リリース・ノートには、このリリースのOracle Key Vaultの新機能、最新の製品ソフトウェアおよびドキュメントのダウンロード方法、およびOracle Key Vaultの既知の問題の対処方法が記載されています。

• リリース・ノートについて
  
• Oracle Key Vaultのこのリリースの変更点
  
• Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード
  
• 既知の問題
  
• Oracle Key Vaultに関する考慮事項
  
• サポート対象データベースのバージョン
  
• ドキュメントのアクセシビリティ
  
• リリース21.8に含まれているクリティカル・パッチ更新
  

1.1 リリース・ノートについて

リリース・ノートには、Oracle Key Vaultを使用する前に注意する必要がある情報が記載されています。

このリリース・ノートでは、この新しいリリースの変更、Oracle Key Vaultソフトウェアおよびドキュメントのダウンロード方法、既知の問題、考慮事項、サポート対象のOracle Databaseのバージョン、およびこのリリースに含まれているクリティカル・パッチについて説明します。

1.2 Oracle Key Vaultのこのリリースの変更点

Oracle Key Vault 21.8では、SSH公開キーのアップロードの簡略化によってSSHキー管理のロール・アウトがより簡単になっています。新しい管理性機能、および操作のセキュリティの改善により、構成、監視およびレポート・タスクの実行がより簡単になっています。

• Oracle Key Vaultリリース21.8での変更点
  Oracle Key Vaultリリース21.8には、いくつかの新機能が導入されています。
• Oracle Key Vaultリリース21.7での変更点
  Oracle Key Vaultリリース21.7には、いくつかの新機能が導入されています。
• Oracle Key Vaultリリース21.6での変更点
  Oracle Key Vaultリリース21.6には、いくつかの新機能が導入されています。
• Oracle Key Vaultリリース21.5での変更点
  Oracle Key Vaultリリース21.5には、いくつかの新機能が導入されています。
• Oracle Key Vaultリリース21.4での変更点
  Oracle Key Vaultリリース21.4には、いくつかの新機能が導入されています。
• Oracle Key Vaultリリース21.3での変更点
  Oracle Key Vaultリリース21.3には、いくつかの新機能が導入されています。
• Oracle Key Vaultリリース21.2での変更点
  Oracle Key Vaultリリース21.2では、インストールおよびアップグレード操作に関連する新機能が導入されています。
• Oracle Key Vaultリリース21.1での変更点
  Oracle Key Vaultリリース21.1には、いくつかの新機能が導入されています。

1.2.1 Oracle Key Vaultリリース21.8での変更点

Oracle Key Vaultリリース21.8には、いくつかの新機能が導入されています。

• 管理者ロールの分離の強制適用
  Oracle Key Vaultリリース21.8以降では、複数のOracle Key Vault管理ロールをOracle Key Vaultユーザーに付与できないようにOracle Key Vaultを構成できます。
• コンソール証明書でのサブジェクト代替名(SAN)のサポート
  Oracle Key Vaultリリース21.8以降、Oracle Key Vaultでは、ホスト名の変更なしでコンソール証明書の完全修飾ドメイン名(FQDN)がサポートされます。
• プラットフォーム証明書の有効期限とサーバーまたはノード証明書の有効期限についてのアラート
  Oracle Key Vaultリリース21.8以降では、Oracle Key Vaultのプラットフォーム証明書の有効期限がアラート構成によって定義されている期間内になると、アラートが生成されます。
• RESTfulサービス・ユーティリティ・コマンドのサーバー側フィルタリング
  Oracle Key Vaultリリース21.8以降では、エンドポイントやウォレットのリスト、エンドポイントでアクセスできるオブジェクトのリスト、ウォレット内のオブジェクトのリスト、および完了したバックアップのリストのRESTfulサービス・ユーティリティ・コマンドに対して、サーバー側フィルタリングを実行するオプションを指定できるようになりました。
• RESTfulサービス・ユーティリティ・コマンドでのカスタム属性のサポート
  Oracle Key Vaultリリース21.8以降では、RESTfulサービス・ユーティリティ・コマンドを使用するときに、コマンドライン・オプションとしてカスタム属性とKMIP属性を指定できます。
• okvutilを使用した公開キーおよび秘密キーのアップロード
  Oracle Key Vaultリリース21.8以降では、okvutilを使用して公開キーおよび秘密キーをアップロードできます。
• サービス証明書のキーの長さを構成可能
  Oracle Key Vaultリリース21.8以降では、サービス証明書のキーの長さを構成できます。

1.2.1.1 管理者ロールの分離の強制適用

Oracle Key Vaultリリース21.8以降では、複数のOracle Key Vault管理ロールをOracle Key Vaultユーザーに付与できないようにOracle Key Vaultを構成できます。

前のOracle Key Vaultリリースでは、「Allow Forward Grant」オプションにより、Oracle Key Vaultの管理ロール(システム管理者、キー管理者および監査マネージャ)を、現在そのロールを付与されているユーザーが別のOracle Key Vaultユーザーに付与できました。

このリリース以降では、「System Recovery」ページの「Account Management」タブで「Enforce Separation of Administrator Roles」チェックを有効にすると、複数のOracle Key Vault管理ロールをOracle Key Vaultユーザーに付与できなくなります。各ユーザーに付与できる管理ロールは、最大でも1つです。「Enforce Separation of Administrator Roles」オプションを有効にすると、Oracle Key Vaultで管理ロールの分離が強制適用されます。

「Enforce Separation of Administrator Roles」オプションを有効にしたときに、Oracle Key Vaultユーザーにすでに複数の管理ロールが付与されている場合があります。この場合、そのユーザーは、管理ロールが付与されていても、それを行使できません。意図した残り1つの管理ロールを使用できるようにするには、それ以外のロールを削除する必要があります。

1.2.1.2 コンソール証明書でのサブジェクト代替名(SAN)のサポート

Oracle Key Vaultリリース21.8以降、Oracle Key Vaultでは、ホスト名の変更なしでコンソール証明書の完全修飾ドメイン名(FQDN)がサポートされます。

Oracle Key Vaultリリース21.8より前は、HTTPS証明書に関するブラウザの警告を回避するために、コンソール証明書を生成するときに、Oracle Key Vaultのホスト名をOracle Key Vaultサーバーの完全修飾ドメイン名(FQDN)に変更する必要がありました。

Oracle Key Vault 21.8以降では、この変更は不要になりました。コンソール証明書のサブジェクト代替名としてFQDNを追加するときに、ホスト名を保持できます。サブジェクト代替名(SAN)は、証明書にホスト名を追加で含めることができる、X.509証明書仕様の拡張機能です。必要な場合は、この機能を使用して2つのFQDNを同じOracle Key Vaultサーバーに解決することもできます。ただし、この場合は、ホスト名を2つのFQDNのどちらかに変更する必要があります。

1.2.1.3 プラットフォーム証明書の有効期限とサーバーまたはノード証明書の有効期限についてのアラート

Oracle Key Vaultリリース21.8以降では、Oracle Key Vaultのプラットフォーム証明書の有効期限がアラート構成によって定義されている期間内になると、アラートが生成されます。

プラットフォーム証明書は、新しいノードがクラスタに追加されるときに使用されます。これらの証明書は、Oracle Key Vaultサービス証明書とは異なり、有効期限が異なります。また、それらは、Oracle Key Vaultサービス証明書とは異なる方法でローテーションされます。プラットフォーム証明書は、期限切れになる前にローテーションする必要があります。期限切れのプラットフォーム証明書があるOracle Key Vaultシステムはアップグレードできません。このアラートのデフォルト構成は90日です。この構成されている値は変更できます。スタンドアロン、マルチマスター・クラスタおよびプライマリ/スタンバイ・デプロイメントの場合に、このアラートが発生します。

関連項目

アラートの構成について

1.2.1.4 RESTfulサービス・ユーティリティ・コマンドのサーバー側フィルタリング

Oracle Key Vaultリリース21.8以降では、エンドポイントやウォレットのリスト、エンドポイントでアクセスできるオブジェクトのリスト、ウォレット内のオブジェクトのリスト、および完了したバックアップのリストのRESTfulサービス・ユーティリティ・コマンドに対して、サーバー側フィルタリングを実行するオプションを指定できるようになりました。

エンドポイントのリストは、プラットフォーム、タイプまたは登録ステータスを基準にフィルタできます。ウォレットのリストは、それらのタイプ(汎用ウォレットまたはSSHサーバー・ウォレットのどちらか)を基準にフィルタできます。エンドポイントでアクセスできるオブジェクトのリストをフィルタすることや、タイプ(シークレットや証明書など)または状態(アクティブや侵害など)を基準にしてウォレット内のオブジェクトをリストすることができます。特定のバックアップ先について完了済バックアップのリストをフィルタすることや、それらをタイプ(1回かぎり、または定期的)を基準にフィルタすることや、単にバックアップ名を基準にフィルタすることができます。フィルタリングに複数のオプションを指定でき、フィルタリング・オプションに複数の値を指定することもできます。たとえば、次のコマンドをフィルタ・オプションとともに使用することで、LinuxおよびMicrosoft Windowsプラットフォーム上のすべてのエンドポイントをリストできます。

--platform "LINUX64, WINDOWS"

次のコマンドでは、この拡張機能がサポートされています。

• okv admin endpoint list
• okv admin endpoint list-objects
• okv manage-access wallet list
• okv manage-access wallet list-objects
• okv backup history list

1.2.1.5 RESTfulサービス・ユーティリティ・コマンドでのカスタム属性のサポート

Oracle Key Vaultリリース21.8以降では、RESTfulサービス・ユーティリティ・コマンドを使用するときに、コマンドライン・オプションとしてカスタム属性とKMIP属性を指定できます。

RESTfulサービス・ユーティリティ・コマンドを使用するときにコマンドライン・オプションとしてカスタム属性とKMIP属性を指定して、セキュリティ・オブジェクトのカスタム属性とKMIP属性のadd、modify、deleteおよびgetを実行できます。fetchコマンドとlocateコマンドでは、コマンドラインでその他の属性もサポートされています。

activation dateやdeactivation dateなどのKMIP属性は、それぞれコマンドライン・オプション--activation-dateおよび--deactivation-dateとして使用できるようになりました。新しいコマンドライン・オプション--custom-attributeを使用して、カスタム属性を渡すことができます。

次のコマンドでは、この拡張機能がサポートされています。

• okv managed-object attribute add
• okv managed-object attribute modify
• okv managed-object attribute delete
• okv managed-object attribute get
• okv managed-object custom-attribute add
• okv managed-object custom-attribute modify
• okv managed-object custom-attribute delete
• okv managed-object custom-attribute get
• okv managed-object object locate
• okv managed-object object fetch

1.2.1.6 okvutilを使用した公開キーおよび秘密キーのアップロード

Oracle Key Vaultリリース21.8以降では、okvutilを使用して公開キーおよび秘密キーをアップロードできます。

以前のリリースでは、公開キーと秘密キーをOracle Key VaultにアップロードするにはRESTfulサービスをインストールし構成する必要がありました。Oracle Key Vault 21.8では、okvutilが拡張されて公開キーと秘密キーを直接アップロードできるようになり、公開キー認証のリモート・サーバー・アクセス制御の強制適用が大幅に簡略化されました。

1.2.1.7 サービス証明書のキーの長さを構成可能

Oracle Key Vaultリリース21.8以降では、サービス証明書のキーの長さを構成できます。

認証局(CA)証明書のキーの長さを2048ビットまたは4096ビットに設定することを選択できます。次にCA証明書のローテーションが実行されるときには、CA証明書、サーバー/ノード証明書およびエンドポイント証明書が、選択したキー長で生成されます。サービス証明書のキーの長さを構成できることにより、企業情報セキュリティ・ポリシーに準拠できるようになります。

1.2.2 Oracle Key Vaultリリース21.7での変更点

Oracle Key Vaultリリース21.7には、いくつかの新機能が導入されています。

• Oracle Key Vaultを使用したSSHサーバーへのアクセスの一元管理
  このリリース以降、Oracle Key Vaultを使用して、エンタープライズ内のSSHサーバーへのアクセスを一元的に管理できます。
• SSHユーザー・キー管理の改善
  Oracle Key Vaultリリース21.7では、一元的なSSHユーザー・キー管理がさらに改善されます。
• Oracle Key Vault管理コンソールからのキー作成のサポート
  リリース21.7以降、Oracle Key Vault管理コンソールから新しいキーおよびキー・ペアを作成できるようになりました。これにより、Oracle Key Vaultユーザーがキーおよびキー・ペアを作成できるようになります。以前は、エンドポイントのみがセキュリティ・オブジェクトを作成できました。
• SSHキー管理をサポートするためのRESTfulサービス・ユーティリティの変更
  リリース21.7以降では、Oracle Key VaultのRESTfulサービス・ユーティリティを使用してSSHキーを作成および登録し、SSHサーバー・ウォレットおよびSSHサーバー・エンドポイントを管理できます。
• マルチマスター・クラスタでのアラートのノードまたはクラスタ・スコープのサポート
  Oracle Key Vaultリリース21.7以降、マルチマスター・クラスタでは、ノードまたはクラスタ・スコープで特定のアラートの構成を設定できます。
• サポートおよびrootユーザーの初期パスワードの設定
  リリース21.7以降、サポートおよびrootユーザーの初期パスワードをOracle Key Vault管理コンソールを使用して、インストール後のステップで設定できなくなります。

1.2.2.1 Oracle Key Vaultを使用したSSHサーバーへのアクセスの一元的な制御

このリリース以降、Oracle Key Vaultを使用して、エンタープライズ内のSSHサーバーへのアクセスを一元的に管理できます。

SSH公開キー認証は多くの場合、操作および管理目的でリモートホストにアクセスするための望ましい方法です。エンタープライズ設定では、エンタープライズ・ユーザーに対するアクセス権の付与と取消を複数の管理者がドメイン内の多数のホスト上で実施します。この規模ではアクセス制御アーキテクチャの分散的な性質が急速に強まり、システムでエラーが発生しやすくなり、セキュリティ・リスクにさらされる可能性も高まります。

Oracle Key VaultとOpenSSHの統合を使用して、SSHサーバーへのアクセスを一元的に制御できるようになりました。アクセス制御の一元化によりセキュリティが向上し、脅威への迅速な対応が可能になり、ヒューマン・エラーが軽減され、サーバー・アクセス管理が広域的に簡素化されます。

リリース21.7では、Oracle Key Vaultによって新しいタイプのエンドポイントであるSSHサーバー・エンドポイントが追加されます。OpenSSHとの統合を容易にするために、SSHサーバー・エンドポイント・タイプをSSHサーバーにデプロイする必要があります。

Oracle Key Vault 21.7では、ウォレット・タイプ(SSHサーバー・ウォレットおよび一般ウォレット)が導入されました。SSHサーバー・ウォレットはSSHサーバー上のホスト・ユーザーに関連付けられており、ホスト・ユーザーの認可済SSH公開鍵を格納することをその目的としています。SSHサーバー・ウォレットでユーザーのSSH公開キーを追加または削除することで、SSHサーバーへのアクセス権を付与または拒否します。

Oracle Key Vaultでサーバー・アクセスの管理と監視を簡素化するために、SSHサーバー認可、SSHサーバー・アクセスおよびその他のレポートが提供されるようになりました。

1.2.2.2 SSHユーザー・キー管理の改善

Oracle Key Vaultリリース21.7では、一元的なSSHユーザー・キー管理がさらに改善されます。

Oracle Key Vault PKCS#11ライブラリとOpenSSHの統合により、Oracle Key VaultからのSSHキー・ペアを使用したSSH公開キー認証がサポートされます。

これにより、Oracle Key VaultでSSHユーザー・キーを一元的に管理できます。SSHキーを明示的に作成できるようになりました。以前のリリースでは、汎用の公開キーと秘密キーのペアがSSHキーとして使用されていたため、SSHキーとして使用されていない他の公開キーと秘密キーのペアとの区別が困難でした。

SSHユーザーとSSHキーの関連付けが可能になったことで、キーの識別と監視が容易になります。SSHユーザーは、SSHキー、人間、アプリケーションまたはマシンといった実際のコンシューマを追跡することを目的としています。

Oracle Key VaultでSSHキーの管理と監視を簡素化するために、SSH秘密キー認可およびアクセス・レポートが提供されます。SSHキーの失効アラートは個別に構成できます。

1.2.2.3 Oracle Key Vault管理コンソールからのキー作成のサポート

リリース21.7以降、Oracle Key Vault管理コンソールから新しいキーおよびキー・ペアを作成できるようになりました。これにより、Oracle Key Vaultユーザーがキーおよびキー・ペアを作成できるようになります。以前は、エンドポイントのみがセキュリティ・オブジェクトを作成できました。

Oracle Key Vaultユーザーは、汎用またはアプリケーション固有のキーおよびキー・ペアを作成できます。汎用キーについては、Oracle Key Vaultで対称キーおよび公開キーと秘密キーのペアの作成がサポートされています。

アプリケーション・キー・カテゴリでは、TDEマスター暗号化キー、Oracle GoldenGateマスター・キーおよびSSHキー・ペアの作成がサポートされます。アプリケーション・キーが作成されたら、Oracle Key Vaultからのキーを使用するよう対応するアプリケーションを構成する必要があります。

