10.5.2 CA認証済セキュリティ証明書の使用

Oracle Exadata Database Machineの管理者は、環境で必要な場合にCA認証済セキュリティ証明書を提供できます。

有効なCA認証のセキュリティ証明書は、ExaCLIによって、プロンプトなしで、証明書の受入れを要求することなく受け入れられます。各証明書はキーのペア(公開キーおよび一致する秘密キー)で構成されています。

  1. ストレージ・サーバーまたはデータベース・サーバーのセキュリティ属性を変更します。

    CA認証済セキュリティ証明書アップロードするには、ストレージ・サーバーまたはデータベース・サーバーでsecurityPubKeyおよびsecurityPrivKey属性を変更します。

    • securityPubKeyにより、証明書の公開キー・ファイルのURLを指定します。

    • securityPrivKeyにより、証明書の秘密キー・ファイルのURLを指定します。

    それらのキーは、PEMでエンコードされたファイルとして提供する必要があります。各URLでは、httphttpsまたはfileアクセス・スキームを使用できます。

    秘密キーが暗号化されている場合は、securityPrivKeyPW属性を使用してパスワードを指定できます。

    次の例では、CA認証済セキュリティ証明書をアップロードするコマンドを示します。

    • http URLを使用してキー・ファイルにアクセスするストレージ・サーバーの例。この例では、パスワード・プロンプトによってcellhost上のcelladministratorユーザーのパスワードが要求されます。

      $ exacli -l celladministrator -c cellhost  -
               -e 'alter cell securityPubKey="http://www.example.com/security/newkey1.pem.crt", -
                   securityPrivKey="http://www.example.com/security/newkey1-private.pem", -
                   securityPrivKeyPW="welcome1"'
      
      Password: *********
      ...
    • ローカルのfile URLを使用してキー・ファイルにアクセスするデータベース・サーバーの例。この例では、パスワード・プロンプトによってdbhost上のdbadministratorユーザーのパスワードが要求されます。

      $ exacli -l dbadministrator -c dbhost  -
               -e 'alter dbserver securityPubKey="file:///root/security/newkey2.pem.crt", -
                   securityPrivKey="file:///root/security/newkey2-private.pem", -
                   securityPrivKeyPW="welcome2"'
      
      Password: *********
      ...
  2. ストレージ・サーバーまたはデータベース・サーバーで管理サーバー (MS)を再起動します。

    CA認証済セキュリティ証明書をクラスタ内の各サーバーに個別にアップロードしたら、新しいセキュリティ証明書が表示されるようにするためにMSを再起動する必要があります。

    次に例を示します:

    • ストレージ・サーバーでMSを再起動します。

      CellCLI> alter cell restart services ms
      
      Restarting MS services... 
      The RESTART of MS services was successful.
    • データベース・サーバーでMSを再起動します。

      DBMCLI> alter dbserver restart services ms
      
      Restarting MS services... 
      The RESTART of MS services was successful.