultにエンドポイントを追加または登録します。エンドポイントのエンロール・トークンが生成されます。 システム管理がエンロール・トークンをエンドポイント管理者に送信して、エンロール・プロセスを完了します。	Oracle Key Vaultのシステム管理者ロールおよびキー管理者ロールを持つユーザー、またはエンドポイント管理権限を持つユーザー	Registered
2.	エンロール・トークンを検証します。 エンロール・トークンを送信して、エンドポイント・ソフトウェアokvclient.jarをエンドポイントにダウンロードします。	Oracle Key Vault管理コンソールを使用するエンドポイント管理者	Enrolled
3.	エンドポイントにokvclient.jarをインストールします。	エンドポイント上のエンドポイント管理者	Enrolled

エンドポイント・エンロールにより、許可されたエンドポイントのみがOracle Key Vaultと通信できるようになります。これは、通信に必要なユーティリティがokvclient.jarエンドポイント・ソフトウェア・ファイルとともにバンドルされているためです。

okvclient.jarの内容は次のとおりです。

• エンドポイントでOracle Key Vaultに対する自己認証に使用されるTransport Layer Security (TLS)証明書と秘密キー

• ルートCAとして機能するOracle Key VaultのTLS証明書

• エンドポイント・ライブラリとユーティリティ

• okvutilでokvclient.ora構成ファイルを作成するために使用されるOracle Key Vault IPアドレスなどの追加情報

Oracle Real Application Clusters (RAC)環境では、各Oracle RACノードをエンドポイントとしてエンロールおよびプロビジョニングする必要があります。Oracle RAC対応の各データベースは、Oracle Key Vaultの1つの仮想ウォレットに対応します。そのデータベースの各Oracle RACインスタンスは、Oracle Key Vaultのエンドポイントに対応します。各データベースのすべてのエンドポイントは、デフォルト・ウォレットとして同じウォレットを共有します。インスタンスごとに1つの個別のokvclient.jarをダウンロードする必要があります。

14.2 エンロールとプロビジョニングのファイナライズ

登録済エンドポイントをエンロールおよびプロビジョニングするには、エンドポイント管理者がokvclient.jarファイルをダウンロードしてからインストールする必要があります。

• ステップ1: エンドポイントのエンロールとソフトウェアのダウンロード
  エンドポイント・ソフトウェアokvclient.jarをダウンロードする前に、エンドポイントのエンロール・トークンが必要です。
• ステップ2: エンドポイント環境の準備
  正しいバージョンのJava Development Toolkit (JDK)があり、Oracle環境変数が設定されていることを確認する必要があります。
• ステップ3: エンドポイントへのOracle Key Vaultソフトウェアのインストール
  ダウンロードした okvclient.jarファイルを使用してエンドポイントをインストールできます。
• ステップ4: インストール後タスクの実行
  インストール後の手順には、必要に応じてエンドポイントへのTDE接続の構成、インストールの内容の確認、およびokvclient.jarファイルの削除が含まれます。

14.2.1 ステップ1: エンドポイントのエンロールとソフトウェアのダウンロード

エンドポイント・ソフトウェアokvclient.jarをダウンロードする前に、エンドポイントのエンロール・トークンが必要です。

Oracle Key Vaultシステム管理者は、エンドポイントの登録後、そのエンドポイントのエンロール・トークンを電子メールまたはその他のバンド外の方式によってエンドポイント管理者に送信します。

1. エンドポイント管理者としてエンドポイント・サーバーにログインします。
2. Oracle Key Vault管理コンソールに接続します。
   たとえば:

   https://192.0.2.254

   Oracle Key Vault管理コンソールへのログイン・ページが表示されます。ログインしないでください。

3. 「Login」ボタンの下にある「Endpoint Enrollment and Software Download」ボタンをクリックします。
   「Enroll Endpoint & Download Software」ページが表示されます。

   
   図21_endpoint_download_fresh.pngの説明

4. エンドポイントがOracle Key Vaultシステム管理者によって登録された場合は、次を実行します。
   1. 「Enrollment Token」にエンドポイントのエンロール・トークンを入力し、「Submit Token」をクリックします。

      トークンが有効である場合は、「Enrollment Token」フィールドの下に有効なトークン・メッセージが表示されます。「Endpoint Type」、「Endpoint Platform」、「Email」および「Description」の各フィールドには、エンドポイントの登録中に入力された値が自動的に移入されます。

      トークンが無効である場合は、そのことを示すメッセージが表示されます。トークンを確認し、ダウンロード手順を再試行してください。

   2. ページの右上隅にある「Enroll」をクリックします。
5. 表示されるディレクトリ・ウィンドウで、プロンプトに従ってokvclient.jarエンドポイント・ソフトウェア・ファイルを保存します。
   ファイルを保存するディレクトリに移動する必要があります。
6. 他者が読み取ったりコピーできないように、適切な権限が設定されたセキュアなディレクトリにファイルを保存します。
7. ファイルがダウンロードされていることを確認します。
   ダウンロードが失敗した場合は、エンドポイントのキー管理者から新しいエンロール・トークンを取得し、ステップ4から始まるステップを繰り返す必要があります。ファイルをエンドポイント・システムにダウンロードしなかった場合は、バンド外の方式を使用してファイルをそのシステムにコピーし、そこでインストールする必要があることに注意してください。

この段階で、エンドポイントにOracle Key Vaultのokvclient.jarソフトウェア・ファイルをインストールする準備が整い、エンドポイント環境の準備を開始できます。