キーを作成するときにキー・アルゴリズムおよびキーの長さを選択し、キーの有効期限を設定できるほか、Oracle Key Vaultクラスタ境界外でキーを抽出可能にするかどうかも指定できます。

ユーザーが作成したキーは、エンドポイントがアクセスできるかぎり、通常どおりエンドポイントで使用できます。

1.2.2.4 SSHキー管理をサポートするためのRESTfulサービス・ユーティリティの変更

リリース21.7以降では、Oracle Key VaultのRESTfulサービス・ユーティリティを使用してSSHキーを作成および登録し、SSHサーバー・ウォレットおよびSSHサーバー・エンドポイントを管理できます。

次のOracle Key Vault RESTfulサービス・ユーティリティ・コマンドが更新され、SSHキー・ペアの作成とSSH秘密キーおよび公開キーの登録がサポートされるようになりました。

• okv managed-object key-pair create
• okv managed-object private-key register
• okv managed-object public-key register

これらのコマンドに新しいオプション--ssh-userが追加されます。このオプションを使用すると、下層にある公開キー・オブジェクトと秘密キー・オブジェクトがSSHキーとして識別されます。

SSHサーバー・エンドポイントおよびSSHサーバー・ウォレットの作成をサポートするために、次のコマンドが更新されました:

• okv admin endpoint create
• okv manage-access wallet create

1.2.2.5 マルチマスター・クラスタでのアラートのノードまたはクラスタ・スコープのサポート

Oracle Key Vaultリリース21.7以降、マルチマスター・クラスタでは、ノードまたはクラスタ・スコープで特定のアラートの構成を設定できます。

以前のリリースでは、マルチマスター・クラスタで、常に同じアラート構成が各クラスタ・ノードに適用されていました。同じアラート設定をすべてのクラスタ・ノードに使用することは、必ずしも理想的ではありません。たとえば、特定のノードからバックアップを作成するように構成されているシステムでは、それ以外のノードに対し、システム・バックアップが実行されていないことを示すアラートを提示することは理想的ではありません。このようなノードについては、ノード・スコープを設定し、アラートをそれらのノードでのみオフにします。

Oracle Key Vault 21.7では、次のアラートに対してノード固有の構成を指定できるため、アラート構成の柔軟性がさらに向上します。

• 高速リカバリ領域使用率
• 高CPU使用率
• 失敗したシステム・バックアップ
• 高メモリー使用率
• ディスク使用率
• システム・バックアップ

これらのアラートは、ノードごとに有効または無効にすることもできます。ノードでは、同じアラートの構成について、ノード・スコープの構成がクラスタ・スコープの構成をオーバーライドします。

1.2.2.6 サポートおよびrootユーザーの初期パスワードの設定

リリース21.7以降、サポートおよびrootユーザーの初期パスワードをOracle Key Vault管理コンソールを使用して、インストール後のステップで設定できなくなります。

リリース21.7では引き続き、rootユーザーのパスワードをOracle Key Vaultインストールの初期フェーズで指定します。

サポート・ユーザーの初期パスワードは、インストール直後にrootユーザーとしてOracle Key Vaultターミナル・コンソールにログインして設定できます。

1.2.3 Oracle Key Vaultリリース21.6での変更点

Oracle Key Vaultリリース21.6には、いくつかの新機能が導入されています。

• Oracle Key Vaultからの秘密暗号化キーの抽出を制限する機能
  Oracle Key Vault 21.6では、Oracle Key Vaultにアップロードされた秘密キーは、Oracle Key Vaultデプロイメント境界を超えないように、抽出不可としてマークできます。
• Oracle Key Vaultで非対称キー・ペアを作成する機能
  リリース21.6以降、Oracle Key Vaultで非対称キー・ペアを作成できるようになりました。
• Oracle Key Vault VMをクローニングする機能
  Oracle Key Vault 21.6以降では、Oracle Key Vault VMゲストの新規インストールをtemplateとして格納でき、VMプラットフォームのクローニング機能を使用してOracle Key Vaultクラスタ・ノードをクローニングできます。
• 代替ホスト名またはIPアドレスを指定する機能のサポート
  Oracle Key Vault 21.6以降は、クラウド・インフラストラクチャ環境で実行されているシステムのパブリックIPアドレスなど、完全修飾ドメイン名またはIPアドレスを使用してOracle Key Vaultを構成できます。
• Oracle Key VaultのSAMLv2ベースのシングル・サインオン(SSO)認証のサポート
  Oracle Key Vaultリリース21.6以降、Oracle Key VaultはSAMLベースのシングル・サインオン(SSO)認証をサポートしています。
• 統合されたアプリケーションレベルのトレースと簡易診断収集のサポート
  Oracle Key Vaultリリース21.6以降、統合されたアプリケーションレベルのトレースが導入され、トレース・レベルを一元的に制御できるようになりました。診断のダウンロード・プロセスも簡略化されています。
• Oracle Key VaultとのOracle Audit Vault統合の中断
  Oracle Key Vault 21.6以降、統合が成功しない場合、Oracle Key VaultとOracle Audit Vault統合を中断できます。
• 監査レコードでのイベントIDのサポート
  Oracle Key Vaultリリース21.6以降、すべての操作イベントがイベントIDを使用して分類されるようになりました。
• Oracle Key Vaultメトリック・フレームワークでのディスクおよびネットワークのI/Oおよびアプリケーション・メトリックのサポート
  Oracle Key Vaultリリース21.6以降、Oracle Key Vaultはメトリック・フレームワークが拡張され、ディスクおよびネットワークのI/Oメトリックおよびアプリケーション・メトリックが含まれます。
• 署名および署名検証操作のサポート
  リリース21.6以降、Oracle Key Vault CおよびJava SDKは署名および検証機能を提供するようになりました。
• Oracle Key Vaultでの署名および検証操作
  Oracle Key Vaultリリース21.6以降、署名および検証操作は、Oracle Key VaultのRESTfulサービスまたはOracle Key Vaultクライアント・ツールokvutilを使用して実行できます:
• Microsoft AzureとAmazon AWSでのOracle Key Vaultデプロイメント
  Oracle Key Vaultリリース21.6以降、Microsoft AzureおよびAmazon AWSクラウド・プラットフォームにOracle Key Vaultをデプロイできます。
• endpoint get RESTfulコマンドに追加されたエンドポイントIPアドレス属性
  Oracle Key Vaultは、endpoint get RESTfulコマンドでエンドポイントIPアドレスをサポートします。

1.2.3.1 Oracle Key Vaultからの秘密暗号化キーの抽出を制限する機能

Oracle Key Vault 21.6では、Oracle Key Vaultにアップロードされた秘密キーは、Oracle Key Vaultデプロイメント境界から離れないように、抽出不可としてマークできます。

秘密キーおよび対称キーを制限し、抽出可能属性値をfalseに設定して抽出不可にできるようになりました。false属性値により、暗号オブジェクトがOracle Key Vault境界内に残ることが保証されます。

Oracle Key Vaultから秘密暗号化キーを取得(抽出)できるかどうかを制御するには、Oracle Key Vault管理コンソール、RESTfulサービス・ユーティリティ・コマンド、C SDK APIおよびJava SDK APIを使用できます。

1.2.3.2 Oracle Key Vaultで非対称キー・ペアを作成する機能

リリース21.6以降、Oracle Key Vaultで非対称キー・ペアを作成できるようになりました。

抽出不可として秘密キーを作成するか、後で抽出不可にして、秘密キーがOracle Key Vaultデプロイメント境界から離れないようにすることができます。

RESTfulサービス・ユーティリティ・コマンド、CおよびJAVA SDK APIを使用して非対称キー・ペアを作成できます。

抽出不可の秘密キーおよび署名操作が搭載されたOracle Key Vaultのサポートにより、ユーザーのSSH秘密キーがOracle Key Vaultから離れないように、opensshおよびOracle Key VaultのPKCS#11ライブラリを使用して公開キー認証を実装できるようになりました。公開キー認証中に、PKCS#11ライブラリはOracle Key Vault自体内で署名操作を実行するようになりました。これにより、一元化されたキー・ガバナンスを実施し、ローカルでダウンロードされた脆弱な秘密キーを排除できます。

1.2.3.3 Oracle Key Vault VMをクローニングする機能

Oracle Key Vault 21.6以降では、Oracle Key Vault VMゲストの新規インストールをtemplateとして格納でき、VMプラットフォームのクローニング機能を使用してOracle Key Vaultクラスタ・ノードをクローニングできます。

Oracle Key Vaultクラスタでは、クローニングされたテンプレートを使用して、システム管理者は、個々のクラスタ・ノードの完全インストールの実行と比較して、プロビジョニング時間を大幅に短縮できます。

Oracle Key Vaultは、基礎となる仮想化プラットフォームのクローニング機能をサポートしています。これにより、個々のクラスタ・ノードごとに完全なインストール・プロセスを実行する必要がなくなります。インストールの完了後、インストール後のタスクを実行する前に、Oracle Key Vaultシステム(VMとしてインストール済)をクローニングできます。クローンは、初めて起動されると、システム固有の構成を再生成する一連の手順を実行して、このクローンを一意にします(その他すべてのクローンとは別になります)。仮想化プラットフォームによって提供される(リモート)クローニング機能では、Oracle Key Vaultテンプレートからクローニングできます。これは、このOracle Key Vaultを一意にする前に停止されるOracle Key Vaultインストールです。すべてのシステム固有の構成が再生成されます。クローンは、残りのインストール手順を完了することによって一意になります。

1.2.3.4 代替ホスト名またはIPアドレスを指定する機能のサポート

Oracle Key Vault 21.6以降は、クラウド・インフラストラクチャ環境で実行されているシステムのパブリックIPアドレスなど、完全修飾ドメイン名またはIPアドレスを使用してOracle Key Vaultを構成できます。

Oracle Key Vaultでは、2つの代替ホスト名を指定できます。Oracle Key Vaultサーバーまたはノードとの通信時に、エンドポイントでこれらの代替ホスト名のいずれかを使用するかどうかを選択できます。各ノードに代替ホスト名を指定する必要があります。また、エンドポイントでマルチマスター・クラスタ環境で指定したホスト名を使用するかどうかも選択できます。

この機能は(非推奨の)プライマリ/スタンバイ・デプロイメントではサポートされていません。

1.2.3.5 Oracle Key VaultのSAMLv2ベースのシングル・サインオン(SSO)認証のサポート

Oracle Key Vaultリリース21.6以降、Oracle Key VaultはSAMLベースのシングル・サインオン(SSO)認証をサポートしています。

Oracle Key Vault 21.6ではSSOがサポートされるようになりました。SSO機能はSAMLベースで、ユーザーはアイデンティティ・プロバイダ(IdP)を介して認証されます。IdPでサポートされているシングル・サインオン(SSO)認証により、マルチファクタ認証(MFA)が提供されます。これにより、1つの資格証明セットへのログイン試行を最小限に抑えることができるため、エンタープライズ・セキュリティが向上します。シングル・サインオン(SSO)認証は、アイデンティティおよびアクセス管理(IAM)ソリューションの一部であり、より詳細なレベルでリソースへのユーザー・アクセスを制御する中央ディレクトリを使用します。これにより、組織は適切な権限をユーザーにプロビジョニングする必要がある規制に準拠できます。また、SSOソリューションは、ユーザーを迅速にプロビジョニング解除します。これも一般的なコンプライアンス要件であり、以前の従業員、パートナなどが機密データにアクセスできないようにします。

1.2.3.6 統合されたアプリケーションレベルのトレースと簡易診断収集のサポート

Oracle Key Vaultリリース21.6以降、統合されたアプリケーションレベルのトレースが導入され、トレース・レベルを一元的に制御できるようになりました。診断のダウンロード・プロセスも簡略化されています。

以前は、診断を収集するために、システム管理者がOracle Key Vault管理コンソールにログオンし、readmeをダウンロードし、Oracle Key Vaultサーバーにrootユーザーとしてログオンし、コマンドを手動で実行して診断ユーティリティをインストールし、選択したログ・オプションを有効にしていました。次に、システム管理者はOracle Key Vault管理コンソールに再度ログインし、診断バンドルをダウンロードしていました。

Oracle Key Vaultリリース21.6では、プロセスが簡素化されています。システム管理者はOracle Key Vault管理コンソールにログオンし、ダウンロードに必要な診断を選択してダウンロード・ボタンをクリックします。

さらに、トレースの一元的な生成を容易にするために、Oracle Key Vaultリリース21.6ではコンポーネント・ベースのトレースが導入され、システム管理者はOracle Key Vault管理コンソールから特定のOracle Key Vaultコンポーネントのトレース・レベルを調整できるようになりました。これらのトレース・レベル(重大度のレベルの高さの順)は、MANDATORY、ERROR、WARNING、INFOおよびDEBUGです。

1.2.3.7 Oracle Key VaultとのOracle Audit Vault統合の中断

Oracle Key Vault 21.6以降、統合が成功しない場合、Oracle Key VaultとOracle Audit Vault統合を中断できます。

Oracle Key Vault管理コンソールから、AVDFの統合を中断できるようになりました。これは、AVDFの統合がOracle Key Vaultとの統合にかかる通常の時間よりも長い場合に役立ちます。

1.2.3.8 監査レコードでのイベントIDのサポート

Oracle Key Vaultリリース21.6以降、すべての操作イベントがイベントIDを使用して分類されるようになりました。

この機能により、Oracle Key Vault監査レコードに新しいフィールド「Event ID」が追加されます。イベントIDは、監査される操作(タイプ)に一意に関連付けられている安定したIDを表します。

• 同じ監査操作に対して複数の監査レコードが同じ「Event ID」を使用します。
• イベントIDは静的にOracle Key Vaultソース・コードに設定されるため、イベントIDは変更されず、同じ操作に永久にマップされたままになります。
• ただし、操作のテキスト説明は、引き続きリリース間で変更される可能性があります。
• 新機能の一部として追加された新しい操作には、新しい一意のイベントIDが付与されます。

1.2.3.9 Oracle Key Vaultメトリック・フレームワークでのディスクおよびネットワークのI/Oおよびアプリケーション・メトリックのサポート

Oracle Key Vaultリリース21.6以降、Oracle Key Vaultはメトリック・フレームワークが拡張され、ディスクおよびネットワークのI/Oメトリックおよびアプリケーション・メトリックが含まれます。

この機能により、ディスク、ネットワークI/O、アプリケーション・メトリックにメトリックが追加されます。Oracle Key Vaultで現在いつでも使用可能なメトリックは、システム機能およびリソース使用率の決定に役立ちます。

• ディスクI/O: Oracle Key Vaultアクティビティの大部分がデータベースから行われることを前提として、データベース・キャッシュに関するインサイトを提供します。
• ネットワークI/O: 特定の時間間隔中に受信/送信されたバイト数に関するインサイトを提供します。データと履歴日付を比較して、エンドポイントの使用状況およびアクティビティを分析できます。また、平均値としてのデータも提供されます。
• アプリケーション: 一定の間隔で接続を処理するために受け入れられたKMIP接続の数に関するインサイトを提供します。

1.2.3.10 署名および署名検証操作のサポート

リリース21.6以降、Oracle Key Vault CおよびJava SDKは署名および検証機能を提供するようになりました。

RESTfulサービス・ユーティリティ・コマンド、okvutilまたはCおよびJava SDKを使用して、署名および署名検証操作を実行できます。

C SDK API

• KMIP暗号操作は次のとおりです。
  • okvSign
  • okvSignVerify
• 暗号ユーティリティ操作は次のとおりです。
  • okvCryptoContextGetCryptoAlgo
  • okvCryptoContextGetHashingAlgo
  • okvCryptoContextGetDigitalSignAlgo
  • okvCryptoContextSetHashingAlgo
  • okvCryptoContextSetCryptoAlgo
  • okvCryptoContextSetDigitalSignAlgo
  • okvCryptoResponseGetSignatureData
  • okvCryptoResponseGetRecoveredData
  • okvCryptoResponseGetValidity
  • okvSignResponseCreate
  • okvSignVerifyResponseCreate
  • okvSignResponseFree
  • okvSignVerifyResponseFree

Java SDK API

• KMIP暗号操作は次のとおりです。
  • okvSign
  • okvSignVerify
• 暗号ユーティリティ操作は次のとおりです。
  • getCryptoAlgo
  • getHashingAlgo
  • getDigitalSignAlgo
  • setCryptoAlgo
  • setHashingAlgo
  • setDigitalSignAlgo
  • getSignatureData
  • getRecoveredData
  • getValidity

1.2.3.11 Oracle Key Vaultでの署名および検証操作

Oracle Key Vaultリリース21.6以降、署名および検証操作は、Oracle Key VaultのRESTfulサービスまたはOracle Key Vaultクライアント・ツールokvutilを使用して実行できます:

Oracle Key Vault RESTful APIとOracle Key Vaultクライアント・ユーティリティokvutilの両方に、署名と検証の機能があります。

新しいコマンドまたは更新されたコマンドを次に示します。

• okv crypto data sign
• okv crypto data sign-verify
• okv crypto data sign
• okv crypto data sign-verify
• okvutil sign
• okvutil sign-verify