14.2.2 ステップ2: エンドポイント環境の準備

Java Development Toolkit (JDK)の正しいバージョンがあり、Oracle環境変数が設定されていることを確認する必要があります。

1. エンドポイントにソフトウェアをインストールするために必要な管理権限があることを確認します。
2. JDK 1.6以降がインストールされており、PATH環境変数にjava実行可能ファイル(JAVA_HOME/binディレクトリ内)が含まれていることを確認します。
   Oracle Key Vaultは、JDKバージョン1.6、7および8をサポートしています。64ビット版のJavaが必要です。
3. シェル・ユーティリティのoraenvまたはsource oraenvコマンドを実行して、Oracle Databaseサーバーに正しい環境変数を設定します。
4. 環境変数ORACLE_BASEおよびORACLE_HOMEが正しく設定されていることを確認します。
   • oraenvを使用してこれらの変数を設定した場合は、ORACLE_BASEがOracle Databaseのルート・ディレクトリを指し、ORACLE_HOMEがORACLE_BASEの下位のサブディレクトリ(Oracleデータベースのインストール先)を指していることを確認する必要があります。
5. オンラインTDEマスター暗号化キー管理用に構成されたOracleデータベースのエンドポイント・ソフトウェアをインストールする場合は、データベースを停止します。
6. エンドポイント管理者として、Oracleデータベース・サーバーを停止します。

14.2.3 ステップ3: エンドポイントへのOracle Key Vaultソフトウェアのインストール

ダウンロードした okvclient.jarファイルを使用してエンドポイントをインストールできます。

ノート:

エンロール済エンドポイントで最新のエンドポイント・ソフトウェアにアップグレードするには、エンドポイント・ソフトウェアをダウンロードします。そのエンドポイントの再エンロールは必要ありません。

1. エンドポイント管理者としてエンドポイント・サーバーにログインしていることを確認します。

   ノート:

   オンラインTDEマスター暗号化キー管理用に構成されたOracleデータベースのエンドポイント・ソフトウェアをインストールする場合は、データベースを停止します。
2. Oracleデータベースが停止していることを確認します。
3. okvclient.jarファイルを保存したディレクトリに移動します。
4. ターゲット・ディレクトリが存在し、空であることを確認してください。
5. javaコマンドを実行して、okvclient.jarファイルをインストールします。

   java -jar okvclient.jar -d /home/oracle/okv_home -v

   このように指定した場合:

   • -dでは、エンドポイント・ソフトウェアと構成ファイルのディレクトリの場所(この例では/home/oracle/okv_home)を指定します。

   • -vを指定すると、サーバー・エンドポイントで/home/oracle/okv_home/log/okvutil.deploy.logファイルにインストール・ログが書き込まれます。

   -oは、okvclient.jarが元のディレクトリ以外のディレクトリにデプロイされている場合に、okvclient.oraへのシンボリック・リンク参照を上書きできるようにするオプションの引数です。この引数は、エンドポイントを再エンロールする場合にのみ使用されます。

   ノート:

   Oracle Database Windowsエンドポイント・システムにokvclient.jarファイルをインストールする場合は、okvclient.jarファイルをインストールするJavaコマンドが管理者権限で実行されていて、$ORACLE_BASE/okv/$ORACLE_SID/ or $ORACLE_HOME/okv/$ORACLE_SIDがNTFSまたはReFSファイルシステムの有効なパスであることを確認してください。これを行わないと、Windowsプラットフォームではインストール時に $ORACLE_BASE/okv/$ORACLE_SID/okvclient.oraまたは$ORACLE_HOME/okv/$ORACLE_SIDソフトリンクを作成するために管理者権限が必要であり、ソフトリンクの作成はNTFSまたはReFSファイルシステムでのみサポートされているため、インストールが失敗することがあります。
6. パスワードの入力を求められたら、次の2つのステップのいずれかを実行します。
   オプション・パスワードは、okvutilとADMINISTER KEY MANAGEMENTの2つの場所に設定します。okvutilに指定すると、そのパスワードを知っているユーザーのみがOracle Key Vaultに対してコンテンツをアップロードまたはダウンロードできます。ADMINISTER KEY MANAGEMENTに指定すると、IDENTIFIED BY password句でそのパスワードを使用する必要があります。パスワードを指定しないと、okvutil uploadおよびdownloadコマンドでパスワードの入力が求められず、ADMINISTER KEY MANAGEMENTのパスワードはNULLになります。
   パスワードを処理するための選択肢は次のとおりです。
   • パスワード保護されたウォレットを作成する場合は、少なくとも8文字から30文字のパスワードを入力して[Enter]を押します。セキュリティを向上させるために、大文字、小文字、特殊文字および数字をパスワードに含めることをお薦めします。次の特殊文字を使用できます: ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、スペース。

     Enter new Key Vault endpoint password (<enter> for auto-login): Key_Vault_endpoint_password
     Confirm new endpoint password: Key_Vault_endpoint_password
     

     パスワード保護ウォレットは、エンドポイントがOracle Key Vaultにアクセスするために使用する資格証明を格納したOracle Walletファイルです。エンドポイントがOracle Key Vaultに接続するときには、このパスワードが常に必要です。

   • または、パスワードを入力せずに、[Enter]を押します。
   エンドポイント・ソフトウェアが正常にインストールされると、次のディレクトリが作成されます。

   • bin: okvutilプログラム、root.shおよびroot.batスクリプト、バイナリ・ファイルokveps.x64が含まれています。

   • conf: 構成ファイルokvclient.oraが含まれています。

   • jlib: Javaライブラリ・ファイルが含まれています。

   • lib: ファイルliborapkcs.soが含まれています。

   • log: ログ・ファイルが含まれています。

   • ssl: TLS関連のファイルおよびウォレット・ファイルが含まれています。ウォレット・ファイルには、Oracle Key Vaultへの接続に使用されるエンドポイント資格証明が含まれています。

     ewallet.p12ファイルはパスワード保護ウォレットを表します。cwallet.ssoファイルは自動ログイン・ウォレットを表します。

   ノート:

   パスワードで保護されたウォレットを使用することをお薦めします。

14.2.4 ステップ4: インストール後タスクの実行

インストール後の手順には、必要に応じてエンドポイントへのTDE接続の構成、インストールの内容の確認、およびokvclient.jarファイルの削除が含まれます。

1. そのエンドポイントのPKCS#11ライブラリを更新します。
   UNIXプラットフォームのliborapkcs.soファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれています。Windowsプラットフォームのliborapkcs.dllファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれています。
   エンドポイントでOracle Key VaultによるオンラインTDEマスター暗号化キー管理が使用されている場合は、root.shまたはroot.bat スクリプトを使用することでPKCS#11ライブラリをインストールする必要があります。

   ノート:

   • root.shまたはroot.batスクリプトを実行してOracle Key VaultのPKCS#11ライブラリをインストールする必要があるのは、マスター暗号化キー管理にOracle Key Vaultを使用する複数のTDE対応Oracleデータベースがあるホスト・マシンで1回のみです。
   • 必ず、同じホスト・マシンにあるすべてのTDE対応データベースのOracle Key Vaultエンドポイントのインストールが完了した後にのみ、root.shまたはroot.batスクリプトを実行してください。
   • このホストにあるすべてのTDE対応Oracleデータベースが停止していることを確認してください。
   • Oracle Linux x86-64、Solaris、AIXおよびHP-UX (IA)のインストールの場合: rootとしてログインし、次のいずれかのコマンドを実行します。

     $ sudo bin/root.sh
     

     または

     $ su -
     # bin/root.sh
     

     このコマンドにより、ディレクトリ・ツリー/opt/oracle/extapi/64/hsm/oracle/1.0.0が作成され、所有権および権限が変更されて、PKCS#11ライブラリがこのディレクトリにコピーされます。

   • Windowsインストールの場合: 次のコマンドを実行します。

     bin\root.bat

     このコマンドは、liborapkcs.dllファイルをC:\oracle\extapi\64\hsm\oracle\1.0.0ディレクトリにコピーします。

2. nameiやls -lなどのコマンドを使用して、インストール・ターゲット・ディレクトリの/confサブディレクトリに実在するファイルを指すソフト・リンクが$ORACLE_BASE/okv/$ORACLE_SID/okvclient.oraに作成されたことを確認します。
   ORACLE_BASE環境変数が設定されていない場合は、$ORACLE_HOME/okv/$ORACLE_SIDにソフトリンクが作成されています。
3. このホスト・マシンにあるすべてのTDE対応データベースのOracle Key Vaultエンドポイントのアップグレードのインストールが完了したら、Oracleデータベースを起動します。
4. okvutil listコマンドを実行して、エンドポイント・ソフトウェアが正しくインストールされ、エンドポイントからOracle Key Vaultサーバーに接続できることを確認します。

   $ ./okvutil list

   エンドポイントからKey Vaultに接続できる場合は、「No objects found」というメッセージが表示されます。「Server connect failed」というメッセージが表示された場合は、インストールで問題が発生していないかどうかトラブルシューティングする必要があります。環境変数が正しく設定されていることを確認します。エンドポイント・ソフトウェアに関するヘルプを取得するには、次のコマンドを実行します。

   java -jar okvclient.jar -h
   
   

   出力は、次のようになります。

   Production on Fri Apr 12 15:03:01 PDT 2019
   Copyright (c) 1996, 2019 Oracle. All Rights Reserved.
   Usage:
     java -jar okvclient.jar [-h | -help] [[-v | -verbose] [-d <destination directory>] [-o]]
   
   Options:
     -h or -help : Display command help.
     -v or -verbose : Turn on the verbose mode. Logs will be written to files under
                      <destination directory>/log/ directory.
     -d <destination directory> : Specify the software installation directory.
     -o : Overwrite the current symbolic link to okvclient.ora.
   

14.3 環境変数およびエンドポイント・プロビジョニングのガイダンス

Oracle Key Vaultがユーティリティにアクセスできるように、JAVA_HOMEやOKV_HOMEなどの環境変数を正しく設定する必要があります。

• JAVA_HOMEの場所の決定方法
  okvclient.oraファイルのデフォルトの場所は、$OKV_HOME/confディレクトリです。
• okvclient.oraファイルの場所と環境変数
  $OKV_HOMEは、インストール中に-dオプションで指定されたエンドポイント・ソフトウェアのインストール先ディレクトリです。
• 非データベース・ユーティリティとOracle Key Vaultの通信に必要なOKV_HOMEの設定
  非データベース・ユーティリティの場合、エンドポイント・ソフトウェアのインストール先ディレクトリを指すように環境変数OKV_HOMEを設定する必要があります。
• sqlnet.oraファイルの環境変数
  Oracle Databaseエンドポイントでsrvctlユーティリティを使用している場合は、複数のポイントを考慮する必要があります。

14.3.1 JAVA_HOMEの場所の決定方法

okvclient.oraファイルのデフォルトの場所は、$OKV_HOME/confディレクトリです。

エンドポイントをプロビジョニングする場合、インストール・プロセスによってJavaホームの場所およびokvclient.oraファイルの場所が決定される方法を把握する必要があります。

エンドポイント・ソフトウェアのインストール・プロセスでは、次のルールに基づいてJavaホームの場所が決定されます。

• ユーザー定義のJAVA_HOME環境変数が存在する場合、インストール・プロセスではこの値が使用されます。

• JAVA_HOMEが設定されていない場合、インストール・プロセスでは、Java仮想マシン(JVM)のjava.homeシステム・プロパティ内が検索されます。

インストール・プロセスでは、決定されたJAVA_HOMEパスが、すべてのokvutilコマンドで使用されるokvclient.ora構成ファイルに追加されます。

次の方式の1つを使用することで、okvutilに、異なるJAVA_HOME設定を強制的に使用させることができます。

• okvutilを実行するシェルにJAVA_HOME環境変数を設定します。

  setenv JAVA_HOME path_to_Java_home
  

  または

  export JAVA_HOME = path_to_Java_home
  

• okvclient.ora構成ファイルで直接JAVA_HOMEプロパティを設定します。

  JAVA_HOME=path_to_Java_home

okvclient.oraでJAVA_HOME変数を設定した後で、エンドポイント・データベースを再起動します。

okvclient.oraファイルのJAVA_HOME環境変数の設定の値を定期的に手動で更新する必要がある場合があります。これは、新しいバージョンのJavaがインストールされ、以前のバージョンのJavaが削除された場合に発生することがあります。これを行うには、okvclient.oraがデータベース・プロセスによって上書きされないように、まずエンドポイント・データベースを停止します。次に、okvclient.oraのJAVA_HOMEの値を手動で更新します。