1.2.3.12 Microsoft AzureおよびAmazon AWSでのOracle Key Vaultデプロイメント

Oracle Key Vaultリリース21.6以降、Microsoft AzureおよびAmazon AWSクラウド・プラットフォームにOracle Key Vaultをデプロイできます。

オンプレミスのデータ・センターとOracle Cloud Infrastructure(OCI)に加えて、Oracle Key Vault 21.6もMicrosoft AzureとAmazon AWSにデプロイできます。

1.2.3.13 endpoint get RESTfulコマンドに追加されたエンドポイントIPアドレス属性

Oracle Key Vaultは、endpoint get RESTfulコマンドでエンドポイントIPアドレスをサポートします。

登録時に使用されたエンドポイントIPアドレスが記録され、okv admin endpoint get --endpoint endpoint_nameコマンドで表示されるようになりました。

1.2.4 Oracle Key Vaultリリース21.5での変更点

Oracle Key Vaultリリース21.5には、いくつかの新機能が導入されています。

• Oracle Key VaultからのSSHユーザー・キーを使用したSSH公開キー認証のサポート
  Oracle Key Vaultリリース21.5以降では、Oracle Key Vaultのみに格納されているキー・ペアにより、SSHキーベースの認証を使用できます。
• 保存方針に基づく監査レコードの自動パージ
  Oracle Key Vaultリリース21.5以降では、保存方針に基づいて古い監査レコードを自動的にパージできるようになりました。
• エンドポイント証明書をローテーションする機能
  Oracle Key Vaultリリース21.5以降では、エンドポイントをローテーションして、エンドポイントの停止時間なしでその証明書の有効期限を延長できます。
• LDAPユーザーのエンドポイント権限およびエンドポイント・グループ権限のサポート
  Oracle Key Vaultリリース21.5以降では、LDAPグループ・マッピングによってLDAPユーザーにエンドポイント権限およびエンドポイント・グループ権限を付与できます。
• ユーザー・アカウント管理
  Oracle Key Vaultリリース21.5以降では、Oracle Key Vaultユーザーに対して、企業のユーザー管理セキュリティ・ポリシーを満たすようにユーザー・アカウント・プロファイル・パラメータを構成できます。
• 重大度に基づくアラート分類
  Oracle Key Vaultリリース21.5以降では、アラートは、管理しやすくなるように、それらの重大度レベルに基づいて分類されます。
• 「Endpoint Metadata Report」での「Endpoint Group Membership」列の表示
  Oracle Key Vaultリリース21.5以降では、「Endpoint Metadata Report」に、「Endpoint Group Membership」の列が追加されました。
• 最後のエンドポイント・アクティビティの時間を特定する機能
  Oracle Key Vaultリリース21.5以降では、Oracle Key Vault管理コンソールで「Endpoints」ページを確認することで、エンドポイントがいつまでアクティブだったかをすばやく特定できます。
• OCIマーケットプレイス・イメージのUEFIサポート
  Oracle Key Vaultリリース21.5以降では、Oracle Key Vault OCIマーケットプレイス・イメージはUEFIモードでのみ入手できます。
• CA証明書の有効期限とサーバー/ノード証明書の有効期限のアラートの分離
  Oracle Key Vaultリリース21.5以降では、CA証明書の有効期限、およびサーバー/ノード証明書の有効期限について、アラートを別々に構成できます。
• RESTfulサービス・ユーティリティを使用したクラスタ管理およびモニタリングのサポート
  Oracle Key Vaultリリース21.5以降では、RESTfulサービス・ユーティリティを使用してマルチマスター・クラスタをデプロイ、管理およびモニターできます。
• RESTfulサービス・ユーティリティを使用したシステム・リソース・モニタリングのサポート
  Oracle Key Vaultリリース21.5以降では、RESTfulサービス・ユーティリティを使用して、CPUやメモリーなどのシステム・リソースの現在および過去の使用率メトリックを取得できます。これらのシステム・メトリックは、Oracle Key Vaultサーバーのシステム・リソースを、デプロイメントのパフォーマンスおよびスケーラビリティの要件を満たすように適切に構成するために役立ちます。
• RESTfulサービス・ユーティリティ・コマンドによる中間JSONファイルの必要性の低減
  Oracle Key Vaultリリース21.5以降では、RESTfulサービス・ユーティリティを使用してセキュリティ・オブジェクトを作成、登録、フェッチおよび検索するときに、コマンドライン・オプションとしてカスタム属性および特定のKMIP属性を指定できます。
• RESTfulサービス・ユーティリティでのテキスト出力形式のサポート
  Oracle Key Vaultリリース21.5以降では、いくつかのRESTfulサービス・ユーティリティ・コマンドが、テキスト形式での出力をサポートするように拡張されています。

1.2.4.1 Oracle Key VaultからのSSHユーザー・キーを使用したSSH公開キー認証のサポート

Oracle Key Vaultリリース21.5以降では、Oracle Key Vaultのみに格納されているキー・ペアにより、SSHキーベースの認証を使用できます。

Oracle Key VaultのPKCS#11ライブラリでは、Oracle Key VaultにアップロードされるSSHキー・ペアを使用した、SSH公開キー認証がサポートされています。Oracle Key VaultでSSHユーザー・キーを一元管理することで、キーのライフサイクルの管理が簡略化され、キー管理が可能になり、ポリシーの適用がさらに簡単になります。キーのローテーションや必要に応じたそれらの破棄などのアクションを一元的に実行できます。また、ローカル・ディスク上のSSHユーザー・キーのフットプリントに関連するリスクを最小限に抑えることができます。

1.2.4.2 保存方針に基づく監査レコードの自動パージ

Oracle Key Vaultリリース21.5以降では、保存方針に基づいて古い監査レコードを自動的にパージできるようになりました。

Oracle Key Vault監査レコードによって使用されるディスク領域をより効率的に管理できるようになりました。また、それらのレコードをもう不要だとみなしたときに手動で削除する必要はありません。保存方針に基づいて古い監査レコードを自動的にパージするように、Oracle Key Vaultを構成できます。たとえば、180日より前の監査レコードを自動的にパージする方針を構成し適用できます。

1.2.4.3 エンドポイント証明書をローテーションする機能

Oracle Key Vaultリリース21.5以降では、エンドポイントをローテーションして、エンドポイントの停止時間なしでその証明書の有効期限を延長できます。

Oracle Key Vaultリリース21.5では、エンドポイントをローテーションして、エンドポイントの停止時間なしでその証明書の有効期限を延長できます。以前は、これはエンドポイントを再エンロールすることでのみ実現できていました。必要に応じて、一度に複数のエンドポイントをローテーションすることもできます。この方法でのエンドポイント証明書のローテーションは、CAまたはサーバー/ノードの証明書ローテーション・プロセスとは無関係です。

1.2.4.4 LDAPユーザーのエンドポイント権限およびエンドポイント・グループ権限のサポート

Oracle Key Vaultリリース21.5以降では、LDAPグループ・マッピングによってLDAPユーザーにエンドポイント権限およびエンドポイント・グループ権限を付与できます。

LDAPユーザーへの権限の付与は、LDAPグループ・マッピングを通じて実現されます。LDAPグループにエンドポイント権限またはエンドポイント・グループ権限をマップします。このグループのメンバーであるLDAPユーザーは、ログイン時に、マップされたエンドポイント権限またはエンドポイント・グループ権限を付与されます。

1.2.4.5 ユーザー・アカウント管理

Oracle Key Vaultリリース21.5以降では、Oracle Key Vaultユーザーに対して、企業のユーザー管理セキュリティ・ポリシーを満たすようにユーザー・アカウント・プロファイル・パラメータを構成できます。

ユーザー・アカウント・プロファイル・パラメータにより、ユーザー・パスワードのルールと要件、およびOracle Key Vaultユーザーのアカウント・ロックアウト動作を管理します。これらの設定は、ローカルで作成されるOracle Key Vaultユーザーに適用されます。LDAPユーザーについては、ユーザー・アカウント管理ポリシーはLDAPディレクトリ・サーバーにおいて管理されます。

Oracle Key Vaultでは、パスワード・リセットによるユーザー・アカウントのロック解除もサポートされるようになりました。Oracle Key Vault管理者は、ユーザーのパスワードをリセットすることでユーザー・アカウントのロックを解除できます。

1.2.4.6 重大度に基づくアラート分類

Oracle Key Vaultリリース21.5以降では、アラートは、管理しやすくなるように、それらの重大度レベルに基づいて分類されます。

Oracle Key Vaultでは、複数のタイプのアラートがサポートされています。Oracle Key Vaultにより、これらのアラートが、重大度レベル(CRITICAL、HIGH、MEDIUMおよびLOW)のいずれかに分類されるようになりました。Oracle Key Vault管理コンソールのホーム・ページに、未解決のアラートが重大度順に表示されるようになりました。Oracle Key Vault管理者が、運用継続のために早急な対処が必要な最重要アラートを、簡単に特定できるようになりました。

1.2.4.7 「Endpoint Metadata Report」での「Endpoint Group Membership」列の表示

Oracle Key Vaultリリース21.5以降では、「Endpoint Metadata Report」に、「Endpoint Group Membership」の列が追加されました。

「Endpoint Metadata Report」には、エンドポイント情報およびデプロイメント構成の詳細が表示されます。このメタデータ・レポートに、「Endpoint Group Membership」列が表示されるようになりました。

エンドポイント・グループ・メンバーシップ情報は、次の場合に役立ちます。

• エンドポイント・グループへの権限の付与
• エンドポイント・ローテーションの実行

1.2.4.8 最後のエンドポイント・アクティビティの時間を特定する機能


Oracle Key Vaultリリース21.5以降では、Oracle Key Vault管理コンソールで「Endpoints」ページを確認することで、エンドポイントがいつまでアクティブだったかをすばやく特定できます。

Oracle Key Vaultリリース21.5以降では、Oracle Key Vault管理コンソールから、「Endpoints」ページに移動しエンドポイントの「Last Active Time」列を確認することで、そのエンドポイントがいつまでアクティブだったかを特定できます。この情報は、どのエンドポイントが使用されていないかをすばやく特定するために役立ちます。以前は、この情報は、エンドポイント・アクティビティ・レポートからのみ(具体的には、マルチマスター・クラスタにおいて、クラスタのすべてのノードからのすべてエンドポイント・アクティビティ・レポートを統合することで)入手できていました。

1.2.4.9 OCIマーケットプレイス・イメージのUEFIサポート

Oracle Key Vaultリリース21.5以降では、Oracle Key Vault OCIマーケットプレイス・イメージはUEFIモードでのみ入手できます。

旧バージョンのOracle Key VaultのOCIマーケットプレイス・イメージでは、引き続き、BIOSモードが使用されています。

1.2.4.10 CA証明書の有効期限とサーバー/ノード証明書の有効期限のアラートの分離

Oracle Key Vaultリリース21.5以降では、CA証明書の有効期限、およびサーバー/ノード証明書の有効期限について、アラートを別々に構成できます。

これらのアラートに対して別々のしきい値を構成できます。デフォルトのしきい値は、CA証明書の有効期限については90日であり、サーバー/ノード証明書の有効期限については60日です。別々のアラートにすることで、サーバー/ノード証明書のローテーションをいつ実行する必要があるかを判断しやすくなります。サーバー/ノード証明書のローテーションは、CA証明書のローテーション(Oracle Key Vaultデプロイメント全体に影響し、複数の段階からなる)とは対照的に、ノードごとに実行される短時間のプロセスです。以前は、CA証明書またはサーバー/ノード証明書の有効期限が、構成されているサーバー証明書有効期限しきい値以内になったときに発生するアラートの種類は、「Oracle Key Vault Server Certificate expiration」の1つのみでした。

1.2.4.11 RESTfulサービス・ユーティリティを使用したクラスタ管理およびモニタリングのサポート

Oracle Key Vaultリリース21.5以降では、RESTfulサービス・ユーティリティを使用してマルチマスター・クラスタをデプロイ、管理およびモニターできます。

RESTfulサービス・ユーティリティを使用して、クラスタの作成、ノードの追加または削除、ノードの有効化または無効化など、いくつかのクラスタ管理操作を実行できるようになりました。RESTfulサービス・ユーティリティを使用してノード間のクラスタ・サービスおよびレプリケーション・リンクをモニターおよび管理することもできます。

新しいコマンドは次のとおりです。

• okv cluster node create
• okv cluster node status
• okv cluster node add
• okv cluster node abort-pairing
• okv cluster node enable
• okv cluster node disable
• okv cluster node cancel-disable
• okv cluster node update
• okv cluster service start
• okv cluster service stop
• okv cluster service monitor
• okv cluster link enable
• okv cluster link disable
• okv cluster link monitor

1.2.4.12 RESTfulサービス・ユーティリティを使用したシステム・リソース・モニタリングのサポート

Oracle Key Vaultリリース21.5以降では、RESTfulサービス・ユーティリティを使用して、CPUやメモリーなどのシステム・リソースの現在および過去の使用率メトリックを取得できます。これらのシステム・メトリックは、Oracle Key Vaultサーバーのシステム・リソースを、デプロイメントのパフォーマンスおよびスケーラビリティの要件を満たすように適切に構成するために役立ちます。

RESTfulサービス・ユーティリティを使用して、次の情報を取得できます。

• 構成されているシステム・リソース(CPUとメモリー)
• 指定された期間でのCPUとメモリーの使用率のメトリック(負荷平均など)

新しいコマンドまたは更新されたコマンドを次に示します。

• okv metrics server get
• okv server status get
• okv server info get

1.2.4.13 RESTfulサービス・ユーティリティ・コマンドによる中間JSONファイルの必要性の低減

Oracle Key Vaultリリース21.5以降では、RESTfulサービス・ユーティリティを使用してセキュリティ・オブジェクトを作成、登録、フェッチおよび検索するときに、コマンドライン・オプションとしてカスタム属性および特定のKMIP属性を指定できます。

以前のリリースでは、属性またはカスタム属性を使用するコマンドは、JSON入力メソッドの使用によってのみ実行できていました。RESTfulサービス・ユーティリティは、セキュリティ・オブジェクトを作成または登録するコマンドのコマンドライン・オプションとして、属性およびカスタム属性の受渡しをサポートするように拡張されています。これらのコマンドでは、複雑な入力を簡略化したバリアントもサポートされています。

KMIP属性の"activation date"および"deactivation date"は、それぞれコマンドライン・オプション--activation-dateおよび--deactivation-dateとして公開されています。新しいコマンドライン・オプション--custom-attributeを使用してカスタム属性を渡すことができます。また、くつかのRESTfulサービス・ユーティリティ・コマンドでは、名前とカスタム属性に関して単純形式と複雑形式がサポートされています。

この機能拡張に対応するために、次のコマンドが更新されました。

• okv managed-object key create
• okv managed-object key register
• okv managed-object secret register
• okv managed-object certificate register
• okv managed-object certificate-request register
• okv managed-object opaque register
• okv managed-object public-key register
• okv managed-object private-key register
• okv managed-object object fetch
• okv managed-object object locate

1.2.4.14 RESTfulサービス・ユーティリティでのテキスト出力形式のサポート

Oracle Key Vaultリリース21.5以降では、いくつかのRESTfulサービス・ユーティリティ・コマンドが、テキスト形式での出力をサポートするように拡張されています。

以前のリリースのRESTfulサービス・ユーティリティ・コマンドでは、出力は必ずJSON形式で生成されていました。現在は、新しいコマンドライン・オプション-output_formatを使用してテキスト形式でコマンド出力を生成できるようになっています。テキスト出力形式は、コマンドの出力が別のコマンドの入力となる場合などの自動化スクリプトの作成を簡略化するために役立ちます。

--output_formatオプションでサポートされている値を次に示します。

• json (デフォルト値)
• text

この機能拡張に対応するために、次のコマンドが更新されました。

• okv managed-object certificate get
• okv managed-object certificate register
• okv managed-object certificate-request get
• okv managed-object certificate-request register
• okv managed-object key create
• okv managed-object key get
• okv managed-object key register
• okv managed-object object activate
• okv managed-object object destroy
• okv managed-object object locate
• okv managed-object object revoke
• okv managed-object opaque get
• okv managed-object private-key register
• okv managed-object public-key get
• okv managed-object public-key register
• okv managed-object secret get
• okv managed-object secret register
• okv managed-object wallet add-member
• okv managed-object wallet delete-member
• okv managed-object wallet list