14.3.2 okvclient.oraファイルの場所と環境変数

$OKV_HOMEディレクトリは、インストール中に-dオプションで指定する、エンドポイント・ソフトウェアのインストール先ディレクトリです。

okvclient.oraファイルは、$OKV_HOME/confディレクトリ内の構成ファイルです。

インストール・プロセスでは、$OKV_HOME/confファイルに加えて、既存のデータベースのokvclient.oraへのソフト・リンクも作成されます。ソフト・リンクの場所は次のことによって異なります。

• $ORACLE_BASE環境変数が設定されている場合、インストール・プロセスは、($OKV_HOME/confの) okvclient.ora構成ファイルへのソフト・リンクを$ORACLE_BASE/okv/$ORACLE_SIDの場所に作成します。

  okvclient.oraへのソフト・リンクが$ORACLE_BASE/okv/$ORACLE_SIDの場所にすでに存在する場合、インストール・プロセスは、okvclient.oraへの既存のソフト・リンクを有効なソフト・リンクとして承認します。

• $ORACLE_BASE/okv/$ORACLE_SIDディレクトリが設定されていない場合、インストール・プロセスは作成しようと試みます。

• $ORACLE_HOME環境変数は設定されているが、$ORACLE_BASE変数は設定されていない場合、インストール・プロセスは、$ORACLE_HOME/okv/$ORACLE_SIDの場所のソフト・リンクを作成して、$OKV_HOME/confディレクトリにある構成ファイルを参照します。

14.3.3 非データベース・ユーティリティとOracle Key Vaultの通信に必要なOKV_HOMEの設定

非データベース・ユーティリティを使用する場合は、エンドポイント・ソフトウェアのインストール先ディレクトリを指すように環境変数OKV_HOMEを設定する必要があります。

インストール・プロセスではこの変数が自動的に設定されないため、OKV_HOMEを手動で設定する必要があります。OKV_HOMEを設定すると、ユーティリティはOracle Key Vaultと通信できます。これらのユーティリティとしては、Oracle Key Vaultにアクセスしてキーを取得するOracle Recovery Manager (RMAN)などがあります。

RMANなどのユーティリティを実行する予定のすべての環境で、OKV_HOMEを設定する必要があります。たとえば、新しいxtermウィンドウを起動する場合、RMANを実行する前にこの環境でOKV_HOMEを設定する必要があります。

14.3.4 sqlnet.oraファイルの環境変数

Oracle Databaseエンドポイントでsrvctlユーティリティを使用しているときは、いくつかの点について考慮する必要があります。

• srvctlユーティリティを使用し、かつsqlnet.ora構成ファイルに環境変数を含める場合は、それらの環境変数をオペレーティング・システムとsrvctl環境の両方で設定する必要があります。

• Oracle Databaseエンドポイントでsrvctlユーティリティを使用し、かつsqlnet.oraで環境変数を設定する場合は、オペレーティング・システムとsrvctl環境の両方で設定する必要があります。

• オペレーティング・システムとsrvctlユーティリティでは、$ORACLE_SID、$ORACLE_HOMEおよび$ORACLE_BASEが同じ値に設定される必要があります。

14.4 Oracle Key Vaultクライアント・ソフトウェアを使用しないエンドポイント

サード・パーティのKMIPエンドポイントでは、Oracle Key Vaultソフトウェアokvutilおよびliborapkcs.soは使用されません。

この場合、次の手順に従って、Transport Layer Security (TLS)認証を手動で設定する必要があります。

1. okvclient.jarファイルからsslディレクトリを抽出します。

   jar xvf okvclient.jar ssl
   

2. 次のファイルを使用してTLS認証をセットアップします。

   • ssl/key.pem: エンドポイント秘密キー

   • ssl/cert.pem: エンドポイント証明書

   • ssl/cert_req.pem: cert.pemに対応する証明書リクエスト

   • ssl/CA.pem: Oracle Key Vaultサーバー証明書を検証するためのトラスト・アンカー

14.5 Transparent Data Encryptionエンドポイント管理

Oracle Key Vaultは、TDEが外部キーストアと通信するために使用するのと同じPKCS#11インタフェースを使用してTDEキーを管理できます。

このため、Oracle Key Vaultを使用してTDEマスター暗号化キーを格納および取得するためにデータベースをパッチする必要はありません。Oracle Key Vaultでは、Oracle Key Vaultと通信するためのPKCS#11ライブラリを提供しています。

Oracle Key Vaultでは、TDEキーの管理が改善されています。たとえば、ウォレット内のキーは、長期保持、および同じエンドポイント・グループ内の他のデータベース・エンドポイントと共有するために、Oracle Key Vaultに直接アップロードできます。このため、移行の後、無期限にウォレットに格納する必要はありません。このコンテキストにおける移行とは、ウォレット・バックアップのためにOracle Key Vaultを使用するようデータベースが構成されていて、管理者がオンライン・マスター暗号化キー(旧称: TDE直接接続)への移行を意図していることを意味します。

引き続きウォレットを使用したり、WITH BACKUP SQL句を含むすべてのTDEキー管理SQL操作の一部として、ウォレットのコピーをOracle Key Vaultにアップロードすることができます。ただし、WITH BACKUP句は、ADMINISTER KEY MANAGEMENT文で必須である場合でも、Oracle Key Vaultオンライン・キー・デプロイメントではTDEによって無視されることに注意してください。