1.2.5 Oracle Key Vaultリリース21.4での変更点

Oracle Key Vaultリリース21.4には、いくつかの新機能が導入されています。

• Oracle Key Vaultからの対称暗号化キーの抽出を制御する機能
  Oracle Key Vaultリリース21.4以降、対称暗号化キーの保護を強化するために、これらのキーがOracle Key Vaultクラスタ境界から離れることを制限できるようになりました。
• RESTfulサービス・ユーティリティでの暗号操作のサポート
  Oracle Key Vaultリリース21.4では、Oracle Key Vault内で暗号操作を実行するためのサポートが追加されています。
• 暗号操作用のCおよびJava SDK API
  Oracle Key VaultクライアントSDKリリース21.4では、暗号操作のサポートが追加されています。
• 証明書管理の機能拡張
  Oracle Key Vaultリリース21.4以降、証明書の管理に加えられたいくつかの機能拡張を利用できます。
• 古いOracle Key Vaultバックアップのポリシー・ベース自動パージのサポート
  Oracle Key Vaultリリース21.4以降、1つ以上のリモート・バックアップの削除をスケジュールするポリシーを作成できます。
• RESTfulサービス・ユーティリティでの古いOracle Key Vaultバックアップのポリシー・ベース自動パージのサポート
  Oracle Key Vaultリリース21.4以降、ローカルのOracle Key Vaultバックアップを手動でパージすることも、1つ以上のリモート・バックアップをパージする宛先ポリシーを作成することもできます。
• Oracle Key Vaultの管理ロールの付与を制限する機能
  Oracle Key Vaultリリース21.4以降、Oracle Key Vaultの管理ロールの権限受領者が他のOracle Key Vaultユーザーにそのロールを付与できるかどうかを制御できます。
• エンドポイント、エンドポイント・グループおよびウォレット関連のRESTfulサービス・ユーティリティ・コマンドの機能拡張
  Oracle Key Vaultリリース21.4以降、エンドポイント、エンドポイント・グループおよびウォレットでより多くの操作を実行できるように、追加のコマンドが提供されています。
• エンドポイントの構成の更新に関するサポート
  Oracle Key Vaultリリース21.4以降、RESTfulサービス・ユーティリティ・コマンドokv admin endpoint updateを使用して、エンドポイント構成パラメータと、エンドポイントのキーおよびシークレットに関するエンドポイント設定を更新できます。
• 日付および時刻を設定するRESTfulコマンドがISO 8601標準に対応
  Oracle Key Vaultリリース21.4以降、durationの時間間隔設定はISO 8601標準に準拠するようになり、RESTfulコマンドを使用する際の日付および時刻設定の固定書式はISO 8601と互換性があります。
• RESTfulサービス・ユーティリティのコマンドライン・ヘルプのサポート
  Oracle Key Vaultリリース21.4以降、RESTfulサービス・ユーティリティ・コマンドに関するコマンドライン・ヘルプ情報を確認できます。
• Oracle Key VaultのKMIPサーバーの推奨KMIPバージョンを1.1に更新
  Oracle Key VaultのKMIPサーバーでは、KMIPプロトコル・バージョン1.1が推奨バージョンとして使用されるようになりました。
• Oracle Key Vault監査証跡のクライアントIPアドレス
  Oracle Key Vaultリリース21.4以降、Oracle Key Vault監査証跡には、Client IPという1つの新しいフィールドがあります。
• SDKを使用してKMIPサーバー操作が実行されたときにクライアント・エンドポイント・ファイルが更新される
  SDKを使用してKMIPサーバー操作が実行されたときに、クライアント・エンドポイント・ファイルokvclient.oraが更新されるようになりました。
• SNMPによる追加のモニタリング情報のサポート
  Oracle Key Vaultリリース21.4以降、SNMP nsExtendOutputFull MIBベース変数を使用して追加のモニタリング情報を参照できます。

1.2.5.1 Oracle Key Vaultからの対称暗号化キーの抽出を制御する機能

Oracle Key Vaultリリース21.4以降、対称暗号化キーの保護を強化するために、これらのキーがOracle Key Vaultクラスタ境界から離れることを制限できるようになりました。

この制限は、対称キーのキー・マテリアルに適用されますが、そのメタデータには適用されません。たとえば、透過的データベース暗号化(TDE)マスター暗号化キーはOracle Key Vaultに格納されます。エンドポイントでキーを復号化する必要がある場合、PKCS#11ライブラリは、Oracle Key VaultからTDEマスター暗号化キーをフェッチして復号化を実行します。対称キーがOracle Key Vaultから離れないことがサイトで必要とされる場合は、操作中にこれらのキーがOracle Key Vault内にとどまるように構成できます。この場合、PKCS#11ライブラリは、暗号化されたデータ暗号化キーをOracle Key Vaultに送信します。続いて、Oracle Key Vault内で復号化が実行され、その後、平文のデータ暗号化キーがPKCS#11ライブラリに返されます。TDEマスター暗号化キーがOracle Key Vaultから離れることを制限されている場合、つまり、それをOracle Key Vaultから抽出できない場合、Oracle Key VaultのPKCS#11ライブラリは、Oracle Key Vault内で暗号化および復号化操作を実行します。

Oracle Key Vaultから対称暗号化キーを取得(抽出)できるかどうかを制御するには、Oracle Key Vault管理コンソール、RESTfulサービス・ユーティリティ・コマンド、C SDK APIおよびJava SDK APIを使用できます。

この機能拡張に対応するために、次のOracle Key Vault RESTfulサービス・ユーティリティ・コマンドが更新されました。

• okv managed-object attribute get
• okv managed-object attribute get-all
• okv managed-object attribute list
• okv managed-object attribute modify
• okv managed-object key create
• okv managed-object key register
• okv managed-object object locate

抽出可能属性を管理するためのC SDKの新しいAPI:

• okvAttrAddExtractable
• okvAttrAddNeverExtractable
• okvAttrGetExtractable
• okvAttrGetNeverExtractable

抽出可能属性を管理するためのJava SDKの新しいAPI:

• okvAttrAddExtractable
• okvAttrAddNeverExtractable
• okvAttrGetExtractable
• okvAttrGetNeverExtractable

1.2.5.2 RESTfulサービス・ユーティリティでの暗号操作のサポート

Oracle Key Vaultリリース21.4では、Oracle Key Vault内で暗号操作を実行するためのサポートが追加されています。

RESTfulサービス・ユーティリティ・コマンドまたはCおよびJava SDKを使用して、暗号化および復号化操作を実行できます。

この機能拡張は、Oracle Key Vaultから抽出されないように構成された対称キーの使用に対応しています。

新しいコマンドは次のとおりです。

• okv crypto data decrypt
• okv crypto data encrypt

1.2.5.3 暗号操作用のCおよびJava SDK API

Oracle Key VaultクライアントSDKリリース21.4では、暗号操作のサポートが追加されています。

Oracle Key Vaultリリース21.4では、Oracle Key Vault内で暗号化と復号化の暗号操作を実行するためのサポートが追加されています。

RESTfulサービス・ユーティリティ・コマンドまたはCおよびJava SDKを使用して、暗号化および復号化操作を実行できます。

C SDK API

• KMIP暗号操作は次のとおりです。
  • okvDecrypt
  • okvEncrypt
• 属性操作は次のとおりです。
  • okvAttrAddExtractable
  • okvAttrAddNeverExtractable
  • okvAttrGetExtractable
  • okvAttrGetNeverExtractable
• 暗号ユーティリティ操作は次のとおりです。
  • okvCryptoContextCreate
  • okvCryptoContextFree
  • okvCryptoContextGetAuthEncryptionAdditionalData
  • okvCryptoContextGetAuthEncryptionTag
  • okvCryptoContextGetBlockCipherMode
  • okvCryptoContextGetIV
  • okvCryptoContextGetPadding
  • okvCryptoContextGetRandomIV
  • okvCryptoContextSetAuthEncryptionAdditionalData
  • okvCryptoContextSetAuthEncryptionTag
  • okvCryptoContextSetBlockCipherMode
  • okvCryptoContextSetIV
  • okvCryptoContextSetPadding
  • okvCryptoContextSetRandomIV
  • okvCryptoResponseGetAuthEncryptionTag
  • okvCryptoResponseGetDecryptedData
  • okvCryptoResponseGetEncryptedData
  • okvCryptoResponseGetIV
  • okvDecryptResponseCreate
  • okvDecryptResponseFree
  • okvEncryptResponseCreate
  • okvEncryptResponseFree

Java SDK API

• KMIP暗号操作は次のとおりです。
  • okvDecrypt
  • okvEncrypt
• 属性操作は次のとおりです。
  • okvAttrAddExtractable
  • okvAttrAddNeverExtractable
  • okvAttrGetExtractable
  • okvAttrGetNeverExtractable
• 暗号ユーティリティ操作は次のとおりです。
  • okvCryptoContextCreate

1.2.5.4 証明書管理の機能拡張

Oracle Key Vaultリリース21.4以降、証明書の管理に加えられたいくつかの機能拡張を利用できます。

機能拡張は次のとおりです。

• 外部証明書署名機関によって署名されたOracle Key Vault認証局(CA)証明書の使用のサポート: サード・パーティの署名機関によって発行されたCA証明書を持つことを選択できます。このオプションを実施するには、最初に証明書署名リクエスト(CSR)を生成し、そのCSRが外部署名機関によって署名された後、その署名済CAをOracle Key Vaultにアップロードします。その後、Oracle Key Vault上のすべての証明書(エンドポイント証明書、およびOracle Key Vaultマルチマスター・クラスタ・ノード間の通信に使用されるもの)が新しいCAによって再発行されるように、CA証明書のローテーションを実行する必要があります。以前のリリースでは、Oracle Key Vault CA証明書は常に自己署名されていました。
• Oracle Key Vault自己署名ルートCA証明書の有効期間を構成する機能: Oracle Key Vault自己署名CAの証明書の有効期間を構成できます。新しい有効期間は、CA証明書のローテーションが次に実行されたときに有効になります。以前は、この値は固定されていて変更できませんでした。
• マルチマスター・クラスタ環境で、Oracle Key Vault CA証明書のローテーション・プロセス中にエンドポイントがローテーションされる順序を設定する機能: この機能拡張により、CA証明書のローテーション中にエンドポイントがローテーションされる順序を構成できます。このリリース以降、エンドポイントはデフォルトで、エンドポイント証明書の有効期限の順にローテーションされます(つまり、最も早く期限切れになるものが最初にローテーションされます)。CA証明書のローテーションを開始する前に、クラスタ・サブグループの優先度リストを指定してエンドポイントのローテーションを順序付けすることもできます。これにより、CA証明書のローテーション・プロセス中に、優先度リストの上位のクラスタ・サブグループに属するエンドポイントが、優先度の低いクラスタ・サブグループのエンドポイントよりも前にローテーションされます。以前のリリースでは、CA証明書のローテーションが実行されるときに、エンドポイントはランダムにローテーションされていました。
• Oracle Key Vault CA証明書のローテーション中にローテーションされるエンドポイントのバッチ番号を構成する機能: CA証明書のローテーション・プロセスの特定の時点でUpdating to current certificate issuer状態になることができるエンドポイントの数を構成できます。この値は、Oracle Key Vault構成のエンドポイント数に基づいて構成できます。以前は、この値は静的であり、リリースによって異なりました(たとえば、Oracle Key Vaultリリース21.3では最大15個のエンドポイントがこの状態になることができました)。
• Oracle Key Vaultサーバー証明書およびノード証明書をローテーションする機能: このリリース以降、Oracle Key Vaultシステム(マルチマスター・クラスタ環境のクラスタ・ノード、またはプライマリ環境とスタンバイ環境)間の通信、およびOracle Key Vaultシステムとそのエンドポイントの間の通信に使用される証明書は、サーバー証明書(スタンドアロン環境またはプライマリ/スタンバイ環境の場合)およびノード証明書(マルチマスター・クラスタ環境の場合)と呼ばれるようになりました。この機能拡張により、Oracle Key Vault CA証明書、サーバー証明書およびノード証明書について異なる有効期間を選択できるようになったため、操作の柔軟性が向上しています。これにより、CA証明書のローテーション・プロセス全体を実行しなくても、サーバー証明書とノード証明書を必要に応じて何度でもローテーションできます。

1.2.5.5 古いOracle Key Vaultバックアップのポリシー・ベース自動パージのサポート

Oracle Key Vaultリリース21.4以降、1つ以上のリモート・バックアップの削除をスケジュールするポリシーを作成できます。

リモート・バックアップ先のサーバーでOracle Key Vaultバックアップによって消費されるディスク領域をより効率的に管理できるようになり、それらが不要になったとみなされたときに手動で削除する必要はありません。ポリシーに基づいてリモート・バックアップ先から古いバックアップを自動的にパージするようにOracle Key Vaultを構成できます。たとえば、バックアップが最新の10個のバックアップに含まれないかぎり、30日より古いバックアップを自動的にパージするポリシーを構成してリモート・バックアップ先に適用できます。さらに、ローカルのOracle Key Vaultバックアップを手動で削除できるようになりました。

1.2.5.6 RESTfulサービス・ユーティリティでの古いOracle Key Vaultバックアップのポリシー・ベース自動パージのサポート

Oracle Key Vaultリリース21.4以降、ローカルのOracle Key Vaultバックアップを手動でパージすることも、1つ以上のリモート・バックアップをパージする宛先ポリシーを作成することもできます。

次のコマンドが更新されました。

• okv backup destination create
• okv backup destination update

次のコマンドが新しく導入されました。

• okv backup destination delete-backup
• okv backup destination-policy create
• okv backup destination-policy delete
• okv backup destination-policy get
• okv backup destination-policy list
• okv backup destination-policy list-purged-backups
• okv backup destination-policy update
• okv backup destination resume-policy
• okv backup destination suspend-policy

1.2.5.7 Oracle Key Vaultの管理ロールの付与を制限する機能

Oracle Key Vaultリリース21.4以降、Oracle Key Vaultの管理ロールの権限受領者が他のOracle Key Vaultユーザーにそのロールを付与できるかどうかを制御できます。

以前のリリースでは、Oracle Key Vaultの管理ロール(システム管理者、キー管理者および監査マネージャ)を、そのロールを現在持っているユーザーが別のOracle Key Vaultユーザーに付与できました。このリリース以降、管理者がそのロールを別のユーザーに付与するときに、管理者は、権限受領ユーザーがさらにそのロールを他のユーザーに付与する方法を制限できます。この機能拡張により、全体的なユーザー・セキュリティが向上するとともに、最小権限に関する適切な手法に従うことができます。

1.2.5.8 エンドポイント、エンドポイント・グループおよびウォレット関連のRESTfulサービス・ユーティリティ・コマンドの機能拡張

Oracle Key Vaultリリース21.4以降、エンドポイント、エンドポイント・グループおよびウォレットでより多くの操作を実行できるように、追加のコマンドが提供されています。

新しいコマンドは次のとおりです。

• okv admin endpoint get
• okv admin endpoint list
• okv admin endpoint list-objects
• okv admin endpoint resume
• okv admin endpoint suspend
• okv manage-access endpoint-group get
• okv manage-access endpoint-group list
• okv manage-access wallet add-object
• okv manage-access wallet get
• okv manage-access wallet list
• okv manage-access wallet list-objects
• okv manage-access wallet remove-object

エンドポイントのオブジェクトをリストするコマンド(okv admin endpoint list-objects)およびウォレットのオブジェクトをリストするコマンド(okv admin wallet list-objects)には、オブジェクトのウォレット・メンバーシップを表示または非表示にするオプションがあります。オブジェクトのウォレット・メンバーシップ情報を省略すると、コマンドのパフォーマンスを向上させることができます。

1.2.5.9 エンドポイントの構成の更新に関するサポート

Oracle Key Vaultリリース21.4以降、RESTfulサービス・ユーティリティ・コマンドokv admin endpoint updateを使用して、エンドポイント構成パラメータと、エンドポイントのキーおよびシークレットに関するエンドポイント設定を更新できます。

エンドポイント構成パラメータには様々なPKCS#11設定が含まれ、キーとシークレットに関するエンドポイント設定には、新しい対称キーのextractable属性設定が含まれます。

1.2.5.10 日付および時刻を設定するRESTfulコマンドがISO 8601標準に対応

Oracle Key Vaultリリース21.4以降、durationの時間間隔設定はISO 8601標準に準拠するようになり、RESTfulコマンドを使用する際の日付および時刻設定の固定書式はISO 8601と互換性があります。

次の書式を指定できます。

• duration (ISO 8601標準に準拠)
• timestamp (ISO 8601標準と互換性がある書式)
• now (コマンド実行時の現在の時刻を表します)

これらの書式を次のように組み合せて使用できます。

• timestamp
• now
• timestamp + duration
• now + duration

以前のリリースで使用されていたtimestamp書式は、引き続きサポートされます。

この機能拡張のために、次のコマンドが更新されました。

• okv backup schedule create
• okv backup schedule update
• okv managed-object attribute add
• okv managed-object attribute delete
• okv managed-object attribute modify
• okv managed-object certificate-request register
• okv managed-object key register
• okv managed-object object locate
• okv managed-object opaque register
• okv managed-object private_key register
• okv managed-object public-key register
• okv managed-object secret register

1.2.5.11 RESTfulサービス・ユーティリティのコマンドライン・ヘルプのサポート

Oracle Key Vaultリリース21.4以降、RESTfulサービス・ユーティリティ・コマンドに関するコマンドライン・ヘルプ情報を確認できます。

この機能拡張により、すべてのOracle Key Vault RESTfulサービス・ユーティリティ・コマンドでサポートされている様々なカテゴリ、リソースおよびアクションに関する詳細なヘルプ情報を確認できます。ヘルプ情報には、コマンドの構文および使用可能なカテゴリ、リソース、アクションの定義と、すべてのコマンドに適用可能な構成パラメータが表示されます。