Oracle DatabaseとTDEはOracle Key Vaultのエンドポイントです。エンドポイントをエンロールおよびインストールすると、PKCS#11ライブラリは確実に正しい場所にインストールされ、TDEが取得して使用できます。PKCS#11ライブラリがインストールされると、他のすべての構成と操作が有効になります。

例14-1に、暗号化キーの設定の例を示します。

例14-1 暗号化キーの設定

ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY secret_passphrase -- For Oracle Database 11g Release 2

ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY IDENTIFIED BY secret_passphrase WITH BACKUP; -- For Oracle Database 12c or later

14.6 エンドポイントokvclient.ora構成ファイル

Oracle Key Vaultエンドポイント・ライブラリおよびユーティリティでは、エンドポイントに関連付けられた構成パラメータを格納するokvclient.ora構成ファイルが使用されます。

okvclient.oraファイルは、等号(=)で区切られた、キーと値の組から構成されています。少なくとも、エンドポイント構成ファイルに次のパラメータを設定します。

• SERVER=node1_IP:node1_port/node1_DN,node2_IP:node2_port/node2_DN,...

  このパラメータでは、Oracle Key VaultサーバーのIPアドレスとポート番号をコロン区切りで指定し、サーバーDNをスラッシュで区切って指定します。ポート番号を指定しない場合、デフォルトの標準KMIPポート5696が使用されます。

• STANDBY_SERVER=standby_server_IP:standby_server port

  これはスタンバイ・サーバーです。プライマリ・スタンバイが構成されている場合、このパラメータはスタンバイのIPアドレスを表示します。

• READ_SERVER=node1_IP:node1_port/node1_DN,node2_IP:node2_port/node2_DN,...

  このパラメータは、読取り専用サーバーのリストを指定します。

• SSL_WALLET_LOC=directory

  このパラメータは、エンドポイントのTLS証明書があるウォレットの場所を指定します。

• SERVER_POLL_TIMEOUT=timeout_value

  SERVER_POLL_TIMEOUTパラメータを使用すると、クライアントによるOracle Key Vaultサーバーへの接続の試行で、リスト内の次のサーバーを試行するまでのタイムアウトを指定できます。デフォルト値は300 (ミリ秒)です。

  Oracle Key Vaultでは、クライアントは最初にアクセス不可能なサーバーを迅速に検出するように、Oracle Key Vaultへの非ブロッキングのTCP接続を確立します。

  最初の試行後、クライアントは、サーバーへの第2および最終試行を実行しますが、今度はSERVER_POLL_TIMEOUTパラメータで指定された期間の2倍まで待機します。これは、考えられるネットワークの輻輳や遅延を克服するために行われます。

• PKCS11_PERSISTENT_CACHE_FIRST=valueは、永続マスター暗号化キー・キャッシュ操作モードを設定します。

okvclient.oraファイルのCONF_ID値は一意の内部値で、OracleデータベースでOracle Key Vault内の仮想ウォレットを検出するのに役立ちます。okvclient.oraファイルの設定は変更しないでください。かわりに、Oracle Key Vault管理コンソールを使用してエンドポイント構成パラメータを設定します。権限に応じて、個々のエンドポイントに対して設定することも、すべてのエンドポイントに対してグローバルに設定することもできます。

いくつかのokvclient.oraパラメータは、Oracle Key Vault管理コンソールを使用して変更できます。そのパラメータは、Oracle Key Vault管理コンソールでのみ変更する必要があります。権限に応じて、個々のエンドポイントに対してこれらのパラメータを設定することも、すべてのエンドポイントに対してグローバルに設定することもできます。

• PKCS11_CACHE_TIMEOUT=valueは、インメモリー・キャッシュにキャッシュされた後にマスター暗号化キーを使用できる期間(分単位)を指定します。Oracle Key Vault管理コンソールでは、この設定は、「Endpoint Settings」ページの「PKCS 11 In-Memory Cache Timeout ( in minutes )」です。

• PKCS11_PERSISTENT_CACHE_TIMEOUT=valueは、永続マスター暗号化キー・キャッシュにキャッシュされた後のマスター暗号化キーの使用可能期間を分単位で指定します。Oracle Key Vault管理コンソールでは、この設定は、「Endpoint Settings」ページの「PKCS 11 Persistent Cache Timeout ( in minutes )」です。

• PKCS11_PERSISTENT_CACHE_REFRESH_WINDOW=valueは、永続マスター暗号化キー・キャッシュにキャッシュされた後のマスター暗号化キーの使用可能期間を延長するために期間を分単位で指定します。Oracle Key Vault管理コンソールでは、この設定は、「Endpoint Settings」ページの「PKCS 11 Persistent Cache Refresh Window ( in minutes )」です。

• PKCS11_CONFIG_PARAM_REFRESH_INTERVAL=valueは、長時間実行されるプロセスがokvclient.ora構成ファイルを再読込みする頻度を設定します。Oracle Key Vault管理コンソールでは、この設定は、「Endpoint Settings」ページの「PKCS11 Configuration Parameter Refresh Interval ( in minutes )」です。

• SERVER_POLL_TIMEOUT=valueは、リスト内の次のサーバーを試行する前に、クライアントがOracle Key Vaultサーバーに接続しようとするタイムアウトを指定します。デフォルト値は300 (ミリ秒)です。Oracle Key Vault管理コンソールでは、この設定は、「Endpoint Settings」ページの「Server Poll Timeout ( in milliseconds )」です。

14.7 変更が禁止されているokvclient.oraパラメータ

okvclient.ora構成ファイルには、変更が禁止されている構成パラメータが含まれています。

これらのパラメータは、エンドポイントをOracle Key Vaultに追加すると自動的に移入されます。これらは変更しないでください。これらは次のとおりです。

• SERVER=node1_IP:node1_port/node1_DN,node2_IP:node2_port/node2_DN,...

  このパラメータでは、Oracle Key VaultサーバーのIPアドレスとポート番号をコロン区切りで指定し、サーバーDNをスラッシュで区切って指定します。ポート番号を指定しない場合、デフォルトの標準KMIPポート5696が使用されます。

• STANDBY_SERVER=standby_server_IP:standby_server port

  これはスタンバイ・サーバーです。プライマリ・スタンバイが構成されている場合、このパラメータはスタンバイのIPアドレスを表示します。

• READ_SERVER=node1_IP:node1_port/node1_DN,node2_IP:node2_port/node2_DN,...

  このパラメータは、読取り専用サーバーのリストを指定します。このパラメータは変更しないでください。エンドポイント・ノードが追加されると、Oracle Key Vaultによってこの設定が移入されます。

• SERVER_DN=CN=server_certification,OU=product,O=company,L=city,ST=state_or_province,C=country
• GEN_TIMESTAMP=timestamp_information

  このパラメータにより、エンドポイントで使用される日時書式が表示されます。

• UPDATE_TIMESTAMP=updated_timestamp

  このパラメータにより、構成ファイルが最後に更新された日付、時間およびタイムゾーンが表示されます。

• SW_TYPE=software_type

  このパラメータにより、エンドポイント・ソフトウェア・タイプ(ENROLLED_ENDPOINT_SOFTWAREなど)が表示されます。

• JAVA_HOME=path

  このパラメータにより、JAVA_HOME環境変数で定義されたディレクトリが表示されます。

• OKV_JVM_LIB_PATH=path

  このパラメータにより、OKV_JVM_LIB_PATH環境変数で定義されたディレクトリが表示されます。

• EP_TYPE=type

  このパラメータは、エンドポイントのタイプ(Oracle Databaseなど)を示します。

• OKV_HOSTNAME=host_name

  このパラメータは、Oracle Key Vaultが存在するホスト・サーバーを示します。

• SSL_WALLET_LOC=directory

  このパラメータは、エンドポイントのTLS証明書があるウォレットの場所を指定します。

• _NOT_STRICT_PKCS11=value

  このパラメータは、Oracle ACFSで使用する厳密なPKCS標準設定を示します。

• PKCS11_NO_KMIP_OBJECT_ACCESS_CHECK=value

  このパラメータは、エンドポイントがアクセス・チェックを実行するかどうかを示します。

• _TRACE_DIR=.

  このパラメータは、PKCSトレース・ファイルが生成される場所を示します。.文字(デフォルト)は、現在のディレクトリを意味します。

• _TRACE_LEVEL=0

  このパラメータは、PKCSトレースに設定されるトレース・レベルを決定します。デフォルトは0で、この場合はトレースが無効になります。16 (この場合は完全なトレースが有効になります)までの値を入力します。

• NUM_AFFINITY_RW_NODES=

  このパラメータは、クラスタの、エンドポイントと同じサブグループを持つ読取り/書込みノードの数を定義します。

• NUM_AFFINITY_RO_NODES=

  このパラメータは、クラスタの、エンドポイントと同じサブグループを持つ読取り専用ノードの数を定義します。

• CONF_IDは一意の内部値で、OracleデータベースでOracle Key Vault内の仮想ウォレットを検出するのに役立ちます。この値は変更しないでください。

14.8 エンドポイント・ソフトウェアのアップグレード

エンドポイント・ソフトウェアは、Oracle Key Vault管理コンソール・ログイン・ウィンドウからアップグレードできます。

• ステップ1: エンドポイント環境の準備
  適切な権限があり、エンドポイントにOracle環境変数などの正しい構成があることを確認します。
• ステップ2: エンドポイントへのOracle Key Vaultソフトウェアのダウンロード
  okvclient.jarファイルをローカル・コンピュータにダウンロードします。
• ステップ3: エンドポイントへのOracle Key Vaultソフトウェアのインストール
  Oracle Key Vaultソフトウェアをエンドポイントにインストールするには、エンドポイント管理者である必要があります。
• ステップ4: インストール後のタスクの実行
  インストールの完了後、TDEで使用されるライブラリを更新し、エンドポイント・ソフトウェアが正しくインストールされたことを確認できます。
• エンロール済エンドポイント上のエンドポイント・ソフトウェアのアップグレード
  Oracle Key Vaultの新しいリリースにアップグレードした際に、エンロールされたエンドポイントのエンドポイント・ソフトウェアをアップグレードする必要があります。

14.8.1 ステップ1: エンドポイント環境の準備

正しい権限があること、およびエンドポイントにOracle環境変数などの正しい構成があることを確認します。

これらのステップでは、以前のリリースのOracle Key Vaultでエンドポイントがすでにエンロールされていると仮定しています。

1. エンドポイントにソフトウェアをインストールするために必要な管理権限があることを確認します。
2. JDK 1.6以降がインストールされており、PATH環境変数にjava実行可能ファイル(JAVA_HOME/binディレクトリ内)が含まれていることを確認します。
   Oracle Key Vaultは、JDKバージョン1.6、7および8をサポートしています。64ビット版のJavaが必要です。
3. シェル・ユーティリティのoraenvまたはsource oraenvコマンドを実行して、Oracle Databaseサーバーに正しい環境変数を設定します。
4. 環境変数ORACLE_BASEおよびORACLE_HOMEが正しく設定されていることを確認します。
   • oraenvを使用してこれらの変数を設定した場合は、ORACLE_BASEがOracle Databaseのルート・ディレクトリを指し、ORACLE_HOMEがORACLE_BASEの下位のサブディレクトリ(Oracleデータベースのインストール先)を指していることを確認する必要があります。
5. オンラインTDEマスター暗号化キー管理用に構成されたOracleデータベースのエンドポイント・ソフトウェアをインストールする場合は、データベースを停止します。
6. エンドポイント管理者として、Oracleデータベース・サーバーを停止します。