1.2.5.12 Oracle Key VaultのKMIPサーバーの推奨KMIPバージョンを1.1に更新

Oracle Key VaultのKMIPサーバーでは、KMIPプロトコル・バージョン1.1が推奨バージョンとして使用されるようになりました。

Oracle Key Vaultの以前のリリースでは、KMIPサーバーは、KMIPバージョン1.1によるクライアント・リクエストを受け入れて処理していましたが、サーバー・レスポンスの送信には常にKMIPバージョン1.0を使用していました。現在、KMIPサーバーは、KMIPリクエストが行われたプロトコル・バージョンでレスポンスを送信します。また、KMIPサーバーは、サポートされていないKMIPバージョンで行われたクライアント・リクエストについてはエラーを返すように機能拡張されています。このようなエラー・レスポンスは、現在1.1に設定されているサーバーの推奨KMIPバージョンを使用して返されます。

1.2.5.13 Oracle Key Vault監査証跡のクライアントIPアドレス

Oracle Key Vaultリリース21.4以降、Oracle Key Vault監査証跡には、Client IPという1つの新しいフィールドがあります。

Oracle Key Vault監査証跡には、操作を実行したエンティティの名前とタイプ、操作が実行された時刻、操作が実行されたノード、操作の結果などの情報を取得するフィールドが含まれています。Client IPフィールドの追加により、ユーザーが、操作が実行された場所(特にクラウド環境内)をより適切に検索できます。

1.2.5.14 SDKを使用してKMIPサーバー操作が実行されたときにクライアント・エンドポイント・ファイルが更新される

SDKを使用してKMIPサーバー操作が実行されたときに、クライアント・エンドポイント・ファイルokvclient.oraが更新されるようになりました。

Oracle Key Vaultリリース21.4より前は、SDKを使用してKMIPサーバー操作が実行されるたびに、クライアント・エンドポイント・ファイルokvclient.oraが更新されることはありませんでした。現在、Oracle Key VaultクライアントSDKを使用してKMIPサーバー操作が実行されるたびに、新しいエンドポイント更新があれば、クライアント・エンドポイント・ファイルokvclient.oraが更新されます。

1.2.5.15 SNMPによる追加のモニタリング情報のサポート

Oracle Key Vaultリリース21.4以降、SNMP nsExtendOutputFull MIBベース変数を使用して追加のモニタリング情報を参照できます。

nsExtendOutputFull MIBベース変数は、次の値を返すようになりました。

• 高速リカバリ・サイズ、使用済領域および空き領域
• Tomcatサーバーのステータス
• Oracle Audit Vaultエージェント・ステータス
• CA証明書の有効期限
• サーバー証明書の有効期限
• サーバー証明書のサブジェクト代替名(SAN)

1.2.6 Oracle Key Vaultリリース21.3での変更点

Oracle Key Vaultリリース21.3には、いくつかの新機能が導入されています。

• Oracle Key Vault用に他のHSMを構成する機能
  Oracle Key Vaultリリース21.3以降、Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1 HSMに加えて、Oracle Key Vaultと連携するために動作保証されている他のHSMを構成できます。
• Oracle Key VaultとのOracle Audit Vault and Database Firewallのより簡単な統合
  Oracle Key Vaultリリース21.3以降、Oracle Key VaultとのOracle Audit Vault and Database Firewall (AVDF)の統合のステップが自動化されています。
• 登録に使用されるRESTfulサービス・ユーティリティ・コマンドの拡張
  Oracle Key Vaultリリース21.3では、管理対象オブジェクトの登録に使用されるRESTfulサービス・ユーティリティ・コマンドに追加の属性があります。
• 高速リカバリ領域使用率のアラート
  Oracle Key Vaultリリース21.3以降、Oracle Key Vaultの埋込みデータベースの高速リカバリ領域使用率が構成済のしきい値を超えた場合にアラートが生成されます。
• クラスタREDO出荷ステータスのアラート・メッセージの変更
  Oracle Key Vaultリリース21.3以降、Cluster Redo Shipping Statusアラート通知メッセージが変更されました。

1.2.6.1 Oracle Key Vault用に他のHSMを構成する機能

Oracle Key Vaultリリース21.3以降、Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1 HSMに加えて、Oracle Key Vaultと連携するために動作保証されている他のHSMを構成できます。

このような追加のHSMは、HSMベンダーによってすでに認証されている場合も、認証されていない場合もあります。

この機能により、Oracle Key Vaultで使用できる、より広範なHSM製品が提供されます。この構成は、HSMがOracle Key Vaultと連携するためにHSMベンダーが満たす必要がある要件に関して、HSMベンダーと協力する必要があるという点で、Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、およびUtimacoのSecurityServer 4.31.1 HSMの構成とは少し異なります。HSMとOracle Key Vaultを正常に統合した後は、アップグレード操作、バックアップおよびリストア操作、リバース移行など、Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、およびUtimacoのSecurityServer 4.31.1 HSMを使用して通常実行するすべてのタスクを実行できます。

1.2.6.2 Oracle Key VaultとのOracle Audit Vault and Database Firewallのより簡単な統合

Oracle Key Vaultリリース21.3以降、Oracle Key VaultとのOracle Audit Vault and Database Firewall (AVDF)の統合のステップが自動化されています。

以前のリリースでは、Oracle Key Vault管理者は、この統合を実行するために、AVDFエージェントのダウンロードやインストールなどのステップを手動で実行する必要がありました。現在、この統合作業の多くはOracle Key Vault管理コンソールに組み込まれているため、管理者は簡単にすばやく統合を実行できます。

1.2.6.3 登録に使用されるRESTfulサービス・ユーティリティ・コマンドの拡張

Oracle Key Vaultリリース21.3では、管理対象オブジェクトの登録に使用されるRESTfulサービス・ユーティリティ・コマンドに追加の属性があります。

影響を受けるコマンドは次のとおりです。

• okv managed-object certificate register
• okv managed-object certificate-request register
• okv managed-object key register
• okv managed-object opaque register
• okv managed-object private-key register
• okv managed-object public-key register
• okv managed-object secret register

以前のリリースでは、これらのコマンドにより2つの属性nameおよびcontactInfoが提供されました。このリリースでは、これら2つの属性に加えて、次の新しい属性が含まれています。

• activationDate
• deactivationDate
• processStartDate
• protectStopDate

1.2.6.4 高速リカバリ領域使用率のアラート

Oracle Key Vaultリリース21.3以降、Oracle Key Vaultの埋込みデータベースの高速リカバリ領域使用率が構成済のしきい値を超えた場合にアラートが生成されます。

デフォルトでは、構成されたしきい値は70で、スタンドアロン、マルチマスター・クラスタ、およびプライマリ/スタンバイ環境でアラートを使用できます。新しいアラートを使用すると、Oracle Key Vaultの埋込みデータベースの高速リカバリ領域使用率をより適切にモニターできます。

1.2.6.5 クラスタREDO出荷ステータスのアラート・メッセージの変更

Oracle Key Vaultリリース21.3以降、Cluster Redo Shipping Statusアラート通知メッセージが変更されました。

以前のリリースでは、REDO出荷ステータスがアクティブ(稼働中)または非アクティブ(停止中)であった場合にのみ、ユーザーにアラートがありました。この情報に加えて、このメッセージは、クラスタ内のノードが読取り専用モードで動作しているのか、読取り専用モードでなくなったのかを示します。

1.2.7 Oracle Key Vaultリリース21.2での変更点

Oracle Key Vaultリリース21.2では、インストールおよびアップグレード操作に関連する新機能が導入されています。

• 証明書およびシークレット・オブジェクトの期限切れのアラート
  このリリース以降、証明書およびシークレット・オブジェクトの期限切れに関するアラート通知を構成できます。
• 証明書、証明書リクエスト、秘密キーおよび公開キー用の新しいCおよびJava SDK API
  Oracle Key Vaultリリース21.2では、新しいAPIを使用して、オブジェクトの登録とフェッチ、それらのオブジェクトへの属性(長さ、タイプ、ID、サブジェクト、発行者、アルゴリズムなど)の追加などの操作を実行できます。
• 新規および変更されたRESTfulサービス・ユーティリティ・コマンド
  このリリース以降、新規および変更されたokv managed-object RESTfulサービス・ユーティリティ・コマンドをいくつか使用できます。
• Oracle Key Vault管理コンソールの変更点
  Oracle Key Vaultリリース21.2では、Oracle Key Vault管理コンソールのユーザー・インタフェースに小さな変更があります。

1.2.7.1 証明書およびシークレット・オブジェクトの期限切れのアラート

このリリース以降、証明書およびシークレット・オブジェクトの期限切れに関するアラート通知を構成できます。

以前のリリースでは、すべての管理対象オブジェクトの期限切れのアラートがKey Rotationsアラートで共通構成を共有していました。このリリース以降、証明書およびシークレット・オブジェクトの期限切れのアラートを個別に構成できます。証明書およびシークレット・オブジェクトの期限切れのアラートは、Key Rotationsアラートとしてレポートされなくなります。クラスタ・コンポーネントやユーザー・パスワードの期限切れなどのアラートと同様に、証明書またはシークレット・オブジェクトの非アクティブ化日がしきい値内にある場合にはユーザーに通知するようにこのタイプのアラートを設定できます。

証明書およびシークレット・オブジェクトの新しいアラートは次のとおりです。

• Certificate Object Expiration
• Secret Object Expiration

オブジェクトの期限切れのアラートが発生するのは、オブジェクトがPRE-ACTIVEまたはACTIVE状態の場合のみになりました。以前は、オブジェクトの状態に関係なく発生していました。

オブジェクトが取り消されるか破棄されると、オブジェクトの期限切れのアラートが削除されるようになりました。以前は、オブジェクトが破棄されたときに削除されていました。

1.2.7.2 証明書、証明書リクエスト、秘密キーおよび公開キー用の新しいCおよびJava SDK API

Oracle Key Vaultリリース21.2では、新しいAPIを使用して、オブジェクトの登録とフェッチ、それらのオブジェクトへの属性(長さ、タイプ、ID、サブジェクト、発行者、アルゴリズムなど)の追加などの操作を実行できます。

C SDK API

登録およびフェッチ操作は次のとおりです。

• okvGetCertificate

• okvGetCertificateRequest

• okvGetPrivateKey

• okvGetPublicKey

• okvRegCertificate

• okvRegCertificateRequest

• okvRegPrivateKey

• okvRegPublicKey

属性操作は次のとおりです。

• okvAttrAddCertLen

• okvAttrAddCertType

• okvAttrAddDigitalSignAlgo

• okvAttrAddX509CertId

• okvAttrAddX509CertIss

• okvAttrAddX509CertIssAltName

• okvAttrAddX509CertSubj

• okvAttrAddX509CertSubjAltName

• okvAttrGetCertLen

• okvAttrGetCertType

• okvAttrGetDigitalSignAlgo

• okvAttrGetX509CertId

• okvAttrGetX509CertIdIssuerLen

• okvAttrGetX509CertIdSerialNoLen

• okvAttrGetX509CertIss

• okvAttrGetX509CertIssAltName

• okvAttrGetX509CertIssAltNameLen

• okvAttrGetX509CertIssDNLen

• okvAttrGetX509CertSubj

• okvAttrGetX509CertSubjAltName

• okvAttrGetX509CertSubjAltNameLen

• okvAttrGetX509CertSubjDNLen

Java SDK API

登録およびフェッチ操作は次のとおりです。

• okvGetCertificate

• okvGetCertificateRequest

• okvGetPrivateKey

• okvGetPublicKey

• okvRegCertificate

• okvRegCertificateRequest

• okvRegPrivateKey

• okvRegPublicKey

属性操作は次のとおりです。

• okvAttrAddArchiveDate

• okvAttrAddCertLen

• okvAttrAddCertType

• okvAttrAddDigitalSignAlgo

• okvAttrAddInitialDate

• okvAttrAddLastChangeDate

• okvAttrAddState

• okvAttrAddX509CertId

• okvAttrAddX509CertIss

• okvAttrAddX509CertIssAltName

• okvAttrAddX509CertSubj

• okvAttrAddX509CertSubjAltName

• okvAttrGetCertLen

• okvAttrGetCertType

• okvAttrGetDigitalSignAlgo

• okvAttrGetX509CertId

• okvAttrGetX509CertIss

• okvAttrGetX509CertIssAltName

• okvAttrGetX509CertSubj

• okvAttrGetX509CertSubjAltName

1.2.7.3 新規および変更されたRESTfulサービス・ユーティリティ・コマンド

このリリース以降、新規および変更されたokv managed-object RESTfulサービス・ユーティリティ・コマンドをいくつか使用できます。

証明書リクエスト、秘密キーおよび公開キーに対するgetおよびregister操作のサポートを追加する新規のokv managed-object RESTfulサービス・コマンドは、次のとおりです。

• okv managed-object certificate-request get
• okv managed-object certificate-request register
• okv managed-object private-key get
• okv managed-object private-key register
• okv managed-object public-key get
• okv managed-object public-key register

変更されたokv managed-object RESTfulサービス・コマンドは次のとおりです。

• okv managed-object certificate register
• okv managed-object object locate

1.2.7.4 Oracle Key Vault管理コンソールの変更点

Oracle Key Vaultリリース21.2では、Oracle Key Vault管理コンソールのユーザー・インタフェースに小さな変更があります。

これらの変更は、用語の変更、現在のリリースへの更新および利便性向上のための拡張によるものです。インタフェース全体に大きな変更はありません。

1.2.8 Oracle Key Vaultリリース21.1での変更点

Oracle Key Vaultリリース21.1には、いくつかの新機能が導入されています。

• デュアルNICネットワーク・インタフェースのサポート
  このリリース以降、Oracle Key VaultではデュアルNIC構成と呼ばれる2つのネットワーク・インタフェースの使用がサポートされています。
• Oracle Key VaultでのLDAPユーザーの認証および認可
  このリリース以降、Oracle Key Vaultユーザーの認証および認可をMicrosoft Active Directoryで集中管理するように構成できます。
• アプライアンス管理用のRESTfulサービス・ユーティリティのコマンドライン・インタフェース
  Oracle Key Vaultリリース21.1では、より多くの機能を提供するために、RESTfulサービスのコマンドライン・インタフェースを拡張および再設計しました。
• 外部バックアップを転送するSFTPのサポート
  Oracle Key Vaultでは、リモート・バックアップ先への(スケジュールされた)外部バックアップの転送におけるSSHセキュア・ファイル転送プロトコル(SFTP)の使用がサポートされるようになりました。
• Java SDKを使用した開発
  このリリースでは、カスタム・エンドポイントとOracle Key Vaultサーバーの統合に使用できる新しいJava言語ソフトウェア開発キットが導入されています。
• C SDKを使用した開発
  このリリースでは、カスタム・エンドポイントとOracle Key Vaultサーバーの統合に使用できる新しいC言語ソフトウェア開発キットが導入されています。

1.2.8.1 デュアルNICネットワーク・インタフェースのサポート

このリリース以降、Oracle Key VaultではデュアルNIC構成と呼ばれる2つのネットワーク・インタフェースの使用がサポートされています。

デュアルNIC構成では、Oracle Key Vaultは、Linux NIC結合メカニズムを使用して2つのネットワーク・インタフェースを単一の論理インタフェースに結合し、ネットワーク・レイヤーで冗長性を提供します。デュアルNIC構成では、いずれかのインタフェースが使用できなくなった場合に、Oracle Key Vaultのネットワーク可用性が維持されます。デュアルNIC構成モードによっては、ネットワーク・トラフィックの負荷分散も実現できます。

このタイプの構成は、物理的障害またはソフトウェア障害がある場合も操作を継続する必要性が高い大規模なOracle Key Vaultデプロイメントで特に役立ちます。デュアルNICネットワーク・インタフェースを構成すると、たとえば、Oracle Key Vaultサーバーに関連付けられたネットワーク・インタフェースが使用できなくなり、Oracle Key Vaultノード間およびエンドポイントとOracle Key Vaultサーバー間の通信が失われる可能性があるシナリオを回避するのに役立ちます。

以前のリリースでは、Oracle Key Vaultは単一のネットワーク・インタフェースのみをサポートしていました。このリリースでOracle Key Vaultをインストールおよび構成する場合は、単一のネットワーク・インタフェース(クラシック・モード)を使用するか、デュアルNICモードを使用するかを選択できます。

1.2.8.2 Oracle Key VaultでのLDAPユーザーの認証および認可

このリリース以降、Oracle Key Vaultユーザーの認証および認可をMicrosoft Active Directoryで集中管理するように構成できます。

この機能は、エンタープライズ・ユーザーがMicrosoft Active Directoryで集中管理される大規模なデプロイメント環境に役立ちます。ユーザーの集中管理は、異なるシステムおよびアプリケーションでのユーザー・アカウントの作成とは対照的に、管理者にとってより簡単で効率的であることに加え、コンプライアンス、制御およびセキュリティを向上させます。Microsoft Active Directoryユーザーがディレクトリ資格証明を使用してOracle Key Vaultで認証できるようにします。Oracle Key Vaultでディレクトリ・ユーザーの認可を管理するには、Microsoft Active DirectoryグループとOracle Key Vaultの管理ロールまたはユーザー・グループ間のマッピング定義を使用します。ディレクトリ・ユーザーがOracle Key Vaultに初めて正常にログインすると、Oracle Key VaultによってこのユーザーのOracle Key Vaultユーザー・アカウントが自動的に作成されます。