14.8.2 ステップ2: エンドポイントへのOracle Key Vaultソフトウェアのダウンロード

okvclient.jarファイルをローカル・コンピュータにダウンロードします。

エンドポイントを再エンロールしなくても、エンドポイント・ソフトウェアをダウンロードできます。

1. エンドポイント管理者としてエンドポイント・サーバーにログインします。
2. Oracle Key Vault管理コンソールに接続します。
   たとえば:

   https://192.0.2.254

   Oracle Key Vault管理コンソールへのログイン・ページが表示されます。ログインしないでください。

3. ログイン・ページの右下隅にある「Login」で、「Endpoint Enrollment and Software Download」をクリックします。

   「Enroll Endpoint & Download Software」ページが表示されます。

4. ページの上部で、「Download Endpoint Software Only」タブをクリックします。
   図21_download_endpoint_software.pngの説明
5. 「Download Endpoint Software Only」ページで、「Platform」ドロップダウン・メニューからエンドポイント・プラットフォームを選択し、「Download Endpoint Software Only」をクリックします。
6. okvclient.jarファイルを任意の場所に保存します。

14.8.3 ステップ3: エンドポイントへのOracle Key Vaultソフトウェアのインストール

Oracle Key Vaultソフトウェアをエンドポイントにインストールするには、エンドポイント管理者である必要があります。

1. エンドポイント管理者としてエンドポイント・サーバーにログインしていることを確認します。

   ノート:

   オンラインTDEマスター暗号化キー管理用に構成されたOracleデータベースのエンドポイント・ソフトウェアをインストールする場合は、データベースを停止します。
2. Oracleデータベースが停止していることを確認します。
3. okvclient.jarファイルを保存したディレクトリに移動します。
4. ターゲット・ディレクトリが存在し、空であることを確認してください。
5. javaコマンドを実行して、okvclient.jarファイルをインストールします。

   java -jar okvclient.jar -d /home/oracle/okv_home -v

   このように指定した場合:

   • -dでは、エンドポイント・ソフトウェアと構成ファイルのディレクトリの場所(この例では/home/oracle/okv_home)を指定します。

   • -vを指定すると、サーバー・エンドポイントで/home/oracle/okv_home/log/okvutil.deploy.logファイルにインストール・ログが書き込まれます。

   -oは、okvclient.jarが元のディレクトリ以外のディレクトリにデプロイされている場合に、okvclient.oraへのシンボリック・リンク参照を上書きできるようにするオプションの引数です。この引数は、エンドポイントを再エンロールする場合にのみ使用されます。

   ノート:

   Oracle Database Windowsエンドポイント・システムにokvclient.jarファイルをインストールする場合は、okvclient.jarファイルをインストールするJavaコマンドが管理者権限で実行されていて、$ORACLE_BASE/okv/$ORACLE_SID/ or $ORACLE_HOME/okv/$ORACLE_SIDがNTFSまたはReFSファイルシステムの有効なパスであることを確認してください。これを行わないと、Windowsプラットフォームではインストール時に $ORACLE_BASE/okv/$ORACLE_SID/okvclient.oraまたは$ORACLE_HOME/okv/$ORACLE_SIDソフトリンクを作成するために管理者権限が必要であり、ソフトリンクの作成はNTFSまたはReFSファイルシステムでのみサポートされているため、インストールが失敗することがあります。
6. パスワードの入力を求められたら、次の2つのステップのいずれかを実行します。
   オプション・パスワードは、okvutilとADMINISTER KEY MANAGEMENTの2つの場所に設定します。okvutilに指定すると、そのパスワードを知っているユーザーのみがOracle Key Vaultに対してコンテンツをアップロードまたはダウンロードできます。ADMINISTER KEY MANAGEMENTに指定すると、IDENTIFIED BY password句でそのパスワードを使用する必要があります。パスワードを指定しないと、okvutil uploadおよびdownloadコマンドでパスワードの入力が求められず、ADMINISTER KEY MANAGEMENTのパスワードはNULLになります。
   パスワードを処理するための選択肢は次のとおりです。
   • パスワード保護されたウォレットを作成する場合は、少なくとも8文字から30文字のパスワードを入力して[Enter]を押します。セキュリティを向上させるために、大文字、小文字、特殊文字および数字をパスワードに含めることをお薦めします。次の特殊文字を使用できます: ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、スペース。

     Enter new Key Vault endpoint password (<enter> for auto-login): Key_Vault_endpoint_password
     Confirm new endpoint password: Key_Vault_endpoint_password
     

     パスワード保護ウォレットは、エンドポイントがOracle Key Vaultにアクセスするために使用する資格証明を格納したOracle Walletファイルです。エンドポイントがOracle Key Vaultに接続するときには、このパスワードが常に必要です。

   • または、パスワードを入力せずに、[Enter]を押します。
   エンドポイント・ソフトウェアが正常にインストールされると、次のディレクトリが作成されます。

   • bin: okvutilプログラム、root.shおよびroot.batスクリプト、バイナリ・ファイルokveps.x64が含まれています。

   • conf: 構成ファイルokvclient.oraが含まれています。

   • jlib: Javaライブラリ・ファイルが含まれています。

   • lib: ファイルliborapkcs.soが含まれています。

   • log: ログ・ファイルが含まれています。

   • ssl: TLS関連のファイルおよびウォレット・ファイルが含まれています。ウォレット・ファイルには、Oracle Key Vaultへの接続に使用されるエンドポイント資格証明が含まれています。

     ewallet.p12ファイルはパスワード保護ウォレットを表します。cwallet.ssoファイルは自動ログイン・ウォレットを表します。

   ノート:

   パスワードで保護されたウォレットを使用することをお薦めします。

14.8.4 ステップ4: インストール後タスクの実行

インストールの完了後、TDEで使用されるライブラリを更新し、エンドポイント・ソフトウェアが正しくインストールされたことを確認できます。

1. そのエンドポイントのPKCS#11ライブラリを更新します。
   UNIXプラットフォームのliborapkcs.soファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれています。Windowsプラットフォームのliborapkcs.dllファイルには、Oracle DatabaseがOracle Key Vaultと通信するために使用するライブラリが含まれています。
   エンドポイントでOracle Key VaultによるオンラインTDEマスター暗号化キー管理が使用されている場合は、root.shまたはroot.bat スクリプトを使用することでPKCS#11ライブラリをインストールする必要があります。