1.2.8.3 アプライアンス管理用のRESTfulサービス・ユーティリティのコマンドライン・インタフェース

Oracle Key Vaultリリース21.1では、より多くの機能を提供するために、RESTfulサービスのコマンドライン・インタフェースを拡張および再設計しました。

この再設計には、次のものが含まれます。

• 次の形式の構造化および簡略化されたコマンドライン・インタフェース:

  okv category resource action configuration-options command-options 

• 複数のOracle Key Vaultエンドポイントを集中管理するための構成ファイルでのプロファイルのサポート。
• JSONでのコマンド入力および出力のサポート。
• エンドポイント、ウォレットおよびセキュリティ・オブジェクトの現在の機能に対する拡張に加えて、システム管理タスクおよびデプロイメントのモニタリングをサポートする新しいコマンド。

以前のリリースでは、RESTfulコマンドライン・インタフェースはエンドポイント、ウォレットおよびセキュリティ・オブジェクト管理コマンドのみを対象としていました。スタンドアロン、マルチマスターおよびプライマリ/スタンバイ環境のバックアップ操作およびサーバー操作用のコマンドを含むシステム管理コマンドの追加は、これらのタイプの構成の自動化を必要とする大規模なデプロイメントに利点があります。

以前のRESTfulサービスAPIも引き続きサポートされています。

1.2.8.4 外部バックアップを転送するSFTPのサポート

Oracle Key Vaultでは、リモート・バックアップ先への(スケジュールされた)外部バックアップの転送におけるSSHセキュア・ファイル転送プロトコル(SFTP)の使用がサポートされるようになりました。

SFTPを使用すると、ZFS Storage Applianceをバックアップ先として使用できます。セキュア・コピー・プロトコル(SCP)の使用もサポートされます。

1.2.8.5 Java SDKを使用した開発

このリリースでは、カスタム・エンドポイントとOracle Key Vaultサーバーの統合に使用できる新しいJava言語ソフトウェア開発キットが導入されています。

Java SDKを使用すると、開発者はOracle Key Vault用に独自のカスタム・エンドポイント統合ソリューションを作成できます。

1.2.8.6 C SDKを使用した開発

このリリースでは、カスタム・エンドポイントとOracle Key Vaultサーバーの統合に使用できる新しいC言語ソフトウェア開発キットが導入されています。

C SDKを使用すると、開発者はOracle Key Vault用に独自のカスタム・エンドポイント統合ソリューションを作成できます。

1.3 Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード

最新バージョンのOracle Key Vaultのソフトウェアおよびドキュメントはいつでもダウンロードできます。

• Oracle Key Vaultインストール・ソフトウェアのダウンロード
  
• Oracle Key Vaultのドキュメントのダウンロード
  

1.3.1 Oracle Key Vaultインストール・ソフトウェアのダウンロード

新規インストールの場合は、Software Delivery CloudからOracle Key Vaultソフトウェアをダウンロードできます。このパッケージは、Oracle Key Vaultのアップグレードには使用できません。既存のOracle Key Vaultデプロイメントからのアップグレードの場合、アップグレード手順を記載したreadmeファイルを含んだMy Oracle Support WebサイトからOracle Key Vaultのアップグレード・ソフトウェアをダウンロードできます。

1. WebブラウザでOracle Software Delivery Cloudポータルにアクセスします。

   https://edelivery.oracle.com

2. 「Sign In」をクリックし、入力を求められたら、「User ID」および「Password」に入力します。
3. 「All Categories」メニューで、「Release」を選択します。次のフィールドで、「Oracle Key Vault」と入力して、「Search」をクリックします。
4. 表示されたリストから「Oracle Key Vault 21.8.0.0.0」を選択するか、「Oracle Key Vault 21.8.0.0.0」の横にある「+Add to Cart」ボタンをクリックします。
   ダウンロードがカートに追加されます。(カートの中身を確認するには、画面の右上にある「View Cart」をクリックします。)
5. 「Checkout」をクリックします。
6. 次のページでインストール・パッケージの詳細を確認して、「Continue」をクリックします。
7. 「Oracle Standard Terms and Restrictions」ページで、契約条件を読み、同意した後、「I have reviewed and accept the terms of the Commercial License, Special Programs License, and/or Trial License」を選択して「Continue」をクリックします。

   ダウンロード・ページが表示され、次のOracle Key Vault ISOファイルがリストされます。

   • Vpart_number.iso (Oracle Key Vault 21.8.0.0.0)

8. 「Print」ボタンの右側にある「View Digest Details」をクリックします。

   ISOファイルのリストが展開され、ISOファイルのSHA-1およびSHA-256チェックサム参照番号が表示されます。

9. SHA-256チェックサム参照番号をコピーし、後で参照するために保存します。
10. 「Download」をクリックして、ISOファイルを保存する場所を選択します。
11. 「Save」をクリックします。

    ISOファイルのサイズは4 GBを超えるため、ネットワーク速度によってはダウンロードに時間がかかることがあります。ダウンロードの推定時間と推定速度が「File Download」ダイアログ・ボックスに表示されます。

12. ISOファイルが指定した場所にダウンロードされたら、ダウンロードされたファイルのSHA-256チェックサムを確認します。

    $ sha256sum Vpart_number.iso

    チェックサムが、ステップ9で「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。

13. 必要に応じて、Vpart_number.isoファイルをDVD-ROMディスクに書き込み、ディスクにラベルを付けます。
    OKV 21.8

これで、サーバー・マシンにOracle Key Vaultをインストールできます。

1.3.2 Oracle Key Vaultのドキュメントのダウンロード

1. Oracleドキュメント・サイトにアクセスします。

   https://docs.oracle.com/en/database/

2. 「Oracle Database Related Products」を選択します。
3. 「Database Security」セクションで、リリース・ノートを含む最新バージョンのOracle Key Vault 21.8ドキュメントを検索してダウンロードします。

1.4 既知の問題

このリリースの時点で、Oracle Key Vaultにはまれな状況で発生する可能性がある問題があります。各問題の回避策が提供されます。

• 一般的な問題
  
• アップグレードの問題
  
• プライマリ/スタンバイの問題
  
• マルチマスター・クラスタの問題
  
• ソフトウェア開発キットの問題
  

1.4.1 一般的な問題

この項では、Oracle Key Vaultに関する一般的な問題について説明します。

• 11.2.0.4 DBを使用するWindowsエンドポイント用のokvutilによって証明書属性がアップロードされない
  
• サーバーが再起動されるまで、KMIPデーモンがエンドポイントの処理を停止する場合がある
  
• 証明書のローテーション中にKMIPDが複数のノードで同時に停止することがある
  
• HP-UXシステムで、SELECT FROM V$ENCRYPTION_KEYSを実行するとORA-28407が返されることがある
  
• 問題の修正後もOracle Key Vaultアラートが引き続きリストに表示される
  
• FIPSモードのOracle Key Vaultの起動時の警告
  
• Java Keystoreがokvutilユーティリティの-oオプションを使用してアップロードされた場合、秘密キーが上書きされない
  
• RESTを使用してKMIPサーバー操作が実行されたときの最新のスキャン・リスト、構成パラメータおよび証明書ローテーションの更新によるクライアント・エンドポイント・ソフトウェアの更新
  
• Oracle Key VaultとOracle Audit Vault 20.8の統合に失敗する
  
• Oracle Key Vaultエンドポイント・ユーティリティは、KeyStoreパスワードとは異なるパスワードを持つキーを含むJava KeyStoreのアップロード時にエラーをスローする
  
• ブラウザ表示言語が英語でない場合、Oracle Key Vault操作が失敗する
  
• scp転送方法の使用時にリモート・バックアップ先の作成に失敗する
  

1.4.1.1 11.2.0.4 DBを使用するWindowsエンドポイント用のokvutilによって証明書属性がアップロードされない

問題: Oracle Databaseリリース11.2.0.4が搭載されたWindowsエンドポイント・システムから、証明書が含まれているオブジェクトをOracle Key Vaultサーバーにアップロードすると、このようにアップロードした証明書の暗号化アルゴリズムと暗号の長さが管理コンソールに表示されません。

回避策: 証明書の暗号化アルゴリズムと暗号の長さが表示されるようにする場合は、エンドポイント・プラットフォームまたはOracle Databaseバージョンの別の組合せから、このようなオブジェクトをアップロードすることを検討してください。

バグ番号: 32855953

1.4.1.2 サーバーが再起動されるまで、KMIPデーモンがエンドポイントの処理を停止する場合がある

問題: データベース・バグ33846119により、エンドポイント・リクエストを処理するKMIPデーモンがOracle Key Vaultサーバーで動作を停止する場合があることが確認されています。これは、CA証明書のローテーション操作中に確認されました。エンドポイントでは、特定のノードによって証明書がローテーションされる必要があるため、この結果として、特定のエンドポイントがスタックすることがあります。管理コンソールの「Endpoint Details」ページで、そのエンドポイントは、他のノードに対するエンドポイント操作が繰り返し成功しても、「Common Name of Certificate Issuer」が「Updating to current certificate issuer」でスタックし、新しいCA証明書の共通名に遷移しないと表示されます。スタンドアロンおよびプライマリ/スタンバイ構成では、この結果として、エンドポイントがサーバーからのオブジェクトのフェッチに失敗することがあります。マルチマスター・クラスタ環境では、エンドポイントは他のノードからオブジェクトをフェッチできますが、影響を受けるノードからはフェッチできません。

回避策: サーバーを再起動すると問題が解決します。

バグ番号: 33846151

1.4.1.3 証明書のローテーション中にKMIPDが複数のノードで同時に停止することがある

問題: 証明書のローテーション中に、kmipおよびkmipusデーモンが数回再起動され、それぞれ数分の停止時間が発生します。この再起動は、同時に複数のノードで発生する可能性があります。特に小規模なクラスタでは、クラスタ内のすべてのkmipデーモンがエンドポイント・リクエストに応答できず、停止時間につながる可能性があることを意味します。

回避策: エンドポイントの停止時間を回避するために、証明書のローテーションの前にインメモリー・キャッシュ・タイムアウト、永続キャッシュ・タイムアウトおよび永続キャッシュ・リフレッシュ・ウィンドウの値をオンに切り替えるか、または増やします。

バグ番号: 31311978

1.4.1.4 HP-UXシステムで、SELECT FROM V$ENCRYPTION_KEYSを実行するとORA-28407が返されることがある

問題: HP-UXオペレーティング・システムで、長時間実行されているデータベース・プロセスまたはセッションで実行された次のような透過的データ暗号化(TDE)問合せで、ORA-28407 Hardware Security Module error detectedというエラーが発生することがあります。

SELECT * FROM V$ENCRYPTION_KEYS;

これは、PTHREAD_KEYS_MAX設定によって制御されるプロセスごとのキーの合計数に関するシステムによる制限にプロセスが達したか、超過したため、システムがそれ以上スレッド固有のデータ・キーを作成できなかったためです。通常、PTHREAD_KEYS_MAXは128に設定されています。

回避策: データベース・セッションを切り替えて、TDE問合せを再実行します。セッションを切り替えることができない場合は、データベースおよびリスナーを開始する前に、PTHREAD_USER_KEYS_MAXに16384を設定します。

バグ番号: 28270280

1.4.1.5 問題の修正後もOracle Key Vaultアラートが引き続きリストに表示される

問題: ユーザーがパスワードを変更した後でも、ユーザー・パスワードの期限切れのアラートが引き続き表示されます。

回避策: Oracle Key Vault管理コンソールで、「Reports」、「Configure Reports」の順に選択します。「User Password Expiration」オプションの選択を解除します。または、アラートを無視します。

バグ番号: 27620622

1.4.1.6 FIPSモードのOracle Key Vaultの起動時の警告

問題: FIPSモードで動作するOracle Key Vaultサーバーを起動すると、次のような警告がコンソールに表示されることがあります。

Warning : Error inserting
    serpent_avx2(/lib/modules/4.1.12-124.34.1.1.el6uek.x86_64/kernerl/arch/x86/crypto/serpent_avx2):
    No such device

これらは、FIPSモードで使用できない、またはサポートされていない暗号の命令セットがロードされていないことを示す、画面にスローされる情報メッセージです。これらの警告は無視しても支障ありません。

回避策: なし。

バグ番号: 30844891

1.4.1.7 Java Keystoreがokvutilユーティリティの-oオプションを使用してアップロードされた場合、秘密キーが上書きされない

問題: okvutil uploadコマンドの-oオプションを使用して、Java keystore (JKS)またはJava Cryptography Extension keystore (JCEKS)をOracle Key Vaultサーバーにアップロードした場合、ユーザー定義のキーは上書きされません。

回避策: ウォレットから秘密キーを削除し、そのキーを再度アップロードします。

バグ番号: 26887060

1.4.1.8 RESTを使用してKMIPサーバー操作が実行されたときの最新のスキャン・リスト、構成パラメータおよび証明書ローテーションの更新によるクライアント・エンドポイント・ソフトウェアの更新

問題: RESTfulユーティリティを使用してサーバー操作が実行されるたびに、構成ファイルokvclient.oraが最新の状態に更新されることはありません。構成ファイルは、エンドポイント・ソフトウェアがインストールされたときの状態の静的なままになります。たとえば、Oracle Key Vaultクラスタに追加された新しいノードがある場合、RESTfulユーティリティを使用してサーバー操作が実行されるたびに、クライアント構成ファイルokvclient.oraが新しいノード情報で更新されることはありません。

回避策: 構成の変更後にokvclient.oraが更新されるようにするには、okvutilまたはOracle Key Vault SDKを使用して操作を実行します。

バグ番号: 29492842

1.4.1.9 Oracle Key VaultとOracle Audit Vault 20.8の統合に失敗する

問題: Oracle Key VaultをOracle Audit Vault 20.8と統合しようとすると次のエラーで失敗します。

Failed to get client software from Audit Vault server, ensure Public Host Key and 'support' user password are valid

この原因は、統合プロセスに必要なOracle Audit Vaultクライアントjarファイルの権限が変更されたことです。

回避策: Oracle Key VaultをOracle Audit Vault 20.8と統合する前に、Oracle Audit Vault 20.8サーバーで次のコマンドを実行する必要があります。

1. sshを介してユーザーsupportとしてOracle Audit Vault 20.8サーバーにログインします。

   $ ssh support@AV_instance_ip_address

2. ユーザーrootに切り替えます。

   $ su – root

3. /var/lib/oracle/dbfw/av/jlib/agent.jarおよび/var/lib/oracle/dbfw/av/jlib/avcli.jarファイルの権限を確認します。それらが次のようになっている必要があります。

   # ls -l /var/lib/oracle/dbfw/av/jlib/agent.jar

   -rw-r-----. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar

   # ls -l /var/lib/oracle/dbfw/av/jlib/avcli.jar

   -rw-r-----. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar

4. これらのファイルのバックアップを取得します(次の/bin/cp -pを使用してファイル権限を保持します)。

   # /bin/cp -p /var/lib/oracle/dbfw/av/jlib/agent.jar /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   # /bin/cp -p /var/lib/oracle/dbfw/av/jlib/avcli.jar /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

   # ls -l /var/lib/oracle/dbfw/av/jlib/agent.jar /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   元のファイルとそのバックアップとでファイル権限と所有権が同じであることを確認します。

   -rw-r-----. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar

   -rw-r-----. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   # ls -l /var/lib/oracle/dbfw/av/jlib/avcli.jar /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

   -rw-r-----. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar

   -rw-r-----. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

5. 次について権限を更新します。/var/lib/oracle/dbfw/av/jlib/agent.jarおよび

   /var/lib/oracle/dbfw/av/jlib/avcli.jar

   # /bin/chmod 644 /var/lib/oracle/dbfw/av/jlib/agent.jar

   # /bin/chmod 644 /var/lib/oracle/dbfw/av/jlib/avcli.jar

   元のファイルとそのバックアップについて、ファイル権限と所有権をもう一度確認します。

   # ls -l /var/lib/oracle/dbfw/av/jlib/agent.jar /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   -rw-r--r--. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar

   -rw-r-----. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   # ls -l /var/lib/oracle/dbfw/av/jlib/avcli.jar /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

   -rw-r--r--. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar

   -rw-r-----. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

   バックアップと比較すると、/var/lib/oracle/dbfw/av/jlib/agent.jarおよび/var/lib/oracle/dbfw/av/jlib/avcli.jarには追加の権限が含まれています。

   これで、標準プロセスの使用によるOracle Key VaultとOracle Audit Vault 20.8の統合に進むことができるようになりました。

   統合が正常に完了した後に、Oracle Audit Vault 20.8ファイルに対する権限をそれらの元の値に戻すことができます。これを行うには、次のようにします。

1. ユーザーsupportとして、SSHでOracle Audit Vault 20.8サーバーにログインします。

   $ ssh support@AV_instance_ip_address

2. ユーザーrootに切り替えます。

   $ su – root

3. /var/lib/oracle/dbfw/av/jlib/agent.jarおよび/var/lib/oracle/dbfw/av/jlib/avcli.jarファイルの権限を確認します。

   それらが次のようになっている必要があります。

   # ls -l /var/lib/oracle/dbfw/av/jlib/agent.jar /var/lib/oracle/dbfw/av/jlib/avcli.jar

   -rw-r--r--. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar

   -rw-r--r--. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar
4. それらのファイルをバックアップでリストアします。

   # /bin/cp -pf /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp /var/lib/oracle/dbfw/av/jlib/agent.jar

   # /bin/cp -pf /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp /var/lib/oracle/dbfw/av/jlib/avcli.jar

5. もう一度権限を確認します。今度は、それらのファイルの権限と所有権がバックアップと同じになっています。

   # ls -l /var/lib/oracle/dbfw/av/jlib/agent.jar /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   -rw-r-----. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar

   -rw-r-----. 1 oracle oinstall 36212863 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/agent.jar.bkp

   # ls -l /var/lib/oracle/dbfw/av/jlib/avcli.jar /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

   -rw-r-----. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar

   -rw-r-----. 1 oracle oinstall 30091681 Sep 29 09:28 /var/lib/oracle/dbfw/av/jlib/avcli.jar.bkp

   Oracle Key VaultとOracle Audit Vault 20.8の統合を削除する場合は、同じ回避策を適用する必要があります。

1.4.1.10 Oracle Key Vaultエンドポイント・ユーティリティは、KeyStoreパスワードとは異なるパスワードを持つキーを含むJava KeyStoreのアップロード時にエラーをスローする

問題: Oracle Key Vaultエンドポイント・ユーティリティokvutilでは、Java KeyStoreに格納されているキーをOracle Key Vaultサーバーにアップロードできます。Java KeyStoreに、KeyStoreパスワードとは異なるパスワードで保護されているキーが含まれている場合、ユーティリティはエラー"Error: Cannot Invoke JKS Method"を表示し、KeyStoreに格納されているオブジェクトのアップロードに失敗します。

回避策: 回避策は、Java KeyStoreと、KeyStoreに格納されているすべてのパスワード保護キーに同じパスワードを設定し、okvutilを使用してKeyStoreをOracle Key Vaultサーバーにアップロードし、パスワードが異なる必要がある場合はリセットすることです。

キーストア・パスワードを変更するには:

1. $ keytool -storepasswd -keystore keystorename
2. キーストア・パスワードの入力: <old password>
3. 新規キーストア・パスワード: <new password>
4. 新規キーストア・パスワードの再入力: <new password>

個々のキー・パスワードを変更するには:

1. $keytool -keypasswd -keystore keystorename -alias <alias>
2. キーストア・パスワードの入力: <keystore password>
3. キー・パスワードの入力: <alias> <old key password>
4. 新規キー・パスワードの入力: <alias>: <new key password>
5. 新規キー・パスワードの再入力: <alias>: <new key password>

   パスワードを変更できない場合、回避策は、okvutilを使用して、keyStore全体を'JKS'ではなく'OTHER'タイプのオブジェクトとしてアップロードすることです。このアプローチに従うと、KeyStoreはサーバー上の不透明オブジェクトとして格納され、他のメカニズムによってパスワードを追跡する必要があります。これにより、バックアップおよび配布のためにKeyStoreを一元化されたリポジトリに格納できますが、オブジェクト・レベルの粒度でキーおよび証明書を管理することはできません。

   バグ番号: 22818588

1.4.1.11 ブラウザ表示言語が英語でない場合、Oracle Key Vault操作が失敗する

問題: ブラウザ表示言語が英語(US)に設定されていない場合に、ノードをクラスタに変換するなどのOracle Key Vault操作が失敗します。

回避策: ブラウザ表示言語が英語(US)に設定されていることを確認します。

バグ番号: 34367236

1.4.1.12 scp転送方法の使用時にリモート・バックアップ先の作成に失敗する

問題: scp転送方法が選択されており、選択したユーザー・アカウントのホーム・ディレクトリが宛先サーバーに存在しない場合は、Oracle Key Vault管理コンソールまたはRESTFul APIを使用したリモート・バックアップ先の作成に失敗します。

回避策: リモート・バックアップ先を作成する前に、選択したユーザー・アカウントのホーム・ディレクトリを宛先サーバーに作成する必要があります。

バグ番号: 36348670

1.4.2 アップグレードの問題

この項では、Oracle Key Vaultのアップグレードに関連する問題について説明します。

• アップグレードしたプライマリ/スタンバイOracle Key Vault 18.xサーバーのペア解除が権限の問題で失敗することがある
  
• プライマリ・サーバーのアップグレード時にOracle Key Vault 21.1および21.2から21.6または21.7へのプライマリ/スタンバイ・アップグレードが失敗する
  

1.4.2.1 アップグレードしたプライマリ/スタンバイOracle Key Vault 18.xサーバーのペア解除が権限の問題で失敗することがある

問題: Oracle Key Vaultの現在のリリースへのアップグレードを完了した後、プライマリ/スタンバイ構成からペア解除しようとすると、次のメッセージが/var/log/debugファイルに書き込まれて失敗することがあります。

ORA-48141: error creating directory during ADR initialization: [/var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv]
ORA-48189: OS command to create directory failed

回避策: Oracle Key Vault 18.1にアップグレードされたプライマリ-スタンバイ構成でペア解除する前に、次のステップを使用して/var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリに正しい権限が設定されていることを確認してください。

1. sshを使用してユーザーsupportとしてプライマリOracle Key Vaultシステムにログインします。

   $ ssh support@okv_instance_ip_address

2. rootユーザーに切り替えます。

   support$ su - root

3. /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリの権限を確認します。

   root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb

   出力は次のようになります。

   drwxr-xr-x 2 root   oinstall  4096 Apr 24 22:01 metadata_pv

4. 前述の例のようにディレクトリの所有者がユーザーrootの場合は、次のコマンドを実行します。

   root# chown oracle:oinstall /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv

   ファイルをリストして、所有者がoracleになったことを確認します。

   root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb

   出力は次のようになります。

   drwxr-xr-x 2 oracle oinstall 4096 Apr 24 22:01 metadata_pv

バグ番号: 29693700

1.4.2.2 プライマリ・サーバーのアップグレード時にOracle Key Vault 21.1および21.2から21.6または21.7へのプライマリ/スタンバイ・アップグレードが失敗する

問題: Oracle Key Vaultプライマリ/スタンバイ・デプロイメントをリリース21.1および21.2から21.7にアップグレードするとき、プライマリ・サーバーのアップグレードが失敗します。

回避策: Oracle Key Vaultのプライマリ/スタンバイ・デプロイメントをマルチマスター・クラスタにアップグレードすることをお薦めします。Oracle Key Vaultプライマリ/スタンバイ・デプロイメントは非推奨になりました。

Oracle Key Vaultリリース21.1または21.2のプライマリ/スタンバイ・デプロイメントからOracle Key Vaultリリース21.6にアップグレードするステップを次に説明します。Oracle Key Vaultリリース21.7へのアップグレードにも同じステップが適用されます。

Oracle Key Vaultリリース21.1または21.2のプライマリ/スタンバイ・デプロイメントをマルチマスター・クラスタにアップグレードするには、次のステップに従ってアップグレードします:

• 最初にプライマリ/スタンバイOracle Key Vaultサーバーをペア解除します
• 2つのサーバーのペアが解除された後、プライマリ・サーバーとスタンバイ・サーバーはスタンドアロン・モードで動作します。エンドポイントから古いスタンバイ(現在のスタンドアロン) Oracle Key Vaultサーバーに接続できないようにするには、その古いスタンバイをネットワークから除去する必要があります。
• スタンドアロン・サーバー(古いプライマリ)をOracle Key Vaultリリース21.6にアップグレードします。
• Oracle Key Vaultスタンドアロン・サーバーをマルチマスター・クラスタに変換します。古いスタンバイをクラスタの新しいノードとして追加することはできません。リリース21.6で新しいスタンドアロンOracle Key Vaultサーバーをインストールしてから、クラスタに追加する必要があります。

リリース21.6へのアップグレード後にOracle Key Vaultプライマリ/スタンバイ・デプロイメントを引き続き使用する場合は、次のステップに従ってアップグレードします:

• 最初にプライマリ/スタンバイOracle Key Vaultサーバーをペア解除します。
• 2つのサーバーのペアが解除された後、プライマリ・サーバーとスタンバイ・サーバーはスタンドアロン・モードで動作します。エンドポイントから古いスタンバイ(現在のスタンドアロン) Oracle Key Vaultサーバーに接続できないようにするには、その古いスタンバイをネットワークから除去する必要があります。
• スタンドアロン・サーバー(古いプライマリ)をOracle Key Vaultリリース21.6にアップグレードします。
• Oracle Key Vaultリリース21.6で新しいスタンドアロン・サーバーをインストールします。
• アップグレードしたサーバーをプライマリ/スタンバイ・モードで新しいサーバーとペアにします。アップグレード後に古いスタンバイを新しいスタンバイ・サーバーとして追加することはできません。

バグ番号: 35394085

1.4.3 プライマリ/スタンバイの問題

この項では、プライマリ/スタンバイ構成に固有のOracle Key Vaultの問題について説明します。

• プライマリ/スタンバイ・ペアでのスイッチオーバー時に、監査証跡がリモートのsyslogに送信されない
  
• 管理された停止がプライマリOKVで行われたときに、フェイルオーバーの問題が発生する
  
• プライマリおよびスタンバイが異なるRO制限モード構成の場合にHA設定が成功する
  
• HA 12.2 BP5からペア解除し、新しいOKVサーバーに再度ペアリングしてもスタンドアロンと表示される
  
• プライマリ/スタンバイでのフェイルオーバーでSSHトンネル・ステータスが無効として表示される
  
• プライマリのDNS更新がスタンバイで反映されない
  
• プライマリ/スタンバイのフェイルオーバー後にokvclient.oraが正しく更新されない
  

1.4.3.1 プライマリ/スタンバイ・ペアでのスイッチオーバー時に、監査証跡がリモートのsyslogに送信されない

問題: プライマリにsyslogが構成されている場合は、監査ログもsyslogに書き込まれます。スイッチオーバー時に、監査ログがsyslogに書き込まれないことがあります。これはスタンバイにsyslogが構成されていないためです。syslogはプライマリとスタンバイで別個に構成する必要があります。

回避策: スイッチオーバー後にスタンバイにsyslogを構成し、監査ログがsyslogに書き込まれるようにします。

バグ番号: 28790364

1.4.3.2 管理された停止がプライマリOKVで行われたときに、フェイルオーバーの問題が発生する

問題: プライマリ/スタンバイ・ペアのプライマリOracle Key Vaultノードでは、管理された停止が定期的に実行される可能性があります。たとえば、ユーザーが、管理コンソールの電源オフ・ボタンを押すか、端末から停止コマンドを実行して、停止を実行します。これが発生すると、フェイルオーバー操作は行われず、スタンバイOracle Key Vaultノードはプライマリ・サーバーとして引き継ぎません。これはプライマリOracle Key Vaultサーバーの/var/lock/subsys/dbfwdbファイルの存在によって予想できます。管理された停止時にプライマリにこのファイルが存在する場合、フェイルオーバーは行われません。存在しない場合は、フェイルオーバーが行われます。

プライマリでの電源喪失、データベースの障害などの他の状況では、このファイルが存在しているかどうかにかかわらず、フェイルオーバーは引き続き行われます。

回避策: スタンバイ・ノードが新しいプライマリ・ノードとして引き継がれるように管理された停止を実行する場合は、かわりにスイッチオーバーを実行します。

バグ番号: 29666606

1.4.3.3 プライマリおよびスタンバイが異なるRO制限モード構成の場合にHA設定が成功する

問題: プライマリ/スタンバイ構成を行うとき、ペアリング前に一方のOracle Key Vaultサーバーでは読取り専用制限モードが有効にされ、他方のOracle Key Vaultサーバーでは無効にされている場合に、構成が成功します。プライマリ-スタンバイ・デプロイメントでは、この不一致は問題と混乱に繋がる場合があります。

回避策: Oracle Key Vault管理コンソールを使用して、両方のサーバーに同じ読取り専用制限モード状態が適用されていることを確認します。これを行うには、「System」タブを選択して、「Primary-Standby」を選択します。「Allow Read-Only Restricted Mode」オプションを選択します。その後、各サーバーにプライマリ-スタンバイ構成を適用します。

バグ番号: 26536033

1.4.3.4 HA 12.2 BP5からペア解除し、新しいOKVサーバーに再度ペアリングしてもスタンドアロンと表示される

問題: Oracle Key Vault 12.2.0.5.0以降を実行しているペア解除されたOracle Key Vaultプライマリ・サーバーを新しくインストールされたOracle Key Vaultサーバーとペアリングした場合、「Primary-Standby」ページの「Current status」でサーバーがスタンドアロン・モードであると表示されます。スタンドアロン・ステータスは、プライマリ-スタンバイ構成が失敗したことを示します。プライマリ-スタンバイ設定が失敗するのは、プライマリ・サーバーのSSH構成が再度有効にされないためです。

回避策: Oracle Key Vaultが実行されているペア解除されたOracle Key Vaultプライマリ・サーバーをペアリングする前に、SSH構成を無効にして再度有効にします。プライマリ・サーバーをスタンバイ・サーバーとペア解除して、プライマリ・サーバーでプライマリ-スタンバイ構成を実行した後に、SSH構成を無効にして再度有効にする必要があります。

ノート:

Oracle Key Vaultが実行されているペア解除されたOracle Key Vaultプライマリ・サーバーをペアリングする前に、他のすべてのブラウザ・インスタンスを閉じたことを確認します。

バグ番号: 26617880

1.4.3.5 プライマリ/スタンバイでのフェイルオーバーでSSHトンネル・ステータスが無効として表示される

問題: フェイルオーバー操作の後、新しいOracle Key Vaultプライマリ・サーバーでSSHトンネルの正しいステータスが表示されません。SSHトンネルが使用可能になったときに、SSHトンネルが無効として表示されます。ダッシュボードにもSSHトンネルの設定が失敗したことを警告するアラートが表示されます。これは、フェイルオーバー操作の後、同じサービス・エンドポイントとしてのデータベースに対してOracle Key Vaultが2つのSSHトンネルを確立しようとするためであり、間違ったステータスとなり、ダッシュボードにアラートが表示されます。サービス・エンドポイントとしてのデータベースへの2番目のSSHトンネルは、Oracle Key Vaultサーバーとサービス・エンドポイントとしてのデータベースの間の接続性に影響しません。サービス・エンドポイントとしてのデータベースへの最初のSSHトンネルは、フェイルオーバー後に機能して使用可能です。

回避策: フェイルオーバー後、新しいOracle Key Vaultプライマリ・サーバーでは、使用可能という正しいSSHステータスが表示され、サービス・エンドポイントとしてのデータベースに接続されます。サービス・エンドポイントとしてのデータベースでokvutil listを使用して、SSHトンネルのステータスを確認することもできます。

バグ番号: 24679516

1.4.3.6 プライマリのDNS更新がスタンバイで反映されない

問題: DNS更新は各Oracle Key Vaultサーバーに固有であるため、プライマリのDNS更新はスタンバイに自動的に反映されません。

回避策: プライマリ・サーバーとスタンバイ・サーバーの両方で同じDNS値を設定してから、プライマリ/スタンバイ構成にペアリングすることをお薦めします。

バグ番号: 26618613

1.4.3.7 プライマリ/スタンバイのフェイルオーバー後にokvclient.oraが正しく更新されない

問題: プライマリ/スタンバイ・フェイルオーバー後、エンドポイント・クライアントがOracle Key Vaultサーバーと通信するときに、エンドポイント構成ファイルokvclient.oraがすぐに更新されません。

回避策: 構成ファイルokvclient.oraは、定期的な更新で更新されます。定期的な更新は1時間間隔で準備され、エンドポイント・クライアントが期間間隔後にOracle Key Vaultサーバーと通信するたびに、Oracle Key Vaultサーバーからエンドポイントに送信されます。

バグ番号: 31372732

1.4.4 マルチマスター・クラスタの問題

この項では、マルチマスター・クラスタ構成に固有のOracle Key Vaultの問題について説明します。

• 18.1クラスタで読取り/書込みノードを強制削除してからアップグレードすると、上位バージョンで、強制削除されたノードを置換できないことがある
  
• Oracle Key Vault 18.1、18.2または18.3のクラスタ・ノードからのバックアップ(その後アップグレードされ、別のクラスタの作成に使用)で、読取り/書込みピアを追加できないことがある
  
• 完全にアップグレードされていないクラスタ内のアップグレード済ノードでキーを作成できない
  
• 12.2 BP4以前からのアップグレードの場合、クラスタに変換する前に証明書をローテーションする必要がある
  
• サーバー証明書のローテーション後にクラスタ・サービス・ステータスが停止になる
  
• OGGバグ32079454が原因で配布パスが断続的に失敗し、レプリケーションが中断する
  
• MDNDよりも時間がかかる場合、Oracle Key Vaultでは有効化が終了しないようにする必要がある
  
• 再起動後の読取り専用制限モードでの読取り/書込みノード
  
• OGGに引き続き必要なアーカイブ・ログのRMANによる自動クリーン・アップ
  
• 候補ノードに変換された後にOKVノードで変更されたシステム設定がコントローラ・ノードに反映されない
  
• 監査レプリケーションが有効になっている場合にクラスタへの読取り専用ノードの追加が断続的に失敗する
  

1.4.4.1 18.1クラスタで読取り/書込みノードを強制削除してからアップグレードすると、上位バージョンで、強制削除されたノードを置換できないことがある

問題: 読取り/書込みノードを強制削除するときは、まず、停止する必要があります。しかし、GoldenGateのバグ30413969が原因で、強制削除されたノードを停止すると、削除されたノードの読取り/書込みピア・ノードでのダウンストリーム抽出が完全にはクリーン・アップされません。このバグの回避策は、Oracle Key Vaultバージョン18.2以上では存在します。ただし、読取り/書込みノードが強制削除されたOracle Key Vault 18.1マルチマスター・クラスタからアップグレードする場合、アップグレード後にそのノードを置き換えようとしても、バージョン18.1で強制削除が発生したときにクリーン・アップが実行されなかったため、成功しません。