   ノート:

   • root.shまたはroot.batスクリプトを実行してOracle Key VaultのPKCS#11ライブラリをインストールする必要があるのは、マスター暗号化キー管理にOracle Key Vaultを使用する複数のTDE対応Oracleデータベースがあるホスト・マシンで1回のみです。
   • 必ず、同じホスト・マシンにあるすべてのTDE対応データベースのOracle Key Vaultエンドポイントのインストールが完了した後にのみ、root.shまたはroot.batスクリプトを実行してください。
   • このホストにあるすべてのTDE対応Oracleデータベースが停止していることを確認してください。
   • Oracle Linux x86-64、Solaris、AIXおよびHP-UX (IA)のインストールの場合: rootとしてログインし、次のいずれかのコマンドを実行します。

     $ sudo bin/root.sh
     

     または

     $ su -
     # bin/root.sh
     

     このコマンドにより、ディレクトリ・ツリー/opt/oracle/extapi/64/hsm/oracle/1.0.0が作成され、所有権および権限が変更されて、PKCS#11ライブラリがこのディレクトリにコピーされます。

   • Windowsインストールの場合: 次のコマンドを実行します。

     bin\root.bat

     このコマンドは、liborapkcs.dllファイルをC:\oracle\extapi\64\hsm\oracle\1.0.0ディレクトリにコピーします。

2. nameiやls -lなどのコマンドを使用して、インストール・ターゲット・ディレクトリの/confサブディレクトリに実在するファイルを指すソフト・リンクが$ORACLE_BASE/okv/$ORACLE_SID/okvclient.oraに作成されたことを確認します。
   ORACLE_BASE環境変数が設定されていない場合は、$ORACLE_HOME/okv/$ORACLE_SIDにソフトリンクが作成されています。
3. このホスト・マシンにあるすべてのTDE対応データベースのOracle Key Vaultエンドポイントのアップグレードのインストールが完了したら、Oracleデータベースを起動します。
4. okvutil listコマンドを実行して、エンドポイント・ソフトウェアが正しくインストールされ、エンドポイントからOracle Key Vaultサーバーに接続できることを確認します。

   $ ./okvutil list

   エンドポイントからKey Vaultに接続できる場合は、「No objects found」というメッセージが表示されます。「Server connect failed」というメッセージが表示された場合は、インストールで問題が発生していないかどうかトラブルシューティングする必要があります。環境変数が正しく設定されていることを確認します。エンドポイント・ソフトウェアに関するヘルプを取得するには、次のコマンドを実行します。

   java -jar okvclient.jar -h
   
   

   出力は、次のようになります。

   Production on Fri Apr 12 15:03:01 PDT 2019
   Copyright (c) 1996, 2019 Oracle. All Rights Reserved.
   Usage:
     java -jar okvclient.jar [-h | -help] [[-v | -verbose] [-d <destination directory>] [-o]]
   
   Options:
     -h or -help : Display command help.
     -v or -verbose : Turn on the verbose mode. Logs will be written to files under
                      <destination directory>/log/ directory.
     -d <destination directory> : Specify the software installation directory.
     -o : Overwrite the current symbolic link to okvclient.ora.
   

14.8.5 エンロール済エンドポイント上のエンドポイント・ソフトウェアのアップグレード

Oracle Key Vaultの新しいリリースにアップグレードした場合は常に、エンロールされたエンドポイントのエンドポイント・ソフトウェアをアップグレードする必要があります。

これにより、Oracle Key Vaultサーバーとエンドポイントの両方に最新のソフトウェアがインストールされていることが保証されます。パフォーマンスを最適化するために、これをお薦めします。Oracle Key Vaultサーバーは、以前のメジャー・リリースのエンドポイント・ソフトウェアと連携できますが、それより古いエンドポイント・ソフトウェアとは正しく連携できない場合があります。エンロール済エンドポイント上のソフトウェアをアップグレードするには、ソフトウェアokvclient.jarをエンドポイントにダウンロードしてインストールできます。エンドポイントを再エンロールする必要はありません。

1. エンドポイント管理者としてエンドポイント・サーバーにログインします。
2. Oracle Key Vault管理コンソールに接続します。

   たとえば:

   https://192.0.2.254

   Oracle Key Vault管理コンソールへのログイン・ページが表示されます。ログインしないでください。

   
   
   図21.7_login_page.pngの説明
   

3. ログイン画面の右下隅にある「Login」で、「Endpoint Enrollment and Software Download」をクリックします。
4. 「Enroll Endpoint & Download Software」ページで、「Download Endpoint Software Only」をクリックします。
   「Download Endpoint Software Only」ページが表示されます。
5. ドロップダウン・リストから「Platform」を選択し、「Download」をクリックします。
   ディレクトリ・ウィンドウが表示され、エンドポイント・ソフトウェア・ファイルokvclient.jarを保存するよう求められます。ファイルの保存先フォルダにナビゲートします。
6. 適切なディレクトリにファイルを保存します。
7. ファイルがダウンロードされていることを確認します。
   これらのステップを完了した後、エンロール解除されたエンドポイントに使用できるのと同じステップを使用して、エンドポイントにOracle Key Vaultソフトウェアをインストールできます。既存のエンドポイント・ディレクトリのjarファイルを解凍することをお薦めします。そうしないと、エンドポイントのアップグレード・ソフトウェアが機能しません。たとえば:

   java -jar /path/to/okvclient.jar -d /path/to/existing/ep/files -v

8. エンドポイントが正常にアップグレードされると、次のメッセージが表示されます。
   The endpoint software for Oracle Key Vault upgraded successfully