回避策: 次のステップは慎重に実行する必要があります。これらのステップを誤ったOracle Key Vaultサーバーで実行するとレプリケーションが中断され、ステップを実行されたノードを強制削除する必要があります。

シナリオ例: ノードAおよびBは読取り/書込みピアです。ノードBをクラスタから強制削除しました。ノードAは、GoldenGateのバグ30413969が原因で、完全にはクリーンアップされていない可能性があります。アップグレードの前後で、別のノードをノードAの読取り/書込みピアとして追加しようとする前に、ノードAで次のステップを実行してクリーン・アップを終了します。

ssh support@Oracle_Key_Vault_IP_address
su - root
su - oracle
/var/lib/oracle/dbfw/bin/sqlplus / as sysdba
exec sys.dbms_xstream_adm.drop_outbound('OGG$OKV_DEXT');
exec sys.dbms_streams_adm.remove_queue('OGG$Q_OKV_DEXT', TRUE, TRUE);

前述のステップがノードAで正常に実行された後は、それをコントローラ・ノードとして使用し、別のノードをノードAの読取り/書込みピアとしてクラスタに追加できます。

バグ番号: 31216736

1.4.4.2 Oracle Key Vault 18.1、18.2または18.3のクラスタ・ノードからのバックアップ(その後アップグレードされ、別のクラスタの作成に使用)で、読取り/書込みピアを追加できないことがある

問題: クラスタ・ノードで作成されたバックアップをスタンドアロンOracle Key Vaultサーバーにリストアする場合、Oracle Key Vault上のデータベースのglobal_nameは、バックアップが作成されたクラスタ・ノードのglobal_nameに応じて、DBFWDB.DBFWDBまたはDBFWDB_HA2.DBFWDBのいずれかになります。global_nameがDBFWDB_HA2.DBFWDBであり、スタンドアロンOracle Key Vaultサーバーがクラスタ・ノードに変換される場合、global_nameの不一致が原因で、読取り/書込みピア・ノードを正常に追加できません。グローバル名は、バージョン18.4以上では、バックアップのリストア時に修正されますが、バックアップが下位バージョンで作成およびリストアされた場合、18.4以上にアップグレードした後でも問題は解消されません。

回避策: バックアップをスタンドアロンOracle Key Vaultサーバーにリストアした後で、次のステップを実行してからサーバーをクラスタ・ノードに変換します。最初のselect文は、global_nameがDBFWDB_HA2.DBFWDBであることを確認するためのものです。このselect文で返されたglobal_nameがDBFWDB_HA2.DBFWDBでない場合、またはサーバーがすでにクラスタ・ノードに変換されている場合は、global_nameの更新を続行しないでください。

ssh support@Oracle_Key_Vault_IP_address
su - root
su - oracle
/var/lib/oracle/dbfw/bin/sqlplus / as sysdba
select global_name from global_name;
alter database rename global_name to DBFWDB.DBFWDB;

バグ番号: 31241245

1.4.4.3 完全にアップグレードされていないクラスタ内のアップグレード済ノードでキーを作成できない

問題: マルチマスター・クラスタがOracle Key Vaultリリース21.4以上のバージョンへのアップグレード途中である場合、アップグレードされたクラスタ・ノードで対称キーの作成の操作に失敗します。まだアップグレードされていないノードでは、対称キーの作成操作が正常に続行されます。クラスタの最後の読取り/書込みペアをアップグレードしている間に、マルチマスター・クラスタで新しい対称キーを作成することはできません。アップグレード中、データベースのキー更新や新しいデータベースのエンロールなどの操作は失敗します。マルチマスター・クラスタのアップグレードが完了すると、対称キーの作成操作や登録操作が再開されます。

回避策: 2つより多くのノードがあるマルチマスター・クラスタをアップグレードする場合は、バグ33974435のパッチを適用することで(そのアップグレード後の、クラスタに対してそのノードを再び有効化する前に、各クラスタ・ノードに適用します)、アップグレードした読取り/書込みノードで対称キー作成操作または登録操作を継続使用できます。

バグ番号: 33974435

1.4.4.4 12.2 BP4以前からのアップグレードの場合、クラスタに変換する前に証明書をローテーションする必要がある

問題: Oracle Key Vault 12.2 BP4以前からアップグレードし、アップグレードしたOracle Key Vaultサーバーをクラスタ・ノードに変換する前に新しい証明書を生成しないと、次のエラー・メッセージが表示されます。

Failed to convert server to cluster node, detected use of weak signature
algorithms in OKV server credentials. Please perform a certificate rotation
operation before converting this server to a cluster node.

回避策: 次の2つのステップで、Oracle Key Vaultリリース18.4にアップグレードします。

1. Oracle Key Vault 12.2 BP4から12.2 BP11にアップグレードして、証明書ローテーション操作を実行します。
2. Oracle Key Vault 12.2 BP11からOracle Key Vaultリリース18.4にアップグレードします。

Oracle Key Vault 12.2 BP11で証明書のローテーションを実行する方法の詳細は、リリース12.2のOracle Key Vault管理者ガイドを参照してください。

バグ番号: 30673249

1.4.4.5 サーバー証明書のローテーション後にクラスタ・サービス・ステータスが停止になる

問題: サーバー証明書をローテーションすると、証明書を置換するために複数のプロセスが停止します。ただし、通常の状況では、停止後すぐに再起動されます。証明書のローテーション中またはその後、「Monitoring」ページの「Cluster」タブで、1つ以上のクラスタ・サービスが稼働していないことを示す下向き矢印が「Cluster Services Status」に表示されることがあります。これにより、このノードとの間でのレプリケーションが中断します。数分を超えて解消されない場合、このバグが発生した可能性があります。

回避策: この問題が発生した場合は、「Monitoring」ページの「Restart Cluster Services」ボタンをクリックして、クラスタ・サービスの再起動を試行します。数分後、ページをリフレッシュします。「Cluster Services Status」に赤い下向き矢印がまだ表示される場合は、Oracleサポートに問い合せてください。

バグ番号: 31371440

1.4.4.6 OGGバグ32079454が原因で配布パスが断続的に失敗し、レプリケーションが中断する

問題: Oracle GoldenGateバグ32079454のため、配布パスでSSLエラーが断続的に発生し、失敗して自動的に再起動されません。これにより、読取り/書込みピアでないノードの間のレプリケーションが中断される可能性があります。その他の副作用は、PENDINGステータスからACTIVEステータスに遷移してPENDINGステータスでスタックするオブジェクトです。レプリケーション・ラグ・アラートも表示されます。配布パスが失敗した可能性があるかどうかを確認するには、「Cluster」タブの「Monitoring」ページで「Cluster Link State」セクションの赤い下向き矢印を探します。

回避策: 「Cluster」タブの「Monitoring」ページでクラスタ・リンクを再起動しても問題が解決しない場合は、ノードを再起動してから、「Monitoring」ページに赤い下向き矢印が表示されないことを確認します。

バグ番号: 32079491

1.4.4.7 MDNDよりも時間がかかる場合、Oracle Key Vaultでは有効化が終了しないようにする必要がある

問題: 「Maximum Disable Node Duration」時間制限より前にOracle Key Vaultノードを有効または無効にしたが、「Maximum Disable Node Duration」時間制限が失効する前に有効化が終了しない場合、クラスタ内の不一致の原因となるアーカイブ・ログおよび証跡ファイルのクリーン・アップが行われる可能性があります。この場合、有効化プロセスを終了させないでください。

回避策: 有効化を終了するのに「Maximum Disable Node Duration」期間より長くかかる場合、クラスタからノードを削除または強制削除します。

バグ番号: 30533066

1.4.4.8 再起動後の読取り専用制限モードでの読取り/書込みノード

問題: 読取り/書込みノードを再起動した後に、そのノード、またはその読取り/書込みピアが、読取り専用制限モードでスタックすることがあります。

回避策: ノードを再起動するときに、ノードの読取り/書込みピア・ノードが一時的に読取り専用制限モードで稼働するのは正常なことです。ただし、ノードの起動の完了後すぐの、数分以内に、その読取り/書込みピアは読取り/書込みモードに戻ります。再起動されたノードは読取り専用制限モードで起動されている場合がありますが、それも数分以内に読取り/書込みモードに戻ります。しかしながら、ノードまたはその読取り/書込みピアが読取り専用制限モードのままになっていない場合は、REDO送信がスタックしている可能性があります。読取り専用制限モードのままでノードを再起動すると修正できます。

バグ番号: 30589921

1.4.4.9 OGGに引き続き必要なアーカイブ・ログのRMANによる自動クリーン・アップ

問題: RMANは、高速リカバリ領域のアーカイブ・ログを自動的に管理します。通常の状況では、Oracle GoldenGateで引き続き必要とされているアーカイブ・ログはRMANによって削除されません。ただし、領域が不足すると、RMANは必要なアーカイブ・ログをクリーン・アップすることがあります。このようなアーカイブ・ログがクリーン・アップされると、現在のノードから他のすべてのノード(そのノードの読取り/書込みピア・ノードを除く)へのレプリケーションが中断されます。Oracle Key Vaultでは、高速リカバリ領域の定期的なクリーン・アップを実行してこの問題を緩和しようとしますが、まれに、高速リカバリ領域が一杯になり、この問題が発生することがあります。

回避策: 高速リカバリ領域での領域不足の原因を特定し、問題を修正します。ディスク領域にタブを保持することで、高速リカバリ領域での領域不足を特定できます。高速リカバリ領域は、/var/lib/oracle/fast_recovery_area/下にあります。この問題が原因でレプリケーションが中断した場合は、ノードのリモート・バックアップを作成してから、クラスタから強制的に削除してください。そのノードで作成されたすべてのキーまたはその他のオブジェクトがクラスタ内の他のすべてのノードにも存在することを確認し、存在しない場合は手動で再アップロードする必要があります。

バグ番号: 30558372

1.4.4.10 候補ノードに変換された後にOKVノードで変更されたシステム設定がコントローラ・ノードに反映されない

問題: Oracle Key Vaultノードが候補ノードに変換された後にシステム設定が変更され、コントローラ・ノードがその候補ノードの設定を最初に検証しようとして失敗した場合、更新された設定はコントローラ・ノードに反映されません。ペアリング・プロセスは、コントローラおよび候補ノードの両方で中断する必要があります。

回避策: なし。コントローラ・ノードと候補ノードの両方でペアリング・プロセスを中断します。必要に応じて、候補ノードのシステム設定を変更し、ペアリング・プロセスを再試行します。

バグ番号: 29430349

1.4.4.11 監査レプリケーションが有効になっている場合にクラスタへの読取り専用ノードの追加が断続的に失敗する

問題:マルチマスター・クラスタでは、監査レプリケーションが有効になっていると、読取り専用ノードの追加が断続的に失敗する場合があります。失敗した場合、読取り専用ノードのステータスは「PAIRING」のままになり、「ACTIVE」にはなりません。

回避策: クラスタ内の監査レプリケーションを無効にしてから、読取り専用ノードをクラスタに再度追加します。クラスタのすべてのノードを追加した後、監査レプリケーションを有効にできます。

バグ番号: 36406035

1.4.5 ソフトウェア開発キットの問題

Oracle Key Vaultソフトウェア開発キット(SDK)には、Oracle Key Vaultサーバーを操作する際に次の問題があります。

• 複数の単一インスタンス属性がリクエストTTLVに追加された場合、エラーはスローされず、最初の値が追加されます。

  影響を受けるAPI: okvCreateKey、okvRegKey、okvRegSecretData、okvRegOpaqueData、okvRegTemplate、okvRegPrivateKey、okvRegPublicKey、okvRegCertificateRequest、okvRegCertificate

• SDKを使用して作成されたオブジェクトは、現在、okvutilではダウンロードできません。okvutil downloadコマンドを実行しようとすると、警告WARNING: Could not store <Unique Identifier of the object>が表示される場合があります。指定されたウォレットへのSDK (見つかった場合)を介して作成されたキー、シークレットおよびオブジェクトのダウンロードをスキップしているため、この警告は無視しても問題ありません。今後のリリースで同じサポートが提供される予定です。

• 署名アルゴリズムとしてSHA-DSAを使用する証明書がCSDKを使用してOracle Key Vaultにアップロードされると、証明書は属性なしでOracle Key Vaultにアップロードされます。このような証明書を含むシークレット・オブジェクトがokvutilを使用してアップロードされた場合、証明書は暗号化アルゴリズムおよび暗号長属性なしでアップロードされます。このような証明書のすべての属性が必要な場合は、JSDKを使用して証明書をOracle Key Vaultにアップロードします。

1.5 Oracle Key Vaultに関する考慮事項

Oracle Key Vaultのこのリリースの動作の詳細および変更点を次に示します。

• Oracle TDEとOracle Key Vaultの統合
  
• レポートがマルチマスター・クラスタの監査レプリケーションの影響を受ける
  
• マルチマスター・クラスタでの更新は単一インスタンスでの更新より遅い
  

1.5.1 Oracle TDEとOracle Key Vaultの統合

使用しているOracle DatabaseのバージョンおよびTDEの機能によっては、スムーズな運用のためにOracleデータベースにパッチ適用する必要がある場合があります。

Oracle Key Vaultを使用してTDE対応Oracleデータベースを設定する場合、アプリケーションの可用性の中断を最小限にするスムーズな移行には、いくつかのステップが必要です。『Oracle Database Advanced Securityガイド』で、単一インスタンス、マルチテナントData GuardについてはOracle Data Guard環境でのTDEおよびOracle Key Vaultの構成、および2ノードRACについてはマルチテナント環境でのOracle RACのTDEおよびOracle Key Vaultの構成を参照してください。

1.5.2 レポートがマルチマスター・クラスタの監査レプリケーションの影響を受ける

ホームページのOracle Key Vaultのレポートおよび詳細は、Oracle Key Vault監査レコードから生成されます。監査レプリケーションがオフにされている場合、各ノードにはそのノードで行われた操作のレポートが表示されます。監査レプリケーションがオンにされている場合、各ノードにはクラスタのすべてのノードで行われた操作のレポートが表示されます。

監査レプリケーションをオフにして、Oracle Audit Vault and Database Firewall (AVDF)などのセキュリティ情報およびイベント管理(SIEM)ソリューションを使用して、すべてのノードから監査レコードを収集することをお薦めします。

1.5.3 マルチマスター・クラスタでの更新は単一インスタンスでの更新より遅い

マルチマスター・クラスタの更新ではオブジェクトの存在がチェックされることがあり、クラスタ内のすべてのノードがスキャンされて更新操作が遅くなります。時間はクラスタ内のノード数に比例して増加します。更新は完了までに数分かかることがあります。

TDEマスター暗号化キーの設定およびローテーションが、更新操作の例です。

1.6 サポート対象データベースのバージョン

次のバージョンのOracle Databaseは、Oracle Key Vaultのこのリリースでサポートされます。

• 互換性パラメータを11.2または12.1に設定したOracle DB 12.1.0.2
• Oracle DB 12.2.0.1
• Oracle DB 18c
• Oracle DB 19c
• Oracle DB 21c

1.7 ドキュメントのアクセシビリティ

オラクルのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。

Oracleサポートへのアクセス

サポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。詳細情報はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoか、聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。

1.8 リリース21.8に含まれているクリティカル・パッチ更新

Oracle Key Vaultリリース21.8では、2024年1月のOracle Database用リリース更新(19.22 DB RU)である7月リリース更新を組み込むために、基盤となっているインフラストラクチャが更新されました。詳細についてはサインインしてください。

https://www.oracle.com/security-alerts/cpujul2022.html

Oracle Key Vaultリリース21.8には、JavaおよびOracle Linux OL8.9オペレーティング・システムのセキュリティおよび安定性に関する修正も含まれています。

---

タイトルおよび著作権情報

Oracle Key Vaultリリース・ノート, リリース21.8

F96045-02

2024年4月

Copyright ©2014,2024,

Oracle and/or its affiliates.

原本著者: Monika Sharma

原本協力者: Mark Doran

原本協力著者: Radhika Siravara、Alexis Abell、Ajay Srivastava、Dongwon Park、Fahad Ibrar、Shubham Goyal、Peter Wahl

ドキュメントのアクセシビリティについて

オラクルのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。

Oracleサポートへのアクセス

オラクルのお客様によるOracleサポート・サービスへのアクセスおよびその利用は、該当サービスに関してオラクルによって指示された条件に従うものとします。